Plenair verslag

Tweede Kamer, 52e vergadering
Woensdag 3 februari 2021

  • Aanvang 11:00 uur
  • Sluiting 18:42 uur
  • Status Ongecorrigeerd

Opening

Voorzitter: Arib

Aanwezig zijn 117 leden der Kamer, te weten:

Van Aalst, Aartsen, Agema, Alkaya, Amhaouch, Van den Anker, Arib, Azarkan, Baudet, Becker, Beckerman, Belhaj, Van den Berg, Van den Berge, Bergkamp, Van Beukering-Huijbregts, Bisschop, Bolkestein, Van den Bosch, Bosman, Van Brenk, Bruins, Van Dam, Diertens, Tony van Dijck, Gijs van Dijk, Jasper van Dijk, Dijkhoff, Remco Dijkstra, Van Eijs, El Yassini, Ellemeet, Van Esch, Fritsma, Futselaar, Geluk-Poortvliet, Van Gent, Van Gerven, Geurts, De Graaf, Van der Graaf, De Groot, Groothuizen, Van Haga, Harbers, Pieter Heerma, Helder, Van Helvert, Hermans, Hijink, Jansen, Jetten, De Jong, Karabulut, Kerstens, Klaver, Koerhuis, Koopmans, Van Kooten-Arissen, Kops, Kröger, Krol, Kuik, Kuiken, Kuzu, Laan-Geselschap, Van der Lee, Van der Linde, Lodders, Marijnissen, Markuszower, Von Martels, Van Meenen, Van der Molen, Moorlag, Agnes Mulder, Edgar Mulder, Nijboer, Omtzigt, Van Otterloo, Ouwehand, Öztürk, Palland, Paternotte, Peters, Ploumen, Postma, Van Raak, Van Raan, Regterschot, Sazias, Segers, Sjoerdsma, Slootweg, Smals, Smeulders, Sneller, Snels, Snoeren, Van der Staaij, Stoffer, Tellegen, Terpstra, Tielen, Van Toorenburg, Veldman, Verhoeven, Voordewind, De Vree, Aukje de Vries, Wassenberg, Westerveld, Van Weyenberg, Wilders, Wörsdörfer, Yeşilgöz-Zegerius en Ziengs,

en de heer Dekker, minister voor Rechtsbescherming, de heer De Jonge, minister van Volksgezondheid, Welzijn en Sport, en mevrouw Ollongren, minister van Binnenlandse Zaken en Koninkrijksrelaties.

De voorzitter:
Ik open de vergadering van de Tweede Kamer van woensdag 3 februari 2021.

Mededelingen

Mededelingen

Mededelingen

De voorzitter:
Ik deel aan de Kamer mee dat het volgende lid zich heeft afgemeld:

Voordewind, voor de vergadering van vandaag.

Deze mededeling wordt voor kennisgeving aangenomen.

Privacylek in de systemen van de GGD

Privacylek in de systemen van de GGD

Aan de orde is het debat over een privacylek in de systemen van de GGD.

De voorzitter:
Ik heet iedereen — de woordvoerders, maar ook de minister van Volksgezondheid, Welzijn en Sport en de minister voor Rechtsbescherming — van harte welkom. Aan de orde is het debat over het privacylek in het systeem van de GGD. Ik geef de heer Verhoeven als eerste spreker het woord, maar ik zie de heer Azarkan.

De heer Azarkan (DENK):
Voorzitter, een punt van orde. We vragen regelmatig om op tijd de informatie te krijgen, zodat we een goed debat kunnen voeren met elkaar. Ik constateer dat we gisteren een paar minuten voor tien in de avond de brief van vele kantjes hebben ontvangen op basis waarvan we vandaag het debat moeten voeren. Ik vind dat echt te laat.

De voorzitter:
U heeft uw punt gemaakt, volgens mij mede namens heel veel Kamerleden. Klopt dat? Ja, dat is het geval. Dan is die boodschap ook overgebracht. Dank u wel. Dan geef ik nu het woord aan de heer Verhoeven namens D66.

De heer Verhoeven (D66):
Voorzitter. Ruim een decennium terug ontdekten de overheden data als grootschalig uitvoeringsmiddel. De bedoeling was het aanpakken van terreur, fraudeurs en virussen, maar in de praktijk werd onze rechtsstaat langzaam tot surveillancestaat. Het afgelopen jaar brachten SyRI, de toeslagenaffaire en dit GGD-datalek onschuldige mensen in problemen door discriminatie, ongekend onrecht en identiteitsdiefstal. IT-overmoed, een heilig datageloof, leidde tot blind vertrouwen, blinde vlekken en oogkleppen, met maatschappelijke schade als gevolg. We zingen in koor: de wetgeving, de uitvoering en de controle moeten beter. Maar we doen het niet. De Kamer stemde recent voor de superdatawet WGS. De politie, Defensie en de Belastingdienst overtreden de wet en toezichthouders als de Autoriteit Persoonsgegevens krijgen geen extra geld. Als dit niet verandert, blijven data-affaires zoals deze zich herhalen en hollen we de rechtsstaat verder uit. Graag een reactie van de minister voor Rechtsbescherming.

Voorzitter. Het GGD-lek is geen incident, maar een structureel probleem. De coronacrisis roept om daadkracht. Men ging dus aan de slag, onder druk en overhaast, met testen, testen, testen. De wankele systemen uit 2003 werden snel opgeschaald. Duizenden medewerkers werden ingezet met haast onbeperkte toegang tot heel veel gegevens, zonder gedegen controle op misbruik. Ook na tien maanden was de beveiliging niet verbeterd en bleef die dus ondermaats.

Voorzitter. Al vanaf 1 juli waren er zorgwekkende signalen van medewerkers en diverse media. Er zijn verschillende risicoanalyses uitgevoerd door Fox-IT in opdracht van het ministerie van VWS, het RIVM en de GGD en ook een geheime analyse door de GGD zelf. Waarom geheim, vraag ik aan de minister. De begeleidingscommissie deelde haar zorgen met de GGD, maar op basis van alle signalen en analyses is maandenlang niets gedaan en de signalen bereikten de minister niet. Hierdoor informeerde hij de Kamer vorige week verkeerd. Waarom liet de minister dit gebeuren? Waarom is zo lang gewacht met serieus ingrijpen, terwijl al zo veel bekend was over de problemen? Waarom kon het vorige week, nadat alles naar buiten gekomen was, ineens wél? Waarom kon toen wél de exportknop uit? Waarom kon toen wél de printknop uit? Waarom konden toen wél minder medewerkers toegang krijgen tot allerlei gegevens? En weten we nu alles? Zijn er nog andere onderzoeken lopende? Worden er nog andere onderzoeken uitgevoerd of zijn die gaande?

Voorzitter. De Europese privacywet, de APG, is duidelijk: bij datasets met testuitslagen, bsn's en adressen van miljoenen Nederlanders horen technische voorzieningen, zoals toegangsbeperking en organisatorische voorzieningen, zoals controle en sancties. De praktijk was totaal anders. Er waren geen regie en geen scherpe kaders voor datagebruik. Er waren steekproeven in plaats van systematisch bijhouden wie welke dossiers kon inzien — het zogenaamde loggen — en functies voor het wegsluizen en uitprinten van data konden grootschalig worden gebruikt. Wat gebeurt er nu om het lek te dichten en de slachtoffers te helpen? Zijn de vier actielijnen van de minister wel voldoende? En waarom moet het allemaal weer maanden duren? Is het intussen, in de komende twee maanden, wel allemaal veilig?

De hele overheid zal haar datahuishouding ingrijpend moeten verbeteren. Ik zeg het ook tegen de collega's, nogmaals: ICT en data vormen een politiek kernthema.

Voorzitter. Tot slot een aantal vragen en suggesties voor een wat meer algemene manier van oplossen van dit structurele probleem. Is het mogelijk om het bsn anders in te zetten, bijvoorbeeld met een tijdelijk nummer per transactie? Dat verkleint de kans op identiteitsdiefstal. Gaat de overheid structureel inzetten op privacy by design, dataminimalisatie, doelbinding, audits, kwaliteitsnormen om dit soort zaken te voorkomen? En gaat het kabinet bij elke grote uitvoeringsinstantie een chief privacy officer aanstellen die centraal de privacy regelt? Laten we stoppen met het stapelen van incidenten en overheids-ICT en -dataystemen structureel verbeteren. Dus ondanks onze structurele voorkeur voor de korte termijn en onze afkeer voor complexiteit, moeten we onze besluitvorming en het matige trackrecord met ICT doorbreken en eindelijk komen tot serieuze verantwoordelijkheid op het gebied van data.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Hijink namens de SP.

De heer Hijink (SP):
Er staat nu wel "afronden", voorzitter.

De voorzitter:
Ja, bij sommigen doe ik dat preventief. Gaat uw gang.

De heer Hijink (SP):
Voorzitter. Kunnen mensen erop vertrouwen dat hun gegevens in de teststraat veilig zijn? Kunnen zij daarop vertrouwen? Die vraag staat wat de SP betreft vandaag centraal. Als mensen de teststraat gaan mijden omdat zij vrezen dat hun bsn-nummer op straat komt te liggen, hebben wij een groot probleem met de aanpak van het coronavirus en raken wij het zicht op het virus kwijt. De diefstal van gegevens is heel heftig en ik denk dat door velen toch nog wordt ontkend dat als jouw data op straat liggen, criminelen daar hele nare dingen mee kunnen doen. Van de week was dit tijdens een uitzending van Pointer nog weer eens te zien. Als mensen heel veel gegevens hebben, kunnen ze heel gericht proberen om jouw portemonnee leeg te plukken. Dat moeten we koste wat het kost voorkomen. Nu is er vorig jaar door de GGD met stoom en kokend water een nieuw systeem opgetuigd en zijn systemen aangepast om het bron- en contactonderzoek te kunnen doen en om het testbeleid snel te kunnen opschalen. Wij hebben best heel veel begrip voor de snelheid waarmee dat heeft moeten gebeuren. We hebben ook heel veel respect en waardering voor alle mensen die bij de GGD dit belangrijke werk doen. Dat moet ook gezegd blijven worden. Maar, als dingen zo misgaan, mag dat niet worden weggemoffeld. Dat is wel wat er vorige week in het vragenuurtje is gebeurd. Als er dingen misgaan, omdat het met heel veel spoed heeft moeten gebeuren, erken dan het probleem, pak het probleem aan en leg hier verantwoording af, maar houd hier geen onzinverhalen.

De problemen die er met de ICT-systemen bij de GGD speelden, waren al vanaf de zomer bekend. Medewerkers hebben het gemeld. Nieuwsuur had in september al een hele rapportage over het grote aantal mensen dat toegang had tot data. Waarom is er al die maanden niks gedaan om dit probleem op te lossen, vraag ik de minister. Wat was zijn eigen rol daarin? Wat was de rol van het ministerie? Hoe kan het dat als hij de opdrachtgever is van deze systemen, hij heeft toegekeken hoe het een halfjaar, drie kwart jaar mis heeft kunnen gaan?

Een belangrijke vraag is nu hoeveel data er eigenlijk is gestolen? Hoe groot is het lek? Daar zegt de minister nog niks over. Maar het is natuurlijk wel belangrijk. Gaat het om duizenden mensen, gaat het om honderdduizenden mensen of gaat het zelfs om data van miljoenen mensen? Wanneer krijgen we daar meer van te horen? Nog belangrijker, wanneer krijgen mensen zelf te horen dat hun data mogelijk in criminele handen zijn?

Voorzitter. Dan het vragenuurtje van vorige week. De minister heeft daar met heel veel bravoure een hoop onzin verteld. Dat kan wat de SP betreft niet door de beugel. Mijn vraag aan de minister: was hij nou gewoon niet op de hoogte van de ernst van het probleem of dacht hij met heel veel bravoure het probleem wel te kunnen bagatelliseren? Ik weet eerlijk gezegd niet wat erger is. Hij sprak over screenshots die zouden worden gedeeld met criminelen, maar het gaat om grootschalige diefstal van grote bestanden. Hij noemde veel lagere aantallen van medewerkers die toegang hadden tot de data en nu blijkt dat veel meer mensen toegang hadden tot die data. Vervolgens sluit de minister af met "tja, zo werkt het jongens", alsof de Kamer gek is en deze minister alles onder controle heeft, wat overduidelijk niet aan de hand is.

Voorzitter. Het valt de SP op dat deze minister heel gretig is met het claimen van succes, maar heel veel moeite heeft met het erkennen en aanpakken van de grote problemen waar we voor staan. Een van de oplossingen waar wij als SP naar zoeken, is het voorkomen van dit soort grote datalekken. We moeten dit echt zien te voorkomen. Dat kan bijvoorbeeld door de Autoriteit Persoonsgegevens nu eindelijk de middelen te geven om proactief aan de slag te gaan om lekken op te sporen. Daar is onlangs een briefing over geweest. En wat blijkt? Hoeveel mensen zijn er beschikbaar bij de Autoriteit Persoonsgegevens om proactief naar datalekken te speuren? Dat is welgeteld 0,2 fte. Er is dus iedere week één iemand bij de Autoriteit Persoonsgegevens één dag in de week bezig met het opsporen van datalekken. Vinden we het dan gek dat we er zo veel hebben en dat we altijd te laat zijn?

Voorzitter, ik wil van het kabinet horen waarom het van de privacywaakhond een spitsmuis maakt. Waarom krijgen zij niet het geld en de middelen om hun werk fatsoenlijk te kunnen doen? Is het enorme datalek waarover wij nu spreken niet de zoveelste reden om eindelijk te gaan investeren in de Autoriteit Persoonsgegevens, zodat die haar werk kan waarmaken en niet voor een dubbeltje op de eerste rij moet zitten?

Dank u wel.

De voorzitter:
Dank u wel, meneer Hijink. Dan geef ik nu het woord aan de heer Azarkan namens DENK.

De heer Azarkan (DENK):
Dank, voorzitter. We kennen allemaal voorbeelden van ouderen die het slachtoffer worden van oplichting, vaak omdat ze informatie en data hebben waarvan je denkt: hé, daar kan die persoon niet zomaar aan gekomen zijn. Miljoenen Nederlanders lopen het gevaar dat ze opgelicht worden — net als in het voorbeeld dat ik net schetste — omdat deze minister zijn werk niet heeft gedaan. Deze minister heeft de beveiliging van de gegevens van mensen die zich bij de GGD hebben laten testen niet op orde. Daarom wordt er op internet gehandeld in persoonsgegevens van heel veel Nederlanders.

Toegang tot een dataset van 6,5 miljoen Nederlanders: de natte droom van datacriminelen. Dat komt doordat onder verantwoordelijkheid van Hugo de Jonge cruciale fouten zijn gemaakt. Al in het begin van 2020 waren er zorgen over de veiligheid van de datasystemen. Medewerkers gaven aan dat zij allemaal bij de data van mensen konden, waaronder het bsn-nummer. Er waren al maanden zorgen over datalekken, maar daar is niets mee gedaan. Ik lees dat in de afgelopen periode 30 mensen ontslagen zijn bij de GGD omdat er met data is gesjoemeld. Ambtenaren van deze minister waren al vanaf de zomer op de hoogte dat de bescherming van de gegevens niet op orde was. Eind vorig jaar bleek uit de risicoanalyse dat er inderdaad sprake was van een groot risico op datalekken.

Voorzitter. Deze minister lag te slapen. Hij vond het niet belangrijk. Interne waarschuwingen van betrokken GGD'ers zijn genegeerd. Noodkreten van medewerkers gingen de prullenbak in. Ik vraag me überhaupt af of er een melding is gemaakt van het datalek bij de Autoriteit Persoonsgegevens. Wanneer is dat eigenlijk gebeurd?

Het is natuurlijk niet verrassend. Privacy en minister Hugo de Jonge zijn als water en vuur. Hugo de Jonge heeft niet zo veel met het beschermen van persoonsgegevens. Deze minister deelde tijdenlang, zonder dat mensen het wisten, testgegevens met onderzoekers en bedrijven in andere landen. Deze minister wil het coronapaspoort invoeren waarin staat of iemand getest is of niet.

Voorzitter. We hebben allemaal het debacle van de corona-app meegemaakt. De kritiek van de Autoriteit Persoonsgegevens op die app was snoeihard. Het was onduidelijk wat grote techgiganten als Google met die gegevens zouden doen. De server was onveilig. Onder leiding van Hugo de Jonge wordt het laatste beetje privacy dat we hebben, geslachtofferd.

Wat mij het meeste raakt — en ook heel veel burgers — is de wijze waarop Hugo de Jonge omgaat met die fouten. Hij erkent op geen enkele wijze dat er een gevaar zit in het misbruik van die gegevens. Hij weet altijd beter hoe het zit: "zo werkt het nu eenmaal, jongens". Hij belooft veel, maar komt zijn afspraken niet na, staat niet open voor kritiek, maar geeft de boeven de schuld en neemt geen verantwoordelijkheid voor het eigen handelen. Voorzitter, hij informeerde de Kamer tijdens het vragenuur op de verkeerde wijze.

De voorzitter:
Ik zie dat mevrouw Van den Berg wil interrumperen, maar ik begrijp dat zij nog even wil wachten met haar interruptie. Misschien is het ook goed om het over de minister te hebben.

De heer Azarkan (DENK):
Zeker. Als ik het over Hugo de Jonge heb, dan spreek ik over de minister, voorzitter.

De voorzitter:
Ja, maar hij zit in een functie. Dat probeer ik u mee te geven. Gaat u verder.

De heer Azarkan (DENK):
De minister kan met veel woorden en overtuiging onzin vertellen. Dat deed hij over het testen, dat deed hij over het bron- en contactonderzoek, dat deed hij over de corona-app, dat doet hij over de vaccinatiestrategie en nu ook over de bescherming van gegevens van burgers. En wat is het volgende? Wanneer komt er weer een lijk uit de kast van Hugo? En hoe groot is die kast eigenlijk? Nederland verdient beter leiderschap. Nederland verdient een betere aanpak van de corona. Nederland verdient een minister die pal staat voor de privacy.

Mevrouw Van den Berg (CDA):
Ik wil de heer Azarkan toch een paar feiten voorleggen. Hij legt allerlei dingen bij minister De Jonge neer die volgens mij op een ander bureau thuishoren. Eerst hebben wij de app gehad. Als er één ding is wat er met de appontwikkeling is gebeurd, dan is het dat de Autoriteit Persoonsgegevens aan het begin van het proces daarbij betrokken is geweest. Op basis van haar advies zijn er ook nog allerlei aanpassingen geweest. Dus dat is, denk ik, alleen maar een compliment voor de minister.

Dan zou ik eigenlijk aan de heer Azarkan willen vragen: moet hij zijn vragen niet richten aan de minister voor Rechtsbescherming? De GGD valt immers niet onder het ministerie van VWS, de Autoriteit Persoonsgegevens valt wel onder de verantwoordelijkheid van de minister voor Rechtsbescherming. Daar zou ik graag even een reactie op willen hebben.

De heer Azarkan (DENK):
Tegen mevrouw Van den Berg van het CDA zou ik willen zeggen: hou eens op! Hou eens op! Er zijn 6,5 miljoen burgers die het gevaar lopen om opgelicht te worden. En dan gaan wij hier een debat voeren over de vraag bij wie wij daarvoor precies moeten zijn. Wij hebben hier te maken met twee ministers. Wij hebben hier te maken met de minister die de corona-aanpak coördineert. Daar bevragen wij hem op. Het maakt die burgers toch niet uit of de GGD dat uitvoert of niet? In de brief — ik heb die goed doorgelezen — staat heel goed hoe het kan. Ineens, nu dit datalek is gebleken, kan de minister van alles op korte termijn regelen. Er staan vier aanpakken in de brief. Die zijn prima. Het enige is dat hij dat in april vorig jaar had moeten doen. Dan hadden die burgers nu niet thuis hoeven zweten en zich moeten afvragen: wanneer krijg ik een verzoek via phishing; wanneer wordt mij gevraagd om iets te betalen zonder dat ik het weet? Dus ik begrijp niet welke kant mevrouw Van den Berg op wil. Moet ik nu complimenten gaan uitdelen voor het feit dat hier data van burgers zijn gelekt, of dat het met de corona-app goed is gegaan?

Mevrouw Van den Berg (CDA):
Laten we vooropstellen dat het CDA niets wil afdoen aan de ernst van alles wat er gebeurt. Dat wil ik even heel duidelijk maken. Maar waar ik het wel over wil hebben, is ten eerste dat de heer Azarkan sommige feiten niet correct noemt. Die wil ik graag even herstellen. En ten tweede: als je kijkt hoe je dit structureel op een andere manier kunt organiseren, dan is het ook goed dat de heer Azarkan kijkt wat de rol is van deze minister en wat de rol is van andere onderdelen. Moeten wij het daar dan als Kamer misschien over hebben?

De heer Azarkan (DENK):
Degene die de zaken en de feiten niet op orde heeft, is uw minister. Dat is Hugo de Jonge. Die heeft hier zaken staan vertellen tegen de Kamer waar mensen in de samenleving en experts zich enorm aan gestoord hebben. Hij heeft gewoon onzin staan te verkondigen. Hij heeft staan vertellen dat de vog-verklaring voldoende was. Nu blijkt in de praktijk dat je die zes werken kon werken binnen de GGD en bij die gegevens kon, zonder vog. De minister geeft aan dat er gestructureerd, langdurig permanent onderzoek is. Dat was niet zo. Déze minister heeft de feiten niet op orde. U zou zich daarop moeten richten en niet op mij.

De voorzitter:
Goed. Dank u wel. En de minister zit hier in zijn functie als minister namens de Kroon en niet als persoon.

Dan geef ik nu het woord aan mevrouw Van Brenk, namens 50PLUS.

Mevrouw Van Brenk (50PLUS):
Voorzitter. We hebben het vaker gezegd: de overheid en ICT, dat is geen gelukkige combinatie. Op zich is dat een understatement, maar de overheid heeft zichzelf hier overtroffen, in negatieve zin welteverstaan. Dit is geen privacylek meer te noemen; dit is het wijd openzetten van alle ramen en deuren met de hartelijke uitnodiging: komt u maar binnen. En dat van een regering — demissionair of niet — die zelf cybersecurity tot een van haar prioriteiten heeft verklaard. Een overheid die zelf de gegevens van haar burgers te grabbel gooit. De minister heeft vorige week in het vragenuurtje de zaak echt gebagatelliseerd: ja, er is een probleem, maar nee, het is niet zo erg als u zegt. Maar in de brief van gisteravond werd dat toch echt wel genuanceerd. De systemen zijn niet ingericht op een taak van deze omvang; ze zijn ingericht op oorspronkelijke GGD-taken en niet op een pandemie. Zo kan het gebeuren dat GGD-medewerkers toegang hebben tot een onvoorstelbare hoeveelheid privégegevens waartoe ze helemaal geen toegang zouden moeten hebben. Daarnaast zijn er overhaast mensen aangenomen, zonder noemenswaardige screening, soms zonder vog; een walhalla voor criminelen die kwaad willen met andermans gegevens. Zo gemakkelijk is het nog nooit geweest. De overheid zelf heeft hen de moeite van een hack bespaard. Goed beschouwd, is het een wonder dat het nog zo lang heeft geduurd voordat er iemand met deze gegevens aan de haal ging.

In het feitenrelaas lezen we dat in mei vorig jaar over CoronIT werd gesteld: hierbij wordt voldaan aan de eisen van veilig gebruik van gegevens van burgers. Waarop was deze uitspraak destijds gebaseerd? Op 16 september meldt Nieuwsuur dat testmedewerkers bij gegevens konden die niet voor hen noodzakelijk waren. Een dag later meldt de inspectie dat er steeds meer stabiliteit en koppelingen ontstaan, waardoor de knelpunten op ICT-gebied steeds minder werden. Tussen mei en september is er volgens het feitenrelaas weinig gebeurd waaruit bleek dat er veiligheidsproblemen waren. Toch heeft de inspectie het over knelpunten. In de tussentijd moeten er dus signalen geweest zijn. Kan de minister hierop ingaan? En wordt er alsnog een wittoets uitgevoerd? Uit de brief maken we op dat er op korte termijn — pas in maart — maatregelen uitgevoerd worden. Waarom is dat niet eerder gebeurd? We zitten dus nog twee maanden met een onveilig systeem. Pas deze week worden de toegang en de zoekmogelijkheden beperkt. Waarom is dat niet eerder gebeurd? En wil dit lek zeggen dat de gegevens van mensen die voor reguliere GGD-taken komen, ook op straat liggen? De hamvraag is wat ons betreft: wie is nu eigenlijk eindverantwoordelijk voor dit drama? Is dat de voorzitter, de heer Rouvoet, die eindverantwoordelijk is voor het functioneren van de GGD's waar signalen van medewerkers zijn genegeerd? Of is het deze minister?

Voorzitter. Mensen maken zich zorgen over hun gegevens. Het is duidelijk dat gegevens zijn doorverkocht. Hun zorgen zijn dus niet meer dan terecht. Wat als criminelen slagen in hun opzet om — ik noem maar iets — leningen af te sluiten op naam van deze mensen? Wat gaat u doen om de schade te beperken? Verwijzing naar websites is wat ons betreft echt onvoldoende. Wie compenseert de schade? Wie zorgt voor juridische bijstand? We hebben net een brief ontvangen van het RIVM. Wat zegt dat nou? Wat betekent dit? Kan de minister daarop ingaan?

Kort en goed, voorzitter, dit is de zoveelste keer dat deze minister van VWS de zaken niet onder controle heeft. Het gevoel bekruipt ons dat het allemaal een maatje te groot begint te worden. Het lijkt erop dat hij zich wegbluft uit de problemen en dat wekt geen vertrouwen, niet bij de Tweede Kamer, maar al helemaal niet bij de burgers. Het gaat erom dat mensen vertrouwen hebben en dat ze terecht kunnen blijven komen bij teststraten en ze niet bang hoeven te zijn dat hun gegevens kwijtraken.

Dank u wel.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Kröger namens de fractie van GroenLinks.

Mevrouw Kröger (GroenLinks):
Voorzitter. We hebben vandaag dit debat mede vanwege de initiële reactie van de minister, maar ook van de voorzitter van de GGD GHOR, op het nieuws dat de gegevens van miljoenen mensen mogelijk verhandeld kunnen worden. Die reactie was volstrekt misplaatst, namelijk met zelfoverschatting maar ook met volstrekte onderschatting van het probleem. Gemakzuchtig zou je het kunnen noemen, want de minister wuifde bij het vragenuurtje de zorgen over het IT-systeem weg en hij sprak over crimineel gedrag van individuen waar geen kruid tegen gewassen is. De GGD kwam met een verklaring dat er sprake was van allerlei verhalen vol onjuistheden en onvolledigheden, in plaats van gewoon heel duidelijk en heel eerlijk de pijnlijke waarheid toe te geven: de IT-systemen die de GGD gebruikt, waren zo lek als een mandje. Er was onvoldoende controle op misbruik en er is een groot risico genomen met privacygevoelige informatie, waardoor mensen nu de dupe kunnen worden van criminelen die daar misbruik van maken.

"Ja, jongens, zo werkt het nu eenmaal." Dat was de reactie van de minister tijdens het vragenuurtje vorige week, toen mijn collega Buitenweg aandrong op een antwoord op de vraag of het klopte dat duizenden medewerkers — we begrijpen nu uit de brieven dat het om tienduizenden medewerkers gaat — toegang hebben tot gevoelige informatie van miljoenen Nederlanders. "Zo werkt het nu eenmaal." Die houding is wat ons betreft precies het probleem, want zo hoeft het natuurlijk helemaal niet te werken, als je privacy by design als uitgangspunt neemt en als je basisprincipe bij het ontwerp van al je IT-systemen is dat zo min mogelijk medewerkers toegang hebben tot zo min mogelijk informatie om het werk toch goed te kunnen blijven doen. Want waarom zou een callcentermedewerker alle mensen die getest worden op moeten kunnen zoeken? Waarom zou iemand die bron- en contactonderzoek doet en dus mensen belt met de vraag met wie ze contact hebben, ook de gegevens van 100 mensen moeten kunnen uitprinten of downloaden? Dat is onnodig en risicovol.

Het is goed dat de minister in zijn brief van gisteravond toch echt toegeeft dat tijdens het vragenuurtje het misverstand heeft kunnen ontstaan dat de controle wel op orde was. Want dat is inderdaad niet zo. Het gaat om structurele steekproefsgewijze controle, geeft de minister nu toe. Wat een contrast met het antwoord op onze Kamervragen, gesteld in september en met antwoorden van november, waarin hij schrijft dat er "scherpe controle plaatsvindt op de logging". Hoe kijkt de minister nu naar dat antwoord? Erkent hij dat dat antwoord feitelijk onjuist is? Of zou hij "structureel steekproefsgewijs" definiëren als "scherpe controle"? Dat hoop ik toch echt niet. En waarom wordt er nu pas werk gemaakt van een automatisch controlesysteem, dat dan eind maart klaar is, terwijl toch al veel langer duidelijk is dat het systeem niet functioneert?

Ik verwacht van de minister dat hij in dit debat onomwonden toegeeft dat er grote fouten zijn gemaakt bij de GGD, maar ook bij het ministerie dat uiteindelijk verantwoordelijk is voor de corona-aanpak.

Hoe nu verder? Hoe herstellen we het vertrouwen van mensen in het testen en in het handelen van de GGD? Want testen is cruciaal in de aanpak van de pandemie — dat zijn we uiteraard met de minister eens. Het belangrijkste punt daarvoor is privacy by design. Worden alle systemen — CoronIT, HPZone en het registratiesysteem van het RIVM voor de vaccinaties — getoetst door externe partijen om te kijken of medewerkers echt alleen toegang hebben tot die informatie die absoluut noodzakelijk is voor hun werkzaamheden? En waarom is autorisatie per GGD geregeld? Hier moeten toch glasheldere, centrale richtlijnen voor zijn? Komt er nou een waterdicht systeem om bij te houden of medewerkers in data neuzen waar ze absoluut niets mee hoeven?

Voorzitter, afsluitend. Dit schandaal heeft een lelijke smet geworpen op het vertrouwen dat mensen hebben in hoe de overheid met hun gegevens omgaat. Het registeren van bepaalde gegevens voor het testen, het vaccineren en zo direct een quarantaineverplichting is helaas noodzakelijk bij het bestrijden van de pandemie. Daarom moet privacy prioriteit zijn.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Van Esch namens de Partij voor de Dieren.

Mevrouw Van Esch (PvdD):
Dank u, voorzitter. Ik denk dat niemand van ons hier vandaag wil staan, en dat de minister ook liever ergens anders had gezeten. Maar zo is het elke keer weer bij een datalek in de zorg, en die waren er helaas nog weleens in de afgelopen jaren. Het is namelijk de sector met de meeste datalekken. De GGD, de ggz, het Donorregister en de ziekenhuiszorg: het is helaas telkens weer raak. Ook nu weer zitten miljoenen mensen zich af te vragen of hun gegevens zijn gelekt. Sommigen vragen zich letterlijk af of ze thuis nog wel veilig zijn. Dan is het pijnlijk voor die mensen dat de minister eigenlijk nog altijd geen idee heeft van hoe groot het lek is en van wie welke data nou precies gelekt zijn. Dat helpt natuurlijk niet bij het terugwinnen van het vertrouwen in dat zo cruciale bron- en contactonderzoek en in dat cruciale testbeleid. Is nog in eigen systemen te achterhalen hoe groot dit lek nou eigenlijk was, vragen wij ons af.

Wat natuurlijk ook niet helpt bij het terugdringen van het vertrouwen, is dat de minister naar de Kamer komt en ons vorige week toch wel echt een beetje verzuchtend en feitelijk onjuiste antwoorden geeft. Hij biedt daar in zijn brief wel enigszins zijn verontschuldigingen voor aan, maar ik vond het vorige week toch wel tekenend. Ik vond het tekenend voor het gebrek aan besef en voor wat de consequenties zijn als mogelijk miljoenen gegevens verloren raken. Dat is letterlijk levensgevaarlijk. Privacy en databeveiliging zijn niet het sluitstuk, maar zouden juist de basis moeten zijn.

Allereerst wil ik dan ook van de minister weten waarom niet eerder in het jaar aandacht is geweest voor die privacy bij de GGD. We zitten sinds maart in deze situatie. We lezen dat vooral in november en december meer aandacht gekomen is voor privacy. Hoe kan dat nou, zeker als de Kamer in april al zo duidelijk heeft gemaakt hoezeer zij daaraan hecht? Was er nou echt niemand op het ministerie die dacht: goh, als we het bij de app zo dichtgetimmerd willen hebben, dan zullen ze dit ook bij de GGD zo willen?

Ten tweede, is de minister nog altijd van mening dat alle callcentermedewerkers toegang moeten hebben tot alle dossiers? Dat strookt niet met dat, door andere partijen al genoemde, principe van privacy by design. Hoe wordt nu gewerkt aan het terugbrengen van die toegang, zowel van het aantal dossiers waartoe iemand toegang heeft, als het aantal mensen dat die toegang heeft?

Dan wil ik toch ook nog kort ingaan op die corona-opt-in. De minister noemt het niet vergelijkbaar, maar in de basis kent die corona-opt-in precies hetzelfde gevaar, namelijk grote hoeveelheden privacygegevens die in te zien zijn door grote groepen mensen die daar eigenlijk niks mee te maken hebben. 8 miljoen mensen hebben nooit toestemming gegeven. Toch kunnen medewerkers van huisartsenposten, spoedeisende hulpen en apotheken gluren en handelen in die medische gegevens van mensen, als ze dat zouden willen. Net zoals de GGD-medewerkers dat konden. Wij snappen echt niet waarom nog steeds diezelfde methode kan blijven bestaan bij die corona-opt-in. We vragen dan ook om terug te gaan naar die andere basis van die corona opt-in, en dat is dus níet die corona-opt-in.

De corona-opt-in en andere datalekken die ik noemde, zijn wat mijn fractie betreft voorbeelden van een brede misstand. Alsmaar weer worden systemen opgetuigd met de focus op wat er allemaal kan met data. Eigenlijk nooit wordt gefocust op wat er allemaal niet zou moeten kunnen met die data. En wat mijn fractie betreft moet de minister inzien dat er jaren aan de verkeerde weg is getimmerd, dat breed in de zorg ICT-systemen terug naar die tekentafel zouden moeten, dat de NEN-normen moeten worden aangescherpt en dat privacynormen voortaan op één moeten staan voordat je begint aan zo'n ICT-systeem. En als dat niet gebeurt, dan vrees ik dat we hier in een volgende periode weer zullen staan.

Dank u wel.

De voorzitter:
Dank u wel, mevrouw Van Esch. Dan geef ik nu het woord aan mevrouw Kuiken namens de PvdA.

Mevrouw Kuiken (PvdA):
Voorzitter. We zitten in een ongekende crisis en in een crisis worden fouten gemaakt, terwijl er door duizenden mensen knetterhard wordt gewerkt, en ook door de minister. Dat is zwaar, en dat zien wij heus wel. Dat neemt echter niet weg dat het ook onze rol is om als Kamer kritisch te blijven op het moment dat er dingen niet goed gaan. En vooral omdat het bij een datalek om zo ongelooflijk veel mensen gaat: 8 miljoen mensen, bijna de helft van Nederland, waarvan adresgegevens, medische gegevens, bsn-nummer potentieel op straat liggen. En kwalijk dat criminelen daarbij konden, maar nog schandelijker dat de interne berichtgeving daarover en de signalen en waarschuwingen daarover zijn genegeerd.

Bij het mondelinge vragenuur vorige week reageerde de minister te nonchalant, met een voor hem bekende bravoure, en werden er dingen verteld of geschetst die nu — zo weten we — gewoonweg niet waar waren. Inmiddels ligt er een uitgebreide brief en antwoorden op 399 vragen, en daarvoor heel veel dank. Ik heb ze doorgenomen, maar toch blijft er een aantal vragen onvoldoende beantwoord. Ik beperk me tot een aantal zaken.

Bij de start van CoronIT zijn door partijen testen uitgevoerd op de informatieveiligheid en -privacy. Mij is echter alleen nog steeds niet duidelijk wat er nu precies in deze testen stond. Waarom, is ook mijn tweede vraag, zijn er niet eerder stringentere veiligheidsmaatregelen genomen? Het is namelijk niet zo dat we pas sinds vorige week weten wat er aan de hand is; al in april waren er signalen, in juni waren er signalen, in september was er een uitgebreide reportage in Nieuwsuur, waarin we eigenlijk al wisten dat er een groot veiligheidsrisico was. En waarom zijn een aantal functies, zoals de exportfunctie, pas sinds vorige week uit het systeem gehaald?

Mijn derde vraag is dat de minister herhaalt dat de Kamer van de kwetsbaarheden op de hoogte was. Nou, dat trek ik me aan, dus ik heb gekeken. Ja, er zijn inderdaad wat Kamervragen gesteld. Er is een technische briefing geweest, maar ook daarin mist de alarmerende functie. Ik lees in een verslag van de LCT van voor 24 december dat er sprake was van serieuze kwetsbaarheden. In de brief van 24 december die wij vervolgens kregen, staat dat er wordt gesproken over enkele kwetsbaarheden. Op Kamervragen die zijn gesteld in de technische briefing wordt door de heer Van der Zalm van VWS gezegd: ik weet het antwoord niet. Dat vindt plaats in november.

Voorzitter. Het is ontzettend belangrijk voor het draagvlak dat er vertrouwen blijft in de wijze waarop er wordt getest en waarop er met persoonsgegevens wordt omgegaan. En er worden fouten gemaakt in een crisis, maar dit datalek staat niet op zichzelf. We hebben de mondmaskers gehad, we hebben het testen gehad, we hebben het trage vaccineren, we hebben het gegoochel met vaccinatiecijfers. En dat doet dan ook de vraag oprijzen of het deze minister niet over de schoenen loopt, of er niet gewoon een aantal taken in het kabinet herverdeeld moeten worden; misschien richting minister Van Ark, misschien richting minister Ollongren. Want als er niet een gesmeerde en gestructureerde crisisorganisatie op poten wordt gezet, als het vertrouwen elke keer wordt ondermijnd, zal dat uiteindelijk het draagvlak van de inwoners van Nederland ondermijnen. En dat is het slechtste wat we kunnen hebben. We hebben allemaal behoefte aan een beetje perspectief. We hebben allemaal een beetje behoefte aan lucht, maar voorlopig moeten we het echt doen met voldoende draadvlak voor de stringente maatregelen die het kabinet voorstelt.

Dank u wel, voorzitter.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Veldman namens de VVD.

De heer Veldman (VVD):
Voorzitter. We smachten allemaal naar het einde van de coronacrisis. Met testen en vaccineren bewandelen we die weg naar het einde. Een enorme operatie waar duizenden mensen dagelijks mee bezig zijn en die in een razend tempo ingevoerd moest worden en uitgevoerd moet worden. Maar juist wanneer onder grote druk dergelijke projecten worden opgezet en ingericht, is het risico op vermijdbare fouten groter en moet je extra stappen nemen om je interne organisatie te beveiligen. Met deze wetenschap en de berichtgeving afgelopen september over het niet op orde zijn van de processen en ICT bij de GGD, is het des te kwalijker dat de screening van nieuwe medewerkers niet adequaat is gedaan. Ondanks het feit dat voor corona bekend was dat de registratiesystemen niet veilig waren, is er toch voor gekozen om met deze systemen te blijven werken tijdens de coronacrisis. Signalen over deze veiligheidsrisico's zijn niet actief aangepakt.

Voorzitter. Het is schandalig dat er personen rondlopen die in een crisis als deze misbruik maken van hun positie en gevoelige data illegaal verkopen. Zijn alle personen die zich hieraan schuldig hebben gemaakt, in beeld? Wat zijn nu de vervolgstappen? Het is ook schandalig dat de 25 GGD'en, zoals hun voorman Rouvoet dat ook verwoordt, de dief de gelegenheid hebben geboden.

Voorzitter. De gewraakte exportfunctie waarmee grote bestanden met persoonsgegevens gedeeld konden worden, is inmiddels uit HPZone verwijderd, zo hebben we begrepen. Maar ik ben wel benieuwd welke invloed dit heeft op de werkzaamheden van de GGD en de bron- en contactonderzoekers. Hoe zit het met de exportfunctie in andere systemen? Hoe is de veiligheid in die systemen geborgd? Welke stappen worden verder genomen om systemen veilig te krijgen? Het duurt blijkbaar namelijk tot maart voordat systemen automatisch en continu op misbruik zullen worden gecontroleerd.

Voorzitter. Hoe weegt de minister de snelheid van het kunnen beschikken over data, wat ons zicht op het virus oplevert, ten opzichte van veiligheid en zorgvuldigheid, waarvan het belang minstens zo groot is? Ik zag net voor het debat een brandbrief van het RIVM, dat hier ook voor waarschuwt. Mogen we ervan uitgaan dat de systemen op orde zijn bij de vaccinatieregistratie, nog voor we aan de grote aantallen toe zijn?

Voorzitter. Dat persoonsgegevens zijn gelekt kunnen we helaas niet terugdraaien. Het is des te belangrijker om duidelijkheid te hebben over de vervolgstappen. De GGD zegt nog niet te kunnen zeggen van wie de gegevens zijn gestolen, omdat dit onderdeel is van het onderzoek. Wat is de stand van zaken van dit onderzoek? Is er zicht op de omvang van het aantal gelekte gegevens? Hoelang duurt het voordat mensen weten of hun gegevens zijn gestolen? Mensen zijn bang dat hun gegevens in verkeerde handen zijn gevallen. Die zorgen zijn terecht. Zij lopen het risico om slachtoffer te worden van oplichting, identiteitsfraude en fraude met medische informatie. Vorige week bereikten ons berichten dat persoonsgegevens die werden gestolen bij de GGD vorig jaar al zijn gebruikt door oplichters. De Fraudehelpdesk zou ongeveer 40 meldingen terug hebben kunnen koppelen naar de berichtgeving van vorige week maandag. Klopt deze berichtgeving?

Voorzitter. Het is belangrijk aandacht te hebben voor fraudevormen waar individuele slachtoffers mee te maken hebben of mogelijk gaan krijgen. Wat gebeurt er nu om de handel in buitgemaakte persoonsgegevens te stoppen? Hoe gaat de minister de slachtoffers hiervan informeren? Wordt er al nagedacht over hoe we eventueel misbruik van persoonsgegevens door dit datalek kunnen compenseren? En minstens zo belangrijk: hoe wint de minister van Volksgezondheid het vertrouwen van Nederlanders terug? Hoe houden we de test- en vaccinatiebereidheid hoog? Deze fout van de GGD mag niet als resultaat hebben dat mensen zich niet meer willen laten testen of vaccineren, uit angst om gegevens kwijt te raken. Kortom, welke stap naar voren gaat de minister nu zetten?

Dank u wel.

De voorzitter:
Dank u wel. De heer Hijink.

De heer Hijink (SP):
Ik heb de heer Veldman niet gehoord over hoe we ervoor kunnen zorgen dat we dit soort fouten, dit soort datalekken, dit soort hacks, dit soort diefstal kunnen voorkomen. Een van de manieren om dat te doen, is om de Autoriteit Persoonsgegevens veel meer mogelijkheden te geven om dit preventief aan te kunnen pakken. Bij de AP is er iedere week één iemand die één dag preventief op zoek kan naar datalekken. Dat heb ik net ook verteld. Ik zou aan de VVD willen vragen of ze dat acceptabel vinden. Vindt de heer Veldman ook niet dat als je dit soort problemen wilt voorkomen, je dan veel beter moet investeren in de Autoriteit Persoonsgegevens?

De heer Veldman (VVD):
Ik ben het met de heer Hijink eens dat je met elkaar goed moet kijken wat de omvang en de structuur van de Autoriteit Persoonsgegevens moeten zijn om datgene te doen waarvoor zij ook zijn opgericht. Maar daar zeg ik graag bij dat de Autoriteit Persoonsgegevens niet is opgericht om eigenaar te worden of te zijn van systemen waarmee gewerkt wordt. Het is niet de autoriteit die eigenaar is van systemen waar fouten in zitten. Het is in dit geval de GGD die eigenaar is van die systemen. Dus het is ook aan de GGD om ervoor te zorgen dat er geen mogelijkheid is voor het lekken van data, dat er geen mogelijkheid is om uit die systemen op niet geautoriseerde wijze gegevens te verkrijgen en die te verhandelen.

De heer Hijink (SP):
Dit is een hele rare redenering. Dat zou betekenen dat we ook geen politie nodig hebben, omdat de heer Veldman eigenaar is van zijn eigen auto en dus zelf bepaalt of hij wel of niet te hard rijdt. Je hebt een waakhond om op zoek te gaan naar kwetsbaarheden, naar fouten, om dan vervolgens vroegtijdig in te grijpen, zodat de data van miljoenen mensen niet op straat belanden. Dat is de reden dat je een waakhond hebt. Alleen deze waakhond kan amper blaffen. Die heeft niet eens tijd om te blaffen, want er is maar één iemand die één dag in de week daarnaar op zoek mag. Voor heel Nederland! Dat is toch bizar weinig! Ik vraag de heer Veldman niet wie de eigenaar van het probleem is, maar wie als waakhond moet optreden en of die voldoende middelen heeft om dat ook te doen.

De heer Veldman (VVD):
De autoriteit is die waakhond, net zo goed als de politie een waakhond is in gevallen waarbij dingen fysiek gestolen worden. Dat wil nog niet zeggen dat we oneindig veel politiecapaciteit moeten hebben om ervoor te zorgen dat mijn auto niet gestolen wordt als ik die hierbuiten met draaiende motor parkeer. Dan heb ik ook zelf een verantwoordelijkheid om ervoor te zorgen dat als ik niet in de buurt van mijn auto ben, mijn auto op slot is, dat de dief er niet zomaar in kan. En ja, als die gestolen is, dan hebben we de politie om ervoor te zorgen dat de dader wordt opgespoord. Maar dat is iets anders dan wanneer de politie aan de voorkant naast mijn auto gaat staan om ervoor te zorgen dat die niet gestolen wordt.

De heer Hijink (SP):
Voorzitter. Ik stel toch net een simpele vraag …

De heer Veldman (VVD):
En dat geldt ook voor de Autoriteit Persoonsgegevens.

De voorzitter:
De heer Hijink.

De heer Hijink (SP):
Ik stel toch een hele simpele vraag. Is één persoon die één dag in de week beschikbaar is bij de Autoriteit Persoonsgegevens om datalekken op te sporen, voldoende in de ogen van de VVD? Of vindt de VVD het eigenlijk ook wel een blamage dat dat maar zo weinig is?

De heer Veldman (VVD):
Volgens mij kunnen en de heer Hijink en ik op basis van de rekensom die de heer Hijink maakt, niet beoordelen of dat nou wel of niet voldoende is. Daarom zei ik net al: ja, ik ben het met de heer Hijink eens dat we met elkaar moeten kijken wat qua uitvoeringscapaciteit bij de Autoriteit Persoonsgegevens nodig is om hun rol op een goede manier waar te maken. De heer Hijink trekt de conclusie om bij voorbaat te zeggen: dat moet meer, want ze hebben een verantwoordelijkheid voor de datalekken. Nee, het is niet de Autoriteit Persoonsgegevens die de verantwoordelijkheid heeft voor de datalekken. Degene die eigenaar is van het systeem, heeft de verantwoordelijkheid om ervoor te zorgen dat zijn systeem waterdicht is.

De voorzitter:
Echt tot slot op dit punt, want anders wordt het een herhaling.

De heer Hijink (SP):
Dit is niet mijn opvatting. Er ligt een uitgebreide analyse over de Autoriteit Persoonsgegevens dat er een chronisch tekort is aan mensen en dat een verdubbeling van het aantal fte's nodig is om überhaupt fatsoenlijk hun normale taken, zoals het opsporen van datalekken, te kunnen uitvoeren. Dat is niet mijn opvatting. Extern onderzoek heeft dat aangetoond. En dan heb je het dus over een bedrag dat richting de 62 miljoen euro gaat, dat nodig zou zijn om alleen al het werk te doen voor de taken die ze nu hebben. En dat geld is er gewoon niet, omdat de VVD en ook het CDA dat telkens blokkeren. Een groot deel van de Kamer wil dat dat geld er wel komt, juist om dit soort grote problemen te voorkomen. Maar u hebt dat iedere keer tegengehouden. En nu zit er dus maar één iemand, één dag in de week.

De voorzitter:
Dat heeft u duidelijk gemaakt, meneer Hijink.

De heer Veldman (VVD):
Voorzitter. Volgens mij is het een herhaling van zetten. Ik heb net al gezegd dat ik graag bereid ben om met de heer Hijink te kijken wat er in de volle breedte van de Autoriteit Persoonsgegevens nodig is. Dat maakt nog niet dat de autoriteit de verantwoordelijkheid heeft voor het dichten van lekken. Het dichten van lekken is een verantwoordelijkheid van de eigenaar van het systeem.

De heer Azarkan (DENK):
Ik vind dit betoog van collega Veldman van de VVD tenenkrommend. Dat vindt mijn collega Hijink waarschijnlijk ook. Op papier hebben we iets ingericht. We hebben namelijk een instituut, een autoriteit. De praktijk is dat die autoriteit zegt: we hebben totaal geen capaciteit om dit te doen. We hebben hier vorige week een hoorzitting gehad over de toeslagenaffaire. Het heeft een jaar en twee maanden geduurd voordat de Autoriteit Persoonsgegevens met haar rapportage kwam, waaruit bleek dat Nederlanders gediscrimineerd waren, dat er verkeerd was gewerkt en dat de AVG op tal van punten was overtreden. Een van die hartenkreten van de Autoriteit Persoonsgegevens is: geef ons alsjeblieft iets meer mankracht. Ik vraag het nogmaals, net zoals collega Hijink van de SP. Zou het in het veranderende tijdsgewricht waarin we zien dat heel veel organisaties gebruikmaken van data, algoritmes et cetera, niet logisch zijn om ze dat ook te gunnen?

De voorzitter:
Dezelfde vraag als die van de heer Hijink.

De heer Veldman (VVD):
Ja, voorzitter, dezelfde vraag verdient ook weer hetzelfde antwoord. Ook met de heer Azarkan ben ik bereid om na te denken en te kijken waar het nodig is om eventueel zaken te doen, ook bij de Autoriteit Persoonsgegevens. Dat laat onverlet dat de eigenaar van het systeem de verantwoordelijkheid heeft om ervoor te zorgen dat zijn systeem op orde is. Ik investeer liever in het zorgen voor goede systemen dan in eindeloos opbouwen en opbouwen van ontrollen op controle op controle. Volgens mij gaat het om de basis op orde hebben. Dat zijn systemen zelf, en dan is de GGD in dit geval de eigenaar.

De heer Azarkan (DENK):
Voorzitter ...

De voorzitter:
Zelfde antwoord.

De heer Azarkan (DENK):
Wat we hier zien is dat dat hier juist verkeerd is gegaan, ondanks al die meldingen, die wellicht in gebruik hadden kunnen worden genomen door de Autoriteit Persoonsgegevens als ze de capaciteit hadden gehad, waardoor ze misschien heel veel Nederlanders hadden kunnen behoeden. De waarschuwingen wáren er. Er waren interne medewerkers die zeiden: "Hoe kan het nou dat iedereen toegang heeft tot die data?". Natuurlijk is het zo dat mensen en organisaties verantwoordelijk zijn voor de bescherming van hun spullen. Maar als we één agent in Nederland hebben en als we vervolgens zeggen: "We zien de toename van het aantal inbraken", dan kunnen we toch niet zeggen dat iedereen alleen verantwoordelijk is voor de bescherming van zijn eigen spullen? Het gebeurt steeds meer en daarom het rechtvaardigt het dat we meer daar meer capaciteit brengen. Laten we ernaar kijken. Kom op, meneer Veldman, zeg ik via u, voorzitter!

De heer Veldman (VVD):
De heer Azarkan slaat de spijker op z'n kop. De waarschuwingen waren er, intern, van medewerkers. De gesprekken met de Autoriteit Persoonsgegevens zijn er geweest in het najaar. Wie is er dan verantwoordelijk voor het oplossen van het probleem? Niet de autoriteit. De GGD was en is verantwoordelijk voor het dichten van datalekken. De signalen waren er van medewerkers. De signalen en gesprekken waren er vanuit de autoriteit. Dus er gebeurt precies datgene wat de heer Azarkan zegt. Het gebeurt!

