Verslag van een commissiedebat : Verslag van een commissiedebat, gehouden op 25mei 2022, over eventuele anticipatie wetsvoorstel tot wijziging Wet beveiliging netwerk- en informatiesystemen

Nr. 7
VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 15 juni 2022

De vaste commissie voor Digitale Zaken heeft op 25 mei 2022 overleg gevoerd met mevrouw
Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid, over:

– de brief van de Minister van Justitie en Veiligheid d.d. 13 mei 2022 inzake eventuele
anticipatie wetsvoorstel tot wijziging Wet beveiliging netwerk- en informatiesystemen
(Kamerstuk 36 084, nr. 5).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie, Kamminga

De griffier van de commissie, Boeve

Voorzitter: Kamminga

Griffier: Van Tilburg

Aanwezig zijn zeven leden der Kamer, te weten: Beckerman, Bouchallikh, Van Ginneken,
Kamminga, Koekkoek, Rajkowski en Van Weerdenburg,

en mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid.

Aanvang 16.00 uur.

De voorzitter:

Goedemiddag allemaal. Ik heet u allemaal welkom bij dit commissiedebat van de vaste
Kamercommissie voor Digitale Zaken. Uiteraard een bijzonder welkom aan de Minister
en haar staf, aan de leden, aan de Griffie en aan de ondersteuning van de bodes, maar
ook aan de mensen die thuis kijken of op de publieke tribune. Ik zie één iemand binnenkomen.
Welkom.

We hebben een debat van één uur, dus ik stel voor onze tijd goed en nuttig te gebruiken.
Ik wil daarbij opmerken dat iedereen twee minuten spreektijd heeft. Ik wil vragen
om de interrupties op elkaar, gelet op de aard van dit debat, te beperken tot feitelijke
dingen. Laten we ons vooral tot de Minister richten. Voor de wet waar het stuk op
ziet, hebben we nog een separaat behandelingstraject. Daar zou ik dus ook terughoudend
in zijn. Laten we ons focussen op het stuk dat nu voorligt.

Dat gezegd hebbende, wil ik mevrouw Van Ginneken het woord geven.

Mevrouw Van Ginneken (D66):

Dank, voorzitter. Om te beginnen: dit debat overlapt een ander debat waar ik geacht
word te zijn. Ik ga dus vooral mijn positie even toelichten aan de Minister en dan
luister ik later het verloop het van de discussie wel terug.

D66 vraagt al heel lang om een structurele oplossing voor de versnippering in de digitale
weerbaarheid. We moeten alle bedrijven en organisaties beter beschermen en niet alleen
de vitale. Deze wet heeft die ambitie. Het is goed dat de Minister zegt: ik wil hier
al eerder met jullie over praten, want er is enige urgentie. Die zorgen van de Minister
deel ik, maar tegelijkertijd voelt deze manier van werken een beetje ongemakkelijk.
Er is nog geen wet, maar we willen toch in bepaalde gevallen dingen kunnen doen die
we eigenlijk later beter willen gaan regelen. D66 vindt heel nadrukkelijk dat de overheid
zich aan de wet moet houden. We weten ook dat dat niet altijd gebeurt. Ik noem even
een NCTV.

Voor de uitwisseling die de Minister van plan is te gaan doen, is geen wettelijke
grondslag op dit moment. Vanwege het grote belang van digitale weerbaarheid voor economie
en onze samenleving snap ik best dat we met de anticipatie die de Minister van plan
is iets kunnen bereiken, maar ik zie dat heel nadrukkelijk als een noodoplossing.
Als de Minister deze bevoegdheid wil gaan gebruiken, die dus eigenlijk een informele
bevoegdheid is, willen we in de eerste plaats heel goed kunnen zien hoe, waarom en
wanneer die gebruikt is. Dat moet ook naspeurbaar zijn, zodat we daar hier in de Kamer
met elkaar een goed gesprek over kunnen voeren en de Minister verantwoording kan afleggen.
Het gaat heel nadrukkelijk om echt heel zwaarwegende incidentele gevallen met een
grote impact als we niks doen.

Als derde voorwaarde zou ik dan aan de Minister willen geven dat dit een tijdelijke
afspraak is, een tijdelijke ruimte. Die blijft wat mij betreft beperkt tot een aantal
maanden. Na die maanden komt ofwel het definitieve wetsvoorstel waarover we met elkaar
kunnen spreken of de Minister gaat – dat sta ik haar dan toe – opnieuw hierover met
gesprek met de Kamer om te kijken of we het misschien met nog een paar maanden kunnen
verlengen.

We willen het dus graag van dichtbij kunnen volgen en echt alleen in zwaarwegende
incidentele gevallen. Onder die voorwaarden – ik ben heel benieuwd naar de nadere
uitwerking in het debat – kan ik het steunen.

De voorzitter:

Dank u wel, mevrouw Van Ginneken. Ik heb u iets meer tijd gegeven dan die twee minuten,
omdat u het debat moet verlaten en u daardoor geen tweede termijn meer heeft. Ik doe
een beroep op de collega's om wat meer binnen de tijd te blijven. Als er geen interrupties
zijn, ga ik naar mevrouw Beckerman.

Mevrouw Beckerman (SP):

Dank u wel, voorzitter. We hebben het vandaag inderdaad niet over de wet, maar wel
over de vraag of het noodzakelijk is om op dit moment al bevoegdheden te geven aan
het Nationaal Cyber Security Centrum die geen wettelijke basis hebben, maar die het
wel mogelijk maken dat er persoonsgegevens gedeeld worden. Daarover heeft de SP een
aantal vragen.

Als deze wijziging noodzakelijk is voor crisissituaties, hebben wij dan onze structuren
nu niet op orde? Wat is de rol van de MIVD en de AIVD bijvoorbeeld? Die zouden toch
ook al zo'n aanval kunnen zien aankomen? En zo nee, functioneren deze diensten dan
naar behoren? Zijn deze diensten in staat om de betreffende bedrijven of sectoren
die bedreigd worden te waarschuwen als dat in het nationaal belang is?

Wat wij ons vooral afvragen, is waarom nou juist de oorlog in Oekraïne aanleiding
is voor deze haast, terwijl er eigenlijk al jarenlang – de fractie van D66 zei het
net ook – wordt gewaarschuwd voor de mogelijkheid van een digitale aanval. In hoeverre
is het noodzakelijk dat er persoonsgegevens gedeeld worden als bedrijven of instellingen
moeten zorgen dat een digitale aanval wordt afgeslagen? Kan de Minister voorbeelden
geven van in welke situaties dat noodzakelijk is? Waarom is er niet voor gekozen om
deze wijziging in de dienen bij de Kamer na de aanvallen die de regering zelf benoemt
in haar brief, in 2017 op een containeroverslagbedrijf en in 2021 toen de software
van notarissen niet werkte, of na de kwetsbaarheid binnen het mailprogramma van Microsoft?

Voorzitter. Zoals ik aangaf twijfelt mijn fractie, maar niet aan de noodzaak van digitale
weerbaarheid. Die is voor mijn fractie volkomen helder. Mijn fractie snapt ook dat
er in een crisissituatie soms pragmatisch gehandeld dient te worden om erger te voorkomen.
Maar de SP ziet ook dat er veel misgaat als het gaat over het delen van data van mensen,
ook bij het Ministerie van Justitie en Veiligheid. Niet voor niks mag deze Minister
nog een wetsvoorstel verdedigen, omdat de NCTV jarenlang zijn boekje te buiten ging
als het ging om data verzamelen. Daarom heeft de SP echt behoefte aan duidelijkheid
over waarom dit met haastige spoed door de Kamer moet.

