Verslag van een commissiedebat : Verslag van een commissiedebat, gehouden op 1 december 2021, over Online veiligheid en cybersecurity

Nr. 807
VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 20 december 2021

De vaste commissie voor Digitale Zaken heeft op 1 december 2021 overleg gevoerd met
de heer Blok, Minister van Economische Zaken en Klimaat, de heer Grapperhaus, Minister
van Justitie en Veiligheid, en de heer Knops, Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties, over:

– de brief van de Minister van Justitie en Veiligheid d.d. 11 juni 2021 inzake WODC-rapport
«Evaluatie van de opbouw en meetbaarheid van de Nederlandse Cybersecurity Agenda (NCSA)»
(Kamerstuk 26 643, nr. 763);

– de brief van de Minister van Justitie en Veiligheid d.d. 11 juni 2021 inzake resultaat
van voorafgaande raadpleging inzake Google (Kamerstuk 26 643, nr. 762);

– de brief van de Minister van Justitie en Veiligheid d.d. 5 februari 2021 inzake recente
ontwikkelingen rondom de hack op het Amerikaanse bedrijf SolarWinds (Kamerstuk 26 643, nr. 740);

– de brief van de Minister van Justitie en Veiligheid d.d. 17 december 2020 inzake governance
van het cybersecuritystelsel en de bescherming van vitale infrastructuur (Kamerstuk
26 643, nr. 732);

– de brief van de Minister van Justitie en Veiligheid d.d. 29 juni 2021 inzake samenhangend
inspectiebeeld cybersecurity (Kamerstuk 26 643, nr. 769);

– de brief van de Minister van Justitie en Veiligheid d.d. 28 juni 2021 inzake beleidsreactie
Cybersecuritybeeld Nederland 2021 (CSBN2021) en voortgangsrapportage van de Nederlandse
Cybersecurity Agenda (NCSA) (Kamerstuk 26 643, nr. 767);

– de brief van de Staatssecretaris van Economische Zaken en Klimaat d.d. 16 december
2020 inzake voortgang van het Digital Trust Center (DTC) (Kamerstuk 26 643, nr. 742);

– de brief van de Staatssecretaris van Economische Zaken en Klimaat d.d. 14 december
2020 inzake voortgang Roadmap Digitaal Veilige Hard- en Software (Kamerstuk 26 643, nr. 735);

– de brief van de Minister van Economische Zaken en Klimaat d.d. 19 mei 2021 inzake
wijziging naam vitaal proces (Kamerstuk 26 643, nr. 759);

– de brief van de Staatssecretaris van Economische Zaken en Klimaat d.d. 2 juni 2021
inzake voortgang Digital Trust Center (Kamerstuk 26 643, nr. 760);

– de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties d.d.
5 februari 2021 inzake voortgang diverse toezeggingen ICT en informatiebeveiliging
binnen de Rijksdienst (Kamerstuk 26 643, nr. 739);

– de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties d.d.
18 maart 2021 inzake voortgang informatieveiligheid bij de overheid (Kamerstuk 26 643, nr. 749);

– de brief van de Minister van Justitie en Veiligheid d.d. 3 februari 2021 inzake uitkomsten
verkenning wettelijke bevoegdheden digitale weerbaarheid en beleidsreacties WODC-rapporten
(Kamerstuk 26 643, nr. 738);

– de brief van de Minister van Justitie en Veiligheid d.d. 14 september 2021 inzake
evaluatie cyberoefening ISIDOOR 2021 (Kamerstuk 26 643, nr. 781);

– de brief van de Minister van Justitie en Veiligheid d.d. 16 juli 2021 inzake voortgang
toezegging en opvolging van de ARK-aanbevelingen inzake cybersecurity grenstoezicht
Schiphol (Kamerstuk 26 643, nr. 774);

– de brief van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties d.d.
8 oktober 2021 inzake reactie op de motie van het lid Yeşilgöz-Zegerius over het opstellen
van een cyberverdedigingsprotocol (Kamerstuk 26 643, nr. 786).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De fungerend voorzitter van de commissie, Leijten

De griffier van de commissie, Boeve

Voorzitter: Leijten

Griffier: Boeve

Aanwezig zijn zeven leden der Kamer, te weten: Amhaouch, Dassen, Van Ginneken, Kathmann,
Leijten, Rajkowski en Van Weerdenburg,

en de heer Blok, Minister van Economische Zaken en Klimaat, de heer Grapperhaus, Minister
van Justitie en Veiligheid, en de heer Knops, Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties.

Aanvang 14.01 uur.

De voorzitter:

Ik open de vergadering van de vaste commissie voor Digitale Zaken voor het commissiedebat
over online veiligheid en cybersecurity. Ik heet iedereen van harte welkom bij dit
allereerste officiële debat van de commissie Digitale Zaken, met drie bewindspersonen.
Demissionaire bewindspersonen, hoor ik dan te zeggen. Ik heet van harte welkom de
Minister van Justitie, de Minister van Economische Zaken en de Staatssecretaris van
Binnenlandse Zaken en natuurlijk hun ondersteuning. En ik heet van harte welkom de
leden van deze Kamer, mevrouw Rajkowski van de VVD, mevrouw Van Weerdenburg van de
PVV, mevrouw Van Ginneken van D66 en de heer Amhaouch van het CDA. Ik zal zelf het
woord voeren namens de SP-fractie. Mogelijk komen er nog meer leden binnen. Die zal
ik dan tussentijds welkom heten als er een gepast moment is. Dan geef ik mevrouw Rajkowski
het woord voor haar woordvoering in eerste termijn.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Wat goed dat we het over dit onderwerp hebben en dat we met zo veel
mensen bij elkaar zitten, want de digitale dreiging is een van de grootste veiligheidsvraagstukken
van deze tijd. Daar hebben we het in de Tweede Kamer nog niet vaak genoeg over gehad.
Daarom heb ik dit debat aangevraagd.

Voorzitter. Ik begin met ransomwareaanvallen. Je kunt de krant bijna niet openslaan
of je ziet een aanval voorbijkomen, bijvoorbeeld bij het ROC Mondriaan, de HAN, Hof
van Twente, VDL of MediaMarkt. En dan weten we ook nog dat niet alles in de media
komt van bedrijven of instellingen die digitaal onder vuur liggen. Hoewel de schade
vaker groter is als jouw bedrijf gegijzeld wordt door een digitale crimineel dan wanneer
een dief er met de dagopbrengst vandoor gaat, zien we toch nog dat bedrijven zich
wel goed fysiek weten te beveiligen, maar digitaal nog niet zo.

Voorzitter. De impact van een ransomwareaanval wordt niet meer onderschat door bedrijven,
maar wel de kans dat het henzelf kan overkomen. Voorkomen is beter genezen. Ook daarbij
is een rol weggelegd voor de overheid. De schade voor slachtoffers van ransomware
is namelijk enorm en raakt de economie in het hart. Daarom is het zo belangrijk dat
er meer informatie met ondernemers wordt gedeeld over aanstaande dreigingen. Sinds
de zomer deelt het DTC al meer informatie. Het gaat om zo'n 300 bedrijven. Dat klinkt
als heel veel. Het is ook een mooie eerste stap, maar in Nederland hebben we bijna
2 miljoen bedrijven, dus dan klinkt 300 al als wat minder. Dus graag daar wat vaart
mee. Hoe gaat het kabinet ervoor zorgen dat meer bedrijven van deze goede informatie
gebruik kunnen maken? Kan het kabinet aan de Autoriteit Persoonsgegevens vragen of
ze haast wil maken met het wetsvoorstel dat gaat regelen dat IP-adressen gedeeld mogen
worden tussen het NCSC en het DTC? Ik vind het in ieder geval lastig uitlegbaar dat
bedrijven soms schade oplopen, terwijl deze informatie allang bekend is bij de overheid
maar nog niet gedeeld mag worden.

Voorzitter. Dan heb ik vragen over een keurmerk. Want wat zou het helpen als duidelijk
is met welke IT-dienstverlener je veilig zaken kunt doen. Er speelt nu van alles rondom
keurmerken. Je hebt de ISO-certificering, de cybersecurityverordening vanuit Europa
en allerlei private initiatieven. Mijn vraag aan het kabinet: hoe voorkomen we een
wildgroei aan keurmerken?

Voorzitter. Ik wil graag vragen of het kabinet kan ingaan op structureel oefenen met
cyberdreigingen. Er is al vaker een oefening gedaan, maar nog niet grootschalig of
vaak genoeg. Er heeft geloof ik vier jaar tussen de ISIDOOR-oefeningen gezeten. Dat
mag nog wel wat structureler. Daar krijg ik graag een reactie op.

Dan als laatste onderwerp desinformatie. Vroeger haalden we in Nederland onze schouders
op over desinformatie. Sinds de coronacrisis is duidelijk geworden wat stelselmatig
verspreiden van desinformatie betekent voor het vertrouwen in onze instituties, politici
en journalisten. We weten er alleen nog te weinig van af. Desinformatie aanpakken
mag ook niet doorslaan naar censuur. Hoe doen we dat dan? Daarom heb ik de volgende
vragen aan het kabinet. Kan het kabinet een openbaar onderzoek doen naar de omvang
en de werking van desinformatie in Nederland? Wellicht zijn de aankomende gemeenteraadsverkiezingen
daar een mooie aanleiding voor. Kan de Minister zich in Europa er hard voor maken
om rapportages te krijgen over desinformatie die op socialmediaplatformen wordt verspreid?
Ik weet dat er nu een praktijkcode is tussen de Europese Commissie en een aantal socialmediaplatformen.
Ik zou graag zien dat een deel van die informatie ook met Nederland gedeeld wordt,
zodat wij kunnen nadenken over welke tegencampagne wij eventueel kunnen voeren. Graag
een toezegging.

Voorzitter. Dan de laatste vraag: is onze wet- en regelgeving eigenlijk wel klaar
voor desinformatie maar ook voor deepfakevideo's? Als iemand slachtoffer wordt van
een deepfakevideo, waar kan iemand dan een melding doen? Waar kan iemand aangifte
doen? Kan dat bij de politie? Dat zijn allemaal vragen. Is ons stelsel er klaar voor?
Dank u wel.

De voorzitter:

Dank u wel. Dan heet ik ook mevrouw Kathmann van de Partij van de Arbeid en de heer
Dassen van Volt van harte welkom. Dan heeft mevrouw Van Ginneken een vraag voor mevrouw
Rajkowski.

Mevrouw Van Ginneken (D66):

Dank aan collega Rajkowski. Mooi dat u zich uitspreekt tegen desinformatie. Ik zag
u vanochtend bij Goedemorgen Nederland. Daar vertelde u al dat het belangrijk is dat
de overheid tegencampagnes, voorlichtingscampagnes kan doen bij desinformatie. Ik
vind dat een passend en goed idee, maar ik vraag me wel af of het genoeg is, gelet
op hoe die platforms werken en hoe zij desinformatie en polarisatie versnellen. Kunnen
we dan wel winnen met een voorlichtingscampagne?

Mevrouw Rajkowski (VVD):

Nee, zeker niet. Dat zit ’m ook in zorgen dat onze jongeren en kinderen meer les krijgen
in mediawijsheid: hoe kun je desinformatie herkennen? De telefoon is een soort verlengde
geworden van ons lichaam. Weten we wel welke informatie via dat scherm tot ons komt,
van wie die is en met welk doel? Ik weet dat mevrouw Van Ginneken samen met de VVD
en het CDA een hoorzitting heeft aangevraagd met de platformen. Ik ga graag met hen
in gesprek over dat zij meer hun verantwoordelijkheid moeten pakken om te voorkomen
dat desinformatie wordt verspreid. Het is een heel pakket aan maatregelen. Als mevrouw
Van Ginneken daar nog meer ideeën voor heeft, sta ik daar graag voor open, want zo
makkelijk komen we er niet.

Mevrouw Van Ginneken (D66):

Eén idee wil ik in ieder geval wel bespreken. We hebben in eerder verband ook gesproken
over het tegengaan van illegale content. Hoe kijkt de VVD aan tegen maatregelen om
ook schadelijke content te laten beperken op deze grote platforms?

Mevrouw Rajkowski (VVD):

Ik denk dat dat een van de onderwerpen is waarop VVD en D66 verschillen. Schadelijke
content kan zoveel meer zijn. Dat kan ook een vervelende opmerking zijn, pesten, iemand
die iets als een belediging ervaart wat misschien niet zo bedoeld is of wat door iemand
anders niet als een belediging wordt ervaren. Voor de VVD is het zo belangrijk dat
we bij het aanpakken van desinformatie voorkomen dat er censuur gaat ontstaan. Op
het moment dat je die schadelijke content gaat aanpakken, wordt het echt veel te subjectief
wat wel en niet schadelijk is. Daar zou ik graag verre van willen blijven.

Mevrouw Van Ginneken (D66):

Ik laat het hierbij.

De voorzitter:

Mevrouw Van Weerdenburg van de PVV, uw termijn.

Mevrouw Van Weerdenburg (PVV):

Dank u wel, voorzitter. Vandaag is het dan eindelijk zover: het allereerste officiële
debat van de langverwachte vaste commissie voor Digitale Zaken. Er is ongelofelijk
lang naartoe gewerkt door een heleboel mensen. Ik had het voorrecht om een stukje
van de voorgeschiedenis te begeleiden als lid van de tijdelijke commissie Digitale
toekomst, die aan de basis stond van deze vaste commissie voor Digitale Zaken. We
zijn inmiddels ruim een halfjaar geleden ingesteld, maar dan nu eindelijk het eerste
volwaardige debat.

Het is jammer dat we dit debat niet kunnen houden met de Minister voor Digitale Zaken
in een missionair kabinet. Dat was in ieder geval de voorkeur geweest van de PVV.
Maar de formerende partijen tonen geen enkele urgentie om tot een nieuw landsbestuur
te komen. Dat is onbegrijpelijk, want het onderwerp van dit debat, online veiligheid
en cybersecurity, vraagt om daadkracht en regie. De mensen die dit debat thuis volgen
en de indrukwekkende hoeveelheid stukken zien die vandaag op de agenda staan, zouden
zomaar eens de indruk kunnen krijgen dat die daadkracht en regie er in Nederland is
en dat we het hier supergoed geregeld hebben.

Het gaat over lijvige rapporten, zoals bijvoorbeeld de Nederlandse Cybersecurity Agenda,
het Cybersecuritybeeld Nederland 2021, het rapport Samenhangend inspectiebeeld cybersecurity
en de Roadmap Digitaal Veilige Hard- en Software. En over allerlei indrukwekkend klinkende
instanties, zoals het Digital Trust Center, het WODC en de Cyber Security Raad. Bovendien
zitten hier maar liefst drie bewindspersonen aan tafel, demissionaire bewindspersonen.
Het lijkt alsof cyberveiligheid tópprioriteit is voor dit kabinet, totdat je bedenkt
dat dit kabinet vooral met beeldvorming bezig is. Het is de illusie van daadkracht,
een papieren werkelijkheid. Er wordt enorm veel vergaderd over cyberveiligheid en
er wordt nóg meer over geschreven en gepubliceerd. Maar wat wordt er nou eigenlijk
concreet gedáán?

Als de coronacrisis ons iets heeft laten zien, is het dat goed voorbereid zijn op
papier iets heel anders is dan een daadwerkelijke crisis het hoofd kunnen bieden in
de praktijk. In dat kader verwijs ik ook naar de leerpunten die zijn geformuleerd
naar aanleiding van de cyberoefening ISIDOOR, die bevestigen dat de snelheid van de
besluitvorming omhoog moet om de impact te kunnen beperken. Want als de nood aan de
man is en er snel en daadkrachtig gehandeld moet worden, heb je niks aan dikke rapporten
en uitgebreide overlegstructuren.

Voorzitter. Ik kan u voorspellen dat de demissionaire Ministers die hier vandaag aan
tafel zitten vaak gaan verwijzen naar de formatietafel. Ze zullen op onze zorgen en
vragen antwoorden: dat is aan een nieuw kabinet. Dat hebben ze namelijk al vaker gedaan
de laatste tijd. Ik verwijs maar even naar de begrotingsbehandeling van Justitie en
Veiligheid van afgelopen week, waar de Minister van Justitie onder meer zei: «Of er
een aparte Minister dient te komen voor cybersecurity met een ministerie-overkoepelende
taak is aan een nieuw kabinet.» En: «Het volgende kabinet zal uiteindelijk moeten
besluiten over een nieuwe cybersecurity- en cybercrime-aanpak en de financiering daarvan.»
«Het is aan een volgend kabinet om te bezien hoe wordt voortgebouwd op de ervaringen
die onder het huidige kabinet zijn opgedaan met de Nederlandse Cybersecurity Agenda
(NCSA) en de aanpak van cybercrime.» «De conclusies uit deze rapporten van de CSR
en het WODC zullen moeten worden betrokken bij het opstellen van een nieuwe strategie.»

U ziet, voorzitter, vandaag is dus een beetje voor de bühne. Dat had de PVV liever
anders gezien. Als het aan ons ligt, gaan we vaart maken met de formatie en maken
we cyberveiligheid direct chefsache. Stel een Minister aan voor Digitale Zaken met
doorzettingsmacht en budget en laat die persoon direct aan de slag gaan met één heldere,
eenduidige nationale cyberveiligheidsstrategie. Want de digitale dreigingen zijn reëel
en urgent. Laten we niet wachten tot een cyberaanval de samenleving platlegt.

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Dan geef ik het woord aan mevrouw Van Ginneken
namens D66.

Mevrouw Van Ginneken (D66):

Dank u wel, voorzitter. Laat u niet misleiden door de bijvoeglijke naamwoorden. Cybersecurity
en online veiligheid gaan over security of veiligheid, want wat er gebeurt in onze
digitale ruimte heeft maar al te vaak gevolgen voor de fysieke ruimte, gevolgen voor
de overheid en bedrijven, gevolgen voor u en mij. En vaak komen alleen de direct zichtbare
gevolgen in het nieuws. Een school gesloten, geen kaas in de supermarkt, een digitale
gijzeling met ransomware. Maar daaronder gaat iets fundamenteels schuil: onze kenniseconomie
wordt bedreigd als onze bedrijven en kennisinstellingen kwetsbaar zijn voor digitale
spionage. Onze maatschappij kan ontwricht worden door digitale sabotage, door statelijke
actoren en criminelen. Cybersecurity heeft daarom wat D66 betreft topprioriteit.

Voorzitter. Om ons tegen digitale dreigingen te verweren, hebben we elkaar nodig.
Overheid, bedrijven, kennisinstellingen, brancheorganisaties, het is een gezamenlijke
verantwoordelijkheid waarbij we elkaar moeten informeren, steunen en helpen. Daar
zal ik mij vandaag dan ook vooral op focussen. Onze overheid néémt een zichtbare rol,
met het Nationaal Cyber Security Center en het Digital Trust Center, voor de mensen
thuis: het NCSC en het DTC. Beide organisaties schitterden het afgelopen jaar. Het
DTC – collega Rajkowski noemde het al – waarschuwde honderden bedrijven voor ernstige cyberdreigingen en het NCSC speelde een grote
rol in het oppakken van ransomwarecriminelen in acht verschillende landen. Mijn complimenten
daarvoor. Maar deze twee organisaties werken gescheiden, met verschillende opdrachten
en onder verschillende Ministers: NCSC voor het Rijk en vitale sectoren en DTC voor
de rest van de samenleving. Maar criminelen en statelijke actoren houden zich niet
aan deze scheiding.

Dit weekend schreef de New York Times dat in Israël steeds vaker juist niet-vitale
doelwitten gekozen worden, vaak minder goed beveiligd en dus makkelijk aan te vallen.
Dit ontwricht ook de samenleving en zorgt voor gevoelens van onveiligheid bij de burger.
Vele klappen maken immers ook een dreun.

Maar intussen hebben wij in ons land twee wettelijk gescheiden verdedigingslinies,
de Wbni en de Wbdwb, de tongbreker. Deze beide wetten worden nu aangepast en de inbreng
van bedrijven en specialisten hierop is vrij eensluidend: verzacht nu deze scheiding
of laat hem helemaal vallen. Dat is een pleidooi dat ik van harte ondersteun. Daarom
vraag ik de Minister: moet het NCSC niet minimaal de bevoegdheid krijgen om buiten
de OKTT's om rechtstreeks organisaties te informeren ingeval van hoge urgentie of
risico? Moet het onderscheid vitaal-niet vitaal dat nog steeds centraal staat in de
cybersecurity-aanpak van het kabinet niet komen te vervallen? En moeten we niet toegroeien
naar één organisatie met een integrale verantwoordelijkheid voor cybersecurity, zoals
het NCSC in het Verenigd Koninkrijk?

Voorzitter. D66 hoort van mkb-bedrijven dat zij de kennis en capaciteit missen om
goed weerbaar te zijn. Het DTC geeft goede maar algemene adviezen, terwijl sectorkennis
juist zo helpt. D66 ziet dan ook een belangrijke rol weggelegd voor brancheorganisaties
om hun leden specifieker te informeren en weerbaarder te maken. En toch is er maar
een beperkt aantal sectoren met een Computer Emergency Response Team. Is de Minister
bereid om brancheorganisaties op te roepen en te stimuleren sectorale CERT's op te
richten?

Voorzitter. Ook als het gaat om het reageren op cyberaanvallen geldt: oefening baart
kunst. De ISODOOR-oefeningen van de rijksoverheid en vitale sectoren zijn daarom nuttig.
Ik las in de begroting voor volgend jaar dat de Minister deze jaarlijks wil gaan doen.
Dat is een goed plan, wat D66 betreft. Maar ook hier is de vraag weer of deze oefeningen
niet te beperkt worden ingezet. Ziet de Minister de mogelijkheid om ook meer bedrijven
te betrekken bij deze oefeningen, bijvoorbeeld jaarlijks in een aantal roulerende
sectoren? Ook vraag ik me af of de overheid wel snel genoeg leert van hacks. De Onderzoeksraad
voor Veiligheid onderzoekt het Citrix-lek uit 2019 nu al twee jaar. Wanneer verwacht
de Minister de resultaten van dat onderzoek en welke mogelijkheden ziet de Minister
om dergelijke evaluaties sneller uit te voeren?

Dan nu over naar Pegasus-spyware. Deze zomer brak een groot schandaal uit rond deze
spyware van het bedrijf NSO. Journalisten en mensenrechtenactivisten wereldwijd werden
gehackt en gevolgd. Ook meerdere Europeanen waren slachtoffer. We weten inmiddels
dat Frankrijk en Duitsland ook bijna NSO-software hebben aangeschaft. Mijn vragen
zijn: hoe helpt onze overheid activisten, advocaten en journalisten zich te verweren
tegen dit soort ondermijnende praktijken? Deelt het NCSC of de NCTV ook informatie
met individuen als zij doelwit zijn? En heeft de Nederlandse regering ooit contact
gehad met NSO of een aankoop overwogen? Zulke spywaresoftware maakt gebruik van zerodaykwetsbaarheden,
onbekende kwetsbaarheden waar geen beveiliging tegen komt als die kwetsbaarheid onbekend
blijft. Zulke zerodays worden ook gebruikt door onze politie. Door deze te kopen,
houdt de politie een gevaarlijke industrie in stand. Hoe kijkt de Minister naar een
verbod voor de politie om zerodays aan te schaffen?

Tot slot nog even over online veiligheid. Begin dit jaar verscheen een alarmerend
stuk in De Groene Amsterdammer waaruit bleek dat vrouwelijke politici disproportioneel
vaak te maken krijgen met online haat en bedreiging. Niet alleen politici, maar alle
vrouwen krijgen te maken met online haat, zoals online geweld, online stalking, deepfakes
en afpersing. Welke mogelijkheden ziet de Minister om online geweld tegen vrouwen
aan te pakken? D66 zou graag zien dat we digitale bescherming voor vrouwen ook vastleggen
in de Istanbul Conventie en dat ook naleven. Hoe kijkt de Minister hier tegenaan?
Ik kijk uit naar de beantwoording door de Minister.

Dank u wel.

De voorzitter:

Ik dank u wel. Dan geef ik het woord aan de heer Amhaouch namens het CDA.

De heer Amhaouch (CDA):

Voorzitter, dank u wel. Dit is inderdaad ons eerste commissiedebat en zo te horen
is het misschien wel de commissie van afkortingen.

De voorzitter:

Het is goed dat u het zegt. Ik heb ze opgeschreven. Ik wilde ze aan het einde van
het debat allemaal even verklaren.

De heer Amhaouch (CDA):

We gaan ze niet overhoren. Ik denk dat niemand vandaag zakt.

De voorzitter:

Wellicht betrap ik u er nog op. Ik zal u er niet op wijzen, maar dan neem ik ze mee
in het afkortingenlijstje.

De heer Amhaouch (CDA):

Ik heb geprobeerd om ze te ontwijken.

Voorzitter. Goed dat we ons hier als commissie voor Digitale Zaken buigen over een
van de grootste bedreigingen van onze veiligheid en toekomstige veiligheid, namelijk
de digitale dreiging. Een dergelijk groot onderwerp vraagt meer spreektijd. Die hebben
we vandaag gelukkig ook gekregen. Toch wil ik me beperken tot een aantal thema's.
Ik wil het hebben over de dreiging van ransomware en over de vraag hoe daarmee om
te gaan, de online veiligheid van burgers, de veiligheid van de overheid op digitaal
vlak en ten slotte de cyberoefeningen.

