Verslag van de vergadering van 21 februari 2023 (2022/2023 nr. 20)
Aanvang: 14.08 uur
Status: gecorrigeerd
Aan de orde is de voortzetting van de behandeling van:
-
-het wetsvoorstel Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) (34972);
-
-het wetsvoorstel Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid) (35868).
(Zie vergadering van 29 november 2022.)
De voorzitter:
Aan de orde is de voortzetting van de gezamenlijke behandeling van de wetsvoorstellen 34972, Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur, en 35868, Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur. De eerste termijn van de kant van de Kamer heeft plaatsgevonden op 29 november 2022. We zijn nu toe aan het antwoord van de regering in eerste termijn.
De beraadslaging wordt hervat.
De voorzitter:
Ik geef het woord aan de staatssecretaris Koninkrijksrelaties en Digitalisering.
Staatssecretaris Van Huffelen i:
Dank u wel, voorzitter. Fijn om in deze Kamer te zijn en met elkaar te spreken over deze twee wetten. De eerste termijn van de Kamer was op het moment van 29 november. Ik wil nu graag de antwoorden geven op de door de leden gestelde vragen. Ik heb daar erg naar uitgekeken en wil dat doen aan de hand van de volgende elementen. Ik wil beginnen met een korte inleiding en wil daarna de gestelde vragen beantwoorden in enkele blokjes, te beginnen met een blokje over inlogmiddelen en de private inlogmiddelen. Dan een blokje over de novelle, de aanvulling die door uw Kamer is voorgesteld. Dan het onderwerp privacy by design. Onderwerp nummer vijf is het verhandelverbod. Onderwerp nummer zes is open source. Onderwerp nummer zeven is centraal/decentraal. Nummer acht gaat over toezicht en interbestuurlijk toezicht. Dan heb ik nog een laatste stuk over uitvoerbaarheid. Ik hoop dat ik in de behandeling van deze blokjes ook alle vragen zal meenemen die door uw leden zijn gesteld.
Ik wil beginnen met een korte inleiding. Zoals ik net al zei, heb ik ernaar uitgezien om deze wet en de novelle die op uw initiatief is ingediend, te behandelen. Met name die novelle maakt dat de wet op een aantal punten, zoals privacybescherming, privacy by design, verhandelverbod en open source, echt beter is geworden. Ik wil daarvoor mijn waardering aan uw Kamer overbrengen. Met de novelle zijn de door uw Kamer nodig bevonden wijzigingen van het wetsvoorstel doorgevoerd. Het is belangrijk dat we als overheid met name meer regie gaan nemen op de digitalisering van de maatschappij. In de verschillende bijdragen is dat door uw leden ook genoemd. Met de wet die vandaag voorligt, is het fundament daarvoor een stukje sterker geworden. Dit fundament zorgt ervoor dat er ook echt regie kan komen op de digitale overheid. Een overheid met de daarbij behorende rechten en waarborgen van burgers en bedrijven in een eigen wet.
Het is misschien goed als ik kort samenvat waarover we het vandaag hebben. De WDO zoals die voorligt, plus de novelle, regelt dat gegevens van burgers verwerkt mogen worden door een overheid, zoals bijvoorbeeld DigiD, het machtigen of MijnOverheid. Het zorgt er dan ook voor dat bijvoorbeeld het verwerken van het bsn kan worden gebruikt bij het herkennen van die informatie. Er zit een verplichting in voor overheidsorganisaties om veiligheidstandaarden te gebruiken, zoals het slotje op websites, zodat sites van de overheid veilig, betrouwbaar en vooral ook herkenbaar veilig en betrouwbaar zijn. De wet zorgt er ook voor dat overheidsorganisaties aantoonbaar aan informatiebeveiligingseisen moeten voldoen zodat informatie die wij als burgers of bedrijven met de overheid delen, ook veilig is bij die overheid. De wet regelt ook dat overheidsorganisaties hun dienstverlening op een passend betrouwbaarheidsniveau moeten brengen zodat je zeker weet dat toegang tot gevoelige gegevens, zoals medische gegevens, veilig is. En de wet regelt ook de mogelijkheid om met zowel publieke als private inlogmiddelen digitaal zaken te doen met overheidsorganisaties. De wet vloeit overigens voort uit de zogenaamde eIDAS-verordening uit 2014, die al een tijdje geleden is aangenomen, en zorgt er daarmee voor dat ook erkende inlogmiddelen vanuit andere lidstaten in Nederland kunnen worden gebruikt.