Voorzitter. Ik ga afronden. Hoewel deze Minister aangeeft dat er een handelingskader
is en er altijd informatie met de Kamer gedeeld wordt, vereist dat ook dat we ervan
op aan kunnen dat de informatievoorziening aan het parlement op orde is. Het is niet
het moment om hier het hele debat te voeren. Mijn fractie is nog niet overtuigd, maar
wacht wel graag de reactie af.

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Beckerman. Ik zie dat mevrouw Rajkowski daar een vraag over heeft.

Mevrouw Rajkowski (VVD):

Ook even voor de VVD om het te begrijpen: zit de twijfel in het instrument of zit
die in «is er nu wel een cyberoorlog gaande»? Aan welke kant zit die?

Mevrouw Beckerman (SP):

De twijfel zit op beide in de zin zoals wij aangaven. We zien nu dat er eigenlijk
al veel misgaat. We hebben natuurlijk veel debatten over digitale weerbaarheid. Onze
twijfel zit in: is die urgentie nu zodanig dat we niet kunnen wachten op die wet?
Als dat zo is, dan vragen we ons het volgende af. De Minister noemt in de brief allemaal
zaken die eerder, in 2017, hebben gespeeld. Waarom is ze dan niet eerder gekomen met
dat wettelijke kader? We willen heel graag overtuigd worden van de noodzaak, van waarom
deze haast zo noodzakelijk is en we niet de wetsbehandeling kunnen afwachten.

De voorzitter:

Dank u wel, mevrouw Beckerman. Dan ga ik door naar mevrouw Rajkowski voor haar eigen
inbreng.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Nederland ligt digitaal onder vuur. Onze universiteiten, onze overheden
en onze bedrijven worden dagelijks aangevallen door criminele cyberbendes, statelijke
actoren maar ook andere kwaadwillenden die uit zijn op onze kennis en ons geld of
die de stabiliteit in Nederland willen verstoren. De oorlog in Oekraïne maar ook het
veranderde geopolitieke speelveld, ook in het cyberdomein, maken weer eens pijnlijk
duidelijk hoe kwetsbaar je kan zijn. De Autoriteit Persoonsgegevens berichtte vandaag
dat 7 miljoen keer informatie van Nederlanders via datalekken, bijvoorbeeld bij gemeenten,
op straat is komen te liggen. Wat de VVD betreft is de urgentie er dus zeker. Op dit
moment hebben onze inlichtingendiensten informatie over potentiële hacks die zij alleen
met vitale aanbieders mogen delen. De rest van Nederland tast dus in het duister.

Voorzitter. Een vraag over deze anticipatie. Hoe verhoudt die zich tot de Wet bevordering
digitale weerbaarheid bedrijven? En wat wordt dan de rol van het DTC? Het DTC is nu
juist degene die communiceert met niet-vitale bedrijven. Het NCSC gaat dat nu ook
tijdelijk doen. Hoe gaat dat dan geregeld worden? Voor de VVD staat voorop dat de
juiste informatie snel en bij de juiste organisaties terecht moet komen.

Kort gezegd, de VVD steunt de Minister in haar verzoek om, voordat de uitgebreide
wetsbehandeling is geweest, in zeer uitzonderlijke gevallen heel belangrijke informatie
te delen met niet-vitale aanbieders. De VVD heeft hier niet voor niets al vaker een
lans voor gebroken. Het zou wat ons betreft echt van de zotte zijn dat als wij hacks
of andere kennisjatterij kunnen voorkomen, wij dat niet zouden doen.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Dan ga ik naar mevrouw Bouchallikh.

Mevrouw Bouchallikh (GroenLinks):

Dank u wel, voorzitter. Cybersecurity is ontzettend belangrijk; laat ik dat vooropstellen.
Dat is ook niet de discussie van vandaag. Het gaat ons om het proces. Ik schrok van
de brief die de Minister ons afgelopen week heeft gestuurd. Daarin lezen we dat zij
het NCSC meer bevoegdheden wil geven om persoonsgegevens en andere vertrouwelijke
gegevens te delen zonder dat zij hier een wettelijke grondslag voor heeft en ook nog
zonder precies te weten of de wet überhaupt doorgang zal vinden. Ik lees in de brief
van de Minister dat zij erop anticipeert dat zich in de nabije toekomst digitale dreigingen
en incidenten voordoen en dat daarom de Wbni nu al ingezet moet worden. Maar dit is
toch niet anticiperen? Dit is de nog niet besproken wet stelselmatig uitvoeren. Daar
hebben we een brief van een paar kantjes over gekregen. Wij vroegen ons daarbij af
waarom niet is aangedrongen op een spoedbehandeling in de Kamer. Als we die wet dan
zo nodig zo snel moeten gaan inzetten, dan vinden wij het belangrijk om daar met z'n
allen op een gedegen manier naar te kunnen kijken. Of beter nog: waarom is de wet
überhaupt niet eerder ingediend?

Dan de gevolgen van de anticipatie. In het rapport Algoritmes getoetst van de Algemene
Rekenkamer staat dat de algoritmes die het slechtst uit hun toetsingskaders komen
momenteel ingezet worden onder de verantwoordelijkheid van het Ministerie van Justitie
en Veiligheid. Juist dit ministerie wil meer bevoegdheden geven zonder de bijpassende
verantwoordingsmechanismen. Kan de Minister toelichten hoe zij gaat garanderen dat
het NCSC niet meer doet dan waar het de bevoegdheden voor heeft zonder gepast toezicht
en verantwoording, zoals bij de NCTV is gebeurd in 2021?

Ik check heel even de tijd. O, die heb ik niet ingesteld. Hoeveel heb ik nog? Een
halve minuut? Oké.

Tot slot over de Autoriteit Persoonsgegevens. In de brief van de Minister wordt genoemd
dat deze bevoegd is om de naleving van de Algemene verordening gegevensbescherming
te handhaven. Bedoelt de Minister hiermee dat de verantwoordelijkheid voor het toezicht
op het NCSC bij de AP ligt? Ziet de Minister in dat de huidige verantwoordelijkheden
van de AP in een iets ander domein liggen dan cybersecurity?

Dank u wel.

De voorzitter:

Dank u wel, en nog steeds keurig binnen de tijd. Dank u wel daarvoor. Het geeft helemaal
niks. Daar hebben wij ook de ondersteuning voor, maar dank daarvoor. Dan gaan we door
naar mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Ik kan voor een groot deel aansluiten bij de vorige sprekers, ook
wat de vragen betreft, van D66, de SP en GroenLinks. Ik zal dus een verkorte versie
doen, ook omwille van de tijd.

Op 7 april jongstleden hebben we al met de Minister gesproken over de Wbni en de noodzaak
van een snelle behandeling en invoering daarvan. We hebben toen toegezegd dat we dat
zullen doen. Bij die gelegenheid hebben we de Minister ook opgeroepen om haast te
maken met die wet en te kijken of er een mogelijkheid was om een tijdelijke oplossing
te zoeken totdat de wetsbehandeling is afgerond. Daarbij gaf ik aan dat wat de PVV
betreft niet geschuwd moest worden om heilige huisjes om te schoppen indien noodzakelijk.
Maar daar bedoelde ik natuurlijk niet mee dat ze de rechtsgrond maar even overboord
moest gooien. Ik zat meer te denken aan organisatorische aanpassingen, een stelselwijziging,
even vooruitlopend op de nieuwe integrale Nederlandse cybersecuritystrategie waar
de Minister al mee bezig is en die we, zo is al toegezegd, voor de zomer zullen ontvangen.
Een voorbeeld is het samenvoegen van het NCSC en het DTC. Daar hebben we toen ook
over gesproken. Deze brief heeft de PVV dus onaangenaam verrast. Wij vinden het een
ongemakkelijke optie om alvast iets toe te staan, vooruitlopend op een wet.