De heer Verhoeven (D66):
Ik zal daar één vraag over stellen en ik zal proberen wat scherper te krijgen wat meneer Veldman nou wil, want hij schuift met verantwoordelijkheden en daar ben ik het niet mee eens. Er zijn gedeelde verantwoordelijkheden, maar we hebben SyRI gehad, de toeslagenaffaire, nu het GGD-datalek. Rode draad? De AVG, de Europese privacywet, wordt steeds, en dus stelselmatig door de overheid overtreden. De Autoriteit Persoonsgegevens is er om de AVG te handhaven, ook als de overheid die overtreedt, zoals vandaag blijkt en steeds is gebleken het afgelopen jaar. Vervolgens zijn er drie, vier onderzoeken geweest, Kamermoties, die allemaal uitwijzen dat meer geld voor de autoriteit keihard nodig is. De VVD is een partij van law and order, van keihard aanpakken, van misstanden vól aanpakken en oplossen. En nu staat de heer Veldman hier en zegt tegen mijn collega's: "Ja, we kunnen er eens naar kijken." Geef nou volmondig toe dat die autoriteit keihard nodig is, dat ze meer geld nodig hebben en dat we daarnaar gaan kijken, bij wijze van spreken in de volgende kabinetsperiode. Zeg dat nou gewoon toe!

De heer Veldman (VVD):
Volgens mij heb ik dat net gezegd, namelijk dat ik graag bereid ben om met elkaar te kijken wat er uiteindelijk nodig is. Maar dat laat onverlet, en dat herhaal ik dan ook maar richting de heer Verhoeven, dat in de casus die we vandaag bespreken de signalen er waren, de gesprekken met de autoriteit er zijn geweest en het dus aan de GGD is om ervoor te zorgen dat die datalekken er niet zijn. Dat had dus misschien wel aan het begin gemoeten. Dan had dat gesprek niet hier, maar misschien ook wel op andere plekken moeten worden gevoerd. Waarom niet in de gemeenteraad van Amsterdam, met wethouder Kukenheim, verantwoordelijk voor gezondheidszorg en dus ook verantwoordelijk voor de GGD. Investeren we voldoende in de GGD? Daar hadden ook de gesprekken plaats moeten vinden, niet alleen maar aan het eind van de rit, als je ziet dat er een datalek is, en dan zeggen: we moeten de Autoriteit Persoonsgegevens groter maken. Ja, we moeten met elkaar kijken hoe groot die autoriteit moet zijn en of ze hun werk op een goede manier en voldoende aankunnen. Maar in deze casus, het GGD-datalek dat we hier vandaag bespreken, constateer ik in ieder geval dat de autoriteit de gesprekken gevoerd heeft, en dat we met elkaar constateren …

De voorzitter:
U zou een scherpe vraag stellen, meneer Verhoeven.

De heer Veldman (VVD):
… dat er onvoldoende gedaan is.

De voorzitter:
Anders wordt het echt voor de zoveelste keer dezelfde vraag in verschillende gedaantes.

De heer Verhoeven (D66):
Ik ben de belofte van een scherpe vraag volgens mij nagekomen. Eén aanvullende vraag. De heer Veldman doet nu alsof alles wat de Autoriteit Persoonsgegevens doet achteraf gebeurt, op het moment dat het al misgegaan is. Er is al in september contact geweest tussen de autoriteit en de GGD over dit voorval. Ik meen in de brief van de minister van gisteravond laat te lezen dat er weinig opvolging is geweest. Ik denk dat dat komt doordat er ongelooflijk veel dossiers op de bureaus bij de autoriteit liggen die allemaal vragen om extra aandacht, extra controle. Dat is nog niet zo makkelijk met al die digitale systemen. Dus heb nou alsjeblieft oog — zeg ik tegen de heer Veldman via u, voorzitter — voor het serieuze tekort, dat onze rechtsstaat ondermijnt, bij de Autoriteit Persoonsgegevens als waakhond van de Europese privacywet.

De voorzitter:
Dat heeft u ook eerder gezegd volgens mij.

De heer Veldman (VVD):
Ik deel met de heer Verhoeven de waarneming uit de berichten van gisteravond dat er weinig opvolging is geweest. Die opvolging had moeten plaatsvinden bij de GGD. De minister geeft ons nu aan welke stappen er gezet zijn, met de vraag wat er nog meer nodig is. Die stappen hadden dus in september gezet moeten worden door de GGD.

Mevrouw Kröger (GroenLinks):
Ik ga door op dit punt. We zijn een stapje verder, want de heer Veldman geeft toe dat we moeten gaan kijken hoeveel capaciteit de Autoriteit Persoonsgegevens nodig heeft. Maar de simpele constatering op dit moment is dat die capaciteit onvoldoende bescherming biedt om te zorgen dat dit soort datalekken niet kan plaatsvinden. Erkent de heer Veldman dat nu? Ik ga terug naar de eerdere vraag van de SP.

De heer Veldman (VVD):
Dit is een herhaling van dezelfde vraag, namelijk: is de heer Veldman, is de VVD, bereid om te kijken naar wat er nou nodig is qua omvang bij de Autoriteit Persoonsgegevens? En ja — dat heb ik volgens mij nu vier keer gezegd — ik ben bereid om daar met elkaar naar te kijken. Alleen, waar ik niet blindelings "ja" tegen zeg, is: gooi er maar extra geld tegenaan en dan komt het goed. Want dat wil niet zeggen dat het dan goed komt. In de basis is het nog steeds de eigenaar van het systeem die ervoor moet zorgen dat zijn systeem op orde is.

De voorzitter:
Dat heeft u een paar keer gezegd. Mevrouw Kröger. Dit wordt een herhaling van zetten.

Mevrouw Kröger (GroenLinks):
Daarom gaan wij nu een debat voeren over de noodzaak om bijvoorbeeld privacy by design veel beter te borgen. Maar het is te gemakkelijk om te doen alsof je een oneindige hoeveelheid politie nodig hebt, of 0,2 fte één dag per week. De erkenning dat er meer capaciteit bij moet bij de Autoriteit Persoonsgegevens hoor ik dan nu schoorvoetend. Kunnen we dat nu in ieder geval vaststellen in dit debat?

De heer Veldman (VVD):
Nee, niks "schoorvoetend". De simpele constatering is dat we met elkaar gewoon moeten doen wat nodig is. En ja: privacy by design. Ook dan slaat mevrouw Kröger de spijker op zijn kop. Het is niet de Autoriteit Persoonsgegevens die zorgt voor het design. Het is de ontwerper, de eigenaar, van het systeem die zorgt voor het design.

De voorzitter:
Ik zie mevrouw Kuiken en ik zie mevrouw Van Brenk. Dezelfde vraag kan niet tienduizend keer worden herhaald en dan net in een andere vorm. Jullie krijgen hetzelfde antwoord, dus ik wil toch even vragen of u een nieuwe vraag hebt, mevrouw Kuiken.

Mevrouw Kuiken (PvdA):
Ja, voorzitter. Ik ben het wel eens met D66 en de SP, maar ik heb een andere vraag. Mijn vraag gaat hierover. De heer Veldman verwijst voortdurend naar de verantwoordelijkheid die bij de GGD ligt. Maar de heer Veldman is het toch met mij eens dat dit ook in opdracht van VWS gebeurde? Ik heb de notulen erop nagelezen. Ze zijn bij alle belangrijke gesprekken geweest die plaatsvonden over het systeem. In ieder geval vanaf november zijn ze daarbij aanwezig geweest, voor zover ik heb kunnen terugkijken. Dus ze hebben geweten van de risico's en ze waren op de hoogte van de informatiebeveiligingslekken die er in potentie waren. Dus ik vind het iets te gemakkelijk om alleen te kijken naar de GGD, zeker omdat het een nationale crisis betreft. Is de heer Veldman dit met mij eens?

De heer Veldman (VVD):
Zeker. Als mevrouw Kuiken mijn bijdrage goed beluisterd heeft, dan weet zij dat ik daar een aantal dingen over heb gezegd. Sterker, ik sloot af met de zin: kortom, welke stap naar voren gaat de minister nu zetten? Natuurlijk heeft de minister hierin ook een verantwoordelijkheid, juist omdat hij de aanwijzingen geeft. Juist omdat hij nationaal dé coronaminister is. Uiteraard heeft de minister een verantwoordelijkheid. Ook ik zie, met mevrouw Kuiken, dat er in de brief van de minister van gisteren heel vaak staat "de GGD meldt", "de GGD geeft aan", "de GGD zegt dit", "De GGD zegt dat". Dan is mijn vraag: wat zegt dan de minister? Wat doet de minister? Dus ja, ik ben het met mevrouw Kuiken eens.

Mevrouw Kuiken (PvdA):
... Mijn tweede vraag is ...

De voorzitter:
Komt u maar naar deze microfoon, want de middelste is echt voor grote, zware mannen bedoeld.

Mevrouw Kuiken (PvdA):
Dat vind ik een compliment, in de strijd tegen de coronakilo's. Dank u wel voorzitter.

Ik word weer even serieus. De heer Veldman loopt in ieder geval vanaf juni al mee op dit dossier. Ik was even getriggerd door het feit dat de minister al een aantal keren heeft gezegd dat de Kamer was geïnformeerd over de kwetsbaarheden. Mijn vraag is oprecht: was de heer Veldman echt gealarmeerd door het feit dat er zo'n groot probleem was met de systemen zoals ze nu zijn opgetuigd?

De heer Veldman (VVD):
Ik denk dat we daar, als we met elkaar terugkijken als hele Kamer, misschien onvoldoende op aangeslagen hebben. Ik heb gezien dat GroenLinks toen schriftelijke vragen heeft gesteld. Volgens mij stelde de heer Hijink ook schriftelijke vragen. We hebben er een aantal keren in technische briefings over gesproken, maar blijkbaar hebben we daar met elkaar onvoldoende op aangeslagen. Terugkijkend hadden we dat met elkaar beter moeten doen.

Mevrouw Kuiken (PvdA):
Mijn afrondende vraag is: hoe komt dat dan? Werd er onvoldoende gealarmeerd? Mij viel op dat in sommige verslagen werd gesproken over serieuze kwetsbaarheden. Maar als ik dan terugkijk wat we daarover zagen staan in de beantwoording, dan ging het over "enkele zaken" waar aandacht aan besteed moest worden. Dat werd niet gespecificeerd. Vandaar nog even oprecht mijn vraag. We hadden beter naar onszelf moeten kijken, maar was u toen voldoende gealarmeerd, met de kennis van nu?

De heer Veldman (VVD):
Ik denk dat we daar, wat ik net zei, met elkaar scherper op hadden moeten zijn. Maar ik denk ook dat we met elkaar iedere keer de balans gezocht hebben. Wat is nodig? Als ik naar de afgelopen tien maanden kijk, dan zie ik een Kamer, inclusief mijzelf, die zich behoorlijk zorgen maakte over het zicht op het virus en over de snelheid van het beschikbaar hebben van testresultaten. Ik kan me dat debat nog wel herinneren waarin we een gesprek hadden met deze minister over het feit dat het drie, vier, vijf dagen duurde voordat een testuitslag binnen was. Dat vraagt dus iets van de mensen die daar werken, en dat vraagt iets van de systemen. Daartussen is het zoeken naar een balans, precies wat ik de minister net ook gevraagd heb. Hoe weegt hij de balans tussen zicht houden op het virus — de alarmerende brief van het RIVM die net voor dit debat binnenkwam — en zorgvuldigheid en veiligheid?

Mevrouw Van Brenk (50PLUS):
Ik sla ook heel even aan op het punt dat de VVD maakt over de verantwoordelijkheid. Volgens mij zegt de heer Veldman: de GGD is verantwoordelijk voor het lek. Wat betekent dat voor de vraag of burgers die straks in de problemen komen door dit datalek, een compensatie krijgen voor de geleden ellende? Volgens mij heeft de VVD dat punt ook gemaakt. Moeten zij dan ook bij de GGD zijn, of vindt de VVD dat dan toch deze overheid hier een rol in speelt?

De heer Veldman (VVD):
Dat weet ik niet. Vandaar dat ik net aan de minister heb gevraagd of er wordt nagedacht over het compenseren van slachtoffers, als mensen aantoonbaar door deze datalekken de vernieling ingaan. Dat is precies mijn vraag. Ik weet niet of daar dan de GGD aan zet is of een ander. Ik weet wel dat het een vraag is die we met elkaar moeten beantwoorden.

Mevrouw Van Brenk (50PLUS):
Ik heb een motie op dit gebied. Misschien kunnen we samenwerken, want ik vind dat burgers die door de overheid gevraagd worden om naar een teststraat te gaan en daar nu de dupe van worden, de dupe niet mógen worden. Als de VVD daar ook zo in staat — en misschien geldt dat wel voor de hele Kamer — dan denk ik dat we daarover een krachtig signaal zouden moeten afgeven. Ik hoop dat de VVD het daarmee eens is.

De heer Veldman (VVD):
Dat signaal heb ik in mijn bijdrage net afgegeven door de minister te vragen of er wordt nagedacht over het compenseren van mensen. Ik vind namelijk dat de overheid een verantwoordelijkheid heeft tegenover de mensen die nu door deze datalekken echt de vernieling in worden geholpen. Ik hoop dat de minister daar dadelijk een heel goed, duidelijk en helder antwoord op heeft. Dan heb ik daarna geen motie nodig. Maar indien nodig, gaan we daar met elkaar naar kijken.

Mevrouw Van Esch (PvdD):
Ik wil eigenlijk doorgaan op de beantwoording van de laatste vraag van mevrouw Kuiken, waarin er een soort van schijntegenstelling wordt gecreëerd. We moeten een pandemie bestrijden, dus moet privacy maar even op de tweede plek. Volgens mij waren hierover ook uitspraken gedaan door de GGD en ik ben daar wel benieuwd naar. Volgens mij is dat absoluut niet noodzakelijk. Volgens mij kun je prima aan privacy doen én een crisis bestrijden. Ik ben wel benieuwd of de VVD vindt dat je een soort van keuze zou moeten maken tussen privacy en het bestrijden van de crisis.

De heer Veldman (VVD):
Ik heb in mijn beantwoording — misschien is het verkeerd overgekomen — zeker niet willen zeggen dat er een schijntegenstelling is. Volgens mij heb ik die suggestie ook niet gedaan. Sterker nog, het kán een conflicterende tegenstelling zijn. Er is dus geen sprake van schijn. Juist het feit dat die twee dingen tegenover elkaar staan, maakt dat je er niet tussen moet kiezen. Je moet zorgen voor de goede balans tussen beide. Want én zorgvuldigheid, veiligheid en bescherming van privacygevoelige gegevens zijn van het grootste belang. Maar het is, gezien de situatie waar wij als maatschappij in zitten, ook van het grootste belang dan we zo snel mogelijk uit deze crisis komen, dat we zo snel mogelijk kunnen testen. Het is dus terecht dat deze Kamer in het voorjaar deze minister heeft aangesproken op de snelheid van het testen. Het kan niet zo zijn dat sommige mensen vijf dagen moeten wachten voordat ze de uitslag krijgen. Er is geen schijnbare tegenstelling. Er ís een tegenstelling in belangen en dat vraagt om een goede balans.

Mevrouw Van Esch (PvdD):
Ik vind dat toch best wel zorgwekkend, want dat hoeft niet zo te zijn. Er is geen tegenstelling tussen het belang van privacy en het bestrijden van de crisis. Als we hier gewoon altijd systemen maken waarin privacy by design vooropstaat, ook in het bestrijden van een crisis, is er geen tegenstelling. Dan hoeft dat niet zo te zijn. Dan is die er gewoon niet. Ik vind het dus echt zorgwekkend, want ik voel en proef toch een beetje bij de VVD alsof we nu gewoon bezig zijn met het bestrijden van een crisis, en de privacy, en zeker ook het privacy by design ontwikkelen, dan toch een beetje op de tweede plek komt te staan. Volgens mij is dat echt niet noodzakelijk. Ik vind dat dus best wel zorgelijk.

De heer Veldman (VVD):
In theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen op orde zouden zijn ... Alleen waren ze dat niet, hebben we gezien. Maar er moest wel gehandeld worden. Dat maakt, zo lees ik in de brief van het RIVM vandaag, dat het RIVM zegt: om nu lopende de crisis over te gaan naar een nieuw systeem is wel erg kwetsbaar. En ja, ik kan me bij die kwetsbaarheid wel iets voorstellen. Het vraagt dus om een goede balans. Maar in theorie ben ik het helemaal met mevrouw Van Esch eens. Als de systemen aan de voorkant op orde waren geweest, dan was er inderdaad geen tegenstelling geweest, want dan waren de gegevens gewoon goed beschermd.

De voorzitter:
Mevrouw Agema heeft ook een vraag voor u.

Mevrouw Agema (PVV):
Het kabinet is natuurlijk wel van plan om gedurende de crisis het hele testbeleid nog veel meer op te krikken. We krijgen straks bijvoorbeeld proeftuinen bij festivals en noem maar op. Ik zou graag de gedachten van de heer Veldman daarover willen weten. Wordt dat dan een systeem zoals dit? Je gaat een avondje uit en je hele bsn en alles zit in een systeem? Of moet dat iets laagdrempeligs worden, als we zo veel moeten gaan opschalen?

De heer Veldman (VVD):
Nou, dat eerste lijkt me zeker niet. Volgens mij hebben we vandaag dit debat omdat we met z'n allen redelijk ontstemd zijn over het feit dat zo veel gegevens van mensen op straat liggen en dat er nu gehandeld wordt in persoonsgegevens van mensen. Ik ben het dus helemaal met mevrouw Agema eens: als we op een andere manier gaan testen en sneltesten doen, waarbij we niet alleen testen voor het opsporen van het virus maar ook voor het uitsluiten van het virus zodat mensen naar een evenement kunnen, dan zal dat op een goede manier moeten gebeuren. Volgens mij liggen er bij deze minister nog vragen uit eerdere debatten over hoe dat georganiseerd gaat worden. Ik ben het met mevrouw Agema eens dat we dat alleen maar moeten inzetten als dat op een veilige en goede manier kan.

Mevrouw Agema (PVV):
Ik bedoel eigenlijk ook laagdrempeliger. Er zijn nu al zo'n 7 miljoen testen gedaan, met heel veel risico's voor mensen die hier het slachtoffer kunnen worden van datadiefstal. Ik kan me toch niet voorstellen dat je straks je hele reutemeteut moet overleggen om naar een festival te kunnen. Ik vraag de VVD dus eigenlijk: is de VVD het met mij eens dat als je een toekomstig testbeleid wilt inrichten, dat veel laagdrempeliger moet, met een tijdelijke code of iets dergelijks, met een streepjescode of iets in die trant? Want je kan toch niet de volledige geschiedenis en data en noem maar op van mensen gaan opvragen voor iets laagdrempeligs zoals toegang tot bijvoorbeeld een evenement?

De heer Veldman (VVD):
Volgens mij ben ik dat met mevrouw Agema eens. Dat sluit naadloos aan bij mijn eigen pleidooi van een aantal maanden geleden, toen we het hadden over de weg uit de problemen waar we in zitten via het grootschalig testen en kijken of testen kan helpen bij het weer openen van sectoren. Toen heb ik expliciet benoemd dat er volgens mij twee verschillende manieren van testen zijn, namelijk testen in het opsporen van het virus, waarbij een arts op basis van de Wet publieke gezondheid ook een verantwoordelijkheid heeft om dat door te geven, naast het testen om uit te sluiten dat er een besmet iemand binnenkomt. Ik kan me voorstellen dat dat laatste veel grootschaliger en dus ook laagdrempeliger kan en moet zijn, omdat je dan aan de evenementenorganisator vraagt om ervoor te zorgen dat er geen besmette mensen binnenkomen. Dat is een andere verantwoordelijkheid dan het opsporen. Binnen die andere verantwoordelijkheid kan ik mij voorstellen dat het kleinschaliger, laagdrempeliger en dus met veel minder uitwisseling van gegevens kan dan nu in de GGD-teststraten gebeurt.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Van der Staaij namens de SGP. Gaat uw gang.

De heer Van der Staaij (SGP):
Mevrouw de voorzitter. Ik zag vanmorgen op sociale media wat reacties langskomen: moet de Kamer nou weer een debat hebben over zo'n datalek? Mijn reactie zou zijn: ja, het is goed om het daarover te hebben, want het is een ernstige zaak. Het is niet om zomaar iets op te blazen, maar het is ernstig, omdat het mensen in problemen kan brengen als gevoelige informatie bij criminelen belandt. Het is ook ernstig omdat het een forse knauw kan opleveren voor de testbereidheid van mensen als ze denken: er wordt niet goed met mijn gegevens omgegaan. Daarom vind ik het belangrijk om hier vandaag met de regering over te spreken, in de eerste plaats om na te gaan wat we nou kunnen leren van hoe het misging. In de tweede plaats: wat kunnen we doen om de schade te beperken en slachtoffers te steunen? Mijn derde kernvraag is of nu alles op alles wordt gezet om herhaling te voorkomen en om gevoelige informatie zo goed mogelijk te beschermen.

Het eerste punt is dus: hoe kon het misgaan en wat kunnen we daarvan leren? Als ik het goed begrijp — ik heb hier zelf ook bij gezeten in debatten — was er een enorme druk om op te schalen. Testen is ontzettend belangrijk. Dan kan het zomaar zijn dat er te weinig aandacht wordt besteed aan privacy en dataveiligheid. Dat is niet goed en dat is geen rechtvaardiging, maar als we dat niet benoemen en niet snappen, dan gaan we ook weer te makkelijk aan deze werkelijkheid voorbij. Ik denk dat de les juist is: als er zo'n druk is op iets voor elkaar krijgen, hoe voorkom je dan dat bijvoorbeeld over die informatieveiligheid wordt gedacht dat dat iets is wat even minder prioriteit heeft en dat dat nog wel komt? Dat kan een risico zijn. Hoe kijkt de minister daarop terug?

Het is natuurlijk ook een beetje een bijzondere rol waarin we ook de minister van Volksgezondheid aanspreken, want het gaat eigenlijk niet om een wettelijke taak, maar om een dienstverleningsovereenkomst die eigenlijk is afgesloten met een koepel van organisaties, GGD GHOR, eigenlijk van gemeentelijke diensten die hier nu een hele bijzondere taak in krijgen. Ik heb die dienstverleningsovereenkomst nog even doorgenomen. Het valt me op dat die privacywaarborgen daarin niet heel sterk uit de verf komen. Zou het niet goed zijn om hiervan te leren dat je, als er nog eens een ander bijzonder groot project is waar heel veel druk op staat, wel moet zorgen dat ook in zo'n dienstverleningsovereenkomst niet alleen staat wat daaruit moet komen, maar ook dat het heel belangrijk is dat die randvoorwaarden van informatieveiligheid worden nagekomen? En is dat door deze bijzondere figuur van die dienstverleningsovereenkomst juridisch nu ook voldoende verankerd? Dat is nog een aanvullende vraag aan de minister.

Nog een laatste vraag over hoe het kon misgaan. Vele collega's hebben het al genoemd: is de tegenspraak in het proces wel voldoende georganiseerd geweest? Waarom is er onvoldoende gereageerd op signalen in de zin van: let op, hier is iets mis? Ik denk dat ook dat een kernvraag is die boven komt drijven.

Dan het tweede punt: wordt alles gedaan om schade te beperken en slachtoffers te steunen? Daar lees ik veel goede dingen over, zoals de lijn die de GGD's hebben geopend. Wat ik nog wel mis, is helderheid over de omvang van het datalek. Daardoor ontstaat er toch ook wat schimmigheid over waar we het nu precies over hebben. Ik snap het strafrechtelijk onderzoek, maar als strafrechtelijk onderzoek loopt bij een inbraak, weet je ook wel een beetje wat er uit jouw huis gestolen is; niet precies, maar je weet wel of de helft weggehaald is of dat het alleen om een laptop ging. Iets meer gevoel van waar we het nu over hebben, zou dus helpen. En hoe worden mensen bijgestaan die daadwerkelijk schade hebben?

Het laatste punt: wordt nu alles op alles gezet om herhaling te voorkomen? Volgens mij lees ik in de brief van gisteravond hele stevige acties. Ik heb daar eigenlijk weinig vragen over, twee nog slechts. De eerste vraag, even aan de andere kant hangend, is of het straks de snelheid niet aantast als we al deze informatieveiligheidsacties nu gaan doen. Want we willen natuurlijk niet dat het nu weer aan de andere kant misgaat. Die snelheid is ook weer belangrijk. Hoe wordt die balans daarin gezocht?

Het laatste punt: hoe zit het met de beveiliging van de vaccinatiegegevens in de registratie van het RIVM? Wat wordt nu precies geregistreerd en zijn die gegevens wel goed beveiligd?

Voorzitter, dat waren de vragen die ik graag wilde voorleggen.

De voorzitter:
Dank u wel, meneer Van der Staaij. Dan geef ik nu het woord aan mevrouw Van der Graaf namens de ChristenUnie.

Mevrouw Van der Graaf (ChristenUnie):
Dank u wel, mevrouw de voorzitter. Toen wij in onze fractie spraken ter voorbereiding op dit debat, zeiden we tegen elkaar: wat hier is gebeurd, is eigenlijk ongekend. Als je het hebt over de hoeveelheid data en de gevoeligheid van de informatie die over mensen, privé, naar buiten zijn gekomen, beschikbaar zijn en worden verhandeld door criminelen, is dat zeker een debat waard, zelfs in deze drukke week, waarin wij ook weten dat de minister van VWS meerdere dagen in deze Kamer moet verschijnen. Toch denken we dat het belangrijk is om hierover te spreken, want we lezen dat het voor €30 of €50 al mogelijk is om iemands woongegevens, telefoonnummer en bsn-nummer te krijgen. Het gaat om duizenden euro's, waarmee grote datasets worden verhandeld, omdat het zo uniek is dat er relatief makkelijk bsn-nummers in voorkomen.

Voorzitter, even terug in de tijd. Ook wij hebben in de Kamer aangedrongen op ondersteuning van het bron- en contactonderzoek. In de Kamer is veel aandacht geweest voor het inzetten van extra mensen om dat onderzoek uit te kunnen voeren. Er is veel druk geweest. Er was niet alleen personeel nodig, maar ook in de techniek moest worden opgeschaald, in systemen die daar waarschijnlijk achteraf toch niet voor bedoeld en gemaakt waren. Er moest door heel veel mensen met heel veel gevoelige informatie worden gewerkt. Dat is flink mis gegaan. Daar moeten we kritisch op zijn.

Het lijkt erop dat er een keuze moest worden gemaakt tussen snelheid en veiligheid, maar beide zijn belangrijk. Ik vraag de minister van VWS om hierop terug te blikken. Hoe kijkt hij nou terug op de keuzes die daarin zijn gemaakt?

Ik wil aandacht vragen voor de mensen van wie de gegevens op straat terecht zijn gekomen. Is inzichtelijk welke gegevens nou precies zijn gebruikt en hoeveel mensen hierdoor zijn getroffen? Wordt er ook actief gezocht naar aanbod van deze datasets online? En wat gaat het kabinet doen voor deze mensen? Ik noem het moment dat je slachtoffer wordt van identiteitsfraude of het moment dat je het vermoeden hebt dat je wordt belast of dat er misbruik is gemaakt van jouw gegevens. Hoe anticipeert de overheid daarop? Wij krijgen verontrustende berichten van mensen die zeggen: ik zou graag een nieuw bsn-nummer willen. Wat is dan de reactie van de overheid?

Als iemand echt slachtoffer wordt van identiteitsfraude en diefstal en kan aantonen dat dat op dit GGD-datalek is terug te brengen, kan die schade allemaal op de GGD worden verhaald. De GGD heeft de wet hiermee overtreden. Ik vraag het kabinet waar het rekening mee houdt en met welke omvang van aansprakelijkheid rekening moet worden gehouden.

Hoe zag de controle op die werkzaamheden er nou eigenlijk uit? We hoorden van een student die daar werkte, die het contrast schetste tussen het moment dat hij een tentamen aflegt waarbij er enorm veel controle is en het werken met GGD-gegevens, waarbij de controle nihil is. Dan heb ik ook de vraag: hebben alle medewerkers nu een vog? Klopt het dat je de eerste zes weken zonder vog kan werken en moeten we daar niet nu verandering in brengen?

Voorzitter. Ik vraag daarnaast naar de Autoriteit Persoonsgegevens. In hoeverre zijn de tekorten bij de Autoriteit Persoonsgegevens direct aanleiding geweest voor het voortsudderen van dit probleem? Hoe wordt er nu voor gezorgd dat het systeem wel veilig is? Zijn de exportfuncties inderdaad allemaal uitgeschakeld? Zou het adviescollege ICT-toetsing naast de AP misschien actief een rol kunnen spelen? Normaal gesproken adviseren zij achteraf, maar zouden we hen niet realtime mee moeten laten kijken om de zaken nu op te lossen? Graag een reactie van de minister.

Voorzitter. Ik vraag de minister of het mogelijk is om het bron- en contactonderzoek veilig te laten plaatsvinden. Hoe kan het kabinet mensen ervan verzekeren dat het veilig is om je te laten testen en je te laten vaccineren?

Dank u wel.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Agema namens de PVV.

Mevrouw Agema (PVV):
Dank u wel, voorzitter. "Een open deur roept den dief" is een spreuk van de bekende Nederlandse dichter en politicus Jacob Cats uit 1632. Hoe toepasselijk in de kwestie die wij hier vandaag bespreken en hoe jammer dat deze spreuk niet gebeiteld staat in de gevel van het Catshuis, waar het kabinet met enige regelmaat de coronaplannen bespreekt. Want zo is het toch in feite? Binnen het systeem voor het testbeleid stonden alle deuren wagenwijd open. Geen deur zat op slot. Je hoefde zelfs niet aan te kloppen. Iedereen kon overal naar binnen. Niemand controleerde wie er in- of uitging en wat er meegenomen werd. Zo kon het gebeuren dat dieven maandenlang hun gang konden gaan.

Wat betekent het als je identiteit gestolen wordt? De dief verpatst je identiteit voor een paar tientjes en criminelen bestellen vervolgens spullen op jouw naam, vragen in jouw naam een toeslag aan, sluiten in jouw naam abonnementen af of troggelen je geld af via jouw whatsapp. En jij? Jij kunt de rest van je leven bloeden en strijden tegen het onrecht, ook tegen de overheid waarschijnlijk. Dit staat allemaal in geen verhouding tot het doel van het testbeleid. Je zult maar met een lichte verkoudheid gehoor hebben gegeven aan de dringende oproep van de minister om je toch te laten testen en nu het slachtoffer worden van de diefstal van je identiteit. De fraudehelpdesk spreekt al over 40 gevallen, het topje van de ijsberg waarschijnlijk. Immers, er werden ruim 7,2 miljoen testen afgenomen. Te midden van al deze ellende spreekt de GGD over een intelligent opschalingsmodel dat in afstemming met het RIVM en het ministerie van VWS was opgesteld. Het kabinet ging van een intelligente lockdown naar een intelligente heropening van de samenleving. De GGD had een intelligent BCO-protocol en dus ook een intelligent opschalingsmodel voor het testen. Dat was wat over de top realiseert de voorzitter van de GGD zich inmiddels wel. Hij trok de afgelopen dagen een wat dommig gezicht voor de camera's en gaf ronduit toe dat hij al die tijd al wist dat de deur wagenwijd openstond. Hij had zelf bedacht dat identiteitsfraude niet opwoog tegen de bestrijding van de pandemie. Deelt de minister deze opvatting? Is dit wat hij zegt tegen de slachtoffers van de identiteitsfraude in de week na de val van het kabinet vanwege de toeslagenaffaire? Je zou haast denken dat de voorzitter van de GGD zijn dommigheid veinsde. Immers, ik kan me niet voorstellen dat een oud-fractievoorzitter over zo'n slechte politieke antenne beschikt.

De voorbije week heeft de vraag waarom de overheid vindt dat er zo veel gegevens van miljoenen mensen verzameld moet worden in een leksysteem voor zoiets simpels als een coronatest mij het meest bezig gehouden. De vragen die ik daarover stelde, werden beantwoord met een "daarom". Ik neem hier geen genoegen mee. Gezien ook het interruptiedebat dat ik zojuist had met de heer Veldman, zeg ik: we moeten naar een veel laagdrempeliger systeem waarin wordt gewerkt met slechts een eenmalige code. Je kunt de samenleving niet heropenen en van miljoenen mensen maar al hun gegevens blijven opvragen. Het kan niet! Ik ben geen dataspecialist, maar ik weet wel zeker dat dit niet kan als de opschaling van het testbeleid zo'n grote prioriteit is van het kabinet.

Wat mij opviel aan de e-mails die ik kreeg van mensen die wel verstand hebben van databeveiliging, is hoe makkelijk zij de fouten in het systeem konden benoemen. Daarnaast kreeg ik veel berichten van verontruste burgers. Mensen die zich ook mét klachten niet meer durven te laten testen. Mensen die bang zijn voor chantage en diefstal van hun identiteit. Wat kan de overheid betekenen voor die vragen? Uit de antwoorden op de vele vragen die de Kamer stelde, blijkt dat op een paar verbeterpunten na de situatie hetzelfde blijft. En, o ja, de bewaartermijn van al die persoonsgegevens van miljoenen Nederlanders gaat ook nog eens naar twintig jaar.

Minister De Jonge stuurde de afgelopen jaren een stuk of twintig actieplannen — hij mag me corrigeren op het juiste aantal — naar de Kamer, waar allemaal niks van terechtgekomen is. Maar ik vraag hem nu zijn lot te verbinden aan het beperken van de schade van dit immense, persoonlijke leed, dat zo veel goede en oprechte burgers van ons land aangedaan wordt.

Dank u wel.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Van den Berg namens het CDA.

Mevrouw Van den Berg (CDA):
Dank u wel, voorzitter. Om adequaat te kunnen testen, bron- en contactonderzoek te kunnen verrichten en te vaccineren, is het van belang dat gegevens bewaard worden. Maar mensen moeten er dan wel op kunnen vertrouwen dat er zorgvuldig wordt omgegaan met hun persoonsgegevens en dat hun gegevens veilig zijn. Het informatiebeheer bij de GGD moet aan de hoogste standaarden voldoen ten aanzien van de veiligheid, zoals de minister vorige week terecht aangaf.

Het CDA vindt het op de eerste plaats zorgelijk dat de GGD blijkbaar niet heeft aangegeven welke ICT-problemen zij hadden en dat de basics door de GGD niet zijn toegepast. Ik noem het blokkeren van de exportfunctie en het loggen wie er in het systeem zit. Nog in 2019 moest het HagaZiekenhuis in Den Haag €460.000 boete betalen omdat patiëntendossiers slecht waren beveiligd. Mensen die daar niets te zoeken hadden, konden gluren in medische dossiers. Je zou denken dat iedere instelling vanaf dat moment zou dubbelchecken hoe het met de eigen beveiliging staat. Ik vraag me hardop af of het klopt dat medewerkers van de GGD'en afgelopen zomer al waarschuwden over de privacyproblemen bij de coronasystemen van de GGD. Zijn deze signalen van de medewerkers serieus genomen? Op welke tafel zijn die beland binnen de GGD? Waarom heeft de voorzitter van de koepelorganisatie GGD GHOR, de heer Rouvoet, het oplossen van dit probleem niet als prioriteit opgepakt toen hij werd benoemd? Waarom heeft de heer Rouvoet er niet voor gezorgd dat er een CIO, een chief information officer, werd aangesteld? Kan de minister garanderen dat medewerkers misstanden intern en desnoods extern kunnen melden, zonder dat zij hoeven te vrezen voor represailles?

Mevrouw Kuiken (PvdA):
Inmiddels weten we uit de antwoorden en de brief van de minister en uit de notulen dat er in april al meldingen waren en dat er in juni signalen waren. In september was het in Nieuwsuur. Los van wat medewerkers intern wel of niet gemeld hebben, wisten ook de heer Rouvoet en VWS het toen al. Dat roept in algemene zin de vraag op, los van wat medewerkers hebben gemeld, waarom er toen niet al stringentere maatregelen zijn genomen. Het was toen immers al evident, zoals we terug kunnen zien in de verslaglegging.

Mevrouw Van den Berg (CDA):
Een terechte vraag van mevrouw Kuiken, want ik zou ook willen weten hoe het intern met die governance is gesteld. Waarom wordt er op dat moment niets mee gedaan? Het ministerie was opdrachtgever, maar de GGD was de uitvoerder en die moet op de eerste plaats zorgen dat die systemen op orde zijn. Het verbaast mij dat daar intern niet op gereageerd is. Als dat een cultuurprobleem is, zou ik daar met name actie op willen hebben.

Mevrouw Kuiken (PvdA):
Dat zijn terechte vragen. Dat is ook mijn zoektocht, maar de hamvraag is, nu ik alles goed heb doorgelezen en gezien heb wat we er publiekelijk al over wisten en wat men er intern over wist, waarom er niet al eerder exportfuncties en printfuncties uit zijn gehaald en niet veel stringenter is opgeschaald. Eigenlijk zijn er pas vorige week stappen genomen, terwijl men in april, juni en september zowel publiek als intern bij VWS en GGD wist dat er iets aan de hand was. En dan lijkt het erop dat, op het moment dat de nood hoog genoeg wordt en RTL er een item aan besteedt, we het daarna pas echt urgent vinden dat er actie wordt ondernomen. Samenvattend is mijn punt: het maakt niet uit of mensen het intern wel of niet gemeld hebben, er had sowieso bij de GGD en bij VWS al veel eerder actie ondernomen moeten worden. Is mevrouw Van den Berg dat met mij eens?

Mevrouw Van den Berg (CDA):
Dat ben ik zeer met mevrouw Kuiken eens. Mijn grote vraag is: wat heeft er in de cultuur gezeten waardoor dat niet is gebeurd? Wat zijn de belemmeringen geweest om die acties niet te ondernemen? In mijn inbreng net gaf ik ook aan dat dit gewoon bepaalde basics zijn, waar je niet eens een ICT-expert voor hoeft te zijn. Een paar keer is het voorbeeld van het huis gegeven: als iemand tegen jou zegt dat je raam kapot is en je slot niet goed werkt, dan weet je gewoon dat je wel heel erg toegankelijk bent voor diefstal. Dus ik zou met name willen weten: wat is er in de cultuur bij de GGD niet op orde dat dit op deze manier niet wordt opgepakt?

De voorzitter:
Mevrouw Kuiken, tot slot.

Mevrouw Kuiken (PvdA):
Ja, die cultuur, prima, maar volgens mij ontbreekt het ook aan een basis van checks-and-balances, bij de GGD maar ook bij VWS, waardoor er gewoon geen navolging is gegeven, noch op basis van interne rapportages die gewoon bekend waren, noch naar de Autoriteit Persoonsgegevens. Dus met andere woorden: er zit totaal geen externe druk op om ervoor te zorgen dat dit soort zaken gewoon geregeld worden.

Mevrouw Van den Berg (CDA):
Ik denk dat mevrouw Kuiken terecht vraagt naar de opdrachtgeverfunctie van VWS en wat daarmee gebeurd is. Daar heb ik sowieso in algemene termen ook al eerder aandacht voor gevraagd tijdens de bespreking van de jaarrekening vorig jaar, door te vragen of er ook nog een apart onderzoek komt van de Rekenkamer, juist om naar die hele governance te kijken. Dat hebben wij bijvoorbeeld ook gezien bij de dataschijven die bij het Donorregister zijn verdwenen. Is dat nu overal goed ingeregeld, ook bij VWS?

Mevrouw Kröger (GroenLinks):
Ik heb hier ook een vraag over. Er wordt gesproken over de cultuur bij de GGD's. In de antwoorden op onze vragen in het schriftelijk overleg lees ik dat de autorisatie per GGD is geregeld. Er is dus geen centrale richtlijn vanuit de GGD, aangestuurd vanuit de ministeries, over hoe de autorisatie geregeld is. Dat elke GGD het door een volstrekte decentralisatie op haar eigen manier doet, gaat natuurlijk voorbij een cultuur. Dan is er gewoon sprake van een systeemfout.

Mevrouw Van den Berg (CDA):
In ieder geval het CDA heeft in het begin al vragen gesteld over de wijze waarop de GGD's met elkaar georganiseerd zijn. Ik denk dat de minister terecht heeft aangegeven dat het vaak niet de beste oplossing van problemen is om midden in een crisis een reorganisatie door te voeren. Maar dat hier nader naar gekeken moet worden, ook naar hoe de GGD's onderling zijn verbonden en hoe er een eenduidiger structuur en eenduidiger interne lijnen kunnen komen, dat is het CDA van harte eens met mevrouw Kröger.

Mevrouw Kröger (GroenLinks):
Volgens mij gaat het er niet om of wij nu, midden in een pandemie, een hele reorganisatie doen. Het gaat erom dat je via een ministeriële aanwijzing wel degelijk kunt zeggen: we gaan bepaalde dingen op een bepaalde manier regelen en alle GGD's gaan zich conformeren aan hetzelfde autorisatieprotocol, want wij kunnen het niet hebben dat dit per GGD bedacht en uitgevoerd kan worden.

Mevrouw Van den Berg (CDA):
Ik zou daar graag een antwoord op hebben van de minister, want ik heb toch begrepen dat dit complexer ligt dan mevrouw Kröger nu aangeeft, ook al omdat de GGD's onder de verantwoordelijkheid van de gemeenten vallen. VWS kan dus wel de opdracht geven dat iets op een bepaalde manier moet gebeuren, maar ze heeft er dan veel minder zeggenschap over hoe dat dan precies gebeurt.

Mevrouw Kröger (GroenLinks):
Dan kijken we allebei uit naar het antwoord op deze vraag.

De voorzitter:
Dat zullen we straks horen. De heer Azarkan.

De heer Azarkan (DENK):
Mevrouw Van den Berg heeft een heleboel vragen, maar de antwoorden staan gewoon op de pagina's 2 en 3. Het is eigenlijk vrij simpel. De minister zegt: wij hadden onvoldoende aandacht voor de privacy en dataveiligheid. Wij hebben niet goed gestuurd, wij hebben eigenlijk een beetje domme dingen gedaan. Wij hebben iedereen toegang gegeven terwijl dat niet nodig was. Dat kunnen we uitzetten en dat kunnen we zo doen dat dit het testen en het bron- en contactonderzoek niet in gevaar brengt. Dat is wel een beetje dom. Vervolgens zegt hij dat er te weinig expertise is ingeregeld …

De voorzitter:
U gaat niet alles voorlezen, hè?

De heer Azarkan (DENK):
Nee, maar het zijn de vragen die mevrouw Van den Berg gesteld heeft. Vervolgens zegt hij: ik moet strakker sturen en dat doe ik samen met de GHOR. Bovendien komt er een externe audit. En als laatste zegt hij: we hebben de aanbevelingen uit december niet snel genoeg geïmplementeerd en dat gaan we alsnog doen. Dat zijn gewoon mensenhandelingen die zijn veronachtzaamd. Dat is toch wat er aan de hand is: te weinig gestuurd, te weinig expertise, niet op tijd, en data was niet belangrijk? Welke antwoorden wilt u nog hebben?

Mevrouw Van den Berg (CDA):
Nogmaals, VWS is opdrachtgever van dit project, maar het zijn de GGD's die het uitvoeren. Voor de basicdingen die ik noem, zou VWS geen aandacht moeten hoeven vragen. Dat zou een organisatie uit zichzelf moeten oppakken. Ik wil weten waarom dat bij de GGD niet automatisch is gebeurd.

De heer Azarkan (DENK):
Zo werkt het niet. Ik kan in ieder geval uit eigen ervaring vertellen dat, als het over ICT-projecten gaat, het ministerie dat de uitvraag doet, deze aan alle voorwaarden moet laten voldoen. Dat toets je. Je zegt niet: gaat u maar aan de gang met een systeem en ik hoop dat u uit uzelf de waarborgen biedt. Nee, het is hier van wezenlijk belang dat we met elkaar corona bestrijden. Daarbij is privacy ontzettend belangrijk, want dat geeft vertrouwen aan de burgers. Vanuit VWS had gewoon moeten worden gezegd: dit heeft hoge prioriteit en ik ga ervan uit dat u dit, dit en dit doet. Punt. Dat gaat niet vanzelf. Niets gaat vanzelf in Nederland.

Mevrouw Van den Berg (CDA):
Nee, maar wat ik wel heb begrepen, is dat er werd voortgebouwd op systemen die er al waren. Wat is de reden dat de GGD, bijvoorbeeld aan het begin van het project, niet zelf heeft gezegd: ja, maar moet je eens luisteren, als ik dit systeem zo moet gaan opschalen, dan zijn er heel andere ICT-risico's waar we met elkaar over moeten spreken?

De voorzitter:
Tot slot op dit punt, meneer Azarkan.

De heer Azarkan (DENK):
Dat is nu exact wat er aan de hand is. Alles wat ik lees dat gaat gebeuren, dat kan allemaal. Dat kon een halfjaar geleden ook. Ik lees dat het geen invloed heeft op het kunnen testen en op het brononderzoek. Het is dus gewoon een verkeerde inschatting. Voor mijn oma maakt het toch niet uit of, als ze straks wordt opgelicht, dat de verantwoordelijkheid van de GGD dan wel de verantwoordelijkheid van VWS is? We staan toch voor de belangen van burgers die hun privacy beschermd moeten zien?

Mevrouw Van den Berg (CDA):
Dat ben ik geheel met de heer Azarkan eens. De burger maakt het echt niet uit waardoor het is gekomen. Maar als Kamer moeten we wel praten over hoe we dit opgelost kunnen krijgen en over hoe we kunnen voorkomen dat we dit soort zaken nog een keer krijgen. En dan moeten we wél praten over de onderlinge structuren en culturen.

De voorzitter:
Gaat u verder, mevrouw Van den Berg.

Mevrouw Van den Berg (CDA):
In september meldde Nieuwsuur dat de uitslagen van de coronatest en de bijbehorende persoonlijke gegevens toegankelijk waren voor medewerkers van de coronatestlijn die hier eigenlijk geen toegang toe zouden moeten hebben. Andere collega's hebben dat ook genoemd. De Autoriteit Persoonsgegevens vroeg de GGD toen om opheldering, maar er volgde verder geen onderzoek. We zijn ervan uitgegaan dat wat we toen deden, voldoende was om het op orde te brengen, stelt de toezichthouder. Vindt de minister voor Rechtsbescherming dat de Autoriteit Persoonsgegevens hiermee op een juiste manier heeft gehandeld? Waarom heeft de Autoriteit Persoonsgegevens de GGD niet eerder onder toezicht gesteld? Waarom is bijvoorbeeld bij de ontwikkeling van de app wel uitgebreid meegekeken door de Autoriteit Persoonsgegevens, maar is dat niet gebeurd bij dergelijke signalen over een lek in een softwaresysteem waar tienduizenden konden meekijken?

Voorzitter. Dit probleem moet zo snel mogelijk worden opgelost. De GGD geeft aan dat ze geautomatiseerd gaat onderzoeken of medewerkers ongeoorloofd in privégegevens van burgers hebben gekeken. Maar wanneer is dat gerealiseerd? Welke andere maatregelen worden genomen? Op welke manier wordt de Autoriteit Persoonsgegevens hier nu wel strak bij betrokken?

Ten slotte. Wij ontvangen vragen van mensen over de veiligheid van hun bsn-nummer. Als mensen erachter komen dat hun gegevens gelekt zijn, wat is dan het advies van de minister aan deze mensen? Waar kunnen mensen terecht met hun vragen? Wat is mogelijk voor mensen die echt het slachtoffer zijn geworden doordat hun bsn-nummer is misbruikt? Kan de minister daarop reageren?

Dank u wel, voorzitter.

De voorzitter:
Dank u wel. Ik zie de heer Verhoeven.

De heer Verhoeven (D66):
2020, het afgelopen jaar, was een slecht jaar voor de rechtsstaat, met SyRI dat verboden is door de rechter, de toeslagenaffaire en nu weer dit datalek. Dit had allemaal gevolgen voor onschuldige burgers. Het CDA heeft hier terecht grote woorden over geuit, met woorden over de trias politica en over het dualisme. Die woorden zijn terecht. Maar waar blijven de daden van het CDA? Het CDA stemt tegen moties voor meer toezicht en meer geld voor de Autoriteit Persoonsgegevens. Het CDA stemt nog steeds voor hele risicovolle datawetten als de Wgs. En bij dit debat neemt mevrouw Van den Berg een beetje de houding aan van "ja, we moeten kijken naar de verschillende verantwoordelijkheden in de keten", maar zij maakt niet heel concreet hoe het nou echt beter kan waar dat nodig is. Bij het keihard aanpakken van privacyproblemen is het CDA eigenlijk veel milder dan op andere gebieden. Waarom is dat?

Mevrouw Van den Berg (CDA):
Dat zou ik toch graag willen wegnemen. Ik heb juist het voorbeeld genoemd van de app, waarbij volgens mij de halve wereld heeft meegekeken naar de ontwikkeling. Die is juist vanaf de basis vanuit de privacy ontwikkeld. Dat zou dus ook de opdracht moeten zijn voor andere systemen die we ontwikkelen. Er moet ontwikkeld worden vanuit een visie op privacy. Hoe kan bij voorbaat voorkomen worden dat er misbruik van wordt gemaakt? Daar moet aan worden gedacht. Ik vind dat daar bij de ontwikkeling al veel meer naar gekeken moet worden, terwijl we nu heel veel dingen aan het repareren zijn.

De heer Verhoeven (D66):
Ik vind het prima dat we het even over de corona-app hebben en over het proces van een halfjaar tijd daaromheen. Dat begon met dezelfde bravoure als vorige week bij het vragenuur: "We gaan het wel even regelen". En vervolgens is er inderdaad ingezet op checks-and-balances, is er tegenspraak georganiseerd onder leiding van een uitstekende CIO en is er tot een redelijk goed tot goed resultaat gekomen. Daar heeft mevrouw Van den Berg gelijk in. Maar ik vroeg iets heel anders. Ik vroeg: gaat het CDA, na alle grote woorden over de rechtsstaat, het dualisme en de trias politica, nu ook daden tonen, om ervoor te zorgen dat burgers beschermd worden tegen een datazuchtige en datahongerige overheid, die voortdurend dezelfde fouten maakt? Dat was de vraag die ik aan mevrouw Van den Berg stelde. En daar wil ik toch echt graag een antwoord op. Dat is wat structureler dan dit debat, maar wel van belang.

Mevrouw Van den Berg (CDA):
Ik heb zelf inderdaad net met voorbeelden aangegeven dat het structureler is dan dit debat. Ik heb ook het feit genoemd dat de Rekenkamer, op basis van een motie van mij, een apart onderzoek doet naar de ICT bij VWS en de onderlinge governance. Ik wil dit ook structureler aanpakken. Bij nieuwe systemen moeten we voorkomen dat er iedere keer gerepareerd moet worden. We moeten daar juist aan het begin, bij de ontwikkeling van een systeem, veel beter op letten.

De voorzitter:
Tot slot, meneer Verhoeven.

De heer Verhoeven (D66):
Dan sla ik het tot slot maar een beetje plat. Ik stel dezelfde vraag die ook aan de heer Veldman gesteld is. Het CDA en de VVD hebben een lange historie van het stemmen tegen moties die meer geld willen voor de Autoriteit Persoonsgegevens. Is het CDA nu ook bereid, net zoals de heer Veldman van de VVD zojuist heeft gezegd, om serieus te kijken naar een toereikend en groter budget voor de Autoriteit Persoonsgegevens? Het is toch echt wel duidelijk geworden dat dat op alle fronten tekortschiet.

Mevrouw Van den Berg (CDA):
We zien steeds meer digitalisering, dus ik kan me goed voorstellen dat er behoefte is aan een autoriteit. Net zoals meneer Veldman zou ik dus zeggen dat we moeten kijken naar wat nodig is. Maar ik neem even een heel simpel voorbeeld. Als je een huis hebt waarvan een ruit kapot is, het slot van de deur niet goed werkt en waarin geen alarminstallatie geïnstalleerd is, dan moet je om de haverklap de politie bellen omdat er iets aan de hand is. De oplossing is dan niet dat we meer politie moeten hebben. Nee, de eerste oplossing is dan dat we aan de basis de systemen veel beter inrichten. Ik ben graag bereid te kijken of je dan misschien toch meer dan nu de Autoriteit Persoonsgegevens nodig hebt, maar dat is voor mij stap twee.

De heer Hijink (SP):
Mevrouw Van den Berg gebruikt dezelfde bliksemafleider als de heer Veldman. Natuurlijk, die systemen moeten op orde worden gebracht door degene die ze gemaakt heeft en die ze beheert. Maar als ik lees wat de Autoriteit Persoonsgegevens doet ... De Autoriteit Persoonsgegevens kreeg in 2019 27.000 meldingen van datalekken, en daarvan heeft de autoreit 0,3% — 0,3%! — kunnen onderzoeken. Met 99,7% van alle datalekken die gemeld worden kan de autoriteit op dit moment niks doen en die worden niet onderzocht. Nou, het is toch glashelder dat je dan als autoriteit te weinig middelen hebt om gewoon goed je werk te kunnen doen?