Wat ik ook belangrijk vind, is dat de basis die deze wet biedt, vooral bijdraagt aan en mogelijkheden biedt voor andere maatschappelijke ontwikkelingen in het digitale domein. Het is bijvoorbeeld van belang dat in de zorg ouders het ziekenhuisdossier van hun kinderen kunnen inzien met hun eigen inlogmiddel, hun eigen DigiD bijvoorbeeld, en dat ouders van gehandicapte volwassen kinderen als bewindvoerder met hun eigen inlogmiddel de zorgtoeslag van hun kind kunnen aanvragen of de zorgkosten van hun kind kunnen declareren. De wet en de novelle zijn op de Europese wetgeving van 2014 geënt, maar wel aangevuld met de specifieke Nederlandse eisen uit de novelle.
U weet ook dat er een groot pakket aan Europese regelgeving op het gebied van digitalisering in voorbereiding is. Daarbij is ook de herziening van de eIDAS-verordening aan de orde, die straks de introductie van een zogenaamde wallet of datakluis mogelijk maakt. Maar in deze wet wordt daar niet op vooruitgelopen. Ik wil daarmee de heren Van Hattem en de heer Van den Berg, die daar vragen over stelden, geruststellen. Hoewel we dat op heel zorgvuldige wijze in Nederland willen introduceren, is het nog onderwerp van gesprek in de EU, in het parlement. Dat zal nog een wijziging van de wet vergen, los van de wet die vandaag voorligt.
De heer Van Hattem i (PVV):
Het verhaal van de staatssecretaris is wat mij betreft maar het halve verhaal. Deze WDO legt de eerste tranche neer voor deze wetgeving. Alleen wordt de Europese digitale identiteit, waar de staatssecretaris in Brussel al mee heeft ingestemd, in de tweede tranche van deze wetgeving behandeld. Het is dus de eerste stap van de inkadering van de Europese digitale identiteit. Is de staatssecretaris het met mij eens dat zonder de stap die wij nu zetten met dit stuk wetgeving, die tweede stap ook niet aan de orde zal zijn?
Staatssecretaris Van Huffelen:
Nee, dat ben ik niet met u eens. De eerste verordening, op basis waarvan we de wet hebben gemaakt die we vandaag bespreken, is al in Europa aangenomen. Het is nodig dat lidstaten ervoor zorgen dat op een veilige manier kan worden ingelogd bij de overheid. Die regelt ook dat je bijvoorbeeld het Belgische inlogmiddel — wij hebben DigiD en in België is het itsme — kunt gebruiken om in te loggen bij de Nederlandse overheid. Dat regelen we met dit stuk. De regelgeving over de wallet is een tweede stap. Die gaat over het gebruiken van zogenaamde datakluizen of wallets. Daarvoor wordt een aparte verordening in Europa afgesproken. Die is nog niet afgerond. Nederland heeft ermee ingestemd, maar de trilogen met het Europees Parlement en de Europese Commissie vinden nog plaats. Dat is een aparte verordening, die we apart in eventuele aanvullende wetgeving in Nederland zouden moeten regelen. We spreken en stemmen hier zuiver over de inlogmiddelen en niet over de wallet.
De heer Van Hattem (PVV):
Het gaat op dit moment inderdaad over de inlogmiddelen, maar deze wet is ook een wet waarmee verdere kapstokken worden gecreëerd. Die kapstokken zijn de tranches van deze wetgeving. In de tweede tranche zit wel degelijk die wallet, die Europese digitale identiteit die wordt voorbereid. Kan de staatssecretaris aangeven waarom er nu wordt vooruitgelopen op de invoering van de wallet, waarom er in Brussel al wordt ingestemd met die wallet, terwijl deze wet als kaderwet hier nog niet eens is goedgekeurd?