De vorige spreker had het ook al even over de NCTV. Daar is natuurlijk ook behoorlijk
wat ophef over ontstaan een aantal weken geleden. Die affaire heeft bij de PVV ook
een hele nare smaak achtergelaten. Ongetwijfeld zullen mijn collega-woordvoerders
daarover nog een flink appeltje te schillen hebben met deze Minister, maar we zijn
nu hier voor de Wbni. Ik wil de Minister nog één keer vragen: welke samenwerkingsvormen,
welke stelselopties heeft zij laten onderzoeken en bleken dus niet mogelijk, waardoor
ze deze optie heeft gekozen, en waarom waren die niet mogelijk?

Ik wil tot slot hier even gezegd hebben dat de partijen die nu tegen deze optie van
de anticipatie zijn niet straks de zwartepiet moeten krijgen, als er een cyberaanval
is en bedrijven schade oplopen. Het betekent niet dat we niet de urgentie zien dat
de Wbni er snel moet komen. We hebben allemaal toegezegd dat we meewerken aan een
snelle behandeling, maar ik wil wel voorkomen dat er straks gewezen wordt: maar jullie
wilden niet die anticiperende optie, dus zijn jullie medeverantwoordelijk. Dat wilde
ik even gezegd hebben.

Dank, voorzitter.

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Ik zie dat dit een reactie oproept bij mevrouw
Rajkowski.

Mevrouw Rajkowski (VVD):

Natuurlijk is het nooit de schuld van welke partij dan ook. Het gaat om statelijke
actoren en cyberbendes. Dat is allemaal niet de schuld van deze Kamer, maar wij hebben
wel een verantwoordelijkheid voor een snelle behandeling. Heel eerlijk: als we kijken
naar de plenaire agenda en naar de lijst van commissiedebatten, dan kunnen we zeggen
dat we bijvoorbeeld die wet heel snel willen gaan behandelen, maar ik zie het niet
gebeuren. Bepaalde debatten over corona worden zelfs na het zomerreces gevoerd. Dat
is gewoon wat wij met z'n allen met deze agenda doen. Als we het echt zó erg vinden
wat er gebeurt en we weten dat overheidsteams mensen kunnen waarschuwen «zet die digitale
deur op slot, want ze gaan op deze manier proberen bij jou binnen te komen», dan zou
het toch zonde zijn als wij dat een halfjaar laten gebeuren terwijl in heel uitzonderlijke
gevallen, met al die waarborgen, iemand toch even een tip zou willen krijgen. Ik begrijp
de oproep van mevrouw Van Weerdenburg, maar het is niet zo dat wij helemaal geen verantwoordelijkheid
hebben.

De voorzitter:

En dan toch even uw vraag aan mevrouw Van Weerdenburg.

Mevrouw Rajkowski (VVD):

Of zij het met mij eens is.

Mevrouw Van Weerdenburg (PVV):

Ik ben het absoluut met mevrouw Rajkowski eens dat er een noodoplossing zou moeten
komen. Daar hebben we ook om gevraagd. Maar het is echt wel een brug te ver, zoals
mijn collega van GroenLinks al zei, dat we gewoon de wet maar alvast gaan uitvoeren
totdat die goed en wel behandeld is. Dat was niet de noodoplossing die ik voor ogen
had. Ik vind het moeilijk te geloven dat dat de enige optie is.

De voorzitter:

Nog één vervolgvraag, maar dan wel kort en ook echt een vraag.

Mevrouw Rajkowski (VVD):

Welke noodoplossing dan wel? Ik snap het allemaal wel. Dingen hadden misschien beter
gekund et cetera. Dat begrijpt mijn fractie allemaal wel. Daarom hebben we het verzoek
voor dit debat ook gesteund. Maar welke andere noodoplossing bieden wij dan als Tweede
Kamer?

Mevrouw Van Weerdenburg (PVV):

Ik wil het werk van de Minister niet doen. Zij heeft overigens veel meer ambtenaren
dan wij medewerkers. Maar kijk nog eens even goed naar een stelselwijziging. Kunnen
we niet desnoods tijdelijk het DTC en het NCSC misschien in een samenwerkingsverband
persen of wat dan ook? Ik heb toen gezegd: er moeten geen heilige huisjes zijn en
prestigeoverwegingen moeten niet meespelen. Het is natuurlijk niet zo leuk voor het
Ministerie van EZK als deze Minister gaat zeggen: nou, dat DTC ga ik toch even anders
inrichten. Dat snap ik allemaal wel, maar daar moeten we eventjes overheen springen.
Ik heb ook geen pasklare oplossing. Ik heb alleen het gevoel dat deze wel heel erg
ver gaat. Hebben we wel goed gezocht naar een minder ingrijpende oplossing?

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Dan mevrouw Koekkoek voor haar inbreng.

Mevrouw Koekkoek (Volt):

Dank u wel, voorzitter. Volgens mij is de Kamer redelijk eensgezind. Een aantal van
mijn vragen overlappen met wat eerder is gezegd. Voor mij valt het vooral uiteen in
waarom, wat en waarheen.

In het kader van «waarom» vroeg ik me af: waarom geen spoedwet? Dat lijkt de meer
zuivere route. Ik vraag me in dat kader ook nog af: heeft de Minister zo'n concreet
moment al meegemaakt in de afgelopen maanden? Is er een moment geweest waarop de Minister
dacht: nu bots ik tegen muren op? Kan ze ons een beetje meenemen in dat dilemma?

Los van de vragen die al gesteld zijn, vroeg ik me in het kader van «wat» ook af of
we dit afwegingskader moeten zien als een soort precedent, dus dat we in andere gevallen
waarin we gegevens moeten delen eenzelfde soort route kunnen en willen volgen. Ook
in andere gevallen speelt volgens mij een beetje de stress van spoed, geen wettelijke
basis en ingewikkeldheid.

Ten slotte het «waarheen», los van het precedent. Er werd volgens mij al gezegd dat
het toezicht bij de Autoriteit Persoonsgegevens ligt. Ligt dat voor het afwegingskader
dan ook bij de AP, en op welke manier? Ik heb zelf ook wel mijn twijfels over of de
AP dit aankan. Als het niet bij de AP ligt of teruggekoppeld wordt aan de Kamer, hoe
kan de Kamer dan ook goed meecontroleren? Heeft de Minister ook ideeën over hoe er,
wanneer die uitzondering ingeroepen wordt, niet alleen teruggekoppeld wordt, maar
de Kamer ook zelf kan meekijken? Dat kan eventueel via een advies van de AP over of
die uitzonderingsgrond om goede redenen ingeroepen is.

We zijn het er volgens mij met z'n allen over eens dat deze manier geen onderdeel
zou moeten worden van de vaste toolbox. Volgens mij is er consensus over dat we dit
niet altijd zo zouden moeten doen.

Misschien om met iets positiefs te eindigen: ik denk dat het ook wel weer interessant
is dat we met z'n allen zoeken naar hoe we verder kunnen met elkaar, nu er geen wettelijke
grondslag is. Ik hoor daarom heel graag wat de Minister allemaal aan ons kan meegeven.

