Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 15.00 uur
De heer Van den Berg i (VVD):
Dank u wel, voorzitter. Onze samenleving ontwikkelt en digitaliseert in hoog tempo en dat is maar goed ook. Waar het twintig jaar geleden nog heel normaal was om je bankzaken te doen via een acceptgiro, doen velen van ons dit sinds enkele jaren via de mobiele telefoon of met hun slimme horloge. Digitalisering dwingt ons om nieuwe technologieën in de gaten te blijven houden en de wet te blijven toetsen op zijn kwaliteit en toepasbaarheid in de digitale samenleving. Hoe die digitale samenleving er in de toekomst precies uit zal gaan zien, mag nog ongewis zijn, maar het is duidelijk dat onze toekomstige vrijheid, veiligheid en welvaart voor een aanzienlijk deel zullen afhangen van de mate waarin we voorbereid zijn op, en ons kunnen aanpassen aan de digitale werkelijkheid.
De overheid die digitaal in contact staat met burgers, en daarmee ook digitale diensten verleent, moet de identiteit van die burgers goed kunnen vaststellen. Digitale identiteitscontrole is een stuk ingewikkelder dan wanneer dit face to face gebeurt, maar is daarom niet minder noodzakelijk. Om veilig, betrouwbaar en toegankelijk te kunnen communiceren met de overheid, wordt er bijvoorbeeld al jarenlang gebruikgemaakt van DigiD. Dit kan alleen nóg veiliger, nóg betrouwbaarder en nóg toegankelijker. Deze Wet digitale overheid regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij de overheid en semioverheid. Burgers krijgen elektronische identificatiemiddelen die een stuk betrouwbaarder zijn dan het huidige DigiD.
Daarnaast beoogt deze wet een gelijker speelveld te creëren voor Nederlandse aanbieders van digitale inlogmiddelen ten opzichte van hun buitenlandse concurrenten. In veel andere Europese landen is vergelijkbare wetgeving al van kracht, waardoor ontwikkelaars uit die landen een voorsprong hebben. Deze bedrijven hebben al een trackrecord opgebouwd met hun producten, en breiden hun markt en hun marktaandeel gestaag uit, terwijl onze bedrijven nog op deze markttoegang zitten te wachten. Dat is onwenselijk.
Bij de behandeling van het oorspronkelijke wetsvoorstel — die was vóór mijn tijd — was de Eerste Kamer terecht zeer kritisch op een aantal privacywaarborgen. De staatssecretaris heeft de wet daar nu op aangepast en die aanpassingen zijn door mijn fractie met instemming ontvangen.
Voorzitter. Wat betreft de novelle is onder de AVG en de eIDAS-verordening het principe van privacy by design eigenlijk al leidend. Toch is het goed dat de staatssecretaris het principe nu heeft aangescherpt in deze wet. Zo weten we zeker dat er bij het ontwerpen van een informatiesysteem of nieuw product in beginsel al rekening wordt gehouden met iemands privacy. Persoonsgegevens van burgers zijn de meest privacygevoelige gegevens. Deze worden nu extra beschermd in deze wet.
Ook is mijn fractie er tevreden over dat het verbod op het verhandelen van gebruikersgegevens nu in de wet is verankerd. De organisatie die het identificatiemiddel maakt, moet aannemelijk maken dat er geen inkomsten worden verkregen uit het verhandelen of verstrekken van gebruikersgegevens. Zo zorgen we er als wetgever voor dat de gegevens van gebruikers niet verhandeld worden.
Voorzitter. De leden van de VVD-fractie zien de WDO als onderdeel van een nieuwe tranche aan digitaliseringswetgeving die hard nodig is. En we zien de wet als een goede stap in de richting van een beter werkende digitale overheid. Iedere ingezetene van Nederland, maar met name zzp'ers en kleinere ondernemers — daar hebben we er gelukkig veel van in dit land — hebben veel te winnen bij een beter werkende digitale overheid.