De voorzitter:
Daar heeft mevrouw Van den Berg net een reactie op gegeven.

Mevrouw Van den Berg (CDA):
Ja, voorzitter. Want het gaat mij erom dat je die hoeveelheid naar beneden moet krijgen, dat men daar bij die systemen en bij die instellingen zelf veel meer checks-and-balances doet om te kijken hoe ze een datalek kunnen voorkomen. Het is wat om te zeggen "ja, het is weer misgegaan", en je legt het bij de autoriteit. Je moet ervoor zorgen aan de basis. Ik noemde het voorbeeld van het HagaZiekenhuis dat we toen hebben gezien: er werd gewoon niet goed gelogd, er werd niet regelmatig gekeken. Je moet gewoon zien wie er is ingelogd in een systeem en daar constant controles op doen. Dan kan je ook veel meer datalekken voorkomen.

De voorzitter:
Maar dat was ... De heer Hijink.

De heer Hijink (SP):
Ik ben dat met mevrouw Van den Berg eens: je moet dat zo veel mogelijk zien te voorkomen. Maar dan helpt het natuurlijk wel als er een strenge autoriteit is die organisaties heel hard kan aanpakken als zij in de fout gaan. Dat werkt ook preventief. Maar als je weet dat er in 99,7% van de gevallen toch geen onderzoek komt ... Ja, dat is nou niet bepaald een afschrikwekkend effect of zo.

De voorzitter:
Ja ...

De heer Hijink (SP):
Dus daarom is mijn vraag: als maar 0,3% van de bekende datalekken kan worden onderzocht, vindt het CDA dan ook niet dat er meer capaciteit moet komen, zodat er een substantieel aantal onderzoeken kan worden gedaan naar datalekken?

De voorzitter:
Graag ook een hele korte reactie, mevrouw Van den Berg.

Mevrouw Van den Berg (CDA):
Voorzitter. Ik ben graag bereid om te kijken hoe we de pakkans kunnen verhogen, want dat is volgens mij waar de heer Hijink naar vraagt.

De voorzitter:
Dank u wel, mevrouw Van den Berg. U was klaar, hè?

Ik wacht heel even, we gaan heel even schoonmaken. Jawel, dat moet. U behoort zeker tot een risicogroep. Het woord is aan de heer Baudet namens Forum voor Democratie.

De heer Baudet (FvD):
Voorzitter. IT en de overheid is al heel lang een ongelukkige combinatie. Dat is ook niet zo moeilijk te begrijpen, omdat de kartelpolitici die leiding geven aan dat soort processen, net als alle andere kartelpolitici worden geselecteerd op loyaliteit en uitgezeten dienstjaren, en niet op kwaliteit of affiniteit met IT.

Maar toch, veel ernstiger dan het datalek bij de GGD wordt het niet. Gegevens van miljoenen Nederlanders waren inzichtelijk voor extern ingehuurde werkstudenten, die nog nooit zelfs maar een vog hadden overlegd. En niet alleen inzichtelijk, maar ook te exporteren. Van burgerservicenummer tot aan gevoelige patiëntgegevens, het ligt nu allemaal op straat. Hoe is dit mogelijk geweest? En hoe is het mogelijk dat dit al maandenlang bekend was, maar de GGD niets heeft gedaan om het datalek te dichten? Ik heb een déjà vu: het debat in verband met de toeslagenaffaire, het aftreden van het kabinet en de wonden van de slachtoffers. Het ligt allemaal nog vers in het geheugen. En ook bij dit schandaal vroeg men zich af: hoe kan het toch, dat bepaalde misstanden bekend zijn, maar dat er niets wordt gedaan? Het is identiek. Heel veel mensen hebben mij de afgelopen dagen gemaild: hoe kan het dat dit gebeurde, en hoe kan het dat hier niets aan is gedaan terwijl het wel bekend was? Heel veel mensen die mij mailden zijn bang dat hun burgerservicenummer gebruikt wordt voor identiteitsfraude; dat kan. Of oudere familieleden die nepberichten ontvangen om geld over te maken aan een familielid. Dat gebeurt, het is ook in mijn familie gebeurd. Het is echt ongelofelijk hoe makkelijk dat gaat met deze informatie. De overheid is hiervoor verantwoordelijk. Het is niet te geloven dat men dat maar een beetje laat gebeuren. Dit is uitermate ernstig. En ik wil van de minister horen hoe hij dit wil gaan oplossen. Wat wil hij eraan gaan doen om dat nou eens aan te pakken? Hoe kunnen we het vertrouwen terugkrijgen in een overheid die keer op keer niet alleen dit soort fouten maakt, maar ook weigert effectief op te treden? Het wordt tijd voor een omslag in het denken op het gebied van IT: privacy by design. Het is meer dan alleen maar een slogan. 17 miljoen Nederlanders hebben er recht op dat hun persoonsgegevens zorgvuldig en vertrouwelijk worden behandeld. Ik zou van het hele kabinet willen weten hoe kwetsbaar andere systemen voor soortgelijke problemen zijn. Is er al een integrale doorloop gedaan? De alarmbellen moeten gaan rinkelen. We moeten dit over de hele linie uitzoeken, opsporen en oplossen.

En dan is er nog het pijnlijke punt van het persoonlijke falen van deze minister. Na het gebrek aan tests, de stiekem gewijzigde richtlijnen rondom mondkopjes in verzorgingstehuizen met een drama als gevolg, het gefaalde bron- en contactonderzoek naar de horecasluiting die volstrekt onnodig is, na de nu al eindeloos voortslepende, zinloze en waarschijnlijk zelfs contraproductieve lockdown, na het feit dat De Jonge wel tijd vond om met Jaïr te gaan zingen met kerst maar niet kon voorkomen dat we als allerlaatste in de EU gaan vaccineren, na de zinloze avondklok en de gemanipuleerde vaccinatiecijfers, nu ook nog dit. Het vertrouwen is weg, en de vraag dient zich aan hoeveel schade we deze demissionaire minister nog aan Nederland laten berokkenen. Vandaag spreken we weer uren over deze privacylek, het zoveelste probleem, de zoveelste blunder van dit kabinet, van deze minister. Het echte issue is natuurlijk dat het kabinet ons land al jaren onherstelbare schade toebrengt en hier vrolijk mee doorgaat, zelfs nu het kabinet demissionair is. Hoe gaan we het vertrouwen terugkrijgen? Ik denk dat er maar één mogelijkheid is: we hebben een andere minister van Volksgezondheid nodig.

Dank u wel.

De voorzitter:
Dank u wel. Daarmee zijn we aan het einde gekomen van de eerste termijn van de zijde van de Kamer.

De beraadslaging wordt geschorst.

De voorzitter:
Er is behoefte aan een iets langere schorsing dan we gewend zijn, dus ik schors de vergadering tot 13.45 uur. Dan krijgen beide ministers de gelegenheid om jullie vragen te beantwoorden. Ik schors de vergadering tot … O, meneer Verhoeven.

De heer Verhoeven (D66):
Ik ben natuurlijk niet tegen gedegenheid, zeker niet na het mondelinge vragenuur van vorige week. Dus ik ben voor een lange beantwoordingstijd van de minister, als hij die nodig heeft. Maar we hebben ook de beperking van het debat. Ik weet waar het dan vaak op uitdraait: bijna geen interrupties meer. Dan wordt de Kamer beperkt in de mogelijkheid om door te vragen op bepaalde onderdelen. Ik zou graag van de voorzitter horen hoe we dat dan aanpakken. U kijkt moeilijk, maar u begrijpt me volgens mij heel goed.

De voorzitter:
Ik kijk altijd moeilijk als u het woord neemt, meneer Verhoeven.

De heer Verhoeven (D66):
Dat is pijnlijk, maar …

De voorzitter:
Wat vraagt u eigenlijk precies aan de voorzitter?

De heer Verhoeven (D66):
Ik hoor het mevrouw Agema heel goed zeggen: krijgen we in de beperkte tijd straks voldoende ruimte om wel door te kunnen vragen op een aantal zaken? Het gaat erom dat we niet aan de oppervlakte blijven en door kunnen vragen.

De voorzitter:
Dat vraagt ook iets van de Kamerleden.

De heer Verhoeven (D66):
Kort.

De voorzitter:
Precies. Hoe wist u dat zo goed?

De heer Verhoeven (D66):
En niet moeilijk naar elkaar kijken.

De voorzitter:
Precies, ook. De interrupties bestaan uit korte vragen en korte opmerkingen, en niet uit herhalingen. Hoeveel vragen waren er gesteld? 399 vragen zijn schriftelijk beantwoord. Die heeft u allemaal gelezen. Inderdaad, vannacht. U moet dus geen vraag stellen die eigenlijk al beantwoord is. Zullen we dat zo afspreken? Goed zo. Dan schors ik de vergadering tot 13.45 uur.

De vergadering wordt van 12.45 uur tot 13.47 uur geschorst.

Mededelingen

Mededelingen

Mededelingen

De voorzitter:
Ik begin eerst met een korte regeling van werkzaamheden.

Op de tafel van de Griffier ligt een lijst van ingekomen stukken. Op die lijst staan voorstellen voor de behandeling van deze stukken. Als voor het einde van de vergadering daartegen geen bezwaar is gemaakt, neem ik aan dat daarmee wordt ingestemd.

Regeling van werkzaamheden

Regeling van werkzaamheden

Regeling van werkzaamheden

De voorzitter:
Ik stel voor dinsdag 9 februari aanstaande ook te stemmen over het wetsvoorstel Wijziging van de Wet windenergie op zee (35092), over de daarbij ingediende moties en over de aangehouden motie-Van Esch (25295, nr. 562).

Ik stel voor de leden van de parlementaire ondervragingscommissie Ongewenste beïnvloeding uit onvrije landen (POCOB) decharge van hun werkzaamheden te verlenen. Namens de Kamer dank ik de leden en de staf voor hun werkzaamheden.

Ik stel voor toe te voegen aan de agenda van de Kamer:

  • het VAO Nederlandse Voedsel- en Warenautoriteit (NVWA), met als eerste spreker de heer Graus namens de PVV;
  • het VAO Staatsdeelnemingen, met als eerste spreker de heer Van Raan namens de Partij voor de Dieren.

Ik stel voor de volgende stukken van de stand van werkzaamheden af te voeren: 31125-116; 32761-175; 27925-754; 31516-32; 27830-323; 34919-74; 27925-753; 2020Z24189; 35570-VII-71; 30196-737; 32757-175; 32757-174; 32140-79; 34682-76; 35570-I-10; 26643-718; 26643-721; 26485-359; 21501-02-2245; 35373-26; 35495; 2021Z01032; 33997-155; 33997-153; 33997-151; 33997-138; 33997-152; 33997-154; 2019Z17223; 27925-755; 21501-02-2247; 32429-15; 21501-02-2248; 27925-756; 35570-V-62; 35264-6; 35570-V-60; 35570-V-59; 2020Z21379; 35327-13; 35327-12; 21501-02-2037; 21501-02-2195; 21501-20-1528; 21501-02-2136; 35393-4; 21501-02-2138; 21501-02-2163; 21501-20-1529; 22112-2880; 21501-02-2184; 21501-02-2179; 35403-12; 21501-20-1620; 21501-20-1624; 21501-20-1625; 22112-2820; 35570-52; 35570-50; 35570-49; 35570-IX-30; 35570-51; 31066-744; 27879-78; 35570-XIX-19; 35570-XIX-20; 21501-30-511; 33159-5; 22112-2992; 22112-2993; 21501-20-1626; 2020Z23014; 35420-193; 32668-16; 35570-A-13; 35570-A-38; 35300-A-117; 31409-308; 31409-306; 31409-305; 31409-307; 32852-134; 28694-141; 35570-A-10; 21501-33-840; 32813-625; 35285-3; 31765-536; 29247-324; 29247-323; 31765-537; 29248-325; 19637-2683; 25424-578; 30234-257; 30234-258; 24170-239; 28973-240; 35285; 35570-XV-8; 35240-4; 35420-195; 29544-1033; 24515-576; 24515-575; 24515-574; 32793-509; 30012-135; 2020Z21981; 31288-791; 22452-55; 22452-77; 31511-34; 24724-164; 31511-37; 2017Z03336; 31289-320; 31289-288; 20487-53; 34334-24; 34550-VIII-142; 33824-2; 2017Z04932; 34550-VIII-137; 2017Z08937; 33495-105; 33822-10; 34251-94; 33495-93; 31293-549; 31289-432; 31511-40; 27923-409; 35570-VIII-9; 35300-VIII-212; 35570-VIII-127; 27923-412; 35570-VIII-92; 31288-886; 32820-399; 32820-400; 32820-397; 35554-28; 32827-204; 35570-VIII-128; 2020Z21844; 35570-VIII-133; 33278-11; 32820-398; 35570-VIII-125; 31497-389; 2020Z18872; 28760-106; 25839-46; 33118-149; 33450-75; 33118-152; 26956-214; 30015-78; 35570-A-6; 29984-904; 30015-83; 35570-XII-8; 29984-905; 29984-916; 32813-641; 28684-641; 35570-A-12; 31936-706; 31936-705; 35470-XII-1; 35470-J-1; 35470-A-1; 35450-XII-3; 35450-J-3; 35450-A-3; 25834-174; 35334-123; 2020Z20491; 28089-180; 28663-75; 28089-179; 22112-2983; 22112-2981; 22112-2984; 22112-2985; 21501-08-811; 21501-08-813; 32861-54; 21501-08-814; 32861-53; 33450-79; 28694-142; 30872-252; 32852-135; 25295-682; 24691-134; 24804-152; 24804-151.

Op verzoek van het lid Wassenberg stel ik voor zijn motie op stuk nr. 240 (31532) opnieuw aan te houden.

Overeenkomstig de voorstellen van de voorzitter wordt besloten.

Privacylek in de systemen van de GGD

Privacylek in de systemen van de GGD

Aan de orde is de voortzetting van het debat over een privacylek in de systemen van de GGD.

De voorzitter:
We gaan verder met het debat over een privacylek in de systemen van de GGD en zijn toegekomen aan de eerste termijn van het kabinet. Ik zie de heer Verhoeven bij de interruptiemicrofoon staan.

De heer Verhoeven (D66):
Voorzitter. Voordat we beginnen, heb ik even een vraag. Anders moet ik de minister weer onderbreken. De eerste vraag is of we nu als Kamer echt alles weten wat er is aan onderzoeken, omdat de situatie vorige week heel anders leek dan nu. Ten tweede, er wordt in een aantal stukken van het kabinet gesproken over een geheime risicoanalyse die de GGD recent zelf heeft uitgevoerd. Mijn vraag is waarom die nou toch niet op de een of andere manier naar de Kamer kan worden gestuurd, omdat het wel een analyse is waarop in de stukken heel veel wordt gebaseerd als het gaat om de vervolgacties. Dus de Kamer heeft te maken met een risicoanalyse die geheim is en vervolgens gaan we praten over de vervolgstappen van de minister.

De voorzitter:
Ik dacht dat u een punt van orde had. Maar dit is geen punt van orde.

De heer Verhoeven (D66):
Het is een punt van orde om de Kamer te vragen om mij bij te vallen om die risicoanalyse waar mogelijk openbaar te maken, met eventueel eerst een reactie van de minister op de vraag of we nu echt alles weten. Ik vraag dit opdat we goed kunnen debatteren en dit geheime stuk op de een of andere manier toch aan de Kamer kan worden gezonden.

De voorzitter:
Ja. Ik kijk even naar de minister. Ik zie ook mevrouw Agema. Is dat in aanvulling hierop?

Mevrouw Agema (PVV):
Ja, voorzitter. De heer Verhoeven was mij even voor. In antwoord op mijn vragen verwijst de minister naar een brief van 24 december, waarin hij uitleg geeft over die risicoanalyse. Er wordt hard gewerkt door ketenpartners, het risico op datalekken wordt geminimaliseerd, er wordt hoogwaardige cybersecurityexpertise ingezet. Maar hij zegt ook in dat stuk dat de risicoanalyse op 11 december in concept opgeleverd is en, mede na overleg met het NCSC, vanwege de veiligheidsreden "vertrouwelijk" blijft. Me dunkt dat de minister op 24 december veel meer wist dan de summiere verslaggeving in deze brief. Het verzoek van de heer Verhoeven wil ik dus steunen. Ik zou willen weten wat de minister wist op 11 december. Dat weten we dus niet, omdat dit stuk geheimgehouden wordt.

De voorzitter:
Ik denk dat het goed is dat de minister gewoon het woord krijgt. Dan kan hij deze vraag ook beantwoorden.

Minister De Jonge:
Ja, misschien is dat wel handig. Anders lukt het me niet goed om de inleiding nog op een goede manier te kunnen doen, omdat deze vragen spelen. Want ik begrijp het heel goed. Laat ik beginnen met te zeggen dat mij er alles aan gelegen is om zo transparant mogelijk te zijn in de richting van uw Kamer. De enige begrenzing die daarop zit is als door die transparantie de veiligheid van de systemen onder druk komt te staan. Dat is de reden dat ik hier het advies het NCSC volg en de risicoanalyse van december niet openbaar maak. Het is goed om even toe te lichten dat die risicoanalyse gemaakt is naar aanleiding van een opdracht daartoe door de voorzitter van de LCT, de Landelijke Coördinatiestructuur Testen in, naar ik meen, november. Dat is ook toegelicht aan de Kamer. In de brief van december is dat toegelicht, en ook in het feitenrelaas zoals u dat heeft gekregen. Vervolgens is een risicoanalyse gemaakt. De acties die daaruit voortvloeien, heb ik inderdaad op hoofdlijnen beschreven in de brief van december. Dat zegt mevrouw Agema juist. Dat leidt tot een verbeterplan dat deze week voorligt in de LCT. Ondertussen is het ook aan de GGD geweest om een risicoanalyse te maken van de eigen IT-systemen. Dat is een rapport van KPMG. Voor beide rapporten geldt hetzelfde: die zouden bij openbaarmaking de veiligheid van de systemen verder onder druk zetten.

De voorzitter:
Dus met andere woorden …

Minister De Jonge:
Dat is de reden dat ik dat niet openbaar kan maken. Kan ik het delen met de Kamer? Dat zou een terechte vraag kunnen zijn. Ja, dat kan, maar slechts onder de voorwaarde van vertrouwelijkheid.

De heer Verhoeven (D66):
Kijk, dat we niet willen dat er op basis van informatie dan een kwetsbaarheid in de systemen ontstaat, zal het grootste deel van de Kamer wel met de minister eens zijn. Maar ik ben wel heel benieuwd of al die informatie in dat stuk nou echt wijst op kwetsbare onderdelen van de systemen waarvan kwaadwillenden gebruik gaan maken, of bijvoorbeeld ook een aantal dingen die de Kamer gewoon hoort te weten, omdat er dingen zijn misgegaan, omdat er dingen onzorgvuldig zijn opgepakt, omdat er te lang gewacht is. Als die dingen onder het mom van veiligheid van systemen terzijde worden geschoven en niet aan de Kamer worden gemeld in een debat als dit, dan vind ik dat niet goed. Dan vind ik het toch een oplossing om het in ieder geval vertrouwelijk voor te leggen. Ik wil daar ook de collega's over horen, want het is altijd wel lastig praten over vertrouwelijke stukken. Je kunt die dan niet gebruiken in het debat.

De voorzitter:
Ja, dat is altijd zo, dat klopt.

De heer Verhoeven (D66):
Dus ik ben ook benieuwd naar de mening van anderen, maar dan kunnen we in ieder geval als Kamer kijken of er niet dingen in staan die de minister vallen aan te rekenen, los van de systeemveiligheid.

De voorzitter:
U kunt het niet beoordelen omdat u dat stuk niet heeft kunnen inzien. Uw voorstel is om een deel vertrouwelijk in te zien en om dat niet te doen bij wat misschien gevoelig is. Dat is wat u voorstelt? Is iedereen het daarmee eens?

Mevrouw Agema (PVV):
Ik vind het in ieder geval fijn dat de minister nu iets opheldert. In antwoord op vraag 260 zegt hij: "De risicoanalyse die ik op 24 december aan u heb toegezonden." Dat stoort mij, voorzitter, dus ik wil wel heel duidelijk in de Handelingen hebben voordat wij hier overheen stappen dat de brief van 24 december daar geen duidelijkheid over geeft. Op zich vind ik het wel een goed voorstel om iets vertrouwelijk in te zien, maar wat ik weten wil, is of de minister ervan op de hóógte was dat er sprake was van datadiefstal. Daar geeft de brief van 24 december geen openheid over. Wat ik dus niet wil, is als ik onder vertrouwelijkheid en geheimhouding een brief inzie waarin staat dat de minister wist van datadiefstal, en dat ik dat dan niet mag gebruiken in het debat. Dus ik wil wel heel helder hebben dat duidelijk gecommuniceerd wordt welke delen van die brief nou gevoelige informatie bevatten en welke delen van die brief eigenlijk wel gedeeld zouden kunnen worden met het parlement.

De voorzitter:
Ik kijk even naar de minister. Wilt u hier kort op reageren?

Minister De Jonge:
Ja, ik wil hier heel graag op reageren, op een paar manieren. Het eerste is dat ik nog een keer ga onderstrepen dat mij er alles aan gelegen is om zo transparant mogelijk te zijn. Dat is namelijk de enige manier om het vertrouwen te herwinnen dat is geschaad. Daarom heb ik alles wat onder ons was en wat wij in deze korte tijd tussen vorige week en deze week konden vinden op het departement, in de verslagen et cetera, u doen toekomen in bijlages, in feitenrelazen, zowel vanuit de GGD als vanuit het ministerie van VWS. Ik heb die ook zo ordelijk mogelijk in de brief proberen toe te lichten. Daarbij kan het zijn dat er dingen over het hoofd zijn gezien. Daarbij kan het zijn, gegeven de korte tijdsduur om al deze stukken boven tafel te halen, dat er dingen zijn gemist. Als dat zo is, dan zal ik de Kamer daarover informeren, want ik wil volledig transparant zijn.

Daarnaast speelt dat er twee rapporten zijn waarvan het NCSC zegt: "Die mogen niet openbaar worden wegens de kwetsbaarheid in de systemen". Die mógen niet openbaar worden. Dat gaat over de risicoanalyse die in opdracht is gedaan door de LCT en het gaat over een eigen risicoanalyse door KPMG in opdracht van de GGD. Ik ben bereid die in vertrouwen te delen, maar ik kan niet toestaan dat die rapporten openbaar worden, gegeven de veiligheid van die systemen. Daarvoor moeten eerst alle reparaties plaatsvinden en dan kan ik bezien welk deel daarvan wel of niet openbaar kan worden. Want anders maken we de systemen te kwetsbaar.

De voorzitter:
Het spijt me, ik zie jullie allemaal staan, maar ik wil toch ook verder met dit debat. Dus ik wil toch toe naar een conclusie waarvan ik hoop dat iedereen die ook deelt, dat de minister nu zegt: in principe zouden de rapporten niet openbaar, vertrouwelijk, worden gedeeld, en een deel van de informatie dat te risicovol is wordt niet gedeeld. Zeg ik het goed? Ja, ik weet dat u het er niet mee eens bent, maar ik wil toch even kijken.

Minister De Jonge:
Ik kan die rapporten dus niet openbaar maken. Ik kan ze vertrouwelijk met de Kamer delen. Later in de tijd zou een deel daarvan wellicht — wellicht zeg ik erbij — wel openbaar kunnen worden, namelijk als de veiligheidsrisico's die in dat rapport beschreven staan, zijn afgedicht.

De voorzitter:
Of u het ermee eens bent of niet, u mag het zeggen, maar ik wil toch verder met het debat. Meneer Hijink.

De heer Hijink (SP):
Mij gaat het erom dat de basis moet zijn dat alles in de openbaarheid wordt gebracht. Als dan blijkt dat bepaalde passages niet in de openbaarheid kunnen worden gebracht omdat daarmee systemen in gevaar komen, moeten we dat niet doen. Daar is iedereen het denk ik over eens. Maar dit zijn rapporten van eind vorig jaar. Inmiddels zijn we een stuk verder en zijn er heel veel kwetsbaarheden in de publiciteit geweest: bijvoorbeeld de exportfunctie, bijvoorbeeld de printfunctie.

De voorzitter:
Ja maar nu wordt het een debat, meneer Hijink.

De heer Hijink (SP):
Nee, nee, nee, nee, voorzitter, even mijn punt afmaken.

De voorzitter:
Ja, graag.

De heer Hijink (SP):
Als in die stukken staat dat dit type kwetsbaarheden niet gedeeld mag worden en niet openbaar mag worden, dan is dat achterhaalde informatie, omdat we die informatie inmiddels al hebben. Dus volgens mij moet het uitgangspunt zijn: die stukken zijn openbaar en kunnen worden gedeeld met de Kamer, tenzij er passages tussen zitten die absoluut vertrouwelijk moeten blijven. Ik heb vaker vertrouwelijke stukken ingezien, en het zit me mateloos dwars als je er vervolgens niks mee kan, dus we moeten het omdraaien: eerst openbaar en dan vervolgens kijken wat echt niet kan.

De voorzitter:
Ik kijk even naar de minister. Kan hij zich hierin vinden?

Minister De Jonge:
Ik ga hier niet nu, staande het debat, in tegen het oordeel dat het NCSC heeft gegeven. Het NCSC zegt: niet openbaar. Dat is de uitdrukkelijke instructie van het NCSC en daar ga ik niet, staande het debat, een ander oordeel over vellen, omdat ik dat niet kan overzien. Als het gaat om transparantie, ben ik het volledig eens met de heer Hijink. Ik wil volmaakt transparant zijn over wat er niet goed is gegaan. Daarom heb ik ook zo veel mogelijk alles wat ik kon vinden aan de Kamer gestuurd. Ik heb het geordend. Alle feiten die mij bekend zijn, heeft u ook. Die staan in de brief en die staan in de antwoorden. Die staan in het feitenrelaas dat is meegezonden.

De voorzitter:
Ik kan me voorstellen dat u overvallen wordt door zo'n vraag over vertrouwelijkheid. Is het een idee dat u lopend het debat, of in de tweede termijn, daarover wat meer informatie geeft?

Minister De Jonge:
Dat is een heel goed voorstel. Ik weet dat er goed wordt meegeluisterd door tientallen ambtenaren.

De voorzitter:
Ja, er wordt meegeluisterd.

Minister De Jonge:
Ik ga in de tweede termijn toelichten hoe we hiermee kunnen omgaan. In de tussentijd probeer ik ruggespraak te houden met het NCSC.

De voorzitter:
Prima. Ik zie jullie bij de interruptiemicrofoon staan, maar ik ga geen conclusie trekken, want dat roept altijd nieuwe discussie op.

Mevrouw Agema (PVV):
Even over uw conclusie. Mijn punt was heel duidelijk, namelijk dat het volgende van belang is. Ik snap dat de minister de gevoelige delen in vertrouwelijkheid wil delen, maar als er bijvoorbeeld in staat dat de minister wel op de hoogte was van het datalek of van onveilige situaties, dan vind ik niet dat ik op voorhand ertoe gedwongen moet worden om dat dan vertrouwelijk te houden. Ik zou het wel fijn vinden als u dat meeneemt.

De voorzitter:
Dat is goed.

De heer Azarkan (DENK):
In aanvulling daarop is het natuurlijk cruciaal om te weten op welk moment geadviseerd werd om die automatische controles uit te oefenen. Daarvan heeft de minister gezegd: dat doen we al, dat deden we toch niet. Voor mij is het heel cruciaal of al geadviseerd en toegezegd was aan de AP om dat eind december te implementeren. Hij schrijft nu in de brief: dat gaan we alsnog doen.

De voorzitter:
Dan geef ik nu het woord aan de minister.

Minister De Jonge:
Daar kom ik over te spreken, ook over wat ik daarover heb gezegd in het vragenuur en over wat ik daarbij eigenlijk had moeten zeggen. Dus daar kom ik zo meteen op.

Voorzitter. Ik denk dat het goed is om dit debat van de kant van het kabinet te beginnen met te onderstrepen dat mensen te allen tijde erop moeten kunnen vertrouwen dat medische gegevens veilig worden gedeeld en veilig worden bewaard. Juist vanwege het privacygevoelige karakter van die gegevens is dat van belang. Het bericht dat mensen datasets met persoonsgegevens uit de GGD-systemen HPZone en CoronIT hebben aangeboden, is een heel ernstig bericht. Ik betreur het dat dit heeft kunnen plaatsvinden, want als er daadwerkelijk handel in persoonsgegevens heeft plaatsgevonden, is dat in de eerste plaats heel erg ernstig voor de mensen die daar het slachtoffer van zouden kunnen worden.

Twee. Dit heeft natuurlijk tot onrust geleid, die mogelijkerwijs van invloed zou kunnen zijn op het vertrouwen dat mensen hebben in het hele testbeleid en in de manier waarop wordt omgegaan met gegevens bij dat testen.

Een derde reden waarom het een ernstig feit is, is dat dit raakt aan het vertrouwen in alle medewerkers van de GGD, ook al die duizenden medewerkers die iedere dag te goeder trouw hun werk doen. Daarom is het ernstig en dat betreurt het kabinet zeer.

Ik zal zo dadelijk mijn vragen in drieën indelen. Blok één, hoe heeft het zover kunnen komen, welke signalen had ik daartoe en wat gaan we eraan doen? De kern van het debat, denk ik. Een tweede belangrijke punt in het debat zijn de slachtoffers en het herstel van vertrouwen. Een aantal vragen daarover zullen overigens worden beantwoord door collega Dekker, de collega van Rechtsbescherming, met name over het wettelijk kader. Dan heb ik nog wat overige vragen en collega Dekker gaat daarna in op de AP. De meer algemene vragen over de AP, maar ook de AP in deze kwestie.

Voorzitter. Voordat ik de vragen beantwoord, zou ik graag een aantal dingen willen rechtzetten van de beantwoording van vorige week in het mondelinge vragenuur. Ik heb toen namelijk een aantal dingen gezegd die ik anders had moeten zeggen. Eén is dat ik heb gezegd dat de GGD sinds de start van de pandemie continu het gebruik van de systemen controleert. Dat heeft, weet ik nu, de indruk gewekt dat er nu reeds sprake is van een geautomatiseerde controle, terwijl de GGD tot nu toe structureel steekproefsgewijs heeft gecontroleerd. Dat is geïntensiveerd, maar daar komen we zo meteen op. Ik heb daarna gezegd dat die controles ook worden geautomatiseerd, zodat ze volcontinu kunnen worden uitgevoerd. Daar had ik, voor de helderheid, beter bij kunnen zeggen dat dit pas in maart zal zijn gerealiseerd. Dat is één.

Twee is dat ik duidelijker had moeten zijn over de NEN-norm. Ik heb gezegd dat de GGD, het systeem van de GGD, voldoet aan de laatste NEN-norm. Hoewel dat strikt genomen klopt — het systeem voldoet aan die norm — had ik duidelijker moeten formuleren dat dit wel geldt voor het softwareplatform, maar dat de organisatie van de GGD GHOR nog niet volledig is NEN-gecertificeerd. Ze bereiden zich daarop wel voor.

Tot slot mijn uitspraak — ik denk eerlijk gezegd dat die nog het meest steekt bij Kamerleden, en zo heb ik u ook gehoord in de eerste termijn — dat tegen een misdrijf, een misdaad, geen kruid gewassen is. Nu ik in de afgelopen dagen alles goed op een rij heb gezet, wat er wanneer bekend was, wat er aan voorgenomen acties wel is uitgevoerd en nog niet is uitgevoerd, moet je op z'n minst zeggen: er was wel meer kruid tegen gewassen geweest. Zoals de voorzitter van de GGD zelf ook zei: gelegenheid maakt de dief. Mevrouw Agema had een citaat van Jacob Cats. Misschien had ik dat citaat daar ook bij moeten gebruiken, want inderdaad, als je de gelegenheid zo duidelijk biedt, dan is het nog steeds een misdrijf, en uiteindelijk is tegen een misdrijf ook geen kruid gewassen, maar hier was wel veel meer kruid tegen gewassen geweest. Ik hecht eraan om dat voorafgaand aan het debat recht te zetten in de richting van uw Kamer, voorzitter.

Dan begin ik met: hoe zijn we hier gekomen en welke maatregelen zijn nodig? Ik denk dat het belangrijk is om daarbij stil te staan. Met de uitbraak van de pandemie — een aantal van u heeft daar ook aan gerefereerd — hebben de GGD'en hun capaciteit om te testen en traceren enorm moeten opschalen. Dat moest om uitvoering te kunnen geven aan de enorme vraag naar testen en naar bron- en contactonderzoek. Bron- en contactonderzoek was de klassieke taak van de GGD. Testen was eigenlijk een nieuwe taak voor de GGD, althans in deze vorm. Zij hebben die nieuwe taak halsoverkop op zich genomen — op zich móéten nemen — omdat die pandemie nu eenmaal over de wereld raasde en we in Nederland, net zoals in alle landen, eigenlijk op geen enkele manier opgewassen waren tegen een pandemie van deze omvang. Het is letterlijk een figuurlijk een ongekende pandemie. Het testen op het coronavirus op de huidige schaal is dus nieuw en er moest dus ook halsoverkop een nieuw IT-systeem worden gebouwd. Dat is CoronIT.

Twee: bron- en contactonderzoek is geen nieuwe taak is. Dat deed men al een tijdje. Alleen werd bron- en contactonderzoek af en toe gedaan, bij een kleine uitbraak. Wie maakte er gebruik van dat systeem HPZone? Dat waren de artsen infectieziektebestrijding. Die maakten gebruik van dat systeem. Dat oude systeem moest in plaats van af en toe voor een kleinschalige uitbraak ineens door duizenden mensen tegelijk worden gebruikt. Daar is HPZone Lite voor ontwikkeld, om het mogelijk te maken dat na de opschaling ook een landelijk team bron- en contactonderzoekers aan de slag kon. Ik denk dat we allemaal, als we terugkijken naar die debatten van toen — de debatten hier, maar ook het gesprek in de samenleving — dingen herkennen: die testen moesten snel uit de grond worden gestampt en het bron- en contactonderzoek moest heel snel worden opgeschaald, met heel veel medewerkers. Zo is het gekomen dat er heel veel aandacht is gegaan naar functionaliteit, de enorme oploopsnelheid, doorlooptijden, de bedrijfscontinuïteit, het voorkomen van storingen, de gebruiksvriendelijkheid — je moest online een testafspraak kunnen maken en zelf contacten kunnen doorgeven — en het verbeteren daarvan. Er was ook wel aandacht voor privacy en dataveiligheid, maar, naar nu blijkt, onvoldoende. Er heeft datadiefstal plaats kunnen vinden. Daarmee moet je constateren dat de aandacht voor dataveiligheid onvoldoende is geweest.

Waren er dan niet eerder signalen? Ja, die waren er wel. Ik heb de signalen zoals die ons bekend waren, weergegeven in de beantwoording van de schriftelijke vragen die zijn gesteld en in de brief. Er waren natuurlijk signalen, soms in kranten en soms werd er een direct signaal gemeld. Er waren bijvoorbeeld signalen bij Nieuwsuur, niet alleen over storingen in het IT-systeem, maar ook over de mate waarin meerdere mensen contacten konden opzoeken in de systemen. Er is vanuit het AD een signaal gemeld. De GGD heeft mij deze week gemeld dat er op 2 juli één signaal formeel is binnengekomen bij de GGD GHOR Nederland. Ik heb u zo goed mogelijk geïnformeerd over signalen die ik eerder had, maar ik moet hier echt een voorbehoud maken. Het zou best kunnen zijn dat er straks meer signalen bovenkomen die er al eerder zijn geweest. Die heb ik alleen niet kunnen vinden in de afgelopen dagen.

Hoe het ook zij, het belangrijkste moment voor ons om in actie te komen, was het moment waarop we in het najaar steeds vaker datastoringen hadden. Dat hebben we hier in de Kamer ook aan de orde gesteld. We zagen namelijk instabiliteit van systemen. Ik heb u toen toegelicht dat we Osiris hadden vanuit het RIVM, HPZone voor het bron- en contactonderzoek en CoronIT van de GGD, en dat in de gegevensuitwisseling tussen die systemen nogal wat instabiliteit zat. Dat is voor de voorzitter van de LCT de aanleiding geweest om opdracht te geven voor een ketenbrede analyse van het IT-landschap, want als dit misgaat, zo was zijn overtuiging, als er namelijk instabiliteit is in gegevensstromen, dan zal er ook wel meer mis zijn in de IT-systemen, die natuurlijk niet allemaal vanaf het begin fit for purpose waren. Zo is de opdracht voor die analyse gegeven. Dat heeft geleid tot de brief die ik u heb gestuurd op 24 december. Daarin staan een aantal elementen genoemd, onder andere dataveiligheid en privacy. Er is toen opdracht gegeven tot een verbeterplan, dat deze week voorligt. Daartussendoor kwam het signaal via RTL van anderhalve week geleden. Dat kwam ertussendoor. Dat bevat vergelijkbare observaties ten aanzien van de dingen die moesten gebeuren. Alle dingen die al in gang zijn gezet vanaf het doen van de analyse — men heeft daar zeker niet gewacht op een verbeterplan — blijken nu allemaal versneld te moeten plaatsvinden.

Ik denk dat het goed is als ik zo bij al die maatregelen stilsta, want daar zijn heel veel vragen over gesteld. Dat snap ik ook, want dat is natuurlijk de kern van het debat. Maar laat ik hier even pauzeren.

De voorzitter:
Dan heb ik mevrouw Agema, mevrouw Kröger, de heer Hijink en de heer Azarkan. Mevrouw Agema.

Mevrouw Agema (PVV):
De minister heeft het over verbeteringen aan een systeem dat hij eigenlijk gelijk wil houden. Voor het doen van zoiets eenvoudigs als een test moeten al die persoonsgegevens verzameld worden. Maar de minister wil tegelijkertijd het testbeleid nog veel verder opschalen. Hij wil maximaal gaan testen, ook als uitweg uit de crisis. Mijn vraag aan de minister is: dat is toch niet houdbaar in een systeem waarin zo veel persoonsgegevens worden verzameld? Moet hij niet overgaan op een systeem dat veel laagdrempeliger werkt, bijvoorbeeld met een eenmalige code?

Minister De Jonge:
Hier zitten veel vragen onder die de kern raken van dit debat. Ik sluit mijn antwoord af in de richting van mevrouw Agema, want ik denk dat ik een flinke stap in haar richting zou kunnen zetten. Maar ik wil eerst beginnen met de vraag die vaak wordt gesteld: waarom wordt er eigenlijk überhaupt een bsn-nummer gebruikt? Daarop moet het antwoord zijn: omdat het wettelijk verplicht is. Het gaat hier over een behandelovereenkomst in de zin van de WGBO. Het klinkt een beetje zwaar, maar het is toch een medisch dossier dat moet worden opgebouwd. Bij een medisch dossier hoort een bsn-nummer. Maar ook daarvan kan je de vraag stellen, en die vraag heb ik ook gesteld aan de GGD: zou je na de registratie het bsn vervolgens in de verwerking van de gegevens niet kunnen pseudonimiseren, dus er een andere code aan kunnen hangen, zodat je in de verdere verwerking van de gegevens minder met het bsn werkt? Ik denk, eerlijk gezegd, dat dat mogelijk is, maar ik kan dat op dit moment nog niet helemaal overzien. Ik denk echter dat dat mogelijk is en die vraag heb ik dus gesteld. Maar mevrouw Agema wijst volgens mij terecht op iets anders. Dit gaat over het bestrijden van het virus, dit gaat over testen in het kader van het bestrijden van het virus. We doen heel veel testen in het kader van het bestrijden van het virus. Maar we willen testen natuurlijk ook gaan gebruiken voor een ander doeleinde. Mevrouw Agema vraagt: zou het daar nou ook niet op een andere manier kunnen? Mijn antwoord op die vraag is: ja. Ik zal u daarover uiteraard uitgebreider informeren als we er helemaal uit zijn hoe we dat zouden moeten gaan doen. Maar mijn idee daarover is het volgende. Een test is gewoon een medische handeling waar een medisch dossier bij hoort. Nogmaals: dit klinkt te zwaar, maar dat is het nou eenmaal. Maar vervolgens heb je dat natuurlijk niet nodig om jezelf ergens toegang toe te verschaffen. Het enige wat je dan nodig hebt, is een bewijs van een negatieve testuitslag. Vanaf dat moment is het eigenlijk geen medisch dossier meer, maar is het gewoon een gegeven dat je daaruit zou kunnen halen en dat je dus aanbiedt om te bewijzen dat je negatief getest bent. Dat is voor toegangstesten het enige wat je vervolgens nodig hebt. Dus de oplossing die wij nu aan het voorbereiden zijn, zit op zo'n manier in elkaar dat daar eigenlijk gewoon nul persoonsgegevens meer bij betrokken zijn. Het enige wat daar nog is, is een bewijs van een negatieve testuitslag, gewoon als een persoonlijk gegeven, zonder dat dat een medisch dossier is.

Mevrouw Agema (PVV):
Ik zie hier heel erg de richting naar een heel flinke en forse toezegging door de minister. Er zit mij echter nog wel een dingetje dwars, namelijk dat gegeven van die behandelrelatie die zogenaamd aangegaan wordt bij het aangaan van een test. Daar zit het echt dwars. Als de politie een alcoholcontrole doet en allemaal automobilisten aan de kant zet, en die automobilisten allemaal een blaastest laat doen, dan wordt daar niks over geregistreerd. Er is geen behandelovereenkomst over aangegaan, er is geen bsn bij gevraagd. Nee, iedereen die negatief test, kan gewoon door. Pas als iemand te veel gedronken heeft, zijn er consequenties en gebeurt er van alles. Mijn punt is dat we eigenlijk een systeem hadden moeten hebben waarbij er pas een soort van behandelrelatie ontstaat als je positief getest bent. Want anders ben je eigenlijk gewoon lukraak informatie van mensen aan het verzamelen die allemaal niet eens besmet zijn en met wie je daarna ook eigenlijk niks meer van doen hebt. Die informatie wordt ook nog eens twintig jaar bewaard en is privacygevoelig. Ik denk dus dat de minister echt een stap terug moet. Hij moet terug naar: wanneer ga ik nou eigenlijk die behandelovereenkomst aan, en wanneer moet ik dat in de toekomst eigenlijk niet meer doen? Ik begrijp dat hij daar nu niet opeens op terug kan komen, maar ik hoop dat hij de toezegging kan doen dat hij daar dieper op in zal gaan. Het moet gewoon mogelijk zijn om met een eenmalige code met een blaastest ... De minister staat vandaag nog met die blaastesten in de krant. Ik kan me toch niet voorstellen dat ...

Minister De Jonge:
O, kijk eens aan. Dat zijn de minder fortuinlijke foto's van een blaastest.

Mevrouw Agema (PVV):
Ik kan me niet voorstellen dat de minister bedoelt dat je hier een hele behandelovereenkomst voor moet aangaan. Dus daar zou ik hem graag over horen. Als het vandaag niet kan, kan het wellicht op een ander moment. Op die manier zouden we tot een veel laagdrempeliger en minder privacygevoelig systeem kunnen komen.

Minister De Jonge:
Op twee manieren ga ik hierop terugkomen. Ik kom er in de eerste plaats op terug in de brief die ik u over een week of zes hoop te kunnen sturen. Die brief gaat over waar we staan met al die maatregelen die we ons hebben voorgenomen. In die brief kom ik hierop terug, want inderdaad is bij de GGD de vraag gesteld: hoe zou je het gebruik van bsn kunnen minimaliseren? Persoonsgegevens heb je wel nodig, maar alleen die persoonsgegevens die wettelijk verplicht zijn en alleen de persoonsgegevens die je ook daadwerkelijk nodig hebt om het werk op een goede manier te kunnen doen. Doelbinding is daarbij dus een belangrijk fenomeen. De doelbinding in de Wpg is nogal breed omschreven, dus daar zal voorlopig het probleem niet zitten. Maar je wilt ook daar het uitgangspunt van dataminimalisatie. Je wilt ook daar het uitgangspunt van zo veel mogelijk pseudonimiseren. Ik kom dus terug op de vraag op welke manier het inderdaad wettelijk voorgeschreven is, en ook hoe je dat tot een minimum zou kunnen beperken.

Ten aanzien van het toegangstesten kom ik daar al eerder op terug, omdat ik al eerder met uw Kamer wil delen hoe ik dat voor ogen heb. Maar het is denk ik goed om te weten dat de techniek die we daar nu voor in voorbereiding hebben, in ieder geval geen gebruikmaakt van persoonsgegeven, omdat dat eigenlijk geen medisch dossier meer is, maar slechts een negatieve uitslag uit dat medisch dossier, dat je gebruikt als toegangsbewijs.

De voorzitter:
Helder. Mevrouw Kröger heeft een vraag.

Mevrouw Kröger (GroenLinks):
De privacygevoelige gegevens van miljoenen mensen hebben we verzameld, heeft de GGD verzameld in een systeem dat zo lek was als een mandje. In de analyse van de minister hoor ik eigenlijk twee sporen. Aan de ene kant is de analyse: we hadden haast, er stond druk op en daarbij is privacy niet goed genoeg en niet zorgvuldig genoeg geborgd. Dus: onzorgvuldigheid versus snelheid. De andere analyse is eigenlijk: om medewerkers hun werk effectief te kunnen laten doen, was een bepaalde mate van toegang nodig. Mijn vraag is op welke van die twee het nou zit. Waar is die afweging gemaakt?

Minister De Jonge:
De afweging zoals die wordt gemaakt, is natuurlijk geen bewuste afweging waarbij je op de weegschaal die meerdere elementen naast elkaar legt en zegt: zullen we vandaag maar eens eventjes geen rekening houden met privacy? Zo heb ik dat dus niet kunnen traceren. Het is wel zo dat alles wat aandacht krijgt, groeit. Wat had op dat moment de meeste aandacht? Dat was de snelheid waarmee men kon opschalen, de snelheid waarmee men nog meer mensen in het bron- en contactonderzoek aan de slag kon zetten, het praktisch kunnen werken met een hele grote groep die je landelijk neerzet en die ook regionaal kan bijspringen. Daar hebben we heel veel over gesproken, ook hier in de Kamer. Dat had dus de meeste aandacht. Dat heb ik ook gezien in het contact tussen het departement en de GGD, tussen ons als opdrachtgever en de GGD GHOR, de landelijke GGD-organisatie, als opdrachtnemer. Daar ging het met name over: kan het sneller, meer, harder en beter? Dat was eigenlijk telkens toch de inhoud van het gesprek. Er was onvoldoende aandacht — die was niet helemaal afwezig; helemaal niet — voor privacy. Ik hoorde daarover ook het debat met de heer Veldman en ik denk dat we moeten oppassen met daar een tegenstelling van maken. Dat deed u overigens ook niet. Het is namelijk geen tegenstelling. Het is niet óf veiligheid óf gezondheid óf privacy. Dat is het niet, maar er is wel een zekere uitruil, want als je heel erg veel aandacht geeft aan de gebruiksvriendelijkheid of aan de praktische uitvoerbaarheid van een systeem, kan de beveiliging van gegevens weleens in het geding komen of dan kan de aandacht daarvoor afnemen. Dat is niet goed geweest.

Mevrouw Kröger (GroenLinks):
Nu zegt de minister aan de ene kant dat we niet moeten doen alsof het een tegenstelling is, maar aan de andere kant schetst hij toch dat dat wel het geval is, terwijl privacy by design toch de randvoorwaarde is voor het systeem dat wij gebruiken om de gegevens van nieuwe mensen op te slaan.

Minister De Jonge:
Exact.

Mevrouw Kröger (GroenLinks):
Dat is dus niet randvoorwaardelijk geweest.

Minister De Jonge:
Ja, dat is zo. Dat is zeker zo. Dat geldt voor die twee systemen natuurlijk enigszins verschillend. Bij HPZone kun je zeggen dat dat in de oorsprong — dat systeem is in 2003 ontwikkeld en wordt door bijna alle GGD'en gebruikt — nooit bedoeld is geweest voor dit type gebruik. HPZone is bedoeld geweest voor een exquise club van artsen infectieziektebestrijding, een kleine club die daarvan gebruikmaakt, met alle waarborgen van dien. Het is nooit bedoeld voor duizenden bron- en contactonderzoekers, ook van buiten, die in het systeem zouden kunnen. Daarvoor is het systeem überhaupt niet geschikt geweest. Bij CoronIT is er wel degelijk, ook vanaf het begin, aandacht geweest voor privacy. Ik zeg niet dat het een uitruil is tussen het een of het ander. Ik zeg ook niet dat het een tegenstelling is. Ik zeg wel het volgende. Als ik terugkijk naar waarover het departement met de GGD het meest heeft gesproken met betrekking tot CoronIT of überhaupt testen en traceren, dan was dat over: kan het sneller, kan er meer, kan het beter et cetera? Dat was dus veel meer de inhoud van het gesprek dan de privacy. Ik denk dat het daarmee een onderbelicht thema is geweest, maar ik hecht eraan het met mevrouw Kröger erover eens te willen zijn dat het geen tegenstelling is. Ik denk dat privacy by design niet voor niets dé manier is om tot IT te komen, zeker tot IT in overheidshanden en in handen van de gezondheidszorg. Dat hebben we bijvoorbeeld bij die app ook gedaan. En de app die nu wordt gebouwd, GGD Contact, gaat op precies dezelfde manier. De toegangstestapp wordt op precies dezelfde manier tot stand gebracht.

Mevrouw Kröger (GroenLinks):
Ik hoor hier van de minister dus de erkenning dat in de gesprekken tussen VWS en de GGD privacy onvoldoende aan bod is geweest …

Minister De Jonge:
Zeker.

Mevrouw Kröger (GroenLinks):
… en dat het allemaal is gegaan over snelheid. Als het dan gaat over snelheid en haast, snap ik werkelijk niet dat een onderwerp dat zowel intern als extern een aantal keren is geagendeerd, die exportfunctie, er uiteindelijk volgens mij in 24 uur af is gegaan. Toen was er weer een nieuw nieuwsbericht van de NOS: boem, de printfunctie was eraf.

Minister De Jonge:
Ja.

Mevrouw Kröger (GroenLinks):
Kennelijk kan er dus heel snel gehandeld worden …

Minister De Jonge:
Klopt.

Mevrouw Kröger (GroenLinks):
… als de druk maar hoog genoeg is. Hoe kan het nou dat die eerdere signalen niet die druk hebben gegenereerd? Hoe kan dat?

Minister De Jonge:
Omdat al het andere ook aandacht vraagt en vroeg. Dat is natuurlijk toch een beetje het punt in deze crisis. Dat zou mijn verklaring zijn. Dat is meer een verklaring. Het is geen excuus, integendeel. Het is een verklaring, omdat ik de vraag ook verklarend hoor. Alles is belangrijk. Alles is belangrijk, alles moet morgen af, alles moet sneller, meer, harder, beter et cetera, de hele tijd, al een jaar lang. De GGD staat ook op die manier in een crisistijd. Reflecterend op de afgelopen kerstvakantie kan ik zeggen dat ik eindeloos met de GGD in gesprek ben geweest, echt iedere dag, over vaccinatie en over hoe dat sneller uit de grond kon worden gestampt en hoe we sneller konden starten met vaccinatie. Dat was mijn gesprek in het hele kerstreces met de GGD. Ik deel met mevrouw Kröger, want zo hoor ik haar, de vraag of het niet meer aandacht had moeten krijgen. Het antwoord op die vraag is gewoon "ja, het had meer aandacht moeten krijgen".

De heer Hijink (SP):
Ik begrijp niet zo goed wat de minister net zegt. Hij zegt eigenlijk: we hebben alle signalen die sinds de zomer aangaven dat de systemen lek zijn, niet opgepakt. Pas toen in het najaar bleek dat er te veel storingen kwamen in het contact tussen het RIVM en de GGD'en, zijn er stemmen opgegaan die zeiden: "O, als er heel veel storingen zijn, zijn er misschien ook wel veel andere problemen met het systeem". Dat is toch eigenlijk heel erg vreemd. Waarom is er op die momenten, na de Nieuwsuuruitzending, toen het AD met het nieuws kwam en toen de melding bij de GGD zelf kwam, niet direct gereageerd?