De voorzitter:

Dank u wel, mevrouw Koekoek. Als er geen interrupties zijn, brengt dat ons bij het
einde van de eerste termijn van de Kamer. Ik heb net al even met een schuin oog naar
de Minister gekeken, die aangeeft een kwartier nodig te hebben.

De vergadering wordt van 16.19 uur tot 16.33 uur geschorst.

De voorzitter:

Ik zie dat iedereen terug is. Ik zie ook de Minister. Ik hoorde dat er een ordevoorstel
was.

Mevrouw Van Weerdenburg (PVV):

Nou ja, voorzitter. Gezien de tijd dacht ik dat we, als alle collega's het daarmee
eens zijn, misschien wat ruimer kunnen interrumperen en dan wellicht geen tweede termijn
hoeven doen.

De voorzitter:

Ik kijk even rond, of er inderdaad geen behoefte is aan een tweede termijn. Ik zie
mevrouw Beckerman ja knikken.

Mevrouw Beckerman (SP):

Ja, hoor. Ik ben het helemaal eens met het ordevoorstel.

De voorzitter:

Oké, geen tweede termijn. Dat betekent dat we iets meer ruimte hebben voor interrupties.
Dan doen we dat. Dan geef ik het woord aan de Minister voor de beantwoording.

Minister Yeşilgöz-Zegerius:

Dank u wel, voorzitter. Heel veel dank ook dat dit op dit moment kon. Toen ik de brief
stuurde, hoopte ik dat we het in het debat over digitale zaken konden behandelen,
maar dat is toen verzet. Dus erg fijn dat het op deze manier toch kan, dat we er hier
met elkaar bij stil kunnen staan.

Voorzitter. Wellicht een paar woorden vooraf. Wij signaleren dat de digitale dreiging
in Nederland groot is. Het Nationaal Cyber Security Centrum ontvangt dagelijks informatie
over computersystemen die mogelijk kwetsbaar zijn of gecompromitteerd zijn en het
is van belang dat het Nationaal Cyber Security Centrum deze informatie snel kan delen
en verspreiden, zodat bedrijven actie kunnen ondernemen. Volgens mij hadden we daar
de vorige keer ook consensus over en is dat nog steeds de stand van zaken. Het Nationaal
Cyber Security Centrum deelt deze informatie primair en direct met de rijksoverheid
en vitale aanbieders en daarnaast waar mogelijk met schakelorganisaties binnen het
Landelijk Dekkend Stelsel. Een voorbeeld van zo'n schakelorganisatie is het Digital
Trust Center voor het niet-vitale bedrijfsleven.

Voorzitter. Door een weeffout in de wet is het voor het Nationaal Cyber Security Centrum
nu niet altijd mogelijk om informatie te delen met deze schakelorganisaties. Hierdoor
weet het centrum dat bepaalde aanbieders kwetsbaar zijn voor specifieke digitale aanvallen
of dat ze zijn aangevallen, maar mogen zij deze aanbieders of hun schakelorganisaties
hier lang niet altijd over informeren. Hierover is in de Kamer verschillende keren
gesproken. Er is ook verschillende keren aandacht voor gevraagd, bijvoorbeeld door
de Cyber Security Raad. Om deze reden is afgelopen maand het wetsvoorstel tot wijziging
van de Wet beveiliging netwerk- en informatiesystemen bij uw Kamer ingediend. Met
het wetsvoorstel wordt het mogelijk dat het Nationaal Cyber Security Centrum in ruimere
zin dreigings- en incidentinformatie kan delen. We komen hierover te spreken.

Er is in het verleden al heel veel dreiging geweest. Ik weet dat deze commissie daar
zeer bij betrokken is geweest, al bestond die nog niet in deze vorm. Deze Kamerleden
wel. Nu zien we er een reële digitale dreiging bij komen, dus ik stond voor een dilemma.
Ik heb ervoor gekozen om het dilemma te schetsen voor de Kamer. Ik heb gezegd: «Dit
is waar we nu voor staan en dit is een mogelijke oplossing. Mooi is die niet, maar
het is in ieder geval een manier om daarop te handelen en ik zou dat graag met de
Kamer willen bespreken.» Dat leek me de handigste manier om te gaan met een dergelijk
dilemma. Dat staat allemaal in de brief.

Voorzitter. Wellicht ten overvloede, maar het is wel goed om te zeggen: het is geen
makkelijk dilemma en de keuze die ik voorleg was ook niet licht aan onze kant, omdat
je, eigenlijk precies zoals iedereen aangaf, vraagt om iets te kunnen doen zonder
dat daar op dat moment een wettelijke grondslag voor is. Dat is ook de reden waarom
ik ervoor heb gekozen om het hier transparant te delen als dilemma. We zien dat er
in Oekraïne, omdat we zien wat daar aan de hand is, echt sprake is van een reële dreiging
met mogelijke grote gevolgen voor en impact op de Nederlandse samenleving.

Ik stel voor dat ik de rest van mijn inleidende tekst oversla, want dat komt allemaal
terug bij de verschillende vragen. Die waren eerst verdeeld over verschillende mapjes,
maar dan hadden we wel heel veel mapjes. Ik ga gewoon de vragen langs, want die kwamen
eigenlijk allemaal wel op hetzelfde neer. De zorgen zaten in ieder geval in dezelfde
hoek, zou ik moeten zeggen.

Laat ik beginnen met D66. Die gaf een aantal randvoorwaarden mee waarbij de Kamer
zo snel mogelijk geïnformeerd moet worden aan de hand van duidelijke kaders. Die hebben
wij genoteerd en dat zijn ook precies de kaders zoals wij ze zouden willen hanteren.
Ik neem dat dus mee als ondersteuning van onze intentie, mocht de Kamer beslissen
dat dit een tijdelijke oplossing is. Dus dat sowieso.

Dan de vragen van de SP. De vragen van de Kamerleden lopen een beetje door elkaar.
De vraag van mevrouw Beckerman was: waarom heeft u de Kamer hier nu over geïnformeerd
en niet vorig jaar al? Het Nationaal Cyber Security Center heeft vorig jaar, toen
het wetsvoorstel in consultatie is gegaan, in een aantal gevallen al geanticipeerd
op het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen
door dreigings- en incidentinformatie te verstrekken aan andere niet-vitale aanbieders
of hun schakelorganisaties. Daartoe heeft het centrum besloten om nadelige maatschappelijke
gevolgen te voorkomen, waarbij natuurlijk een zorgvuldige afweging is gemaakt van
de ernst van de dreiging en hoe die er precies uitzag. Een voorbeeld daarvan is dat
er op 18 juni vorig jaar door BZK een brief naar de Kamer is gestuurd – dat was rond
de verkiezingen – over het verkiezingsproces en de dreiging rond politieke partijen
in dat proces. Daarbij heeft het ook aangegeven dat daar iets werd gedaan waar eigenlijk
een grondslag voor nodig is, maar wat zo urgent was dat het zo werd gedaan. Dit is
niet een situatie die we in stand willen houden. Vandaar het wetsvoorstel en dat we
nu, nu de actuele dreiging vanuit Oekraïne of vanuit Rusland, zo je wil, helder is,
het dilemma dat we concreter zagen worden, voorleggen. Het wordt in die zin niet veel
mooier, maar dat is wat het is.