Allereerst de problemen van ransomware. Dit punt is ook genoemd door collega Rajkowski.
We hebben inderdaad de voorbeelden gezien van VDL en MediaMarkt. Maar nog veel erger,
of in ieder geval heel kritisch, zijn de ransomaanvallen op ziekenhuizen in Nederland,
België, Canada en Ierland. En dat terwijl we middenin een gezondheidscrisis zitten.
Dat baart ons dus grote zorgen. Het is een almaar groter wordend probleem. Enerzijds
hebben criminelen ontdekt hoeveel geld er relatief gemakkelijk te verdienen is. Anderzijds
hebben statelijke actoren door hoe ontwrichtend de gerichte gijzeling van digitale
systemen kan werken. In de Kamer is er hier en daar al veel over gediscussieerd. Dat
is een relevante discussie, lijkt me. Maar kunnen de bewindspersonen van de verschillende
departementen hier kort op reflecteren?

Voorzitter. Het is duidelijk dat bedrijven, overheid en burgers nog te weinig doen
om hun digitale apparaten te beveiligen. Het is alsof we allen een eigen digitaal
huis hebben gebouwd en pas sinds enkele jaren lijken te beseffen dat hang- en sluitwerk
best wenselijk is. Criminelen grijpen in tussentijd hun kans. Dit geldt zowel in het
groot voor de rijksoverheid en vitale sectoren, als in het klein voor de mkb-ondernemer
of voor individuen die getroffen worden door de gijzelsoftware. Inmiddels heeft de
meerderheid van de bedrijven in de afgelopen twee jaar te maken gehad met aanvallen.

Het CDA ziet een belangrijke taak voor de overheid om de veiligheid en de preventieve
werking te bevorderen. Dat brengt mij ook bij het nu al veelbesproken verbod op het
betalen van losgeld bij een ransomware-aanval en het idee dat we niet moeten beginnen
aan een verzekering voor cyberaanvallen. Ik begrijp waar de Minister vandaan komt.
Ik heb ook het liefst dat we deze criminelen geen cent geven. Maar het is onrealistisch
om te denken dat we met een verbod op losgeldbetalingen de gijzelsoftware-industrie
een halt gaan toeroepen. Waarom kijken we niet naar verplichte cyberverzekeringen
die bedrijven er ook toe bewegen dat dat zij hun cyberveiligheid op orde hebben? Wanneer
je jezelf verzekert tegen brand, moet je ook aan de minimumeisen voor brandveiligheid
voldoen om eventuele vergoedingen uitgekeerd te krijgen. Op deze manier kunnen ook
verzekeringen juist helpen bij het tegengaan van gijzelsoftware op de lange termijn.
Is er bij de Minister sprake van voortschrijdend inzicht en wil hij hiernaar kijken?
Of houdt hij vast aan een verbod?

Voorzitter. Dan kom ik op de versnippering van het beleid voor cyberveiligheid. Beveiliging
is zo sterk als de zwakste schakel; dat geldt ook voor het beleid op het gebied van
veiligheid. Ik begrijp dat we te maken hebben met een uitgebreid overheidsorgaan en
dat het primair de taak van organisaties zelf is om de veiligheid op orde te hebben.
De Algemene Rekenkamer stelt ook dat de informatiebeveiliging nog niet op orde is.
Whatsappaccounts van zowel Eerste Kamerleden als Tweede Kamerleden en ambtenaren van
ministeries zijn door criminelen overgenomen. Bij het Ministerie van Buitenlandse
Zaken was sprake van een mogelijk datalek. Het veilig gebruiken van applicaties voor
videovergaderingen was onvoldoende gegarandeerd. Mijn partij pleit daarom voor een
integrale langetermijnagenda voor cybersecurity en wil daarvoor een nationale coördinator
aanstellen, om meer eenheid te krijgen in het beleid. Hoe zien de bewindspersonen
dat?

Voorzitter. Ten slotte kom ik bij de evaluatie van de cyberoefening ISIDOOR 2021.
Het is heel goed dat mooie woorden op papier vertaald worden naar de praktijk. Dan
is oefenen en het doen van stresstesten een goed instrument. En dan is het ook echt
hopen dat er zaken misgaan. Ik lees dat er meer dan 90 organisaties hebben meegedaan
aan deze oefening van het Nationaal Crisisplan Digitaal, waarbij ook de eigen crisisprocedures
van de deelnemende organisaties zijn getest. De Minister zegt hierover dat het rapport
concrete en nuttige aanbevelingen bevat waarmee een nieuw kabinet de maatregelen ten
behoeve van de versterking van de digitale weerbaarheid en de voorbereiding op een
digitale crisis verder kan vormgeven. Tevens vraagt hij aan de deelnemende organisaties
van ISIDOOR om ook zelf aan de slag te gaan met de eigen leerpunten uit deze oefening.
Hierbij heb ik twee vragen. Wat is de staat van de overheid en de staat van de betrokken
organisaties bij de crisisbeheersing? Wat zijn op dat punt de conclusies? Kunnen we
die duiden? Ten tweede. Hoe staat het met de actualisering van het Nationaal Crisisplan
Digitaal en de doorontwikkeling van dit plan tot een landelijk crisisplan naar aanleiding
van deze oefeningen?

Dat waren weinig afkortingen, voorzitter.

De voorzitter:

Nee, ik heb er geen één bij gezet op het lijstje. Ik heb u in de gaten gehouden, meneer
Amhaouch. Dan mevrouw Kathmann namens de Partij van de Arbeid.

Mevrouw Kathmann (PvdA):

Dank u, voorzitter. Het is een mooie week en ook wel een noodzakelijke week om als
commissie dit eerste debat te voeren, want míjn week begon in ieder geval met de volgende
mail, die gericht is aan álle politieke partijen. Apple heeft recent aan een aantal
gebruikers een legitieme waarschuwing verstrekt over mogelijk misbruik van iPhones
door zogenaamde statelijke actoren. Het dringend verzoek is om aan de leden en medewerkers
van je fractie te vragen contact op te nemen met de CISO indien zij van Apple ook
zo'n waarschuwing hebben ontvangen, ook als het een privétoestel betreft. Hier gaat
het dus gewoon om het hacken van telefoons van politici door statelijke actoren. Ik
vind dat nogal wat. Als ik daarbij ook nog optel dat de site van de PvdA tijdens de
afgelopen verkiezingen gewoon heeft platgelegen, mogelijk door een aanval vanuit Turkije,
dan kan je wel zeggen dat cybercrime alomtegenwoordig en staatsgevaarlijk is.

Het is ook wel een beetje jammer dat we soms vergeten hoe veel het ook kan opleveren.
We hebben best wel een cybersecurityeconomie met potentie, die ons aan de ene kant
veel beter kan beschermen en aan de andere kant ook echt wat kan opleveren. Daarom
moet ik mijn eerdere collega's toch even bijvallen. Als dit demissionaire kabinet
zegt «we vinden het een ongelofelijke topprioriteit, juist omdat deze dingen kunnen
gebeuren» en er dan dit bedrag tegenover zet, dan doet het niet echt aan «put your
money where your mouth is». Ik hoop dat we daar in de toekomst echt veel meer van
kunnen verwachten.

Dan ga ik snel naar de punten, want het is echt een brij aan stukken. Ik zal ze even
stuk voor stuk aflopen. Ik heb een vraag over het WODC-rapport over de Nederlandse
Cybersecurity Agenda. Daar zaten een paar stevige aanbevelingen bij. Mijn vraag aan
de Minister is: hoe worden deze aanbevelingen meegenomen, zeker als het gaat om het
opstellen van de toekomstige agenda?

Dan de hack op SolarWinds. Wat leert dat ons en wat doet het met ons als Nederland?
De Minister geeft aan dat ook rijksdiensten gebruik hebben gemaakt van de kwetsbare
software. Welke rijksdiensten zijn dat, en op welke punten was die software kwetsbaar?
Er wordt wel gezegd dat er geen sporen van misbruik zijn, maar dat is natuurlijk tot
nu toe. Welke kwetsbare informatie heeft er op straat gelegen en welke risico's lopen
we dat die informatie in de toekomst alsnog naar buiten wordt gebracht? Ik zou daar
graag meer over horen.

Er lag ook nog een ander stevig rapport, over de governance van het cybersecuritystelsel.
Dat is een rapport van RAND. Dat heeft ook weer stevige aanbevelingen. Ik zou van
de Minister graag punt voor punt willen horen wat hij met deze aanbevelingen gaat
doen.

Ik heb het over de stevige rapporten gehad, maar we kunnen natuurlijk nooit al die
aanbevelingen vlot trekken zonder goed opgeleide mensen. Ook vanuit Europa wordt daarover
echt aan de bel getrokken. We hebben meer afgestudeerden nodig. Maar dit zie ik eigenlijk
in geen enkel onderzoek of punt van aandacht heel goed terugkomen. Ik zou dus heel
graag van de Minister willen horen hoe dat spoor van onderwijs, opleiden en personeelstekort
in de toekomst veel duidelijker wordt opgenomen in de Cybersecurity Agenda en dus
ook hoe hierin samen wordt opgetrokken met collega's van OCW en IenW.

Dan het Rekenkamerrapport over de cybersecurity op Schiphol. Dat was best wel een
bizar Rekenkamerrapport. Als het niet was geschreven, dan was in ieder geval niet
vlot getrokken dat mensen die kwaad wilden passagiersgegevens gewoon zo konden manipuleren
dat bijvoorbeeld mensen die internationaal gezocht werden ineens niet meer op de passagierslijst
stonden, maar zich wel op Schiphol bevonden. Voor mij is het in de reactie van de
Minister niet echt duidelijk wat er nou wel en niet is opgelost. Er wordt wel gezegd:
we hebben een soort diepteonderzoek gedaan en we hebben de meest urgente problemen
daar opgelost. Maar ik zou heel graag willen weten welke problemen dat zijn. De Rekenkamer
zelf had er een heel mooi stippenkaartje bij gezet. Het zou voor mij al heel veel
schelen, of in ieder geval veel duidelijker zijn, als we ook op die manier door de
Minister worden geïnformeerd. Zij hadden een kaartje. De stippen moesten groen zijn,
want dan deed Schiphol het goed op het gebied van cybersecurity, maar van alle negen
stippen was er maar één groen. Dat ging dus over wie zei welke cybersecuritymaatregelen
er genomen moesten worden, óf die genomen waren, of er goedkeuring voor was gegeven,
of er beveiligingstesten waren uitgevoerd. Alles stond op rood. Ik zou graag willen
weten wat de status van die stippen is en of we nu gewoon negen groene stippen hebben.

Dan Clearing House. Dat is veel in het nieuws geweest. Het is een initiatief van internetgerelateerde
organisaties dat waarschuwt bij cyberkwetsbaarheden. Het is een gezamenlijk platform
van het bedrijfsleven dat waarschuwt voor cyberaanvallen. Het is dus eigenlijk iets
wat het veld zelf is gaan optuigen, omdat het landelijk systeem dat ons moet waarschuwen
voor hacks, het LDS – daar hebben we weer zo'n afkorting – voor hen niet voldoende
is en ook niet voldoende snel wordt opgetuigd. Ik zou dus graag willen weten hoe de
Minister hiernaar kijkt. Wordt er samen met Clearing House opgetrokken? Zo niet, waarom
niet? En zo wel, hoe dan?

Dit heeft natuurlijk ook van alles te maken met de rol van het DTC. Kan de Minister
reflecteren op het idee om de werkzaamheden van het NCSC en ook het DTC uit te breiden?
Dan zou het NCSC niet alleen over vitaal en Rijk gaan, maar ook over bedrijven met
sleutelinnovaties en misschien wel het grote bedrijfsleven met – ik noem maar wat
– meer dan 500 werknemers. Het DTC zouden dan zodanig kunnen opereren – andere collega's
zeiden het al – dat informatie uitgewisseld kan worden, echt als hét loket voor het
mkb, misschien zelfs wel met een soort van 112-nummer – dat kan ook gewoon digitaal
ingeregeld worden – waar je in het geval van een cybercrisis naartoe kan bellen als
je zo'n mkb'er bent. Denk ook aan een pool van ethische hackers, waar ook veel meer
op crises getraind kan worden. Het is ongelofelijk duur om dat te doen, maar het moet
wel gebeuren. Ik hoop dat de Minister deze plannen kan steunen en dat hij in ieder
geval kan vertellen wat hij daarvan vindt.

Tot slot. Dan moet ik er eventjes een kiezen. Encryptie. Verschillende partijen hebben
er voor de verkiezingen natuurlijk toe opgeroepen om het gebruik van encryptie te
stimuleren. Via het lid Rajkowski hebben we een hele mooie kaart gekregen die ons
helpt in de politieke discussie. Maar wat als uit die politieke discussie nou komt:
we kunnen er niet aan sleutelen, om het maar zo te zeggen; het is zoals het is en
we kunnen het niet afschalen? Hebben we dan alternatieven waardoor opsporingsdiensten
toch op een goede manier aan hun informatie kunnen komen? Ik hoor graag van de Minister
of die alternatieven er zijn.

De voorzitter:

Dank u wel, mevrouw Kathmann. Dan geef ik het woord aan de heer Dassen van Volt.

De heer Dassen (Volt):

Dank, voorzitter. De collega's noemden al wat voorbeelden. Weer een cyberaanval, dit
keer op de MediaMarkt, zoals het Brabants Dagblad kopte. Of: «ROC Mondriaan meldt
grote hack, studenten kunnen niet bij bestanden», zoals Tweakers schreef. Twee recente
voorbeelden die illustreren wat de NCTV concludeert in het Cybersecuritybeeld Nederland
2021. Nederland is in de afgelopen periode geraakt door een breed scala aan cyberincidenten.
Hoewel we spreken van incidenten, is de problematiek natuurlijk structureel. Volt
heeft de blik op de toekomst. We zien veel kansen op het gebied van digitalisering.
Digitalisering brengt de landen van Europa dichter bij elkaar, maar maakt ons ook
kwetsbaarder. De aanwezige bewindspersonen spannen zich allen in voor een veiligere
digitale omgeving. Dat wordt natuurlijk gewaardeerd, maar ik sluit me ook aan bij
de collega's die eerder aangaven dat het nog onvoldoende is en dat er zeker wel een
tandje bij kan.

Voorzitter. Er staat een hoop op de agenda. Ik ga me vandaag richten op drie onderwerpen:
het verbeteren van onze cybersecuritystrategie, het Digital Trust Center en Europese
samenwerking.

Voorzitter. In het begrotingsdebat van vorige week grapte de Minister dat er waarschijnlijk
een hoop Kamerleden in de zaal zouden zitten met als pincode voor hun telefoon vier
nullen, dus 0000. Ik vond dit een mooi en eenvoudig voorbeeld om de verschillende
facetten van cybersecurity te omschrijven. Maar het geeft ook een beetje het niveau
aan van de volwassenheid van onze cybersecurityaanpak, terwijl de criminele cybereconomie
inmiddels echt erg volwassen aan het worden is.

Voorzitter. Om het de bewindspersonen vandaag iets makkelijker te maken, verwijs ik
graag even terug naar het regeerakkoord uit 2017. Daarin sprak het demissionaire kabinet
uit om een ambitieuze cybersecurityagenda op te stellen en daar jaarlijks 95 miljoen
euro voor vrij te maken. Dat is niet helemaal gelukt, zoals we kunnen zien. Daarom
stelt Volt het volgende voor. Neem de bestaande Nederlandse Cybersecurity Agenda als
uitgangspunt voor een strategie die op basis van een integrale aanpak met een duidelijke
visie concrete en meetbare doelen stelt. Neem daarbij het advies van de Cyber Security
Raad over en maak daarvoor de benodigde middelen vrij. Neem als overheid verantwoordelijkheid
voor de cyberweerbaarheid van heel Nederland, dus niet alleen van de vitale sectoren
en het Rijk, maar ook van Nederlandse burgers en andere bedrijven.

Voorzitter. Ik heb de volgende vragen. Wordt er op basis van het adviesrapport van
de Cyber Security Raad, het WODC-rapport ter evaluatie van de Nederlandse Cybersecurity
Agenda en de eigen ervaringen gewerkt aan het verbeteren van de huidige Nederlandse
Cybersecurity Agenda? Zo ja, op welke manier? Zo nee, worden er dan technische voorbereidingen
getroffen voor een verbeterde cybersecuritystrategie voor een nieuw kabinet? Kan er
een schatting worden gemaakt van de jaarlijkse maatschappelijke en economische kosten
van cyberincidenten? Hebben de Ministers kennisgenomen van de plannen voor onlineveiligheid
en cybersecurity uit het regeerakkoord van de nieuwe Duitse coalitie?

Voorzitter. We moeten dit samen doen. Het Digital Trust Center is opgezet om Nederlandse
bedrijven en organisaties te kunnen waarschuwen voor securitydreigingen. Daar heb
ik een paar vragen over. Zijn er al ervaringen die gedeeld kunnen worden? Hoe is de
samenwerking tussen het NCSC en het DTC? Welke belemmeringen voor samenwerking zijn
er op dit moment nog en hoe kunnen die weggenomen worden? Wordt er in Europees verband
gesproken over soortgelijke projecten? Zijn daar best practices voor opgehaald? Is
er bijvoorbeeld gesproken met het Verenigd Koninkrijk over het Cyber Security Information
Sharing Partnership? Ziet de Minister mogelijkheden om bijvoorbeeld het realtime delen
van informatie, zoals bij het CiSP, ook bij het DTC mogelijk te maken? Dat sluit een
beetje aan bij wat mevrouw Kathmann net zei: bedrijven wisselen daar op een platform
realtime informatie met elkaar uit, zodat ze meteen op de hoogte zijn van de cyberdreigingen
die overal spelen.

Voorzitter. Daarmee kom ik bij het laatste deel aan: Europese samenwerking. De Minister
van Buitenlandse Zaken onderstreepte onlangs nog dat voor sterke cyberweerbaarheid
internationale samenwerking noodzakelijk is. Onlangs hebben we antwoord gekregen op
onze vragen over het BNC-fiche over de Joint Cyber Unit. We hebben daar ook de vraag
gesteld of de Minister ruimte ziet om samenwerking in de Joint Cyber Unit te verplichten
voor zover die niet op vrijwillige basis tot stand komt. Daar hebben we helaas nog
geen antwoord op gekregen. Vandaar de volgende vragen. Zouden we daar alsnog antwoord
op kunnen krijgen? Werkt een Joint Cyber Unit niet veel beter als iedereen daarbij
aangesloten is?

Voorzitter. Ik zou graag willen afsluiten met een uitdaging aan de Ministers om gezamenlijk
het volgende uiteen te zetten. Wat is hun visie op hoe onlineveiligheid en cybersecurity
eruit horen te zien? Wat achten zij daarvoor nodig? Hoe verschilt veiligheid in het
digitale domein van veiligheid in het fysieke domein volgens de Ministers?

Dank u wel.

De voorzitter:

Dank u wel. Dat leidt tot een vraag bij mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Ik zou al die vragen over visie en wat de verschillen zijn, terug willen leggen bij
de heer Dassen. Hoe kijkt Volt daar dan tegenaan? Maar mijn interruptie gaat over
iets anders, namelijk IP-adressen. De Autoriteit Persoonsgegevens zou zomaar IP-adressen
als een persoonsgegeven kunnen zien, en dat maakt juist het delen van dreigingen tussen
NCC en DTC zo lastig. Nu zijn we nog aan het wachten op een wetsvoorstel. Eerst moet
de AP daar nog wat van vinden, dan gaat het naar de Raad van State en daarna komt
het pas naar ons. Is dit dan een van de belemmeringen waarvan Volt zegt: die belemmeringen
zouden we weg moeten halen?

De heer Dassen (Volt):

Wat ik heb begrepen, is dat het best wel lang heeft geduurd voordat de samenwerking
tussen NCC en DTC goed tot stand is gekomen. Het voorbeeld dat mevrouw Rajkowski nu
noemt, is inderdaad een van de belemmeringen. Ik heb daar wel een vraag bij. Ik wil
namelijk kijken hoe je kunt zorgen dat data die je hebt over cyberdreigingen zo snel
mogelijk gedeeld kunnen worden. Dan moet je dus ook kijken hoe het kan dat dit soort
belemmeringen op dit moment nog aanwezig zijn, of er nog meer aanwezig zijn en hoe
we die kunnen weghalen.

De voorzitter:

Oké, dan dank ik de heer Dassen en vraag ik mevrouw Van Weerdenburg om het voorzitterschap
tijdelijk over te nemen.

Voorzitter: Van Weerdenburg

De voorzitter:

Dat zal ik doen. Dan geef ik nu het woord aan mevrouw Leijten voor haar inbreng namens
de SP.

Mevrouw Leijten (SP):

Als de treinen niet rijden, dan is het volledige land ontregeld en als het betaalverkeer
stilligt, dan is dat een klap voor de economie. Als waterkeringen, kerncentrales of
ziekenhuizen gehackt worden, dan zijn de gevolgen voor het land niet te overzien.
Daarom is het van cruciaal belang dat onze digitale wereld veilig is, zodat het land
kan functioneren en mensen beschermd zijn tegen criminelen die aan de haal gaan met
onze gegevens.

Van de ernst hiervan zijn veel mensen wel overtuigd, maar de urgentie wordt toch nog
altijd onderschat. De systemen zijn niet op orde, zo concluderen de Rekenkamer en
het Nationaal Cyber Security Centrum. De Algemene Rekenkamer stelde in mei 2021 dat
de stand van de informatiebeveiliging rijksbreed over de hele linie gezien in 2020
niet is veranderd. Vrijwel alle organisaties die de informatiebeveiliging in 2019
niet op orde hadden, hebben hier wel werk van gemaakt, maar dat heeft niet geleid
tot voldoende beheersing van risico's, waardoor de onvolkomenheden nog niet zijn opgelost.
De Cyber Security Raad constateerde dat in Nederland de komende jaren additionele
inzet en investeringen nodig zijn om de weerbaarheid te versterken.

Die investeringen in de cybersecurity zijn er deels, maar volgens de SP niet voldoende.
Zo zijn er het afgelopen jaar maar liefst 23.976 datalekmeldingen gedaan bij de Autoriteit
Persoonsgegevens. In maart 2021 bleek dat privégegevens van mogelijk miljoenen Nederlandse
autobezitters gestolen waren en te koop staan op internet. Dan gaat het om naam, adresgegevens,
e-mailadressen, kentekens, telefoonnummers, geboortedata. De Autoriteit Persoonsgegevens
staat onder zeer zware druk.

Nu ligt er een amendement van de SP voor bij deze begroting – we stemmen er volgende
week over – voor extra investeringen, en toch presteert de Minister van Justitie en
Veiligheid het om dit amendement te ontraden. Waarom toch? Als je zelf demissionair
geen besluiten wilt nemen, waarom laat je het dan niet aan de Kamer om geld te verschuiven?
Erkent de Minister wel hoe hoog de druk is en hoe noodzakelijk het is dat de Autoriteit
Persoonsgegevens meer middelen krijgt? Er wordt door dit kabinet geïnvesteerd om cybercriminaliteit
tegen te gaan door extra rechercheurs in te zetten op dit onderwerp, maar tegelijkertijd
weten we hoe hoog de druk op de politie is en dat er onvoldoende wordt geïnvesteerd
in nieuwe agenten. De kans dat investeringen op dit gebied zichzelf terugverdienen,
zoals ook bij financieel rechercheurs wordt gesteld, is levensgroot. Is het demissionaire
kabinet dat met de SP eens? Er is weliswaar nog steeds geen inzicht in de schade die
cybercriminelen berokkenen, maar schattingen lopen in de vele miljoenen en miljarden
wereldwijd.

Dat we niet weten hoeveel schade het oplevert, komt onder andere doordat de meldingsbereidheid
zo laag is. Dat moet anders, want we kunnen deze criminelen alleen treffen door het
verdienmodel aan te pakken, te leren hoe ze werken en die ervaringen te delen. Is
het kabinet bereid een meldingsplicht in te stellen voor als je slachtoffer wordt
van ransomware? Dan kunnen we namelijk informatie uitwisselen en kunnen we proberen
het verdienmodel aan te pakken, door bijvoorbeeld geen losgeld te betalen. Is het
kabinet het met de SP eens dat we dit als norm moeten inzetten? En is het kabinet
bereid om dit uit te werken?

Een verbod op losgeld voor gegijzelde data betekent wel dat bedrijven en instellingen
die dit meemaken, voldoende ondersteuning moeten krijgen in hoe ze om moeten gaan
met dit soort criminelen. Het Cyber Security Center schrijft daarover dat cybersecurityexperts
signaleren dat er grote verschillen in weerbaarheid zijn in Nederland. Grote bedrijven
kunnen investeren in kennis en kunde op dit gebied, en aanbieders van essentiële diensten
en digitale dienstverleners hebben een zorgplicht, die wettelijk is vastgelegd in
de Wet beveiliging netwerk- en informatiesystemen.