Minister De Jonge:
Ik heb me die vraag natuurlijk ook gesteld. Ik kan daar alleen maar van terughalen, zo zie ik het in hindsight, dat op het moment dat zo'n signaal via de media tot ons kwam, we aan de GGD hebben gevraagd — overigens soms ook omdat u daar Kamervragen over stelde — hoe dit zit en of dit signaal is opgepakt. Ja, was daarop het antwoord. Dat klopt op zichzelf genomen ook wel in de taakverdeling, omdat het natuurlijk zo is dat de IT-systemen van de GGD zijn. Gegevensverwerking is in eerste instantie een taak van de verantwoordelijke voor de gegevensverwerking. Maar, zeg ik daar gelijk bij, had ik hier niet ook zelf scherper bovenop moeten zitten? En ik zeg dit ook een beetje om de heer Hijink voor te zijn, waarna ik het dan weer met hem eens zou zijn. Het antwoord op die vraag is ja. Niet omdat ik verantwoordelijk ben voor de systemen van de GGD, maar omdat dit soort berichten natuurlijk ook het vertrouwen kunnen schaden in het testbeleid als geheel en voor dat stelsel en voor dat testbeleid ben ik wel degelijk eindverantwoordelijk. Dus ja, ik had daar toen zelf ook scherper bovenop moeten zitten.

De heer Hijink (SP):
Ik kan me nog het debat herinneren dat we hier in april/mei hadden. De GGD voelde zich overvallen door de manier waarop deze minister met de GGD omging. De GGD moest per persconferentie horen dat nieuwe groepen als eerste getest moesten kunnen worden. Het ging niet alleen om de snelheid waarmee dat gebeurde, maar ook om het gebrek aan samenwerking. De minister is de opdrachtgever voor het optuigen van dit soort systemen. De minister moet dan toch ook volgen hoe de GGD dat doet? De minister en het ministerie moeten dan toch ook de signalen opvangen, zeker als dat in september bij Nieuwsuur zo breed wordt uitgemeten, dat het systeem zo lek is als een mandje? Er moeten dan toch alarmbellen afgaan? Ook op het ministerie moeten er toch mensen zijn die denken: ho, wacht 'ns. Het gaat hier helemaal mis. Als we nu niet uitkijken, ligt er straks heel veel data op straat. We moeten nu met de GGD'en om de tafel om te zorgen dat dat gat wordt gedicht.

Minister De Jonge:
Toch weer even terug. Ook toen heb ik van die berichten van individuele DPG'en die zich hierdoor overvallen voelden, gezegd: ik heb dit type afspraken — de afspraken die ik naar buiten toe meldde, die ik de Kamer meldde en die ik in persconferenties heb gemeld — natuurlijk met de GGD gemaakt. Alleen "de" GGD — dat is wellicht een discussie voor na de crisis — is het geheel van 25 GGD'en met een koepelorganisatie; dat is "de" GGD. Het kan dan best zo zijn dat niet alle medewerkers van al die GGD'en evenzeer op de hoogte zijn van de afspraken die centraal zijn gemaakt. Hoe het ook zij, de heer Hijink heeft natuurlijk gelijk. Dat zeg ik juist ook over de signalen die bijvoorbeeld via het Algemeen Dagblad en via Nieuwsuur — dit was meen ik in september en het Algemeen Dagblad in oktober — tot ons zijn gekomen. Daarvan hebben wij gezegd "GGD, zijn jullie hiermee aan de slag? Pak dit op, want dit is belangrijk." Dat type communicatie kan ik traceren. We hebben daar onvoldoende zelf bovenop gezeten door te vragen wat ze precies gaan doen en of ze datgene wat ze eraan konden doen, maximaal hebben gedaan. Aan de ene kant kun je de vraag stellen of dat wel mijn taak is, want die systemen zijn niet van ons. Dat klopt. Aan de andere kant zou je ook kunnen zeggen en zo zegt u het volgens mij ook: we hadden inderdaad ook toen tot de conclusie moeten kunnen komen dat het kan raken aan het vertrouwen dat mensen hebben in het systeem van testen. Dat maakt dat ik nu vind, met wat ik nu weet, dat ik er toen scherper bovenop had moeten zitten.

De voorzitter:
Tot slot, de heer Hijink.

De heer Hijink (SP):
Ik blijf met de vraag zitten wat er gebeurd zou zijn als er niet een slimme journalist bij RTL was geweest die dit probleem boven tafel had gebracht. Ik vrees dat er dan helemaal niks was veranderd. Ik vrees dat we dan tot aan de zomer met een systeem hadden gezeten, twee systemen, die zo lek waren als een mandje. Deelt de minister die opvatting?

Minister De Jonge:
Nee, die deel ik niet, en dat zal ik toelichten. In november heeft de voorzitter van de LCT, het hele testdatalandschap overziend, gezegd: dit is te houtje-touwtje. Ik zeg het veel te huiselijk, maar u begrijpt wat ik bedoel. Hij zei: gegevens komen niet altijd door en we moeten de basis op orde gaan brengen, want dit gaat niet goed zo. Daarbij ging het ook over de dataveiligheid en over de privacybescherming. Die analyse is niet voor niets gemaakt. Wij hebben die in opdracht van de LCT gemaakt. Vervolgens is onder de LCT met alle partners in de hele testketen, laboratoria, GGD'en en RIVM, een regiegroep opgericht die nu juist hiermee bezig is. Het gaat allemaal over de digitale ondersteuning van testen en traceren. Die regiegroep heeft na de analyse de opdracht gekregen om met een verbeterplan te komen. Het verbeterplan ligt donderdag op tafel in de LCT, maar ik heb mij uiteraard verstaan met de voorzitter van de LCT. Ik zie dat de inhoud van het verbeterplan overeenkomt met wat er moet gebeuren, eenzelfde observatie als die Daniël Verlaan van RTL heeft gedaan.

U vraagt of het ook zonder de journalist aan het licht was gekomen. Ik weet natuurlijk nooit of het dan in volledigheid en met dezelfde power aan het licht was gekomen. Daarom ben ik hem dankbaar voor de melding. Ik geloof dat het gevoelig ligt als ik dat zo zeg, maar ik ben blij dat het gemeld is, dat het nieuws gebracht is. Ik ben er blij mee omdat ik daarmee aan de slag kan. Maar ik zie wel dat de dingen die daardoor moeten gebeuren, mijns inziens overeenkomen met de dingen die ook in het verbeterplan staan. Uiteraard zal ik u over het verbeterplan informeren. Ik zal u vervolgens informeren over de audit die we over zes weken gaan doen om te kijken of echt alles is gebeurd wat er mogelijk is. Ik ga zo in op alle maatregelen die we treffen. Ik vind het belangrijk om te zeggen dat we bezig waren om die IT-infrastructuur op orde te brengen.

De heer Azarkan (DENK):
Ik snap wel dat de minister zegt "ik wil graag naar de maatregelen", maar dat is met alle respect niet de kern van dit verhaal. Als je de maatregelen nu goed leest, kun je niet anders dan tot de conclusie komen dat het in zijn geheel prima maatregelen zijn. Het probleem is dat we die ergens in het begin of op zijn minst halverwege het jaar hadden moeten nemen. Daar gaat de discussie over. Deze minister krijgt signalen in juni. Mensen konden massaal opzoeken. GGD'ers die al heel lang bij de GGD werkten, maakten zich zorgen. Ze zagen nieuwe mensen binnenkomen en die konden van vrienden, van kennissen, van bekende Nederlanders van huis uit alles opzoeken en hadden daar geen restricties in. De minister zegt dat hij, op het moment dat die signalen kwamen, gevraagd heeft aan de GGD GHOR om het op te pakken. Het antwoord was "dat doen we". Mijn vraag is: waaruit blijkt dat dat is opgevolgd? Wat heeft de minister daarna gedaan om te waarborgen dat niet een tijd later 6,5 miljoen mensen hun data wellicht kwijt zijn?

Minister De Jonge:
Over dat laatste moeten we het zo hebben. Daar moet u iets preciezer in zijn. Maar ik begin even met het eerste. Het is goed om na te gaan welke signalen er waren. Ik heb alles wat mij bekend is in de brief beschreven. Ik heb al toegezegd dat, als er de komende tijd meer bekend zou worden, ik dat zal melden. Voor het departement ging het over twee signalen: eentje via Nieuwsuur en eentje via het Algemeen Dagblad.

De heer Azarkan (DENK):
En de Volkskrant.

Minister De Jonge:
Wat ik heb geschreven in de brief, in ieder geval. Maar geen signalen in juni. Dat is niet aan de orde geweest. Vervolgens heb ik daar uiteraard contact over gehad met de GGD, onder andere omdat u daar Kamervragen over stelde. Vervolgens heb ik de GGD gevraagd om dit op te pakken. Dat is vervolgens opgepakt. Maar ik zeg nu, wetend wat de impact zou kunnen zijn geweest, dat ik — dat zei ik zojuist in de richting van de heer Hijink — daar achteraan had moeten gaan om te kijken hoe je het dan oppakt en wat het resultaat daarvan is. Het is niet zo — dat beeld moeten we niet hebben — dat de GGD daar achteloos mee omgaat, integendeel. Ik ken veel DPG'en die veel aandacht hebben voor privacybescherming. Maar in de veelheid van taken die bij de GGD waren belegd, ook in de veelheid van taken waarover het ministerie en de GGD'en zich met elkaar hebben te verstaan, heeft dit niet boven op de stapel gelegen. En dat had met terugwerkende kracht wel gemoeten.

De voorzitter:
De heer Azarkan.

De heer Azarkan (DENK):
Het tweede punt waarover ik wil spreken, is dat het toch een beetje een soort van excuus zoeken is. De minister zegt: wij moesten nog heel veel andere dingen doen, alles had prioriteit, het land moest gered worden en daardoor hadden wij hier even minder oog voor. Nu lees ik wat de minister voorstelde aangaande het plan van aanpak om dat datalek te dichten. Hij zei daarover: dat kunnen we doen zonder dat dit invloed heeft op de aanpak van corona. Mijn vraag is waarom deze zaken niet in september konden worden doorgevoerd? Een auditteam instellen. Expertise ter beschikking stellen. Op enig moment zeggen: hier gaat iets gebeuren wat wij nog nooit gedaan hebben, dan is het misschien verstandig dat ik een aantal experts vanuit de Auditdienst Rijk of vanuit de ICT-omgeving vraag om daar eens even langs te gaan om te kijken wat daar gebeurt, want er bereiken mij signalen dat het gewoon niet goed gaat.

Minister De Jonge:
Ik had inderdaad beter bovenop die signalen moeten zitten. Dat is van toen. Wat wij vervolgens juist wel hebben gedaan, is dat de LCT — de LCT valt onder de verantwoordelijkheid van VWS — de opdracht heeft gegeven voor die analyse, dus om die analyse goed te doen. Toen is er een team naar binnen gebracht bij alle gegevensverwerkers binnen de hele testketen, bestaande uit experts vanuit het Rijk en vanuit externe expertise, die moesten bekijken wat er aan de hand is. Die zijn met een rapport gekomen. Over dat rapport hebben wij het zojuist gehad. Op basis van dat rapport heeft het NCSC gezegd: beter maar niet delen. Daar zijn allerlei verbeteracties uit naar voren gekomen. Die verbeteracties zijn nu omgezet in een verbeterplan dat deze week wordt vastgesteld. En ondertussen is men wel degelijk aan de slag gegaan met die acties.

De vraag is: had dat eerder gekund? Had dat eerder gemoeten? Mijn antwoord op die vraag is: ja, dat had eerder gemoeten. Maar hoe kan het dan dat het niet eerder is gebeurd? Dat heeft als verklaring — niet als excuus — dat wij inmiddels een jaar in crisis zijn …

De voorzitter:
Dat heeft u al gezegd.

Minister De Jonge:
… en dat wij de hele tijd, meer, harder en beter op de GGD'en aan het duwen zijn en daarbij niet alle dagen evenveel aandacht voor alle aspecten hebben gehad. Wij hebben onvoldoende aandacht gehad voor de privacybescherming en de veiligheid.

De voorzitter:
Tot slot op dit punt, de heer Azarkan.

De heer Azarkan (DENK):
Tot slot. De minister zegt ook: aan het eind van het afgelopen jaar hadden we al behoorlijk in de smiezen hoe we het moesten doen; we zagen de risico's en we waren ermee bezig. Maar dan moet het toch ook de inschatting van de minister zijn om op enig moment te zeggen: als het risico zo groot is, dan moeten wij dat als de wiedeweerga gaan doen? Ik vind het weer tekenend dat er zo lang gewacht wordt tot het misgaat, en dat het dan vervolgens wél kan. Hoe kijkt de minister daartegenaan?

Minister De Jonge:
Ik meen dat ik u in december heb laten weten wat onze bevindingen waren op basis van de analyse. Ik heb toen ook laten weten wat we daarmee zouden gaan doen. Dus ik denk dat ik het eens ben met de heer Azarkan als hij zegt dat ik daar eigenlijk al vanaf de start meer aandacht voor had moeten hebben. Daar zou ik het mee eens zijn.

Ik zou het ook eens zijn met de heer Azarkan als hij zegt: er waren toch in het najaar al meerdere signalen, in september en oktober, die je wel erg aan de GGD hebt gelaten, en had je je daar niet wat dichter tegenaan moeten bemoeien? Dat ben ik ook met hem eens. Maar wij hebben de opdracht gegeven om tot die analyse te komen, in november. Dat heeft vervolgens tot een resultaat geleid in december, half december meen ik. Dat resultaat heb ik vervolgens eind december met uw Kamer gedeeld en dat heeft geleid tot een verbeterplan dat deze week wordt vastgesteld, waarbij ondertussen al meerdere acties in gang zijn gezet. Dan denk ik dat wij vanaf november precies gedaan hebben wat wij zouden moeten doen. Had dat eerder gekund en had dat eerder gemoeten? Mijn antwoord op die vraag is: ja, dat had eerder gekund en dat had eerder gemoeten.

De voorzitter:
Ik ga naar mevrouw Kuiken.

Mevrouw Kuiken (PvdA):
Ik snap hoe het in de snelheid is gegaan. Ik snap de keuzes voor informatie. Ik snap ook dat de minister zegt dat hij er meer bovenop had moeten zitten. Maar ik snap nog steeds niet het tempo van handelen van de GGD, ook in combinatie met het handelen van VWS. Bij de start van de CoronIT is er namelijk al een analyse gemaakt van de informatiebeveiliging en de privacy. Daar moeten risico's uit gekomen zijn. Dat was in juni. Dus waarom is er toen al niet proactief gehandeld? In september lezen we terug in de notulen: moeten we de Kamer niet proactiever informeren? Uiteindelijk is dat niet gebeurd, maar dat komt niet zomaar uit de lucht vallen. De GGD weet dus eigenlijk vanaf juni al dat er risico's zijn. Belangrijke ambtenaren van VWS weten dat ook. Dat zijn dezelfde mensen als die we in beeld hebben gezien bij de CoronaMelder. Dan blijft nog steeds de vraag: waarom zijn er niet al in september, oktober of november stringentere veiligheidsmaatregelen genomen? Het was in ieder geval zeker in november bekend, maar er is pas vorige week actie ondernomen. Die vraag is nog steeds onbeantwoord, hoe vervelend het ook is dat we daarop doorvragen.

Minister De Jonge:
Dat is niet vervelend, maar dat is volgens mij terecht. Als ik het voor mezelf zou moeten reconstrueren, dan is het niet zo dat er geen aandacht voor is geweest. Er is wel degelijk aandacht voor geweest, maar VWS is er, in haar rol van opdrachtgever, van uitgegaan dat de GGD daarmee als opdrachtnemer — en als opdrachtgever voor de bouw van die systemen — aan de slag was op een manier die ook passend was. Ik weet en ik zie ook dat er allerlei acties zijn ondernomen om te zorgen dat het veiliger kon. Maar wat je ook ziet is dat in die discussies, ook intern bij de GGD, verschillende aspecten een rol speelden die met elkaar om voorrang aan het strijden waren. Dat heeft wel degelijk te maken met de gebruikersvriendelijkheid en met de manier waarop de systemen het werk dat moest gebeuren, zouden kunnen ondersteunen. Als ik dan meer in reflectie kijk naar wat VWS er toen aan heeft gedaan in de richting van de GGD, dan is dat met name het gesprek voeren over hoe er nog sneller opgeschaald kon worden in het bron- en contactonderzoek en over hoe er nog sneller opgeschaald kon worden in het testen. Het gesprek ging onvoldoende over: weet je heel zeker dat je alles doet om de privacy ook te waarborgen? Kortom, ik denk dat het niet zo is dat er niks is gebeurd. Ik denk dat er wel degelijk flinke stappen zijn ondernomen door de GGD zelf, maar dat VWS daarvoor, in haar rol van opdrachtgever, onvoldoende aandacht heeft gehad.

Mevrouw Kuiken (PvdA):
Oké, dus ambtenaren van VWS hebben geweten van de risico's, maar ze waren zo bezig met alleen maar de opschaling dat ze dit gemakshalve hebben laten liggen. In ieder geval hebben ze er niet op doorgeacteerd, terwijl de risico's wel inzichtelijk waren.

Minister De Jonge:
Nou, er waren natuurlijk eerder signalen. "De risico's" is heel breed. Er waren signalen vanuit Nieuwsuur, vanuit het Algemeen Dagblad en — zo hoorde ik zojuist — ook vanuit de Volkskrant, vanuit de media dus. Daarbij waren er ook vragen vanuit de Kamer. Die Kamervragen hebben wij beantwoord door aan de GGD te vragen: hoe zit dat en kun je ons helpen met de beantwoording daarvan? Maar dat is iets anders dan er heel dicht bovenop zitten en afspraken maken over hoe je dat gaat oplossen, checken of het is opgelost, et cetera. Daar kun je twee dingen van zeggen. Een: dat hoeft ook helemaal niet, want in de verantwoordelijksverdeling zijn dat gewoon de systemen van de GGD. Dat is deels waar. Twee: maar omdat het impact zou kunnen hebben op het vertrouwen van de mensen in het testen als geheel, vind ik toch dat ik daar toen dichter bovenop had moeten zitten.

De voorzitter:
Het is echt heel belangrijk, maar ik hoor steeds dezelfde antwoorden. De vragen worden, net als in de eerste termijn, ook steeds herhaald. U krijgt ook steeds hetzelfde antwoord. Tot slot, mevrouw Kuiken.

Mevrouw Kuiken (PvdA):
Ik probeer vooral te achterhalen wat er, als het gaat om dit soort grote datasystemen, nodig is om de checks-and-balances in orde te brengen. Ondanks dat ambtenaren van VWS aan tafel zaten, ondanks dat ze technische briefings hebben verzorgd waarover vragen zijn gesteld, onder anderen door mevrouw Agema en de heer Öztürk van DENK, zeiden ze niet: we weten het niet. Dat was echt al half december. Dat laat zien dat die checks-and-balances onvoldoende zijn. Het tweede en laatste punt is dat vaststel dat het, ondanks de grondige analyse in december, vervolgens tot eind januari heeft geduurd voordat een aantal simpele beveiligingsaspecten, zoals export- en printfuncties, eruit zijn gehaald. Daar was wel mediadruk voor nodig. Mijn vraag is dan ook oprecht: waarom had dat nog een maand nodig?

Minister De Jonge:
Die vraag kan ik niet anders beantwoorden dan door te zeggen: ja, ik vind ook dat dat eerder had gemoeten.

De heer Verhoeven (D66):
Ik waardeer op zich dat de minister zegt: we hebben een hele ingewikkelde afweging gemaakt en daar zijn een aantal dingen uit voortgevloeid die hebben geleid tot dit probleem. Hij wil nu de hele tijd naar de acties die gaan zorgen voor verbetering. Maar ik krijg de afgelopen uren een aantal signalen van mensen die zeggen dat het exporteren bij verschillende GGD's nog steeds mogelijk is. In de brief is nadrukkelijk gecommuniceerd dat die exportfunctie zou zijn uitgezet. Dat kon direct na alle publicaties van afgelopen week. Maar dat exporteren schijnt nog steeds te kunnen. Kan de minister vragen aan zijn mensen of dat nu daadwerkelijk gelijk wordt afgesloten? Want anders zijn we echt een debat aan het voeren ...

Het tweede punt gaat over hetzelfde. Er is gezegd: we hebben het automatisch volledig controleren van de loggings, dus het nagaan van wie in welke systemen kan en wie op welke manier welke transacties heeft gedaan, per maart in orde. Dat heeft de minister geschreven. Maar de GGD heeft al aan het eind van het jaar beloofd aan de Autoriteit Persoonsgegevens dat het voor het eind van 2020 op orde zou zijn. Ik vind het heel goed om terug te kijken op de manier waarop gebeurtenissen hebben plaatsgevonden, maar ik krijg tijdens dit debat over het nemen van maatregelen die problemen kunnen oplossen, van verschillende kanten signalen dat het óf allang op orde had moeten zijn, want dat is maanden geleden beloofd, óf dat het exporteren van grote hoeveelheden data nog steeds kan bij minimaal twee GGD'en in Nederland.

Minister De Jonge:
Wat betreft het eerste: dat kan ik vanaf hier natuurlijk niet overzien. Ik hoor uw signaal en ik weet dat er enkele tientallen ambtenaren meeluisteren die dit signaal ook horen. Die gaan denk ik even bellen; dat zou ik ze in ieder geval willen suggereren. Als ik in tweede termijn een antwoord heb, dan zal ik u dat antwoord geven. Ik denk dat het belangrijk is om dit even te checken. Misschien dat u zo vriendelijk wilt zijn om ...

De voorzitter:
... de signalen te delen.

Minister De Jonge:
Ja, om buiten de uitzending eventjes door te geven welke GGD'en het zijn, want anders moeten we 25 telefoontjes doen.

Daarnaast zegt u over logging dat ik dat aan de AP heb beloofd. Maar ik heb niets aan de AP beloofd. Ik hoor u nu zeggen dat het om de GGD gaat. Exact. En overigens wordt logging natuurlijk wel gedaan. Ook het controleren van die logging wordt wel degelijk gedaan. Dat was het dispuut rondom het vragenuur. Het wordt steekproefsgewijs gedaan. Dit is overigens in de afgelopen week geïntensiveerd naar dagelijks steekproefsgewijs, met een team intern en een team extern. Het bewijs dat logging wordt gedaan, zit hem in dat de GGD er 30 mensen heeft uitgegooid. Waarom is men strenger gaan controleren? Dat was naar aanleiding van die eerdere signalen van onder andere Nieuwsuur. Men is dus strenger gaan controleren en dat heeft geleid tot ontslag van mensen. Ja, inderdaad, het moet volautomatisch. Daarvoor moet de systemen worden aangepast. Wat ik daarvan van de GGD hoor, leer en weet, is dat dat niet eerder lukt dan in maart. Die volautomatische loggingscreening kan dus pas dan plaatsvinden. Maar tot die tijd wordt er dagelijks, en in die zin dus ook continu, door een intern en een extern team gecontroleerd.

De heer Verhoeven (D66):
Voor het bellen met betrekking tot de exportfunctie: het gaat om Den Haag en Leeuwarden.

Minister De Jonge:
Dat helpt.

De heer Verhoeven (D66):
Ik kan natuurlijk niet zeggen hoe ik dit weet, maar ik heb dit gehoord en ik wil natuurlijk dat dit te goeder trouw zo goed mogelijk wordt afgehandeld op een manier waarmee we die datasluis en het vermenigvuldigen van al die data gelijk dichtzetten. Dat is wat we hier gelezen hebben en wat beloofd is.

Over dat automatisch controleren van de logging: als je dat steekproefsgewijs doet, dan mis je heel veel transacties. De minister schrijft op verschillende plekken dat een groot aantal handelingen controleerbaar en inzichtelijk geweest is. Maar dat is steekproefsgewijs. Als je op basis van steekproeven 30 mensen kan ontslaan, dan had je misschien op basis van volautomatisch en het controleren van alle logging veel meer kunnen weten. Dat is dus niet gebeurd.

Op basis van signalen heeft de AP in september tegen de GGD gezegd: wij willen weten wat er aan de hand is en wij willen weten hoe jullie je aan de AVG houden. De GGD heeft toen beloofd dat vóór het eind van 2020 de volautomatische logging op orde is. Dat heeft de GGD beloofd. Nu wordt gezegd dat dat pas in maart lukt. Ik zeg niet dat de minister allemaal dingen verkeerd gezegd heeft en ik zie heus wel dat het een keten is van verantwoordelijkheden, waar mevrouw Van den Berg het over had. Maar ik sta hier in de Kamer te debatteren met déze minister. Ik kan alleen maar aan hem vragen hoe het zit. En we hebben dus blijkbaar ineens drie maanden extra nodig om het volautomatisch controleren van de logging op orde te krijgen, iets wat cruciaal is om op basis van het oude systeem veilig te kunnen testen in de komende maanden.

De minister zal hier dus misschien nog een telefoontje over moeten plegen met de GGD, met de koepel van de GGD of met wie er dan ook verantwoordelijk is om dit op orde te krijgen. Anders staan we allemaal terug te blikken, en dan kunnen we over een paar weken weer debatteren en terugblikken op wat er de komende weken allemaal door de minister is gezegd. Ik ben nog steeds van mening dat hij volledig te goeder trouw is, zijn werk goed probeert te doen, niet alle informatie kan hebben, ongelofelijk veel druk heeft om te testen testen testen, wat hij al een jaarlang heeft gedaan. Maar hij moet wel zorgen dat het nu goed gaat.

Minister De Jonge:
Ik denk dat ik de heer ...

De voorzitter:
Verhoeven. Nee, hij doet niet vaak mee aan dit soort debatten, daarom.

Minister De Jonge:
Ja, de heer Verhoeven, dank. Ik denk dat ik hem in zoverre kan geruststellen dat de controle op de login dagelijks is, door een omvangrijk team. De controle is enorm opgevoerd, en dat vergroot de pakkans. En ik denk dat dat helpt. Ter verdediging van de GGD'en zou ik wel willen zeggen dat ik sinds dit najaar ongelofelijk veel vragen, ook op IT-gebied en over uitbreiding, bij de GGD heb neergelegd, onder andere — en daar hebben we een heel debat over gehad — over die versnelling van de vaccinatieoperatie, die ook een flinke IT-inspanningen vergde om daar klaar voor te zijn. Maar ook deze hoort gewoon gedaan te worden, dus dat volautomatische zal ook worden gedaan. En tot die tijd zal er dagelijks op grote schaal worden gecontroleerd, teamintern en teamextern. Zou het sneller kunnen? Ik heb me ervan vergewist dat het niet sneller zou kunnen dan dat dat volautomatische in maart is ingeregeld, maar tot die tijd — zo heb ik me laten vertellen — is de pakkans sterk vergroot.

De voorzitter:
Tot slot, de heer Verhoeven.

De heer Verhoeven (D66):
Wat mij betreft voeren we dit debat omdat op basis van vragen van de collega's net vóór mij, die allemaal die inderdaad terechte terugblik maakten, gebleken is dat er een cultuur was van snelheid: overhaast, onder druk, zo snel mogelijk die functionaliteit en die capaciteit opschalen. En we moeten nu naar een cultuur van een zorgvuldige balans waarin privacy en databescherming en burgerrechten worden beschermd. En er moet dus door de minister op álle fronten in die keten echt voor gezorgd worden dat alles volledig gesloten wordt, dat alle onderdelen die hij nu heeft genoemd in zijn brief daadwerkelijk gedaan worden, want anders is het echt helemaal niks, dit debat.

Minister De Jonge:
Zo is dat. Zo is dat.

De voorzitter:
Dan ga ik naar mevrouw Van den Berg. Nee, mevrouw Kröger is al uitgebreid geweest. Dus: mevrouw Van den Berg. Ja, mevrouw Kröger?

Mevrouw Kröger (GroenLinks):
Hoeveel interrupties hebben we?

De voorzitter:
Nou, ik wil die eigenlijk niet beperken, omdat het soms ook om feitelijke informatie gaat. Maar ik behoud wel het recht om, als het zich steeds herhaalt ... Want de minister staat hier nu bijna een uur, en hij is nog bezig met terugblikken op waar het mis is gegaan, en hij heeft uitentreuren toegegeven wat wel en niet goed ging. Maar ik wil ook gewoon verder, want we hebben ook nog andere debatten, we hebben nog een minister, en de minister staat hier morgen ook weer, dus ...

Mevrouw Kröger (GroenLinks):
Zeker, voorzitter, en ik vind het prima als mevrouw Van den Berg voorgaat, maar ik zou heel graag toch wel een vraag willen stellen, en u kunt als voorzitter ervan uitgaan dat dat geen herhaling van zetten is.

De voorzitter:
Oké, dan krijgt u de gelegenheid voor het stellen van één vraag, tenminste op dit punt. Mevrouw Van den Berg.

Mevrouw Van den Berg (CDA):
Dank u wel, voorzitter. De minister gaf net aan dat het hoofd van de testketen eigenlijk aan de minister aangaf: we moeten hier toch echt naar kijken. En de minister gebruikte de woorden "een beetje houtje-touwtje in elkaar zit". Nou, het is goed dat dat in ieder geval is gebeurd. Maar waar ik mij wel zorgen over maak, is of dat nu binnen de GGD ook veel beter geborgd is. Want uiteindelijk is het dus iemand van de testketen van het ministerie die aan de bel heeft getrokken, en niet iemand bij de GGD zelf. Kan de minister daar nog wat over zeggen?

Minister De Jonge:
Ja, dat kan ik. Kijk, de GGD is zelf natuurlijk onderdeel van die testketen, en een belangrijke speler in die testketen. Hij heeft zelf, naast de ketenbrede analyse, ook een KPMG-rapport op laten stellen. Daar komen ook verbeteracties uit voort; dus zowel uit het ketenbrede verbeterplan alsook uit het KPMG-plan, en eigenlijk zijn dat ook nog eens een keer dezelfde, en eigenlijk ook dezelfde die we hier met elkaar wisselen. Dus het goede nieuws is dat dat allemaal nogal congruent is met elkaar. En ja, de GGD is daar volop mee bezig, met allerlei acties die ik zo meteen nog zal toelichten. Dus daar wordt volop actie op ondernomen.

Mevrouw Van den Berg (CDA):
Oké, maar misschien heb ik dat dan net verkeerd begrepen, maar ik heb begrepen dat ook het onderzoek van KPMG gestart was naar aanleiding van het feit dat in de testketen het hoofd van de testketen zei: het gaat niet helemaal goed. Dus het is niet bij de GGD zelf opgekomen om dat op te pakken, en dat is eigenlijk waar ik naar zoek om dat beter te borgen.

Minister De Jonge:
Maar dat laat onverlet dat er ook daarvoor op basis van eerdere signalen al wel degelijk acties zijn ondernomen. Dus het is niet zo dat daarmee is gewacht. Zojuist werd door de heer Verhoeven gerefereerd aan het eerdere signaal van Nieuwsuur, en vervolgens ook de AP die zich heeft gemeld, en vervolgens het contact dat er is geweest tussen de GGD en de AP. Toen heeft men de controles opgevoerd op de login, en men heeft ook gezegd dat men het systeem nog verder zou gaan aanpassen, namelijk dat dat ook volcontinu gebeurt. Dat was allemaal van een eerdere datum. Dus het is niet zo dat je hoeft te wachten op een rapport om verstandige dingen te doen, en het is ook niet zo dat er dan geen verstandige dingen gebeuren. De vraag die we nu hebben te beantwoorden, is: was het genoeg? En het antwoord op die vraag is: nee, het was niet genoeg, en het moet beter. En dat gaan we dus ook doen. Dus misschien is het goed om die maatregelen toe te lichten.

De voorzitter:
Maar ik heb mevrouw Kröger beloofd dat ze op dit punt nog een vraag mag stellen.

Mevrouw Kröger (GroenLinks):
Ja, op dit punt. We hebben het nu uitgebreid gehad over hoe privacy vanuit het ministerie onvoldoende aandacht heeft gekregen in het contact met de GGD. Wij hebben in september Kamervragen gesteld. Daar is in november antwoord op gekomen. Hierin schrijft de minister dat er scherpe controle is op de logging: "Door zorgvuldig te loggen wordt nauwlettend bijgehouden welke dossiers door wie worden ingezien." Met de kennis van nu zal de minister toegeven dat dit een onjuist antwoord is. Is er dan onjuist geïnformeerd door de GGD's? Want ik neem aan dat die informatie bij iemand vandaan komt. Hebben de GGD's het ministerie daar onjuist over geïnformeerd?

Minister De Jonge:
Ik aarzel om daar ja op te zeggen. Uiteraard moest ik voor mijn informatie terecht bij de GGD. Tegelijkertijd ben ik aan het einde van de dag altijd zelf verantwoordelijk voor de antwoorden die ik u geef. Dus ik ga de schuld niet bij een ander leggen.

De voorzitter:
Oké. Gaat u verder.

Minister De Jonge:
Dan is het denk ik belangrijk, ook omdat er natuurlijk veel mensen meekijken die misschien bezorgd zijn, om kort aan te stippen welke acties er gebeuren om de gaten te dichten op de korte en op de iets langere termijn. Het eerste is dat HPZone beperkt wordt en zo snel mogelijk wordt vervangen door een systeem dat voldoet aan alle security- en privacyvereisten. Ik kom zo terug op de brief die ik vanmorgen heb gekregen van Jaap van Dissel, van het Centrum Infectieziektebestrijding. Daar moeten we wel echt iets mee. Maar in ieder geval wordt HPZone beperkt en zo snel mogelijk vervangen.

Twee. De print- en exportfuncties zijn in beide systemen uitgeschakeld of slechts toegankelijk gehouden voor een selecte groep specialisten in de infectieziektebestrijding die dit nodig hebben voor hun werk. Drie. De toegang in zoekmogelijkheden wordt beperkt. Vier. Sinds 24 januari zijn interne en externe teams dagelijks bezig met het herkennen van verdachte patronen en het opvolgen van verdacht gedrag. Dit zullen zij blijven doen totdat de automatische controle op logging is geïmplementeerd. Dat verhoogt de pakkans. Vijf. Externe IT-deskundigen lichten het systeem nu verder door. Zes. De vog-administratie wordt zo snel mogelijk op orde gebracht. En zeven. Er loopt een forensisch onderzoek, dat nodig is om te kunnen kijken wie er allemaal wederrechtelijk heeft gehandeld bij het kijken in verschillende files.

Het tweede punt is expertise. De GGD heeft aan mij gevraagd om expertise op gebied van privacy en informatiebeveiliging voor de uitwerking en de implementatie aan te bieden. De komende week start een kernteam met de inhoudelijke expertise, overigens ook vanuit de GGD. Er wordt een kernteam samengesteld om te zorgen dat alles wat moet gebeuren, ook daadwerkelijk gebeurt. Er wordt ook goed gekeken welke veiligheidsvereisten eventueel nog meer zijn aan te brengen.

Het derde punt is dat we strakker gaan sturen. De aanbevelingen uit de risicoanalyse en het KPMG-rapport moeten versneld worden uitgevoerd. Dat is een heel aantal aanbevelingen. Die gaan allemaal over informatiebeveiliging en privacy, maar ook over data, stabiliteit en toekomstbestendigheid. De GGD meldt zijn voortgang wekelijks in de regiegroep digitale ondersteuning testen en traceren. Die rapporteert aan de voorzitter van de LCT, en die weer aan mij. Dus we zitten daar wekelijks bovenop.

Tot slot: een externe audit. Ik wil samen met de GGD opdracht geven om over zes weken, als alle verbeteracties moeten zijn uitgevoerd, echt diepgaand te kijken, niet alleen naar de analyse maar ook naar de aanpak en de executie, waarbij we leren van het gegeven dat juist die executie ertoe doet en allesbepalend is voor of het wel of niet is gebeurd. Over de hele keten, dus los van de GGD, wordt gewerkt aan de verbeterplannen, ook aan dit verbeterplan. Daarop zal strakker worden gestuurd. Met al die maatregelen is het natuurlijk niet in één dag opgelost, maar we kijken wel wat er zo snel mogelijk kan gebeuren.

Voorzitter. Dan nog een aantal vragen, voor zover in dit blokje nog niet beantwoord. Waarom is de exportfunctie pas vorige week uit het systeem gehaald? Dit was een vraag van de Partij van de Arbeid. Die exportfunctie werd gebruikt voor verschillende werkzaamheden, zoals voor het creëren van datasets, voor statistische analyses en voor het verdelen van werk. Achteraf gezien is onvoldoende rekening gehouden met de risico's die hiermee gemoeid gaan. Dat is natuurlijk niet goed. De datalek was aanleiding om de exportfunctie grotendeels uit te zetten. Nu is de exportfunctie niet langer toegankelijk voor alle BCO-medewerkers, maar alleen voor een kleine groep specialisten, zoals de IZB-artsen en de verpleegkundigen. Dat zijn per GGD eigenlijk maar een paar personen.

De heer Azarkan vraagt: komen er nog meer lijken uit de kast? Nou, dat wil je natuurlijk niet. Ik heb alle kennis die ik heb met u gedeeld. Als er nog aanvullend signalen boven water komen, zal ik die aanvullend met u delen. Ik heb maatregelen genomen om alle problemen op te lossen en ik vind het belangrijk om hier te zeggen dat we alles zullen doen in alle transparantie. Dus alles wat ik weet ten aanzien van de dataveiligheid van dit type systemen, en wat daaraan gedaan moet worden, zal ik delen met de Kamer, voor zover de veiligheid van de systemen dat toelaat natuurlijk. Daar hebben we het zojuist over gehad.

Dan vraagt de heer Verhoeven: zijn die vier actielijnen wel voldoende? Ik denk dat we met een aantal veiligheidswaarborgen in ieder geval voorkomen dat het onvoldoende is. Het eerste is dat er een red team, een ondersteuningsteam vanuit VWS bij de GGD aan de slag gaat om met de GGD-IT'ers te kijken wat er eventueel aanvullend noodzakelijk zou zijn. Dat ten eerste. Dat zijn heel goede mensen, dat kan ik erbij zeggen.

Het tweede is dat wij na zes weken een externe audit doen op alles wat er gebeurd is. Deugde de analyse en is die eigenlijk wel volledig? Deugt de aanpak om een echt antwoord te kunnen bieden op die analyse? En zijn alle maatregelen die men zich had voorgenomen daadwerkelijk geëxecuteerd? Naar aanleiding van die audit hoop ik u over een week of zes te kunnen informeren over of het antwoord op die vraag volmondig ja kan zijn.

Dan vraagt het CDA naar de cultuur. Het gaat mij iets te ver om hier een cultuur in te willen zien waarbij het onbelangrijk wordt gevonden of waarbij men schouderophalend voorbijgaat aan signalen, of wat dan ook. Dat is denk ik echt niet het geval. Waar het hier om gaat is dat er een veelheid aan taken op het bord ligt van de GGD en er maar 24 uren in een dag zitten. Dat is geen excuus, nogmaals, maar wel een verklaring. Dat geldt ook voor het departement van VWS in relatie tot de GGD. We hebben zo veel onderwerpen in gezamenlijkheid met de GGD te bespreken en op te lossen, dat dit niet alle dagen op de agenda stond en zeker niet bovenaan. Dat is verwijtbaar, zou je kunnen zeggen. Dat moet anders, zou je kunnen zeggen. Ik denk dat we ons lesje op dat punt wel geleerd hebben. Hoe het ook zij, dat cultuuraspect, dus of mensen bijvoorbeeld intern met signalen terecht kunnen, kan ook betrokken worden bij de audit. Dus ik ga vragen of de auditeurs dat ook mee kunnen nemen. Voorzitter, ik denk dat ik het meeste wel heb gehad.

De voorzitter:
Dat had u nou net niet moeten zeggen!

Minister De Jonge:
Nee, dat is heel onverstandig. Maar ik praat ook nog heel snel even door.

De voorzitter:
Kijk maar of er nog vragen zijn blijven liggen.

Minister De Jonge:
Ik heb in ieder geval al veel beantwoord, althans als het gaat over de te nemen maatregelen. Dan ga ik nu naar het volgende blok over wat we gaan doen met de ondersteuning van slachtoffers.

De voorzitter:
Dan heb ik de heer Hijink, mevrouw Agema, mevrouw Van Brenk en mevrouw Van den Berg.

Ik hoor de heer Verhoeven zeggen dat hij ook op de lijst wil. Ik heb u ook op de lijst, maar ik zie mensen die u niet ziet. Ik heb een apart overzicht. Eerst de heer Hijink.

De heer Hijink (SP):
Een grote zorg die er bij ons nog zit, is dat er heel veel organisaties betrokken zijn geraakt bij deze beide systemen. Ik denk dat dat ook een van de redenen is waarom het zo mis heeft kunnen gaan. In de schriftelijke beantwoording van onze vragen staat dat niet alleen de 25 GGD'en maar ook bepaalde uitzendbureaus en andere private bedrijven toegang hebben tot beide systemen. Die kunnen ook accounts aanmaken en mensen autoriseren om gegevens te delen en zelf te verwerken. Als je met zo veel partijen werkt — en het worden er misschien nog wel meer — dan zit er natuurlijk een levensgroot risico in. Dan vraag je haast om lekkage. Is de minister het daarmee eens?

Minister De Jonge:
Ik ben het er zeker mee eens dat als je zou willen werken met heel veel mensen in een systeem, met ook een hele grote groep aan landelijke ondersteuning die telkens regionaal komt bijspringen, en soms in meerdere regio's komt bijspringen, dat inderdaad leidt tot een te grote hoeveelheid mensen die in een systeem kan. Dus je moet het strakker compartimenteren. Dat is ook een van de maatregelen die men neemt.

Misschien is het in dit verband goed om ook de zorg van de Landelijke Coördinatie Infectieziektebestrijding hier te delen. Ik was namelijk een vraag vergeten. Je hebt aan de ene kant CoronIT en je hebt aan de andere kant HPZone. HPZone is dat systeem dat in 2003 eigenlijk voor een vrij specialistische activiteit is gebouwd. Je hebt in Nederland maar een heel klein groepje artsen IZB, dus artsen infectieziektebestrijding. Die gebruiken HPZone voor het analyseren van een cluster. Er komen verschillende elementen uit bron- en contactonderzoek bij elkaar. Dan wordt het een cluster en dan wordt er vervolgens geanalyseerd. Dan wordt gekeken: wie heeft wie besmet, en wanneer en in welke volgorde? Soms zelfs, bij een groter cluster, wordt er gesequencet en wordt gekeken welke stammen er binnen dat cluster zitten. Dan wordt op die manier nagegaan wie wie besmet heeft. Dat is HPZone. Dat is het systeem dat dat werk ondersteunt. Maar dat is de volledige versie van HPZone. Hiervoor wordt HPZone-light gebruikt. Daarbij gaat het eigenlijk vooral om het invoeren van bron- en contactgegevens in plaats van het ook kunnen overzien van alle gegevens van anderen.

Kortom, kan dat niet anders? Kun je HPZone niet gewoon laten voor de artsen infectieziektebestrijding — overigens niet HPZone Lite maar HPZone — dus voor een heel klein groepje? En kun je ter invoering van de gegevens die je uit bron- en contactonderzoek zou willen halen, niet iets heel anders gebruiken? Daarvoor is al een tijdje de app GGD Contact in ontwikkeling. Die was aanvankelijk bedoeld ter ondersteuning van het werk van de GGD. Ik heb die overigens genoemd in diezelfde persconferentie waarin ik ook die andere app aankondigde. Dat weet u nog wel. Die app wordt vervolgens doorontwikkeld tot een systeem dat eigenlijk dienstbaar zou kunnen zijn aan dat bron- en contactonderzoek zonder toegang te verschaffen tot alle gegevens van het bron- en contactonderzoek. Ik denk dat het zo moet werken.

Er komt alleen een waarschuwing bij. Dat is de waarschuwing van de heer Van Dissel. Hij zegt namens de LCI, de Landelijke Coördinatie Infectieziektebestrijding: pas nou op, gooi nou geen oude schoenen weg voor je nieuwe hebt. Zo lees ik zijn brief. Hij zegt: pas nou op, want we hebben die gegevens wel nodig, omdat we in het hart zitten van de infectieziektebestrijding. Wij kunnen ons dus niet veroorloven om even een paar weken zonder HPZone te zitten, want dan klopt onze clusteranalyse niet meer. Dan klopt de hele gegevensverwerking niet meer, en die hebben we nodig in de analyse van zaken als: hoe gaat het met de Britse variant, wie besmet wie in een groot cluster, et cetera. Die brief hebben we, denk ik, serieus te nemen. De artsen infectieziektebestrijding hebben een vergelijkbare brief gestuurd.

Wat ik moet doen, is met de GGD kijken of er een oplossing is die én tegemoetkomt aan hun zorg — want dat zijn terechte zorgen; we moeten de specialisten echt serieus nemen op dit punt — én tegemoetkomt aan de noodzaak om heel veel minder mensen toegang te geven tot heel veel minder data. Dat zal allebei moeten gebeuren, en allebei op een hele korte termijn.

De heer Hijink (SP):
Daar zijn we het over eens. Ik heb die zorg dus ook, als ik kijk welke organisaties allemaal toegang hebben. Dat is bijvoorbeeld een stichting die hangt onder VNO-NCW. SOS International heeft toegang, Unique, Yacht, het Landelijk Serviceloket Testen, het Rode Kruis, Teleperformance, de 25 GGD'en. Het is een hele waslijst van organisaties die toegang hebben tot CoronIT en die dus ook mensen kunnen toevoegen en autoriseren om gegevens te delen. Mijn zorg is dat er als wij straks nóg meer gaan testen misschien nog meer organisaties bijkomen. Hoe gaat de minister het dan in de hand houden dat iemand nog het overzicht heeft over welke mensen allemaal worden toegevoegd en welke rechten deze mensen hebben?

Minister De Jonge:
Ik denk dat die app zoals die gaat werken eigenlijk helemaal niet meer toegang geeft tot zo'n baaierd aan informatie, want dat is wat noodzakelijk is. Je moet überhaupt het gebruik van persoonsgegevens helemaal terugdringen tot alleen de persoonsgegevens die strikt genomen noodzakelijk zijn voor het werk dat je moet doen. Dat is één.

Twee is dat je nu juist wel met een waaier aan organisaties willen werken omdat je anders gewoon onvoldoende mensen om die veelheid van taken uit te voeren. Daar hebben we het natuurlijk ook regelmatig over gehad: waarom schaal je het niet op, waarom betrek je dat initiatief en dat initiatief er niet bij? Dat hebben we gedaan, met een hele grote pool aan mensen om uit te putten en een onwaarschijnlijke hoeveelheid bron- en contact- onderzoekers. Maar dat laat onverlet het minimaliseren van het gebruik aan data. Ik denk dat je beide dingen kunt doen door strak te compartimenteren en door heel strak de autorisatie in te regelen. Er was nog een andere vraag, ik dacht van mevrouw Kröger, of die autorisatie nou wordt ingeregeld per GGD, nee toch zeker, kan dat niet landelijk? Ja het autorisatiebeleid moet sowieso landelijk en wie dan welk knopje aanklikt, weet ik verder niet, maar het autorisatiebeleid moet je natuurlijk landelijk met elkaar willen bepalen, absoluut.

Mevrouw Agema (PVV):
Als het gaat om de informatieveiligheid, hadden de GGD'en dan al gecertificeerd moeten zijn voor de NEN 7510?

Minister De Jonge:
Ik wist wel dat ze ermee bezig waren, ik weet ook dat het systeem het al is en of ze dat al hadden moeten zijn, weet ik eerlijk gezegd niet.

De voorzitter:
Ik denk dat u daarop terugkomt met informatie.

Minister De Jonge:
Ja, dat wil ik wel doen.

Mevrouw Agema (PVV):
Ik hoor de minister steeds zeggen dat eraan gewerkt wordt. Dat vind ik iets vaag, want ik lees bijvoorbeeld in een brief van GGD Gelderland-Zuid dat ze pas per 1 januari 2022 gecertificeerd willen zijn. Dat is een jaar vanaf nu. Dat lijkt me toch niet helemaal de bedoeling.

Minister De Jonge:
Daar moet ik op terugkomen. Daar heb ik op dit moment onvoldoende informatie over.

De voorzitter:
Mevrouw Van Brenk en dan de heer Verhoeven.

Mevrouw Van Brenk (50PLUS):
Ik had twee vragen die nog niet beantwoord zijn, ten eerste de vraag over het feitenrelaas van mei vorig jaar over CoronIT. Daarin werd gesteld: "Hierbij wordt voldaan aan de eisen van veilig gebruik van gegevens bij burgers". Mijn vraag was: waarop was die uitspraak destijds gebaseerd als je ziet dat het nu toch helemaal niet veilig was?

Minister De Jonge:
Dan refereert u aan een uitspraak in een brief van mij aan de Kamer?

Mevrouw Van Brenk (50PLUS):
Ja, het feitenrelaas inderdaad.

Minister De Jonge:
Het kan niet anders dan dat ik dat gebaseerd heb op informatie die ik moet hebben gekregen van de GGD.

Mevrouw Van Brenk (50PLUS):
Dan is dat achteraf gewoon niet correct gebleken. En ik had nog een vraag gesteld: mensen gaan naar de GGD met bijvoorbeeld een soa-test. Betekent dit dat de reguliere GGD-gegevens ook zo baggerslecht beveiligd zijn?

Minister De Jonge:
Even los van de kwalificatie, die ik voor uw rekening laat. Ik wil hier wel zorgvuldig in zijn, want er kijken heel veel mensen mee en ik vraag van mensen ook om zich morgen weer te laten testen. Dus ik denk dat we ook in onze kwalificaties preciezer moeten zijn. U heeft mij net een waslijst aan maatregelen horen oplezen en ik denk niet dat je die kwalificatie daarop van toepassing kunt verklaren. Soa's worden niet in CoronIT geregistreerd en ik mag aannemen dat de aandacht die nodig is voor informatieveiligheid aan deze kant ook natuurlijk nodig is voor de informatieveiligheid in andere systemen. Hoe dat exact wel wordt geregistreerd, heb ik niet paraat. Als u daarin geïnteresseerd bent, kan ik u dat laten toezenden. Dat kan ik zeker doen, maar dat heb ik nu niet paraat.

Mevrouw Van Brenk (50PLUS):
Ja, ik ben daarin geïnteresseerd. Ik wil graag dat de gegevens van burgers veilig bewaakt worden, dus graag, bedankt voor de toezegging.

De heer Verhoeven (D66):
Het punt dat de SP net maakte, is wel echt heel relevant, ook weer op de korte termijn. In de tijd dat we de komende weken aan het kijken zijn of we wel of niet naar een nieuw systeem gaan, zijn er inderdaad, zoals de SP terecht zei, misschien wel tientallen organisaties die extern zijn en die dus veel minder die GGD-ervaring en misschien ook wel betrokkenheid en passie hebben. Organisaties die op een vrij snelle manier, licht ingewerkt, bij wijze van spreken net uit hun bed gekomen zijn en in het callcenter gaan zitten. We hebben het over compartimentering en autorisatie. Dat zijn hele goede termen, maar dan wil ik wel graag weten hoe dat dan concreet de komende weken wordt afgegrendeld. Anders krijg ik straks nog meer mailtjes van mensen die via een tweede lijn toegang hebben en zeggen "ik kan nog steeds grote hoeveelheden data wegsluizen", of met andere voorbeelden komen. Of zij krijgen toegang tot onderdelen waar ze eigenlijk geen toegang toe te hoeven hebben voor de uitvoering van hun taak.

Minister De Jonge:
Exact. Er zal een vrij lange waslijst van aanpassingen worden doorgevoerd ten aanzien van de toegang en ten aanzien van het aantal mensen dat toegang heeft. De autorisatie voor de zoekfunctie wordt sterk beperkt. Het is een vrij lange lijst met allerlei technische aanpassingen. Die wordt 4 februari geëffectueerd. Daarmee is het gewoon niet meer mogelijk om de zoekfunctie te gebruiken. De exportfunctie was sowieso al weg. Ook de printfunctie is weg. Althans, ik ga ervan uit dat die weg is, maar dat checken we even bij die twee GGD'en. Misschien is die functie nog beschikbaar voor een hele kleine groep. Dat zou het euvel kunnen zijn, maar ik check dat.

Alles wat er op hele korte termijn kan gebeuren op het gebied van autorisatie en compartimentering wordt morgen geëffectueerd. We moeten wel gebruikmaken van grote callcenters, die grote aantallen mensen kunnen leveren, want de operatie moet wel doorgaan. Bij de vaccinatie gaat het om duizenden mensen die afspraken moeten kunnen maken. Voor het testen geldt dat eigenlijk ook. Dus het gaat over hele grote callcenters die worden gebruikt. Vervolgens moeten die bij heel weinig gegevens kunnen komen. Dat is het doel.

De heer Verhoeven (D66):
De minister heeft dus toegezegd dat dit morgen allemaal op orde is en dat er alleen maar strakke vakken zijn waar mensen bij kunnen, ook als ze bij wijze van spreken pas net een dag begonnen zijn bij een callcenter of als vrijwilliger van een bepaalde organisatie. Dat is heel geruststellend om te horen.

Een andere vraag gaat over dat forensisch onderzoek. In hoeverre is het überhaupt nog mogelijk om een datalek dat al maanden geleden een bepaalde vorm begon te krijgen helemaal in kaart te brengen?