Toch heeft de VVD ook zorgen bij dit wetsvoorstel, specifiek rondom de uitwerking van de opensourcemethode. Het open karakter van de broncode van de software maakt de digitale inlogmiddelen die met deze wet geregeld worden in zekere zin transparant, en draagt eraan bij dat meerdere slimme ontwikkelaars zorg kunnen dragen voor de kwaliteit en veiligheid van de producten, want ontwikkelaars van over de hele wereld kunnen meekijken in de broncode van de software en kunnen daarmee helpen deze te verbeteren. Door aan te geven waar de zwakke punten liggen, wordt de software waarschijnlijk veiliger. Dat is nuttig, want samen ben je slimmer. Daarnaast creëer je een situatie waarin de rijksoverheid niet afhankelijk wordt van één of een klein aantal softwareleveranciers, maar van een community van developers, zoals de staatssecretaris heeft aangegeven.
Toch is het werken met opensourcecodes lang niet zaligmakend in zichzelf. Ik doel hierbij op het risico dat de gemeenschap van ontwikkelaars niet groot genoeg is of van onvoldoende kwaliteit, of dat de community voor een deel zal bestaan uit developers die helemaal niet het beste voor hebben met Nederland of met de privacy en veiligheid van Nederlanders, van u en van mij. Deze kwaadwillende ontwikkelaars kunnen in de broncode zien waar mogelijk zwakke punten van de software liggen zonder dat deze verbeterd worden, waardoor de Nederlandse overheid en haar burgers risico's lopen.
Voorzitter. Doordat de mate van veiligheid van open source uiteindelijk afhankelijk is van de sterkte, activiteit en omvang van de vrijwilligersgemeenschap van ontwikkelaars, is het succes ervan niet automatisch gegarandeerd.
De heer Ganzevoort i (GroenLinks):
Dat is een mooi woord, "gegarandeerd". Goed om dat nog te horen. Want daar gaat precies mijn vraag over. Er zijn kwaadwillende ontwikkelaars. Zijn die er bij closed source dan ook?
De heer Van den Berg (VVD):
Bij closed source is er minder risico. Althans, bij closed source verlaat je je minder op het feit dat er externen zijn die aan de bel zullen trekken en met elkaar tot verbeteringen komen. Daarin zit naar mijn beeld het grotere risico.
De heer Ganzevoort (GroenLinks):
Ik vraag dit omdat de heer Van den Berg een warm pleidooi houdt voor het bedrijfsleven dat zich zou moeten kunnen ontwikkelen en de markt op zou moeten kunnen en dergelijke. Op dat punt hoor ik geen enkele aarzeling bij mogelijk kwaadwillende aanbieders. Waarom is die er dan opeens wel bij open source?
De heer Van den Berg (VVD):
Waar het onze fractie om gaat, is dat wij aan de ene kant zo veel mogelijk gebruik willen maken van en zo veel mogelijk baat willen hebben bij de veelheid aan mogelijke aanbieders. We willen zo veel mogelijk gebruikmaken van de innovatiekracht, die in grotere mate bij private aanbieders ligt dan die er bij de overheid zou liggen. Tegelijkertijd proberen we er aan de achterkant voor te zorgen — dat zult u in het vervolg van mijn betoog ook horen — dat de overheid daar zo goed mogelijke garanties voor inbouwt. Dus ja, in beide gevallen zijn er risico's. Alleen, in het ene geval zijn de risico's naar ons idee groter en moeten we die proberen goed binnen de perken te houden en daar goede waarborgen voor in te bouwen.
De voorzitter:
Tot slot, meneer Ganzevoort.
De heer Ganzevoort (GroenLinks):
Nu klinkt het alsof de heer Van den Berg zegt: ik zie de risico's vooral aan de opensourcekant. Maar als we helemaal niet weten wat hun sourcecode is en we helemaal niet weten welke motieven ze hebben, dan willen we ze wel toelaten. Ik hoop dat de heer Van der Berg daar in zijn nadere betoog op ingaat, want dat lijkt me erg spannend.
De heer Van den Berg (VVD):
Ik wil daar wel direct op ingaan. Natuurlijk is het niet zo dat je bij closed source alle risico's of mogelijk problemen kunt uitsluiten. Wij zien dat je door private aanbieders wel toe te staan, voordelen binnen kunt halen, maar dat de risico's daar tegelijkertijd mee toenemen. Die moet je door middel van goede waarborgen zien te minimaliseren.