Mevrouw Koekkoek van Volt zei daarbij: maar als dit zo urgent is, waarom kies je dan
niet voor een spoedwetprocedure? We hebben natuurlijk allemaal gekeken hoe je het
kunt versnellen, zodat je gewoon degelijk de wet kunt behandelen en daarna het gesprek
kunt hebben over hoe je die degelijk inricht. Het punt is dat er geen apart wetgevingstraject
bestaat voor wetgeving met grote spoed. Er is dus niet een spoedwetprocedure als zodanig,
waardoor we het eerder hadden kunnen doen. Je kunt dingen proberen te versnellen,
maar dan nog moet je natuurlijk langs alle elementen die erbij horen. Dus ook als
je het met zeer grote spoed doet, moeten de verplichte stappen uit het wetgevingsproces
doorlopen worden, van formele consultatie tot al die andere elementen waar de Kamerleden
natuurlijk ook van op de hoogte zijn. Het is wel mogelijk om verschillende actoren
in het wetgevingsproces te vragen om zo snel mogelijk met hun advies op het voorstel
te komen. Er zijn manieren om te versnellen en dat hebben we allemaal gedaan met dit
wetsvoorstel, maar er waren niet nog meer manieren om het zo naar voren te halen dat
het gat waar we nu in vallen te dichten. Dan ga ik er ook nog van uit dat het wetsvoorstel
het haalt, wat ook niet zo makkelijk zal zijn. Daar moeten we goed met elkaar naar
kijken. Zo bedoel ik het niet. Er was geen manier om het nog meer naar voren te halen.

Dan ben ik weer terug bij mevrouw Beckerman. Ik zei al dat het een beetje door elkaar
gaat, als u dat niet heel erg vindt. Zij verwees ernaar dat er natuurlijk heel veel
te doen is geweest, de afgelopen jaren sowieso en zeer recent ook nog, met het delen
van data. Heel terecht dat er dan vragen zijn over waarom dit dan met haastige spoed
door de Kamer moet en of je daar niet allemaal nieuwe risico's mee loopt. Dat laatste
voeg ik even toe aan haar vraag. Zo heb ik ’m gehoord. Ik begrijp het helemaal. Ik
kom ook straks nog terug op de manieren op toezicht te houden, zoals de AP en ook
een afwegingskader. We hebben naar manieren gezocht om de Kamer daar goed bij te betrekken,
om aan alle kanten in te bouwen dat je dat risico niet hebt of minimaal houdt. Want
ik deel het, ik begrijp het. Het doel van wat we hier proberen te doen, is dat aanbieders
maatregelen kunnen treffen om echt heel forse nadelige maatschappelijke gevolgen te
voorkomen of te beperken. Dat is de reden van de haastige spoed. Ik kom straks nog
op het toezicht, de waarborgen en de kaders. Die zijn al in de brief toegelicht, maar
ik zal nog even langer stilstaan bij waarom we denken dat dit dan de beste oplossing
voor nu is. Zij is niet mooi, maar de beste die wij konden verzinnen. Ik zal later
ingaan op de vragen van mevrouw Van Weerdenburg, die vroeg of er niet andere opties
waren en er een aantal noemde.

Voorzitter. Het lijkt erop dat u zegt dat ik een interruptie heb.

De voorzitter:

Ja, ik wilde zeggen: voordat u uw betoog vervolgt, zag ik dat mevrouw Beckerman een
vraag wilde stellen.

Mevrouw Beckerman (SP):

Ja, voorzitter. De SP is het er natuurlijk volledig mee eens dat wetgeving zorgvuldig
moet gebeuren. De Minister geeft nu aan: vorig jaar op 18 juni moesten we eigenlijk
ook al voor een lelijke oplossing kiezen, omdat dat in die crisissituatie noodzakelijk
was. Is daarna dan direct gestart met de permanente oplossing van die wet of zit daar
ook tijd tussen?

Minister Yeşilgöz-Zegerius:

Daar was ikzelf niet bij betrokken; ik heb niet precies scherp wanneer daarmee gestart
is. Maar als dat straks in mijn app als antwoord zou mogen komen, dan zou ik daar
graag op terug willen komen. Ik heb het niet scherp.

De voorzitter:

Ik zie mevrouw Beckerman knikken. Gaat u verder met uw betoog.

Minister Yeşilgöz-Zegerius:

Ja. Daar kom ik straks op terug. Ik ben bang dat het straks een beetje door elkaar
gaat lopen. Mevrouw Koekkoek vroeg of de Autoriteit Persoonsgegevens betrokken is
bij het afwegingskader. Voordat we de brief naar de Kamer hebben verzonden, hebben
we de Autoriteit Persoonsgegevens op de hoogte gesteld van de brief. Die heeft daarop
laten weten zich nog te beraden op een eventuele reactie. Dus die kan daarna nog komen.
Met de Autoriteit Persoonsgegevens is ook besproken dat in uitzonderlijke gevallen
waarin wordt overgegaan tot anticipatie, zij hierover zo spoedig mogelijk achteraf
zal worden geïnformeerd, net als uw Kamer, zodat de AP in elk geval aan haar taak
kan voldoen. Ik besef heel erg dat het niet mooi is dat dat «achteraf» is en «zo snel
mogelijk». Het zou beter zijn als het aan de voorkant zou kunnen. Maar dan kun je
je afvragen of het voldoet aan het afwegingskader, want daarvoor moet er sprake zijn
van hoge spoed en moet het zeer urgent zijn. Dus je moet snel handelen; anders valt
het niet binnen deze afwegingen. Dus dat is wat we op dit moment hebben gedeeld met
de AP en wat we hebben afgesproken.

De voorzitter:

Ik zie mevrouw Koekkoek.

Mevrouw Koekkoek (Volt):

De Minister gaf aan dat er aan de AP advies gevraagd is hierover. Is er al bekend
op welke termijn dat te verwachten is?

Minister Yeşilgöz-Zegerius:

Nee.

Mevrouw Koekkoek (Volt):

Nee.

Minister Yeşilgöz-Zegerius:

Nee, dat weten we nog niet. We hebben het zo snel mogelijk proberen te sturen. Maar
op het moment dat daar nog aanvullende informatie, adviezen of ideeën op komen, zullen
we het uiteraard ook meteen weer hier agenderen. Stel dat dit een werkmodus wordt
die we tijdelijk met elkaar hanteren, dan kunnen we elke keer als het moet veranderen,
dat hier melden. Ik hoop eerlijk gezegd dat tegen die tijd de wetsbehandeling al is
geweest. Dat zal in ieder geval niet aan ons liggen.

Dan ben ik bij de vragen van mevrouw Rajkowski. Hoe verhoudt het wetsvoorstel tot
wijziging van deze wet zich tot het wetsvoorstel Bevordering digitale weerbaarheid
bedrijven? Gaat het Nationaal Cyber Security Centrum meer informatie delen met het
Digital Trust Center? Of gaat het zelf meer niet-vitale bedrijven direct informeren?
Het wetsvoorstel Bevordering digitale weerbaarheid bedrijven is door de Minister van
Economische Zaken en Klimaat vorig jaar in procedure gebracht. Het wetsvoorstel strekt
ertoe dat taken en bevoegdheden van het Digital Trust Center van het ministerie vastgelegd
worden. Daaronder is ook de taak om niet-vitale bedrijven te informeren en die te
adviseren over digitale dreigingen en incidenten. Het Digital Trust Center is daarnaast
vorig jaar krachtens de Wet beveiliging netwerk- en informatiesystemen als schakelorganisatie
aangewezen. Het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen
zorgt ervoor – ik wil geen afkortingen gebruiken, dus af en toe zijn mijn antwoorden
erg lang, maar dat houden we toch vast – dat het Nationaal Cyber Security Centrum
in ruimere zin dreigings- en incidentinformatie kan delen met aangewezen schakelorganisaties,
waaronder dus ook het Digital Trust Center. Niet-vitale bedrijven zullen door het
Digital Trust Center over dreigingen en incidenten worden geïnformeerd. Zo zijn die
taken verdeeld.