Minister De Jonge:
Dat hangt af van de logging. Je hoopt dat dat goed genoeg is gebeurd. Dat moeten we gewoon zien. Laten we dat maar even overlaten aan de mensen die daarin gespecialiseerd zijn. We moeten hopen dat dit kan. Je wilt natuurlijk wel mensen bij de kladden kunnen grijpen die daar niet met goeds in de zin hun werk hebben gedaan. Dat doen we niet alleen op basis van de periodieke controles, die straks volautomatisch worden uitgevoerd, maar nu in ieder geval dagelijks en hoogintensief, maar ook op basis van het forensisch onderzoek.

De voorzitter:
De heer Veldman en dan mevrouw Van Esch.

De heer Veldman (VVD):
Ik wil nog even doorgaan op het straks eventueel grootschaliger en uitgebreider sneltesten, bijvoorbeeld bij evenementen waar moet worden uitgesloten dat iemand besmet is als hij binnenkomt. De minister en ik hebben daar eerder met elkaar over gesproken, volgens mij tijdens een van de coronadebatten in december. Toen was de minister naar mijn gevoel nog niet zover om onderscheid te maken tussen het testen om op te sporen en het testen om uit te sluiten. Nu proef ik een beetje in de wisseling met mevrouw Agema dat hij zich wel kan voorstellen dat je bij sommige testen de informatieopslag minimaliseert, waarbij je op een andere manier dingen registreert dan dat je volledig in beeld hebt wie, wat, waar en wanneer. Ik wil kijken of ik een stapje verder kan gaan met de minister in dat vastleggen van informatie. Stel dat wij in een fase terechtkomen waarin je goed gevalideerde thuistesten hebt, dan is er volgens mij helemaal geen sprake meer van registratie. Ik ben dan thuis en test mezelf 's ochtends: kan ik wel of niet de deur uit? Komt er een positieve uitslag uit, dan is het misschien verstandig om nog even langs de GGD-teststraat te gaan om het zeker te weten. Maar als ik een negatieve uitslag heb, kan ik gewoon naar buiten. Dan is het niet zo dat ik de GGD of iemand anders ga bellen: ik heb een testje bij mezelf gedaan, wilt u dat registreren? Kan de minister zich voorstellen dat, als we langzamerhand deze weg opgaan van het grootschaliger thuistesten, er situaties zijn waarbij je eigenlijk helemaal geen registratie nodig hebt, juist omdat je niet meer doet dan het uitsluiten van een besmetting?

Minister De Jonge:
Je zult altijd op z'n minst een registratie van de positieve uitslag nodig hebben. Dat geldt gewoon in het kader van de infectieziektebestrijding. Ik deel ook niet de observatie met de heer Veldman dat ik ooit iets anders van plan zou zijn geweest met het testen in spoor 1, infectieziektebestrijding, en in spoor 2 om veilig werken, veilig studeren en toegang mogelijk te maken, dus voor het heropenen van de samenleving. U kent die overzichten nog wel. Dat zijn twee verschillende doelen van het testbeleid. In de basis is het testen altijd te begrijpen als een medische handeling, maar zoals ik zojuist al tegen mevrouw Agema zei, vind ik überhaupt dat ook bij die medische handeling het gebruik van bsn en andere persoonsgegevens moet worden geminimaliseerd.

Bij toegangstesten geldt nog een keer expliciet dat, hoewel het testen zelf een medische handeling is, het laten zien van je negatieve testuitslag dat in ieder geval niet is. Vanaf het moment dat je je negatieve testuitslag daar bijvoorbeeld via DigiD downloadt, inlaadt op je telefoon, hoef je echt alleen maar je negatieve uitslag te laten zien, zonder daar ook nog persoonsgegevens aan te hangen. Die worden niet gecheckt. Die negatieve uitslag wordt verder aan de toegang ook niet geregistreerd. Er vindt dus nul registratie van persoonsgegevens plaats. Ik denk dat dat van belang is bij het mogelijk maken van toegangstesten. Zodra ik namelijk aan de Kamer wetgeving zou voorleggen om toegangstesten mogelijk te maken, waar een stevige persoonsgegevensverwerking onderdeel van zou zijn, dan zou uw Kamer zeggen: "Doe dat maar niet; beter van niet". Dat zou ik dan trouwens met uw Kamer ook eens zijn. In de techniek van hoe het nu wordt voorbereid, zowel qua wetgeving alsook qua applicatieontwikkeling, wordt het op zo'n manier vormgegeven dat er geen gebruik zal worden gemaakt van persoonsgegevens.

De voorzitter:
Deze vraag is uitgebreid beantwoord.

Minister De Jonge:
I know. Hij wordt opnieuw gesteld, dus ik dacht dan beantwoord ik hem ook.

De voorzitter:
De beantwoording was echt uitgebreid, ook naar aanleiding van de vraag van mevrouw Agema. De heer Veldman.

De heer Veldman (VVD):
De toevoeging die de minister doet, inderdaad wel, voorzitter. Mijn vraag blijft daarmee staan in de zin dat, als dit de lijn is die de minister volgt, hij daarmee dan eigenlijk zegt dat thuistesten, als die er straks zijn, geen toegevoegde waarde hebben. Ze leiden immers niet tot een negatieve testuitslag die je ergens kunt gebruiken. Die test zegt hooguit voor je eigen gevoel iets, zoals je thuis ook een thermometer hebt. Van: goh, ben ik wel of niet besmet? Maar that's it.

Minister De Jonge:
Dat is niet gering. Die toegevoegde waarde is er wel degelijk. Je kunt allerlei toepassingen bedenken van zelftesten thuis. De groep van onder anderen Jan Kluytmans doet daar allerlei pilots mee, onder zorgpersoneel bijvoorbeeld. Dat zou heel interessant kunnen zijn. Maar gewoon voor medewerkers inderdaad als een soort thermometer: kan ik vandaag wel naar mijn werk? Dat is een van de pilots die op dit moment lopen, maar er lopen er meerdere. Twee, voor kinderen in de klas zou het ook een interessante toepassing kunnen zijn. Dat is een van de pilots die lopen onder leiding van Patricia Bruijning, waarbij begeleide zelfafname onder andere het toekomstperspectief zou kunnen zijn. Daarnaast zou je je überhaupt kunnen voorstellen dat je breed in de samenleving 's morgens naast het tandenpoetsen ook een zelftest hebt liggen. Dat kan allemaal.

We zijn alleen nog niet uitgedacht over de vraag hoe je voorkomt dat daarmee wordt gerommeld als toegangstest. Je moet dat, denk ik, niet willen omdat het onmogelijk is om fraude tegen te gaan. Dat is onmogelijk. En twee, hoe zorg je ervoor dat een positieve testuitslag wel degelijk wordt gemeld bij de GGD. Dat moet namelijk. Het is een meldingsplichtige ziekte, een A-ziekte in de Wpg. Als je dat niet zou doen, handel je niet conform de Wpg. Dat zijn vragen waar wij nog niet over uitgedacht zijn. Dat laat onverlet dat allerlei pilots en allerlei validaties nu plaatsvinden, maar wij zijn over die beleidsvragen nog niet uitgedacht.

De voorzitter:
U heeft toegezegd dat u daar uitgebreid op terugkomt. Klopt dat?

Minister De Jonge:
Iedere twee weken stuur ik een brief van een kantje of honderd waarin dat soort dingen staan.

De voorzitter:
Ja, vooral specifiek op dit punt. De heer Veldman.

Minister De Jonge:
Ja.

De heer Veldman (VVD):
Ik zou de minister willen vragen of hij in het verdere verloop van die pilots mee wil nemen wat we nu wel en wat we nu vooral niet registreren, met als nadrukkelijk aandachtspunt om vooral ook dingen níét te registreren. Registreer misschien ook maar niks, omdat je — precies zoals de minister zegt — goed moet kijken wat voor gevolgen en wat voor effect dat heeft. Maar dat is niets anders dan als er nu iemand thuis de thermometer heeft gepakt en koorts heeft; die is dus misschien met het coronavirus besmet, maar heeft verder geen klachten en gaat gewoon naar buiten zijn ding doen. Dat willen wij niet, want we roepen mensen op: heb je klachten, blijf thuis. Maar ook dat kun je niet garanderen. 100%-garanties bestaan niet. Daarom moet je volgens mij, als je ervoor kiest om testen te gebruiken om de samenleving weer open te zetten, op andere manieren omgaan met registreren. Dat zou ik de minister graag willen meegeven.

Minister De Jonge:
Ja, dank voor het meegeven, maar dat laat toch onverlet de dilemma's die ik zojuist schetste. Wij komen daarop terug.

Mevrouw Van Esch (PvdD):
Ik wil een paar stapjes terug doen naar een vraag die mevrouw Agema stelde over de NEN-normen die er zouden zijn. Wij hebben daar in onze schriftelijke vragen ook aandacht aan besteed en de beantwoording wekte bij ons alleen wat verwarring. Aangezien er net al is toegezegd daarop terug te komen, wil ik mijn vragen bij dezen dan ook stellen. Er wordt namelijk aangegeven dat er wordt gewerkt volgens de certificering, volgens de NEN 7510-norm. Onze vraag is: wanneer wordt die 7510-norm dan herzien en opnieuw bekeken? Er wordt alleen aangegeven dat de NEN 7512-norm wordt herzien. Dan blijft natuurlijk nog steeds de vraag staan: wanneer is die 7510-norm dan voor het laatst herzien? Gaan we die nog herzien? Hoe staat het daarmee, zeker gezien de Partij voor de Dieren al jaren geleden een motie aangenomen heeft gekregen dat die norm zou worden herzien? Ik vraag me af hoe het daarmee staat, want dat is een zorgwekkende situatie.

Daarop aansluitend vragen wij ons af of het in deze situatie alleen maar over NEN 7510 gaat en of het niet ook over de NEN 7512-norm gaat. Het klinkt als een heleboel, maar het zijn twee vragen, die nu misschien niet beantwoord kunnen worden.

Minister De Jonge:
Nee.

Mevrouw Van Esch (PvdD):
Dat dacht ik al wel.

Minister De Jonge:
Het zijn vooral twee hele moeilijke vragen. Voordat wij hier in codes tegen elkaar gaan spreken: vindt u het goed als ik hier schriftelijk op terugkom?

Mevrouw Van Esch (PvdD):
Ik vind dat lastig, want we hebben deze vragen al bewust schriftelijk gesteld. Het antwoord daarop is alleen maar onduidelijker geworden. Ik zou daar anders zelf in mijn tweede termijn een motie over willen indienen. Ik vind het dus ingewikkeld om hier opnieuw schriftelijk over door te gaan. Over NEN-normen praten klinkt heel heftig, maar het gaat over privacynormen. Het is dus een heel logisch onderdeel van het debat.

Minister De Jonge:
Precies, het gaat over de zorg. Wat ik doe, is het volgende. Ik denk dat dat het meest praktisch is. Ik ben gewoon niet geëquipeerd om in NEN-normen met u te spreken. Ik ben een eenvoudig mens. Maar wat ik wel kan doen, is tegen onze mensen zeggen: de vragen zijn niet goed beantwoord en ik wil ze wel graag goed beantwoorden. Dan kan ik zorgen dat ik met een beter schriftelijk antwoord terugkom in uw richting.

Mevrouw Van Esch (PvdD):
Oké, daar zal ik het mee moeten doen, denk ik, voor nu. Ik ben benieuwd.

De voorzitter:
Het is altijd goed om alle schriftelijke vragen van mevrouw Van Esch van tevoren goed te lezen …

Minister De Jonge:
Ja, absoluut.

De voorzitter:
… want ik weet: altijd als er vragen worden gesteld, dan hebben ze — niet alleen mevrouw Van Esch, maar ook mevrouw Ouwehand — er eerder aandacht voor gevraagd.

Minister De Jonge:
Dan is mijn antwoord onvoldoende en dan spreekt u mij daarop aan. Ja, I know the drill.

De voorzitter:
Dan bent u voorbereid.

Mevrouw Van den Berg (CDA):
Nog één korte vraag aan de minister op dit punt. Dank voor de toezegging dat hij ook de cultuur meeneemt in de audit. De minister geeft ook aan dat er expertise is gevraagd van VWS en dat er nog een apart expertteam van buiten komt. Maar nu werd aan het begin gezegd dat met name de organisatie nog niet voldoet aan die NEN-norm. Ik vroeg me af of daar een tijdpad voor is. Dat nu al die externe hulptroepen komen is prima, maar wanneer staat de organisatie bij de GGD zelf, zodat ze dat zelf kunnen managen?

Minister De Jonge:
Ik ga toezeggen dat ik terugkom op het fenomeen NEN-norm en de mate waarin de GGD daaraan voldoet. Dan beantwoord ik de vraag van mevrouw Agema, de vraag van mevrouw Van den Berg en de vragen van mevrouw Van Esch.

De voorzitter:
Meneer Azarkan. Of staat u daar gewoon? Het is een beetje een hangplek daar.

De heer Azarkan (DENK):
Zo lijkt het soms, voorzitter. Ik had nog een vraag over de wettelijke melding van het datalek en de omvang daarvan. Op welk moment heeft de minister die gedaan?

Minister De Jonge:
Het is niet aan de minister om dat te doen. Het is aan de GGD om dat te doen. De GGD heeft dat onverwijld gedaan na ommekomst van de melding.

De heer Azarkan (DENK):
Wanneer was dat?

Minister De Jonge:
Niet afgelopen vrijdag, maar de vrijdag ervoor.

De heer Azarkan (DENK):
Is ook bekend wat de omvang is, bij benadering?

Minister De Jonge:
Daar gaat collega Dekker zo meteen iets over zeggen. Dat raakt ook aan de vragen die zijn gesteld in het strafrechtelijk onderzoek. Maar het is juist heel moeilijk om te zeggen wat de omvang is.

De voorzitter:
Dank u wel. Gaat u verder.

Minister De Jonge:
Dan kom ik bij de vragen die gaan over de mensen die mogelijkerwijs slachtoffer zijn geworden en wat daaraan is te doen. Collega Dekker zal daar ook een deel van beantwoorden, dus ik beantwoord zelf de helft van de vragen die op dat punt zijn gesteld.

De VVD heeft gevraagd hoelang het duurt voordat mensen weten of hun gegevens gestolen zijn. De GGD heeft mij gemeld dat, wanneer bekend is van welke personen mogelijkerwijs informatie gestolen zou zijn, de GGD hen zal informeren. De GGD heeft ook een telefoonnummer geopend, want het is belangrijk dat mensen ergens terechtkunnen met de vragen die ze op dat punt hebben. Maar nogmaals: wat de omvang is van een mogelijke — want dat moet ik er echt wel bij zeggen — datadiefstal, weten we nog niet. We kennen de beschrijving daarvan zoals die ook bij RTL voorbij is gekomen, maar we kennen nog niet de uitkomst van het strafrechtelijk onderzoek.

Is nog in de systemen te achterhalen hoe groot het lek eigenlijk is? De GGD heeft mij aangegeven dat de gegevens van de systemen zijn veiliggesteld. De GGD heeft mij ook aangegeven dat het forensisch onderzoek inmiddels is gestart. Daaruit kán blijken wie onbevoegde handelingen heeft gedaan. We kunnen niet op dat onderzoek vooruitlopen. De politie doet ook onderzoek naar het aanbieden van de persoonsgegevens.

De heer Van der Staaij vraagt of de minister meer gevoel kan geven bij de omgang. Nou, ik begrijp dat ik toch die vragen beantwoord. Dat is dus heel erg moeilijk. Die gegevens zijn wel veiliggesteld, maar we weten echt nog niet of de gegevens daadwerkelijk zijn verhandeld en in welke mate er wederrechtelijk toegang is verkregen tot persoonsgegevens. En we weten dus ook niet het antwoord op de vraag van de ChristenUnie in welke mate de gegevens zijn gebruikt. Die vragen kan ik op dit moment gewoon niet beantwoorden.

Hoe kunnen mensen er dan op vertrouwen dat hun gegevens veilig zijn, vroegen mevrouw Kuiken, mevrouw Kröger en de heer Hijink. Mensen moeten ervan uit kunnen gaan dat hun gegevens veilig zijn bij de GGD. Dat is ook de reden dat dit een ernstige zaak is. Ik heb zojuist aangegeven wat we allemaal doen om ervoor te zorgen dat we op de kortst denkbare termijn alle gaten dichtzetten, en wat we allemaal doen om nader te compartimenteren, en minder mensen toegang te geven tot nóg minder informatie. Ik heb verteld over systemen die uiteindelijk ook vervangen zullen gaan worden. Al die dingen doen we nou juist om te zorgen dat mensen er vertrouwen in kunnen houden dat hun gegevens veilig zijn. Daarbij heb ik wel rekening te houden met de continuïteit van de operatie en met de functionaliteit. Dat zal ik doen. Maar ik hecht eraan, het eens te zijn met mevrouw Kröger: dat ís geen tegenstelling en we moeten ervoor zorgen dat dat uiteindelijk geen tegenstelling is. En dus zal ik de Kamer laten weten op welke wijze we dat zouden kunnen doen.

Eigenlijk hebben alle fracties gevraagd wat er wordt gedaan om slachtoffers te helpen. GGD GHOR is sinds 29 januari actief gaan communiceren over de achtergronden van de datadiefstal, en de maatregelen die zijn genomen en die genomen zullen gaan worden. Inmiddels is er een telefoonnummer geopend waar mensen zeven dagen per week van 9.00 uur tot 21.00 uur terechtkunnen met hun vragen. De GGD heeft mij ook laten weten dat men de mensen zal informeren zodra voor de GGD duidelijk is welke informatie mogelijkerwijs gestolen zou zijn en wie dat betreft. Dat is overigens natuurlijk ook gewoon een wettelijke plicht, op grond van de AVG.

Er is ook gevraagd: zou je dan ook kunnen compenseren? Ik dacht dat 50PLUS dat gevraagd heeft, maar ook de VVD, de SGP, het CDA en de PVV. Wie compenseert de schade en zorgt er voor juridische bijstand? De GGD is natuurlijk aan zet, want het is gewoon wettelijk verplicht om te informeren. Maar als er sprake is van schade die zou voortvloeien uit het datalek, is de GGD daar op dat moment ook voor aansprakelijk. En als de GGD daarbij ondersteuning nodig heeft vanuit VWS, zal ik die natuurlijk geven. Dus in formele zin is het de GGD, maar als er sprake zou zijn van noodzaak tot ondersteuning, zullen we dat natuurlijk doen.

Kan de minister garanderen dat medewerkers misstanden intern of extern kunnen melden zonder vervolg? De risicoanalyse en de gesprekken hebben helder gemaakt dat het geen gemeengoed was om incidenten onderling te melden aan partners in de test- en traceerketen. Daarom is eind december de afspraak gemaakt dat met onmiddellijke ingang een ketenbreed incidentenmeldingsproces van kracht is geworden. Dat is ook geëffectueerd. Datalekken die risico's met zich meebrengen voor betrokken personen, moeten uiteraard door de verantwoordelijke organisatie worden gemeld aan de Autoriteit Persoonsgegevens. Mevrouw Van den Berg had ook aandacht voor het cultuuraspect. Dat aspect zal worden meegenomen in de audit.

Voorzitter. Ik denk dat ik hiermee de vragen heb beantwoord die raken aan mensen die mogelijkerwijs slachtoffer zijn geworden. Voordat ik het woord kan geven aan de heer Dekker, moet ik nog ingaan op een aantal overige vragen.

De voorzitter:
Eerst geef ik mevrouw Kuiken even het woord, en dan de heer Hijink.

Mevrouw Kuiken (PvdA):
Ik maak de algemene opmerking dat ik het raar blijf vinden dat niet automatisch alle mensen die zich hebben laten testen, gewoon een veiligheidswaarschuwing hebben gehad. Dat zou denk ik netjes zijn geweest, maar daar is niet voor gekozen.

Mijn vraag gaat echter ergens anders over. We horen ook nog steeds dat mensen vragen om het verwijderen of anonimiseren van gegevens, maar dat dat eigenlijk niet gaat, terwijl wel gezegd wordt dat dat kan. Is de minister zich daarvan bewust en, zo ja, wat gaan we daar dan aan doen?

Minister De Jonge:
Over dat tweede: ik ben mij er niet van bewust dat dat moeilijk zou gaan. Dat signaal moet ik even checken. Daar kom ik op terug, want dat zou mogelijk moeten zijn. Ten aanzien van het breed informeren: omdat het natuurlijk over heel veel mensen gaat die zich hebben laten testen, heeft men ervoor gekozen om het hele publiek en plein public en op de website voluit te informeren en om zodra bekend is welke groep mensen het zou kunnen betreffen — als dat bekend wordt — direct ook deze mensen te informeren.

Mevrouw Kuiken (PvdA):
Ik weet wel waar men voor gekozen heeft, maar volgens mij is dat niet de exacte uitwerking zoals we die wettelijk hebben vastgelegd. De keuze is nu gemaakt, maar feitelijk had volgens mij iedereen die een potentieel risico liep een melding moeten krijgen dat er een potentieel lekgevaar is geweest.

Minister De Jonge:
Maar die discussie hebben we …

Mevrouw Kuiken (PvdA):
Op dat punt ben ik het dus niet eens met de uitleg van de wet. Laten we die discussie nu stoppen, maar ik denk dat het feitelijk wel had gemoeten.

Minister De Jonge:
Dan toch nog één zin daarover. We hebben die discussie eerder gehad bij het Donorregister, waar de suggestie ook werd gedaan om dan iedereen te informeren die mogelijk daarmee te maken zou hebben. Maar dat zou ook wel weer opnieuw tot een datalek kunnen leiden. Als je miljoenen mensen gaat aanschrijven, waarvan een deel misschien niet meer op dat adres woont, dan ga je misschien wel weer opnieuw dataonveiligheid creëren.

De heer Hijink (SP):
Het blijft lastig dat wij twee weken na dato nog steeds geen goed zicht hebben op hoe groot het probleem nu eigenlijk is. Ik hoor de minister net ook weer spreken over mogelijke diefstal. Volgens mij heeft Rouvoet al erkend dat er sprake is van diefstal. Volgens mij weten we ook dat het vrij groot is. Ik vind het dus wel belangrijk dat we hier niet net doen alsof het misschien nog een klein beetje kan meevallen of dat er misschien wel helemaal niks aan de hand zou kunnen zijn. Er zijn niet voor niks mensen opgepakt; er zijn drie mensen opgepakt. Dat worden er misschien nog wel meer. Wat kan de minister daar nou over zeggen?

Minister De Jonge:
Niet zo heel veel. Maar u heeft helemaal gelijk. Je mag aannemen dat er van diefstal inderdaad sprake is, want anders was deze berichtgeving niet op deze manier tot ons gekomen. Dat is één. Twee is dat wij nog onvoldoende weten of er daadwerkelijk verhandeling heeft plaatsgevonden. Maar dat zou kunnen hebben plaatsgevonden. Je mag inderdaad aannemen dat als er mensen zijn aangehouden, dat niet voor niets is geweest. Maar we moeten — zo werkt het toch wel in een rechtsstaat — wel even afwachten wat de politie daar op enig moment ook zelf over concludeert. Ik kan hier niet vooruitlopen op de uitkomsten van strafrechtelijk onderzoek. Collega Dekker gaat daar zo op in, maar ik voorspel alvast dat dat heel beperkt zal zijn. Ik ben niet bezig om het te doen voorkomen alsof het allemaal zou kunnen meevallen. Ik denk niet dat het meevalt, want volgens mij heeft u mij zojuist de conclusie horen uitspreken dat het enkele feit dat het mogelijk was dat de systemen dit niet verhinderden terwijl zij wel degelijk een hogere mate van beveiliging hadden kunnen bieden, reden genoeg is om dit debat met elkaar te hebben.

De heer Hijink (SP):
Ik stel de vraag, omdat wij veel mailtjes krijgen van mensen die zich zorgen maken. Ik denk dat andere fracties die mailtjes ook krijgen. Mensen vragen zich af of hun gegevens nu op straat liggen of in handen van criminelen zijn. Ik kan mij die zorgen heel goed voorstellen. Volgens mij is het belangrijk dat dit niet te lang duurt, want hoe langer het duurt, hoe groter het risico wordt dat gegevens die al weken geleden, misschien vorig jaar al, zijn gestolen, nog steeds ondergronds rondgaan. We kunnen misschien nu niet vaststellen dat daar op dit moment in gehandeld wordt of dat ze verhandeld worden, maar wie weet worden de data die vorig jaar al gestolen zijn alsnog weer illegaal te koop aangeboden. Als we net zo lang gaan wachten tot we precies weten of er op dit moment gehandeld wordt in illegale data, dan zitten mensen nog heel lang in onzekerheid. Ik vind dat toch lastig, want die mensen willen gewoon weten of zij zich nu zorgen moeten maken en of zij extra scherp in de gaten moeten houden of zij opgelicht worden.

Minister De Jonge:
Maar daarvoor is sowieso het informatienummer geopend. Dat is zeven dagen per week bereikbaar, van 09.00 uur tot 21.00 uur. Daarvoor is sowieso een website met allerlei vragen en antwoorden de lucht in gegaan. Daar wordt in die hoedanigheid dus op geacteerd, voor zover nu mogelijk is. Om de omvang te bepalen, om daadwerkelijk tegen mensen te kunnen zeggen "misschien zat uw adres er wel bij", moet je echt meer weten dan we nu weten. Daarvoor vindt strafrechtelijk onderzoek maar ook aanvullend forensisch onderzoek binnen de GGD zelf plaats. Als daar informatie uitkomt die deelbaar is, wordt die gedeeld.

De voorzitter:
Tot slot.

Minister De Jonge:
En wanneer wordt dat verwacht? Dat weet ik niet. Dat is op dit moment echt niet te zeggen. Dat hangt er gewoon van af. Dat heeft ook echt te maken met de strafrechtelijke kant hiervan. Maar laat ik het als volgt toezeggen. Het wordt uiteraard zorgvuldig gedaan. Er wordt geen dag langer gewacht dan strikt genomen noodzakelijk. Zodra ik daar meer van weet, zorg ik dat u daar ook meer van weet.

De voorzitter:
Prima. Mevrouw Kröger. We moeten echt pijltjes gaan neerleggen.

Mevrouw Kröger (GroenLinks):
De minister heeft net aan mevrouw Van den Berg toegezegd om ook de cultuur binnen de GGD's mee te nemen in de audit.

Minister De Jonge:
Ja, zeker.

Mevrouw Kröger (GroenLinks):
Ik ben eigenlijk heel benieuwd. Ik hoop dat de minister eigenlijk ook de stelsel- of organisatiekant wil meenemen: hoe we het nou geregeld hebben met de GGD's, 25 entiteiten met daarboven een koepelorganisatie en een minister die dat maar deels echt direct kan aansturen en hoe dat eigenlijk bijdraagt aan het feit dat wij op dit vlak niet hele strakke lijnen hebben.

Minister De Jonge:
We moeten niet een te brede stelseldiscussie voeren over de GGD. Het is niet verstandig om midden in de oorlog het stelsel van het leger te evalueren. Dat moeten we niet doen. Over die vraag komen we op enig moment zeker te spreken, maar na de crisis en niet tijdens de crisis. Met de IT-vragen kunnen we niet wachten tot na de crisis. Daar waar het gaat over de IT gaat het over de vraag of de organisatie en de sturing op de organisatie adequaat zijn ingeregeld om te mogen verwachten dat dit type lekken niet meer voorkomt en dat signalen over informatiebeveiliging altijd op de goede manier terechtkomen. Dat moet zeker worden meegenomen.

Mevrouw Kröger (GroenLinks):
Goed. Daar ben ik blij om. Daarbij betrek ik graag ook bij hoe de relatie is bij een koepelorganisatie. Als er bij één GGD een probleem wordt gesignaleerd, wordt dat dan via een koepel eenduidig in beleid doorgezet naar al die GGD's? Want daar lijkt toch het nodige aan te schorten.

Minister De Jonge:
Ja, deels. Ja. oké, zeker. Ik ga ervan uit dat dat een onderdeel is, en anders bij dezen.

De voorzitter:
De vragen die via interrupties zijn beantwoord, hoeft u niet meer te behandelen.

Minister De Jonge:
Dat weet ik. Ik heb nog een paar vragen te doen die in het blokje varia vallen; ook tijdens dit debat moeten we sommige tradities gewoon in ere willen houden.

De voorzitter:
Dat zie ik, ja.

Minister De Jonge:
De vraag van de heer Verhoeven van D66 was of het geen goed idee is dat elke organisatie een chief privacy officer heeft. Het antwoord is: ja, dat is een goed idee. Maar er is geen rijksbrede verplichting of een rijksbreed beleid ten aanzien van het hebben van een chief privacy officer. Elke organisatie die persoonsgegevens verwerkt, heeft iemand nodig die haar privacyadvies geeft. Dat kan een privacy officer zijn. Een chief privacy officer is pas aan de orde als er suborganisaties zijn die een eigen privacy officer hebben. Zo hebben de verschillende onderdelen van mijn ministerie een privacy officier en dus heeft ook ons ministerie één chief privacy officer. Volgens mij hebben de meeste departementen dit op die manier ingeregeld. Kortom, ja, het is een goed idee, zeker voor grote organisaties, maar het is op dit moment geen wettelijke verplichting.

Op de brief van het RIVM ben ik ingegaan. Ik denk dat ik de vragen daarover afdoende heb beantwoord.

Dan de vaccinatiegegevens. Is voldoende beveiligd wat daar wordt geregistreerd en ook wie daarin kan? Dat is hetzelfde systeem, CoronIT, zij het dat dat gecompartimenteerd is, maar wel op een aggregatieniveau waarvan ik denk dat het echt nog wel een tandje strakker kan. Dat wordt nu dus ook gedaan. We hebben de GGD ook gevraagd of het echt nodig is om over en weer te kunnen kijken. Dat is natuurlijk maar deels zo. De GGD zegt bijvoorbeeld: als je een vaccinatieafspraak maakt, willen wij wel graag dat je ook de testuitslagen kunt zien. Waarom dan, zeggen we. Nou, als je onlangs positief getest bent, zou dat een contra-indicatie kunnen zijn om op dat moment gevaccineerd te worden. Maar mijn vraag zou dan zijn: kun je dat dan niet gewoon aan mensen vragen? Heb je daar per se inzage in het systeem voor nodig? Ik denk dat we op die manier nog wel eventjes kritisch moeten kijken of het daadwerkelijk nodig is dat je over en weer een deel van de informatie zou kunnen zien. Daar gaan we dus ook met de GGD mee aan de slag en daar kom ik dus op terug. In ieder geval moet het zo zijn dat in alles wat nu aan extra veiligheidsmaatregelen wordt ingebouwd voor de testkant, natuurlijk meteen ook de vaccinatiekant wordt meegenomen.

Voorzitter, volgens mij heb ik daarmee de vragen beantwoord. Dan zou ik willen vragen of het goed is dat collega Dekker de beantwoording voortzet.

De voorzitter:
Ik kijk naar mevrouw Van den Berg. Is er een vraag blijven liggen, mevrouw Van den Berg?

Mevrouw Van den Berg (CDA):
Misschien ligt het bij minister Dekker of komt de minister er schriftelijk op terug, maar ik had ook nog een vraag over het bsn-nummer. Wij krijgen veel mailtjes van mensen die zeggen: ja, kan ik nou mijn bsn-nummer nog wel gebruiken?

Minister De Jonge:
Daar komt collega Dekker op terug. Ik heb een registratie gemaakt, voor mijzelf uiteraard, waar ik schriftelijk op terug moet komen en waar ik in tweede termijn op terug moet komen. Dat zal ik dus zo meteen doen.

De voorzitter:
Mevrouw Van Esch, geen moeilijke vragen stellen.

Mevrouw Van Esch (PvdD):
O, o. Ik ging er helemaal van uit dat de corona-opt-invragen die ik heb gesteld bij het blokje varia zouden horen, maar daar kwamen ze niet aan de orde.

Minister De Jonge:
Daar zou ik nog schriftelijk op terugkomen. Ik ga dat dus uitgebreid schriftelijk doen. In het vorige debat, bij het vragenuurtje, heb ik dat al toegezegd. Ook toen heeft de voorzitter onderstreept dat ik dat dan wel moet doen. Dus ik ga daar schriftelijk op terugkomen, maar uiteraard heb ik het antwoord ook paraat. De corona-opt-in gaat over het bij de spoedzorg raadpleegbaar maken van specifiek medische gegevens in het patiëntendossier bij de huisarts. Dat zei ik toen ook in het vragenuurtje. Dat heeft betrekking op de huisarts, niet hierop. Het gaat over de zogenoemde professionele samenvatting. Enkel geautoriseerde zorgprofessionals bij de huisartsenposten en bij de SEH hebben toegang tot deze gegevens. De corona-opt-in zorgt niet voor toegang tot deze gegevens voor apothekers bijvoorbeeld. De corona-opt-in komt van pas wanneer een patiënt direct en niet via de huisarts naar de spoedeisende hulp komt. Mijn collega voor Medische Zorg en Sport gaat de corona-opt-in tijdelijk verankeren per AMvB, die nu voor advies bij de AP voorligt.

Mevrouw Van Esch (PvdD):
En toch blijven wij ook hierin privacygevaren zien. We hadden geen corona-opt-in. Er is aangegeven dat die tijdelijk nodig zou zijn in de bestrijding van de coronacrisis. We hebben herhaaldelijk aangegeven dat het zorgelijk blijft om die corona-opt-in te laten voortduren. Het lijkt nu nog weer langer te gaan duren. Is het echt nodig om op deze manier de corona-opt-in door te zetten? Worden dezelfde privacychecks gehanteerd die we bij al die andere systemen noodzakelijk vinden? Ik merk dat ik het ook hier een beetje beangstigend vind, want er wordt net gedaan of het hiermee allemaal wel oké is, ondanks dat we medische dossiers van 8 miljoen mensen hebben opengesteld. Ik vind dat best een kritiek punt. Weten we heel erg zeker dat we alle privacywaarborgen hebben gehanteerd die nodig zijn om ook niet hier weer een lek te laten ontstaan dat we hadden kunnen voorkomen?

Minister De Jonge:
Niet voor niets ligt de AMvB die dit moet regelen voor bij de Autoriteit Persoonsgegevens, die die toets zal doen, exact met de vraag die mevrouw Van Esch hier stelt. Maar waar het hier om gaat, is niet een openstelling van het medische dossier van miljoenen mensen voor iedereen die daar maar zou willen inkijken. Het gaat om de SEH. Stel, je gaat niet via de huisarts naar de spoedeisende hulp maar direct. Heeft de SEH-arts dan via de professionele samenvatting inzage om een aantal contra-indicaties, allergieën bijvoorbeeld, mee te nemen in zijn inschatting? Deze dingen moet je weten om een snelle behandeling zonder ongelukken in te zetten. Als er spoed nodig is, wil je niet eerst door een eindeloze papierwinkel heen moeten voordat je die zorg kunt verlenen die nodig is. Daar gaat die corona-opt-in over.

Mevrouw Van Esch (PvdD):
Heel kort. Ik snap het. Volgens mij heeft de PvdD ook aangegeven dat als het noodzakelijk is, middenin de bestrijding van een pandemie, wij daar niet voor gaan liggen. Wij hebben echter niet voor niks een systeem in Nederland waar mensen juist daarvoor toestemming geven. Dat systeem is ingericht om de privacy van mensen te beschermen. Eigenlijk zouden we altijd vanuit die optiek moeten handelen. Mensen geven toestemming voor het delen van hun medische gegevens. Ik zou niet toe willen naar een situatie waarin we zeggen: die gegevens zijn vanaf nu altijd open tussen die medische beroepen. Ik wil terug naar het systeem waarin mensen toestemming geven voor het delen van die medische informatie. Ik wil daarvoor een tijdspad. Ik wil hier niet zomaar carte blanche geven om er altijd mee te kunnen doorgaan.

Minister De Jonge:
Maar dat is het debat dat u met collega Van Ark zal moeten hebben bij gelegenheid van de AMvB. De AMvB ligt nu voor advies voor bij de Autoriteit Persoonsgegevens en daarna zal het debat volgen.

De voorzitter:
Goed, dan komt het vanzelf naar de Kamer. Daar ga ik tenminste van uit.

Dan schors ik even totdat de minister zijn spullen heeft gepakt.

De vergadering wordt enkele ogenblikken geschorst.

De voorzitter:
Ik geef het woord aan de minister voor Rechtsbescherming.

Minister Dekker:
Voorzitter. Vorige week stonden we nog stil bij de Europese Dag van de Privacy en tegelijkertijd werd de GGD getroffen door ernstige datadiefstal. Dat laatste is ernstig. Ik begrijp de zorgen maar al te goed. Het is van groot belang dat burgers vertrouwen kunnen hebben in het feit dat hun gegevens goed worden beschermd, zeker waar dat moet gebeuren door de overheid. Of het nu de rijksoverheid is, een gemeente of een uitvoeringsorganisatie, ik vind dat de overheid het goede voorbeeld moet geven. Juist voor een effectieve bestrijding van de pandemie waar we nu in zitten, is het belangrijk dat mensen hierop kunnen vertrouwen.

Ik wil kort een paar dingen zeggen over het wettelijk kader en het toezicht dat door de Autoriteit Persoonsgegevens wordt uitgevoerd en over de vragen die specifiek over de casus zijn gesteld, ook in relatie tot de armslag die de dienst heeft. Vervolgens zal ik ingaan op alles rond strafrecht en slachtoffers.

Voorzitter. Ik begin met het eerste. De heer Verhoeven zei dat de overheid ook zelf steeds meer data en gegevens verzamelt. Hij vraagt of er wel voldoende gebeurt om dat op een verantwoorde en veilige manier te doen. Is het überhaupt wel nodig om zo veel data te verzamelen? Ik denk dat we die laatste vraag ook moeten zien in de context waarin we nu zitten. Als we heel reëel zijn, kunnen we niet zonder data. We zouden hier ook een debat in deze Kamer hebben als de overheid geen gebruikmaakt van geavanceerde ICT-systemen in deze ingewikkelde crisis. Maar dan moet dat vervolgens wel op een zorgvuldige manier gebeuren.

Op dat vlak gebeurt er heel veel en valt er veel te verbeteren. Ik stip een paar dingen aan. Denk bijvoorbeeld aan alles wat er gebeurt op het vlak van beleid en uitvoering, de protocollen die daarvoor worden opgesteld. Er vindt op dit moment een rijksbrede privacy-audit plaats onder leiding van onze collega Knops van BZK. Wij verwachten dat die medio 2021 klaar is. Er is zeer recent een chief information security officer aangesteld binnen het Rijk om hier leiding aan te geven. Er gebeurt dus van alles op verschillende plekken binnen de rijksoverheid om aan veilige informatieverwerking te doen. Daar investeren we ook concreet in. Ik zal straks iets zeggen over de investeringen in de AP. Op heel veel terreinen investeren we in de informatiebeveiliging. Dat doen de verschillende overheidsdiensten los van elkaar, maar neem bijvoorbeeld ook de extra investeringen die dit kabinet heeft gedaan op het gebied van cybersecurity. Die zijn allemaal bedoeld voor veilige ICT-systemen en de bescherming van onze gegevens.

De derde poot die we doen, is voor dit debat het meest relevant, namelijk de wetgeving. In deze kabinetsperiode is op dit vlak onder mijn verantwoordelijkheid misschien wel de meest belangrijke wet in werking getreden, de AVG, en de doorwerking daarvan in de Uitvoeringswet AVG, die het juridisch kader biedt voor het onderwerp waar we vandaag over spreken. Ik ben blij om te horen dat een aantal leidende principes uit de AVG ook door uw Kamer belangrijk gevonden worden, bijvoorbeeld het principe van privacy by design. De vraag was of wij dat nu niet moeten gaan doen. Het antwoord daarop is volmondig ja. Sterker nog, het is een wettelijke verplichting, zelfs vastgelegd in de AVG.

Zou het niet goed zijn — ik meen dat de heer Verhoeven dat zei — dat iedere organisatie iemand verantwoordelijk maakt voor de gegevens die verwerkt worden binnen de systemen van een organisatie? Het antwoord daarop is ja. Sterker nog, dat is wettelijk verplicht. Iedere overheidsorganisatie moet een functionaris aanstellen voor de gegevensverwerking. Die moet dat vervolgens ook aangeven bij de Autoriteit Persoonsgegevens, zodat er ook een natuurlijke brug is tussen uitvoerende instanties en de toezichthoudende instantie, de AP.

Daarmee heb ik direct een mooi bruggetje gemaakt naar de AP. Die heeft met de invoering van de AVG een veel voornamere en sterkere rol gekregen in het houden van toezicht. Hoe doet de AP dit? Dat toezicht gaat risicogestuurd. Met andere woorden: er wordt gekeken naar klachten die binnenkomen en datalekken die worden gemeld. De AVG gaat heel sterk uit van ervoor zorgen dat organisaties zelf in de basis de boel op orde hebben. Ik denk dat dit ook goed is, want als je ziet hoeveel bedrijven en overheidsorganisaties er in Nederland zijn, dan kun je daar niet iedere keer iemand bovenop zetten. Daarom moet het in de basis goed zijn.

Het toezicht van de AP is dus risicogestuurd. Het is ook gericht op naleving en herstel. Met andere woorden, de AP heeft veel handhavingsinstrumenten, maar uiteindelijk is het het belangrijkst dat daar waar de AVG niet goed wordt nageleefd, dit zo snel mogelijk wél gebeurt. Daarbij hanteert de AP ook vormen van escalatie in het toezicht. Met andere woorden, je grijpt niet onmiddellijk naar het zwaarste middelen, maar je gaat eerst het gesprek aan en wijst de organisaties op de kwetsbaarheden en probeert dat dan vervolgens op te schalen.

Als ik kijk naar hoe dat gegaan is in het geval van de GGD, zie ik eigenlijk drie stappen. Op 16 september kwam de veiligheid van de systemen van de GGD voor het eerst in het nieuws. De uitzending van Nieuwsuur was voor de AP aanleiding om direct contact op te nemen met de GGD en opheldering te vragen over wat er gedaan was om de systemen in de basis goed te maken. Op verzoek van de AP heeft de GGD vervolgens alle relevante documenten, zoals de impactanalyses en de risicoanalyses, bij de AP aangeleverd. De AP heeft toen nog eens expliciet gewezen op het belang van de bescherming en de beveiliging van persoonsgegevens, en op het belang van het direct ondernemen van actie daar waar risico's ontstaan.

Vervolgens, in november, maakte de GGD melding van een datalek waarbij twee personen waren betrokken. Naar aanleiding daarvan is er wederom contact geweest tussen de AP en de GGD. De GGD heeft vervolgens concrete maatregelen aangekondigd om het datalek aan te pakken en verdere datalekken te voorkomen. De belangrijkste maatregelen die daarbij werden aangedragen, waren de invoering van autorisatiemaatregelen, de screening van personeel, de training van medewerkers, de login in het systeem en de controle op de login. Daarbij heeft de GGD aan de AP toegezegd dat deze maatregelen eind 2020, begin 2021 zouden zijn ingevoerd.

Het derde is dat, voordat er sprake was van die toezegging, in januari het laatste incident plaatsvond, wereldkundig gemaakt door RTL Nieuws. De GGD heeft op basis daarvan, en op basis van de meldplicht die ze volgens de AVG heeft, op 21 januari een melding gedaan bij de AP. In de dagen erna zijn er vervolgmeldingen gedaan. Dat is gebruikelijk in dit soort situaties: er wordt een eerste melding gedaan en vervolgens wordt die verder verfijnd en uitgewerkt. De AP heeft na deze melding direct het toezicht op de GGD verscherpt, ook omdat de ernst van de zaak duidelijker werd. Inspecteurs van de AP volgen de ontwikkelingen bij de GGD nauwlettend en hebben ook veelvuldig contact. Ze gaan na of noodzakelijke verbeteringen in de beveiliging worden uitgevoerd, of de toegezegde maatregelen inderdaad zijn uitgevoerd en of de uitvoering ook in lijn is met de plannen. De AP monitort dus nadrukkelijk de toegezegde verbeteringsacties van de GGD. Daarnaast worden door de AP ook controles uitgevoerd om vast te stellen of de persoonsgegevens goed worden beveiligd. De AP vraagt de GGD om daar periodiek over te rapporteren en daar periodiek een evaluatie van te maken. Kortom, ik doe het even uitgebreid om te laten zien dat de AP de meldingen in mijn ogen serieus neemt en er ook bovenop zit. Je ziet dat er sinds september een escalatie is en dat het toezicht ook stapsgewijs is geïntensiveerd.

De voorzitter:
Ja, afrondend.

Minister Dekker:
Misschien mag ik dit blokje afronden? Mevrouw Van den Berg vroeg of de AP niet meer aan de voorkant zou moeten meekijken en zou moeten meedenken over hoe je dit op een goede manier oplost. Ik ben daar zelf heel erg terughoudend in omdat de AP een sterk toezichthoudende functie en rol heeft. Die toezichthoudende functie kan je minder goed uitvoeren als je aan de voorkant medeverantwoordelijk bent voor het design en het opzetten van de systemen. Bij hoge uitzondering zal het misschien weleens een keertje gebeuren. Ik zie dat er bij de corona-app aan de voorkant ook meer is meegedacht. Maar ik hecht eraan dat de AVG uitgaat van toezicht achteraf. Heel veel diensten en overheidsorganisaties kunnen zich door allerlei bureaus laten bijstaan in het goed ontwerpen van een betrouwbare beveiligingsarchitectuur.

De voorzitter:
Heeft u hiermee alle vragen over de capaciteit en de AP gehad?

Minister Dekker:
Nee, nog niet, want dit gaat over de AP-casus. Breder is: hoe verhoudt zich dit tot de discussie over de capaciteit? Meer in zijn algemeenheid: ik ken de discussie en ik ken ook de opvatting van de AP daarover. U heeft daar eerder deze week ook een briefing over gehad naar aanleiding van een rapport dat eind vorig jaar is gepubliceerd. Ik hecht eraan om aan te geven dat in dat rapport wordt gewerkt met een aantal scenario's, een aantal modellen, maar dat — ik citeer even letterlijk uit het rapport — het onderzoek duidelijk maakt dat er nog te veel onzekerheden aanwezig zijn om tot een eenduidige, meerjarige, vooruitkijkende capaciteitsraming te komen. Dat is inherent aan de dynamiek waarin de AP opereert en de datapositie die voorhanden is. Ook is dit het gevolg van de beleidsruimte die er onder andere in wetgeving is om bepaalde keuzes daarin te maken. Met andere woorden: het is niet een vast gegeven dat de scenario's die in het rapport worden gepresenteerd, ook echt strikt noodzakelijk zijn om de AP goed te outilleren. Dit nog even los van het feit dat we in de afgelopen jaren natuurlijk enorm hebben geïnvesteerd in de AP. Het budget van de AP is de afgelopen vijf jaar verdriedubbeld. Niet 10% of 20%, maar 300% erop. Daarmee is de AP een van de best bemenste en een van de best gefinancierde autoriteiten in Europa. Ik daag de heer Verhoeven graag uit voor een interruptie. Uit het rapport blijkt dat er echt fors is geïnvesteerd in de AP. Ook in het lopend jaar heb ik er weer extra geld bij gedaan?

De voorzitter:
Heeft u hiermee alle vragen op dit punt beantwoord? Dan heb ik de heer Azarkan, mevrouw Van den Berg en de heer Verhoeven.

De heer Azarkan (DENK):
Ik begin bij het laatste. Wij kennen de opvattingen van de heer Dekker.

De voorzitter:
Van de minister.

De heer Azarkan (DENK):
Van de minister, de heer Dekker, over onder andere toegang tot het recht. Dan komt hij met statistiekjes en zegt hij dat het eigenlijk nergens in de wereld zo goed geregeld is als in Nederland. We horen bij de top. Toch zien we dat tienduizenden burgers kapot zijn gemaakt door die overheid omdat ze geen toegang hadden tot dat recht, omdat ze gewoon nergens terechtkonden. Ik vind het echt typisch weer minister Sander Dekker, die zegt: we hebben hartstikke goed geïnvesteerd.

De voorzitter:
En de vraag?

De heer Azarkan (DENK):
Nou ja, aan de andere kant, wat is dan de werkelijkheid van de Autoriteit Persoonsgegevens die aangeeft maar een paar tienden van procenten van de meldingen in ontvangst te kunnen nemen? Die aangeeft dat ze zo'n grote zaak als de toeslagenaffaire …

De voorzitter:
De vraag?

De heer Azarkan (DENK):
Daar hebben ze een jaar en twee maanden over gedaan. Hoe kan de minister nou zeggen dat ze goed geëquipeerd zijn? Waar blijkt dat dan uit?

Minister Dekker:
Ik gaf net wat aan over de groei die de AP heeft doorgemaakt. Het budget is in vijf jaar tijd verdriedubbeld. Ik denk dat er geen overheidsorganisatie is in Nederland die dat kan zeggen. Ik zeg niet dat daarmee de problemen volledig van de baan zijn. Ik zie ook dat de werkdruk bij de AP behoorlijk hoog is. Maar het is niet zo dat we de afgelopen tijd niets hebben gedaan. En ja, er komen heel veel meldingen binnen bij de Autoriteit Persoonsgegevens, maar dat is ook niet zo gek, want er is een verplichting in de AVG dat je het meldt als er sprake is van een datalek. En niet ieder datalek noodzaakt onmiddellijk tot een heel groot en diepgravend onderzoek. Dan moet je kijken naar hoeveel signalen je binnenkrijgt en naar wat de ernst van de signalen is. Dat zie je ook in deze casus. Het begint klein en dan wordt er een eerste actie ondernomen door de AP. Naarmate het ernstiger wordt, wordt het toezicht geïntensiveerd. Ik heb daar gisteren uitvoerig met de AP over gesproken. Zij zijn ook echt van mening dat zij hier hebben opgetreden volgens hun eigen manier van werken en volgens wat de wet vraagt.

De heer Azarkan (DENK):
Ik vraag mij echt af of de minister een beetje door heeft hoe hard het gaat met het verzamelen van data en hoeveel data er elke dag bij komen. Hij zegt dat in de afgelopen vijf jaar het budget is verdrievoudigd, en dat er geen overheidsorganisatie is die dat kan zeggen, maar die vergelijking slaat als een tang op een varken. De conclusie, ook van de Algemene Rekenkamer, van de AP en van andere instituten, is dat de overheid geen grip op de eigen data heeft. Aan de ene kant zien we dat algoritmes gebruikt worden op plekken waar ze niet gebruikt mogen worden. De AP heeft geconstateerd dat de overheid de wet overtreedt.

De voorzitter:
En de vraag?

De heer Azarkan (DENK):
Mijn vraag is: hoe kan de minister nou volhouden dat er geen behoefte aan is en dat we dat niet moeten doen? Er moet gewoon meer geïnvesteerd worden in hoe moet worden omgegaan met al die data die de overheid verzamelt, waar niemand toezicht op houdt en waarvan burgers het slachtoffer kunnen worden.

Minister Dekker:
Ik probeer de tegenstelling niet onnodig groot te maken. Ik gaf net in mijn inleiding aan dat we extra investeren in beveiliging van informatie, in de Autoriteit Persoonsgegevens, in cybersecurity en in heel veel andere dingen. Dat moeten we ook blijven doen. De heer Azarkan heeft helemaal gelijk dat het verwerken van data en gegevens waarschijnlijk niet minder wordt. Het wordt alleen maar meer. Maar in de discussie over of de AP voldoende is uitgerust, is mijn punt dat ik weliswaar zie dat er druk is op die organisatie, maar dat ik ook constateer dat er eigenlijk ieder jaar extra geld naartoe is gegaan. We investeren ook in de AP.

De voorzitter:
Tot slot, de heer Azarkan.

De heer Azarkan (DENK):
Dan de vraag die ik eigenlijk echt wilde stellen.

De voorzitter:
Die andere vraag niet?

De heer Azarkan (DENK):
Nou, deze gaat over wat de minister in een bijzin zei over de ernstige gebreken die door de AP zijn geconstateerd bij de GGD ten aanzien van deze twee systemen. De afspraak was dat die eind 2020 of begin 2021 opgeheven zouden zijn. Ik vind dat nogal nonchalant en ook niet geloofwaardig. Volgens mij heeft de AP geconstateerd dat er ernstige gebreken waren en gezegd dat die aan het eind van 2020 opgeheven moesten zijn. Zegt de minister nou dat ze een aantal maanden de tijd kregen? Hij zei net: "de eerste helft van 2021". Was het: "Kijkt u maar eens even wanneer u het oplost"? Hoe is dat gegaan?

Minister Dekker:
Nee. Naar aanleiding van het datalek in november heeft de AP contact gehad met de GGD. Daarbij is aangegeven dat er verbetermaatregelen genomen zouden worden die eind 2020 of begin 2021 tot een afronding zouden komen. Vervolgens werden we ingehaald door wat er in januari is gebeurd.