Mevrouw Gerkens i (SP):
Sterker nog, met closed source kun je per definitie niet zien of er kwaadwillende programmeeractiviteiten hebben plaatsgevonden. Dat is mijn vraag. Het lijkt erop dat de heer Van den Berg zegt: je hebt ontwikkelaars die open source ontwikkelen en je hebt ontwikkelaars die closed source ontwikkelen. Heb ik dat goed begrepen?
De heer Van den Berg (VVD):
Ja, ik denk dat je inderdaad ontwikkelaars hebt die closed source ontwikkelen en ontwikkelaars die open source ontwikkelen. Althans, in een situatie waarin je open source hebt — dat is eigenlijk de kern van mijn betoog hier — en je daar gebruik van maakt, vertrouw je erop dat er een gemeenschap van ontwikkelaars op vrijwillige basis meekijkt, de zwakheden identificeert en met oplossingen daarvoor komt. We zeggen: daarmee maak je je eigenlijk afhankelijk van een community. Is die community altijd van de kwaliteit, de omvang en de permanentie die je zou willen?
Mevrouw Gerkens (SP):
Ik denk dat de vragen rondom een stevige community terecht zijn. Daar heeft de staatssecretaris volgens mij ook aandacht aan besteed in de beantwoording. Maar mijn punt is niet of er specifiek opensource- of closedsourceontwikkelaars meekijken. Het gaat erom of je de broncode hebt gepubliceerd of niet. Zodra de broncode is gepubliceerd, kan de hele goegemeente, iedereen, meekijken, vrijwillig of niet. Ik kan de heer Van den Berg verzekeren dat het onder coders zo ongeveer een hobby is om te kijken naar codes. Er zijn genoeg mensen die dan onmiddellijk gaan kijken of daar kwetsbaarheden in zijn, dus men hoeft er niet bezorgd over te zijn of er voldoende opensource- of closedsourceontwikkelaars zijn. Zodra de broncode gepubliceerd is, kan iedereen meekijken en zijn er dus voldoende mensen die de kwetsbaarheden kunnen ontdekken. Bij closed source is dat niet zo.
De heer Van den Berg (VVD):
Mevrouw Gerkens geeft aan dat je die garantie hebt over de kwaliteit en de omvang van die community. Daar heb ik nog een aantal vragen over.
Ik vervolg mijn betoog dus eigenlijk precies op het punt waar we met de interrupties bij geëindigd zijn. Alleen als de gemeenschap groot genoeg is en bestaat uit goedwillende ontwikkelaars, wordt de software nog veiliger. Maar indien die gemeenschap niet groot genoeg blijkt of wanneer de community een ander belang dient dan het algemeen belang, wordt de opensourcemethode geen veiligheidsmaatregel meer, maar wordt die methode misschien een veiligheidsrisico. Het doel van dit wetsvoorstel is het creëren van een veiligere, betrouwbaardere en toegankelijkere digitale omgeving voor burgers. Daarom hechten de leden van de VVD-fractie eraan dat we in dit debat helder krijgen hoe de staatssecretaris van plan is om ervoor te zorgen dat de gemeenschap van ontwikkelaars die zich rondom de software ophoudt, inderdaad waarborgt dat de producten die zo veel gevoelige informatie bevatten, veilig en van hoge kwaliteit blijven. De staatssecretaris schrijft dat het er "in de kern om gaat dat de software veilig is, onderhouden wordt, en beschikbaar is en blijft", maar hoe zij van plan is om dat te waarborgen, is voor mijn fractie nog onvoldoende duidelijk.
Voorzitter. De staatssecretaris gaf schriftelijk aan te willen stimuleren dat de gemeenschap achter de open source groot genoeg is en blijft. Hoe en in welke mate deze stimulering nodig is, wil de staatssecretaris bezien in het licht van de ontwikkelingen. Dat vindt mijn fractie te vaag en te vrijblijvend, want als we de afgelopen tijd iets geleerd hebben, dan is het wel dat die veiligheid niet iets statisch is, maar een proces is. Wat vandaag veilig is, hoeft niet overmorgen nog steeds veilig te zijn. Het is daarom essentieel dat de veiligheidseisen ook procedures omvatten voor het geval dat er een gat in de code zit of een hack is, en ter voorkoming daarvan. Daarom is het noodzakelijk dat er altijd een organisatie verantwoordelijk is voor de goede werking van het middel en de veiligheid.