Staatssecretaris Van Huffelen:
We moeten de wetgeving uit elkaar halen. Er zijn twee Europese verordeningen en er zijn twee wetten waarover we in Nederland moeten praten. Vandaag praten we over de regelgeving die een uitvloeisel is van de eerste eIDAS-verordening. Die gaat over het digitaal inloggen voor bedrijven en burgers bij de overheid. Een volgende eIDAS-verordening moet eerst nog in Europa worden afgerond. Pas dan spreken we over de implementatie in Nederland. Het is dus niet zo dat als u met deze wet instemt, u automatisch instemt met de wallet. Het zijn twee trajecten die los van elkaar staan.
De voorzitter:
Tot slot, meneer Van Hattem.
De heer Van Hattem (PVV):
Tot slot, voorzitter. Het is inderdaad zo dat de tweede tranche vanzelfsprekend nog als een apart stuk wetgeving komt. Maar zoals gezegd, is dit wel het kader dat met de Wet digitale overheid wordt geschapen om überhaupt tot die tweede tranche te komen. Kan de staatssecretaris aangeven of, wanneer wij deze WDO zouden verwerpen, er voor de invoering van de wallet in die tweede tranche weer een apart wetgevingstraject zal moeten worden opgestart?
Staatssecretaris Van Huffelen:
Er speelt sowieso een separaat traject. Het zijn twee Europese verordeningen waar los van elkaar in Europa over moet worden besloten. Over de ene is al lang geleden besloten, namelijk in 2014. Over de wallets wordt nog in Europa gesproken. Uiteindelijk moet een besluit worden genomen of die ook daadwerkelijk worden aangenomen en geïmplementeerd.
We spreken nu over het eerste stuk, dus over de inlogmiddelen en over de aanvullende Nederlandse eisen die we daaraan stellen, bijvoorbeeld de eisen die uw Kamer heeft gevraagd eraan toe te voegen op het gebied van privacy by design en verhandelverboden. Over het tweede stuk kunnen wij nog met elkaar komen te spreken, want er bestaat de mogelijkheid om in Nederland aanvullende afspraken over de wallets te maken. Het lijkt mij echter goed om de dingen stap voor stap te doen en helder te maken dat het hier echt over de inlogmiddelen gaat. Als u dat wenst, kunnen we in een later stadium met uw Kamer spreken over de wallets en de introductie daarvan in Nederland. Maar beide trajecten vinden ook los van elkaar plaats in Europa.
Er is dus een groter pakket van Europese eisen op het gebied van digitalisering in voorbereiding, maar wij lopen niet vooruit op die wet. Wij zullen uiteraard uw Kamer meenemen in de volgende tranches van de wetgeving. Maar nogmaals, die zijn vandaag niet aan de orde.
Er was nog een andere vraag, namelijk van de heer Ganzevoort: is de wet zoals deze er nu is, nog wel actueel? Dat is inderdaad zo. Niet in de laatste plaats omdat we in Europa nog bezig zijn met het goed vormgeven van die inlogmiddelen en met het ervoor zorgen dat ook de inlogmiddelen van de verschillende overheden kunnen worden erkend. Dat geldt zowel voor publieke als private, vanuit welk land van de Europese Unie dan ook. Het gaat dus over de mogelijkheid om ook met een Duits inlogmiddel in Nederland te kunnen inloggen of met een Frans inlogmiddel in België. Die techniek wordt geregeld in deze verordening. Wij zorgen er vooral voor dat we als overheid klaar zijn om ook daadwerkelijk te kunnen beslissen welke inlogmiddelen in Nederland voor de Nederlandse overheid kunnen worden ingeregeld.