Mevrouw Van den Berg (CDA):
De minister heeft net uitgelegd dat het meekijken bij de ontwikkeling eigenlijk niet zozeer bij een toezichthouder past. Dat kan ik begrijpen. Maar ik had ook nog gevraagd: had de AP niet eerder verscherpt toezicht moeten toepassen, juist omdat ze wist dat het hier potentieel over miljoenen data gaat? Want dat is pas recentelijk gebeurd.

Minister Dekker:
Ja, je moet niet met de kennis van nu kijken. Je moet kijken naar wat we in september wisten en naar wat de AP toen heeft gedaan, en naar wat we in november wisten en naar wat de AP toen gedaan heeft. Als je dat tijdsverloop doorloopt, dan vind ik het heel logisch dat de AP contact opneemt naar aanleiding van een uitzending van Nieuwsuur, waarin anoniem door medewerkers op beeld gezegd wordt dat zij onvoldoende getraind zijn. Dat was een eerste signaal op basis waarvan contact is opgenomen. Dat vind ik goed. Dan kun je zeggen: hadden ze toen niet meteen een diepgravend onderzoek moeten instellen? Nee, dat zit niet in de manier waarop zij toezicht houden. Daar zit een bepaalde gelaagdheid in; je grijpt niet onmiddellijk naar je zwaarste middel. Dit even los van het feit dat, als je een onderzoek doet, er vaak maanden overheen gaan voordat het wat oplevert. Dus ik vind het niet gek dat er in september gezegd is "hoe zit dat eigenlijk met jullie basis, is die op orde?", en dat er vervolgens in november gekeken wordt, naar aanleiding van een aantal meldingen, wat er aan de hand is. Dan worden afspraken gemaakt over verbeteringen. Maar nu zit er eigenlijk een volgende stap in, namelijk dat er gezegd wordt: ja, dit is wel heel ernstig; we gaan dit nu ook nauwgezet volgen.

Mevrouw Van den Berg (CDA):
Maar dan concludeer ik dat de minister in feite zegt dat de AP geen rekening houdt met de potentiële grootte. Want we spreken hier natuurlijk over een databestand met miljoenen data, en dan zit er niet in het achterhoofd van de AP dat, als daar wat misgaat, het dan echt nog veel massiever misgaat dan wanneer je, bij wijze van spreken, ergens met tien datalekken zit.

Minister Dekker:
Maar daar houden ze zeker wel rekening mee. Dat is bijvoorbeeld een van de redenen waarom ze onmiddellijk contact hebben opgenomen in september, en waarom ze dat naar aanleiding van de melding van het datalek in november wederom hebben gedaan. U kunt zich voorstellen dat er datalekken zijn in heel veel soorten en maten. Dagelijks krijgt de AP verschillende meldingen binnen. Op heel veel van die meldingen wordt ook niet automatisch gereageerd; er is bij wijze van spreken al een datalek als je wat per ongeluk in je e-mail naar buiten stuurt. Dat moet je melden. Ook dat soort meldingen komen binnen, en die leiden niet allemaal automatisch tot een contact. En dat heeft de AP hier, in deze gevallen, wel gedaan, juist vanwege de ernst en de omvang.

De voorzitter:
Nu de heer Verhoeven, de heer Hijink en mevrouw Kuiken. De vragen moeten echt kort zijn, want we hebben ook nog een tweede termijn. Ja? De heer Verhoeven.

De heer Verhoeven (D66):
De minister zegt — en ik heb er jaren met hem over gesproken — het weer met een stalen gezicht: de AP heeft achterstanden. De AP heeft het toezicht op de AVG, ze moeten allerlei wetsovertredingen van de overheid corrigeren, zoals vandaag ook weer met het GGD-datalek. Daar heeft men zich niet aan de AVG gehouden; een datalek. Daar schieten ze volledig tekort, zoals net door de SP is uitgelegd. Aan alle kanten loopt het water over de schoenen. Er zijn verschillende rapportages geweest in het afgelopen jaar, die allemaal aanwijzen dat er flinke tekorten zijn. Het is een jaar geweest met SyRI, het is een jaar geweest met de toeslagenaffaire, met een datalek. We hebben net weer een wet aangenomen waarvan de AP heeft gezegd "niet doen": de Wgs, ook weer van dit ministerie. Aan alle kanten dendert die datatrein maar door. Het is zorgelijk dat het gebeurt, want er wordt wel met data gewerkt door de overheid en dat is prima, maar niet op een goede manier. Wat hebben we nodig? Een sterke toezichthouder, die echt kan ingrijpen. Hebben we die? Nee. Moet het dan elke dag met een druppel op een gloeiende plaat, moet het dan met de salamitactiek? Nee, en dat weet de minister stiekem ook wel. Waarom nou niet, als er moties van de Kamer zijn, een keer aan het einde van zo'n kabinetsperiode zeggen: we doen er wat geld bij voor die Autoriteit Persoonsgegevens? Die mensen werken keihard om aan alle kanten allerlei datamisstanden recht te zetten.

Minister Dekker:
Ik vind dat de heer Verhoeven hier de AP echt tekortdoet. Want de AP doet ongelofelijk haar best om heel veel te verwerken, om goede adviezen te geven op wetgeving. Ze is ook met grote regelmaat heel erg streng op de dingen die we wel of niet zouden moeten doen. Er werken ruim 180 mensen bij de AP ongelofelijk hard, en dat doen ze in mijn ogen gewoon heel erg goed.

De heer Verhoeven (D66):
Voorzitter, dit is een beetje balletje-balletje spelen met mijn vraag. Ik zeg dat er een groot probleem is met de capaciteit. En de minister maakt daar een soort spelletje van, dat ik zeg dat de kwaliteit niet goed is. Ze kunnen niet de kwaliteit leveren die nodig is, vanwege de gebrekkige capaciteit. Scenario's uit alle onderzoeken, ook in het laatste rapport van KPMG, net twee dagen geleden met de Kamer gedeeld, wijzen uit dat capaciteit het probleem is. D66 of ik zal nooit zeggen dat de Autoriteit Persoonsgegevens haar werk niet goed doet. Dit is gewoon heel flauw van de minister. Ik snap ook niet waarom dat antwoord nu nodig is, na alles wat er het afgelopen jaar gebeurd is. Het gaat om de capaciteit! Kan de minister nou niet gewoon zeggen: de capaciteit schiet tekort, aan alle kanten loopt het water over de schoenen. Toezichthouders als de ACM zijn vele malen groter, met enorme budgetten, en de Autoriteit Persoonsgegevens blijft een relatief kleine club. En dan zegt de minister: ja, de heer Verhoeven doet de AP tekort. Nee, de minister doet de AP tekort; letterlijk, met geld.

Minister Dekker:
De heer Verhoeven en ik zijn het gewoon met elkaar faliekant oneens.

De voorzitter:
Dat heb ik gemerkt.

Minister Dekker:
Hij trekt een conclusie uit een rapport die ik niet onmiddellijk trek. Ik zei wat over de scenario's die erin staan, maar ook de grote disclaimer die de onderzoekers daarbij plaatsen, dat de cijfers eigenlijk onvoldoende goed en hard zijn om daar betrouwbare uitspraken over te doen. Ik heb zojuist al aangegeven dat ik jaar in, jaar uit extra geld richting de AP stuur om ervoor te zorgen dat ze haar taken kan doen.

De voorzitter:
Ik denk niet dat jullie het erover eens worden, maar het staat de Kamer vrij om het op een andere manier aan de orde te stellen. Ik ga naar de heer Hijink.

De heer Hijink (SP):
Ik moet even iets rechtzetten. Ik heb eerder gezegd dat de Autoriteit Persoonsgegevens één dag in de week één iemand beschikbaar heeft om actief op zoek te gaan naar datalekken. Dat is niet waar, want deze persoon moet daarnaast ook nog heel veel andere dingen doen. Die moet namelijk niet alleen actief zoeken naar datalekken, maar kijkt naar alle vormen van signalen, van tips tot datalekken tot klachten, et cetera. Het opsporen van datalekken is alleen een onderdeel van een van de vele dingen die die ene persoon op die ene dag in de week te doen heeft. Eén persoon, één dag in de week. Als je kijkt naar hoeveel data wij hebben, naar wat er vanuit de overheid allemaal over het land wordt uitgestort, vindt de minister het dan voldoende dat één iemand, één dag in de week datalekken kan opsporen? Vindt hij werkelijk dat dat genoeg is?

Minister Dekker:
Er moet geen karikatuur gemaakt worden van de AP. Er werken ruim 180 mensen bij de Autoriteit Persoonsgegevens. Er werkt een veelheid aan mensen bij de afdelingen die zich bezighouden met onderzoek en met handhaving. De heer Hijink zegt dat er zo weinig capaciteit is om proactief of preventief op zoek te gaan naar datalekken. Maar heel eerlijk, dat is ook niet de taak van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens moet optreden daar waar datalekken zijn. Iedereen, elke organisatie, privaat of publiek, heeft de plicht om datalekken te melden. Sterker nog, als dat niet gebeurt, kan de AP ook fors ingrijpen. Kijk bijvoorbeeld naar twee jaar geleden, toen Uber te maken had met een groot datalek en dat te laat meldde. Die heeft een forse boete gekregen. En dat is de manier waarop het toezicht werkt.

De voorzitter:
Tot slot.

De heer Hijink (SP):
Voorzitter, ik maak echt bezwaar tegen hoe de minister hier staat te praten. Hij deed net al tegen de heer Verhoeven alsof wij de Autoriteit Persoonsgegevens tekort zouden doen. De minister doet dat. En nu zou ik een karikatuur schetsen van hoe de AP functioneert. De minister maakt er een karikatuur van. Wat hebben wij aan een toezichthouder die geen toezicht houdt, die pas ingrijpt, pas handelt, nadat het is misgegaan? Het lijkt mij dat een goede toezichthouder actief op zoek gaat naar lekken, zodat we kunnen ingrijpen voordat mensen getroffen worden. Daarvoor hebben we toch een toezichthouder, zou ik zeggen. Dus wat is nou het probleem? Het verzoek van de AP is dat we die 0,2 fte, dus die ene dag in de week dat iemand daarmee bezig is, gaan verhogen tot een aantal mensen die daar gewoon fulltime mee bezig kunnen zijn. Dan kunnen we dit soort problemen voorkomen. Dan hoeven we hier niet te staan om dit debat te hebben over een groot datalek bij de GGD. Dan hadden we misschien in september al een toezichthouder gehad die had gezegd: hier gaat het helemaal mis; hier grijpen we in.

De voorzitter:
Goed.

Minister Dekker:
Ik kijk gewoon naar wat de wet vraagt en naar wat de wet zegt. Dan is de Autoriteit Persoonsgegevens een risicogestuurde toezichthouder. Dat betekent dat er kan worden gereageerd als er signalen binnenkomen. Dat is wat anders dan proactief of preventief op zoek gaan. Ik denk ook dat het een illusie is om te denken dat je met zoveel duizenden bedrijven en overheidsorganisaties in Nederland in staat bent om dit op een goede manier te doen, tenzij je de AP misschien vertien- of verhonderdvoudigt. Dat is de filosofie van de AVG. Er wordt heel veel verantwoordelijkheid neergelegd bij de organisaties zelf, met heel veel verplichtingen. En als het dan fout gaat, hebben we een toezichthouder die daarop kan optreden.

De voorzitter:
U mag nog één vraag stellen, maar ik heb niet de indruk dat door die ene vraag een totaal andere conclusie zal worden getrokken over de AP.

De heer Hijink (SP):
Dat zou kunnen, voorzitter, maar ik wil dan wel de vergelijking maken met de IGJ, de Inspectie Gezondheidszorg en Jeugd. Die doet ook vaak risicogestuurd toezicht, maar dat wil niet zeggen dat zij alleen maar afgaat op meldingen. Het is natuurlijk een heel rare vorm van toezicht houden als je alleen maar afgaat op meldingen. Een goede toezichthouder gaat niet af op meldingen, maar kijkt zelf waar problemen zijn. Als je alleen maar afgaat op meldingen, heb je dus zelf niet goed in beeld waar de risico's zijn, want dan ben je altijd afhankelijk van iemand anders die iets meldt.

De voorzitter:
Dit punt heeft u volgens mij al genoeg duidelijk gemaakt. Ik zie dat mevrouw Kuiken nog wil interrumperen.

Mevrouw Kuiken (PvdA):
Ik ben het wederom niet eens met de minister als het gaat om de Autoriteit Persoonsgegevens, ook omdat berekeningen gewoon laten zien dat als je alle taken daar neerlegt, er meer fte's moeten zijn. Maar die discussie ga ik nu niet verder voeren. Die komt op een ander moment en wellicht in een regeerakkoord aan de orde, wie daar ook aan tafel zit. Mijn vraag is de volgende. Wij hebben een grote uitdaging op het gebied van ICT om deze crisis in goede banen te leiden, zowel als het gaat om testen, om vaccineren als om het maken van afspraken. Als ik nu alle notulen lees, dan zie ik dat VWS aan alle kanten is betrokken, maar dat JenV eigenlijk ontbreekt. We constateren ook met elkaar dat er wel heel veel taken op het terrein van minister De Jonge liggen. Mijn vraag is dan ook even: waar is JenV in dit verhaal? Ik vraag dit ook omdat we al langere tijd weten dat er dingen niet goed gaan. Dat is ook bekend bij het ministerie van Justitie en Veiligheid.

Minister Dekker:
Doelt mevrouw Kuiken dan specifiek op informatiebeveiliging? Want JenV is natuurlijk op heel veel terreinen wel degelijk heel intensief betrokken bij het managen van deze crisis als het gaat om handhaving. Ik geloof dat mijn collega Grapperhaus hier met grote regelmaat staat.

De voorzitter:
Ja, dat weten we.

Mevrouw Kuiken (PvdA):
We hebben het nu niet over rellen of andere dingen. Ik dacht dat ik hier in een debat stond over datalekken.

Minister Dekker:
Ik zei dat om het even specifiek te maken. Als het specifiek gaat om informatiebeveiliging, is de rol van Justitie die van wetgever. We maken daar het kader voor. Wij zijn verantwoordelijk voor de toezichthouder, die een grote mate van onafhankelijkheid heeft, maar wij moeten ervoor zorgen dat de AP haar werk goed kan doen. Dat betekent dat we niet betrokken zijn bij het ontwikkelen en de architectuur van heel veel trajecten. Mijn collega De Jonge gaf net al aan welke verbeterslagen er allemaal gemaakt worden binnen de zorgpijler om ervoor te zorgen dat je zo snel mogelijk weer up to par komt. Wij zitten aan de toezichtkant. Als er echt iets niet goed gaat, dan zit de AP daarbovenop. De AP zit nu inmiddels in een fase dat ze ook echt met grote mate regelmaat contact hebben met de GGD om te kijken of de afspraken goed zijn en of die worden nagekomen. Ze noemen dat zelf verscherpt toezicht.

De voorzitter:
Tot slot, mevrouw Kuiken.

Mevrouw Kuiken (PvdA):
De checks-and-balances waren gewoon niet goed, want er waren allemaal alarmsignalen, zowel intern als via de media, en het duurde lang voordat er ingegrepen werd. Kunnen we nu een actieve rol van deze minister verwachten als het gaat om het verdere verloop van dit dossier? Er worden beloftes gedaan waarvan we nog maar moeten zien of die realistisch zijn. De toezichthouder heeft gewoon te weinig capaciteit. Dus dat vraagt ook echt om een actieve bemoeienis. Dat is althans mijn opvatting.

Minister Dekker:
Ik ga het even heel precies doen. Ik ben niet de AP. Ik denk dat de AP het ook heel vervelend zou vinden als ik ga zeggen: ik ga de AP nu opdracht geven. Het is geen uitvoeringsorganisatie. Sterker nog, het is wettelijk verboden dat ze aanwijzingen krijgen van de verantwoordelijk minister. Ik leg verantwoording af, ik zorg dat de AP goed haar werk kan doen en ik kan u toezeggen dat de AP mij heeft aangegeven dat ze hier bovenop zitten. Dus ja, ze zijn betrokken.

De voorzitter:
Goed. Dan ga ik naar mevrouw Kröger.

Mevrouw Kröger (GroenLinks):
Ik wil toch nog even door op de vraag die net gesteld werd door de collega's Verhoeven en Hijink over de signalerende rol van de AP. Dat zien we ook bij andere toezichthouders, zoals de ILT of de NVWA; juist de noodzaak dat er ook uit eigen beweging onderzoek kan worden gedaan. De minister maakt dat eigenlijk heel klein. Hij zegt: er wordt een karikatuur van gemaakt als er gezegd wordt dat er maar heel weinig fte voor is, want het is ook helemaal niet de bedoeling dat ze dat doen. Maar ik lees gewoon op de website van de AP, bij hun eigen beschrijving van hun activiteiten: "Onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet". Dat ís hun rol. Dan moeten we ze daar toch ook voor equiperen?

Minister Dekker:
Ik ben het daar volledig mee eens, maar de karikatuur is dat er maar 0,2 of 1 fte beschikbaar zou zijn om dit soort werk te doen. Er werken ruim 180 mensen en de belangrijkste taak die de AP heeft, is toezicht houden op de naleving van de AVG. Dat is haar bestaansrecht.

Mevrouw Kröger (GroenLinks):
Zeker, alleen in reactie op de vragen zei de minister: Ja, als er een melding gedaan wordt, want dat is verplicht, dan gaat de AP toezicht houden. Maar juist het ook uit eigen beweging onderzoek doen, signaleren, kijken wat er misgaat, is uitdrukkelijk een opdracht. Daar equiperen we ze nu niet voor, met alle gevolgen van dien. Dus daar moeten wij toch de verantwoordelijkheid voor nemen, juist als wij als overheid zo ongelooflijk veel data verzamelen en verwerken?

Minister Dekker:
Ik gaf net aan hoe de AP haar toezicht invult. Dat gebeurt langs drie lijnen. Eén: risicogestuurd. Twee: gericht op nakoming, dus niet onmiddellijk met je bonnenboekje staan maar zorgen dat dat je ook lichtere vormen kunt gebruiken om ervoor te zorgen dat organisaties compliant worden. Drie: met een intensivering. Je grijpt niet onmiddellijk naar je allerzwaarste middel. Als ik dan kijk naar deze casus, heb ik echt de indruk dat dat ook langs die weg is verlopen.

De voorzitter:
Tot slot.

Mevrouw Kröger (GroenLinks):
Nu gaat de minister weer terug naar de casus, maar we hebben een gesprek over iets breders, namelijk het functioneren van de Autoriteit Persoonsgegevens. De minister komt op alle vragen over zelf onderzoek terug met: risicogericht. Maar net, in reactie op de collega's Verhoeven en Hijink, werd letterlijk gezegd: nee, er wordt een melding gedaan en dan wordt er opgetreden, het is helemaal niet de bedoeling dat ze zelf onderzoek doen. Maar dat is dus wél de bedoeling.

Minister Dekker:
Het overgrote deel …

Mevrouw Kröger (GroenLinks):
Dat lees ik net voor, dus dat is wél de bedoeling, en daar moeten we ze dus ook voor equiperen en dan hebben ze meer capaciteit nodig. Is de minister dit dan eindelijk toch met ons eens?

Minister Dekker:
Dan komen we weer terug op de capaciteitsdiscussie. Volgens mij gaan we dan in cirkeltjes lopen.

De voorzitter:
Dat hebben we net gehad. Daarover is gewoon een verschil van mening en dat is voldoende gewisseld, volgens mij. Het is aan de Kamer om dat op een andere manier misschien aan de orde te stellen, en anders na de verkiezingen.

Minister Dekker:
Voorzitter, zal ik nog wat zeggen over het strafrechtelijke deel en slachtoffers?

De voorzitter:
Als dat kan, heel graag, en dan gaan we naar de tweede termijn.

Minister Dekker:
Voorzitter. Uiteraard is het stelen en doorverkopen van persoonsgegevens een ernstig misdrijf. Ik kan u verzekeren dat politie en OM hier bovenop zitten. Nadat een melding werd ontvangen op 22 januari zijn in deze zaak binnen 24 uur twee aanhoudingen verricht. Gisteren is er nog een aanhouding verricht, en meer aanhoudingen worden zeker niet uitgesloten, werd mij door het OM verzekerd. Er wordt nu door politie en OM onderzoek gedaan. Dat zal meer inzicht kunnen geven in de omvang van de datadiefstal. Er zijn onder meer telefoons in beslag genomen en het berichtenverkeer wordt in kaart gebracht. Ook wordt bezien welke maatregelen nodig zijn om vervolgschade te beperken. De eerste twee verdachten zijn inmiddels voorgeleid aan de rechter-commissaris.

Specifiek is gevraagd of ik een indicatie kan geven over de omvang. Ik kan dat nu niet doen. Dat zou echt te voorbarig zijn. Een indicatie geven van de omvang zou kunnen als de GGD goed in beeld heeft wat er is vervreemd, maar daar heeft mijn collega al wat over gezegd. Ook politie en OM hebben daar tot nu toe nog een onvoldoende scherp beeld van. Dat is onderdeel van een lopend onderzoek.

Wat kun je dan doen als slachtoffer? Ik begrijp dat mensen ongerust zijn. Wat zijn de risico's die hieruit naar voren komen? Ik heb mij door de experts laten vertellen dat de grootste risico's zitten in het gebruik van naw-gegevens en bsn-gegevens voor vormen van phishing. Dus iemand doet zich met die gegevens voor als een betrouwbaar persoon en mensen die daar niet scherp genoeg op letten, gaan daarin mee. Dat is een reëel risico. Ik heb begrepen van de Rijksdienst voor Identiteitsgegevens dat de kans op identiteitsfraude kleiner is. Dat heeft ermee te maken dat bsn- en naw-gegevens onvoldoende zijn om bankrekeningen te openen of telefoonabonnementen af te sluiten, maar ook hiervoor geldt natuurlijk: laat mensen er alsjeblieft heel erg scherp op zijn. Als er dingen gebeuren waarvan je zegt "hé, dit vertrouw ik niet", neem dan contact op.

Met wie kun je dan contact opnemen? Als er sprake is van fraude en oplichting, kan dat met de Fraudehelpdesk. Die geeft informatie en praktische adviezen. Zij kunnen eventueel doorverwijzen naar de politie. Als er sprake is van misbruik van persoonsgegevens en van identiteitsfraude, dan kunnen mensen naar het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). Als het via die kant loopt, wordt er aangifte gedaan bij de politie. Tot slot kan Slachtofferhulp Nederland mensen begeleiden, bijvoorbeeld bij het vinden van hulp als zij schade hebben geleden.

Tot slot was de vraag: wat kun je dan doen als je eventueel schade hebt geleden? Dan is er wel sprake van schade: laten we hopen dat dit niet voorkomt, of dat de schade in ieder geval zo minimaal mogelijk is. Dan zijn er een aantal wegen, bijvoorbeeld een civiele procedure tegen de GGD. Dat kan zowel individueel als collectief. Maar het kan ook doordat slachtoffers zich voegen in het eventuele strafproces dat zal volgen na het werk van het Openbaar Ministerie.

De voorzitter:
Waren dat alle vragen?

Minister Dekker:
Ja, voorzitter, daarmee ben ik aan het einde gekomen van de beantwoording.

De voorzitter:
Mevrouw Van der Graaf, korte vraag.

Mevrouw Van der Graaf (ChristenUnie):
Het is fijn om te horen waar mensen terechtkunnen op het moment dat ze het vermoeden hebben dat er sprake is van fraude en van gebruik van hun gegevens. Er kijken heel erg veel mensen mee met dit debat, want veel mensen maken zich zorgen. Ik krijg meerdere e-mails van mensen die zeggen: onze zorg zit in het feit dat we het met elkaar hebben over misbruik op korte termijn, maar je geboortedatum, woonplaats en bsn-nummer zijn gegevens die een leven lang mee kunnen gaan. Wat kan de overheid preventief doen, of hoe kan zij anticiperen? Ik heb dat in het debat gevraagd, omdat ik die vraag ook van mensen krijg. Daarom herhaal ik hem: als mensen aanleiding hebben om te denken dat er iets mis is, kunnen zij dan een nieuwe bsn-nummer krijgen? Ik wil heel graag dat er ook over preventieve maatregelen wordt nagedacht. Het is niet niks wat hier is gebeurd.

Minister Dekker:
Dat laatste ben ik helemaal met mevrouw Van der Graaf eens. Ik weet dat BZK bijzonder terughoudend is als het gaat om nieuwe bsn-nummers, omdat dit een enorme doorwerking heeft in allerlei systemen. Je bsn-nummer is eigenlijk het nummer waar heel veel dingen samenkomen. Denk bijvoorbeeld aan je zorgdossier in het ziekenhuis. Denk aan belastingen. Ik zeg niet dat er geen uitzonderlijke gevallen zijn waarin je het toch zou moeten doen, maar als je overgaat naar een nieuw bsn-nummer, heeft dat ongelooflijke consequenties. Vandaar die terughoudendheid.

Mevrouw Van der Graaf (ChristenUnie):
Dit onderstreept precies de zorg die mensen hebben. Het is spot-on dat we het hierover hebben in zo'n debat, maar ik wil toch aan de regering vragen om eens na te denken over een pakket maatregelen. We weten dat die gegevens voor duizenden euro's verhandeld worden, juist omdat het interessant is dat er bsn-nummers bij zitten. Even een klein anekdotisch voorbeeldje: als ik een foto maak van mijn paspoort, kan ik er zo'n sjabloon over leggen waardoor mijn bsn-nummer niet bekend wordt als ik ergens ga logeren of als ik dat ergens moet delen. We schermen dat niet voor niets heel vaak af. Dus ik zou heel graag willen dat het kabinet daarover gaat nadenken. Wat zouden we preventief kunnen doen in het aller-, allerergste geval? We hopen niet dat dat gaat gebeuren, maar het kan wel.

Minister Dekker:
Ik ga daar graag het gesprek over aan met staatssecretaris Knops. Het nadenken moet nooit stilstaan. Ik wil niet mensen onterecht geruststellen, want ik zou tegen iedereen willen zeggen: blijf alsjeblieft alert, ook op andere plekken kunnen je gegevens worden vervreemd, los van wat hier is gebeurd. Maar bijvoorbeeld voor het openen van een bankrekening is een bsn-nummer nooit genoeg. Je moet je bsn-nummer opgeven, maar ook een aantal andere dingen. Bijvoorbeeld een kopie van een identiteitsbewijs waar ook een nummer aan gekoppeld is. Het zit hem vaak in de combinatie van dingen, voordat je in heel vergaande consequenties belandt.

De voorzitter:
Maar u gaat het met de staatssecretaris van Binnenlandse Zaken opnemen en de Kamer daarover informeren.

Minister Dekker:
Ja.

De voorzitter:
Heel goed. Dan wil ik u ontzettend bedanken voor uw antwoorden. We zijn nu toegekomen aan de tweede termijn van de zijde van de Kamer. Ik geef nu het woord aan de heer Verhoeven namens D66. Ik zie dat u moties heeft, ik zou daarmee beginnen.

De heer Verhoeven (D66):
Voorzitter, de moties dan.

De Kamer,

gehoord de beraadslaging,

overwegende dat een datalek in systemen met burgerservicenummers een ernstig risico op identiteitsfraude met zich meebrengt;

overwegende dat het burgerservicenummer (bsn) een belangrijk identificatiemiddel is dat ondanks de gevoelige en kwetsbare aard bij een groot aantal instanties moet worden afgegeven;

constaterende dat met een tijdelijk pseudoniem-bsn dat per instantie en transactie wordt gegenereerd, beter voldaan wordt aan het principe van dataminimalisatie en dit het risico op misbruik kan verkleinen;

verzoekt het kabinet om onderzoek te doen naar een tijdelijk bsn dat per transactie wordt gegenereerd,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Verhoeven, Kröger, Azarkan, Agema, Hijink, Van Esch en Kuiken.

Zij krijgt nr. 238 (27529).

De Kamer,

gehoord de beraadslaging,

constaterende dat de overheid structureel tekortschiet op AVG-dataveiligheidsprincipes zoals privacy by design, dataminimalisatie, doelbinding en technische en organisatorische voorzieningen, alsmede audits en kwaliteitsnormen;

overwegende dat een chief privacy officer op hoog niveau centraal erop kan toezien dat privacy en informatieveiligheid al bij het ontwerp en de uitrol van IT-systemen gewaarborgd worden;

overwegende dat de chief information officer bij de ontwikkeling van de CoronaMelder goede tegenspraak en privacykritiek heeft georganiseerd;

verzoekt het kabinet om te beginnen bij uitvoeringsorganisaties een chief privacy officer aan te stellen op hoog niveau,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Verhoeven, Kröger, Azarkan en Hijink. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 239 (27529).

De heer Verhoeven (D66):
Heel kort, voorzitter. De minister speelt topvoetbal, maar vorige week leek het alsof hij trimvoetbal speelde: hij gaf een aantal antwoorden aan de Kamer die echt niet klopten. Vandaag heeft hij een hoop daarvan rechtgezet, waarvoor dank. Het ondergeschoven kindje privacy is alsnog blootgelegd. Het is goed dat een aantal toezeggingen zijn gedaan op het gebied van exporteren, toegang en bijvoorbeeld ook de login. Mijn moties heb ik ingediend.

Tot slot vond ik de woorden van de minister voor Rechtsbescherming over de Autoriteit Persoonsgegevens een minister voor Rechtsbescherming onwaardig en zeer teleurstellend.

Voorzitter, dank u wel.

De voorzitter:
Dank u wel, meneer Verhoeven. Dan geef ik nu het woord aan de heer Hijink namens de SP.

De heer Hijink (SP):
Dank, voorzitter. Ik ben blij dat minister De Jonge zijn fouten en ook zijn uitspraken van vorige week heeft rechtgezet. Dat was ook hard nodig, denk ik, want die uitspraken hebben het vertrouwen in het testbeleid niet versterkt. Dat kunnen wij ons niet veroorloven. Het is echt superbelangrijk dat mensen zich blijven laten testen en dat de privacy van mensen daarbij gewaarborgd wordt. Hun gegevens moeten altijd veilig zijn.

Voorzitter. Wat de Autoriteit Persoonsgegevens betreft sluit ik mij aan bij de woorden van de heer Verhoeven: wat de minister daarover zei, kan echt niet. Het goede nieuws is dat wij een breed gesteunde motie hebben om dat recht te zetten.

De Kamer,

gehoord de beraadslaging,

constaterende dat onafhankelijk onderzoek in opdracht van het ministerie van Justitie en Veiligheid heeft aangetoond dat de Autoriteit Persoonsgegevens (AP), om alle taken goed te kunnen uitvoeren, vanaf 2022 moet groeien van 184 fte naar 470 fte;

overwegende dat de AP op dit moment nog geen 0,2 fte tot haar beschikking heeft om actief op zoek te gaan naar mogelijke datalekken en dat zij de 27.000 datalekken die jaarlijks gemeld worden, moet onderzoeken met 2,9 fte;

verzoekt de regering het budget van de AP dusdanig te verhogen dat zij in staat wordt gesteld om aan het realistische groeipad te kunnen voldoen zoals dat is verwoord in het onafhankelijke KPMG-onderzoek dat in opdracht van het ministerie van Justitie en Veiligheid is opgesteld,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Hijink, Verhoeven, Van Esch, Kuiken, Agema, Azarkan, Van Brenk, Kröger en Van der Graaf.

Zij krijgt nr. 240 (27529).

Dank u wel. Dan geef ik nu het woord aan de heer Azarkan namens DENK.

De heer Azarkan (DENK):
Dank, voorzitter. Dank aan de bewindspersonen voor de beantwoording. Goed dat minister Hugo de Jonge heeft aangegeven onvoldoende te hebben gestuurd op de privacy, dat hij op enig moment ook zelf veel meer had moeten doorvragen en dat veel nadrukkelijker had moeten sturen op het nakomen van afspraken ten aanzien van beveiliging bij de GGD GHOR.

Voorzitter. Ik heb drie moties.

De Kamer,

gehoord de beraadslaging,

constaterende dat de minister onvoldoende oog heeft gehad voor de privacy van burgers;

verzoekt de minister bij samenwerking met andere partijen prioriteit te geven aan de bescherming van persoonsgegevens, zodanig dat deze voldoen aan ICT-beveiligingsstandaarden en wettelijke standaarden, waaronder de AVG,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Azarkan. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 241 (27529).

De Kamer,

gehoord de beraadslaging,

constaterende dat de lichaamsmaterialen van mensen bij een positieve testuitslag tot drie maanden bewaard kunnen worden en gebruikt kunnen worden voor onderzoek, en deze materialen tevens gedeeld kunnen worden met andere onderzoekers;

verzoekt de regering om te bewerkstelligen dat aan mensen vooraf toestemming wordt gevraagd of hun lichaamsmaterialen na een coronatest gebruikt mogen worden voor onderzoek en gedeeld mogen worden met derden,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Azarkan. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 242 (27529).

De Kamer,

gehoord de beraadslaging,

constaterende dat de minister tijdens het vragenuurtje op dinsdag 26 januari 2021 aantoonbaar de Kamer verkeerd heeft geïnformeerd;

verzoekt de minister voortaan eerst uit te zoeken hoe het echt zit en de juiste kennis op te doen en daarna pas de Kamer juist en volledig te informeren, zodat hij zichzelf niet achteraf hoeft te corrigeren,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Azarkan. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 243 (27529).

De heer Azarkan (DENK):
Ja, dat is een mooie, hè?

De voorzitter:
Nou, dat weet ik niet. Dank u wel, meneer Azarkan. Dan geef ik nu het woord aan mevrouw Van Brenk namens 50PLUS.

Mevrouw Van Brenk (50PLUS):
Voorzitter.

De Kamer,

gehoord de beraadslaging,

overwegende het feit dat criminelen misbruik kunnen maken van de gelekte gegevens, bijvoorbeeld door het afsluiten van leningen of telefoonabonnementen;

overwegende dat dit veel financiële en persoonlijke schade kan aanrichten;

van mening dat de overheid door de slechte ICT-inrichting, waardoor het voor criminelen kinderlijk eenvoudig was om persoonlijke gegevens van grote groepen mensen te verkrijgen, medeverantwoordelijk is te houden voor dit soort schade;

verzoekt de regering de GGD te ondersteunen om alles op alles te zetten om mogelijke schade voor onschuldige burgers te beperken, en de GGD bij te staan om de schade die aantoonbaar geleden is als gevolg van dit privacylek te vergoeden,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Van Brenk, Veldman, Kuiken, Azarkan en Van Esch.

Zij krijgt nr. 244 (27529).

Mevrouw Van Brenk (50PLUS):
Voorzitter. Het is van groot belang dat burgers vertrouwen houden in de GGD, de teststraten en het systeem. Het is van groot belang dat hun gegevens goed behandeld worden en dat daar voorzichtig mee om wordt gegaan. Daarom hoop ik dat de minister in de tweede termijn nog een keertje burgers kan oproepen om zich te laten testen als ze wat mankeren, want dat is van groot belang, en dat hij kan zeggen dat de gegevens veilig zijn.

Dank u wel.

De voorzitter:
Dank u wel, mevrouw Van Brenk. Dan geef ik nu het woord aan mevrouw Kröger namens GroenLinks. Gaat uw gang.

Mevrouw Kröger (GroenLinks):
Voorzitter. Hier stond vandaag een volstrekt andere minister dan afgelopen week bij het vragenuurtje. We hebben erkenning gezien voor wat er fout is gegaan en voor het gebrek aan prioriteit voor privacy. Het is van groot belang dat in een pandemie, waarin de registratie van data zo'n belangrijke rol speelt — dat doet het — écht op orde is. Daarom de volgende motie.

De Kamer,

gehoord de beraadslaging,

overwegende dat tekortkomingen in de digitale systemen van de GGD aan de basis liggen van een omvangrijk lek van gevoelige persoonsgegevens;

overwegende dat privacy by design wel was meegegeven als uitgangspunt aan de ontwikkelaar van het digitale systeem CoronIT, maar dat dit niet heeft geresulteerd in een systeem dat ook echt voldoet aan privacy-by-designnormen;

verzoekt de regering om een duidelijk pakket van eisen samen te stellen met betrekking tot privacy by design en opensourcetechnologie, dat publieke en semipublieke organisaties kunnen gebruiken bij aanbestedingen van hun digitale systemen om zo te borgen dat deze principes ook daadwerkelijk centraal komen te staan,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Kröger, Verhoeven, Kuiken, Hijink en Van Esch.

Zij krijgt nr. 245 (27529).

Mevrouw Kröger (GroenLinks):
Tot slot, voorzitter. Ik denk dat er veel ligt in hoe de relatie tussen VWS en de GGD's en tussen de GGD's onderling is vormgegeven. Ik vind het belangrijk dat dit wordt meegenomen in de audit en sluit mij aan bij de woorden die eerder gesproken zijn over de Autoriteit Persoonsgegevens.

De voorzitter:
Dank u wel, mevrouw Kröger. Dan geef ik nu het woord aan mevrouw Van Esch namens de Partij voor de Dieren.

Mevrouw Van Esch (PvdD):
Dank u, voorzitter. Ook de Partij voor de Dieren wil de minister bedanken voor de beantwoording van vandaag. Wij willen twee moties indienen. Ik zeg er meteen bij dat de moties alvast worden ingediend, maar voortborduren op informatie die is toegezegd. Ik kan me voorstellen dat de minister — ik kan het advies al bijna raden — zal vragen om ze aan te houden. Ik zeg al meteen toe dat ik daar misschien best bereid toe ben, maar ik wil ze vandaag toch alvast hebben ingediend.

De Kamer,

gehoord de beraadslaging,

constaterende dat de GGD GHOR op dit moment niet voldoet aan NEN 7510, de staande norm voor informatiebeveiliging in de zorg;

constaterende dat de zorgsector al jarenlang de sector is met de meeste datalekken en ICT-systemen structureel niet op orde blijken;

verzoekt de regering de NEN-normen die betrekking hebben op de ICT in de zorg extern te laten herzien om de privacy en informatiebeveiliging structureel te verbeteren,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Van Esch. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 246 (27529).

De Kamer,

gehoord de beraadslaging,

constaterende dat sinds 8 april 2020 de corona-opt-in is ingesteld waardoor medische gegevens van 8 miljoen mensen die nooit toestemming hebben gegeven voor inzage in hun dossier, nu fysiek kunnen worden ingezien door medewerkers van de spoedeisende hulp, huisartsenposten en apotheken;

constaterende dat het GGD-datalek aantoont dat een grote hoeveelheid dossiers in combinatie met een grote hoeveelheid medewerkers die daarin inzage hebben, een kwetsbaarheid vormt;

van mening dat er begrip is op te brengen voor de invoering van de corona-opt-in in tijden van de eerste coronagolf in april, maar we nu elf maanden later zijn en er dus voldoende tijd is geweest om een privacyvriendelijk alternatief te organiseren;

verzoekt de regering de corona-opt-in te vervangen of te schrappen zodat de fysieke inzage van medische dossiers zonder dat daarvoor formele toestemming verleend is, niet langer mogelijk is,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Van Esch. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 247 (27529).

Dank u wel. Dan geef ik nu het woord aan mevrouw Kuiken namens de PvdA.

Mevrouw Kuiken (PvdA):
Voorzitter. De minister heeft ruiterlijk toegegeven dat er te veel aandacht is gegaan naar de opschaling en de snelheid, en er te weinig is gelet op de persoonsgegevens en de bescherming van de privacy van mensen. Een aantal onzuiverheden uit het vorige debat zijn dan ook weggenomen. Dat is belangrijk, denk ik. Gelijktijdig blijven er wel zorgen over de wijze waarop de systemen nu worden aangepast. Dat zal echt nog de nodige aandacht, tijd en energie vergen.

Het blijft ook een gegeven dat het takenpakket en het bordje van de minister vol blijven. Morgen volgt het coronadebat, dan gaat het natuurlijk weer over de vaccinatiestrategie, de cijfers, de maatregelen die nu worden genomen. Dat maakt dat ik wel enige zorgen houd.

Voorzitter. Ik wil afsluiten met te zeggen dat de kritiek zich natuurlijk niet richt op de individuele GGD-medewerkers. De meeste mensen zijn gewoon bezig in ons aller gezamenlijke belang. Maar laten we de beloning niet alleen uiten in woorden maar ook in daden. Dat maakt dat ik nog de volgende motie heb.

De Kamer,

gehoord de beraadslaging,

constaterende dat door de GGD ingehuurde callcentermedewerkers een lager loon verdienen en geen pensioen opbowen;

overwegende dat de overheid het goede voorbeeld moet geven;

verzoekt de regering de ingehuurde callcentersmedewerkers hetzelfde loon en een volwaardige pensioenopbouw te geven, net zoals hun collega's in dienst bij de GGD,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Kuiken en Hijink. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 248 (27529).

Dank u wel. Dan geef ik nu het woord aan de heer Veldman namens de VVD.

Komt u nog terug met die motie, mevrouw Kuiken?

Mevrouw Kuiken (PvdA):
Ja.

De voorzitter:
De heer Veldman.

De heer Veldman (VVD):
Dank u wel, voorzitter, en dank aan beide ministers voor de beantwoording van de vele vragen alsook voor de brief en de informatie van gisteren. Ik denk dat we met elkaar kunnen constateren dat privacy nadrukkelijker op het netvlies staat dan het de afgelopen tijd stond, en dat is goed.

Dit laat onverlet dat we ook aandacht moeten blijven houden voor datgene wat er is misgegaan en de eventuele schade die daaruit voortvloeit. Ik snap dat beide minister zeggen dat nu nog niet direct in beeld is wie er eventueel slachtoffer zijn van de gegevens die nu verhandeld zijn. Ik roep beide bewindspersonen wel op om er zorg voor te dragen dat we dit snel in beeld hebben.

Ik ben het eens met de minister voor Rechtsbescherming dat je niet zomaar een bankrekening kunt openen. Maar de informatie is geld waard, dus er kan wel degelijk iets mee gebeuren. En het zal je maar gebeuren dat je er over een tijdje bij een BKR-registratiecheck achter komt dat er ineens iemand een lening op jouw naam heeft afgesloten. Daarom roep ik het kabinet ook op om actief aan de slag te gaan daar waar er schade ontstaat voor mensen.

Daarom ook heb ik de motie van mevrouw Van Brenk mede ingediend, om er zo voor te zorgen dat daar waar de GGD moet acteren, het Rijk de GGD bijstaat in het zorgen voor het oplossen van de schade van mensen die door overheidsfalen, want zo mogen we het noemen, gekwetst worden.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan de heer Van der Staaij namens de SGP.

De heer Van der Staaij (SGP):
Mevrouw de voorzitter. Ik wil ook de bewindslieden danken voor de beantwoording. Het was goed om in het debat terug te blikken en dat verantwoording is afgelegd over wat er is misgegaan en waarom. Ook mijn fractie stelt vast dat er in vergelijking met het vragenuur, in de beantwoording toch wel een kwaliteitssprong is gemaakt. Dat is een goede zaak.

Voorzitter. Het tweede punt is van belang: het bijstaan van de slachtoffers en schade beperken. Ik steun ook diegenen die hebben gezegd dat er juist op dit punt, begrijpelijk in deze fase, nog wel een open eindje is: wat moet daar gebeuren, wat kan daar gebeuren, wat gaat daar gebeuren? Mevrouw Van Brenk heeft daar met een motie aandacht voor gevraagd. Wij steunen het van harte om daar heel alert op te blijven en mogelijke slachtoffers daarin bij te staan.

Het laatste punt: hoe kunnen we herhaling in de toekomst voorkomen en informatie beter beveiligen? Er zijn goede acties ingezet, gericht op het strakker sturen en beter borgen. Ook al snappen we hoe de inzet op snelle opschaling het juist mis heeft laten gaan in het verleden, laat dat nu een aansporing zijn in de toekomst om als die opschaling plaatsvindt, des te meer in te zetten op een goede beveiliging van informatie. Daar zullen we het kabinet aan houden.

Dank u wel, voorzitter.

De voorzitter:
Dank u wel. Dan geef ik nu het woord aan mevrouw Van der Graaf namens de ChristenUnie. Gaat uw gang.

Mevrouw Van der Graaf (ChristenUnie):
Voorzitter, dank u wel. Ik dank de minister van VWS voor hoe eerlijk en oprecht hij vandaag hier dit debat is aangegaan. Hij heeft verantwoording afgelegd over wat niet goed is gegaan en ook aangegeven op welke punten hij actie wil ondernemen. Het is goed dat de Kamer over zes weken al daarover wordt geïnformeerd, want ik denk dat het belangrijk is dat we hier de vinger aan de pols zullen houden.

Voorzitter. Het blijkt dat de omvang van het probleem van de datahandel nog niet helemaal in beeld is, wie slachtoffer zijn en wat er precies voor gegevens bij wie zijn terechtgekomen. Ik denk dat het belangrijk is dat we daar snel inzicht in krijgen. Ik zou graag willen dat als wij over zes weken geïnformeerd worden, we ook hiervan op de hoogte zullen worden gehouden.

Voorzitter. Mijn vraag is blijven liggen over de aansprakelijkheid die bij de GGD ligt. Op het moment dat iemand slachtoffer is van identiteitsfraude en de GGD daarvoor aansprakelijk stelt, zou de ChristenUnie de oproep aan het kabinet willen doen dat het Rijk de GGD's, die onder de lokale overheid vallen, daarin bijstaat. Dat lijkt ons van belang.

Voorzitter. Ik heb zojuist de motie over de Autoriteit Persoonsgegevens meeondertekend. Ook wij denken dat er een probleem is.

Voorzitter. Ik vind het belangrijk dat we de toezegging hebben gekregen dat er preventief wordt gekeken wat er voor de slachtoffers mogelijk is. Ik zie uit naar de informatie die de minister ons daarover zal laten toekomen.

Ik sluit af met één zin, want ik zit aan de tijd, zie ik.

De voorzitter:
Ja, allang.

Mevrouw Van der Graaf (ChristenUnie):
Nou, ik heb niet zo heel veel geïnterrumpeerd volgens mij.

De voorzitter:
Het geeft niet.

Mevrouw Van der Graaf (ChristenUnie):
Dus ik neem even de ruimte.

Voorzitter. Ik denk dat het goed is dat we dit debat hebben gevoerd. We weten dat onze overheid nog lang niet AVG-proof opereert, bijvoorbeeld de Belastingdienst pas in 2024. Het debat laat zien dat het belangrijk is dat we het met elkaar hierover hebben. In de Kamer is ook een advies gegeven om daar in de nieuwe periode een nieuwe Kamercommissie voor op te richten. Maar het vraagt ook iets van het kabinet. Volgens mij hadden we hier vandaag met ten minste vier bewindslieden over kunnen spreken ...

De voorzitter:
Dank u wel.

Mevrouw Van der Graaf (ChristenUnie):
Ik denk dat hier een opdracht ligt.

De voorzitter:
Dank u wel, mevrouw Van der Graaf. Dan geef ik nu het woord aan mevrouw Agema namens de PVV.

Mevrouw Agema (PVV):
Dank u wel, voorzitter. Tijdens het vragenuur vorige week en ook in dit debat heb ik namens mijn fractie aangegeven dat het werken met een bsn-nummer en zoveel persoonsgegevens voor het afnemen van zoiets eenvoudigs als een coronatest voor ons te ver gaat. Wij vinden dat er gebruikgemaakt moet worden van een tijdelijke code. Daarom heb ik ook de motie van de heer Verhoeven meegetekend.

De minister is bij het nieuwe testbeleid van plan om het testen nog heel veel verder op te schalen, ook om de samenleving verder te kunnen openen. Wij vinden dat er een systeem zou moeten zijn meer naar analogie van de alcoholcontroles, waarbij een negatieve test sowieso niet zorgt voor de start van een behandelrelatie. Die zou er alleen moeten zijn bij een positieve test. Alle negatieve testen zouden direct tot verwijdering van alle gegevens moeten leiden. Daar heb ik het over gehad met de minister. Ik begrijp van hem dat hij daar binnenkort op terugkomt in een brief. Daarom heb ik daar geen motie over meegenomen.

Ik heb wel een motie meegenomen over de twee volgende onderwerpen.

De Kamer,

gehoord de beraadslaging,

constaterende dat veel mensen zich zorgen maken over hun gegevens in de coronasystemen bij de GGD nu er een omvangrijk datalek is geconstateerd;

verzoekt de regering te bewerkstelligen dat persoonlijke gegevens in de coronasystemen bij de GGD op verzoek snel verwijderd kunnen worden,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Agema. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 249 (27529).

De Kamer,

gehoord de beraadslaging,

van mening dat het datalek bij de GGD terecht voor de nodige zorgen, onrust en wantrouwen heeft gezorgd bij de bevolking;

overwegende dat de Fraudehelpdesk aangeeft dat zich reeds 40 personen hebben gemeld inzake het datalek voor het GGD-testbeleid;

verzoekt de regering met een actieplan Voorkom en Herstel Dataschade Testbeleid te komen,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Agema. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 250 (27529).

Dank u wel. Dan geef ik nu het woord aan mevrouw Van den Berg namens het CDA.

Mevrouw Van den Berg (CDA):
Dank u wel, voorzitter. Op de eerste plaats dank aan met name minister De Jonge voor de brief, de antwoorden op alle vragen en de beantwoording vandaag van alle vragen.

Ook dank voor de toezegging dat naar de cultuur gekeken zal worden en dat dat meegenomen wordt in de audit. Dank dat de minister nog terugkomt op de vraag wanneer de organisatie van de GGD zelf voldoet aan de NEN-normen. In dat kader de volgende motie, die hopelijk een eerste stap is.

De Kamer,

gehoord de beraadslaging,

overwegende dat het datalek bij de GGD laat zien dat de GGD GHOR zijn ICT-beleid niet op orde heeft;

constaterende dat de inrichting van de ICT van de GGD primair een verantwoordelijkheid is van de 25 GGD'en;

constaterende dat er geen centraal geleide ICT-aanpak bij de GGD'en blijkt te zijn;

overwegende dat de ontwikkeling en het gebruik van de coronagerelateerde computerprogramma's onder de verantwoordelijkheid van de GGD GHOR vallen;

van mening dat het bestuur van de GGD GHOR zelf effectief regie moet kunnen pakken op het gebruik en de ontwikkeling van de systemen en dat daarvoor degelijke expertise nodig is;

verzoekt de regering te bevorderen dat zo spoedig mogelijk bij de GGD GHOR een chief information officer aangesteld wordt,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Van den Berg, Van Dam, Veldman en Kuiken. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 251 (27529).

Dank u wel. Ik heb hier de heer Baudet op mijn lijst. Nee? Hoeveel moties zijn er intussen? Veertien moties zijn er ingediend. Ik kijk even naar de minister. Vijf minuten schorsen?

Minister De Jonge:
Twaalf.

De voorzitter:
Er wordt altijd onderhandeld. Ik schors tot 16.50 uur, sorry, tot 16.55 uur; laat ik het zo afspreken, want wij hebben aansluitend nog een ander debat.

Minister De Jonge:
Ja.

De vergadering wordt van 16.47 uur tot 16.58 uur geschorst.

De voorzitter:
Ik geef de minister van VWS het woord.

Minister De Jonge:
Dank u wel, voorzitter. Ik doe eerst de moties en daarna heb ik nog een aantal antwoorden op vragen waar ik op zou terugkomen in de tweede termijn.

Allereerst de motie-Azarkan op stuk nr. 242. Die verzoekt de regering om te bewerkstelligen dat aan mensen vooraf toestemming wordt gevraagd of hun lichaamsmaterialen na een coronatest gebruikt mogen worden voor onderzoek en gedeeld mogen worden met derden. Die motie ga ik ontraden, onder verwijzing naar eerdere uitspraken daarover in eerdere coronadebatten.

Dan de motie-Azarkan op stuk nr. 243. Die ga ik ontraden, omdat de constatering geen recht doet aan het debat dat we hebben gehad. Er wordt geconstateerd dat ik de Kamer verkeerd heb geïnformeerd, maar ik had dingen anders en beter moeten zeggen. Dat is iets anders dan onjuist informeren. Vervolgens staat in het dictum niet meer dan datgene wat al in de Grondwet staat, namelijk dat ik de Kamer goed moet informeren. Dat doe ik uiteraard. Als ik dat onverhoopt niet goed genoeg heb gedaan, dan kom ik daar altijd graag op terug.

Dan de motie-Van Brenk c.s. op stuk nr. 244. Ik laat het oordeel graag aan de Kamer.

De motie-Van Esch op stuk nr. 246 gaat over de NEN-normen. Die ga ik ontraden, want die vraagt om de NEN-normen te herzien. Dat is niet aan het kabinet. De NEN herziet zijn eigen normen, dus daar ga ik niet over. Overigens zullen 7510 en 7512 op korte termijn worden herzien, omdat de NEN-normen eens in de vijf jaar herzien worden.