Dan heb ik het antwoord voor mevrouw Beckerman binnen. De start van het wetgevingstraject
was inderdaad juni 2021. Toen is met de consultatie gestart.

Dan heb ik de vraag van GroenLinks over het verschil tussen anticiperen op het wetsvoorstel
en de aanleiding van het wetsvoorstel Verwerking persoonsgegevens coördinatie en analyse
terrorismebestrijding en nationale veiligheid. Ik begrijp dat deze vraag wordt gesteld,
maar deze wetsvoorstellen liggen qua aanleiding en inhoud heel erg uit elkaar. Het
zijn echt twee losse dingen. Het wetsvoorstel Verwerking persoonsgegevens coördinatie
en analyse terrorismebestrijding en nationale veiligheid verankert een aantal taken
op het terrein van de bestrijding van terrorisme en van nationale veiligheid. De verwerking
van de persoonsgegevens die daarbij horen, wordt door de NCTV verricht. Daar komen
we ook met elkaar over te spreken. Ik denk dat dat na het reces wordt, ergens in het
najaar. Daar moeten we dan met elkaar goed bij stilstaan.

De wet waar we het vandaag over hebben, heeft daarentegen betrekking op de taken en
bevoegdheden van het Nationaal Cyber Security Centrum. Dat gaat om hele andere doelen
en bevoegdheden. Dit wetsvoorstel dat we straks zullen behandelen, voor de Wet beveiliging
netwerk- en informatiesystemen, verruimt de bevoegdheid tot het verstrekken van informatie
over die digitale dreigingen en incidenten. Dat is eigenlijk al in de wet vastgelegd,
maar we maken het nu mogelijk om het te delen met meer partijen: met de niet-vitale
aanbieders, en in bepaalde gevallen ook met die andere aanbieders. Dus dit is een
verbreding van de mogelijkheid tot het delen van de informatie.

Mevrouw Beckerman had daarbij de vraag: wat is eigenlijk de rol van MIVD en AIVD;
kunnen zij hier niet hun rol pakken om het op die manier op te lossen? Het gaat hier
om dreigings- en incidentinformatie waarover nou juist het NCSC beschikt en die de
vitale partijen niet aangaat. Deze informatie zal dus heel vaak niet beschikbaar zijn
bij MIVD en AIVD. Als ik het zo mag formuleren: hun focus ligt weer elders. De expertises
zijn hier echt verschillend. NCSC heeft nu al de grondslag om deze informaties met
schakelorganisaties van niet-vitale partijen te delen. Het zorgt er alleen voor dat
die kring van organisaties verruimd wordt. Dat zou hier gebeuren.

Dan nog een vraag van de SP: wat is een voorbeeld van een uitzonderlijk geval? Als
we hiermee kunnen leven, zal er de komende tijd onder mijn verantwoordelijkheid aan
de hand van een vast afwegingskader een beoordeling plaatsvinden of er sprake is van
een uitzonderlijk geval. Het afwegingskader is ook met de brief naar uw Kamer verzonden.
Daarin staan de stappen. Een situatie waarbij van anticipatie gebruik zou kunnen worden
gemaakt, is bijvoorbeeld een hypothetische kwetsbaarheid in systemen van bedrijven
in de haven van Rotterdam. Het Havenbedrijf zelf is vitaal verklaard en valt hiermee
al onder de doelgroep van het NCSC, maar de bedrijven in de haven zijn dat lang niet
altijd. Dan kan er een hele heftige, lastige, complexe situatie ontstaan. Deze bedrijven
hebben zich wel verenigd in schakelorganisatie FERM. Op het moment dat het Nationaal
Cyber Security Centrum informatie heeft over een kwetsbaarheid in de systemen van
deze bedrijven in de haven, kan het deze informatie, als we die verruiming uiteindelijk
zouden realiseren, wél delen met FERM, wat op dit moment niet kan. Ik moet zeggen:
dat kan vaak niet, want het hangt van de specifieke voorbeelden af. Door deze informatie
niet te delen, kunnen de bedrijven dus geen maatregelen treffen om zichzelf te beschermen.
Je weet op dat moment wel dat er iets urgents aan de hand is, dat er een acute dreiging
is, maar je kunt ze daarvan niet op de hoogte brengen.

Misschien nog een paar zinnen in antwoord op deze vraag, om het voorbeeld af te maken.
Indien de kwetsbaarheid wordt gebruikt door kwaadwillenden, heeft dat dus niet alleen
grote gevolgen voor een van die bedrijven of voor het collectief in FERM, maar ook
voor de Rotterdamse haven als geheel. Ik denk dat ik deze commissie niet hoef uit
te leggen wat voor impact dat dan vervolgens kan hebben buiten het bedrijf, het bedrijventerrein
en de haven. Dat raakt mogelijk het hele land; dan wordt de Nederlandse infrastructuur
mogelijk ontwricht. Dat hebben we bijvoorbeeld gezien bij de NotPetya-hack bij Maersk,
toen vrachtwagens dagenlang voor de Rotterdamse havens stonden te wachten. Door te
anticiperen zou je dit kunnen voorkomen. Dit voorbeeld komt, denk ik, het dichtst
bij wat we bedoelen met «urgent».

De voorzitter:

Dank u wel voor dat voorbeeld. Dat roept een vraag op van mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Kan de Minister aangeven waarom het dan in zo'n geval niet mogelijk is dat het NCSC
met een soort rode lijn met een bepaald securityniveau een spoednummer van het DTC
belt om te zeggen: jullie moeten dit nu doorgeven aan die organisaties? Waarom kan
dat niet?

Minister Yeşilgöz-Zegerius:

Die vraag stelde mevrouw Van Weerdenburg ook in haar eerste termijn, namelijk: zit
daar niet gewoon winst, zodat je dit niet hoeft te doen? Ik heb toegezegd om daarop
terug te komen. Een samenwerking tussen DTC en NSC ... NCSC! Daarom wil die afkorting
niet gebruiken: ik kom er zelf vaak niet uit! Die samenwerking heeft een wettelijke
basis nodig om die informatie te delen. Dus als we daar die stappen zouden willen
zetten – dat willen we natuurlijk ook – dan kost dat tijd. Dat is eigenlijk het meest
praktische en feitelijke antwoord. We hebben de afgelopen tijd ook echt gekeken naar
andere manieren om informatie te delen, om ruimte te creëren waar dat kan. De informatie
die we al kunnen delen, wordt gedeeld via de CERT's, de Computer Emergency Response
Teams. Daarvoor biedt de wet wél ruimte. Maar soms kan informatie ontdaan worden van
persoonsgegevens of herleidbare gegevens, waardoor deze wel gedeeld kan worden. Op
het moment dat dat kan, doe je dat natuurlijk. We gaan ervan uit – dat hopen we ook
– dat de gevallen waarbij herleiden en lostrekken ook niet kan, zeer uitzonderlijk
zijn. Die gevallen bestaan.

Dan de vraag: hoe wordt de Kamer ten behoeve van haar controlerende taak geïnformeerd
over een uitzonderlijk geval, en gebeurt dat dan vertrouwelijk? Ik weet even niet
meer wie de vraag gesteld had. Wie was dat?