Kleine bedrijven daarentegen – neem bijvoorbeeld het mkb – beschikken veelal niet
over die expertise en de middelen om die weerbaarheid naar een hoger plan te tillen.
46% van de ondernemers geeft aan met gijzelsoftware te maken te hebben gehad. Hoe
kunnen we dit verbeteren? Hoe kunnen we bijvoorbeeld het Digital Trust Center hierin
een betere rol laten spelen? Of vindt de Minister van Economische Zaken het inmiddels
voldoende? Het is wat ons betreft een probleem van de hele samenleving als de privacy
van mensen ernstig wordt aangetast, bijvoorbeeld door dit soort gijzelsoftware.

Wij willen er wel op wijzen dat voorkomen beter is dan genezen. De SP ziet dat dit
gevoel van urgentie op veel plekken niet voldoende of afwezig is, en menselijk handelen
maakt systemen kwetsbaar: zwakke wachtwoorden, geen tweetrapsverificatie, het niet
uitvoeren van beveiligingsupdates. Ook dat gaat de hele samenleving aan. Nu hebben
we handreikingen die worden gepubliceerd op websites, maar ik zie ons niet iedere
ochtend die websites bezoeken. Waarom is er niet een grootschalige campagne, zoals
we die bijvoorbeeld ook hebben voor dat je je ramen en je deuren moet sluiten als
je je woning verlaat? Aan het aantal communicatiemedewerkers in dienst van de overheid
kan het niet liggen dat zo'n goede publiekscampagne niet wordt ontwikkeld.

Ook toezicht is essentieel. Ik heb het al gezegd: niet alleen de Autoriteit Persoonsgegevens
staat onder druk, het algehele toezicht staat onder druk, en het is ook nog eens versnipperd.
Wij hebben in het verleden gepleit voor een nationale inspectie. Die zou departementoverstijgend
kunnen zijn. Bijvoorbeeld op het gebied van digitale veiligheid zou dat heel veel
voordelen bieden. Is het kabinet bereid dit te onderzoeken, zodat we hiermee met een
volgend kabinet aan de slag kunnen?

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Leijten. Er is een interruptie van mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Een van de punten van mevrouw Leijten, halverwege haar betoog, was dat er een meldingsplicht
zou moeten komen als je slachtoffer bent van een ransomware-aanval. Ik kan me voorstellen
dat dit kan helpen en dat er meer informatie en kennis gedeeld wordt over ransomware-aanvallen;
hoe dan, waar dan en wanneer dan. Ik vraag me dan alleen af of dit wel de juiste route
is. Uiteindelijk is deze informatie juist voor bedrijven vaak heel spannend om te
delen. Zou het niet interessanter zijn om juist in te kunnen zetten op een vertrouwde
omgeving waarin bedrijven dit soort informatie ook met elkaar durven te delen, in
plaats van op een verplichting vanuit de overheid? Dat is dus een vraag. Wat moeten
ze dan eigenlijk precies melden en wanneer?

Mevrouw Leijten (SP):

Ik heb met al die afkortingen zoals Trust Center en Digital Cyber Center nog niet
helemaal scherp waar dat het beste zou kunnen. Het lijkt mij goed dat je het veilig
kunt melden, maar dat je wel een meldplicht hebt. Het kan best zijn dat vandaag het
ene bedrijf getroffen wordt door een groep die ransomware gebruikt en morgen het andere
bedrijf door dezelfde groep met dezelfde ransomware. Je kunt met een meldplicht dan
toch preventief aan de slag en je kunt detecteren hoe groot, of wellicht hoe krachtig,
de aanval is. Daarom zou ik daar ook voor zijn.

Dat betekent niet dat het een publieke melding moet zijn en dat het meteen in de krant
moet staan. Ik begrijp heel erg goed dat je dat op een veilige manier moet doen. We
moeten wel de afspraak maken dat we elkaar in die preventie moeten helpen, en noem
het allemaal maar op. Het is een publiek belang dat we het weten als er ergens een
aanval is geweest. We moeten het ook begeleiden als gezegd wordt dat er geen losgeld
wordt betaald. Je moet weten dat je meteen hulp kunt krijgen met het misschien oplossen
daarvan. Ik zou er heel erg voor zijn dat we dat wel creëren. Dat kan je via zo'n
meldingsplicht doen. Wat mij betreft moeten het dan wel vertrouwelijke meldingen zijn.
Of we moeten het op zo'n manier inrichten dat het niet meteen op straat ligt, maar
dat je dus in de boezem van een van de trustcenters snel die koppeling kunt maken,
zodat je ook snel kunt handelen als het echt een hele grote aanval is die je wilt
stopzetten, en dat we heel snel anderen kunnen waarschuwen voor dit soort ransomware
om achterdeuren dicht te zetten. Daar is die meldplicht echt voor bedoeld.

De voorzitter:

Dank u wel. Er is nog een vraag van de heer Amhaouch.

De heer Amhaouch (CDA):

Mevrouw Leijten van de SP gaf een beetje het beeld van de versnippering aan. Zij vroeg:
waar moeten we gaan versterken? Ze had het over de Autoriteit Persoonsgegevens. Wat
vindt de SP, zeker in deze fase, van het idee van een nationale coördinator cybersecurity
of cyberveiligheid, die het totaalplaatje heeft en die inderdaad kan beoordelen welke
organisatie op welke plek versterkt moet worden? Je kunt er natuurlijk wel één organisatie
uit halen, maar er zijn misschien meerdere organisaties die je in balans moet brengen
ofwel in verbinding moet brengen. Hoe kijkt de SP daartegenaan?

Mevrouw Leijten (SP):

Ik weet dat het Digital Trust Center er in het verleden onder andere op initiatief
van de Kamer is gekomen. Wij zeiden dat er een plek moet zijn waar je samen kunt komen.
Ik ben een beetje huiverig voor het idee dat je op alles wat we hebben opgetuigd nou
ook weer een nationaal coördinator moet zetten om dat te coördineren. Ik snap wel
de bedoeling van de vraag van het CDA. Hoe zorgen we er nou voor dat we weten waar
we moeten zijn voor welke ondersteuning, bijvoorbeeld voor het inrichten van zoiets
als een meldplicht waar wij voor pleiten? Ik wil eigenlijk het liefst even horen wat
de Minister daarop te zeggen heeft, om eventjes in te schatten wat de beste weg is
om dit te bewandelen. Maar we lopen allemaal tegen die versnippering aan. Dat hebben
we ook gezien aan de afkortingen die hier in dit debat helaas niet te weinig worden
gebruikt.

De voorzitter:

Dank u wel. Tot slot had mevrouw Kathmann ook nog een zeer beknopte vraag.

Mevrouw Kathmann (PvdA):

Ja, een heel beknopte. Mevrouw Rajkowski stelde deze vraag zelf aan mevrouw Leijten.
Ik zou graag van mevrouw Rajkowski willen weten: ziet zij ... Dat kan niet? O!

De voorzitter:

Dat kan niet. De termijn van mevrouw Rajkowski is geweest.

Mevrouw Kathmann (PvdA):

Ik kan niets aan haar vragen over wat zij eerder aan mevrouw Leijten heeft gevraagd?

De voorzitter:

Nee, helaas.

Mevrouw Kathmann (PvdA):

Dat wist ik niet.

De voorzitter:

Maar u heeft ook nog een tweede termijn. Hou het vast, zou ik tegen mevrouw Kathmann
willen zeggen.

Dan geef ik nu weer het voorzitterschap over aan mevrouw Leijten.

Voorzitter: Leijten

De voorzitter:

Deze voorzitter houdt er altijd heel erg van om creatief om te gaan met de vragen
die je hebt, maar je kan echt niet in de termijn van een ander vragen stellen aan
een andere fractie.

Ik had jullie beloofd om nog eventjes de afkortingen langs te lopen.

CSR is Cyber Security Raad. WODC is Wetenschappelijk Onderzoek- en Documentatiecentrum.
DTC is Digital Trust Center. NCSC is het Nationaal Cyber Security Centrum. NCTV is
de Nationaal Coördinator Terrorisme en Veiligheid. O, het is de Nationaal Coördinator
Terrorismebestrijding en Veiligheid. Het is maar goed dat ik hier de Minister van
Veiligheid en Justitie naast me heb zitten. Hij is me de hele tijd aan het verbeteren.
Dan kan ik niet meer goed voorzitten.

De bewindspersonen hebben aangegeven twintig minuten schorsing nodig te hebben. Ik
denk dat we daarmee ook voldoende tijd hebben om een goede eerste termijn van de zijde
van de bewindspersonen te verwachten. Ik wil wel aangeven, omdat u met z'n drieën
bent, dat ik ga knijpen op de belangrijke woorden van de demissionaire regering als
het te lang wordt waardoor er geen tweede termijn meer mogelijk is. Ik denk dat dit,
naar aanleiding van dit moment voor de schorsing, niet nodig zal zijn.

Ik dank de leden voor hun eerste termijn. We schorsen twintig minuten en dan komen
we om 15.10 uur hier weer terug voor de antwoorden van de regering.

De vergadering wordt van 14.49 uur tot 15.09 uur geschorst.

De voorzitter:

Het is 15.09 uur. We hadden afgesproken dat we verder zouden gaan om 15.10 uur, maar
we zijn allemaal al aanwezig, dus ik stel voor om te beginnen met de beantwoording
door het demissionaire kabinet. Ik ga ervan uit dat de Minister van Justitie en Veiligheid
ons even meeneemt in hoe de beantwoording zal verlopen. Het woord is aan de Minister
van Justitie en Veiligheid.

Minister Grapperhaus:

Dank, voorzitter. Laat ik maar meteen met de deur in huis vallen: goed dat deze commissie
er is. Digitale zaken is een belangrijk onderwerp. Ik denk dat het goed is dat de
Tweede Kamer heeft gezegd: wij zorgen voor een zekere mate van grootste gemene deler.
Dit betekent overigens niet dat onderwerpen van hier niet ook elders aan de orde zullen
of kunnen komen. Zo sprak ik vanmorgen ook in het kader van de criminaliteitsbestrijding
over ransomware, cybercrime en dergelijke zaken. Maar ik vind dat geen punt, want
de digitale wereld is zo langzamerhand bijna de wortel van wat er in de werkelijke
wereld gebeurt.

Een kleine anekdote. Toen ik net Minister was, kreeg ik een rapport ter goedkeuring
en doorsturing aan de Kamer waarin duidelijk werd gemaakt dat heel veel voorzieningen
in Nederland geen analoge terugvaloptie hebben. Bijvoorbeeld bepaalde bruggen kunnen
gewoon niet meer open als de digitale apparatuur het laat afweten. Dat geeft een beetje
aan hoe het geheel werkt. Toen ik vorige week bij mijn begrotingsdebat op de telefooncodes
wees, was dat ook, zeg ik via u, voorzitter, tegen de heer Dassen, aan de hand van
een ervaring die we een aantal jaren geleden opdeden met bedrijven die vooral in het
internet of things investeerden. Dan moet u eraan denken dat u in de auto via uw iPhone
thuis alvast de centrale verwarming aanzet. Dat is in deze tijden van veel regen lekker
knus. Maar als de fabrikanten als fabrieksinstelling diezelfde code 0000 gebruiken,
wordt het voor slechteriken ook heel makkelijk om in te breken. Dan komt u thuis en
is het of ziedend koud of loeiend heet. Dat zijn twee voorbeelden waaruit blijkt dat
cybersecurity eigenlijk overal zou moeten zijn, maar we daar toch nog niet helemaal
aan gewend zijn.

Ik kom straks nog op het punt dat de voorzitter als woordvoerder maakte over de voorlichtingscampagnes.
Ik wil u voorzichtig laten wennen aan het idee dat we twee jaar geleden wel degelijk
een voorlichtingscampagne hadden die helemaal analoog aanhaakte – ik gebruik «analoog»
nu in een andere zin – bij het op slot doen van je huis. We zeiden: als je een dievenklauw
op je raam en een dubbel slot op je deur zet, waarom heb je dat dan niet ook op je
computer? Ik denk dat die publiekscampagne zo weer opnieuw zou kunnen worden ingezet,
want die bewustwording is zo ontzettend belangrijk.

Het is dus in ieder geval goed dat u deze commissie heeft. Dank voor uw uitnodiging.
Wij zijn hier met drie kabinetsleden. Dat komt omdat digitalisering alle beleidsterreinen
raakt en onderdeel is van vrijwel alle uitvoeringsprocessen, maar je ziet en wil toch
dat elk departement op zijn eigen beleidsterrein zelf verantwoordelijk is voor de
sturing op en de invulling van specifieke onderdelen van de betreffende thema's. Ook
in de niet-digitale wereld wil je immers dat ieder zijn taak en verantwoordelijkheid
blijft oppakken. Drie bewindspersonen coördineren binnen het kabinet het thema digitalisering.
Allereerst is dat de Staatssecretaris van EZK, thans waargenomen door de Minister
van EZK, op de digitale economie en de overkoepelende digitaliseringsstrategie. Vervolgens
is dat de Staatssecretaris van BZK, op het terrein van de digitale overheid. Ten slotte
is dat de Minister van JenV, op cybersecurity. Dat ben ik. Nu heb ik toch wel weer
een paar andere afkortingen gebruikt en toegevoegd aan de lijst.

Voorzitter. Om het leven voor u toch wat te verlichten, heb ik voor uw leden als geschenk
het Cybersecurity Woordenboek. Ik kan u verzekeren dat de voorsprong waarvan u misschien
denkt dat ik die heb op sommige terminologieën, als sneeuw voor de zon verdwijnt als
u de komende dagen, op het moment dat er even iets saais doorkomt op Netflix of anderszins,
dit boek doorneemt. Ik wil u het graag als eerste aanbieden, voorzitter, maar alle
leden krijgen het. Daarbij merk ik overigens op dat er binnenkort een tweede druk
van dit boek uitkomt, waarin ongetwijfeld de meest recente afkortingen en woorden
ook weer zijn meegenomen. Maar het zegt wel iets dat we dit woordenboek hebben, want
het is echt een nieuw eigen domein geworden. Het is alleen maar goed dat we dat goed
kunnen omschrijven.

Voorzitter. De afgelopen periode heeft de noodzaak van de inzet op het verhogen van
cyberweerbaarheid alleen maar verder onderstreept. Juist COVID-19 heeft ons laten
zien dat digitalisering en het belang van digitale veiligheid nog groter worden. Aan
de ene kant dus de digitalisering. Moet u zich voorstellen hoe wij vijftien jaar geleden
met deze crisis hadden moeten omgaan, toen videoconferencing nog een kwestie was van
heel veel sneeuw op het scherm met een poging om de ander te herkennen. Maar aan de
andere kant dus de digitale veiligheid. Juist nu moeten we ervoor zorgen dat we, waar
we zo veel digitaal doen, niet gehackt worden of geconfronteerd worden met ransomware.
Ik kom daar straks nog op terug.

Voorzitter. We werken digitaal, we winkelen vaak digitaal en we ontmoeten elkaar tegenwoordig
in die ellendige periodes waarin er meer beperkingen zijn ook heel veel digitaal.
Kortom, het is allemaal zo verweven met elkaar: de werkelijkheid en de digitale wereld.

Voorzitter. Ik kom op een aantal concrete vragen. Ik heb een poging gedaan om ze zo
veel mogelijk bij elkaar te nemen. Daarna zullen de collega's uiteraard de vragen
op hun terrein beantwoorden.

Voorzitter. Ik begin met de vragen over de rapporten en de nieuwe strategie. Allereerst
de aanbevelingen uit de evaluatie van de NCSA en natuurlijk het advies van de Cyber
Security Raad. Ik denk dat het duidelijk is – ik heb dit net wat uitvoeriger genoemd
– dat het enorme belang en de toename van digitale processen betekenen dat we een
stevige aanpak moeten hebben, zowel op cybersecurity als op cybercrime. Dit betekent
dat we de afgelopen tijd in dit kabinet wel degelijk hebben ingezet – op dat punt
wil ik mevrouw Kathmann weerspreken – op een aantal nieuwe instrumenten en ook op
investeringen in de cybersecurity. Die zijn vrij breed gegaan. Ik wil daarvoor niet
uw tijd misbruiken, maar u echt verwijzen naar de periodieke rapportages die we u
daarover hebben gestuurd, maar ook naar de jaarlijkse Nederlandse Cybersecurity Agenda,
de NCSA. De conclusies uit de NCSA, maar ook uit de recente rapporten van RAND Europe
en de Cyber Security Raad moeten worden betrokken bij het opstellen van een nieuwe
strategie. U heeft mij het NK-woord – het nieuwe kabinet – nog niet horen uitspreken.
Ik begrijp heel goed dat u als Kamer zegt: ja, maar wij willen verder. Dat is juist
een van de redenen waarom dit kabinet ook op dit onderwerp heeft gezegd: dit is zo
belangrijk; we moeten dat niet stil laten vallen en erop doorgaan. Dit betekent niettemin
dat we voor de invulling van verdere middelen en dergelijke wel degelijk de coalitie
zoals die nu zou kunnen gaan aantreden, de ruimte moeten geven om daarin de allerbelangrijkste
keuzes te maken. Maar dit zittende kabinet, ook wel het «demissionaire kabinet» genoemd,
blijft gewoon actief. U kunt ons daarop aanspreken. We blijven actief op basis van
de NCSA.

Voorzitter. De vraag van mevrouw Van Weerdenburg over voldoende doorzettingsmacht
bij het kabinet in het geval van een crisis ...

De voorzitter:

Een ogenblikje, Minister. Net voordat u begon met een nieuw antwoord riep dit een
vraag op bij de heer Dassen.

De heer Dassen (Volt):

Dat klopt, voorzitter. Ik hoorde de Minister spreken over het belang en dat we er
stevig op moeten inzetten. Tegelijkertijd zien we dat de investeringen de afgelopen
jaren zijn achtergebleven bij de ambities ten tijde van de start van dit kabinet.
Ik begrijp ook dat we moeten wachten op het nieuwe kabinet – het NK-woord – maar hoor
de Minister ook zeggen dat het belangrijk is dat we de adviezen van bijvoorbeeld de
Cyber Security Raad opvolgen en overnemen. Ik vraag me af of er in de voorbereiding
van het nieuwe kabinet ambtelijk al wat technische voorbereidingen zijn om te kijken
hoe die dan zo snel mogelijk uitgevoerd kunnen gaan worden.

Minister Grapperhaus:

Ik bedoel dat alleen maar constructief, maar ik moet de heer Dassen toch weerspreken.
De ambities van die 95 miljoen per jaar zijn wel degelijk uitgevoerd. Ik wil uw commissie,
voorzitter, graag goed geïnformeerd op pad helpen, dus ik wil u daar best een brief
over sturen met een overzicht. Er zijn zelfs een aantal keren extra middelen ingezet,
zowel incidenteel – ik zie mevrouw Rajkowski herkennend knikken – als structureel.
Dat was ook nodig. Het is wel zo – ik denk dat de heer Dassen daar absoluut een punt
heeft – dat we als samenleving in 2017 nog op een wat ander ambitieniveau zaten, omdat
we tegen een aantal zaken ook anders aankeken. Maar we hebben sindsdien op het gebied
van regelgeving, toetsingskaders en de doorzettingsmacht, waar ik zo nog op kom, wel
degelijk dingen doorontwikkeld. Ook hebben we geïnvesteerd in alles wat met cyberweerbaarheid
en cybersecurity te maken heeft.

Dan over het nieuwe kabinet. U begrijpt dat het staatsrechtelijk niet aan mij is om
vooruit te lopen op wat daarmee zou gaan gebeuren. Dat kan niet. Het enige wat ik
u zeg, is dat dit kabinet heel duidelijk door blijft gaan met het actief uitrollen
van de Nationale Cybersecurity Agenda. Dat doen we op zodanige wijze dat een volgend
kabinet een goedlopend programma overneemt en niet het gevoel heeft dat men stilstaat.
U begrijpt dat ik hier niks kan zeggen, maar zo leggen we het natuurlijk wel neer
bij het nieuwe kabinet.

De voorzitter:

Dat roept wel een vraag op bij de heer Amhaouch.

De heer Amhaouch (CDA):

Als wij het niet over het NK mogen hebben, gaan we even terugkijken, want ik neem
aan dat er voorbereidend werk is gedaan. Het gaat mij om de algemene vraag, die ik
ook zag terugkomen bij mijn collega's. Natuurlijk willen we ambities verhogen. We
willen de middelen verhogen. Er is gesproken over technisch personeel. Maar heeft
het kabinet ook nagedacht over wat haalbaar is in het kader van opschalen? We hebben
het nu over de digitalisering. Het lijkt dan wel of cybersecurity iets extra's is
naast de analoge, reguliere veiligheidskwestie. Hoe kijkt het kabinet aan tegen het
opschalen, in prioriteit en ambitie? Wat is haalbaar? Los van alleen maar geld en
middelen: wat kunnen we aan?

Minister Grapperhaus:

Dat is een vrij breed uitwaaierende vraag. Die zouden wij als drie collega's eigenlijk
ieder voor ons eigen deel moeten beantwoorden, want daar zit bijvoorbeeld ook de vraag
bij wat de overheid in dat opzicht aankan. Daarvoor is collega Knops, de Staatssecretaris
van BZK, hier aanwezig. Ik denk dat het algemene uitgangspunt is dat u in de Nationale
Cybersecurity Agenda geformuleerd ziet wat de punten zijn waarop wij op het gebied
van cybersecurity – ik zeg het even simpel – moeten inzetten in de komende tijd. De
Cyber Security Raad heeft een advies gegeven. Ik kan er niet zoveel aan doen, maar
dat advies was echt heel duidelijk aan het nieuwe kabinet gericht. Ik denk dat grote
delen van dat advies aansluiten bij het actieprogramma waarmee we nu bezig zijn. Ik
praat nu even vanuit mijn perspectief: kunnen we dat aan vanuit het departement dat
de weerbaarheid en de cybersecurity moet borgen? Ja, ik denk dat we dat aankunnen.
Ik meen dat mevrouw Rajkowski... Ik ben even kwijt wie nou precies de vraag over de
opleiding opwierp, mevrouw Van Ginneken of mevrouw Rajkowski; misschien beiden, in
koor. Opleiding is natuurlijk wel iets waar we enorm op moeten inzetten. Daarbij is
overigens een lichtpunt dat mijn ervaring, zo blijkt ook uit onderzoek, is dat jonge
mensen die over de opleidingsvaardigheden beschikken, zeer graag aan de slag gaan
bij de rijksoverheid, in allerlei functies gelegen op het gebied van cybersecurity
en aanverwante takken van sport.

Daarnaast zullen we de komende jaren als overheid echt wel degelijk alle zeilen moeten
bijzetten op dit dossier. Want het digitale domein ontwikkelt zich. Het ontwikkelt
zich mondiaal. En zoals ik vanmorgen heb gezegd over de cybercrime: het ontwikkelt
zich niet alleen bij statelijke actoren, maar ook bij allerlei misdaadorganisaties.
Sterker nog, sinds covid is cybercrime een businessmodel voor gewone criminelen geworden.
Dus dat betekent dat we alle zeilen moeten bijzetten. En dat móéten we ook doen. Dus
een volgend kabinet zal daarop aansluitend ongetwijfeld de goede beslissingen nemen
om voort te zetten waar we nu als kabinet mee bezig zijn.

Voorzitter. Mevrouw Van Weerdenburg vroeg: is er nou voldoende doorzettingsmacht bij
het kabinet in geval van crisis? In de eerste plaats is het natuurlijk zo dat organisaties
zelf een verantwoordelijkheid hebben om systemen te beveiligen. De aanpak van het
kabinet zal er dan op gericht zijn om partijen in staat te stellen om dat te doen.
Als stelselverantwoordelijk Minister, ook voor de crisisstructuur, zal ik er altijd
zorg voor dragen dat vitale aanbieders hun verantwoordelijkheid kunnen nemen. Dan
is de samenwerking met andere departementen en toezichthouders altijd essentieel.
Want als aanbieders van essentiële diensten geadviseerd zijn maatregelen te nemen
en geconstateerd wordt dat er onvoldoende of geen opvolging aan wordt gegeven, dan
ontstaat het risico op maatschappelijke ontwrichting. In dat geval informeer ik ook
de verantwoordelijke Minister of toezichthouder van de betrokken sector, zodat iedereen
in staat is om te doen wat nodig is. Daar komen we nog over te spreken naar aanleiding
van het OVV-rapport. We hebben natuurlijk ook in de Citrixcrisis van twee jaar geleden,
januari 2020, zeg ik uit mijn hoofd, toch nog betrekkelijk tijdig kunnen optreden.

Voorzitter. Daarmee kom ik op de vraag die hier in het verlengde van ligt. CDA, PVV
en D66 vroegen: moet je nou een cyberminister of een nationaal cybercoördinator hebben?

De voorzitter:

Niet voordat u de vraag heeft beantwoord die mevrouw Van Weerdenburg voor u heeft.