Dan de motie-Van Esch op stuk nr. 247 over het vervangen of schrappen van de corona-opt-in. Die motie ga ik ontraden, onder verwijzing naar eerdere debatten.

De motie op stuk nr. 248 gaat over het loon van callcentermedewerkers.

De voorzitter:
Die is van mevrouw Kuiken en de heer Hijink. Bedoelt u die?

Minister De Jonge:
Ja, die bedoel ik inderdaad.

De voorzitter:
Dan ga ik eerst naar mevrouw Van Esch. Heel kort en alleen als u iets wilt aanhouden of intrekken, of als het gaat om een kleine wijziging.

Mevrouw Van Esch (PvdD):
Ik snap het antwoord niet. De minister gaf net aan dat hij terug zou komen op de NEN-normen, omdat hij de antwoorden niet kon geven. Toen zei ik: dan dien ik alvast een motie in, maar ik snap dat ik die moet aanhouden omdat de antwoorden nog komen. Maar nu wordt die motie ontraden.

Hetzelfde geldt voor de motie op stuk nr. 247. U gaf aan: daar komt minister Van Ark binnenkort op terug. Toen zei ik: oké, dan dien ik een motie in, maar dan zal ik die alvast aanhouden totdat dat debat er is. Maar nu wordt die toch ontraden, dus ik snap het niet meer. Want volgens mij willen beide ...

De voorzitter:
Daarom gaf ik u het woord, want ik voelde dit al aankomen.

Minister De Jonge:
Dan gaan we eerst even terug naar de motie op stuk nr. 246 ...

De voorzitter:
En op stuk nr. 247. Allebei.

Minister De Jonge:
Daarin staat een verzoek aan de regering om de NEN-normen te herzien, maar dat is niet aan de regering. Dus die kan ik sowieso ontraden. Vervolgens heb ik mevrouw Van Esch toegezegd om in te gaan op de NEN-normen, voor wie die gelden, op welke wijze die worden herzien et cetera. Daar kom ik nog steeds schriftelijk op terug, dus die toezegging blijft staan. Alleen, de motie ontraad ik om een andere reden, namelijk omdat het geen opdracht aan de regering kan zijn om een NEN-norm te herzien. Dat is een.

Twee. Wat betreft het vervangen of schrappen van de corona-opt-in: ik heb gezegd dat het verstandig is om het debat te vervolgen op het moment dat de AMvB er ligt. Maar deze motie verzoekt de regering om de corona-opt-in te vervangen of te schrappen. Ik weet dat collega Van Ark de corona-opt-in in een AMvB wil vastleggen en die voor wil leggen aan de Kamer. Op dit moment ligt die voor bij de AP.

De voorzitter:
Goed, maar misschien ...

Minister De Jonge:
De motie vraagt nu aan het kabinet om die te schrappen. Ik weet sowieso dat ik de motie kan ontraden, want collega Van Ark wil dat ding juist houden.

De voorzitter:
Ja, maar het staat mevrouw Van Esch vrij om die moties eventueel aan te houden.

Minister De Jonge:
Dat kan altijd.

De voorzitter:
Daar heeft zij tot volgende week dinsdag de tijd voor. U was begonnen met de motie op stuk nr. 248 van mevrouw Kuiken en de heer Hijink. Weet u dat nog?

Minister De Jonge:
Ja. De motie op stuk nr. 248 van mevrouw Kuiken en de heer Hijink ga ik ontraden, omdat dit een opdracht is aan het kabinet, terwijl dit om medewerkers gaat die door de GGD zijn ingehuurd. Daar kan ik niet in treden. Dat is echt aan de sociale partners.

De motie-Agema op stuk nr. 249 geef ik oordeel Kamer. Die verzoekt de regering te bewerkstelligen dat persoonlijke gegevens in de coronasystemen bij de GGD op verzoek snel verwijderd kunnen worden. Dat is gewoon de wet, dus die motie kan oordeel Kamer krijgen. Mevrouw Kuiken heeft gevraagd: klopt het dat er signalen zijn dat dat niet zo soepel gaat? Die signalen moet ik sowieso nog uitzoeken. Deze motie krijgt dus oordeel Kamer, maar de signalen moet ik nog uitzoeken en daar kom ik schriftelijk op terug.

Dan een actieplan. U weet dat ik daar dol op ben, maar ik denk dat een actieplan Voorkom en herstel dataschade testbeleid niet nodig is. Dat is de motie op stuk nr. 250 van mevrouw Agema. Laten we nou eerst kijken wat de omvang is en laten we, als helder is wat de omvang is, kijken hoe het zit met de aansprakelijkheid en de daadwerkelijke schade. Daarna zal ik ook, conform de motie-Van Brenk, de GGD ondersteunen bij het nakomen van de verplichtingen ten aanzien van de aansprakelijkheid om de slachtoffers te helpen. Dat ga ik sowieso doen, maar daar heb ik dit actieplan niet voor nodig. Deze motie ga ik dus ontraden.

Dan de motie op stuk nr. 251 van mevrouw Van den Berg c.s. over een CIO bij de GGD GHOR. Ik hecht eraan te onderstrepen dat het aan de GGD GHOR is om een CIO aan te nemen. Dat staat er ook, namelijk: "te bevorderen". Ik kan het oordeel dus aan de Kamer laten.

Dan een aantal vragen die ik nog zou beantwoorden. De eerste en misschien belangrijkste vraag gaat over de openbaarmaking van de risicoanalyse en van het assessment van KPMG. Ten aanzien van de risicoanalyse heb ik aangegeven dat op dit moment het NCC openbaarmaking ontraadt. Dat zou namelijk een nadelig effect kunnen hebben op de veiligheid van systemen. De analyse heeft nou juist die punten op het oog die in de komende weken verbeterd zullen worden. Dus ik zou met de Kamer willen afspreken dat ik de analyse in vertrouwelijkheid met haar zal delen. Zodoende kan de analyse ook onderdeel zijn van de informatievoorziening aan de Kamer. Maar het besluit over openbaarmaking schort ik op tot de audit over een week of zes, waaruit zal moeten blijken of het in afdoende mate is gelukt om zaken te dichten die worden gesignaleerd en worden aangepakt in het verbeterplan. Na ommekomst van de audit, waarbij ik deze vraag zou willen meenemen, wil ik bezien welke delen openbaar gemaakt kunnen worden. De intentie is: zo veel mogelijk, tenzij dat veiligheidstechnisch niet verantwoord is.

Dat ten aanzien van de risicoanalyse. Ten aanzien van het assessment van KPMG geldt iets anders. Dat is niet ons assessment, maar dat is van de GGD. Ik zal dus met de GGD in overleg gaan of ik daar iets vergelijkbaars mee zou kunnen doen of dat daar een andere afspraak voor moet gelden. Maar dat is niet míjn assessment, niet míjn rapport, dat is van de GGD. Kortom, dat gesprek moet ik echt eerst voeren ten aanzien van de risicoanalyse, zoals ik zojuist heb gezegd.

Dan de exportfunctie. Dat betreft Den Haag en Fryslân. Alleen mensen met de rol van administrator hebben nog toegang tot de exportfunctie. De GGD'en bepalen wie de rol van administrator krijgt. Dat gaat om IZB-artsen, IZB-verpleegkundigen, werkverdelers en enkele specialistische functies. In Haaglanden gaat het om zeven personen. In Fryslân gaat het om een mij nu onbekend aantal personen. Echter, de heer Verhoeven heeft deze signalen niet voor niets gekregen. Daar kan het zijn dat er toch nog steeds ook op een andere wijze een mogelijkheid zou kunnen zijn om toegang te kunnen krijgen tot die exportfunctie. Dat moet natuurlijk meteen worden uitgeschakeld. Ik moet er iets meer tijd voor nemen om dat heel precies te weten. Ik zal de heer Verhoeven laten weten, ik zal uw Kamer laten weten op welke wijze dat is dichtgezet.

Dat brengt mij bij iets anders. En ik doe dat even heel precies, om te voorkomen dat ik dingen moet herstellen op een later moment. Ik wil even terugkomen op een debatje dat ik had met de heer Verhoeven over welke maatregelen per 4 februari zijn verwerkt. De heer Verhoeven vatte mijn bijdrage namelijk samen, en daar mag geen misverstand over bestaan in een later stadium. Ik zet dus even op een rij wat er per morgen gaat gebeuren of is gebeurd. Per 4 februari is het voor GGD-medewerkers van callcenters niet meer mogelijk om van grote hoeveelheden mensen persoonsgegevens te zien. Twee. De zoekfunctie wordt aangepast, waardoor een combinatie van persoonsgegevens nodig is om überhaupt een dossier in te kunnen zien. Het aantal mensen waarvan de gegevens kunnen worden ingezien, wordt sterk beperkt. Daarnaast controleert de GGD dagelijks de login, maar dat doen ze ook nu al. Dat blijft zo, totdat de automatische controle op de login is geïmplementeerd.

Voorzitter. Daarmee denk ik antwoord te hebben gegeven op de vragen waarop ik in tweede termijn zou terugkomen. Ik heb nog een aantal vragen waarop ik later schriftelijk terugkom, zoals de vraag van mevrouw Van Brenk over de soa's. Ik zal daar in een van de coronabrieven op terugkomen.

De voorzitter:
Prima. Dank u wel. Dan wachten we heel even voordat de minister voor Rechtsbescherming het woord krijgt.

Het woord is aan de minister voor Rechtsbescherming.

Minister Dekker:
Voorzitter. Een paar moties nog van mijn kant.

Eerst de motie op stuk nr. 238. Ik hecht eraan om aan te geven dat dat ligt op het terrein van BZK. De vraag die erin besloten ligt, lijkt mij vrij ingewikkeld. Maar er wordt gevraagd om een onderzoek, en dat kan altijd, denk ik. Daarom oordeel Kamer.

Voorzitter. Dan de motie op stuk nr. 239. Die vraagt om een chief privacy officer bij alle uitvoeringsorganisaties. Die ontraad ik. De wet geeft al aan dat het verplicht is voor overheidsorganisaties om een functionaris voor gegevensbescherming te hebben. Dat hangt een beetje van de uitvoeringsorganisatie af. Ik weet dat de grote uitvoeringsorganisaties vaak al chief information officers hebben. Om daar dan nog weer een chief privacy officer naast te zetten, vind ik dan ook weer wat. Ik zou deze dus willen ontraden.

De voorzitter:
Heel kort over de motie, meneer Verhoeven.

De heer Verhoeven (D66):
Ik laat de motie gewoon in stemming brengen. Het verschil tussen een functionaris gegevensbescherming uit de AVG en een chief privacy officer zoals ik het bedoel in deze motie is echt best wel groot. Die chief privacy officer moet echt een counterpart zijn van de CEO. De FG komt pas veel later in het proces.

De voorzitter:
Ik wil u ook vragen om al die Engelse termen gewoon in het Nederlands te vertalen. Wij hebben vast wel een mooi alternatief. "Bevoegd chef privacy", dat is goed. De minister.

Minister Dekker:
Ik ken het verschil, maar ik zie dat in de boards van bijvoorbeeld het UWV vaak al een chief information officer zit, die volgens mij al grotendeels doet wat u wilt. Om daar nog weer een aparte chief privacy officer naast te zetten, is overbodig, denk ik.

De voorzitter:
Dat heeft u gezegd.

Minister Dekker:
Voorzitter. Dan de motie op stuk nr. 240. Ik kan natuurlijk vragen om die aan te houden tot de volgende begrotingsronde, want dat is eigenlijk de plek waar je deze discussies hebt over meer budget voor een organisatie. De afgelopen jaren is er steeds meer geld naar de AP gegaan. Ik heb ook richting uw Kamer aangegeven dat we bij de volgende begrotingsronde weer zullen kijken wat er nodig is. Maar als deze motie in stemming wordt gebracht, moet ik haar in deze vorm zeker ontraden.

Voorzitter. De motie op stuk nr. 241 is overbodig, want dit is eigenlijk wat de wet al voorschrijft. Die ontraad ik dus.

Tot slot de motie op stuk nr. 245. Ik ben niet in staat geweest om dat in tien minuten schorsing te checken bij mijn collega van BZK. Dit ligt echt op het terrein van de staatssecretaris. Het gaat namelijk over de aanbesteding van digitale systemen. Ik hoop dat u bereid bent om haar aan te houden. Dan kan ik vragen of hij zo snel mogelijk door middel van een brief reageert op deze motie.

De voorzitter:
Prima. Dan kijk ik naar mevrouw Kröger.

Mevrouw Kröger (GroenLinks):
Daar ben ik uiteraard toe bereid. Dan krijg ik heel graag dat oordeel vóór de stemming van dinsdag.

Minister Dekker:
Ik denk dat dat moet lukken. Als dat niet lukt, kunt u de motie wellicht op donderdag in stemming brengen. Maar ik ga mijn best doen.

De voorzitter:
U houdt de motie dus aan? We gaan dinsdag stemmen, dus u kunt haar alsnog dinsdag aanhouden. Dat is ook prima.

Dank u wel. Daarmee zijn we aan het einde gekomen van dit debat. Ik dank natuurlijk de woordvoerders, maar ook de minister van VWS en de minister voor Rechtsbescherming.

De beraadslaging wordt gesloten.

De voorzitter:
Over de ingediende moties zullen we volgende week dinsdag stemmen.

De vergadering wordt enkele ogenblikken geschorst.

Wet maximering huurprijsverhogingen geliberaliseerde huurovereenkomsten

Wet maximering huurprijsverhogingen geliberaliseerde huurovereenkomsten

Aan de orde is de voortzetting van de behandeling van:

  • het Voorstel van wet van het lid Nijboer tot wijziging van Boek 7 van het Burgerlijk Wetboek en de Uitvoeringswet huurprijzen woonruimte (Wet maximering huurprijsverhogingen geliberaliseerde huurovereenkomsten) (35488).

(Zie vergadering van 27 januari 2021.)

De voorzitter:
Aan de orde is de behandeling van het Voorstel van wet van het lid Nijboer over de wijziging van Boek 7 van het Burgerlijk Wetboek en de Uitvoeringswet huurprijzen woonruimte, Kamerstuk 35488. Ik heet natuurlijk de initiatiefnemer, de heer Nijboer, van harte welkom. Hij wordt in vak-K ondersteund door twee medewerkers van de fractie van de PvdA, namelijk de heer Ravensbergen en de heer Gouvernante. U bent ook van harte welkom. Tevens heet ik de minister van Binnenlandse Zaken en Koninkrijksrelaties van harte welkom. Zij zal bij de behandeling van dit wetsvoorstel optreden als adviseur van de Kamer. Vorige week vond de eerste termijn van de zijde van de Kamer plaats. Vandaag zijn aan de orde de beantwoording in eerste termijn en de gehele tweede termijn.

De algemene beraadslaging wordt hervat.

De voorzitter:
Dan geef ik nu het woord aan de heer Nijboer als initiatiefnemer.

De heer Nijboer (PvdA):
Dank u wel, voorzitter. Ik zal eerst uiteenzetten hoe ik een beetje bedacht had de vragen van uw Kamer te beantwoorden. Mevrouw Beckerman zegt al "blokjes". Ik vermeed het woord, maar zo werkt het toch het beste, denk ik. Allereerst een inleiding op de wet. Daarbij wou ik dan gelijk maar de grote fundamentele vragen langslopen, die eigenlijk van links tot rechts in de Kamer zijn gesteld over hoe je de wet positioneert in alle dingen die nodig zijn om de woningnood in Nederland te ledigen. Dan wil ik daarna ingaan op het tweede kritiekpunt dat in de Kamer is geuit, namelijk wat het betekent voor investeringen in betaalbare woningen en nieuwe investeringen in middenhuur. Daarna wil ik ingaan op de hoogte, de huur plus inflatie, van het voorstel, de rol van de Huurcommissie, de evaluatie, de termijn van de wet en de investeringen in verduurzaming. Volgens mij heb ik dan de punten gehad die de Kamer van verschillende kanten naar voren heeft gebracht.

Voorzitter. Allereerst ga ik in op de achtergrondgedachte en de inleiding van de wet. Een jaar of twee geleden kreeg ik steeds meer mails van mensen die zeiden dat ze een huurcontract hadden getekend en in september of oktober een brief van hun verkeerder kregen waarin stond dat de huur met €50, €100, €150 en soms €200 of meer in de maand omhoog zou gaan. Ze vroegen zich af of dat gewoon mag in Nederland en of dat gewoon kan. Het antwoord daarop was: ja, dat mag gewoon. De huurprijsbescherming in de vrije sector is volledig afwezig. Dat betekent dat je als huurder op dit moment, als je een slechte verhuurder treft, geen kant op kan. Je kunt namelijk óf €100 of €200 in de maand meer betalen, óf wat anders zoeken, maar die woning is er niet en dan betaal je ook veel meer. Dan zit je helemaal vast. Zeker als dat jaar op jaar gebeurt, is er gewoon sprake van een misstand, en van misbruik van de woningnood die er is in Nederland. Dat bracht mij op het idee om eerst een motie in te dienen om te onderzoeken of dit zou kunnen, en vervolgens ook dit initiatiefwetsvoorstel bij uw Kamer in te dienen, om dat gedrag aan banden te leggen.

Hoeveel mensen treft dit dan? Dat is natuurlijk altijd moeilijk in te schatten. Er zijn ruim 3 miljoen huurwoningen in Nederland en deze wet geldt voor al die woningen, maar corporaties gaan natuurlijk geen torenhoge huurverhogingen doorvoeren. Er zijn ook heel veel private verhuurders die nette huurverhogingen doorvoeren. Maar vorig jaar werden hier toch naar schatting 87.000 mensen door getroffen. De heer Kops haalde dat ook aan in zijn inbreng. Dat is best fors. En dat legt deze wet aan banden.

Dan de hamvraag, voorzitter, die ook de Raad van State voorlegt en die eigenlijk Kamerbreed is ingebracht vanuit verschillende perspectieven: lost dit nu alle problemen op de woningmarkt op? Dat is natuurlijk niet zo. Als u het dus aan mij vraagt, moet er veel meer geïnvesteerd worden in betaalbare huurwoningen, moet de verhuurderheffing worden afgeschaft, moet er geïnvesteerd worden in krimpgebieden en in de leefbaarheid van gebieden, moet er veel meer voor middeninkomens worden gebouwd, ook door corporaties, en moeten aanvangshuren worden gereguleerd. Met GroenLinks en overigens ook met de SP ben ik het eens dat we het puntenstelsel moeten doortrekken en dat dat nog meer zoden aan de dijk zou zetten. Dat is ook een hele fundamentele herziening. Mensen die het woningwaarderingsstelsel overtreden, moeten ook beboet worden. Er moet een huisjesmelkersboete worden ingevoerd. Beleggers moeten meer belast worden en we moeten een prins Bernhard-belasting invoeren. Er moet dus veel meer gebeuren; deze wet lost natuurlijk niet al die problemen op van het tekort aan honderdduizenden woningen in Nederland en van de betaalbaarheid voor huurders. Maar het lost wel een deel van de excessieve huurverhogingen op, en het is ook echt een fundamentele aanpassing van de huurbescherming in Nederland dat je die hele huursector nu beschermt tegen exorbitante huurstijgingen. Dat is de waarde van deze wet.

De tweede waarde van deze wet is dat de toegang tot de Huurcommissie ook voor de vrije sector beschikbaar komt. Dat is ook een fundamentele wijziging in de wet.

Voorzitter. Dit was het bredere perspectief, en ook het antwoord op de vraag van verschillende partijen hoe je deze wet kunt plaatsen binnen de situatie van woningnood die nu in Nederland gaande is.

Dan kom ik op eigenlijk het grootste kritiekpunt dat wat meer komt van de kant van de VVD, het CDA en de SGP. De heer Bisschop heeft zich overigens keurig bij mij afgemeld voorzitter. Die had andere verplichtingen. Maar ik probeer hem via deze beantwoording ook te overtuigen van het nut van deze wet. Het grote kritiekpunt van die partij, en zeker ook van de heer Bisschop, was dat hij zich afvroeg of de regulering van de huurprijzen door het hanteren van inflatie plus 1% de investeringen wellicht te veel remt. We hebben toch juist extra woningen nodig en daar heb je ook investeerders voor nodig. Doen die dat dan niet te weinig, was zijn vraag. Daar zou ik drie grote antwoorden op willen geven. Want alles afwegende, ben ik daar niet zo bang voor.

Het eerste is dat we natuurlijk alle bestaande huurcontracten hiermee beschermen. Alle bestaande huurders, dat zijn er meer dan 3 miljoen in Nederland, worden nu tegen excessieve huurstijgingen beschermd. Er moet vanzelfsprekend meer bijgebouwd worden. Maar zelfs als je de ambitieuze doelstelling van het kabinet — de wet geldt voor de komende drie jaar — zou omarmen, dan kun je 300.000 woningen bouwen: 100.000 per jaar, waarvan de helft bestaat uit koopwoningen en de andere helft uit huurwoningen, 50.000, waarvan minstens de helft gebouwd wordt door corporaties. Er worden drie miljoen extra woningen gebouwd, maar je zou maar op een relatief beperkt aandeel daarvan een rem kunnen zetten. In die grootten moet je dat denk ik ook wel zien.

Het tweede argument dat ik heb is dat zowel woningcorporaties als investeerders zeggen: die inflatie plus 1% is voor ons goed te doen. Je kunt natuurlijk altijd zeggen: had het niet inflatie of inflatie plus 1,5% moeten zijn? Verhuurders hebben bij de Kamer — dat heeft u ook allemaal ontvangen — eerst voorgesteld om inflatie plus 1,5% te doen. Maar in de drukst bevolkte woningmarktgebieden in Nederland, Utrecht en Amsterdam, hebben grote institutionele verhuurders afspraken gemaakt om de huren niet meer dan met inflatie plus 1% te laten stijgen. Dat is geen uitgangspunt dat uit de lucht gegrepen is en het is ook geen uitgangspunt dat voor grote beleggers niet werkbaar is. Van woningcorporaties kennen we dat natuurlijk. Daar reguleren we het ook zelf. Daar is het ook werkbaar voor. Dus voor verreweg de bulk van de nieuwbouw van woningen kun je niet zeggen: daar zit een enorme rem op. Want de investeerders zelf zeggen dat ze hier goed mee uit de voeten kunnen.

Voor het derde argument zou ik ook een beetje over de grens willen kijken. Kijk naar wat er in Duitsland gebeurt. Duitsland is nou niet een land waar de mensen hier helemaal gek van opkijken. In Berlijn worden bijvoorbeeld op dit moment de huren fors verlaagd, met tientallen procenten, vanwege de betaalbaarheid. Ik heb daar praktijkvoorbeelden van gezien. En kijk dan eens wat mensen nu in Nederland kwijt zijn aan huur: 40% van het inkomen in de vrije sector. Dat geldt voor twee vijfde van de mensen. Bij een vijfde van de mensen gaat meer dan 50% van het netto-inkomen naar woonlasten. Dan is er wel reden om in te grijpen. In Oostenrijk is dat gebruikelijk. Elk land heeft zijn eigen systeem. In Frankrijk is dat ook het gebruik. In België is het weer anders. Maar in Nederland is het eigenlijk helemaal ongereguleerd. Er is veel voor te zeggen om daar wat aan te doen, want het is ook niet zo dat er in andere landen geen investeerder meer opstaat. Dat zou ik in antwoord op de zorgen willen zeggen. Ik begrijp die overigens wel, want we hebben investeringen nodig.

Voorzitter. Dan kom ik op de hoogte. Waar komt inflatie plus 1% vandaan? Daar zei ik zojuist ook al wat over. De minister had zich eerst voorgenomen om inflatie plus 2,5% te doen, maar dan kom je toch wel op huurverhogingen van boven de 5%. Dat zou het afgelopen jaar nog zijn geweest. Als je in de vrije sector voor €1.000 huurt, is dat €1.050 en het jaar daarop meer dan €1.100. Als je dat een paar jaar achter elkaar hebt, zit je zo op €1.200 tot €1.300. Dat vind ik gewoon veel te fors. En het is ook niet nodig. De beleggers zeggen zelf: inflatie plus 2,5% is ons haast te gortig! Zij hebben inflatie plus 1,5% voorgesteld. Ik ben een beetje scherper. Dat zult u ook begrijpen vanuit mijn partijpolitieke achtergrond. Ik zie dat ze in Amsterdam en Utrecht afspraken maken over inflatie plus 1% en ik denk dat dat redelijk is. In het evenwicht tussen niet alle investeerders verdrijven en wél zorgen dat huurders fatsoenlijk worden beschermd tegen excessieve huurstijgingen zijn we op dat voorstel uitgekomen. Dat heeft de minister ook omarmd.

Voorzitter. Dan kom ik op de vragen over de Huurcommissie. De heer Koerhuis had daar op zichzelf terechte vragen over. Hij vroeg: kan die Huurcommissie het aan? Ik deel die zorg. Er zijn overigens sowieso zorgen over de wachtlijsten bij de Huurcommissie en de manier waarop zaken tijdens corona lopen. Corona treft iedereen, dus daar heeft elke organisatie zich toe te verhouden. Maar wij hebben Kamerbreed zorgen over hoe het daar nu loopt. En dit komt er nog bij! Ik heb het ministerie van Binnenlandse Zaken bij de voorbereiding van deze wet gevraagd of dit mogelijk is en of het voor de Huurcommissie mogelijk is om dit fatsoenlijk te doen. Daar is bevestigend op geantwoord en ik vraag de minister dat zo meteen ook nog te doen. Het is natuurlijk wel nodig. Als je regulering instelt en als je huurprijsstijging reguleert, moeten mensen wel ergens terechtkunnen als de wet wordt overtreden. Of je het nou eens bent met de wet of niet, hij zal wel gehandhaafd moeten worden. De Huurcommissie is op zichzelf daartoe wel in staat, zowel in de sociale huur als in de private huur.

Dan kun je best de vraag opwerpen — die opvatting heb ik ook — of je moet beboeten als je die wet overtreedt. Ik zou daar voorstander van zijn, maar dat wordt in deze wet niet geregeld. Het is meer een vraag hoe je met de Huurcommissie omgaat en hoe je met huisjesmelkers omgaat. Moet er bijvoorbeeld een huisjesmelkersboete komen? Dit zijn allemaal terechte vragen, maar die zaken worden niet in deze wet geregeld. Ik zou er een groot voorstander van zijn als dat initiatief zou worden genomen.

Mevrouw Van Eijs heeft vragen gesteld over de renovatie en hoe dat nou wordt geregeld. We hadden eerst voorgesteld de minister dat bij algemene maatregel van bestuur te laten opnemen. We hebben in de nota van wijzigingen opgenomen dat als je echt renoveert of substantiële verbeteringen aan de woning aanbrengt — je kunt daarbij denken aan een nieuwe keuken of nieuwe badkamer — je de huur meer mag verhogen dan de inflatie plus 1% als je dat beargumenteert en redelijk doet. We zijn aangesloten bij het stelsel zoals dat nu eigenlijk al bij de sociale huurwoningen geldt. Dat is een werkend stelsel. Dat kan nu ook. Daarvoor is de instemming van de huurder nodig.

De heer Koerhuis vroeg hoe dat in de praktijk zal gaan werken. Ik zie hem al instemmend knikken. We hebben met deze wet zo veel mogelijk bij bestaande situaties aan willen sluiten met de bestaande argumentatie van wanneer iets onder woningverbetering of verduurzaming valt en wat een redelijke prijs is. Hiervoor is een systematiek ontwikkeld en daarover kan de Huurcommissie ook een uitspraak doen, in het geval je het er niet mee eens bent. Die systematiek nemen we volledig over. Zo wordt het ook makkelijker voor de Huurcommissie om ook deze situaties te beoordelen, omdat het precies hetzelfde stelsel behelst.

Dat geldt ook — ik zie de heer Koerhuis al staan — voor de instemming. Die is nu ook nodig en bij grotere projecten heb je 70% meerderheid nodig. Dat geldt precies hetzelfde in deze wet. Daaraan hebben we met deze wet niks willen veranderen.

De heer Koerhuis (VVD):
Er zat de beantwoording van twee van mijn vragen in. In het antwoord op mijn eerste hoor ik een hoop wollige taal zoals "we nemen de bestaande praktijk over". Mijn vraag was heel specifiek: mag een huurverhoging altijd bij verduurzaming en geldt er geen randvoorwaarde zoals woonlastenneutraliteit? Of is het wat de verhuurder maar wil, als het aan de heer Nijboer ligt?

De heer Nijboer (PvdA):
Nee, er is instemming van de huurder nodig, of van 70% van de huurders bij een grotere renovatie. Het mag dus niet altijd.

De heer Koerhuis (VVD):
Ik hoor u 70% zeggen. We kennen de discussie over de gemeente Utrecht; daarover hebben we een hele discussie gevoerd hier in de Kamer. Die gemeente wilde met dwangsommen huurders dwingen om van het kookgas af te gaan. We hebben een motie aangenomen dat dat niet meer moet gebeuren. Nu hoor ik u 70% zeggen. Dus als 70% van een wijk van het kookgas af wil, zegt u dat het prima is dat aan die overige 30% van die wijk een dwangsom wordt opgelegd.

De heer Nijboer (PvdA):
Nee, en deze wet ziet daar helemaal niet op. Deze wet ziet op de regulering van huurprijsstijging. Daar ziet de wet op. Die mag maximaal inflatie plus 1% zijn. Dan kan het zo zijn dat een verhuurder investeert in de verbetering van de woning. Daaraan zijn voorwaarden verbonden zoals die nu ook gelden voor de sociale huursector en die heel redelijk werken. Je kunt discussie voeren over de vraag wat de juiste verdeling is. Mevrouw Beckerman kijkt er instemmend bij, maar er is een hele praktijk ontwikkeld, wat naar mijn oordeel een redelijke praktijk is. Je kunt er nog induiken of je dat met een aardgasvrije wijk of anderszins wilt vormgeven, maar dat vind ik wel echt een ander debat dan dat de heer Koerhuis erbij probeert te slepen. Dat is zijn goed recht, maar die zaken worden in deze wet niet geregeld.

De voorzitter:
Tot slot op deze punten, de heer Koerhuis.

De heer Koerhuis (VVD):
Nou ja, het heeft alles met die wet te maken. De heer Nijboer zegt in zijn wet: als 70% akkoord is, heeft die 30% het nakijken. Die 30% kan gewoon een huurverhoging én een dwangsom krijgen. Dat gaat toch wel wat ver of niet, is mijn vraag aan de heer Nijboer.

De heer Nijboer (PvdA):
Nee, het is gewoon een huurprijsbescherming. Die 30% heeft de bescherming dat de huren niet meer stijgen dan de inflatie plus 1%. Dat is het uitgangspunt. Als er niets verandert, gebeurt dat gewoon. Als er wordt geïnvesteerd in verduurzaming, is daar in principe instemming van de huurder voor nodig, zoals dat nu ook bij bestaande verduurzaming dan wel woningverbetering nodig is. Er zijn uitzonderingen in complexen, als je alles in één complex doet, namelijk dat je dat met 70% instemming moet doen, zoals dat bij vve's soms ook gaat. Als het dak lek is, moet je op den duur wel ingrijpen, ook al wil een van de buren niet. Soms wonen mensen in dezelfde flat. Dan heb je het mechanisme van inspraak nodig. Dat heeft niks met dwang te maken, maar met het praktische aspect. Er zit soms maar één dak op een flat en dan moet je toch besluitvorming hebben. Het kan niet zijn dat één huurder de hele flat tegenhoudt. Daar heeft de heer Koerhuis gelijk in. Dat vind ik nogal logisch.

De voorzitter:
Meneer Koerhuis, u wilt nog iets toelichten?

De heer Koerhuis (VVD):
De aap kwam in de laatste zin uit de mouw. De heer Nijboer heeft het over één huurder, maar in Utrecht ging het over een hele wijk. Ik vind 30% van een wijk heel veel mensen. Die vallen, als ik de heer Nijboer zo hoor, onder de uitzondering van de wet. De verhuurder mag dan, los van alles en iedereen, afkoppelen en de huurverhoging in rekening brengen, en de gemeente mag dwangsommen opleggen.

De heer Nijboer (PvdA):
Nee, dat heeft de heer Koerhuis verkeerd begrepen. In principe gaat het om de individuele huurder die toestemming moet geven, behalve bij bijvoorbeeld flatgebouwen, dingen die evident gezamenlijk zijn.

De voorzitter:
Gaat u verder.

De heer Nijboer (PvdA):
Voorzitter. Er zijn vragen gesteld, door mevrouw Van Eijs en anderen, over de termijn van drie jaar en over de evaluatie. Ik wil er niet omheen draaien. Wat mij betreft had het permanent gekund. Ik wil permanente bescherming tegen huurstijgingen. Dat ligt a Europeesrechtelijk lastig en b komen er verkiezingen aan — gelukkig zou ik haast zeggen. Voor die fundamentele punten die ik aanstipte — hoe ga je om met aanvangshuren, trek je het puntenstelsel door, hoe ga je om met de huurbescherming de komende jaren — kunnen andere keuzes worden gemaakt. Als het puntenstelsel wordt doorgetrokken tot €1.500, heb je de huurbescherming op deze manier niet zo nodig. Als die keuze wordt gemaakt — het zal wel even duren voordat het is ingevoerd, we nemen daar drie jaar voor — heb je de bescherming op een andere manier geregeld. Daar zou ik voorstander van zijn.

Ik vind wel dat je deze wet na tweeënhalf jaar moet evalueren. Waarom? Omdat je dan kunt kijken of de wet heeft gewerkt en heeft gedaan wat hij moet doen en ook of je hem wilt verlengen. Het is een tijdelijk wet en die kan verlengd worden. Wil je de huurbescherming op deze manier blijven vormgeven of wil je het op een andere manier doen? Dat is de reden — zeg ik in de richting van mevrouw Van Eijs — waarom ik ervoor heb gekozen om te zorgen dat de wet voor het einde van de looptijd geëvalueerd is. Als je het na afloop doet en hij vervalt, heb je niks om je op te baseren om hem al dan niet in ongewijzigde vorm te verlengen.

Mevrouw Van Eijs (D66):
Ik ben rapporteur van de commissie IenW. U denkt: waarom vraag ik dit? Dat is omdat ik daar ook kijk naar de begroting en de plannen. Heel vaak komen we er achteraf achter dat we niet goed kunnen toetsen of we blij zijn met de maatregel die is genomen. Daarom vroeg ik door over de evaluatie. De heer Nijboer zei: de wet doet wat hij moet doen. Mijn vraag is: wanneer heeft de wet gedaan wat hij moet doen? Wat zou de heer Nijboer, als we over tweeënhalf jaar terugkijken, graag willen zien waardoor hij gerechtigd is om te bepleiten dat de wet verlengd moet worden?

De heer Nijboer (PvdA):
Als er geen huurstijgingen zijn van inflatie plus 1% en hoger, behoudens als er geïnvesteerd wordt in kwaliteit of verduurzaming. Dat is heel makkelijk te meten. Denk aan de cijfers. Die 87.000 komen van de huurstijgingen van vorig jaar. Dat is geschat, het kunnen er ook 88.000 zijn of 90.000. In die orde is het aantal huurders dat het afgelopen jaar inflatie plus 1% en meer heeft gekregen. Die horen er dan niet meer te zijn. Daar horen dan nullen te staan.

De voorzitter:
Gaat u verder.

De heer Nijboer (PvdA):
Dat weten we van vorig jaar. We weten ook dat van de afgelopen zes jaar de huurprijsstijging vorig jaar het hoogst was. Dat kun je terugkijken. Ik heb een beetje aan de universiteit gewerkt en ben het wel met iedereen eens dat je meer weet naarmate je over meer jaren informatie hebt. Dat is natuurlijk altijd zo. Dat ben ik direct met mevrouw Van Eijs eens. Maar aangezien deze wet drie jaar loopt, hecht ik aan evaluatie na tweeënhalf jaar. Dan heb je in ieder geval twee jaar de huurcijfers om te vergelijken.

De heer Koerhuis heeft ook nog gevraagd naar de kleine belegger. Hij zegt eigenlijk: als een slager of een groenteboer zijn appartement verhuurt, waarom moet die dan onder deze wet vallen? Mijn antwoord daarop is heel simpel: ik wil de huurder beschermen. Dus dat geldt eigenlijk voor iedereen. Het zou wat zijn als de huurder beter beschermd is als hij bij een pensioenfonds zijn huis huurt dan bij een willekeurige groenteboer of een willekeurige huisjesmelker. Wij willen die huurder beschermen. Dat is het doel van deze wet. Ik vind inflatie plus 1% heel goed verdedigbaar. In principe zitten alle onkosten al in de inflatie. Het uitgangspunt is dus echt huurbescherming. Ik vind dat dus ook redelijk. En die groenteboer kan natuurlijk ook, als hij woningverbeteringen aanbrengt, in principe de huur verhogen omdat de kwaliteit van de woning verbetert.

Dan kwam van het CDA nog de vraag of het wetsvoorstel het aantal flexcontracten niet zal vergroten. Waarom neem je eigenlijk die drie jaar? Waarom doe je die huurverhoging elk jaar en volg je niet het voorstel van de IVBN, de vereniging van institutionele beleggers, om het gewoon over vijf jaar te middelen? Dat heeft te maken met een aantal zaken. Ten eerste. Als je dat zou doen, zou je bij alle flexibele contracten die vijf jaar kunnen nemen, die 7,5% die de IVBN voorstelt of die 5% in dit wetsvoorstel. De verhuurders kunnen die dan in één jaar nemen, en vervolgens nemen zij een andere huurder en kunnen zij dat weer doen. Dus als je niet uitgaat van inflatie plus 1%, is eigenlijk de bescherming van al die flexibele contracten weg.

Ten tweede denk ik dat het echt noodzakelijk is om het op deze manier te doen, om de verhuurders niet te verleiden om steeds weer nieuwe huurders in de woningen te zetten. Als je dat steeds met een groter percentage kunt doen, stimuleer je de flexcontracten nog meer. Daar wil ik ook vanaf, maar dat is een ander debat in de Kamer. Maar dat stimuleer je dan nog meer. Dat zou niet mijn voorkeur hebben.

Daarbij geldt het voor drie jaar. Als je dit permanent vastlegt, is het anders gespreid over de jaren dan bij een tijdelijke wet die drie jaar geldt. Wat mij betreft kan die tijdelijke wet ook verlengd worden; daar ben ik heel eerlijk in. Dus ik zeg niet: over drie jaar heb je die wet niet meer. Over drie jaar is er een nieuw weegmoment voor de Kamer om die wet wel of niet te verlengen. Als je dat gaat spreiden, wat houd je dan nog voor bescherming over? Dit in reactie op de vragen van het CDA over de termijn.

Volgens mij heb ik dan — maar ik heb de vragen een beetje uit het hoofd geleerd, zoals u ziet …

De voorzitter:
Dat vind ik heel knap.

De heer Nijboer (PvdA):
Maar volgens mij heb ik dan geprobeerd recht te doen aan de vragen van de Kamer.

De voorzitter:
Ik zie de heer Terpstra en de heer Koerhuis. Meneer Koerhuis, vertel.

De heer Koerhuis (VVD):
We hadden het net over de uitzondering van de verduurzaming. Mijn vraag was of een rentestijging ook onder de uitzonderingen kan vallen.

De heer Nijboer (PvdA):
Nee. Er zijn twee uitzonderingsgronden in de wet geregeld. Dat is ten eerste de verbetering van de kwaliteit van de woning — substantieel, dus niet nieuw behang op de muren of nieuwe vloerbedekking, maar verbeteringen aan keuken, badkamer en andere verbeteringen die een mens logischerwijs kan bedenken. Ten tweede is dat verduurzaming.

De heer Terpstra (CDA):
De heer Nijboer is uitgebreid ingegaan op de zorgen en de vragen die leven in de Kamer over wat het reguleren van de huren zal doen met de investeringen en de nieuwbouwinvesteringen. Daarop kwam een duidelijk en afdoende antwoord. Ik heb in mijn inbreng tevens gezegd dat het ook iets anders in de hand kan werken: illegale onderhuur, het verhogen van de aanvangshuren en gebrek aan onderhoud, juist omdat de huren worden gereguleerd. Dat zou op termijn ook kunnen leiden tot een kleiner aanbod en nog hogere huurprijzen. Mijn vraag aan de heer Nijboer is of hij daar nog op kan ingaan en hoe dit voorkomen zou kunnen worden.

De heer Nijboer (PvdA):
Dat vind ik eenzelfde terechte zorg als de zorg over de investeringen. De heer Terpstra heeft helemaal gelijk; daar had ik op moeten ingaan. Als je nu ziet wat de aanvangshuren zijn, dan zie ik haast niet hoe mensen een nog groter deel van hun inkomen aan huur kunnen betalen. Wij zien nu dat 20% van de huurders in de vrije sector meer dan 50% van het netto-inkomen aan woonlasten kwijt is. Dus je hebt nu een enorme krapte. De CDA-fractie is er zeer ontevreden over dat die krapte er is en dat die maximale huren nu al aan mensen worden gevraagd. Hoe kun je voor de kamers die er zijn nog meer vragen dan je nu al doet? Voor elke huurwoning staan er immers 20 tot 30 mensen klaar. Dus mijn stelling zou zijn — dat is ook zo als je nu naar de markt kijkt — dat de maximale huur nu al wordt gevraagd aan mensen. Er is geen ruimte meer om nog meer te vragen. U heeft gelijk dat minder inkomsten druk kunnen zetten op het onderhoudsniveau. We zien dat in de praktijk bij Vestia. Daar wordt maximaal bezuinigd op het onderhoud, wat een heel slechte zaak is. De institutionele beleggers zeggen natuurlijk ook niet: we gaan onze woningen verslonzen. Maar als je kijkt naar de huurinkomsten die nu toegestaan zijn en de aanvangshuren die nog wel vrij gekozen mogen worden, dan verwacht ik dat daar inflatie plus 1% wel kan.

De voorzitter:
Daar bent u weer, meneer Koerhuis.

De heer Koerhuis (VVD):
Ik zit even na te denken tijdens het debat. De heer Nijboer heeft het over huurbescherming, behalve voor verduurzaming. Dan mag de verhuurder helemaal losgaan.

De heer Nijboer (PvdA):
Met instemming, voorzitter.

De heer Koerhuis (VVD):
De heer Nijboer had het erover dat er vorig jaar iets van 80.000 woningen boven inflatie plus 1,5% huurverhoging zaten. Mijn vraag is: hoeveel daarvan was voor verduurzaming en hoeveel niet?

De heer Nijboer (PvdA):
Die cijfers heb ik niet. De huurverhoging was trouwens voor 87.000 woningen inflatie plus 1%. Deze getallen staan gewoon in de memorie van toelichting, dus die heeft de heer Koerhuis ook. Je ziet dan dat die huurverhoging heel fors is.

De voorzitter:
Tot slot, de heer Koerhuis.

De heer Koerhuis (VVD):
Ja, misschien afrondend voor de tweede termijn van de heer Nijboer, maar ik ben wel heel benieuwd hoeveel van dat cijfer van 80.000 van de heer Nijboer voor verduurzaming is geweest.

De heer Nijboer (PvdA):
Dat zou ik ook graag willen weten. Als de minister die cijfers kan opduikelen, dan ben ik daarin zeer geïnteresseerd. Maar we moeten het probleem ook niet kleiner maken dan het is. We hebben niet veel medewerkers hier, maar ik kwam vandaag nog iemand tegen die zei: ik heb een heel coulante verhuurder die in zijn contract inflatie plus 4% heeft gezet. Dat vond hij coulant, want de sectorbrede, gangbare huur was inflatie plus 5%. Dat komt gewoon voor. Die mensen lopen hier gewoon rond en die lopen overal in Nederland rond. We moeten dus niet doen alsof er niemand of bijna niemand is die een behoorlijke huurverhoging voor de kiezen krijgt. Deze wet is ervoor bedoeld om dat tegen te gaan.

Mevrouw Van Eijs (D66):
Ik heb een iets andere vraag, want twee dingen die de heer Nijboer zei, zetten mij aan het denken: over de coronacrisis en over de mensen die nu al lastig rondkomen. Laatst hebben we ook een discussie gehad over huurkortingen en over de mogelijkheid voor bijvoorbeeld woningcorporaties, maar ook anderen, om coulant te zijn en te zeggen: deze maand geen huur of de helft, om daarna, als iemand weer een baan vindt, weer omhoog te kunnen gaan. Ik vroeg me af of dit wetsvoorstel invloed heeft op de mogelijkheden die we daarover de laatste tijd hebben besproken.

De heer Nijboer (PvdA):
Dat vind ik een goede vraag. Ik heb me daar de afgelopen week ook een beetje het hoofd over gebroken, omdat ik er ook wat informatie over kreeg. We moeten wel zien te voorkomen dat verhuurders die tijdelijk een huurverlaging doorvoeren, door deze wet in de knel komen. Ik wil ook de minister vragen hoe dat uitwerkt op dat toch ietwat technisch punt, want het is een coronamaatregel die inwerkt op een wet waar ik het afgelopen jaar aan heb gewerkt. Ik ben best bereid om dat, als het knelt, aan te passen en naar een amendement te kijken of om een nota van wijziging in te dienen.

Mevrouw Van Eijs (D66):
Dus het is wel de bedoeling dat verhuurders nog steeds huurkorting geven en coulant zijn, omdat ze weten dat de mogelijkheid blijft om later terug te keren naar de originele huur plus iets van 1%?

De heer Nijboer (PvdA):
Vanzelfsprekend. Het is een wet die probeert om de huurstijgingen te beperken en de huurder sterker te maken. Alles wat goed is voor huurders, moet deze wet verbeteren. Dat moet niet in de wielen worden gereden door tijdelijke maatregelen die genomen zijn vanwege de coronacrisis.

De heer Kops (PVV):
Even over de reikwijdte van dit wetsvoorstel. Geldt die maximering van de huurprijs in de vrije sector echt voor alle huurwoningen in de vrije sector?

De heer Nijboer (PvdA):
Ook in de sociale sector. Het is verbreed naar de sociale sector.

De heer Kops (PVV):
Mijn vraag is als volgt. Laten we naar Amsterdam kijken. Blijkbaar geldt dat dan ook voor de enorme penthouses die daar worden verhuurd. Prima. Ik heb net nog even gekeken op Funda. Ik kwam een enorm pand in Amsterdam tegen dat te huur staat voor €17.500 per maand. Dat schijnt echt te bestaan. Ook voor zulke panden geldt dan de maximering van de huurprijs? Waarom heeft de heer Nijboer er niet een bepaalde grens aan gesteld?

De heer Nijboer (PvdA):
Nou, de huren zijn in Nederland belachelijk hoog geworden, maar gelukkig is dit nog wel een uitzondering. Ik heb nog wel gedacht: moet je nou die huurprijsstijgingen maximeren op een huur van ... Maar ja, wat zeg je dan? Middeninkomens betalen nu al zo veel. Zeker als je een gezin hebt, in de grote stad zit en een beetje fatsoenlijk wilt wonen, dan is €1.500 huur immens, maar het komt toch voor. En die mensen wil ik beschermen. €2.000 kan bijna geen mens betalen, maar er zijn gezinnen met een stevig middeninkomen die dat eigenlijk niet kunnen betalen, en die dat toch doen. Moet je die er dan buiten laten vallen? Ik heb daar dus bewust niet voor gekozen. U heeft gelijk: er is een handjevol mensen met zo'n huur. De beleggers, degenen die het verhuren, zijn daar dan de dupe van. Ik bedoel: het is niet zo dat wij het met z'n allen moeten opbrengen. De beleggers hebben dan wat minder huurinkomsten. Maar die mensen vallen dus ook onder het algemene principe dat dan geldt.

De heer Kops (PVV):
Ik heb het er in mijn inbreng ook over gehad dat zo'n 87.000 huurders met deze wet zijn geholpen. Dat is hartstikke mooi. Maar ik stel deze vraag omdat ik wil weten hoeveel van die 87.000 mensen van die penthouses hebben met een huur van €17.500. Anders geformuleerd: hoeveel van die 87.000 huurders zitten nu echt financieel klem? Hoeveel mensen van die 87.000 vallen onder de door het Nibud genoemde 800.000 huurders die het nu echt niet meer kunnen betalen? Ik wil dus eigenlijk vragen: komt de hulp van deze wet echt terecht bij de mensen die nu financieel klem zitten?

De heer Nijboer (PvdA):
Het antwoord daarop is volmondig ja. Waarom? Het gaat om de hele vrije sector, en daarin zijn heel veel mensen die 40% of 50% van hun netto-inkomen aan huur betalen. Dat begrenzen we. Dit is nu niet gereguleerd. Maar door de nota van wijziging werkt het ook uit naar de sociale huursector, waar de afgelopen jaren ook best forse huurstijgingen zijn geweest. En zeker de mensen die in de sociale huursector zijn begonnen, hebben niet de topinkomens die de heer Kops vreest. Het antwoord op de vraag is dus volmondig ja. Gaat het dan om alle 87.000 mensen? Of zijn het er niet veel meer dan 87.000? Mijn stelling zou zijn dat het er misschien nog wel veel meer zijn, zeker ook als je kijkt naar wat woningcorporaties nog voornemens zijn te vragen aan huren in de toekomst. Dus kortom: ja. Dit is een goede wet, die huurders beschermt.

De voorzitter:
Dank u wel, meneer Nijboer.

De heer Nijboer (PvdA):
Dank u wel, voorzitter.

De voorzitter:
Dan geef ik zo het woord aan de minister van Binnenlandse Zaken, nadat het spreekgestoelte is schoongemaakt.

Ik geef nu het woord aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.

Minister Ollongren:
Dank u wel, voorzitter. Allereerst: ik sta hier namens het kabinet als adviseur van de Kamer. Ik wil de heer Nijboer complementeren met het maken van dit initiatiefwetsvoorstel. Het is geen makkelijke taak voor een Kamerlid, maar het gebeurt met grote regelmaat. Ik ben blij om hier bij dit mooie wetsvoorstel aanwezig te mogen zijn.

Het wetsvoorstel sluit mooi aan bij het kabinetsbeleid rond de betaalbaarheid van huren. Daar heb ik vaak over gesproken met uw Kamer. Ik ondersteun volmondig dit wetsvoorstel. Mevrouw Kuiken is hier nu niet, maar zij vroeg dit in de eerste termijn nadrukkelijk en ik vind het belangrijk om dit te zeggen. Het kabinet omarmt het en ik omarm het, graag zelfs.

We hebben nu in de vrije huursector geen beperkingen op de huurprijsverhogingen. Als er dan geen clausule in het huurcontract is opgenomen die daarop ziet, dan kunnen huurders met een hele hoge huurverhoging worden geconfronteerd gedurende het contract en dan kunnen er excessen ontstaan. Uw Kamer heeft veel belangstelling voor excessen in huren, en dan bedoel ik natuurlijk vooral om er iets aan te doen. Door de huurprijsverhoging te maximeren op inflatie plus 1% worden excessen voorkomen. Daardoor zullen huurders niet meer geconfronteerd kunnen worden met enorme stijgingen die heel zwaar drukken op hun maandlasten. Ik vind het in deze coronacrisis nog eens extra belangrijk om deze stap te kunnen zetten.

Dit geldt voor alle huurcontracten, voor een periode van drie jaar. De initiatiefnemer is hierop ingegaan. We hebben te maken met een historische krapte op de woningmarkt. We hebben ook te maken met een coronacrisis en onzekere economische vooruitzichten. Ik denk dat die periode van drie jaar goed is. Die geeft de ruimte om te leren van de effecten van de maatregel en om te evalueren, zoals de heer Nijboer net al zei. Je kunt dan ook tijdig, gedurende die periode, besluiten over wat wijsheid is voor het vervolg. Dat is uiteraard ook een politiek vraagstuk dat bij de volgende formatie ongetwijfeld aan de orde zal komen.

Ik vind het ook belangrijk dat huurders met dit wetsvoorstel toegang krijgen tot de Huurcommissie. Ik vind het ook belangrijk — ik zal daar zo nog op ingaan — dat verduurzaming en renovatie doorgang zullen kunnen blijven vinden. Daarom is het, denk ik, heel goed dat dat via de nota van wijziging is toegevoegd.

Ik kan de beantwoording van de vragen die aan mij zijn gesteld indelen in drieën: de vragen over het wetsvoorstel zelf, de balans tussen de betaalbaarheid voor de huurder en de investeringsbereidheid voor de verhuurders, waar door verschillende fracties aandacht voor is gevraagd en wat een herkenbaar dilemma is, en tot slot de vragen die zijn gesteld over een vergunningsstelstel voor verhuurders en het Volkhuisvestingsfonds.