De heer Van Hattem i (PVV):
De heer Van den Berg stelt op zich een aantal terechte vragen op het vlak van de opensourcecommunity, maar het punt is nu juist als volgt. Draai het even om. De kritiek die ook in de opmerking van de heer Van den Berg zit, is dat de opensourcecommunity ook kwetsbaarheden kent en dat er kwaadwillenden in actief kunnen zijn. Maar aanbieders van closedsourcesoftware kunnen evengoed kwaadwillend zijn. Daar kan ook de lange arm van China in zitten, waar de NCTV vandaag bijvoorbeeld nog voor gewaarschuwd heeft. Dus hoe ziet de heer Van den Berg van de VVD het voor zich dat dit bij zulk soort aanbieders wel uitgesloten kan worden?
De heer Van den Berg (VVD):
In reactie op de vraag van de heer Van Hattem, eigenlijk een andere formulering van de vraag die mevrouw Gerkens al eerder stelde: mijn betoog moet niet opgevat worden als een afwijzing van de opensourcemethode als zodanig of als een pleidooi voor closed source. Ik denk dat het werken met open source als zodanig een goede stap zou zijn, maar ik wil er ook voor pleiten of de staatssecretaris uitnodigen om duidelijker te maken hoe zij bij gebruikmaking van de opensourcemethode toch wil garanderen of in elk geval wil stimuleren, zoals zij schrijft, dat de community die daarop toeziet, van hoge kwaliteit is en dat je daar nog enige sturing op zou kunnen hebben. Daar richt mijn vraag zich op.
De heer Van Hattem (PVV):
Op dat punt is de vraag zeker terecht, zoals ik al aangaf. Maar de heer Van den Berg gaf eigenlijk ook aan dat er een situatie zou kunnen zijn waarin je werkt met closed source, eigenlijk met daarin de aanname dat dat toch veiliger zou kunnen zijn. Wil de heer Van den Berg hier nu toch pleiten voor het openhouden van de mogelijkheid van die closedsourcecommunity of zegt hij duidelijk dat we dat echt niet moeten willen en dat we echt voluit voor die opensourceoplossingen gaan?
De heer Van den Berg (VVD):
Mijn pleidooi moet niet opgevat worden als een afwijzing van open source als zodanig, maar ik wil er wel voor waken om te denken dat bij gebruikmaking van open source de veiligheid, de betrouwbaarheid en de kwaliteit automatisch verbeteren. Ook dan moet je waarborgen inbouwen om te kijken hoe al die veronderstellingen die bij open source horen, ook in de praktijk geborgd kunnen zijn.
Voorzitter. Daarom zouden de leden van de VVD-fractie de staatssecretaris graag het volgende willen vragen. Aan welke voorwaarden moet een groep ontwikkelaars in de ogen van de staatssecretaris voldoen om als een volwaardige gemeenschap te worden gezien? Hoe is de staatssecretaris concreet van plan te stimuleren dat een goed functionerende gemeenschap van ontwikkelaars ontstaat? De leden van de VVD-fractie zouden graag een verduidelijking krijgen van hoe de staatssecretaris dit van plan is en wat haar plannen zijn indien deze gemeenschap in de toekomst niet meer aan de vereisten zal voldoen. Op welke manieren is zij dan van plan te garanderen dat de inlogmiddelen waarover wij spreken veilig en van hoge kwaliteit blijven? Wie is uiteindelijk eindverantwoordelijk indien de opensourcemethode niet naar behoren blijkt te werken? Is dit de rijksoverheid of is dit de betreffende softwareleverancier? Hoe gaat de staatssecretaris deze verantwoordelijkheid juridisch regelen?
En dan mijn laatste vraag. Kan de staatssecretaris de ministeriële regeling verder aanscherpen en hierbij aansluiten bij bijvoorbeeld breder gehanteerde vereisten vanuit de eIDAS-verordening en invulling in de Europese standaarden van ETSI, waarmee een hoog niveau van veiligheid kan worden behaald?