Mevrouw Van Weerdenburg (PVV):

De Minister zegt dat de vitale aanbieders hun verantwoordelijkheid moeten nemen en
dat de overheid hen daarbij moet ondersteunen en helpen. In dat kader heb ik een vraag
over de Europese ontwerpverordening: de Digital Markets Act. We hebben daar eerder
over gedebatteerd met Minister Blok. Toen kwam ter sprake dat daarin een verplichting
staat tot het toestaan van sideloaden. Denk bijvoorbeeld aan iPhones en iPads. Apple
heeft daar een probleem mee, want het bedrijf kan de veiligheid dan niet meer garanderen.
Daar hebben we een discussie over gehad. Hoe ziet de Minister dan die verplichting
voor bijvoorbeeld Apple om sideloaden toe te staan? Dat zorgt namelijk voor een extra
security issue. Ik kan dat niet rijmen met wat de Minister nu zegt.

Minister Grapperhaus:

De collega van EZK komt zo dadelijk terug op dat punt van het sideloaden. Maar nu
kan ík weer niet helemaal rijmen dat het niet rijmt met wat ik gezegd heb. Dus mijn
excuses; ik begrijp het even niet.

Mevrouw Van Weerdenburg (PVV):

De Minister zegt: we moeten vitale aanbieders helpen om hun verantwoordelijkheid te
nemen. We hebben het over veiligheid en de aanbieder van iPhones. Ik geloof dat zo'n
beetje de hele rijksoverheid met een iPhone loopt. Die aanbieder zegt dus: we kunnen
de veiligheid niet garanderen als wij worden verplicht om sideloaden toe te staan
op die toestellen. Dus Nederland is voor die verplichting tot sideloading in Europa.
Maar tegelijkertijd zegt de Minister hier: nee, we moeten de vitale aanbieders ook
wel de mogelijkheid geven om dat allemaal veilig te doen. In die zin was daar in mijn
optiek een tegenstelling.

Minister Grapperhaus:

Ik begrijp dat dit onderdeel is geweest van de onderhandelingen, en dat dit opgelost
is, maar daar komt collega Blok zo dadelijk in ieder geval op terug. In het algemeen
geldt voor dit soort algemene issues inderdaad nu juist dat het NCSC daar richting
de vitale aanbieders een taak voor heeft om het probleem te signaleren. Maar goed,
collega Blok komt terug op de oplossing voor dit concrete geval.

Voorzitter. Er was een vraag over of een cyberminister zou moeten komen. Digitale
veiligheid is een essentiële randvoorwaarde voor het slagen van de digitale transitie,
dus je moet cybersecurity geborgd hebben op elk domein en in elke bestuurskamer. De
verschillende betrokken departementen zijn binnen de huidige situatie vanuit hun eigen
rol en verantwoordelijkheid daarmee aan de slag. Ik heb het de afgelopen vier jaar
als coördinerend bewindspersoon heel erg als taak gezien – zo is het ook gelopen –
om niet het werk van ze over te nemen, maar om goed te monitoren en collega's vervolgens
aan te sporen of de adviseren. In die zin wordt er dus ook al op nationaal niveau
gecoördineerd. Daar spelen NCTV en NCSC een belangrijke coördinerende rol.

Ik spreek over de afgelopen vier jaar en/of in een kader van een evaluatie van hoe
dat loopt en zou moeten lopen. Hoe het dan wordt, daar ga ik mij nu niet over uitspreken.
Ik denk wel dat we echt kunnen zien dat dat de afgelopen jaren – dat lag niet aan
deze Minister, maar dat was gewoon doordat het echt goed belegd was – goed heeft gewerkt.
Ik verwijs overigens in ieder geval naar het advies van de Cyber Security Raad, die
nu juist pleit voor een onderraad in het kabinet voor cybersecurity, en ook naar het
advies van de Wetenschappelijke Raad voor het Regeringsbeleid over artificial intelligence,
die ook pleit voor een digitale onderraad. In allebei de adviezen zegt men – althans,
zo heb ik ze gelezen; laat ik het zo zeggen – eigenlijk dat het echt van belang is
dat je die coördinatie hebt en de zaken goed bij elkaar trekt, dat je dan nog steeds
moet zorgen voor bijvoorbeeld coördinatie op cybersecurity en coördinatie op de digitale
overheid. Men zegt eigenlijk: je moet het niet naar één Minister toe trekken. Voor
wat het waard is. Ik wil dat toch in ieder geval onder uw aandacht gebracht hebben.

De voorzitter:

Dit roept vragen op. Niet in de laatste plaats bij de voorzitter zelf, maar ik begin
met mevrouw Van Weerdenburg. Die meldde zich als eerste.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Ik heb ook dat rapport van de Cyber Security Raad voor me en dat
is toch wel snoeihard. Met alle respect, maar de Minister probeert ons hier gerust
te stellen door te zeggen: we passen dan wel op de winkel, maar dat is niet erg want
we hebben het goed geregeld. Maar alleen al deze zin: «Departementen werken nog onvoldoende
samen en cruciale dreigingsinformatie wordt om diverse redenen niet gedeeld.» Zo'n
verlammende cyberaanval kan morgen of volgende week zijn en dan hebben we nog geen
nieuw kabinet. Kan de Minister daarop ingaan, dat er in hetzelfde rapport ook heel
iets anders staat?

Minister Grapperhaus:

Nee, kijk. Ik heb niet gezegd dat de Cyber Security Raad ... Enkelen van u, onder
wie meneer Dassen, hebben ook gezegd: het kabinet heeft zich de afgelopen vier jaar
ingespannen, maar er zal in ieder geval gemeten naar hoe zaken zich ontwikkeld hebben
extra inspanning moeten komen. Daar richt de Cyber Security Raad zich in zijn advies
op een aantal punten op. Dat onderschrijf ik. Ik refereerde nu aan de adviezen van
de WRR en de Cyber Security Raad over of je nu moet gaan centreren bij één Minister
of niet. Nogmaals, dat zal op enig moment denk ik aan de orde komen bij datgene waar
we het een paar keer over gehad hebben: bij de formatie van een nieuw kabinet. Ik
attendeer op wat de Cyber Security Raad daarover adviseert.

Mevrouw Kathmann (PvdA):

Ik heb een vraag over de beantwoording over een Minister voor digitale zaken en de
onderraad. Ik heb die rapporten waarin dat geadviseerd wordt ook gelezen. Ik zou graag
van de Minister willen weten hoe hij dan ziet hoe de juiste investeringen voor een
integrale aanpak naar die digitale zaken gaan. In mijn inleiding gaf ik aan dat ik
het wel magertjes vond, het bedrag dat het demissionaire kabinet ervoor heeft uitgetrokken,
gezien de urgentie en het feit dat wordt aangegeven dat het een topprioriteit is.
We weten hoe het in Den Haag werkt: wie de centen heeft, heeft de macht. Dan kan je
wel een ministerraad hebben, maar die is dan zonder centen. Dus waar beleggen we dan
dat geld? Ik zou dat graag van u willen weten, want dan kunnen we daarop ook misschien
eens een adviesje schrijven richting die formatietafel.

De voorzitter:

Ik heb de interrupties niet gemaximeerd, maar als ze kort en scherp zijn, dan kunnen
we daarmee uit de voeten. De Minister.

Minister Grapperhaus:

Voorzitter. Ook daar weer, het is niet zo dat dit kabinet... Het wordt steeds geformuleerd
als: hét demissionaire kabinet heeft zich ten doel gesteld. Nee, het is gewoon het
kabinet dat met een regeerakkoord is gaan werken van de daarin werkende partijen.
Toen dat begon, was het dus hoe dan ook een kabinet. Laat dat duidelijk zijn. Ik heb
erop gewezen dat er in ieder geval voor dít departement structureel 95 miljoen voor
cybersecurity is ingezet, hetgeen onverlet laat de investeringen die op het gebied
van cyber en cyberweerbaarheid elders zijn gereserveerd of vrijgemaakt. Nogmaals,
we komen nu in een situatie dat... Kijk, twee kabinetten geleden was de urgentie heel
anders. We zijn in de loop der tijd natuurlijk gaan zien hoe cyber ongelofelijk veel
meer in onze maatschappij is toegenomen en hoeveel meer we dus cybersecurity moeten
hebben. Ik ga dat niet onder stoelen en banken steken, maar ik denk dat, zoals de
heer Dassen dat gewoon zei, de komende jaren de ambitie flink moet worden aangezet.

De voorzitter:

Nou hield ik de leden een beetje kort, maar ik stel wel vast dat zowel mevrouw Van
Weerdenburg als mevrouw Kathmann een vraag stelde die niet is beantwoord. De eerste
vraag was of dit kabinet wel de urgentie voelt als er volgende week iets gebeurt.
En mevrouw Kathmann zei: als je nou de onderministerraad vormgeeft zonder geld, waar
ligt dan het primaat? Ik zou daar nog een vraag aan toe willen voegen. Als het een
onderraad wordt, kan de Minister dan een bespiegeling geven op hoe de informatiepositie
van de Kamer wordt vormgegeven? Ik vraag dat, want het is niet op te vragen en niet
te wobben. En dan verdwijnt het helemaal in een zwart gat.

Minister Grapperhaus:

Voorzitter, ik geloof dat de Kamerleden zelf moeten aangeven of ze vinden dat ze geen
antwoord hebben gekregen.

Uw vraag is een terecht punt. Je gaat krijgen dat er een commissie voor digitale zaken
komt. Die is er! Maar dan zijn er nog steeds heel veel onderwerpen die onderscheiden
bij departementen aan de orde komen. De Wob? Daar zou ik echt met de collega van BZK
over moeten nadenken. Daarna wil ik er best bij de Kamer op terugkomen. Ik heb dat
niet zo bedacht, maar ik denk voor het overige dat we nou juist door de komst van
deze commissie, waar ik in het begin ook iets positiefs over heb gezegd, een soort
overallcontrole hebben. Die controle kan een spiegelbeeld zijn van die onderraad.
Ik denk dat we zo met elkaar afspraken moeten gaan maken als... Nu begin ik me toch
op een ander terrein te begeven, maar ik zou me kunnen voorstellen dat een nieuw kabinet
daar met u goede afspraken over maakt.

Laat ik één ding heel duidelijk zeggen: ik ben echt blij dat we dit hebben. Ik heb
hier in het verleden namelijk ook gezeten in een zaal die net zo groot was, maar waar
wel heel wat minder mensen waren. Het is een wezenlijk onderwerp en het heeft echt,
zeg ik tegen mevrouw Kathmann en anderen, door covid nog een gigantische extra slag
gemaakt. Ransomware en dat soort dingen komen nu veel vaker voor. Dus laat ik het
hier hardop uitspreken: ik vind dat dit kabinet de tijd die hem nog gegeven is, echt
op alle punten met u moet gaan afspreken hoe we goed met elkaar in een gelijkmatige
pas met de commissie Digitale Zaken en de ministeriële onderraad, als die er zou komen,
of... Misschien komt er toch een Minister voor Digitale Zaken, want ik ben er straks
niet bij als die afspraken worden gemaakt. We moeten dat goed gelijk op laten lopen.

Ik heb voorgesteld dat ik met de collega van BZK terugkom op de Wob. Dat kan ik echt
niet zo gauw even beantwoorden. Dat weet ik niet.

De voorzitter:

U vervolgt uw betoog.

Minister Grapperhaus:

Voorzitter. Dan was ik gekomen bij het afschaffen van de zerodays. De politie koopt
geen zerodays. Mocht de politie tijdens een onderzoek op een zeroday stuiten, dan
wordt die in beginsel gemeld bij de fabrikant. Mocht een zwaarwegend opsporingsbelang
zich daartegen verzetten, dan biedt Strafvordering de mogelijkheid de melding uit
te stellen. Wel kan de politie, als er geen andere mogelijkheid is, in het opsporingsonderzoek
onder voorwaarden binnendringingssoftware aanschaffen die mogelijk gebruikmaakt van
onbekende kwetsbaarheden. Het is overigens doorgaans niet bekend of de software van
zerodays gebruikmaakt, omdat de producent dat niet vermeldt. Zoals afgesproken – ik
moet het even goed zeggen! – in het regeerakkoord van het thans demissionaire maar
toch nog wel even zittende kabinet koopt de politie alleen binnendringingssoftware
als dat in een specifiek opsporingsonderzoek noodzakelijk is. Daar waken we ook echt
voor.

De voorzitter:

Mevrouw Van Ginneken heeft daar een vraag over.

Mevrouw Van Ginneken (D66):

Laat ik eerst dankzeggen voor de mededeling dat de politie geen zerodays aanschaft.
Dat is een geruststelling. Als die via software van derden alsnog aangeschaft wordt,
dan blijft deze industrie natuurlijk wel gesupport worden. Dus de vraag is even of
de Minister wat specifieker kan zijn over wat voor indringingssoftware er dan gekocht
wordt. Misschien was de Minister verder al van plan om daarbij ook iets te zeggen
over NSO en Pegasus.

Minister Grapperhaus:

Meteen even over Pegasus. Over het gebruik van de diensten kunnen we in het openbare
debat niets zeggen. Ik weet dat mevrouw Van Ginneken daar begrip voor heeft.

Organisaties, bedrijven en burgers moeten in eerste instantie zelf de verantwoordelijkheid
nemen voor de maatregelen om de digitale veiligheid te beoordelen. Ze kunnen advies
krijgen van verschillende partijen en op de website van de NCTV is een overzicht te
vinden van partijen en instanties die daarvoor handvatten kunnen bieden. Daarnaast
heb je natuurlijk ook alle publieke informatieverstrekking om de algehele digitale
weerbaarheid te verhogen. We waarschuwen – daar komen de afkortingen – in al die publicaties,
het CSBN en het DBSA, tegen bijvoorbeeld spionagerisico's. Ik heb het ook niet bedacht,
maar – daar komt-ie – het NCSC, het Nationaal Cybersecurity Centrum, verstrekt algemene
dreigingsinformatie en informeert de rijksoverheidspartijen en de vitale aanbieders
individueel over specifieke gevallen.

In de beantwoording van Kamervragen van de heer Jasper van Dijk van de SP van 13 september
jongstleden hebben mijn ambtsgenoten van BZ en BZK gemeld dat de onlineveiligheid
van mensenrechtenverdedigers en journalisten een prioriteit is van Nederland. Ik kan
daar op dit moment niet meer over zeggen dan wat ik daarover heb gezegd.

De voorzitter:

Dan vervolgt u uw betoog.

Minister Grapperhaus:

Voorzitter. De heer Dassen vroeg of er een schatting te maken is van de maatschappelijke
en economische schade van cybercrime. De Veiligheidsmonitor geeft aan dat 13% van
de Nederlanders slachtoffer is geworden van cybercrime of onlinefraudevormen. 5,5%
van de Nederlanders is slachtoffer geworden van een vorm van hacken. Ik ben zonder
meer bereid om te zorgen dat die gegevens of in ieder geval de vindplaatsen even per
omgaande nog een keer bij uw Kamer komen, want anders moet iedereen driftig meeschrijven.
Dat zijn dus de Veiligheidsmonitor van 2019 en die van 2020.

Het aantal meldingen en aangiften is veel lager. Bij de politie zijn in 2020 10.770
cybercrimemisdrijven geregistreerd. Dat is ruim een verdubbeling ten opzichte van
het jaar daarvoor. Het aantal opsporingsonderzoeken naar cybercrime neemt toe. Het
aantal reguliere onderzoeken groeide van 381 in ’19 naar 468 in ’20. Het aantal grote
fenomeenonderzoeken groeide van 21 naar 39. Het is niet mogelijk om een betrouwbaar
cijfer te geven voor het schadebedrag. Ik weet dat sommige cybersecuritybedrijven
wel schattingen publiceren, maar daar kunnen wij niet iets van bevestigen. We werken
op dit moment aan een verbetering van het inzicht door uitbreiding van de Veiligheidsmonitor
op het gebied van cybercrime en onlinefraude.

De voorzitter:

De heer Dassen heeft daarover een vraag.

De heer Dassen (Volt):

Dank, Minister. U noemde helemaal in het begin de bewustwordingscampagne van twee
jaar geleden. U geeft net 13% aan en ik vind dat een vrij hoog aantal. Is er effect
te zien van die bewustwordingscampagne? Gaat dat cijfer omlaag of is dat verbeterd?
De Minister gaf ook aan dat het goed zou zijn als daar weer een bewustzijnscampagne
op volgt. Kan de Minister toezeggen dat daarmee aan de slag wordt gegaan?

Minister Grapperhaus:

Ik noemde dat even, omdat het mijn eer te na was om te zeggen... We hebben natuurlijk
twee jaar geleden die analogie met deursloten en zo gemaakt. We werken continu aan
campagnes. Ik heb een maand of twee geleden nog met het mkb op een filmpje gestaan,
waarin we een nieuwe campagne voor het mkb op dat punt hebben geïnitieerd. We doen
dat gericht op ouderen, maar ook inderdaad gewoon op de beveiliging van de burger.
Ik zal ook in dat opzicht... Ik zeg heel veel informatie toe, maar ik wil uw commissie
graag gewoon helpen. Ik zeg toe, voorzitter, dat ik naar aanleiding van de heer Dassen
in de komende paar weken even een overzicht zal geven van alle campagnes van de laatste
drie, vier jaar. Dan kan hij ook echt zien dat de bewustwording op zichzelf toeneemt,
maar dat dit nog altijd een kwestie is die we écht bij de burger en de bedrijven goed
tussen de oren moeten zien te krijgen. Ik voer ook groepsgesprekken met mkb-bedrijven,
met bedrijven die al wel slachtoffer zijn geworden en bedrijven die nog geen slachtoffer
zijn geworden. We praten over hun ervaringen, over wat die betekenen en op welke manier
de bewustwording volgens hen verder gebracht kan worden. Het klinkt heel erg somber,
maar we zijn allemaal nog steeds heel zonnig over de veiligheid van onze apparaten.

De voorzitter:

De Minister vervolgt zijn betoog. O, er is nog een vraag. Ik kan alle leden nog niet
zo goed lezen om te zien of ze een vraag willen stellen. Ik dacht dat het knikje betekende
dat het voldoende was, maar het knikje betekende: ik wil nog wat vragen. Meneer Dassen,
kort alstublieft.

De heer Dassen (Volt):

Ik houd het kort. Ik vroeg me af hoe de cijfers in andere landen zijn en wat daar
gebeurt. Wil de Minister dat misschien meenemen? Misschien komt hij daar dadelijk
nog op terug, maar kan hij daarbij ook kijken naar het Cyber Security Information
Sharing Partnership in het Verenigd Koninkrijk? Daar worden dit soort dreigingen realtime
met elkaar gedeeld. Heeft dat effect op de cijfers?

Minister Grapperhaus:

Ik wil daar twee dingen over zeggen. Het zal iets langer duren, maar ik zal ook een
vergelijking maken met een aantal landen. Nu ga ik wel heel veel beloven, dus mijn
ambtenaren zullen mij vervloeken. Ik denk dat dat een goed punt is. We moeten ons
realiseren dat het vijftien jaar gekost heeft om de bob-campagne – dat is een geheel
ander onderwerp, maar dat is voor een deel ook mijn verantwoordelijkheid – bij mensen
in te laten wortelen. MONO zal de meesten van u niks zeggen, maar dat is een later
gestarte campagne om niet tegelijk te appen en achter het stuur te zitten. Die loopt
nu iets minder dan vier jaar en je merkt dat die nog veel minder bereik heeft. Ik
vrees dat dit soort campagnes heel veel tijd kosten. De Citrixaanval van twee jaar
geleden gaf een soort shockeffect, waardoor de bewustwording weer even heel erg toenam.
Het is terecht dat de heer Dassen dat kritisch volgt. Dat moet hij blijven doen, maar
we zullen ons met z'n allen moeten realiseren dat de overgang naar een fase waarin
iedereen cyberveilig in het leven staat, echt wat tijd in beslag zal nemen. De boeven
worden natuurlijk steeds beter. Voorzitter, u ik kregen drie of vier geleden nog phishingmails
waar we hartelijk om moesten lachen vanwege de vele taalfouten, maar nu zijn ze bijna
niet meer van echt te onderscheiden.

De voorzitter:

Ik stel voor dat de Minister zijn beantwoording vervolgt.

Minister Grapperhaus:

De collega van EZK zal hier overigens verder op ingaan. Ik ging, geloof ik, al iets
te ver in de beantwoording.

Dan kom ik op de ransomwarenorm voor losgeldbetalingen. Laat ik beginnen met te zeggen
dat slachtoffer worden van ransomware heel veel impact kan hebben. De schade kan enorm
oplopen. Ik begrijp dat dat slachtoffers in een heel lastig dilemma plaatst. Het advies
blijft om geen losgeld te betalen, want het probleem is na de betaling van het losgeld
niet zonder meer voorbij. Het biedt geen garantie dat de criminelen a de systemen
weer volledig toegankelijk maken en b niet toch nog verborgen aanwezig blijven. Ook
als er wel losgeld is betaald, is het in veel gevallen nodig om de infrastructuur
weer helemaal op te bouwen. Ook dat kost heel veel geld. Uit onderzoek blijkt dat
het uitbetaalde losgeld voor een deel gewoon weer geïnvesteerd wordt door criminelen
in het verder verfijnen van hun systemen. Ik heb niet gezegd dat ik dit per se wil.
Ik heb hier juist advies over gevraagd, want ik heb gehoord dat sommige verzekeringsmaatschappijen
en anderen zeggen: doe dat maar wel, want dat kost minder. Ik hoop dat het voortschrijdend
inzicht waarom is gevraagd, wederzijds is, aan de kant van uw Kamer en aan de kant
van de verzekeraars. We moeten even doordenken. Als we dat ransomwaregedoe zo veel
mogelijk willen temmen, dan is het allerbelangrijkste dat iedereen zijn systemen met
optimale digitale dijkbewaking zo veilig mogelijk houdt. Dat is het eerste.

Het tweede is dat iedereen zo veel mogelijk moet melden wat er gebeurt. Daarmee kan
ik meteen de vraag van mevrouw Rajkowski beantwoorden. Dan heb ik die meteen gehad.
Dat geldt al voor de vitale sectoren. We kijken nu naar uitbreiding van die groep.
Dan kunnen we met uw Kamer, met uw commissie discussiëren over hoever we vinden dat
dit moet gaan. Nogmaals, de discussie is nog niet beslecht, maar ik geef ook wat voedsel
voor het denken; excuus voor het anglicisme. Je moet ook even de andere kant op redeneren,
want we moeten hiervan afkomen. Dat doen we uiteindelijk misschien toch alleen maar
door de kiezen op elkaar te zetten. Als je je digitale dijkbewaking op orde hebt,
zou je veel minder schade moeten hebben van ransomware, als je al schade hebt. Ik
deel wat de heer Amhaouch en mevrouw Leijten zeggen: het is niet zwart-wit. We moeten
echt alle nuances heel goed met elkaar gaan bekijken. We hebben gewoon te maken met
geavanceerde, internationaal georganiseerde cybercriminele groeperingen. Houd er dus
rekening mee dat die niet door één keer betalen voorgoed van het bord zijn.

Voorzitter. Mevrouw Rajkowski had een vraag over het delen van informatie over ransomwaredreigingen
en -besmettingen. Het NCSC heeft primair de taak om vitale aanbieders en de rijksoverheid
proactief te informeren over digitale dreigingen. Men deelt ook informatie over de
relevante dreigingen en incidenten via de aangewezen schakelorganisaties, u welbekend,
in het landelijk dekkend stelsel. Men werkt ook samen met vitale en niet-vitale organisaties
die kunnen bijdragen aan het versterken van het actuele beeld, onder andere door kennis
hierover met elkaar uit te wisselen. Verder zal mijn collega kunnen ingaan op de rol
die het Digital Trust Center daarbij speelt.

De voorzitter:

Ik geef mevrouw Rajkowski het woord voor een vraag.

Mevrouw Rajkowski (VVD):

Toch nog even over dat losgeld, want het zal je maar gebeuren dat je je hele leven
hebt gewerkt aan het opbouwen van een mooi bedrijf, dat jouw bedrijf wordt gegijzeld
en de enige uitweg die je misschien zelf ziet het betalen van losgeld is. Ik ben het
eens met de Minister dat losgeld betalen nooit een goed idee is. Alleen, wanneer we
tegen een ondernemer in deze situatie zeggen «maar u mag het ook niet betalen», dan
gaan we wel een situatie creëren waarin een ondernemer eigenlijk geen kant meer op
kan. Ik zou eigenlijk veel liever zien dat de samenwerking om te voorkomen dat er
überhaupt losgeld betaald moet worden, aan de voorkant wordt ingestoken. Als verzekeraars
ook zo graag willen dat hun bedrijven niet gegijzeld worden, dan kunnen zij ook eisen
stellen aan het bedrijf waarmee zij samenwerken. Deze verantwoordelijkheid ligt dus
ook echt op meerdere terreinen, maar laten we ondernemers die zo in de knel zitten
alsjeblieft geen rijksoverheid laten zien die tegenwerkt.