De voorzitter:

Het is onduidelijk wie de vraag heeft gesteld, maar we zijn wel nieuwsgierig naar
het antwoord!

Minister Yeşilgöz-Zegerius:

Ja, natuurlijk! Maar mevrouw Koekkoek steekt haar hand al op. Ik vind het altijd fijn
om de vragensteller ook aan te kunnen kijken, al kan ik me voorstellen dat iedereen
dit wel een interessante vraag vindt. Voor mij was het ook een hele belangrijke voorwaarde
toen we het er in huis over hadden. We leggen nu het dilemma voor, maar ik kan daarbij
niet zeggen: vertrouw me maar en u hoort ergens volgend jaar wel of het goed is gegaan.
De vraag is dus: hoe zorgen we ervoor dat we zo snel mogelijk kunnen informeren? Laat
ik het proces even schetsen. Op het moment dat er sprake is van een uitzonderlijk
geval, waarin het dus echt noodzakelijk is om informatie te delen op een manier die
nu niet kan, is het van belang dat deze informatie zo spoedig mogelijk wordt verstrekt,
zodat aanbieders snel kunnen schakelen. Vervolgens gaan we dat via het afwegingskader
toetsen. Gezien de urgentie is het dan waarschijnlijk niet mogelijk om uw Kamer vooraf
te informeren, maar we zullen dan zorgen dat we de commissie voor Digitale Zaken wel
zo direct mogelijk achteraf vertrouwelijk informeren. Daar waar het niet vertrouwelijk
hoeft, zullen we altijd die toets doen. We zullen het ook niet vertrouwelijk doen,
gewoon openbaar delen, zodat uw werk ook makkelijker wordt en iedereen het kan volgen.
Maar als daar geen ruimte voor is en ik het wel belangrijk vind om de informatie heel
snel te kunnen delen, zal dat vertrouwelijk zijn.

Mevrouw Koekkoek stelde de vraag: is dit nu een precedent en ga je dit nu vaker doen?
Zij zag misschien dat ik heel moeilijk keek toen ze die vraag stelde. De reden waarom
ik moeilijk keek, was dat ik dacht: nou, liever niet. Ik denk absoluut niet: mooi,
we zouden hiermee weleens een werkmodus kunnen hebben ontdekt. Nee, het is echt een
groot dilemma. Ik zie het niet als een makkelijke of wenselijke oplossing. Alleen
acht ik de problematiek die zou kunnen ontstaan zo, dat ik denk: dan maar zo. Wat
mij betreft is het een uitzonderlijk geval dat over uitzonderlijke gevallen gaat.

De voorzitter:

Ik zie dat dit een vraag oproept bij mevrouw Koekkoek.

Mevrouw Koekkoek (Volt):

Eigenlijk meer een verduidelijking van mezelf. Met precedent bedoelde ik ook, los
van het antwoord dat de Minister nu geeft: op het moment dat we straks het wetsvoorstel
gaan behandelen, hebben we een periode gehad waarin we wellicht op basis van dit afwegingskader
werken. Dan gaan we in het kader van het precedent terugverwijzen: ja, we hebben nu
zo met elkaar gewerkt en daarom moeten we het wetsvoorstel aannemen.

Minister Yeşilgöz-Zegerius:

Oké, dan wordt het al een stuk minder moeilijk. Dan snap ik de vraag. Die discussie
gaan we dan ongetwijfeld hebben. Ik hoop dat er zich dan geen incident heeft voorgedaan
waardoor we deze noodoplossing moesten inzetten. Maar stel dat dat wel zo is, dan
hebben we dat vertrouwelijk kunnen delen. Dan kunnen we er ook van leren hoe het wel
of niet heeft gewerkt. Maar de Kamer gaat erover. De Kamer gaat er ook over om te
beoordelen of het een goed wetsvoorstel is of niet. Maar als er al incidenten zijn
geweest, dan zal ik in ieder geval altijd kijken wat we daarvan geleerd hebben, welke
informatie er is gedeeld en of men vervolgens snel heeft kunnen schakelen om zichzelf
te beschermen. Het is ook belangrijk om te weten of die informatie nuttig is geweest.
Wat mij betreft betrekken we dat erbij. Dat wat openbaar kan, doen we gewoon in het
debat. En anders kunnen we er ook in een vertrouwelijk deel bij stilstaan. Ik zou
het zelf niet willen beschouwen als: dit hebben we nu een tijdje gedaan, dus het werkt
wel. Ik zie dit echt als een noodoplossing. Hopelijk hoeven we die niet in te zetten
en zo ja, dan kunnen we het wat mij betreft als les betrekken. Dat zou mijn voorstel
zijn.

Dan heb ik nog de vraag van GroenLinks over het toezicht. Dat is tweeledig. De Autoriteit
Persoonsgegevens heeft een toezichthoudende rol op de verwerking van de persoonsgegevens
door het Nationaal Cyber Security Centrum. Op dat onderdeel en voor wat we hier bespreken,
is het de AP. Daarnaast is er de Inspectie van JenV die toezicht houdt op de taakuitvoering.
Dat zijn de twee toezichthouders.

Volgens mij heb ik alle antwoorden kunnen geven, al ging het een beetje door elkaar.

De voorzitter:

Dank aan de Minister voor de beantwoording. Ik kijk even rond. Ik zie dat mevrouw
Bouchallikh een vraag heeft en daarna mevrouw Van Weerdenburg.

Mevrouw Bouchallikh (GroenLinks):

Dank aan de Minister en haar team voor het beantwoorden van de vragen. Ik heb inderdaad
een vraag gesteld over het toezicht, specifiek over het gebruik van algoritmes en
data. Mijn collega van de SP gaf ook al aan dat dat helaas vaker misgaat bij de overheid.
We hebben laatst het rapport van de Rekenkamer gezien. Ik weet dat de Autoriteit Persoonsgegevens
best veel wordt overvraagd. Het is een vrij kleine organisatie met heel grote verantwoordelijkheden
en bevoegdheden. Vandaar de vragen die ik stel. In hoeverre is de Inspectie van JenV
voldoende om samen hiermee ondersteunend aan de slag te gaan? Mocht er geconstateerd
worden dat het niet genoeg is of dat er niet genoeg middelen zijn, wat kan de Minister
dan doen om dat te voorkomen?

Minister Yeşilgöz-Zegerius:

Dit is een heel terechte vraag. Dat is een van de redenen waarom in het coalitieakkoord
extra geld wordt vrijgemaakt voor de Autoriteit Persoonsgegevens. Ik denk dat dat
echt een belangrijke stap is. Ik heb nu alle reden om ervan uit te gaan dat er genoeg
expertise en capaciteit is voor datgene waar we het vandaag over hebben. Ik ga er
niet van uit dat we hier elke week de noodoplossing moeten inzetten. Dat hoop ik niet.
Dat is niet onze verwachting op dit moment. Wellicht kunnen we deze vraag straks betrekken
bij de wetsbehandeling. Dan kunnen we nog een extra toevoeging doen hoe we dat zien
en wat het zou betekenen. Als mevrouw Bouchallikh het goed vindt, hebben we het volgens
mij op die manier goed geborgd.

Mevrouw Van Weerdenburg (PVV):

Toch nog even voor de helderheid. Kan de Minister zeggen of het delen van informatie
in wat ruimere zin met meer partijen, zoals hier in de brief staat, al een keertje
is voorgekomen toen de nood aan de man was? Is dat al eens gebeurd, en zo ja, hoe
vaak?