Dank u wel.
De voorzitter:
Dank u wel, meneer Van den Berg. De heer Koole.
De heer Koole i (PvdA):
Ik dank de heer Van den Berg voor zijn betoog. Ik dacht dat hij nog even op het punt van het toezicht zou komen, maar dat deed hij niet. Ik heb daar een vraag over. Hij zei in het begin dat hij zeer ingenomen was met het in de novelle opnemen van het handelsverbod op gegevens. Ik ben het met hem eens dat het heel goed is dat dit handelsverbod er is, maar hoe kun je dat nou op een adequate manier controleren? Want als private organisaties de beschikking krijgen over gegevens van burgers is het één ding om het juridisch te verbieden, maar een tweede om het te handhaven. Ziet de heer Van den Berg daarvoor voldoende adequate handhavings- en controlemiddelen opgenomen in deze wet?
De heer Van den Berg (VVD):
Ja, ik ben inderdaad ingegaan op het toezicht op de opensourcecommunity, om het zo maar te zeggen, en minder of niet op het toezicht op het verhandelverbod. Daar zijn natuurlijk ook vragen over gesteld en daar is in het verband van deze wet eigenlijk sinds 2018 over gediscussieerd. Wij zijn inderdaad blij met het toevoegen of verder expliciteren van het verhandelverbod door middel van deze novelle. Natuurlijk is de handhaafbaarheid daarvan een zorg voor ons in deze Kamer, maar wij hebben gemeend dat dit met de novelle en de toelichting van de staatssecretaris voldoende geregeld is.
De heer Koole (PvdA):
In de novelle en vooral in de wet is het toezicht natuurlijk geregeld. Het Agentschap Telecom speelt daarin een grote rol. Maar precies op welke manier kan zo'n agentschap dat ook controleren en nagaan? Is het niet noodzakelijk om nadere eisen te stellen aan commerciële partijen? Ik kom daar in mijn bijdrage ook nog op terug. Moet je niet eisen dat zij een soort Chinese muren bouwen tussen het gedeelte van de organisatie dat inlogmiddelen verzorgt voor de overheid en dus gegevens van burgers krijgt via die inlogmiddelen, en hun commerciële activiteiten, waarbij ze misschien over dezelfde burgers wel gegevens hebben verkregen op een andere manier? Die mogen niet worden verhandeld, maar ook niet worden gekoppeld, zo zegt de novelle. Hoe kun je dat in de praktijk nou controleren? Heeft de heer Van den Berg daar geen zorgen over?
De heer Van den Berg (VVD):
Natuurlijk zijn er altijd zorgen over de handhaafbaarheid. Wij hebben gemeend, zoals ik aangaf, dat dit met het expliciteren hiervan en de toelichting van de staatssecretaris nu beter en naar behoren geregeld is door middel van deze novelle. Ik kijk uit naar de bijdrage van de heer Koole. Ik denk dat dat verstandig is en ik zal met veel belangstelling volgen wat de staatssecretaris daarop antwoord. Uiteindelijk is zij namelijk degene die dit wetsvoorstel gaat verdedigen.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
De staatssecretaris moet in dit debat nog aan het woord komen, maar ze heeft natuurlijk op andere manieren van zich laten horen, in de Tweede Kamer en ook in antwoord op schriftelijke vragen van deze Kamer. Toch zou ik de heer Van den Berg willen vragen om een voorbeeld te geven waarvan hij denkt: ja, dat is nou een voorbeeld van hoe de staatssecretaris ziet dat het toezicht hierop goed is geregeld.
De heer Van den Berg (VVD):
Daarvan heb ik geen voorbeeld paraat. De explicitering dat het verhandelverbod nu zo is opgenomen in deze wet is voor ons een stap in de goede richting. Maar wat betreft de concrete uitwerking daarvan denk ik dat het goed is dat we dit debat gebruiken om daarover nadere informatie te krijgen.