Minister Grapperhaus:

Ik heb heel veel waardering voor een groot aantal punten die mevrouw Rajkowski aan
de orde stelt, maar ik vrees toch dat we de discussie dan nu al aan de voorkant, in
de vijfde minuut, willen beslechten, dat we van het veld lopen en zeggen: oké, we
doen het niet. Dat moeten we niet doen. Je kunt erover nadenken dat je je er wel voor
mag verzekeren dat je geen losgeld betaalt. Dat is een interessante gedachte. Als
je je digitale dijkbewaking zo goed op orde brengt, dan zou in beginsel de premie
voor het niet hoeven betalen van losgeld maar het weer op orde brengen van je systemen
weleens lager kunnen uitpakken. Maar dat gaat het niet worden als we al in de beginminuten
van de wedstrijd zeggen: we moeten beslist geen verbod doen. Ik heb heel veel sympathie
voor ondernemers. Dat weet mevrouw Rajkowski. Ik ben er zelf gedurende 27 jaar ook
een geweest. Ik weet hoe lastig het is om op enig moment geconfronteerd te worden
met niet voorziene, en soms ook wel voorziene, al of niet verzekerde schades. Maar
we moeten onszelf echt realiseren dat er een dreiging in onze maatschappij aan het
komen is die we vijf jaar geleden onszelf nog niet hadden kunnen voorstellen. Ik roep
het bij u in herinnering. In 2017 hadden we twee ziekenhuizen in Groot-Brittannië
die platgingen. We hadden de terminal in Rotterdam. Ik noem er maar even een paar.
Je moet er niet aan denken dat we dat soort dingen in de toekomst nog meer krijgen.
We moeten dus hoe dan ook de digitale dijkbewaking op orde krijgen. Ik wil jegens
mevrouw Rajkowski heel duidelijk stipuleren dat het mij niet per se om het ene of
het andere gaat. Ik vind dat we moeten kiezen voor een oplossing die de cybersecurity
maximaal maakt en daarmee ondernemers uiteindelijk ook beschermt. Laten we dat debat
hier de komende tijd voeren. Ik heb er ook een onderzoek over gevraagd, want ik heb
daarover niet de wijsheid in pacht.

De voorzitter:

Mevrouw Van Ginneken had zich ook gemeld. Is dat nog steeds nodig?

Mevrouw Van Ginneken (D66):

Ja, voorzitter. U zag terecht enige aarzeling, maar ik stel mijn vraag dan toch maar.
Ik wil me aansluiten bij het pleidooi van mevrouw Rajkowski. Als bedrijven en kennisinstellingen
helemaal in de hoek geduwd worden door een ransomwareaanval, zou het wel heel zuur
zijn als zij door een verbod geen losgeld mogen betalen. Ik ben het helemaal met de
Minister eens dat het advies moet zijn om dat vooral niet te doen, maar ik hoor de
Minister ook zeggen: als de digitale dijkbewaking op orde is komen er strengere eisen.
Mijn vraag aan de Minister, die volgens mij stelselverantwoordelijke is, is dan: hoe
ver zijn we daarvan verwijderd? Wanneer is het moment daar dat we als samenleving
zeggen: we hebben de dijkbewaking op orde en we mogen nu ook strengere eisen gaan
stellen aan bedrijven en kennisinstellingen?

Minister Grapperhaus:

De Wetenschappelijke Raad voor het Regeringsbeleid heeft, zoals wellicht bekend, in
zijn grote advies van de zomer van 2019 gezegd dat het niet de vraag is óf er een
keer een grote digitale cybersecurityramp gaat gebeuren. De vraag is alleen maar wanneer.
Ik moet toegeven dat ik weliswaar geprobeerd heb om dat rapport met megafoons en andere
middelen onder de aandacht te brengen, maar het werd pas echt actueel toen we de problematiek
met Citrix hadden. U ziet dat het weer terugkeert. Ik denk dat door alle instanties,
met name door het NCSC – straks komt een collega nog te spreken over het DTC en andere
instanties – echt keihard wordt gewerkt om die risico's zo goed mogelijk te mitigeren.

Maar we zullen dat ook van de kant van burgers en bedrijven zelf moeten zien, want
uiteindelijk is het opzetten van een botnet nog steeds betrekkelijk eenvoudig mogelijk.
Daarbij vertrouw ik er even op dat eenieder weet wat dat voor fenomeen is. Dat zijn
dreigingen waar we vanuit het NCSC en de NCTV natuurlijk enorm op inzetten. Maar we
moeten ons wel realiseren dat het altijd een kwestie is – dat zeggen in ieder geval
allerlei deskundigen tegen ons – die je waarschijnlijk nooit naar nul kan brengen.
Daarom heb ik het steeds over continue digitale dijkbewaking. Je moet je systemen
dus voortdurend op die dingen blijven testen. Nogmaals, met betrekking tot de discussie
over losgeld en ramsomware roep ik uw Kamer alleen maar op om kritisch met elkaar
te kijken hoe we dat nou gaan oplossen de komende tijd. Ik weet zeker dat we dat ook
heel goed en kritisch gaan doen.

Voorzitter. De Autoriteit ...

De voorzitter:

De heer Amhaouch heeft ook nog een vraag. Is die nog nodig, meneer Amhaouch?

De heer Amhaouch (CDA):

Ja, voorzitter. Ik zal het kort houden. Goed dat de Minister het speelveld openhoudt,
om in NK-termen te spreken, en dat hij de losgeldbetaling niet direct van tafel veegt,
maar wel dat onderzoek wil instellen. Ik denk dat dat heel goed is. Ik heb daarbij
twee vragen. Komt het onderzoek dan ook met concrete alternatieven? Als het ene niet
werkt, wat zijn dan de opties die wel zouden kunnen? Praten we dan niet alleen óver
de ondernemers – zeg ik in de richting van de Minister van Economische Zaken – maar
ook met de ondernemers, zodat de alternatieven ook uitvoerbaar zijn en gedragen worden?
Volgens mij is deze opgave namelijk zo groot dat we die samen moeten aanpakken.

Minister Grapperhaus:

Ik ga ervan uit dat de collega van EZK daar nog op in zal gaan. Vanuit JenV, weer
een andere afkorting, is het natuurlijk heel logisch dat je iedereen bij een consultatie
betrekt.

Voorzitter. Over de Autoriteit Persoonsgegevens is door u als lid, mevrouw Leijten,
gevraagd hoe het nou zit met meer investeringen en dergelijke. Ik wil wel voor de
Handelingen even heel duidelijk hebben dat de appreciatie van de amendementen gedaan
is door mijn collega, de Minister voor Rechtsbescherming. Dat betekent niet dat ik
er niet voor sta, maar ik wil er zeker van zijn dat we daar geen misverstand over
hebben.

De AP ontvangt vanaf volgend jaar structureel 6 miljoen euro extra per jaar. Er is
een onafhankelijk onderzoek van KPMG waarin verschillende toekomstscenario's voor
de AP worden besproken. Daarbij zitten er allerlei variëteiten in dat budget. Daarvan
vind ik echt – daar ga ik toch weer de letters N en K gebruiken – dat het voor een
nieuw kabinet is om daar de komende tijd over te beslissen. Maar in mijn demissionaire
begroting is die 6 miljoen in ieder geval structureel opgenomen. Als de Kamer zou
zeggen dat dat amendement moet worden aangenomen en dat dat nog veel meer moet zijn,
dan moeten we een streep door andere dingen zetten. Overigens wil ik het belang van
de toetsing door de AP hier wel benadrukken. Anders klinkt dat alsof ... Maar ik geloof
dat daar geen twijfel over bestaat.

Dan nog heel kort. Mevrouw Van Ginneken roerde even iets aan over online content en
schadelijke online content. Het is misschien goed om te zeggen dat hoewel de relatie
tussen enerzijds de internetprovider, het platform of de host en anderzijds de gebruiker
civielrechtelijk is, de overheid en mijn ministerie in het bijzonder wel een aanvullende
rol ziet weggelegd in het tegengaan van illegale content. Die gaat het verst bij evident
strafbare content. Dan moet u denken aan terroristische online inhoud. Daar is ook
een richtlijn over in Europees verband. Dat is ook schadelijke content. Dat geldt
ook voor seksueel kindermisbruik. Dat heb ik zelf nog heftig aangezwengeld in Europees
verband. We werken inmiddels met een meerderheid van uw Kamer achter ons toe naar
een separate autoriteit voor die twee vormen. Ten slotte wil ik nog melden dat we
op grond van de motie van het Kamerlid Michon van de VVD, door mij zeer ondersteund,
ook een wetsvoorstel hebben voorbereid over doxing. Je zou kunnen zeggen dat dat een
vorm is van vrijheid van meningsuiting, maar ik zie dat heel anders. Ik vind – daar
ben ik heel simpel over, dat is een makkelijk regeltje – dat wat je offline niet mag,
ook online niet mag. We moeten dat echt de komende jaren – misschien is dat ook een
campagne van vijftien jaar – goed in de maatschappij verankeren.

Dan kom ik op de samenwerking tussen het DTC en het NCSC. Daar gaat de collega het
nodige over zeggen. Die werken in elke geval goed en nauw samen aan het gezamenlijke
doel: het verhogen van de digitale weerbaarheid. Ze hebben onderscheiden doelgroepen:
het NCSC de vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid
en het DTC het niet-vitale Nederlandse bedrijfsleven. Ik denk dat het goed is dat
je die twee wel naast elkaar hebt staan, omdat ze allebei een heel verschillend statuut
hebben. In ieder geval is het DTC om onderling informatie uit te kunnen wisselen onlangs
als een OKTT aangewezen. Ook heeft de Staatssecretaris van EZK het wetvoorstel Bevordering
digitale weerbaarheid, om de juridische basis van het DTC te verstevigen – ik denk
dat collega Blok daar iets over kan zeggen – in procedure gebracht. Ikzelf heb een
voorstel tot wijziging van de Wbni in procedure gebracht. De Wbni was in de volksmond
de cybersecuritywet, voor degenen die denken: deze afkorting is ook weer nieuw.

Ik denk dat ik genoeg heb gezegd – ik kijk even naar de heer Amhaouch – over de verplichte
verzekeringen en dergelijke op het gebied van cyber.

Dan kom ik op ISIDOOR, een treffende benaming voor een cybersecurityoefening. Kan
er structureel geoefend worden? Ja, zeg ik via de voorzitter tegen mevrouw Rajkowski,
dat gebeurt dus inmiddels en we zeggen dat we dat vaker moeten gaan doen. Het was
ongelukkig dat door covid de oorspronkelijke editie van ISIDOOR voor 2020 is verdaagd,
maar die is in ieder geval dit jaar doorgegaan. Het is een heel complexe oefening,
waarvoor meerjarig veel capaciteit en voorbereidingstijd nodig is. Daarbij is juist
het opwerktraject zeer belangrijk om de samenwerking te verbeteren en de leercyclus
na een oefening. Je moet voor ISIDOOR dus een hele cyclus inzetten.

Mevrouw Van Ginneken vroeg of we daar meer bedrijven, private bedrijven, bij kunnen
betrekken en of we jaarlijks kunnen oefenen. Een groot deel van de deelnemers van
de afgelopen ISIDOOR was al afkomstig uit de private sector. Het is een brede cross-sectorale
oefening. Ik wil een volgend editie niet nu al toespitsen op enkele actoren. We moeten
gewoon kijken naar een goede balans tussen publiek en privaat. In een volgend kabinet
moet echt worden gekeken wanneer precies de volgende editie is. Ik heb al wat gezegd
over de voorbereiding. Een jaarlijkse cyclus zou voor ISIDOOR te kort zijn, maar een
tweejaarlijkse cyclus zou misschien wel goed zijn en ik denk dat die zo snel mogelijk
moet worden opgestart.

Voorzitter. Dan hadden we het punt van de opleiding. Ik zei er al iets over in het
begin. We hebben de afgelopen twee jaar via diverse impulsen de cybersecuritykennisontwikkeling
in Nederland versterkt en dat blijven we doen, ook door in het kader van het tweede
spoor van de Nationale Wetenschapsagenda door verschillende departementen gezamenlijk
circa 10 miljoen vrij te laten maken voor cybersecurityonderzoek. Eerder heeft ook
de Cyber Security Raad geadviseerd om meer aandacht te geven aan digitale geletterdheid
in het onderwijs. Zoals ook al is aangegeven in de voortgangsrapportage van de NCSA
van dit jaar, zal daar bij de herziening van het curriculum voor het basisonderwijs
en dat voor de onderbouw van het voortgezet onderwijs aandacht naar uitgaan. Ik zie
het hier niet in de tekst staan, maar vanmorgen heb een minuutje of tien van gedachten
gewisseld over het digitale rijbewijs op de basisscholen. Zo zie je maar.

Voorzitter, dan nog Schiphol. De heer Amhaouch en ook anderen hadden daar kritische
vragen over. Recentelijk, in de brief van 19 november, is uw Kamer vertrouwelijk geïnformeerd
over de achtergrond en de uitdagingen van de vertraagde voortgang van de implementatie
van de aanbevelingen van de Algemene Rekenkamer. De belangrijkste conclusie is in
ieder geval dat het kabinet ervoor kiest om in te zetten op de voorziene eigenaarsconstructie.
De overdracht wordt op dit moment nog nader uitgewerkt. Er moet echt zorg voor worden
gedragen dat de cybersecurity effectief gewaarborgd wordt. Ik wil namens mijn collega,
Staatssecretaris Broekers-Knol, benadrukken dat JenV en de betrokken stakeholders
heel gecommitteerd zijn en blijven aan het zo spoedig mogelijk implementeren van de
aanbevelingen. Uw Kamer zal medio 2022 uitvoerig nader bericht krijgen over de voortgang
van de implementatie. Daarbij zal ook worden ingegaan op de vraag die u, voorzitter,
als lid had over de zogenaamde stippenrapportage.

Tot zover.

De voorzitter:

«Medio 2022» is wel heel erg medio. Kunt u iets meer aangeven?

Minister Grapperhaus:

Voor het zomerreces.

De voorzitter:

Voor het zomerreces.

Minister Grapperhaus:

Uiterlijk juno 2022.

Voorzitter. Dan kom ik op deepfake. Mevrouw Rajkowski vroeg: is onze wetgeving klaar
als het gaat om desinformatie, deepfake en dergelijke? Vorig jaar heeft het Rathenau
Instituut in opdracht van BZK een onderzoek gedaan naar digitale dreigingen voor de
democratie. Deepfakes kwamen uit het onderzoek naar voren als een van de grootste
uitdagingen. Het kabinet is in ieder geval voorstander van meer transparantie over
het gebruik. Dat wordt ook verplicht in de conceptverordening over artificial intelligence
die nu voorligt in Brussel. Dit is typisch een voorbeeld dat je echt in Europees verband
moet zien te organiseren. Strafbare content met deepfakes, zoals strafbare pornografie,
is strafbaar. Nog even los van dat het deepfake is: het is gewoon strafbare content.
Ik hoop eerlijk gezegd dat we met het wetsvoorstel over doxing ook weer wat stappen
kunnen zetten op dat punt. De universiteit Tilburg verricht in opdracht van het WODC
op dit moment onderzoek naar de volledigheid van het juridische kader omtrent deepfakes.
We kijken daarbij naar het strafrecht en het gegevensbeschermingsrecht.

De voorzitter:

Mevrouw Rajkowski, kort.

Mevrouw Rajkowski (VVD):

Ik mis het auteursrecht, maar daar kom ik later nog wel op terug. Het jammere aan
de Europese AI-verordening is dat de technologie voor deepfakes niet als een hoogrisicotechnologie
wordt aangemerkt. Daar zit wat mij betreft een hiaat.

Minister Grapperhaus:

Ik vind dat een goed punt. Mag ik daar in de tweede termijn op terugkomen? Mevrouw
Rajkowski heeft zo'n goed punt dat ik daar niet direct een antwoord op heb.

De voorzitter:

Het was niet eens een vraag, maar het is een goed punt. In de tweede termijn komt
u daarop terug. U vervolgt uw betoog.

Minister Grapperhaus:

Voorzitter. Wanneer komt het rapport over Citrix? Kan dat sneller? Ik keek zelf ook
uit naar die OVV-publicatie, maar u begrijpt dat ik niet over de planning van de OVV
ga. Zodra ik ook maar even op de telefoon naar het voorkeursnummer van de OVV wijs,
denk ik dat dat tot veel onrust leidt, want zij moeten dat in alle onafhankelijkheid
kunnen doen. Ik heb er vertrouwen in dat dat snel zal gaan. U weet dat ik destijds
hoe dan ook de opdracht heb gegeven tot een evaluatie door het COT – weer een afkorting.
Die is in maart 2020 naar de Kamer gestuurd. Toen hebben we ook een aantal verbeteringen
in het stelsel doorgevoerd. Deze discussie horend zal de OVV zich realiseren dat uw
Kamer zeer geïnteresseerd is in een spoedige lezing van het rapport

Dan kom ik op het punt dat mevrouw Kathmann aanroerde over encryptie. Voor de toegang
tot versleutelde informatie bestaan alternatieven, bijvoorbeeld binnendringen in een
geautomatiseerd werk, hacken, of de opname van vertrouwelijke communicatie. Dat zijn
bevoegdheden die veel capaciteit, expertise en tijd vragen. Ze hebben ook hun eigen
beperkingen en er gelden soms strikte voorwaarden. Je kunt eraan twijfelen of die
bevoegdheden een volwaardig alternatief zijn. Er lopen op dit moment verschillende
trajecten, zoals het WODC-onderzoek naar de impact van encryptie op de opsporing en
de inventarisatie door de Europese Unie naar de mogelijkheden voor toegang tot versleuteld
bewijs. U heeft gezien dat in dezelfde tijd waarin deze discussie in Nederland niet
verder kwam, vanuit de Europese Commissie is gezegd: we willen toch onderzoeken of
er een vorm van zeer beperkte begrensde ontsleuteling mogelijk is, na toestemming
van een onafhankelijke instantie als een rechter. Hoewel ik daar, zoals iedereen weet,
best ideeën over heb, heb ik vanaf dat moment gezegd: ik wacht dat even af.

Mevrouw Van Ginneken (D66):

Ik voel de behoefte om te reageren op het punt van de encryptie. Ik hoor bij de Minister
toch een soort opening om misschien wel achterdeuren – ik formuleer het maar even
simpel – in encryptie te gaan creëren. Ik wil nogmaals benadrukken dat er wat mij
betreft geen veilige achterdeuren zijn. Die worden namelijk ook gebruikt door partijen
voor wie ze niet bedoeld zijn. Door dit soort achterdeuren te creëren, bedreigt u
volgens mij onze kenniseconomie en de veiligheid van journalisten en activisten. Ik
vraag me af wat de Minister vindt van het Duits regeerakkoord. Daarin heeft de Duitse
regering gezegd dat encryptie een recht is.

Minister Grapperhaus:

Dat heeft het huidige, demissionaire kabinet, toen het nog gewoon het kabinet was
zonder dat voorvoegsel, ook gezegd naar aanleiding van een verklaring van het kabinet-Rutte
II van volgens mij december 2016. Maar het gaat niet om het recht op encryptie. De
vraag is – en daar zit het moeilijke discussiepunt – of je in die situaties waarin
er sprake is van zware criminaliteit, om het maar even simpel te omschrijven, met
een rechterlijke toetsing vooraf enigerlei zeer beperkte, tijdelijke vormen van encryptie
zou moeten hebben. Dat is de vraag. Ik ken de stellige bezwaren van tegenstanders
daarvan. Dat is in ieder geval voor mij mede aanleiding geweest om, toen de Europese
Commissie aangaf «wij willen hier zelf verder naar kijken», te zeggen: laten we dat
eerst maar eens afwachten. Dat is hoe deze Minister er op dit moment tegenaan kijkt.

Daarbij signaleer ik heel eerlijk gezegd wel het volgende. Ik heb dat vanmorgen gezegd
en zeg het vanmiddag weer. Ik ben net als mevrouw Van Ginneken enorm voor de privacy
van de gewone burger. Die moet gewoon niet op enigerlei wijze door de overheid bekeken
worden. Sterker nog, er moeten altijd enorme waarborgen zijn om verschrikkelijke ongelukken
voorkomen, die we de afgelopen jaren hebben zien gebeuren. Maar ik zet daar wel tegenover
dat privacy niet het schild mag worden voor criminelen. Dat is zo langzamerhand wel
iets wat heel erg begint te knarsen. Daar heb ik op dit moment de oplossing niet voor.
Daarom zeg ik ook hiervan: laten we daar met uw commissie en het kabinet – zo noem
ik het maar even, want het kabinet is ook een voortgaand fenomeen – het gesprek over
blijven voeren. Ik wil niet dat we over een jaar tegen elkaar moeten zeggen: nu hebben
we de zware criminaliteit heel erg laten gaan.

Nog één ding, voorzitter, dan ga ik door naar het volgende. Ik moedig vaak de leden
van de andere commissie – maar ik wil het ook bij deze commissie doen – aan tot werkbezoeken.
Nou is het NCMEC, het National Center for Missing & Exploited Children in Washington
DC, misschien iets te ambitieus. Maar ik zou toch altijd nog heel graag een bezoek
willen aanraden aan een van de afdelingen van de politie die zich gericht bezighouden
met het bestrijden van kindermisbruik en kinderporno via het internet. Dat heeft mij
enorm veel inzichten gegeven in hoe heel dringend en indringend die problematiek is.
Daarmee zeg ik niet: we moeten alles opzijzetten. Maar dan begrijpt u als commissie
ook wat meer van de dilemma's die in elk geval deze Minister de afgelopen jaren bezig
hebben gehouden.

Dat was genoeg daarover. Over de meldplicht voor bedrijven die slachtoffer zijn van
cybercrime heb ik volgens mij via mevrouw Rajkowski al iets gezegd. Dat speelt nu
al bij die vitale aanbieders. We zijn dus bezig om te bekijken of we die groep kunnen
uitbreiden. Ik denk dat we daar moeten bekijken of je die meldplicht verder zou moeten
uitbreiden. Hoe dat zou moeten lopen, lijkt me een goed punt van discussie tussen
uw Kamer en het kabinet.

Dan is er de Joint Cyber Unit, waar de heer Dassen naar vroeg. Bij deze EU-samenwerking
is een belangrijk uitgangspunt van het kabinet dat die JCU gebaseerd zal zijn op vrijwillige
bijdrage van de lidstaten, mede met het oog op de exclusieve bevoegdheid van lidstaten
voor de nationale veiligheid: artikel 4, lid 2 van het verdrag. Daarnaast is het kabinet
van mening dat samenwerking en informatie-uitwisseling het meest effectief is als
er sprake is van onderling vertrouwen. Dat kun je moeilijk afdwingen door verplichte
deelname aan de JCU. Voorzitter, ik zeg via u tegen de heer Dassen: ik heb dat inmiddels
in de praktijk ook gezien bij het Europees Openbaar Ministerie – waar Nederland trouwens
aanvankelijk niet aan meedeed, maar nu gelukkig wel – waarbij ik zie dat dat toch
een veel beter, groter draagvlak veroorzaakt.

Voorzitter. Ik heb nog een paar dingetjes. Over de Duitse strategie heb ik volgens
mij al het een en ander gezegd. Ik vind overigens dat wat het nieuwe Duitse kabinet
zegt, zeker aanknopingspunten bevat ter inspiratie voor de komende jaren. Laat ik
dat maar even hardop gezegd hebben.

De rol die Clearing House wil spelen, past binnen de ambitie die het kabinet heeft
om te komen tot een landelijk dekkend stelsel van cybersecurity in samenwerkingsverband.
We zijn ook in gesprek met de initiatiefnemers om te bekijken op welke wijze dit kan
worden opgenomen in het landelijk dekkende stelsel.

Voorzitter. Ik kom op het wetsvoorstel, de AP en het kunnen delen van IP-adressen
met het NCSC en het DTC. We gaan krachtens de Wbni die privacy-informatie verstrekken,
als dat mag, aan schakelorganisaties. Nu kan dat niet. Daarom hebben we dat wijzigingsvoorstel
in procedure gebracht. We moeten bekijken hoe we het advies van de AP over dat wetsvoorstel
daarin goed kunnen verwerken. Daar zit urgentie op, dus ik hoop dat we daar spoedig
voortgang op kunnen boeken.

Voorzitter. Ik denk dat alles zo gezegd is. Ik sluit af met de mededeling dat ik het
zeer waardeer dat we voortaan op deze wijze met een nieuwe commissie hierover – ik
zou bijna willen zeggen «gecoördineerd» – van gedachten kunnen wisselen.

De voorzitter:

Ik geef het woord aan de Minister van Economische Zaken en Klimaat. Ik zou graag willen
dat u schematisch iets aangeeft van wat u gaat behandelen. Als er dan vragen tussendoor
zijn, kan ik inschatten of die meteen gesteld kunnen worden of daarna, in het kader
van de voortgang van het debat.

Minister Blok:

Dank u wel, voorzitter. De indeling zal heel simpel op basis van sprekersvolgorde
zijn, maar ik zal eerst een aantal algemene opmerkingen maken over de rol van het
Ministerie van Economische Zaken en Klimaat en daarbinnen het DTC, het Digital Trust
Centre, dat specifiek bedrijven ondersteunt bij cyberveiligheid. Dat brengt mij meteen
op een vraag die een aantal Kamerleden stelden: hoe zorg je ervoor dat wat de overheid
doet overzichtelijk blijft voor ondernemers, voor het publiek? Dit is eigenlijk een
klassieke vraag, zeker in het veiligheidsdomein waar cybersecurity een steeds groter
en belangrijker onderdeel van wordt. Het is onvermijdelijk dat je een aantal heel
generieke onderwerpen hebt. Alles wat maar in de buurt komt van strafbaarheid en criminaliteit,
ligt natuurlijk eerst op het terrein van de collega van Justitie en Veiligheid. Maar
het is onvermijdelijk dat je dat verder vertaalt naar het bedrijfsleven – dan kom
je bij mij terecht – en naar de overheid zelf, waarmee je bij collega Knops terechtkomt.