Minister Yeşilgöz-Zegerius:

Naar mijn weten is dat weleens gebeurd. Het voorbeeld van 18 juni was er een van.
Dat is dan met de Kamer gedeeld. Ik heb nu niet paraat of dat de afgelopen jaren vaker
is gebeurd en hoe vaak dan. Ik heb wel het idee dat het wat vaker is voorgekomen.
Als mevrouw Van Weerdenburg het goed vindt, kan ik daar wel schriftelijk op terugkomen.
We moeten even kijken wanneer, maar laat ik zeggen: zo snel mogelijk. Mijn verzoek
zou zijn, nog even ongeacht of ik de PVV heb kunnen overtuigen of niet, om hiermee
wel de beslissing hierover te nemen, zodat we dit in werking kunnen laten treden.
En ik kom zeker nog terug op deze vraag. Maar 18 juni – ik onthoud de datum, want
dat is mijn verjaardag – vorig jaar was in ieder geval een voorbeeld waarbij rond
de verkiezingen de dreiging zo acuut werd geacht dat het aan de Kamer is meegedeeld.
Maar of dat vaker is gebeurd en of het vaker gedeeld is, zal ik nagaan.

De voorzitter:

Mevrouw Van Weerdenburg, nog een laatste vraag.

Mevrouw Van Weerdenburg (PVV):

Omdat deze brief elf, twaalf dagen na die grote ophef over de NCTV gestuurd is, kan
ik me niet aan de indruk onttrekken dat we deze brief anders niet hadden gehad. Dat
is niet per se een beschuldiging. De Minister zit er ook nog maar net. Maar daarmee
wil ik wel gezegd hebben dat we van dit soort praktijken af moeten. De NCTV heeft
dat natuurlijk jaren gedaan. Misschien is dit ook al grootschalig toegepast. Ik wacht
de brief van de Minister rustig af.

De voorzitter:

En uw vraag, mevrouw Van Weerdenburg?

Mevrouw Van Weerdenburg (PVV):

Daarom denk ik: hier moeten we iets anders op verzinnen.

De voorzitter:

Ik heb niet echt een vraag gehoord, maar de Minister wil toch reageren, merk ik.

Minister Yeşilgöz-Zegerius:

Als dat mag, doe ik dat toch wel graag. Want ik begrijp het. Ik blijf bewust nu nog
weg bij mijn antwoorden over de NCTV, omdat ik de zorgen en de vragen begrijp, maar
niet altijd de duiding erbij deel. Maar daar komen we ook over te spreken. Dat kan
ik zeggen vanuit mij. Het heeft voor mij helemaal niks ermee te maken. En in huis
is het ook niet op die manier behandeld, NCTV en dit onderwerp. Ik vind het wel heel
belangrijk om heel transparant te zijn over de dilemma's en wat er gebeurt. Het was
wel een heel bewuste afweging, in ieder geval vanuit mij, maar ook vanuit de organisatie.
We zien dit dilemma. We zien ook de mogelijkheid op een acute dreiging groeien door
wat er in Oekraïne gebeurt. Dat is natuurlijk wel echt anders dan in de afgelopen
jaren. Dus laten we dan het dilemma delen en samen met de Kamer bekijken of hier nu
een oplossing voor te verzinnen is, ja of nee. Mevrouw Van Weerdenburg kan er in ieder
geval van uitgaan dat wat mij betreft wij zo met elkaar zullen samenwerken de komende
jaren.

Volgens mij heb ik dan alles beantwoord.

De voorzitter:

Dan dank ik de Minister. Gelet op de tijd en het feit dat de leden hebben afgezien
van een tweede termijn, rest mij nog even de toezeggingen te formuleren. Luister goed
mee of we iets gemist hebben.

Het staat weliswaar ook al een beetje in de brief, maar omdat het toch het hoofdpunt
was van het debat, denk ik dat het ook goed is om het volgende hier toch nogmaals
als toezegging te markeren.

– De Minister informeert de Kamer waar mogelijk open en indien nodig vertrouwelijk als
er sprake is van een uitzonderlijk geval met in achtneming van de afwegingskaders,
zoals geschetst in de brief, en doet dat op een navolgbare wijze.

Dat «navolgbare wijze» heb ik maar even als samenvatting van de punten van D66 geformuleerd.
«Napluisbaar» was het volgens mij. Ik heb er «navolgbaar» van gemaakt.

– De Minister informeert de Kamer zo spoedig mogelijk per brief over naar aanleiding
van hoeveel incidenten er al eerder informatie is gedeeld, vooruitlopend op deze wet.

Minister Yeşilgöz-Zegerius:

Ik ben nu even aan het zoeken hoe we hier verder mee gaan, aangezien ik een dilemma
heb gedeeld en heb voorgesteld erover te spreken. Dat hebben we gedaan. Hoe nu verder?
Want mijn dilemma staat en mijn oplossingsvoorstel ook.

De voorzitter:

Ik heb toch gelezen, aangezien er geen tweede termijn is en er ook geen moties worden
ingediend, dat met deze toezegging de Kamer u het vertrouwen geeft, met alle aandachtspunten
die er zijn genoemd. Ik zou me wel kunnen voorstellen dat veel afhangt van de brief
en de informatie die komt als u een keer ...

Minister Yeşilgöz-Zegerius:

Misschien kunnen we er nog een toevoeging bij doen. Bij de wetsbehandeling worden
ook al die andere toezeggingen betrokken. We kunnen met elkaar een moment afspreken
en proberen die wet hier snel te behandelen, en anders met elkaar er weer bij stilstaan,
al dan niet vertrouwelijk, om in ieder geval te kunnen terugkijken op de periode.
We kunnen dat in ieder geval bijvoorbeeld met een paar maanden doen. Dan kunnen we
als de wet nog niet behandeld is, stilstaan bij: wat is er de afgelopen maanden gebeurd
en in wat voor situatie zitten we nog?

De voorzitter:

Ik zie de leden instemmend knikken. Volgens mij was het ook al een opmerking van een
van de leden in de inbreng: kunnen we dan een datum vaststellen als die wet heel lang
duurt? Ik zou willen voorstellen dat wij dit in de pv dan even mee terug nemen voor
wat het datumvoorstel betreft en wij dan de Minister laten weten wat wij een termijn
vinden waarop dat kan.

Mevrouw Rajkowski. Ik wil, ook gelet op de tijd, op zich niet weer een heel debat
gaan openen.

Mevrouw Rajkowski (VVD):

Nee, nee, zeker, heel kort. Ik heb een cybersecuritydebat aangevraagd voor in september
met een aantal andere partijen. Ik zou even naar de andere indieners moeten kijken,
maar ik zou het prima vinden om die datum op te offeren, want dan zitten al deze mensen
toch al bij elkaar. Dat zou nog kunnen.

De voorzitter:

Dank voor deze suggestie. Volgens mij moeten we deze meenemen in de procedurevergadering.

Als laatste nog mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Ja, excuus, voorzitter. Nog even een opmerking, of een disclaimer. Het ging nu even
zo van: jullie stemmen allemaal in. Maar ik heb geen vetorecht, anders had ik nu al
nee gezegd. Maar we nemen dit allemaal mee in de behandeling van de wet zelf.

De voorzitter:

Ja. Dan dank ik iedereen voor de vergadering en de discipline. Ik dank uiteraard de
Minister en de ondersteuning.

Sluiting 17.05 uur.