Allereerst over het wetsvoorstel zelf. Ik begin met de Huurcommissie, de rol van de Huurcommissie en de uitvoerbaarheid voor de Huurcommissie. Dit is extra werk voor de Huurcommissie, maar ik verwacht wel dat de Huurcommissie die toestroom aankan. We, de Huurcommissie en BZK samen, hebben er goed naar gekeken. We schatten in dat de maatregel jaarlijks voor enkele honderden extra procedures zal zorgen. Het zijn, om in de termen van de Huurcommissie te spreken, relatief makkelijke procedures. Er is geen woninginspectie voor nodig. De Huurcommissie zal hier natuurlijk financieel voor worden gecompenseerd. De Huurcommissie kan dezelfde werkwijze gebruiken als bij huurverhogingsgeschillen in het gereguleerde segment. We zien aan het trackrecord van de Huurcommissie dat het haar over het algemeen lukt om dat type geschillen tijdig en goed af te ronden.

Er werd ook nog gevraagd of er een uitvoeringstoets is gedaan. De Huurcommissie heeft eerder gekeken, op basis van het oorspronkelijke voorstel van het kabinet, mijn voorstel, naar het maximeren van de huren op inflatie plus 2,5%. Er is op die manier dus wel gekeken naar de uitvoerbaarheid. Dat was geen formele uitvoeringstoets, maar de facto denk ik dat we het wel zo kunnen beschouwen. Omdat — ik zei dat eigenlijk al — de Huurcommissie dezelfde procedure doorloopt als in de gereguleerde sector, acht de Huurcommissie dit uitvoerbaar.

Dan de juridische houdbaarheid. Dat was een vraag van de heer Koerhuis. Als je de huurprijs maximeert op inflatie plus 1%, dan is dat een beperking van het eigendomsrecht. Dat is gewoon zo. Maar gegeven het belang dat ermee gemoeid is, is het een gerechtvaardigde beperking van het eigendomsrecht. Het is om excessieve huurprijsstijgingen tegen te gaan. Dat is een breder maatschappelijk belang. Het is bij wet voorzien, dus het is voor de verhuurder kenbaar. Het is een balans tussen de belanghebbers — de woningeigenaren aan de ene kant en de huurders aan de andere kant — en het gaat over een periode van drie jaar. Het antwoord is dus: ja.

Dan kom ik op de kwestie die op het laatst nog even aan bod kwam: hoe verhoudt dit initiatiefwetsvoorstel zich tot het andere wetsvoorstel, dat ziet op de tijdelijke huurverlaging, de tijdelijke huurkorting, en de mogelijke correctie daarvan? Mevrouw Van Eijs vroeg daarnaar. De heer Nijboer zei dat het natuurlijk niet de bedoeling was om dat niet mogelijk te maken. Zo heb ik dat eigenlijk ook geïnterpreteerd. Het is niet de bedoeling dat we hier twee tegenstrijdige dingen aan het doen zijn. De tijdelijke huurkorting vinden we belangrijk, juist in deze coronatijd. De afspraak daarbij is dat je weer terug zou kunnen naar de originele huur als de situatie op een gegeven moment zo is dat dat weer kan. Ik hoor de initiatiefnemer zeggen dat het elkaar wat hem betreft niet in de weg moet zitten. We moeten dus zorgen dat het inderdaad kan.

Dan kom ik bij de vragen die gesteld zijn over de effecten op het aanbod. Ik ben het met de initiatiefnemer eens dat, als je er goed naar kijkt, het effect op het aanbod beperkt zou moeten zijn. De inschatting is natuurlijk gebaseerd op aan de ene kant het nagestreefde doel van het wetsvoorstel en aan de andere kant de belangen van de woningeigenaren. We doen iets voor een periode van drie jaar, dus met beperkte nadelige effecten. Daarbij wil ik ook zeggen dat de afgelopen tijd, het afgelopen jaar, de gemiddelde huurverhoging in de vrije sector 2,1% was. Daarmee lag die onder inflatie. Ik denk dat de vrees dat het een groot beperkend effect zou hebben op het aanbod, niet de praktijk zal blijken.

Voorzitter. Dan de kwestie van de betaalbaarheid voor de huurder en de investeringsbereidheid. Ik krijg ondertussen nog meer stukken. Er ligt eigenlijk een breder dilemma. De heer Terpstra heeft dat vorige week, toen we de eerste termijn hadden, ook gezegd. Je wilt eigenlijk het beste van twee werelden, van beide werelden: voldoende betaalbare woningen, ook huurwoningen, maar daar heb je ook verhuurders voor nodig, want ze ontstaan niet vanzelf. We hebben dus verhuurders nodig, partijen die investeren.

Een betaalbare huur voor een huurder met een laag inkomen zou dus ook een gat kunnen opleveren op de balans, de begroting van de verhuurder. In Nederland kennen we dat natuurlijk en daarom springt de overheid in om tot een sluitende balans te komen. We doen dat voor de lage inkomens en de sociale huurwoningen met allerlei maatregelen, zoals passend toewijzen, huurtoeslag en subsidies. Voor de middenhuur en de middeninkomens worden er eigenlijk hiaten gezien in de balans tussen betaalbaarheid en aanbod. Er is niet echt een simpele oplossing hiervoor. Dus het reguleren van de aanvangshuur in de vrije sector bedient één kant van de balans die je zoekt. Ik ben het dus zeer eens met Terpstra en anderen die zeiden: we hebben wel voldoende aanbod nodig, we moeten wel zorgen dat er extra woningen worden gebouwd.

Daarnaast hebben we ook nog, het ging er daarnet al even over, de verduurzamingsopgave. Die kost geld. Zeker voor het middensegment moeten we dat niet onderschatten. Nogmaals, er zijn allerlei partijen die daar een rol in spelen, de overheid natuurlijk niet in de laatste plaats. Ik denk dat we in ieder geval de afgelopen periode met de woningbouwimpuls en met de woondeals in bepaalde regio's soms tot hele goede en mooie oplossingen zijn gekomen. Maar er is niet één simpele oplossing voor; voor een deel is het maatwerk en een weging, en vergt het samenwerking tussen de verschillende partijen die daarvoor nodig zijn.

De heer Smeulders vroeg hoe het staat met het onderzoek naar de verhoging van de liberalisatiegrens. Hij heeft daar een initiatiefnota voor gemaakt. Ik heb inderdaad toegezegd om een onderzoek te doen naar de verhoging van die liberalisatiegrens. Er wordt gewerkt aan dat onderzoek. Dit sluit eigenlijk aan bij wat ik net zei; ook hier geldt: hoe kun je voldoende betaalbare huurwoningen hebben en tegelijkertijd investeerders? Zodra dat onderzoek gereed is, zal ik vanzelfsprekend de Kamer daarover informeren. Ik verwacht dat dat in ieder geval voor de Tweede Kamerverkiezingen zal zijn; dat was misschien ook wat de heer Smeulders wilde weten.

Mevrouw Van Eijs had ook een vraag gesteld die zag op de aanvangshuren. Ik begrijp die vraag. Er is natuurlijk door de initiatiefnemer ook al op ingegaan. Ik denk dat het in ieder geval helpt als je in combinatie met de aankondiging van deze maximering van de huurprijsstijging ook werkt aan het transparant maken van de aanvangshuurprijs voor de huurders. Daarom werk ik met de sector aan een convenant. Ik hoop dat dat convenant er in de loop van dit voorjaar zal zijn. Ik weet niet precies wanneer het zal zijn, maar wat mij betreft in de loop van dit voorjaar. De afspraken in dit convenant zou je ook weer kunnen verankeren in wetgeving. Ik doe het dus eigenlijk via een stapsgewijze benadering. We doen natuurlijk ook nog een aantal andere zaken, bijvoorbeeld aan scheefwonen. Het is dus niet het enige wat we doen, maar ik denk wel dat juist deze route en de combinatie met het transparant maken van de aanvangshuren kunnen helpen, natuurlijk in combinatie met het aanbod, waar we het net al over hadden.

Dan de kwestie van het vergunningsstelsel. Daar ging het in eerste termijn over. Mevrouw Beckerman vroeg ernaar en mevrouw Van Eijs ook, dacht ik. Vaak wordt verwezen naar het Groningse vergunningsstelsel. We hebben daar met Groningen natuurlijk afspraken over gemaakt. Het is eigenlijk een pilot. De evaluatie van die pilot is inmiddels begonnen. Ik ondersteun ook andere gemeenten, gewoon met kennis en expertise en met financiële middelen, zodat zij ook op verschillende manieren hieraan kunnen werken. Dat gaat eigenlijk goed. Wij hebben ook die opkoopbescherming. Daar zitten elementen in van het goed verhuurderschap. Dat is een wetsvoorstel dat inmiddels in internetconsultatie is. Daar hebben ook de grote steden op gereageerd. Zij staan eigenlijk een bredere verhuurvergunning voor. Het is dus werk in uitvoering. Ik zal de Kamer daar dit voorjaar over informeren en kijken of, en zo ja, hoe we een soort landelijk systeem hiervoor zouden kunnen afspreken.

De heer Smeulders vroeg naar het Volkshuisvestingsfonds. Hij is daar enthousiast over, ik ook. Het gaat over veel geld, 450 miljoen, voor de leefbaarheid en verduurzaming van de woningvoorraad in de meest kwetsbare wijken in de gemeenten in Nederland. We zullen daar dus veel mee kunnen doen, samen met gemeenten, woningbouwcorporaties en particuliere eigenaren. Het zal gaan over sloop en nieuwbouw. Het zal gaan over transformatie, renovatie en verduurzaming, vooral — dat is denk ik het belangrijkste hiervan — op die plekken waar dat het hardst nodig is. We kennen die gebieden allemaal: de krimpregio's, de grensgebieden, de moeilijke gebieden in sommige steden. Het zal lopen via een specifieke uitkering. De regeling is nu in internetconsultatie. We proberen het met gezwinde spoed allemaal te doen en ervoor te zorgen dat die zo snel mogelijk kan worden opengesteld. Ook daar zal ik de Kamer natuurlijk over informeren.

Voorzitter. Er waren dacht ik nog een paar vragen uit de eerste termijn van de heer Nijboer blijven liggen, althans een beetje naar mij doorgeschoven. Daar ben ik ook voor, want de adviseur is er niet voor niks. Ik zal eens even kijken of ik daar ook een antwoord op kan geven.

Hoeveel van de 87.000 huurders hadden een verhoging vanwege verduurzaming? Dat was het debat met de heer Koerhuis. Mij wordt hier gemeld dat in de 87.000 geen verhogingen zitten die samenhangen met woningverbeteringen. Dat is wat ik weet. Een woningverbetering is natuurlijk niet per se alleen verduurzaming, maar ook renovatie.

De voorzitter:
Ik kijk even of u nog een vraag heeft van de heer Koerhuis.

Minister Ollongren:
Nee, dat was het antwoord dat ik op dit moment kan geven op die vraag.

De voorzitter:
Een korte vraag of opmerking.

De heer Koerhuis (VVD):
Dank voor het antwoord daarop. Waar zijn die verduurzamingshuurverhogingen dan gebleven? En in hoeveel van die 80.000 waren er inkomensafhankelijke huurverhogingen, bijvoorbeeld omdat hoge inkomens in een te goedkope huurwoning zitten?

Minister Ollongren:
De heer Koerhuis overvraagt mij nu. Ik zal kijken of ik dit in de tweede termijn nog wat verder kan uitdiepen. Ik kan wel zeggen dat er in ieder geval geen sprake was ... Het ging namelijk ook even over de dwangsommen bij de verduurzaming. Daarvan is nu geen sprake. Dit wetsvoorstel regelt dat bij verduurzaming en renovatie de huurverhoging mag worden gevraagd die redelijk is in verhouding tot de investering die wordt gedaan. De kwestie van de dwangsommen speelt daar niet bij.

De voorzitter:
Meneer Koerhuis, tot slot.

De heer Koerhuis (VVD):
In verhouding tot de investeringen. Daar hoor ik dan toch in doorklinken dat de garantie op woonlastenneutraliteit onderdeel is of moet zijn van dit wetsvoorstel.

Minister Ollongren:
Dan moet ik me toch echt aansluiten bij de initiatiefnemer. Daar ziet dit wetsvoorstel niet op. Daar hebben we andere afspraken over gemaakt.

Voorzitter. Daarmee ben ik aan het einde gekomen van mijn termijn.

De voorzitter:
Dank voor uw advies. Dan kijk ik naar de Kamerleden. We zijn toegekomen aan de tweede termijn van de zijde van de Kamer. Ik neem aan dat er behoefte is aan een tweede termijn. Ja? Dan gaan we dat doen. Ik geef nu het woord aan de heer Smeulders namens GroenLinks.

De heer Smeulders (GroenLinks):
Dank u wel, voorzitter. Dank aan de heer Nijboer en zijn ondersteuning voor de beantwoording. Heel knap, helemaal uit het hoofd. Hartstikke fijn dat we dit wetsvoorstel nog voor de verkiezingen kunnen behandelen en kunnen aannemen. Ik wens de heer Nijboer veel succes in de Eerste Kamer met de verdediging. Dat gaat vast net zo soepel als hier.

We hebben één motie. Die gaat over het verlagen of bepalen als overheid van de aanvangshuren, omdat we zien dat daar grote problemen mee zijn, met name in de vrije sector. Als iemand verhuist, komen er vaak honderden euro's bovenop. Het gevolg daarvan is dat de middenhuur voor heel veel mensen echt niet meer te betalen is. Aangezien we op dit moment allemaal verkiezingsprogramma's aan het schrijven zijn en daar bijvoorbeeld bij het CDA goede dingen over instaan op dit punt, hebben we ons laten inspireren om daar een motie van te maken. Want laten we het ijzer smeden nu het heet is.

De Kamer,

gehoord de beraadslaging,

constaterende dat veel huurders in de vrije sector te maken hebben met hoge huren doordat er geen huurprijsbescherming aanwezig is;

overwegende dat als gevolg van excessieve stijgingen van de aanvangshuur het voor steeds meer mensen onmogelijk wordt om een betaalbare woning in de middenhuur te vinden;

spreekt uit dat het wenselijk is om de huurprijzen in een deel van de vrije huursector onder het woningwaarderingsstelsel te laten vallen;

verzoekt de regering om voorbereidingen te treffen voor een besluit om de huurprijsbescherming via het woningwaarderingsstelsel in de vrije huursector mogelijk te maken,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Smeulders, Beckerman en Kuiken. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 11 (35488).

Dank u wel, meneer Smeulders. Dan geef ik nu het woord aan de heer Terpstra namens het CDA. Hij geeft aan geen behoefte te hebben aan een inbreng in tweede termijn. Dan ga ik naar mevrouw Kuiken, als ze daar behoefte aan heeft. Wel? U heeft de hele dag al in de zaal gestaan.

Mevrouw Kuiken (PvdA):
Voorzitter, dat klopt. Ik heb de hele dag in de zaal gestaan en daar word ik een beetje melig van, dus vergeef me. Ik heb de inbreng uiteraard gevolgd, maar ik heb ook nog een motie en die ga ik nu voorlezen.

De Kamer,

gehoord de beraadslaging,

overwegende dat steeds meer mensen en voornamelijk jongeren toenemende onzekerheid ervaren over essentiële zaken in het leven als hun baan en het hebben van een woning;

overwegende dat steeds meer de standaard lijkt en dreigt te worden dat huurcontracten eerst tijdelijk zijn;

overwegende dat daarmee de zekerheid over een betaalbare woning steeds meer onder druk staat;

overwegende dat steeds breder wordt gedeeld dat de flexibilisering van de arbeidsmarkt is doorgeslagen en we op het gebied van de volkshuisvesting niet die kant op moeten;

verzoekt het kabinet de flexibilisering van de huurcontracten een halt toe te roepen en alleen te richten op groepen waarvoor dat gepast is, zoals (internationale) studenten en tijdelijke arbeidsmigranten,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Kuiken, Smeulders en Beckerman. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 12 (35488).

Mevrouw Kuiken (PvdA):
Dan rest mij niets anders dan de indiener en zijn ondersteuners te bedanken en te hopen op een goede stemuitslag. Dat zou ontzettend fijn zijn in onze gezamenlijke zoektocht naar levensgeluk en een betaalbare woning.

De voorzitter:
Dank u wel, mevrouw Kuiken. We zijn allemaal onder de indruk. Dan is nu het woord aan de heer Kops namens de PVV.

De heer Kops (PVV):
Dank u wel, voorzitter. Dank aan de initiatiefnemer voor de beantwoording. Ik zei het al: 800.000 huurders zitten momenteel al financieel klem. Dat zijn 800.000 huurders met feitelijk te hoge huren, te hoge woonlasten, en dat is wel het gevolg van jarenlang overheidsbeleid. In tien jaar Rutte zijn de huren in de vrije sector — daar gaat het vandaag over — 44% gestegen. Dit wetsvoorstel legt die enorme huurstijgingen in de vrije sector aan banden en dat is natuurlijk goed. Zeker als je beseft dat heel veel huurders in de vrije sector daar niet eens vrijwillig voor hebben gekozen, maar daar zogezegd toe gedwongen zijn. Hetzij omdat ze net iets te veel verdienen voor een sociale huurwoning, hetzij omdat ze net iets te weinig verdienen om in aanmerking te komen voor een koopwoning. Die mensen moeten absoluut beschermd worden tegen die enorme huurstijgingen. Wij zijn natuurlijk — dat blijven we als PVV zeggen — voor een huurstop. De huren zijn zo ontzettend gestegen. Het wordt tijd dat die huren omlaaggaan. Dit wetsvoorstel is een eerste goede stap.

Dank u wel.

De voorzitter:
Dank u wel, meneer Kops. Dan geef ik nu het woord aan mevrouw Beckerman namens de SP.

Mevrouw Beckerman (SP):
Dank u wel, voorzitter. In tien jaar Rutte zijn de huren met 35% gestegen. Vorig jaar, midden in de coronacrisis, heeft het kabinet nog eens een keer de hoogste huurstijging in zes jaar tijd doorgevoerd. U weet dat mijn partij dat echt verschrikkelijk vindt. Er zijn drie moties van mijn fractie in de Eerste Kamer aangenomen om alle huren te bevriezen.

Toen was er vandaag ineens goed nieuws, want de eerste stemwijzer is openbaar. En wat zien wij daar? Bij de stelling "huren de komende vier jaar niet omhoog" zien we prachtig het hoofdje van de heer Rutte staan op "mee eens", en mevrouw Kaag "mee eens". Ik dacht: dat is goed nieuws voor de huurders in Nederland. Laten we dan niet langer wachten. Ik heb even de teksten die de partijen zelf aanleveren ter onderbouwing opgezocht. Die heb ik overgetypt voor een mooie motie. Meneer Koerhuis, hoort u mij even aan, want het is van uw partij. Ik hoop natuurlijk dat u de motie daarna van harte gaat ondertekenen.

De Kamer,

gehoord de beraadslaging,

constaterende dat huurders van corporatiewoningen in 2020 een huurprijsstijging van gemiddeld 2,7% hebben gekregen;

overwegende dat een lagere huur voor mensen die een sociale huurwoning huren bij een woningcorporatie wenselijk is en dat de huren dan omlaaggaan in plaats van omhoog;

verzoekt de regering om de huurprijzen in de sociale huursector dit jaar te bevriezen,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Beckerman, Smeulders en Kuiken. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 13 (35488).

Mevrouw Beckerman (SP):
Voorzitter. Ik mag toch hopen dat partijen geen dingen gaan beloven in stemwijzers die ze vervolgens wegstemmen, dus ik ga ervan uit dat deze motie eindelijk wordt aangenomen in deze Kamer.

De tweede motie.

De Kamer,

gehoord de beraadslaging,

overwegende dat starters betere mogelijkheden verdienen op de woningmarkt;

constaterende dat gemeenten nu niet de instrumenten hebben om een woonplicht voor bestaande woningbouw af te dwingen;

verzoekt de regering om gemeenten de mogelijkheid te geven om een zelfbewoningsplicht in te voeren voor bestaande koopwoningen, en de Kamer zo snel mogelijk hierover te informeren,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door de leden Beckerman, Smeulders en Kuiken. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 14 (35488).

Mevrouw Beckerman (SP):
Dank u wel.

De voorzitter:
Dank u wel, mevrouw Beckerman. Dan geef ik nu het woord aan mevrouw Van Eijs namens D66.

Mevrouw Van Eijs (D66):
Dank u wel, voorzitter. Ondanks dat het sommige partijen misschien niet snel genoeg gaat, zetten we vandaag eigenlijk best een grote stap. Wij spreken vandaag voor het eerst over iets van regulering opleggen aan de vrijehuursector. Dat vind ik wel iets om te memoreren. Maar wij hebben ook met elkaar de discussie gehad over de vraag of het genoeg is. Ik denk dat de stemwijzers op zich al aanwijzen dat niet iedereen dat vindt. De discussie over de manier waarop zou ik willen bevorderen door de volgende motie in te dienen.

De Kamer,

gehoord de beraadslaging,

constaterende dat de hoge druk en dus ook hoge prijzen op de woningmarkt in veel gebieden in Nederland, ook in de vrije sector, door het woningtekort nog geruime tijd zullen aanhouden;

overwegende dat met het voorliggende wetsvoorstel de vrije sector voor het eerst met enige vorm van huurprijsregulering te maken krijgt;

overwegende dat er nog geen volledige analyse is van de verschillende mogelijkheden en de gevolgen van een stelselmatige huurprijsregulering, waaronder aanvangshuren, van de vrije sector;

verzoekt de regering een onderzoek te starten naar mogelijke vormen van huurprijsregulering in de vrije sector én de gevolgen van de verschillende mogelijkheden,

en gaat over tot de orde van de dag.

De voorzitter:
Deze motie is voorgesteld door het lid Van Eijs. Naar mij blijkt, wordt de indiening ervan voldoende ondersteund.

Zij krijgt nr. 15 (35488).

Dank u wel. Dan geef ik nu het woord aan de heer Van Otterloo. Nee? Dan kijk ik naar de heer Koerhuis. De heer Koerhuis namens de VVD, gaat uw gang. De katheder moet omhoog, ja.

De heer Koerhuis (VVD):
Voorzitter. We hadden vorige week de eerste termijn van de initiatiefwet van de heer Nijboer. Deze week hebben wij de tweede termijn. Deze tijdelijke wet regelt dat de huren de komende drie jaar nog maar maximaal kunnen worden verhoogd met inflatie plus 1% met een aantal uitzonderingen.

Ik wil de heer Nijboer en de minister graag bedanken voor de antwoorden op mijn vragen, maar zoals net al uit het debat bleek, wil ik toch nog even doorvragen op de woonlastenneutraliteit. Ik hoorde de heer Nijboer van de Partij van de Arbeid zeggen: huurbescherming behalve voor verduurzaming. Hij kwam met het getal van 80.000 woningen — dat getal viel in het debat — die een hogere huurstijging hadden dan 1,5%. Dat was dan niet voor verduurzaming. Hoeveel woningen zitten dan boven die 1,5% voor verduurzaming? Waar zijn die woningen gebleven? Mijn vraag die open blijft staan, is: hoeveel van die 80.000 waren voor scheefwoners? Ik neem aan dat dat gewoon door kan gaan onder de wet van de heer Nijboer. Ik neem aan dat die uitzondering blijft gelden, evenals de uitzondering voor tijdelijke huurkortingen, die mevrouw Van Eijs aansneed.

Ik wil toch nog even terugkomen op: huurbescherming, behalve voor verduurzaming. Dat valt mij toch een beetje tegen. Ik dacht dat bij de Partij van de Arbeid huurbescherming voor alles gaat, maar ze gaan toch een beetje op de GroenLinkstour: behalve voor verduurzaming. Ik had in mijn eerste termijn de vraag gesteld of woonlastenneutraliteit niet als randvoorwaarde opgenomen kan worden in de wet. Daar wil ik toch graag een goede toelichting op van de heer Nijboer, want ik denk dat dat belangrijk is. Overweegt de heer Nijboer op dat punt eventueel een nota van wijziging?

Dat waren mijn vragen.

De voorzitter:
Mevrouw Beckerman heeft een vraag voor u, denk ik.

Mevrouw Beckerman (SP):
Ik zei het net al: in tien jaar Rutte was er sprake van een huurstijging van 35%. Vorig jaar, in de coronacrisis, zijn de huren met nog eens 6% verhoogd. Nee, sorry. Het was de hoogste stijging in zes jaar. Er komt nu weer een nieuwe huurstijging aan, maar uw partij zegt het volgende in die stemwijzer. We zien hier de heer Rutte. Er staat: de huren moeten in de komende vier jaar niet omhoog. Mee eens, zegt de VVD. Bent u het met mij eens dat we de huren in de sociale sector voor het komende jaar moeten bevriezen?

De heer Koerhuis (VVD):
Om te beginnen doet u mevrouw Ollongren tekort, want zij is in de afgelopen vier jaar de minister geweest voor wonen en bouwen. Ik weet niet of u in de discussies, bijvoorbeeld bij de Wet eenmalige huurkorting, gehoord heeft hoezeer wij het daarmee eens zijn. Wij, de VVD en de SP, zijn in deze Kamer ook vaak samen opgetrokken, omdat we willen dat de sociale huren weer sociaal worden. Het gaat dit jaar naar €750 of €760; dat kan de minister beter zeggen. Ik vind dat niet sociaal meer. Ik vind dat heel hoog. Ik heb ook altijd gezegd namens de VVD: de woonlasten moeten omlaag. De huren zijn te hoog en daar is maar één goede oplossing voor op de lange termijn: bouwen. Volgens mij hoorde ik de heer Nijboer dat ook zeggen.

De voorzitter:
Mevrouw Beckerman, tot slot.

Mevrouw Beckerman (SP):
Ik laat 'm nog één keer zien. Het is niet zo moeilijk. U heeft hem zelf ingevuld.

De heer Koerhuis (VVD):
Ik gaf ook antwoord.

Mevrouw Beckerman (SP):
De vraag was als volgt. Er staat: de huren moeten in de komende vier jaar niet omhoog. De VVD zegt: ja, daar zijn we het mee eens. Maar de plannen van het kabinet zijn nog steeds om de huren, ook in de sociale huur, het komend jaar weer te verhogen.

De heer Koerhuis (VVD):
Dat is niet waar.

Mevrouw Beckerman (SP):
De hele simpele vraag aan de VVD is: steunt u de motie die net door mijn partij is ingediend om de sociale huren nu te bevriezen? Want u zegt het zelf: de VVD wil een lagere huur voor mensen die in een sociale huurwoning wonen. Dan kunt u toch niet het kabinet blijven steunen en de huren alsnog verhogen? Dan kunt u toch alleen maar mijn motie steunen?

De voorzitter:
Ja ... Meneer Koerhuis, hoe gaat u daarmee om?

De heer Koerhuis (VVD):
Mevrouw Beckerman gaat totaal niet in op mijn antwoord. Ze haalt de plannen van het kabinet erbij. Een van de plannen waar ik het heel erg mee eens ben en waarbij we vaak samen hebben opgetrokken, is de Wet eenmalige huurverlaging, die dit jaar ingaat. Dat is een hartstikke goede wet en daar gaan de huren gewoon mee omlaag.

De voorzitter:
Tot slot. O, het hoeft niet. Oké. Dat is prima. Toch een laatste poging.

Mevrouw Beckerman (SP):
Ik blijf het maar voorlezen. Het zijn namelijk niet mijn woorden, maar uw woorden, de woorden van de VVD. Die zegt: de huren in de sociale huur zijn te hoog en moeten omlaag. Maar voor het grootste deel van de huurders heeft uw kabinet weer een huurverhogingen in petto. Natuurlijk is het mooi dat er voor een kleine groep een huurverlaging komt, maar als u zegt — ik neem aan dat u stemwijzers naar waarheid invult — dat de huren niet omhoog mogen, dan moet u er ook voor stemmen dat de huren niet omhooggaan. Nogmaals de simpele vraag: stemt u voor mijn motie, en niet alleen voor een kleine groep, als uitzondering, maar voor alle huurders?

De heer Koerhuis (VVD):
Mevrouw Beckerman wil het antwoord volgens mij echt niet horen, ook niet tijdens mijn inbreng bij de Wet eenmalige huurkorting. Ik heb toen ook gezegd: dit is een goede eerste stap en wat ons betreft komen er meer stappen.

De voorzitter:
Goed. Dan ga ik naar de heer Terpstra.

De heer Terpstra (CDA):
Aan het eind van de eerste termijn heb ik de heer Koerhuis ook aangegeven dat die toch een beetje van de partij van de huisjesmelkers was. Hij was een beetje aan het mopperen, en nu in tweede termijn wéér. Want ja, er moet toch ook wat te verdienen zijn aan huren, we hebben toch ook verhuurders nodig. Ik wil toch wel even doorgaan op een punt van mevrouw Beckerman. Ik zie vandaag de stemwijzer en dan breekt mijn spreekwoordelijke klomp.

De heer Koerhuis (VVD):
Die breekt bij mij ook altijd.

De heer Terpstra (CDA):
Precies. En nou breekt ie een keer bij mij. Want wat het geval? Op de vraag of alle huren bevroren moeten worden, zegt de VVD: helemaal eens. En dan heeft meneer Koerhuis hier enorm veel woorden nodig om aan te geven: jaja, we moeten bouwen. Nou, dan vindt hij het CDA aan zijn zijde. Maar is de heer Koerhuis het niet met mij eens dat we beperkte huurstijgingen soms nodig hebben, bijvoorbeeld voor corporaties en voor investeerders, om te kunnen gaan bouwen? Of is het plat opportunisme van de VVD dat ze bij de stemwijzer, om wat zieltjes te winnen, aangeven dat de huren bevroren moeten worden?

De voorzitter:
De heer Koerhuis!

De heer Koerhuis (VVD):
Nou hoor ik het CDA. Ik zat even terug te denken aan mijn inbreng in eerste termijn. Ik heb het niet over verhuurders gehad. Het CDA heeft daar letterlijk gezegd, en dat herinner ik mij nog goed: we moeten er ook voor verhuurders zijn. Dus dat was niet mijn inbreng uit eerste termijn, maar die van het CDA. Dus om in de woorden van de heer Terpstra te blijven: als er een partij voor de huisjesmelkers is, dan is dat het CDA. Dan hoor ik hem in een zucht door hier zeggen dat corporaties, ook verhuurders, wel moeten kunnen doorgaan met huurstijgingen. Dus als ik hem even de spiegel mag voorhouden: het CDA zegt dat we er moeten zijn voor verhuurders. En het CDA zegt nu, hier, dat corporaties toch wel door moeten gaan met huurprijsstijgingen. Dus als er al een partij is voor huisjesmelkers, dan het CDA; om in zijn woorden te blijven, maar ik blijf er liever van weg.

De heer Terpstra (CDA):
Ik constateer dat de VVD, puur omdat het richting verkiezingen gaat, aangeeft dat de huren bevroren moeten worden en dat invult in stemwijzers, puur om wat zieltjes en wat stemmen te winnen. Als we de echte oplossingen willen aandragen voor de woningnood, moeten we inderdaad gaan bouwen. Maar dat betekent ook "het eerlijke verhaal vertellen", meneer Koerhuis, en dat doet u hier niet, namelijk dat we ook moeten gaan bouwen met de hulp van corporaties en met de hulp van investeerders. Dan moet u niet zo plat, vlak voor de verkiezingen, zeggen: we gaan alle huren bevriezen. Want u weet ook: dat is gewoon niet waar.

De heer Koerhuis (VVD):
Ik wil graag het eerlijke verhaal van de heer Terpstra horen, die gewoon in zijn eerste termijn zegt "huurstijgingen moeten doorgaan" en dan glashard een andere partij de partij van de huisjesmelkers noemt. Dan moet de heer Terpstra ook eerlijk zijn. Ik val in herhaling: die wet voor een eenmalige huurkorting voor de laagste inkomens vond de VVD een goede eerste stap. Daar gaan wij graag mee door.

De heer Smeulders (GroenLinks):
Het is inderdaad wel wonderlijk wat er gebeurd is. De heer Koerhuis profileert zich vier jaar als de afbreker van de sociale woningbouw en bij de eerste de beste stemwijzer zegt de VVD: nee, we willen dat de huren niet gaan stijgen. Dat mag niet. Gaat de heer Koerhuis voor de motie stemmen die mevrouw Beckerman net mede namens mij heeft ingediend?

De heer Koerhuis (VVD):
Het lijkt wel alsof de heer Smeulders het niet wil horen; ik kan het bijna niet geloven. Maar het is toch echt zo: die Wet tijdelijke huurkorting was een goede eerste stap. Als we naar wetgeving gaan kijken, dan ben ik best bereid daar meer stappen in te zetten. Maar het lijkt alsof hij dat niet wil horen. Nou komt hij met een motie aan, een Kameruitspraak. Ik heb liever gewoon het degelijke wetswerk, als ik zo vrij mag zijn.

De heer Smeulders (GroenLinks):
Oké, meneer Koerhuis, u wilt niet antwoorden op de motie, omdat u daar natuurlijk tegen gaat stemmen en omdat dat een beetje pijnlijk is. Maar u wilt een wetstraject. Er lag een wet, vanuit het kabinet, om de WOZ minder belangrijk te maken in het puntenstelsel, waardoor de huren minder hard zouden stijgen. Dat is een wet tégen huurstijgingen. Die is controversieel verklaard door de heer Terpstra van het CDA maar ook door u, deze week! Hoe kunt u nou zeggen dat u zoveel wil doen om de huren niet te laten stijgen, terwijl u een voorstel van uw eigen kabinet controversieel verklaart, een voorstel dat er is om de huurders te helpen?

De voorzitter:
Meneer Koerhuis, hoe zit het precies?

De heer Koerhuis (VVD):
De heer Smeulders wil het niet horen. Die wil het gewoon niet horen. Ik snap het wel: de heer Smeulders wil mij wegzetten als iemand die de huren omhoog wil hebben. Dat wil ik niet. Ik wil niet de huren omhoog hebben. Ik snap wel dat dat goed in het frame van de heer Smeulders past, maar dat wil ik niet.

De voorzitter:
Goed, dank u wel. Daarmee zijn we ook aan het einde gekomen van de tweede termijn van de zijde van de Kamer. Ik kijk naar de heer Nijboer of hij direct kan antwoorden? Ja? Nou, dat vind ik dan geweldig. Dan kunnen we 19.00 uur halen, hoop ik.

Dan geef ik nu het woord aan de heer Nijboer.

De heer Nijboer (PvdA):
Zo staat het spreekgestoelte wel heel hoog, voorzitter. Het gaat helemaal richting hemel. Dat is misschien wat overdreven.

De voorzitter:
O, sorry. Ja, het is ingesteld op de heer Hoekstra.

De heer Nijboer (PvdA):
Daar kan ik niks aan doen.

Dank, voorzitter. Dank aan de Kamer voor het goede debat. Er zijn vijf moties ingediend. Die kan ik allemaal van harte aanbevelen bij de minister. Daar heb ik ook warme gevoelens bij, maar daar is aan mij geen oordeel over gevraagd.

Voorzitter. Eigenlijk heeft alleen de VVD nog een aantal vragen gesteld aan mij als initiatiefnemer van dit wetsvoorstel. Die gingen allereerst over de woonlastenneutraliteit. Dat begrip slaat nergens op voor woningverbetering, want daarbij krijg je een betere woning terug en betaal je meer. Dat is dus nooit woonlastenneutraal. En voor verduurzaming is er nu natuurlijk geen enkele bescherming. Dat wil ik de heer Koerhuis ook maar even meegeven. Als een verhuurder nu je huis verduurzaamt, kan hij vragen wat hij wil. Er is namelijk geen huurbescherming. Hij begint hier nu iets heel groots te maken, terwijl in deze wet eigenlijk bescherming wordt aangebracht.

Dan heeft hij nog een vraag gesteld over die 87.000 mensen. Daar denken wij politiek verschillend over. Hij vroeg of het niet de mensen in sociale huurwoningen raakt waar hij graag extra huurprijsstijgingen wil hebben. Hij zei het in het debat ook nog weer: die moeten meer huur betalen, want het zijn scheefwoners; die mensen moeten we een huurverhoging geven. De stellingen voor de Kieswijzer waren voor de rekening van de VVD, maar dat heeft hij hier zojuist ook weer bepleit. Die mensen zitten daar niet in, want dat is de vrije sector. Die 87.000 zitten in de ongereguleerde, vrije sector. Dat kunt u ook zien. De huurprijsstijgingen in de hele sociale sector zitten daar dus niet in. Het gaat over de vrije sector, waarvoor deze wet is bedoeld. Dat waren de vragen van de heer Koerhuis.

Voorzitter. Dan rest mij de Kamer ontzettend te bedanken voor dit mooie debat over een wat mij betreft toch echt wel fundamentele verandering van de huurbescherming, die hier hopelijk gerealiseerd wordt. Ik proef vrij brede steun in de Kamer. Dat vind ik heel mooi om te zien. Ik wil in het bijzonder de heer Smeulders bedanken voor onze gezamenlijke inzet in de onderhandelingen over de steun voor de begroting van de minister van dit jaar, waardoor dit mede in goede banen kon worden geleid. Ik wil de minister bedanken voor haar bereidheid om zo positief tegenover dit wetsvoorstel te staan. Ik dank de ambtelijke ondersteuning van het ministerie van Binnenlandse Zaken, die echt uitstekend was. Dat helpt ontzettend als je zo'n wet verder wil brengen. Tot slot dank ik natuurlijk de mensen die eigenlijk al het werk hebben gedaan. Ik sta hier een beetje ... Ik wou haast zeggen "mooi te wezen", maar dat is niet de term. Ik sta hier een beetje de boel te verdedigen, maar Jan en Milo hebben natuurlijk eigenlijk al het werk gedaan. Ik wil hen ontzettend bedanken. Ik zie de stemmingen dinsdag met vertrouwen tegemoet, en ik hoop dat deze wet snel in werking kan treden om de huurders van excessieve huurstijgingen te bevrijden.

Dank u wel, voorzitter.

De voorzitter:
Dank u wel, meneer Nijboer. Dan geef ik nu het woord aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.

Minister Ollongren:
Dank u wel, voorzitter. Bescheidenheid siert de mens, en zeker ook de heer Nijboer, maar we weten dat hij hier ook heel hard aan heeft gewerkt en de beantwoording net uitstekend heeft gedaan.

Er zijn nog een paar vragen aan mij gesteld. Ik zal de moties inderdaad ook voorzien van enig commentaar. De vraag die ik nog even wat uitvoeriger wilde beantwoorden, of wat uitvoeriger dan zonet, is die over de samenloop tussen die twee wetsvoorstellen. Ik denk namelijk dat het goed is om even precies te weten hoe we dat zouden kunnen corrigeren. Het gaat dus om het initiatiefwetsvoorstel-Nijboer aan de ene kant en het wetsvoorstel Tijdelijke huurkorting aan de andere kant. Daarbij was al voorzien in een zogenaamde samenloop om dat goed te laten gaan, maar door de nota van wijziging behoeft dat inderdaad weer een aanpassing. Die samenloopbepaling klopt namelijk niet meer. Om tijdelijke huurkorting mogelijk te maken voor geliberaliseerde huurovereenkomsten na inwerkingtreding van dit initiatiefwetsvoorstel is een geactualiseerde samenloopbepaling nodig die exact hetzelfde realiseert als het inmiddels achterhaalde artikel 5 van wetsvoorstel 35516, dat op 8 december 2020 door de Tweede Kamer is aangenomen. Op die manier kunnen we dit corrigeren.

Voorzitter.

De voorzitter:
Een hele korte vraag, meneer Koerhuis, want u heeft heel veel geïnterrumpeerd.

De heer Koerhuis (VVD):
Het is een wetsbehandeling, voorzitter.

De voorzitter:
Ja, ja, ja, maar ... Tot slot. Echt een laatste vraag.

De heer Koerhuis (VVD):
Ik weet niet waar de minister nog mee komt, maar de wet inkomensgrenzen en huurverhogingsmogelijkheden staat wel toe dat de huren van scheefwoners boven de sociale huurgrens verhoogd worden. Ik weet, en dat is dus de dubbelcheck, dat het formeel sociale huurcontracten blijven. Ze vallen dus niet onder deze wet.

De voorzitter:
Ja, dank u wel. Gaat u verder.

Minister Ollongren:
Mijn antwoord zag dus op dat andere punt waar het net bij interruptie over ging.

De woonlastenneutraliteit hebben we denk ik net al gedaan.

De heer Nijboer heeft de vraag over de 87.000 woningen al beantwoord.

Dan heb ik alleen nog even, misschien ook in reactie op de heer Kops van de PVV en mevrouw Beckerman, een paar feiten die ik op een rijtje wil zetten. Ik heb er geen enkele behoefte aan om tien jaar Rutte te verdedigen. Ik heb daar maar de laatste kabinetsperiode deel van uitgemaakt. Ik zat niet in Rutte I met de gedoogconstructie, en ook niet in Rutte II, maar wel in het laatste deel. Ik denk toch dat het goed is om hier te zeggen dat ik echt hard heb gewerkt om die betaalbaarheid te verbeteren. Ik kreeg daar net al iets van de heer Koerhuis van mee, geloof ik. We hebben dat samen gedaan en dat uit zich dus ook in een afname van woonquotums en huurquotums bij huurders. Dat zie je ook terug in het aantal dure scheefwoners, dat is afgenomen. Ik ben heel benieuwd hoe de discussie verdergaat in aanloop naar de verkiezingen en de formatie. Ik volg dat natuurlijk allemaal met grote belangstelling, maar we hebben wel samen, met het Wetsvoorstel eenmalige huurverlaging, 260.000 huurders geholpen.

Er wordt hier heel vaak herhaald dat 800.000 huurders in financiële problemen zitten. U zult van mij nooit een relativering horen van het feit dat er huurders in de problemen zitten, maar die 800.000 is een getal uit 2015. Ik denk dus dat het echt belangrijk is om te bekijken wat er sindsdien is gebeurd. Het passend toewijzen is bijvoorbeeld ingevoerd, corporaties bouwen meer en in de huurtoeslag zijn de inkomensgrenzen vervallen. Het is niet zo dat er sinds 2015 en sinds dat cijfer niets is gebeurd. De inkomens zijn natuurlijk ook voor een deel gestegen, maar als je dat weer afzet tegen de huurstijging … Ik hoor soms percentages noemen die ik totaal niet herken en die ook gewoon niet gebaseerd zijn op feiten. Ik zou iedereen dus echt willen oproepen om niet te gemakkelijk dingen te zeggen, niet te gemakkelijk grote gebaren te maken en niet te gemakkelijk cijfers te gebruiken die niet kloppen. De reële huurstijging van het afgelopen jaar, dus gecorrigeerd voor de inflatie, is negatief. Dat zijn ook feiten. Ik wilde de Kamer dus ook op de nieuwe feiten en cijfers wijzen en ik zou iedereen willen oproepen om die te gebruiken.

Dan, voorzitter, de moties. De eerste motie is de motie-Smeulders c.s. op stuk nr. 11. Daarin wordt de regering verzocht om voorbereidingen te treffen voor een besluit om huurprijsbescherming via het woningwaarderingsstelsel in de vrije sector mogelijk te maken. Het gaat mij om de manier waarop deze motie geformuleerd is. Kijk, wij zijn een demissionair kabinet op weg naar verkiezingen. Ik zou me heel goed kunnen voorstellen dat de Kamer zegt: u kunt wel alvast iets onderzoeken wat een beetje die richting ingaat. Dat zou door de Kamer misschien ook geïnterpreteerd kunnen worden als een vorm van voorbereiding. Maar het vraagt wel erg veel om op déze motie oordeel Kamer te geven. Dat lijkt echt voor te sorteren op iets, terwijl ik, als u mij zou vragen "onderzoek het", daar veel …

De voorzitter:
De heer Smeulders.

De heer Smeulders (GroenLinks):
Het is eigenlijk een spreekt-uitmotie, omdat ik me heel goed realiseer dat het kabinet demissionair is en het niet logisch is om nog supergrote dingen bij het kabinet neer te leggen. Maar als de Kamer uitspreekt dat zij dit wil, is het in onze ogen best een logische vervolgstap dat de regering die wens van de Kamer dan verder gaat uitwerken, zonder dat er al een heel precieze uitwerking vormgegeven is. Zo is er ook meer ruimte in de formatie. Maar ik wil eigenlijk geen tijd verliezen, vandaar deze vorm.

Minister Ollongren:
Ik wacht natuurlijk af wat de Kamer doet. Nogmaals, ik zie geen enkel bezwaar tegen het onderzoeken hiervan, maar ik vind niet dat een demissionair kabinet voorbereidingen kan treffen. Althans, ik kan daar geen oordeel Kamer op geven, maar ik wacht het oordeel van de Kamer uiteraard wel af.

De voorzitter:
Maar er staat wel "verzoekt de regering". Maar goed, prima. Gaat u verder.

Minister Ollongren:
Ik heb 'm ontraden, maar wel met een beetje tegenzin, en ik heb ook een suggestie meegegeven voor hoe ik 'm zou kunnen uitleggen.

De voorzitter:
U heeft tot dinsdag de tijd, meneer Smeulders, om eventueel over een nieuwe formulering te denken, zodat collega's die ook tijdig kunnen zien en erover kunnen stemmen.

Minister Ollongren:
Dan de motie-Kuiken c.s. op stuk nr. 12, voorzitter. Deze motie ziet op de kwestie van de flexibilisering van de huurcontracten. Daar heb ik natuurlijk al vaak met de Kamer over gesproken. Ik heb gezegd dat we bezig zijn met de evaluatie van de tijdelijke huurcontracten. Die wordt dit voorjaar afgerond en ik zou die heel graag willen afwachten. Dat lijkt me hét moment om conclusies te trekken. U zou de motie dus kunnen aanhouden tot dat moment, en anders moet ik de motie voor nu ontraden.

De voorzitter:
Oké.

Minister Ollongren:
De derde motie is de motie-Beckerman c.s.

De voorzitter:
Mevrouw Kuiken, heel kort. Als u naar de interruptiemicrofoon loopt, hoeft u uw mondkapje niet op te doen.

Mevrouw Kuiken (PvdA):
Ik wilde daar even op reflecteren. Maar dat is ook ruim na de verkiezingen, dus …

Minister Ollongren:
Mevrouw Kuiken wil van mij meer precisie dan "in het voorjaar". Dat weet ik niet. Voorjaar is inderdaad een rekkelijk begrip.

Mevrouw Kuiken (PvdA):
Nou, dan brengen we hem gewoon in stemming. Dank u wel, voorzitter.

De voorzitter:
Wel in stemming, oké.

Minister Ollongren:
Sorry, ik krijg nu, live as we speak, door dat ik april kan toezeggen aan de Kamer. Dan wordt u in ieder geval geïnformeerd.

De voorzitter:
Oké. Ja, is goed. Gaat u verder.

Minister Ollongren:
De motie op stuk nr. 13 van mevrouw Beckerman over het bevriezen van de sociale huren. We gaan de maximale huurstijging ook in de gereguleerde sector op inflatie plus 1% zetten. Dat is echt een forse beperking, denk ik. De hele tijd gaan we op zoek naar de balans tussen het beschermen van de huurder en het investeren in en het bouwen en realiseren van nieuwe woningen.

Wij hebben bepaalde keuzes gemaakt en hebben daar heel vaak met de Kamer over gedebatteerd. Dus ik ontraad deze motie.

De voorzitter:
Ja. Mevrouw Beckerman.

Mevrouw Beckerman (SP):
Dan zou ik hem toch ook even aan de minister willen laten zien: de stemwijzer die partijen zelf mogen invullen. We zien toch echt dat mevrouw Kaag het eens is met de stelling: "huren de komende vier jaar niet omhoog". Dan horen we dezelfde dag van de minister eigenlijk iets anders. Die zegt: we gaan de huren in de sociale sector alsnog verhogen. Waarom?

Minister Ollongren:
Mevrouw Beckerman heeft mij horen zeggen dat ik haar motie ontraad, omdat ik vind dat ik ook als demissionair minister consistent moet zijn met wat ik tot nu toe heb voorgestaan. Wij hebben gekozen voor specifieke huurverlaging voor 260.000 huurders. Die houden daarmee gemiddeld €40 per maand in hun portemonnee, waardoor ze de eindjes aan elkaar kunnen knopen. Daar heb ik voor gekozen. Het staat iedereen vrij, en zeker ook mijn partij met lijsttrekker Kaag, om in het verkiezingsprogramma andere keuzes te maken. Maar ik kan niet ineens als demissionair minister iets anders doen. Dat is wat anders dan hoe partijen hun stemwijzer invullen. Daar ben ik natuurlijk niet voor verantwoordelijk.

De voorzitter:
Tot slot, mevrouw Beckerman.

Mevrouw Beckerman (SP):
Dat de minister voor een deel van de huurders de huren verlaagt, is een hele goede stap. Maar het is niet genoeg. De Eerste Kamer heeft drie keer een motie aangenomen voor een huurbevriezing. Uw partij zegt dat nu ook in stemwijzers. Ik kan me dus toch ook voorstellen dat de minister nu zegt: wij zijn demissionair; ik vind dit stiekem ook, dus ik laat het oordeel mooi aan de Kamer.

De voorzitter:
Ik vind dit stiekem ook, haha. Wel leuk!

Minister Ollongren:
Ik vind wel dat mevrouw Beckerman zeer haar best doet om iedereen te overtuigen en ook mij, maar ik vind dat ik consistent moet zijn. Verkiezingen gaan ook over dit soort zaken en zo hoort het ook.

De voorzitter:
U kunt niet stiekem zeggen dat u ...? Goed.

Minister Ollongren:
Voorzitter, als u het goed vindt, ga ik door met de volgende motie.

De voorzitter:
Dat lijkt mij een heel goed idee.

Minister Ollongren:
Mij ook. De motie op stuk nr. 14 van mevrouw Beckerman gaat over de zelfbewoningsplicht. We hebben gekozen voor de opkoopbescherming. Daar wordt nu aan gewerkt. De reacties uit de internetconsultatie die ik net al noemde, worden verwerkt. Ik hoop dit alles dit voorjaar bij uw Kamer te kunnen krijgen. Ik ben uiteraard demissionair en dus geheel afhankelijk van wat de Kamer op dat punt wel of niet wil. Ik kan wel zeggen dat de zelfbewoningsplicht juridisch heel erg lastig is. De Kamer is daar vaker over geïnformeerd door mij. Met de opkoopbescherming komen we in ieder geval een heel end in de richting, denk ik.

Tot slot de motie-Van Eijs op stuk nr. 15. Deze motie vraagt om een onderzoek. Sowieso vind ik dat onderzoeksmoties in principe altijd positief bejegend moeten worden door het kabinet. Dat zou ook passen bij de verdere voorbereiding voor een volgende periode. Het is eigenlijk een verbreding van een verzoek dat we eerder hebben ontvangen. Ik heb toen ook een toezegging gedaan aan de heer Smeulders. Ik kan de motie oordeel Kamer geven. Als de motie wordt aangenomen, zal ik kijken hoe we dit verder kunnen uitdiepen.

De voorzitter:
Dank u wel.

Minister Ollongren:
Voorzitter, dank u wel.

De voorzitter:
Ik zie u kijken, meneer Koerhuis. Het kan niet gaan om discussies over moties, want er zijn geen moties van u. Is er een vraag blijven liggen?

De heer Koerhuis (VVD):
Ik had nog een openstaande vraag. De minister ging heel snel naar de moties. Hoeveel woningen hadden met betrekking tot verduurzaming nou een huurverhoging van meer dan 1,5%? Dit is belangrijk voor mijn fractie bij de afweging van het hele wetsvoorstel.

Minister Ollongren:
Bij die 87.000 woningen zijn geen verhogingen die samenhangen met woningverbetering en verduurzaming. Dat had ik al in mijn eerste termijn beantwoord, dacht ik.

De voorzitter:
Dank u wel. Daarmee zijn we aan het einde gekomen van de behandeling van dit initiatiefwetsvoorstel.

De algemene beraadslaging wordt gesloten.

De voorzitter:
Ik wil de heer Nijboer ontzettend bedanken voor het initiatiefwetsvoorstel, want het is ongelofelijk veel werk. Het is ongelofelijk veel werk, mevrouw Kuiken, om een initiatiefwetsvoorstel in te dienen naast het gewone werk als Kamerlid. Dank daarvoor. Dit staat los van de uitkomst. Het feit dat u dat doet, meneer Nijboer, is zeer te waarderen. Datzelfde geldt voor de ondersteuning, de heer Ravensbergen en de heer Gouvernante, want zonder medewerkers lukt het niet altijd om zulke wetsvoorstellen klaar te krijgen. Ik dank natuurlijk ook de minister en alle woordvoerders.

Over het wetsvoorstel en de ingediende moties gaan we volgende week dinsdag stemmen.

Hiermee zijn we aan het einde gekomen van de vergadering. Ik dank iedereen en ik sluit de vergadering.

Sluiting

Sluiting 18.42 uur.