Neem een van de voorbeelden die aan de orde was: stel dat er een hack zou zijn op
de bediening van bruggen en dat dan ook niet meer lukt in Nederland. Soms kom je ook
bij een andere vakminister terecht. Maar laat ik het niet ingewikkelder maken dan
de drie hier vertegenwoordigde ministeries. We werken uitstekend samen. We realiseren
ons dat het een opgave is om dat overzichtelijk te houden richting het publiek en
in mijn geval specifiek richting ondernemers.

Maar dan komt er een tweede aanvliegroute bij: de maatvoering van het overheidsoptreden.
Die is natuurlijk altijd gekoppeld aan de mate van risico's. Collega Grapperhaus gebruikte
al het oeroude, zou ik haast willen zeggen, grondbeginsel: wat offline geldt, geldt
online ook. Dat geldt ook in de maatvoering van de ondersteuning, maar soms ook qua
regelgeving op het gebied van ondernemers. Iedere vergelijking is kwetsbaar, maar
ik ga er toch even één maken. Een heel klassieke bedreiging is brandveiligheid. Daarbij
doen we voor de kleine ondernemer en de particulier voorlichtingscampagnes, waarin
we ze aanraden om rookmelders op te hangen. Maar als het wat groter wordt, zijn er
dringende voorschriften en komt de brandweer inspecteren of er voldoende brandtrappen
zijn. Als het nog groter is, zijn er maatwerkafspraken met de brandweer. En als het
nóg groter is, moet je je eigen brandweer hebben. Op het gebied van cybersecurity
is dat in zekere mate vergelijkbaar. We hebben inderdaad zeer gerichte campagnes,
zowel gericht op het publiek als specifiek op ondernemers. Heel recent was dat «Doe
je updates», om te voorkomen dat er kwetsbaarheden zijn voor hackers. Een campagne
die ook al lang loopt, is «Eerst checken dan klikken», over phishingmails. Een voorlichtingscampagne
is altijd een permanente opgave. De heer Dassen vroeg daar ook naar: wanneer is dat
nou voldoende? Ik denk dat het eerlijke antwoord is: nooit, omdat er altijd weer nieuwe
dreigingen zijn of omdat het bewustzijn verslapt. Wij doen dat in ieder geval gezamenlijk.
Het lijkt mij voor burgers en ondernemers totaal irrelevant welk ministerie het doet.
Wij doen dat. Voorlichting is eigenlijk je eerste verdedigingslijn.

Een tweede is: kennisdeling en kennisontwikkeling. Daarin speelt het DTC een grote
rol. De heer Amhaouch vroeg ook: worden bedrijven daarin betrokken? Nou, heel nadrukkelijk.
Dat wordt ook gewaardeerd. Een recent voorbeeld was VDL. Dat werd zelf geconfronteerd
met zo'n hack. Dan hebben wij daar nauw contact mee. Toevallig zou ik daar langsgaan
op de dag waarop dat bekend werd. Dat heb ik toen maar een weekje uitgesteld. Daarna
ben ik toch gegaan. Dan zie je de waardering voor het delen van kennis, maar ook de
verantwoordelijkheidsverdeling: zij nemen allereerst direct zelf maatregelen. Ze informeerden
hun leveranciers. Maar ze informeerden ons ook over wat ervan te leren valt en hoe
voorkomen kan worden dat collega-bedrijven ook het slachtoffer worden. Dat is kennisdeling.

Nadrukkelijk hoort daar ook bij: kennisontwikkeling. Onder verantwoordelijkheid van
mijn ministerie valt daar nadrukkelijk onder: dcypher. Dat is een platform waarop
bedrijven die hier zeer bij betrokken zijn maar ook kennisinstellingen en wetenschappers
om tafel zitten over de vraag wat ontwikkelingen, bijvoorbeeld rond artificial intelligence
of kwantumcomputers, kunnen gaan betekenen op het gebied van cybersecurity. Die kennisontwikkeling
is dus een nadrukkelijk onderdeel daarvan.

Onvermijdelijk in de overheidsgereedschapskist met betrekking tot ondernemers is ook
het onderdeel regulering. Daar heb ik in ieder geval met een deel van uw commissie
regelmatig over gesproken, omdat dat vaak en wat mij betreft ook bij voorkeur Europese
regels zijn. Dit is namelijk bij uitstek grensoverschrijdend. Er is dus een Europese
Cybersecurity Act. Die bestaat al. De implementatiewetgeving ligt volgens mij zelfs
bij de Kamer voor. De implicaties worden ook verder uitgezocht. Mijn insteek is om
zo veel mogelijk Europees te doen, om te voorkomen dat je of voor consumenten of voor
bedrijven het weer ingewikkelder maakt om over de grens zaken te doen c.q. het voor
criminelen makkelijker maakt om misbruik te maken van verschillen tussen landen.

Dan vroegen mevrouw Rajkowski en mevrouw Leijten of de werkverdeling tussen het Nationaal
Cyber Security Centrum, onder verantwoordelijkheid van collega Grapperhaus, en het
Digital Trust Center, onder mijn verantwoordelijkheid, voldoende helder is. Het blijft
onze taak om aan in dit geval ondernemers en instellingen duidelijk te maken wie nou
wat doet. Maar het past wel onvermijdelijk in de risicofasering, die ik net even oneerbiedig
schetste aan de hand van brandrisico's, dat daar waar de risico's groot zijn – die
kunnen bij cybersecurity heel groot zijn – ze onder het Nationaal Cyber Security Centrum
vallen, ongeacht de vraag of het privaat is. Energiebedrijven zijn privaat, banken
zijn privaat, maar de maatschappelijke gevolgen van grote cybersecurityrampen zouden
zo groot zijn dat we zeggen: dit is van nationaal belang. VDL, om dat voorbeeld maar
even te noemen, is een fantastisch bedrijf, maar als er iets misgaat is dat een grote
ramp voor dat bedrijf maar valt Nederland niet stil. Het is dan ook logisch dat een
dergelijk bedrijf via het Digital Trust Center benaderd wordt. Daar heb je dan natuurlijk
ook weer het hele palet van groot naar klein. Kleine ondernemers zijn helaas zeer
frequent doelwit van cybercriminaliteit; vandaar niet alleen onze voorlichtingscampagnes,
maar ook het DTC. De Kamer heeft overigens een belangrijke rol gespeeld bij de totstandkoming
daarvan. Het heeft als doel om kennis te verzamelen en te delen met ondernemers, groot
en klein.

Kunnen we dat dan voldoende doen? Dat was ook meteen weer de vraag van mevrouw Rajkowski
en mevrouw Leijten. Dit is in opbouw, zowel wat betreft het aantal medewerkers als
wat betreft de onderliggende regelgeving. Collega Grapperhaus wees er al op dat er
twee wetten in wording zijn waarvan ik de afkortingen niet nog een keer zal herhalen,
maar die wel benodigd zijn om informatie te kunnen delen. Dat is in Nederland strak
gereguleerd. Toen mevrouw Van Weerdenburg wees op de constatering van de Cyber Security
Raad over het delen van informatie, ging het ook heel sterk hierover. We hebben in
Nederland heel, heel scherp ingekaderd of informatie gedeeld mag worden. Daar is een
goede reden voor, maar het gevolg is dus ook wel dat je informatie niet kunt delen
zonder wettelijke grondslag. Dat geldt hier dus ook. Terug naar de vraag of het DTC
voldoende kan doen. De Kamer is afgelopen zomer geïnformeerd dat de wetgeving in procedure
is en dat we op kleine schaal zijn gestart met het delen van informatie. Dat is ook
zeer gewenst, maar de achterliggende regelgeving is ook van belang, overigens ook
omdat bedrijven zelf weer beschermd willen worden op het moment dat ze informatie
delen. Dat begrijp ik ook weer. Je laat ook je eigen kwetsbaarheid zien. Zij willen
dan weer voldoende zekerheid hebben dat als ze dat doen, ze vervolgens niet, langs
welke route dan ook, aan de schandpaal genageld worden. Zowel vanuit onze eigen privacywetgeving
als om ondernemers en bedrijven met een gerust gemoed te laten deelnemen aan informatiedeling
hebben we die onderliggende regelgeving nodig. Daarnaast heb je altijd de kwestie
van maatvoering, geld en personeel. Dat komt gewoon in de jaarlijkse begrotingsrondes
tot u, waarbij de verantwoordelijke Minister altijd zal zeggen: graag meer en uitgebreider.
Ik denk dat we die discussie nu niet hoeven te voeren.

De voorzitter:

Maar u moet wel even in discussie met de heer Amhaouch, want die heeft een vraag.

De heer Amhaouch (CDA):

Dank voor de beantwoording van de Minister. Toch even het voorbeeld van VDL ...

De voorzitter:

Liever geen voorbeeld, gewoon een vraag.

De heer Amhaouch (CDA):

Anders kan je de vraag niet in de context plaatsen. Het gaat om een bedrijf met duizenden
werknemers dat platligt. Met zo veel toeleveranciers is het de vraag hoe we samen
– overheid en bedrijfsleven – kunnen komen tot een bepaalde certificering of norm,
bijvoorbeeld ISO-normen, in het kader van beveiliging. Hoe stellen we die? Van wie
zouden die moeten komen? Dat is eigenlijk de concrete vraag aan de Minister. Als we
samen naar een hoger niveau willen om het bedrijfsleven een eigen verantwoordelijkheid
te laten nemen om hun dijkverzwaring op orde te hebben, moeten we wel gezamenlijk
komen tot gedeelde normen.

Minister Blok:

Daar is die maatvoering weer heel cruciaal. Allereerst is er het Europese niveau.
Daar gaat de Europese Cybersecurity Act over. Vervolgens moet je op nationaal niveau
vaststellen welk type organisatie het is. Soms is het een bedrijf, soms een publieke
organisatie. Dat is zo cruciaal dat we ze verplichtingen gaan opleggen, bijvoorbeeld
een meldplicht en verplichtingen rondom de periodieke controles rond veiligheid. Wanneer
wordt het eigen verantwoordelijkheid? Dat kan in de loop van de tijd verschuiven.
Energiebedrijven zijn bijvoorbeeld recent aan de hoogste categorie toegevoegd. Bedrijven
die daar niet onder vallen, wat bijvoorbeeld geldt voor dat bedrijf dat ik dan niet
meer zal noemen – een mooi bedrijf, van groot belang in de Nederlandse infrastructuur,
dat zich overigens zelf ook heel goed bewust is van de kansen en de risico's van ICT
– zullen dat dus allereerst zelf doen. Dan kom ik op dat andere instrument uit de
gereedschapskist, naast regelgeving. Als er geen bindende regelgeving is voor een
dergelijk bedrijf, kom je bij kennisdelen en elkaar informeren. Dat speelt hier dus
en dat blijft hier ook spelen. Zij helpen ons en collega's door te vertellen wat er
precies gebeurd is. Daarmee kunnen we waarschijnlijk voorkomen dat andere hetzelfde
lot treft. Een andere keer kunnen we zoiets voor zijn omdat het nog niet gebeurd is,
maar we de dreiging kunnen zien en delen zodat dit bedrijf of een ander bedrijf daar
zijn voordeel mee kan doen. Nogmaals, de bereidheid is heel groot van de kant van
bedrijven, mits we het wel netjes inkaderen zodat zij zich beschermd voelen en wij
die informatie kunnen delen.

De voorzitter:

U vervolgt uw betoog.

Minister Blok:

Mevrouw Rajkowski vroeg hoe we voorkomen dat er een wildgroei aan keurmerken komt.
Ook daarvoor wordt op Europees niveau aan regelgeving gewerkt onder de Cybersecurity
Act. Dat is vrijwillige regelgeving. Daar speelt een van de spanningen waarover we
het hier wel vaker hebben: hoever gaat de traditionele en belangrijke vrijheid van
ondernemers om zelf dingen te doen? Ook het vormen van keurmerken is vanouds iets
wat ondernemers en ook niet-commerciële instellingen zelf kunnen doen; denk aan de
Echte Bakker. Waarom zou je dat dicht willen reguleren? Tegelijkertijd is er het belang
van consumentenbescherming en van helderheid. De Cybersecurity Act gaat uit van vrijwilligheid
bij het aansluiten bij richtlijnen en keurmerken, en dan het liefst Europees. Volgens
mij is dat op dit moment een verstandige lijn. Het implementatievoorstel ligt bij
de Kamer.

De voorzitter:

Als het een korte, scherpe vraag kan zijn, mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Het keurmerk wordt nu vrijwillig, maar het zou zo kunnen zijn dat vanaf 2023 de Europese
Commissie toch gaat kijken naar verplichte keurmerken. Dan zou het zo fijn zijn als
we daar in Nederland al wat eenduidigheid over hebben. Mijn vraag was dus ook gericht
op de toekomst.

Minister Blok:

Het is nog geen 2023, maar vanuit het oogpunt van consumentenbescherming is een vorm
van verplichtendheid, zonder dat je dat generiek gaat doen, wel logisch. Het is dus
niet zo dat wij tegen elke vorm van verplichting zijn, maar ik noemde niet voor niets
het voorbeeld van de Echte Bakker. Je moet het ook niet onmogelijk maken dat bedrijven
zelf met keurmerken werken.

Ten slotte het punt dat mevrouw Van Weerdenburg richting collega Grapperhaus opbracht
over sideloaden en de Digital Market Act. Dat gesprek hebben wij, ik dacht vorige
week, ook gevoerd. De Digital Market Act is heel erg gericht op het versterken van
de positie van consumenten en uitdagers van de grote socialmediabedrijven en wil doorbreken
dat je alleen via de App Store – het is onvermijdelijk een overleg met veel Engels
en afkortingen – van, ik moet in dit geval toch even het bedrijf noemen, Apple apps
kan downloaden. Dat doel steunt de Nederlandse regering, want anders bestendig je
de machtspositie van een groot bedrijf en beperk je de consument, die inderdaad heel
vaak zo'n iPhone heeft, in zijn keuzevrijheid. Apple heeft de mogelijkheid om aan
te geven: als u via mij downloadt, controleer ik ook de kwaliteit. Dat is ook prima.
Dan is het hun kwaliteitskeurmerk en kun je daar klagen als je ontevreden bent. Maar
Apple heeft dan niet de mogelijkheid om te zeggen: het mag alleen via mijn App Store.
Dat is volgens mij ook echt een gewenste situatie, want anders breng je de consument
niet in de positie van keuzevrijheid en voorkom je dat nieuwe toetreders ook echt
kunnen toetreden. En ja, dat betekent vervolgens dat degene die zo'n app downloadt,
zelf verantwoordelijk is voor de kwaliteit ervan. Dat is natuurlijk vaker zo wanneer
een consument iets aanschaft.

Het is geen systeemrisico. Dat was de andere vraag aan de heer Grapperhaus: waarom
valt dit niet onder de hoge risico's? Het is niet zo dat daarmee een hele vitale infrastructuur
kan imploderen. Het kan zijn dat de app niet goed werkt of bijwerkingen heeft. Dat
is vervelend, maar het is geen risico voor de vitale infrastructuur.

De voorzitter:

Mevrouw Van Weerdenburg, als het echt een korte en scherpe vraag is, want het gaat
uit de hand lopen.

Mevrouw Van Weerdenburg (PVV):

Ja. Dat het geen risico is, klopt niet. In Canada is het gebeurd dat mensen dachten
dat ze de officiële corona-app van de overheid downloadden op hun Androidtoestel,
maar dat bleek een nepapp die de toestellen heeft versleuteld. Het kan dus wel degelijk
een veiligheidsrisico zijn.

Minister Blok:

Ook hier is het weer van belang om onderscheid te maken. Ik ga toch weer even oneerbiedig
de vergelijking maken met brandveiligheid: is het een systeemrisico of is het risico
dat een huis afbrandt? Dit is heel vervelend, maar het is even vergelijkbaar met het
risico dat een huis afbrandt. Dat wil niet zeggen dat je niks moet doen, maar het
betekent niet dat je de ultieme maatregel zou moeten nemen dat iemand überhaupt nooit
een app mag downloaden die niet door Apple is goedgekeurd. Want dan haal je die hele
wet onderuit. Als je toch buiten Apple downloadt, mag dat, maar dan kan het inderdaad
zo'n gevolg hebben. Maar ik zou er echt nooit de consequentie aan verbinden dat je
eigenlijk de oude monopolieposities die je juist wilde doorbreken, weer terugbrengt.
Want dan is het middel echt erger dan de kwaal.

De voorzitter:

U vervolgt uw betoog.

Minister Blok:

Nou, ik hoop hiermee de aan mij gestelde vragen beantwoord te hebben.

De voorzitter:

Kijk aan! Ik kijk even naar de leden. Moeten er nog dingen gevraagd worden? De Minister
van Justitie en Veiligheid reageert. Misschien kan hij in een volgend leven voorzitter
van deze commissie worden! Mevrouw Van Ginneken heeft nog een laatste scherpe vraag
voor de Minister van Economische Zaken.

Mevrouw Van Ginneken (D66):

Dit legt de lat meteen hoog. Ik geloof dat ik iedereen ga teleurstellen. De vraag
werd gesteld of alle vragen beantwoord zijn...

De voorzitter:

Aan deze Minister.

Mevrouw Van Ginneken (D66):

Precies. Ik had verwacht van deze Minister iets te horen op mijn vraag over het activeren
van brancheorganisaties om hun rol en verantwoordelijkheid te nemen in cybersecurity.
Maar misschien was mijn verwachting onterecht.

Minister Blok:

Nee, daar had u inderdaad een antwoord op moeten krijgen. Dat is zeker een route die
we graag en ook met regelmaat belopen. Als de achtergrond is dat u het signaal krijgt
dat dat onvoldoende gebeurt, dan hoor ik het graag concreter. Dan pakken we dat graag
op.

De voorzitter:

Nee, mevrouw Van Ginneken, de regering stelt eigenlijk geen vraag terug. Dat is lastig
voor de orde van het debat. U bent uitgenodigd om de signalen door te geven, al dan
niet in tweede termijn, via schriftelijke vragen of via andere wegen die er zijn voor
een Kamerlid. De heer Dassen. Kort en scherp, is dat mogelijk?

De heer Dassen (Volt):

Zeker, voorzitter. Ik vroeg me af of de Minister wil reflecteren op het Cyber Security
Information Sharing Partnership in het Verenigd Koninkrijk. Is het DTC daarmee in
contact en wordt er al over nagedacht of er eventueel mogelijkheden zijn om cyberdreigingen
in de toekomst te delen?

Minister Blok:

Er wordt samengewerkt, sowieso binnen de EU maar in dit geval ook met het VK. Uw andere
vraag is om daarop te reflecteren, maar dit is volgens mij het verstandigste wat we
kunnen doen, omdat ook hierbij de dreiging natuurlijk grensoverschrijdend kan zijn.

De heer Dassen (Volt):

Voorzitter?

De voorzitter:

Ja, als het nodig is.

De heer Dassen (Volt):

Ja, heel kort. Het gaat mij voornamelijk om de manier waarop ze het nu in het VK hebben
ingericht. Kijken wij er ook op die manier naar? Ze zijn daar nu realtime en sectoraal
met verschillende grote en kleine bedrijven bezig om te kijken hoe ze die cyberdreiging
zo goed mogelijk kunnen mitigeren. Ik vraag me af of wij daar ook naartoe werken.

Minister Blok:

Dan moet ik me er echt even beter over informeren hoe het Engelse systeem eruitziet.
Waarschijnlijk weten mijn mensen dat. Dan kom ik daarop terug, ofwel in tweede termijn
ofwel schriftelijk.

De voorzitter:

Dank. Dan geef ik het woord aan Staatssecretaris Knops van Binnenlandse Zaken. Als
u zou willen aangeven hoe u uw betoog een beetje heeft opgebouwd, dan kan ik inschatten
wanneer het een goed moment is om interrupties toe te staan.

Staatssecretaris Knops:

Dank u wel, voorzitter. Dank voor de gelegenheid om in deze eerste bijeenkomst met
deze commissie samen van gedachten te wisselen over een heel belangrijk onderwerp.
Ik zou het eigenlijk willen toespitsen op een drietal hoofdthema's: allereerst informatiebeveiliging
van de rijksdienst, daarna wat wij binnen de rijksoverheid doen om kennis en ervaringen
te delen, en ten slotte hoe wij ook bij de inkoop van systemen rekening houden met
de risico's die we lopen.

Voorzitter. Het feit dat wij hier met drie bewindspersonen zitten, geeft aan dat wij
de afgelopen jaren eendrachtig hebben samengewerkt op dit thema. Collega Blok zei
dat al eerder. We hebben in deze kabinetsperiode voor het eerst in de historie een
gezamenlijke digitaliseringsstrategie ontwikkeld met deze drie departementen. Die
beperkt zich niet tot deze drie ministeries, maar is uiteindelijk wel een richtsnoer
voor de manier waarop alle overheidsorganisaties op rijksniveau zouden moeten gaan
opereren. Het is geen statisch document. De wereld waarin wij ons bevinden is buitengewoon
dynamisch. Dat betekent dat je, zeker als je spreekt over veiligheid en je beschermen
tegen dreigingen van buiten, continu actief moet zijn om bij de tijd te blijven. Het
is ook nooit af. Je zult altijd nieuwe technieken moeten kunnen toepassen, en dat
in een omgeving waarin de wetgevende kaders dat agile optreden niet altijd juridisch
onderbouwen. Dat is al een aantal keer aan de orde gekomen. Je zult in de wetgeving
dus continu stappen moeten zetten, en je loopt soms tegen de grenzen van wetgeving
aan, allemaal met het doel om uiteindelijk ervoor te zorgen dat die overheidsorganisaties
gewoon hun werk kunnen doen in die steeds onveiliger wordende wereld. Dat is dan mijn
verantwoordelijkheid.

We hebben eerder al voorbeelden genoemd. Ook een aantal van u heeft die al genoemd.
Ransomware is ook overheidsorganisaties niet bespaard gebleven. We hebben in september
jongstleden een ransomwareaanval gehad op samenwerkingsbedrijf IJmond. We hebben vorig
jaar een ransomwareaanval gehad bij Hof van Twente en bij de gemeente Lochem. Er zijn
er nog veel meer te noemen, maar dit zijn wel de grootste. Mijn belangrijkste verantwoordelijkheid
zie ik als volgt. Ik ben aan de ene kant verantwoordelijk voor het hele stelsel van
de sector Rijk met betrekking tot informatiebeveiliging. Dan gaat het dus om de normenkant:
aan wat voor eisen moet je als overheidsorganisatie voldoen om in deze tijd überhaupt
veilig te kunnen opereren? Tegelijkertijd ben ik ook verantwoordelijk voor de kant
van het openbaar bestuur. Ik moet ervoor zorgen dat de veiligheid bij de organisaties
die bij het openbaar bestuur horen op orde is. Dat doe ik in nauwe samenwerking met
de collega's van JenV en EZK. Dat laat de ministeriële verantwoordelijkheid onverlet.
Die geldt ook nog altijd in ons huis van Thorbecke. Daarbij is elk departement primair
zelf verantwoordelijk voor het op orde hebben van de veiligheid, zoals de collega's
net aangaven. De analogie met de brand- en inbraakveiligheid is volgens mij een hele
treffende. Dat betekent niet dat iedereen dat zelf maar op eigen houtje gaat doen.
Nee, die kaderstellende rol is een zaak die BZK in eerste instantie aangaat. In die
kaderstellende rol wordt gezegd waaraan wij moeten voldoen en hoe wij daar toezicht
op houden.

Voorzitter. Ik kom op de informatiebeveiliging van de rijksdienst. Ik heb de Kamer
in een van de brieven uitvoerig geïnformeerd over wat we daar de afgelopen jaren aan
gedaan hebben. Ik kan in ieder geval constateren dat het niveau van informatiebeveiliging
de afgelopen vier jaar enorm gestegen is. Bijna analoog of spiegelbeeldig aan de omgeving,
zou je kunnen zeggen. We hebben daar ook nieuwe rollen en nieuwe sturingsinstrumenten
aan toegevoegd. In de I-strategie Rijk heb ik op basis van de plannen die we gemaakt
hebben, aangegeven hoe we de digitale weerbaarheid willen verhogen. We hebben ook
de CISO-functie, de Chief Information Security Officer, op alle departementen toegevoegd.
Die functie was er daarvoor gewoon niet. Met name aan de veiligheidskant zorgt de
CISO er in nauwe samenwerking met JenV en het NCSC voor dat het bewustwordingsniveau
van de departementen op een hoger plan komt.