De heer Ganzevoort (GroenLinks):
Nog een heel klein vraagje. Meta, het moederbedrijf van Facebook en dergelijke, heeft dit jaar tot nu toe voor ongeveer driekwart miljard aan boetes gekregen in Europa voor het niet goed omgaan met gegevens van klanten, om zo te zeggen. Driekwart miljard. Ik heb niet gemerkt dat het bedrijf daar last van heeft, maar het was driekwart miljard. Is het niet ontzettend naïef om nu te denken dat we met een verhandelverbod in een Nederlands wetje — ik zeg het niet oneerbiedig, maar toch — dat soort risico's hebben geweerd?
De heer Van den Berg (VVD):
Ik zou de kwalificatie "naïef" daar niet bij willen gebruiken. U geeft een heel sprekend voorbeeld, maar dat is gedetecteerd en daar is een sanctie op komen te staan. Over de hoogte en de serieusheid van die sanctie zegt u: dat voelt het bedrijf niet. Ik denk dat we er dan verder over moeten praten wat de sanctiemogelijkheden zijn, hoe we dat goed kunnen detecteren en hoe ons strafrecht of onze juridische waarborgen daarbij een goede rol kunnen spelen. Maar het feit dat die sanctie voor dat bedrijf is uitgevaardigd, geeft natuurlijk wel aan dat het handhaafbaar is.
De heer Ganzevoort (GroenLinks):
Dat stukje is handhaafbaar. Of het wel of niet opgespoord kan worden, daarover heeft de heer Koole net terecht vragen gesteld. Mijn punt is dat het de vraag is of je bedrijven die zo veel geld verdienen met data überhaupt op de markt moet willen toelaten om onze persoonlijke gegevens te beheren. Dat is de belangrijkste vraag.
De heer Van den Berg (VVD):
Die vraag van de heer Ganzevoort begrijp ik. Ik zie dat mijn fractie en die van de heer Ganzevoort daar met een andere blik naar kijken, met een andere blik op de wereld en welke rol je private partijen hierin wil geven. Ik denk dat het antwoord op die discussie niet zou moeten zijn het totaal weren van private spelers bij dit soort onderwerpen, maar dat het antwoord meer gezocht moet worden in hoe je het juridisch goed kunt organiseren dat opsporing en effectieve sancties daar inderdaad mogelijk zijn.
Mevrouw Gerkens (SP):
Volgens mij betoogt van de heer Ganzevoort nu juist dat dat per definitie niet te doen is. Die boetes zijn gegeven nadat een strafbaar feit is geconstateerd. Dan zijn die data al gelekt. Dan is het kwaad dus al dusdanig geschied dat er enorme boetes tegenover staan. We hebben het hier over de meest vertrouwelijke informatie. Is de heer Van den Berg bereid daar toch zeg maar Russische roulette mee te spelen, wetende dat wij eigenlijk per definitie niet in staat zijn om binnen die systemen te ontdekken welke overtredingen Meta, Google, Microsoft et cetera hebben begaan?
De heer Van den Berg (VVD):
Ik denk dat het voor zich spreekt dat je dit pas kunt detecteren nadat het feit gepleegd is. Ik ben het ermee eens dat dit zeer onwenselijk is en dat je daar strenge regels voor moet hebben. Nogmaals, voor ons is dat een kwestie van een goede handhavingsstructuur eromheen bouwen in plaats van a priori te zeggen dat je private actoren sowieso van deze markt gaat weren.
Mevrouw Gerkens (SP):
Ik zou de heer Van den Berg ervan willen overtuigen dat het per definitie niet mogelijk is om te ontdekken of er misbruik is gemaakt van die gegevens omdat je het hebt over meta-, meta-, metagegevens. Het is alsof ik in uw brein zou moeten kijken, voorzitter, en zou zeggen: op dat plekje zit de naam van de heer Van den Berg. Dat is schier onmogelijk. Als ik de heer Van den Berg dit vertel, begint hij dan toch niet een beetje te twijfelen? Als ik hem ervan kan overtuigen dat het dus niet mogelijk is om dit goed in te richten, zou hij dan anders tegen het standpunt aankijken om dit soort private partijen toe te laten?
De heer Van den Berg (VVD):
Ik dank mevrouw Gerkens voor de vraag. Die ga ik even op mij laten inwerken, maar vooralsnog blijf ik bij het standpunt van mijn fractie.
Dank u wel.
De voorzitter:
Dank u wel. Dan is het woord aan de heer Dittrich namens D66.