Mevrouw Leijten zei in haar bijdrage dat de Rekenkamer daar ook de vinger op de zere
plek heeft gelegd. Dat is ook terecht. Wij hebben op basis van de aanbevelingen van
de Rekenkamer ook een aantal maatregelen genomen die ertoe moeten leiden dat het beveiligingsniveau
op een hoger plan komt. Mevrouw Leijten zei: als ik de jaarverslagen en de Rekenkamerrapporten
van 2019 en 2020 op een rijtje zet, dan zijn er nog steeds vakjes die niet groen gekleurd
zijn. Dat klopt. Dat is helemaal waar. Tegelijkertijd kan ik ook zeggen dat er echt
wel een aantal stappen gezet zijn. Een voorbeeld is de introductie van de CISO-functie.
Maar denk ook aan de halfjaarlijkse voortgangsgesprekken die plaatsvinden tussen CIO
Rijk – die zit hier naast me – en CISO Rijk, met alle departementale functionarissen.
De aanbevelingen van de Rekenkamer worden daar gewoon heel nadrukkelijk gemonitord.
Ook wordt er gekeken hoe die worden opgevolgd.

Ook hier geldt weer: uiteindelijk zijn het in de verantwoordingscyclus de individuele
departementen zelf die bij het jaarverslag verantwoording afleggen over het gevoerde
beleid en ook hoe dat is uitgevoerd. Een voorbeeld van die monitoring is dat bij BZ,
Buitenlandse Zaken, een ernstige onvolkomenheid was geconstateerd. Die onvolkomenheid
is niet helemaal weg, maar het is geen ernstige onvolkomenheid meer. Maar dat komt
omdat je planmatig, op basis van die analyse, de lekken dicht en de procedures aanpast.

Ik ben zelf ook heel blij met de totstandkoming van deze commissie, waarbij die integraliteit
... Ik zeg het de heer Grapperhaus na. Sorry, ik zeg het de Minister van JenV na.
De grote aanwezigheid van verschillende fracties werd in het verleden weleens departementaal
en verkokerd neergelegd. Daardoor werden de tegenkracht vanuit de Kamer en de controlerende
taak vanuit de Kamer niet helemaal recht gedaan. Dus ik ben zelf heel blij met de
bijna organische ontwikkeling hoe we aankijken tegen digitalisering. Het feit dat
de Minister van BZK, in casu Staatssecretaris van BZK, naast de Minister van Financiën
sinds drie jaar verantwoording aflegt bij Verantwoordingsdag, geeft ook aan hoe de
waarde van dit thema zich ontwikkeld heeft. Daar zijn nog heel veel stappen te zetten.
Maar ik ben niet ontevreden over wat we daar de afgelopen tijd in gedaan hebben.

Mevrouw Kathmann van de Partij van de Arbeid en de heer Dassen hadden een heel concrete
vraag op dit thema. Ik behandel de vragen die gesteld zijn namelijk even per blokje.
Ze vroegen zich het volgende af. Wat betekent die hack van SolarWinds nou voor de
overheid? Welke rijksdiensten hebben gebruikgemaakt van die software? En welke kwetsbare
informatie had eventueel kunnen lekken? De Minister van JenV is daar al in zekere
zin op ingegaan. Maar ik zou er nog aan willen toevoegen dat onder coördinatie van
CIO Rijk meteen na die hack bij alle organisaties bij de rijksoverheid een uitvraag
is gedaan om te achterhalen wie gebruikgemaakt heeft van deze software. Dat is gedaan
om een eerste assessment te hebben van de risico's die we lopen. Uiteindelijk bleken
vier organisaties binnen de rijksoverheid met deze software te werken. Al die installaties
die deel uitmaakten van de inventarisatie bij die organisaties zijn inmiddels gerepareerd.
Ook aanvullend onderzoek naar de kwetsbaarheden is uitgevoerd. Er zijn op dit moment
en tot nu toe geen sporen van misbruik bekend.

De vraag welke informatie had kunnen lekken door deze hack, is moeilijk te beantwoorden,
want het is niet zo dat je, als je eenmaal binnen bent, meteen toegang hebt tot alle
informatie. Daar zitten ook nog allerlei firewalls omheen. Het belangrijkste om te
constateren is dat deze hack niet geleid heeft tot het kunnen verkrijgen van die informatie,
maar dit soort hacks maken ook elke keer weer duidelijk dat die dreiging er is. Die
is soms onzichtbaar. Het is anders dan bij brand, maar als je eenmaal mensen binnen
hebt en als zij met bepaalde codes toegang tot jouw informatie of zelfs tot jouw systemen
hebben, kan dat catastrofale gevolgen hebben. Dat is ook precies de reden waarom het
bewustzijn, het erover spreken, dit debat maar het gesprek hierover voeren met overheidsorganisaties
en het bedrijfsleven ontzettend belangrijk zijn.

Mevrouw Kathmann vroeg ook hoe we als overheid die race tegen dreigingen van buiten
op een goede manier aangaan met mensen die geëquipeerd zijn en kennis hebben van deze
materie, die zich natuurlijk razendsnel ontwikkelt. De eerlijkheid gebiedt te zeggen
dat dat niet gemakkelijk is. De overheid staat op zichzelf nog steeds te boek als
een zeer aantrekkelijk werkgever, maar in een arbeidsmarkt waar juist op dit vakgebied
aan veel een tekort is, moeten wij noodgedwongen maar wel van harte samenwerken met
andere partijen om de kennis die er wel is, te ontsluiten, ook naar de overheid. Dat
doen wij bijvoorbeeld door pacten af te sluiten met kennisinstellingen, maar ook door
met het bedrijfsleven samen te werken. Op die manier proberen we toch goede mensen
aan te trekken, ook omdat de overheid in zekere zin een hele aantrekkelijke werkgever
is omdat je de vraagstukken die wij hebben, niet altijd in het bedrijfsleven terugvindt.
We hebben daarvoor de RijksAcademie voor Digitalisering opgezet. We werken met I-vakmanschap,
met hogescholen en universiteiten, waardoor we mensen die in opleiding zijn, plekken
en vraagstukken aanbieden waarmee ze binnen de overheid ervaring kunnen opdoen. Gelukkig
kan ik zeggen dat een aantal van die mensen uiteindelijk ook bij de overheid terechtkomt.

De voorzitter:

Mevrouw Kathmann, alleen als het een korte vraag is, zonder inleiding.

Mevrouw Kathmann (PvdA):

Zo werd de vraag net ook al beantwoord door de Minister, maar mijn vraag is veel groter
dan dat. Die gaat erover dat we in het bedrijfsleven, bij de overheid, in de rechtspraak
en noem maar op gewoon van mbo tot wo meer mensen nodig hebben die op dit terrein
heel breed onderlegd zijn.

De voorzitter:

De vraag is helder.

Mevrouw Kathmann (PvdA):

Kan in de Cybesecurity Agenda een spoor worden opgenomen dat gaat over die werkgelegenheid
en dus over opleiden, herscholen, omscholen, zodat we in de breedte voldoende mensen
hebben en zodat dit echt onderdeel wordt van de Cybersecurity Agenda?

De voorzitter:

Als de Staatssecretaris dat kan toezeggen, zijn we snel klaar.

Staatssecretaris Knops:

Ik kijk met een schuin oog naar de Minister van JenV, want die is natuurlijk de eerstverantwoordelijke.
Ja, hij knikt instemmend.

Minister Grapperhaus:

Wij zullen er in de tweede termijn wat over zeggen. Met «wij» bedoel ik wij tweeën.
Het is geen pluralis majestatis.

De voorzitter:

Als er voor twee bewindspersonen nog genoeg tijd is in de tweede termijn.

Staatssecretaris Knops:

Het is een terechte vraag van mevrouw Kathmann en het is ook logisch dat dit daar
een plek in krijgt. Het heeft overigens onze voortdurende aandacht. Het is niet zo
dat er op dit moment echt gaten vallen, maar ik realiseer me zeer dat je, als je twee
jaar verder zou kijken, weer praat over hele andere technieken waarmee die aanvallen
plaatsvinden. Dit is dus een terecht punt.

Voorzitter. Ik ga naar het tweede blokje: hoe zorg je er binnen de overheid voor dat
je die negatieve ervaringen en die aanvallen die zich hebben voorgegaan, omzet in
een beter bewustzijn? Ik zie daar een hele belangrijke rol. Die zie ik ook als een
soort aanjaagrol, waarin wij niet moeten verslappen. Hoewel al die aanvallen vreselijk
zijn, zit er ook een andere kant aan. Elke keer dat er weer zo'n aanval plaatsvindt
en een organisatie wordt getroffen, komt er toch een soort wake-upcall bij iedereen:
oké, hoe hebben wij dat nu geregeld? Zo hoort het ook. Het is dus niet zo dat wij
de verantwoordelijkheid vanuit het Rijk overnemen voor tal van organisaties, maar
ik vind wel dat wij het delen van die kennis en die ervaringen moeten faciliteren.
Dat doen wij door de overheidsbrede cyberoefening, die sinds 2019 georganiseerd wordt
en waaraan tal van partners deelnemen: de Vereniging van Nederlandse Gemeenten, het
IPO, de Unie van Waterschappen, maar ook het Nationaal Cyber Security Centrum, samen
met EZK en de NCTV. We hebben dezelfde ervaring gehad met covid: we moesten ons een
beetje aanpassen. Maar de ervaringen zijn heel positief en de deelname neemt nog steeds
toe.

Ik denk dat er geen overheidsorganisatie, geen gemeente en geen provincie meer is
waar dit thema niet besproken is. Dat was een aantal jaren geleden anders. Toen was
het voor veel gemeenten toch nog een soort ver-van-mijn-bedshow: ze zullen ons niet
pakken. Ik denk dat het rijtje dat ik zojuist opnoemde, duidelijk maakt dat elke organisatie
getroffen kan worden. De kans daarop is misschien niet eens zo heel groot, maar als
je getroffen wordt, kunnen de gevolgen immens zijn. Hof van Twente en Lochem hebben
echt gigantische problemen gehad om de overheidsdienstverlening te continueren. Mijn
ervaring met de functionarissen die deelnemen aan deze conferentie en oefening, is
dat er veel gretigheid is bij overheidsorganisaties om hiervan te leren. We bieden
daarbij ook scenario's aan, bijvoorbeeld voor gemeenten, om zelf te trainen en te
kijken wat dit voor hun organisatie betekent. We hebben ook een handreiking Red teaming
gepubliceerd, waarbij we met ethische hackers overheden uitdagen om daarvan gebruik
te maken en te kijken waar de zwakke plekken in hun systemen en organisaties zitten.
Dat voelt een beetje ongemakkelijk, want je laat je testen en uitdagen, en daarmee
komen de zwakheden bloot te liggen. Maar dit heeft een aantal voordelen. Je weet dan
waar de gaten en kieren zitten. Die kun je dichten en de ervaringen die je opdoet,
kun je delen met andere overheidsorganisaties. We kunnen gewoon niet onderschatten
hoe belangrijk dat is.

Voorzitter. Voordat ik nog inga op een aantal vragen van de leden, ga ik in op de
inkoop. Ik denk dat we als overheid een voorbeeldrol hebben in hoe we kunnen inkopen
en welke eisen wij stellen aan programmatuur op het punt van ICT-systemen. Je ziet
toch dat iedereen anders het wiel opnieuw probeert uit te vinden. Zo kunnen wij helpen
om bij onze overheid in ieder geval die systemen binnen te halen waarvan wij weten
en verzekerd zijn dat ze veilig zijn. Dat wil niet zeggen dat er daardoor geen zwakheden
optreden, want u weet dat systemen een bepaalde veiligheid moeten hebben, maar dat
de menselijke factor, het gebruik daarvan en de procedures net zo belangrijk zijn.
Maar ik richt me nu even op de kwaliteit van de systemen. Op basis van de Baseline
Informatiebeveiliging Overheid en ook het publiceren daarvan op websites kunnen wij
richting andere overheden die faciliterende rol spelen om daarmee ook de veiligheid
te verhogen. Dat doen we dus ook steeds meer en meer. Je ziet dat dit bijna stap voor
stap organisch steeds beter wordt, dat partijen elkaar steeds beter weten te vinden
en dat die kennis dus ontsloten en gedeeld wordt.

Voorzitter, tot slot nog een aantal vragen die door de leden gesteld zijn. Mevrouw
Rajkowski vroeg of het kabinet een openbaar onderzoek zou kunnen doen naar de omvang
van desinformatie in Nederland en of wij ons er in de EU hard voor kunnen maken om
die rapportages te krijgen over desinformatie op sociale media. Op dit moment doet
de EU via de Dienst voor Extern Optreden onderzoek naar desinformatie van statelijke
actoren. Nederland maakt ook deel uit van het EU Rapid Alert System, waarin informatie
over desinformatiecampagnes van statelijke actoren gedeeld wordt. Om begrijpelijke
redenen is deze informatie op zich niet openbaar, maar periodiek maakt de EDEO wel
openbare rapportages. In het kader van de verbeterde EU-zelfregulering op het gebied
van desinformatie moeten socialemediabedrijven wel meer gaan rapporteren over de acties
die zij ondernemen tegen desinformatie. Deze rapporten worden dan wel openbaar. Over
het precieze moment waarop deze rapporten openbaar worden gemaakt, wordt op EU-niveau
nog onderhandeld. Het voornemen is wel om de plannen daarover eind dit jaar te publiceren.
De Kamer wordt begin volgend jaar geïnformeerd over het kabinetsstandpunt, dat volgt
zodra deze EU-zelfregulering gepubliceerd is.

Ik denk dat ik de vraag van de heer Amhaouch over ransomware heb beantwoord. Hij noemde
de voorbeelden van bedrijven, maar vroeg ook wat dit betekent voor overheden. Daar
heb ik op gereflecteerd, ook door middel van de Baseline Informatiebeveiliging. 100%
garantie kun je natuurlijk niet geven, maar het feit dat het bewustzijn vergroot wordt
en dat iedereen acties onderneemt en er ook belang bij heeft om dat te doen, gezien
de steeds groter wordende consequenties als je dat niet doet, maakt wel dat we echt
veel verder zijn dan een aantal jaren geleden. Die stelling durf ik wel te betrekken.
Ik hoop ook dat dit ertoe leidt dat, welke organisatie het ook betreft, ook dit soort
vragen telkens gesteld worden, net zozeer als de vraag of er op het eind van het jaar
een sluitende begroting is en of de financiën op orde zijn. Ik heb eerder in brieven
ook gemeenteraden opgeroepen om dit thema aan de orde te stellen. Het is natuurlijk
een technisch thema. Daar zit enige handicap aan. Tegelijkertijd kun je je op dit
vlak laten adviseren door experts, maar ik zou willen zeggen dat dit thema niet benoemen
een beetje struisvogelpolitiek is. Dit is ontzettend belangrijk voor continuïteit
en daarmee ook voor het vertrouwen dat de burgers mogen hebben in de overheid.

Voorzitter, daarmee ben ik volgens mij gekomen aan het eind van de beantwoording van
de aan mij gestelde vragen.

De voorzitter:

Dan dank ik u hartelijk voor de beantwoording van de vragen. We zitten op 17.00 uur.
We hebben nog een uur. Ik zou willen voorstellen dat u maximaal twee minuten heeft
in tweede termijn. Het hoeft niet, maar na twee minuten is het wel klaar, ook midden
in een zin. Ik heb heel ruim de tijd gegeven voor interrupties. Die waren echt niet
allemaal zo kort als waartoe ik af en toe aanspoorde. Ik begin bij mevrouw Rajkowski
namens de VVD.

Mevrouw Rajkowski (VVD):

Dank u, voorzitter. Ik heb een vraag over het delen van informatie en de AP. Ik begreep
dat de wetgeving uiteindelijk naar de Kamer komt. Maar wanneer komt die dan? Het zou
toch zonde zijn als er een digitale ramp plaatsvindt bij een groot niet-vitaal bedrijf
en dat we er dan achter komen dat er al een tijdje informatie heeft gelegen bij het
NCSC dat het niet mag delen.

Dan over het oefenen en ISIDOOR. De bedrijven schreeuwen er gewoon om om regelmatig
te oefenen. Elke twee jaar is toch echt te weinig. Dat wil ik hier even gezegd hebben
en onthoud ik voor volgende debatten.

Dank voor de toezegging van Staatssecretaris Knops over de rapportage over desinformatie.
Hij informeert de Kamer in januari over het kabinetsstandpunt.

Voorzitter. Ik zou ook nog wat over het delen van kennis willen zeggen. Ziekenhuizen
zijn niet als vitaal aangemerkt, terwijl ze op dit moment toch echt een vitale functie
in onze maatschappij vervullen. We kunnen geen enkel bed, afdeling of ziekenhuis missen
op dit moment. Zou het dus toch mogelijk zijn om ziekenhuizen al dan niet tijdelijk
als vitaal aan te wijzen, zodat zij meer toegang krijgen tot het NCSC? Als daar nu
geen antwoord op kan komen, dan graag per brief. Dat is ook prima.

Voorzitter. Als laatste wil ik nog over cybercrime zeggen dat misdaad niet mag lonen.
Digitaal is dat soms nog te veel het geval. Het ging net over phishing. De VVD is
in ieder geval erg blij om te lezen dat de afgelopen week een jongen van 20 jaar die
€ 40.000 had gephisht, voor drie jaar de bak in is gegaan. Dat geeft een goed signaal
af. Dank daarvoor.

De voorzitter:

Dank aan u. Dan is het woord aan mevrouw Van Weerdenburg voor haar tweede termijn.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Dank aan de bewindspersonen voor hun antwoorden en voor de geruststellende
woorden dat zij goed op de winkel zullen passen totdat het NK, het nieuwe kabinet,
er eindelijk is. We konden al lezen dat dat in ieder geval niet voor de kerst zal
zijn. Ik twijfel ook niet aan hun inzet op dit punt, maar de realiteit is dat de analyses
van de huidige situatie vernietigend zijn. De Cyber Security Raad was helder: de resultaten
van de cyberoefening zijn wat rooskleuriger opgeschreven. Maar als je goed leest,
is de conclusie dat we niet goed voorbereid zijn op een grote cyberaanval. Dus we
kunnen slechts hopen dat internationale cybercriminelen en hackers ons land niet in
het vizier hebben de komende weken. Dat is toch enigszins een onrustige gedachte.

Tot slot, voorzitter. Ik ben het helemaal eens met de Minister als hij zegt dat de
digitale dijkbewaking op orde moet en dat iedereen zijn steentje daaraan moet bijdragen,
ook bedrijven en burgers. Installeer de updates op tijd. Klik niet op «herinner mij
later». Denk even wat langer na over een veilig wachtwoord enzovoort, enzovoort. Er
ligt voor ons allemaal een taak om daar bewustwording over te verspreiden. Maar laten
we het burgers en bedrijven dan niet moeilijker maken dan het nu al is. Daar komt
ze weer; door de verplichting om sideloaden toe te staan op bijvoorbeeld iPhones en
iPads wordt een nieuw veiligheidsrisico gecreëerd voor bedrijven en burgers. Zoals
ik al zei, is dat in Canada gruwelijk misgegaan met de corona-app van de overheid,
althans met een app die heel erg leek op de officiële app. Mensen hebben die volledig
onbewust geïnstalleerd en die zaten maar mooi met een versleuteld toestel. Minister
Blok zegt: dat is geen systeemrisico; het is lullig dat je huis afbrandt maar ...
hè? Mijn concrete vraag is: mogen de ambtenaren op zijn ministerie – die vraag wil
ik ook aan de Minister van JenV, de heer Grapperhaus, stellen – straks op hun apparaten,
iPhones, iPads, ook sideloaden?

De voorzitter:

Nogmaals, twee minuten is echt twee minuten. Ik was non-verbaal al signalen aan het
geven. Op deze manier moeten we het echt even doen met elkaar. Mevrouw Van Ginneken,
u heeft twee minuten. Vijftien seconden van tevoren geef ik een seintje.

Mevrouw Van Ginneken (D66):

Voorzitter, ik houd uw non-verbale signalen in de gaten. Als eerste dank voor de antwoorden
op mijn vragen over Pegasus en NSO. Ik heb begrepen dat de Minister hier in de openbaarheid
niet alles hierover kan zeggen, maar kan hij toezeggen de Kamer daarover vertrouwelijk
nader te informeren? Zo kan ik wat specifieker antwoord krijgen op mijn vragen.

Punt twee. Mijn vraag over de Istanbul Conventie is volgens mij niet beantwoord.

Punt drie sluit daar een beetje op aan. Ik heb een wat ongemakkelijk gevoel. Ik ben
blij dat u hier met drie bewindspersonen zit, maar dat toont ook de verschotting en
versnippering aan, waar ik eerder iets over heb opgemerkt. Mkb-bedrijven zijn niet
vitaal, maar leveren wel aan vitale organisaties. Daar zijn discussies over. Horen
energieproducenten erbij, horen ziekenhuizen erbij, zo was de vraag van mijn collega
Rajkowski. Experts en bedrijven roepen in de internetconsultatie dat de scheiding
tussen vitaal en niet-vitaal echt in de weg zit om een goede cyberveiligheid te hebben
in ons land. Ik mis hier de overkoepelende visie. Ik zou graag van de verantwoordelijk
Minister voor onze cybersecurityagenda echt nog een goede inhoudelijke reflectie horen
op het idee om naar één verantwoordelijke uitvoeringsorganisatie te gaan.

De voorzitter:

Ik dank u zeer. Dan is het woord aan de heer Amhaouch.

De heer Amhaouch (CDA):

Voorzitter. Ik ga echt mijn best doen om het binnen twee minuten te doen, want ik
zou echt niet durven daaroverheen te gaan. Het is belangrijk dat we vandaag in dit
eerste commissiedebat over digitalisering hebben gesproken met de drie bewindspersonen.
Er is veel voorbijgekomen, maar ik denk dat we ook iets moeten laten aan het NK, dat
eraan komt. Anders gaan we vandaag alles oplossen, en dan zijn we te vroeg klaar.

Ik wil drie punten benoemen. Allereerst oefenen, oefenen, oefenen. Het is heel goed
dat de oefeningen in het kader van ISIDOOR plaatsvinden, waarbij organisaties worden
gestresstest. Wat ons betreft zou dat niet alleen maar een grote oefening hoeven te
zijn, zoals mevrouw Rajkowski ook zei. Het kan ook kleinschalig en heel gericht zijn
in bepaalde kritische ketens.

Punt twee: ziekenhuizen. In deze fase, waarin we in een coronacrisis en een zorgcrisis
zitten, kunnen we niet een theoretische discussie houden over de vraag of ziekenhuizen
wel of niet vitaal zijn. Ik ga ervan uit dat de bewindspersoon, en zeker de verantwoordelijk
Ministers, daar ook op die manier op acteren. Als morgen alles platligt, zijn we veel
verder van huis. Dat is geen theorie, want het is al in meerdere landen gebeurd. Het
is ook al gebeurd in Nederland, maar ook in Ierland, Canada en België.

Voorzitter. Het derde punt; daarmee ben ik er al. Ik heb net niet een heel goed antwoord
gekregen van de Minister van Economische Zaken op mijn vraag over niet-vitale bedrijven.
Dat gaat dus om het gewone bedrijfsleven, het mkb. Hoe komen we daar toch tot een
stuk certificering en standaardisatie, zodat we dezelfde taal praten? Dat zou ook
goed passen in het MKB-actieplan, waarvan het derde punt certificering is. Het gaat
erom dat toeleveranciers, grote bedrijven, kleine bedrijven met elkaar dezelfde taal
praten en zichzelf een dijkverzwaring kunnen opleggen.

Ben ik binnen de tijd gebleven, voorzitter?

De voorzitter:

Ja. Er wordt hier meegetimed. Hartstikke goed. U heeft goed uw best gedaan, meneer
Amhaouch. Bedankt. Dan geef ik het woord aan mevrouw Kathmann.

Mevrouw Kathmann (PvdA):

Ik ga deze tijd ook gebruiken om even te zeggen dat mijn vraag over het Clearinghouse
niet beantwoord is. Dat is het initiatief van internetgerelateerde organisaties die
waarschuwen voor ... O, ik begrijp dat de vraag wel is beantwoord. Dat is misschien
gebeurd op het moment dat ik heel even afwezig moest zijn. Sorry.

Dan twee andere dingen. Ik voel terughoudendheid om te verplichten of te verbieden.
Toch twee vragen daarover. Als het gaat over misinformatie, komt er bijvoorbeeld in
Australië wetgeving om trollenlegers die misinformatie verspreiden en vaak ook op
de man spelen, van internet te krijgen. Dat geldt als ze dat anoniem doen. Ik vroeg
me af hoe de Minister kijkt naar de wetgeving in Australië en of die misschien ook
in Nederland ingesteld zou kunnen worden.

Dan de terughoudendheid over het verplichten van de dijkverzwaring of het instellen
van een minimumstandaard daarvoor. Hoe kijkt de Minister aan tegen bijvoorbeeld een
cyberaangifte? Je moet laten zien dat je financiële cijfers op orde zijn, maar als
je een cyberaangifte doet, laat je in ieder geval een checklist aan het einde van
het jaar doen om te kijken of je je dijkverzwaring op orde hebt.

De voorzitter:

Mevrouw Rajkowski heeft een interruptie, maar ik wil die eigenlijk niet doen. We hebben
volgende week nog een debat. Laten we het dan doen. Ik geef het woord aan de heer
Dassen van Volt voor zijn tweede termijn.

De heer Dassen (Volt):

Dank, voorzitter. Ik zal het kort houden. Ik wil de Ministers en de Staatssecretaris
bedanken. Dank voor de toezeggingen van de Minister van JenV.

De voorzitter:

Nu had ik misschien toch die interruptie toe kunnen laten. Maar goed, dat heb ik niet
gedaan. Hiermee komen we aan het einde van de tweede termijn van de kant van de Kamer.
Kunnen de bewindspersonen direct antwoorden? Ja? Kijk, dat is mooi. Ik geef het woord
aan de Minister van Veiligheid en Justitie.

Minister Grapperhaus:

Voorzitter. We hebben de spieren nu zo warmgedraaid dat dit moet kunnen. Ik begin
met de vraag van mevrouw Rajkowski over de deepfakes. Overigens mijn verontschuldigingen
dat ik deze vraag niet meteen kon beantwoorden. Waarom worden deepfakes niet bestempeld
als hoog risico in de concept-AI-verordening? Ik weet niet precies wat de exacte overwegingen
van de Commissie zijn. Wij denk dat de Commissie systemen als hoog risico heeft bestempeld
als daarmee een groot risico is dat er fouten in het systeem sluipen, met nare gevolgen.
De conformiteitsbeoordeling die een ontwikkelaar voor hoogrisicosystemen moet doorlopen,
zorgt er dan dus voor dat er bijvoorbeeld niet per ongeluk wordt gediscrimineerd.
Bij deepfakes gebeurt echter iets heel anders. Mensen kunnen ze gebruiken voor het
maken van ongewenst of strafbaar materiaal. Gezien de beperkte fantasie van mensen
is dat vaak pornografisch of gebruiken mensen ze om er strafbare gedragingen mee te
verrichten, bijvoorbeeld het oplichten van iemand. Deepfakesystemen als hoog risico
bestempelen lost denk ik dus ook niet zo veel op, want het gaat vooral om wat de gebruiker
ermee doet. Wel moeten we zeker stellen dat het strafrecht en de AVG voldoende toegerust
zijn om met deepfakes om te gaan. Juist daarom heb ik dat onderzoek door het WODC
laten verrichten. Dat wordt in januari aan uw Kamer aangeboden. Ik zou dan wel voorstellen
dat we snel met de beide commissies, namelijk de commissie Justitie en Veiligheid
en deze commissie, misschien zelfs gecombineerd, kijken wat we daarvan vinden en hoe
we daarmee verder willen gaan.

Mevrouw Kathmann had de vraag over het meenemen van de strategie in het spoor van
werkgelegenheid en opleidingen. De NCSA is onderdeel van de ambitie die gaat over
de kennisontwikkeling. Ook hier hebben we, zoals ik in mijn eerste termijn heb aangegeven,
een enorme noodzakelijkheid. Er zijn goede private initiatieven. Ook zit het in de
fakkel die ik zal overdragen aan een volgend kabinet: maak hier een speerpunt van
in de nieuwe integrale cybersecuritystrategie. Daar wordt ook op aangedrongen in het
advies van de Cyber Security Raad. Dat advies geeft ook de noodzaak aan van integraliteit,
waar OCW weer nauw bij betrokken moet zijn. Ik kan het wel vinden, maar uiteindelijk
moet ook vanuit OCW hierop worden ingezet, omdat niet alleen opleidingen van groot
belang zijn, maar ook de interesse van mensen om daarnaartoe te gaan.

Voorzitter. Mevrouw Kathmann miste het punt van Clearing House. In het kader van de
altijd doorlopende dienstverlening doe ik het gewoon nog een keer. De rol die Clearing
House wil uitvoeren, past binnen de ambitie die het kabinet heeft om te komen tot
een landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden. Mijn ministerie
is ook in gesprek met de initiatiefnemers om te bekijken op welke wijze we dit kunnen
opnemen binnen het landelijk dekkend stelsel. Daarbij staat voorop dat het belangrijk
is dat het NCSC het overzicht houdt van wat er in Nederland gebeurt en het zo de operationele,
coördinerende en crisisrol zo goed mogelijk kan vervullen. We erkennen dat er obstakels
zijn op het gebied van informatiedeling. Ik heb dat vandaag al een keer of acht gezegd;
mevrouw Kathmann was daar vanochtend ook bij. We moeten zorgen dat we die obstakels
met elkaar, uw Kamer en het kabinet, oplossen.

Voorzitter. Dan de vraag over de ziekenhuizen en het wetsvoorstel. Mevrouw Rajkowski
vroeg: wanneer komt dat wetsvoorstel? Ik zei, maar ik zal dat nog iets meer expliciteren,
dat de AP advies heeft uitgebracht. Dat wordt nu in het voorstel verwerkt. We delen
de urgentie over het onderwerp. Ik doe mijn uiterste best om daar een voorspoedige
voortgang in te krijgen. Dit betekent dat het de volgende ronde gaat richting de ministerraad
en daarna naar de Raad van State.

Voorzitter. Dan de ziekenhuizen: zijn die vitaal of niet? De heer Amhaouch wil ik
even zeggen dat de Minister van VWS daar momenteel naar kijkt. De laatste stappen
worden gezet. Bij de behandeling van de cybersecuritywet – die werd door uw Kamer
omgedoopt tot Wbni omdat dit makkelijker zou zijn voor het publiek – in 2018 heb ik
toegegeven dat ik zelf misschien enigszins verrast was dat deze sector er nog niet
bij zat. Maar in eerste instantie is dat een keuze van de betreffende sectoren zelf.
Maar ik ben het geheel met de heer Amhaouch eens dat we er nu echt heel goed naar
moeten kijken. Ik denk dat nu al de ondersteuning plaatsvindt door het NCSC, maar
we zouden hopelijk snel moeten horen dat die ook richting vitaal gaat.

Dan toch nog iets over het governancestelsel: moeten we niet toegroeien naar een organisatie
met één integrale eindverantwoordelijkheid voor cybersecurity? Als we het te gecentraliseerd
doen, krijg je mogelijk een verlies van expertise en verantwoordelijkheid. Vergeeft
u mij, voorzitter, dat ik in de schorsing van het debat hardop mijn gedachte uitsprak
dat we moeten oppassen dat we straks niet een nationaal coördinator nodig hebben om
alle nationaal coördinatoren te coördineren. Ik begrijp die gedachte wel, maar ik
heb in de eerste termijn uitgelegd – dat wil ik toch nog eens benadrukken – dat het
op dit moment goed is dat we naast het NCSC en de NCTV ook nog steeds de verantwoordelijkheid
hebben bij het Digital Trust Center. Degenen die, tussen aanhalingstekens, «onder
de een of onder de ander» vallen, hebben een heel verschillend uitgangspunt. Als je
een overheidsinstelling bent, is dat heel wat anders dan als je een private onderneming
bent. Maar goed, er is vergaande samenwerking en uitwisseling. Dat is erop gericht
om de beschikbare experts zo efficiënt mogelijk in te kunnen zetten en een eenduidig
geluid vanuit de overheid te laten horen. In deze decembermaand, waarvan het zeer
goed mogelijk is dat dit de laatste maand is dat dit demissionaire kabinet er is,
maar misschien ook net niet, vind ik dat we dat echt nog vanuit die indeling moeten
doen. Maar ik kan mij voorstellen dat hier in de toekomst zeker nog verder over wordt
gedebatteerd met uw Kamer, met name met uw Kamercommissie.

Dan de onlineveiligheid van vrouwen. Daar heb ik in de eerste termijn niets over gezegd.
Dat is misschien zo omdat ik daar vanmorgen – mevrouw Kathmann kan getuigen – apart
aandacht aan heb besteed. Ik heb dit bij de criminaliteitsbestrijding als apart onderwerp
behandeld. Mevrouw Van Ginneken weet dat ik hier echt veel aan heb gedaan en wil blijven
doen. Bij mijn aantreden vond ik dat we daar stappen in moesten zetten; ik geef toe
dat dit kwam doordat ik geconfronteerd werd met de vrouwen die de MeToobeweging droegen.
Die stappen zijn op een aantal punten gezet. Een van die stappen is geweest om ervoor
te zorgen dat we volledig volgens het Verdrag van Istanbul werken met toepasselijkheid
op alle vormen van geweld tegen vrouwen, met inbegrip van huiselijk geweld, dat vrouwen
buitenproportioneel treft. Dat is artikel 2, lid 1. Al dat geweld, zoals stalking,
dwingende controle en psychologisch geweld, kan zich ook allemaal online manifesteren.
Het verdrag biedt dus al aanknopingspunten om het op dit punt te kunnen bestrijden.
Ik zal erop inzetten – dat doe ik op dit moment ook al – om nu juist vanuit het Ministerie
van Justitie en Veiligheid te benadrukken dat wat offline geldt, ook online moet gelden.
De collega's hebben dat ook herhaald. Al die vormen moeten we dus net zo stevig aanpakken
als het om onlinesituaties gaat.

Ik kijk even naar de Kamerleden. Ik dacht dat ik hiermee alle vragen heb beantwoord.

De voorzitter:

Dan geef ik mevrouw Rajkowski als eerste het woord voor een korte vraag.

Mevrouw Rajkowski (VVD):

Dank voor de beantwoording van mijn vraag over het al dan niet tijdelijk aanmerken
van ziekenhuizen als vitaal. Ik begreep dat de Minister van VWS daarnaar kijkt. Wanneer
krijgen wij als Kamer wat te horen? Dan kan dit wellicht als toezegging genoteerd
worden.

Minister Grapperhaus:

Nee, daar zou ik niet een toezegging over willen doen. Ik wil veel punten toezeggen,
maar ik vind dat ... Kijk, ik heb aangegeven dat ik de urgentie zie van het wetsvoorstel
waarin dit ingepast zou moeten worden. We zijn bezig om het advies van de AP daarin
te verwerken. Ik kan u verzekeren dat we ondertussen een beleefde aansporing hebben
jegens bewindspersonen en departementen waar nog vragen uitstaan, zoals deze. Zo kunnen
we in het nieuwe jaar hier snel bij uw Kamer op terugkomen. Ik vind dat ik even geen
datum moet noemen uit hoofde van.

De voorzitter:

Dan geef ik het woord aan mevrouw Van Weerdenburg voor een korte vraag.

Mevrouw Van Weerdenburg (PVV):

Ik had de Minister van JenV gevraagd of zijn ambtenaren straks third-party apps mogen
sideloaden op hun Apple-apparaten.

Minister Grapperhaus:

Ik heb heel veel verantwoordelijkheden, maar ik ga niet over wat mijn ambtenaren mogen.
Daar zal straks de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
op ingaan, want hij gaat over de digitale rijksoverheid en over ambtenaren.

De voorzitter:

Mevrouw Van Ginneken heeft ook nog een vraag.

Mevrouw Van Ginneken (D66):

Ik slik mijn vraag in. Daar zult u blij om zijn.

De voorzitter:

Nou, kijk eens aan! Niemand anders nog? Niet? Dan geef ik het woord aan de Minister
van Economische Zaken.

Minister Blok:

Dank u wel, voorzitter. De eerste vraag aan mij was ook van mevrouw Van Weerdenburg.
Die vraag gaat dezelfde route, omdat omgang met IT niet per ministerie bepaald wordt,
maar rijksbreed.

Zowel mevrouw Van Ginneken als de heer Amhaouch ging in op de positie van mkb'ers,
die ook vitaal kan zijn in de keten. Zij vroegen hoe we daarbij om kunnen gaan met
certificering en standaardisering. Ik grijp dan toch weer terug op de zwaarte van
de risico's zoals ik die aan het begin geschetst heb, dus de zwaarte van de risico's
voor de samenleving als geheel. Om die in te perken moet je bij een aantal vitale
organisaties zware instrumenten inzetten. De term «zwaar» zal ook door de organisatie
zo ervaren worden. Iets als een meldplicht, dat is echt wat. De heer Amhaouch heeft
zich er vaak expliciet over uitgesproken, maar misschien heeft mevrouw Van Ginneken
er soortgelijke opvattingen over, dat we een balans moeten vinden tussen het werkbaar
houden van regelgeving voor het mkb en het dienen van veiligheidsbelangen. Het is
mogelijk dat een meldplicht die acceptabel kan zijn voor een grote bank of een groot
energiebedrijf, niet te dragen is voor een mkb'er. Ook op het moment dat die mkb'er
ondanks zijn omvang ergens in een keten een cruciale rol speelt, heeft hij gewoon
niet de omvang om zo'n meldplicht te kunnen dragen. Ook daar geldt toch weer een beetje
de vergelijking met brand – sorry. Ook bij dat grote bedrijf in Zuid-Nederland dat
we niet steeds willen noemen kan brand uitbreken. Dan komt de brandweer en misschien
treedt het rampenplan in werking, maar het moest zelf gaan over de blusinstallatie
en het voorkomen van brand. Via het Digital Trust Center en onze contacten met bedrijven
en branches willen we ze daarbij ondersteunen, maar ik wil echt zorgvuldige maatvoering
in wat verplicht is.

De heer Dassen had ik beloofd om nog te kijken of wij iets specifiekere informatie
hebben over de Britse evenknie van DTC en NCSC. Die is inderdaad een stap verder als
het gaat om de snelheid en het realtime informeren, dus die is een lichtend voorbeeld.
Ik gaf al aan dat we contact met hen hebben. We zijn nog niet zover, maar ongeacht
het onderwerp vind ik altijd dat Nederland bij de beste vijf in de wereld moet horen,
dus dat vind ik hier ook.

Hiermee hoop ik de aan mij gestelde vragen beantwoord te hebben.

De voorzitter:

Ik zie dat er geen woordmeldingen zijn, dus dat zal naar tevredenheid zijn geweest.
Dan geef ik tot slot het woord aan de Staatssecretaris van Binnenlandse Zaken.

Staatssecretaris Knops:

Dank u wel, voorzitter. Allereerst de vraag van mevrouw Van Weerdenburg, die langzaam
deze kant op is geschoven. Daarvan zou ik het volgende willen zeggen. Het was een
interessante vraag die ik graag schriftelijk wil beantwoorden. Dat doe ik uiteraard
mede namens de collega's van JenV en EZK. Dit vraagt in ieder geval wat nadere doordenking.

De voorzitter:

Als dat de inhoud van het antwoord ten goede komt, is dat natuurlijk altijd goed.
Wel wil ik opmerken, ook als ordebewaker, dat mevrouw Van Weerdenburg deze vraag inmiddels
vijf keer heeft gesteld in dit debat. Ik geef u zo nog de kans om hierop te reageren,
maar zou dus de oproep willen doen om deze vraag snel en het liefst zo volledig mogelijk
te beantwoorden. U bent volledig vrij om iedere bewindspersoon van wie u denkt dat
het goed is in de ondertekening mee te nemen. Maar het is wel een aantal keren gevraagd
door mevrouw Van Weerdenburg. Het was een belangrijk punt in haar betoog en in verschillende
interrupties.

Staatssecretaris Knops:

Zeker, voorzitter, maar ...

De voorzitter:

Het is terecht als u zegt dat u het zo beter kunt beantwoorden, maar ik vind het voor
mevrouw Van Weerdenburg, die dit een aantal keren te berde heeft gebracht, een ietwat
teleurstellende uitkomst. Ik geef haar ook zelf nog het woord.

Mevrouw Van Weerdenburg (PVV):

Die conclusie deel ik, maar ik stel u tegelijk gerust. Ik zal hier vaker op terugkomen,
maar ik heb geen bezwaar tegen schriftelijke beantwoording. Maar zou de Staatssecretaris
dan misschien ook even terug kunnen lezen wat we in het debat over de DMA hebben gezegd?
We hebben die discussie ook met Minister Blok gehad. De conclusie was dat eigenlijk
niemand over de kwaliteit van de apps van third party appstores gaat. Dat was een
redelijk schokkende conclusie, maar dat is dus de realiteit. Kunt u daarop ingaan?
Want dit is eigenlijk een black box. Natuurlijk is het ieders eigen verantwoordelijkheid
als je dat downloadt, maar ook de goedwillende burger die het niet verkeerd wil doen,
kan daarin trappen. Daarom sloeg ik even aan op wat de Minister van EZK zei: «Het
is geen systeemrisico». Dat geldt wellicht voor een «privéburger», maar dat is dus
anders voor een rijksambtenaar. Vandaar dat ik het toch wel belangrijk vind dat we
hier goed op doorvragen.

Staatssecretaris Knops:

Zeker. Het feit dat een vraag vijf keer gesteld wordt of dat er geen antwoord op komt,
zegt overigens niets over de vraag en over de kwaliteit van de vraag; integendeel.
Ik vind alleen dat als ik een antwoord geef, dat antwoord wel doordacht moet zijn.
Dit raakt aan veel departementen. Dat is dus de reden waarom ik de vraag graag schriftelijk
wil beantwoorden, want de laatste specificatie van de vraag van mevrouw Van Weerdenburg
gaat over rijksambtenaren. Dat is inderdaad mijn verantwoordelijkheid, maar er zitten
ook een aantal andere aspecten aan, die u ook in het debat heeft genoemd. Het lijkt
mij goed dat u, juist recht doend aan uw vraagstelling, een zorgvuldig antwoord krijgt.
Vandaar mijn voorstel om dit schriftelijk te doen.

Mevrouw Kathmann vroeg zich af of wat zij «een cyberaangifte» noemde, geen goed idee
zou zijn. «Aangifte» associeer ik toch een beetje met een soort belastingaangifte.
Als ik het goed heb begrepen, doelde zij op het melding maken door overheidsorganisaties
van de staat van de cyberveiligheid.

Mevrouw Kathmann (PvdA):

Nee. Bij ondernemers moet de boekhouder zorgen dat de boeken op orde zijn. Je doet
dus altijd een soort aangifte of in ieder geval een check of je financiën op orde
zijn. Je zou zoiets ook kunnen doen met cyber. Daarmee creëer je in ieder geval bewustwording
en heb je een soort minimumstandaard in de zin van: heb je het afgelopen jaar die
cyberchecklist afgewerkt?

Staatssecretaris Knops:

Dank voor de verheldering. Wij zijn op dit moment met audit- en accountantsorganisaties
aan het nadenken en aan het kijken hoe je dit zou kunnen gaan doen. Is daar een model
voor te maken dat een soort standaard zou kunnen zijn en daarmee behulpzaam zou kunnen
zijn, omdat je daarmee een minimum ... Het kan ook meer zijn dan een minimum. Je toets
daarmee een set van eisen, net zoals je dat doet met een accountant die de jaarrekening
controleert. Er wordt op dit moment dus al nagedacht over hoe dat vormgegeven kan
worden. Dat is één. Twee: bij overheidsorganisaties en departementen valt dit nu al
onder de verantwoordelijkheid van de CISO Rijk. In de Jaarrapportage Bedrijfsvoering
Rijk rapporteer ik nu al aan de Kamer over dit onderwerp, maar dat ziet dus alleen
op de departementen en de rechtstreeks daaronder ressorterende uitvoeringsorganisaties,
bijvoorbeeld agentschappen. Daar vallen de zbo's en zo niet onder, maar dit is wel
een goed voorbeeld van voortschrijdend inzicht en van ontwikkeling ten aanzien van
de eisen die we ook hieraan stellen. Het korte antwoord is dus: daar wordt op dit
moment ook over gesproken. Voor decentrale overheden, bijvoorbeeld gemeenten, zou
dit ook een model kunnen zijn. Daar reikt mijn verantwoordelijkheid alleen niet toe.
Dat is een autonome bevoegdheid van gemeenten.

Dan de vraag of suggestie van mevrouw Kathmann over de wetgeving zoals die in Australië
geldt voor desinformatie. Die wetgeving heb ik nog niet helemaal kunnen bestuderen.
Ik zou willen voorstellen om deze vraag door te geleiden naar de Minister van BZK,
die hier primair verantwoordelijk voor is, zodat hij u informeert over de pro's en
cons van een dergelijke wetgeving. Dat zal dan begin volgend jaar worden.

Mevrouw Rajkowski (VVD):

Dan zou ik bij dezen toch ook even mee willen geven dat de Australische wet- en regelgeving,
waarmee kan worden opgespoord wie allemaal wat online zegt, natuurlijk heel aantrekkelijk
klinkt. Dat heeft wel als implicatie dat wij allemaal op te sporen moeten kunnen zijn.
Als jij een Twitteraccount, een socialmedia-account of Facebookaccount aanmaakt, moeten
zij dus de identiteitscheck kunnen doen, want dat is de enige manier om zeker te weten
wie er achter de knoppen zit. Dat vind ik toch wel een hele gevaarlijke route. Bij
de afweging die de Staatssecretaris gaat maken, zou ik dus ook de VVD-wens toch even
willen meegeven.

De voorzitter:

Ik geloof dat het is overgekomen.

Staatssecretaris Knops:

Ik weet niet of er nog meer mensen zijn. Zo ja, dan kunnen we ze meteen meenemen naar
aanleiding van dit debat. Anders zullen we dat zeker doen. Ik zal het doorgeleiden
naar de Minister.

De voorzitter:

Dan zijn we aan het eind gekomen van dit debat, maar niet voordat ik de toezeggingen
nog eventjes met u heb doorgenomen. Sommige toezeggingen hebben deadlines, andere
niet, dus het kan zijn dat ik bij een toezegging even schuin kijk naar een bewindspersoon
om te zien of daar nog een tijdindicatie bij kan komen. Als dat niet het geval is,
dan kan dat natuurlijk ook.

– Er komt naar aanleiding van een vraag van de heer Dassen een overzicht van de inzet
van middelen voor cybersecurity of digitale veiligheid.

– Er komt een antwoord op de vraag van het lid Leijten over hoe het precies zit met
een onderraad, de verslaglegging daarvan en inzicht via de Wob.

– Er is een gegevensveiligheidsmonitor. Dat is een schatting van de maatschappelijke
en economische schade. Die wordt nog een keer naar de Kamer gestuurd. Dat was naar
aanleiding van een vraag van de heer Dassen.

– Er wordt een overzicht opgesteld van alle campagnes die de afgelopen tijd zijn gevoerd
voor bewustwording van online veiligheid en digitale veiligheid. Daarbij wordt ook
gekeken naar een vergelijking met andere landen. Door die laatste toevoeging komt
die iets later, omdat er iets meer studietijd voor nodig is. Kunnen wij die voor de
zomer krijgen?

Minister Grapperhaus:

Ja.

De voorzitter:

Ja is het antwoord.

– Uiterlijk in «juno ... juno» – hihi – juni 2022 krijgen wij nadere informatie over
de implementatie van de aanbeveling over de cybersecurity op Schiphol en de stippenrapportage,
naar aanleiding van verschillende vragen van deze Kamer.

– In januari krijgen wij het onderzoek van het WODC over deepfake en over het als hoogrisico
meenemen daarvan in de Europese discussie over AI, naar aanleiding van een vraag van
mevrouw Rajkowski.

– Er is genoteerd dat de Minister van Economische Zaken nog terugkomt ... Daar ís hij
op teruggekomen, dus die toezegging is volgens mij al ingewilligd.

– Dan ben ik bij de Staatssecretaris. De Kamer wordt begin volgend jaar geïnformeerd
over het kabinetsstandpunt over de openbaarmaking van EU-rapportages over desinformatie,
naar aanleiding van een vraag van mevrouw Rajkowski.

– Op een vraag van mevrouw Van Weerdenburg over het sideloaden krijgen wij schriftelijk
antwoord. Daarbij wordt ook ingegaan op de risico's, zeker met betrekking tot de rijksambtenaren.

– Begin volgend jaar wordt de Kamer geïnformeerd over de Australische wetgeving over
desinformatie, naar aanleiding van een vraag van mevrouw Kathmann.

Heb ik iets vergeten?

De heer Dassen (Volt):

Voorzitter, ik heb een korte vraag. U noemde bij een van de toezeggingen «voor de
zomer». Ik zou me kunnen voorstellen dat het wellicht iets eerder mogelijk is om die
cijfers te delen. Dat ging specifiek over de bewustwordingscampagnes en de vergelijking
met andere landen.

Minister Grapperhaus:

In ieder geval voor de zomer van 2022. Help ik daar al mee of is dat nog niet genoeg?

De heer Dassen (Volt):

Ik zou verwachten dat dat toch iets ambitieuzer kan.

Minister Grapperhaus:

Ik ga mijn uiterste best doen om ervoor te zorgen dat dat er voor 1 april 2022 is.

De voorzitter:

Die van «juno» ging over het Algemene Rekenkamerrapport over Schiphol en de cybersecurity
daar. Aan de vergelijking van de bewustwordingscampagnes zat nog geen datum, maar
er was toegezegd: zo snel mogelijk. Dat werd iets later doordat er een internationale
vergelijking wordt gemaakt. Volgens mij zijn we zo rond.

Ik dank u allen voor uw aanwezigheid en voor het debat. Ik zie u allen volgende week
heel graag terug voor het eerste beleidsdebat van de commissie voor Digitale Zaken
dat dan naar verwachting in de plenaire zaal zal plaatsvinden.

Minister Grapperhaus:

Goed, en als u uw schoen zet, krijgt u allemaal nog een boekje.

Sluiting 17.35 uur.