De heer Ganzevoort i (GroenLinks):
Het risico van de algemene vraag of het actueel is, is dat je een heel algemeen antwoord krijgt. Maar de vraag is iets specifieker bedoeld. Daar zou ik wat reflectie op willen vragen. In de afgelopen vier jaar heeft de technologische wereld niet stilgestaan. Mijn vraag aan de regering was dan ook: kunt u daar eens op reflecteren? Welke nieuwe ontwikkelingen ziet u in de afgelopen vier jaar die ons kunnen doen nadenken over de vraag of we helemaal up-to-date zijn? Als we nu zouden beginnen, zouden we dan zaken nog scherper of anders doen?
Staatssecretaris Van Huffelen:
We hebben in de afgelopen jaren gezien dat het digitaal inloggen een veel hogere vlucht heeft genomen, of dat nu over de overheid gaat of over andere partijen. Als u bijvoorbeeld uw bankzaken online doet — ik weet niet of u dat doet, maar er zijn veel Nederlanders die dat doen — dan moet u ook inloggen bij die bank. Dan is het van belang dat je zeker weet dat dit op een veilige manier gebeurt. De bank wil ook graag weten dat u degene bent die de transacties voorstelt. Dat heeft dus een grotere vlucht genomen.
In deze wet proberen we het volgende te regelen. We zien natuurlijk dat er steeds weer nieuwe ideeën komen over bijvoorbeeld het verbeteren van de beveiliging en het zorgen dat een inlogmiddel op meerdere plekken kan worden gebruikt, dus niet alleen maar bij de rijksoverheid, maar ook bij de lokale overheid of in de zorg. Vanwege dat soort ontwikkelingen hebben we gekozen voor een kaderwet met daaronder AMvB's en ministeriële regelingen. Dit zorgt ervoor dat we techniekonafhankelijk kunnen zijn. Met deze kaderwet en deze novelle regelen we vooral dat je op een veilige manier kunt inloggen en dat die vereisten gelden. Maar wij zullen natuurlijk wel heel strak blijven kijken naar welke ontwikkelingen er zijn. Als er bijvoorbeeld hogere beveiligingseisen nodig zijn, dan worden die geïntroduceerd. Dat doen we ook in Europa. We kijken ook goed of de vereisten die aan bepaalde vormen van techniek worden gesteld voldoende zijn. Ik weet dat er nu ook wat meer wordt gekeken naar hoe je decentrale technologie anders kunt inzetten om ook achteraf te kunnen controleren of je bijvoorbeeld bij een overheid hebt ingelogd. Er zijn ontwikkelingen en die nemen we mee. Daar biedt deze wet de ruimte voor.
De heer Ganzevoort (GroenLinks):
Eerlijk gezegd zoek ik nog naar iets meer kritische reflectie, want volgens mij hebben we in de afgelopen jaren ook een aantal andere dingen gezien. We hebben gezien dat er een enorm risico is van datamaximalisatie in plaats van dataminimalisatie. Vanochtend nog las ik in de media dat de Nederlandse overheid van alle reizigers via Schiphol van alles en nog wat registreert, tot en met hun menuvoorkeur aan toe. Dat bewaren we vijf jaar, tegen alle wetten in. Worden dit soort kritische reflecties ook meegenomen? Ik zoek niet zozeer naar een staatssecretaris die gaat uitleggen dat het echt een heel goede wet is. Ik zoek veel meer naar een gesprek over de vraag: als we dit goed hebben geregeld, zijn we dan helemaal up-to-date? Of zijn er toch een aantal elementen waarvan de regering zegt: die moeten we misschien toch nog meenemen, hetzij vandaag, hetzij de komende tijd, omdat hier nieuwe zorgen zitten?
Staatssecretaris Van Huffelen:
Als ik die elementen zou zien, mag u erop vertrouwen dat ik die toevoeg. Het hele werkprogramma dat ik heb als staatssecretaris over digitalisering, gaat over de vragen of iedereen kan meekomen, of je regie hebt en of je het kunt vertrouwen. Daarbij spelen allerlei elementen een rol, zoals de algoritmes waarover u het heeft. Een groot onderdeel van het belang is dat we ervoor zorgen dat algoritmes in Nederland op een ongelooflijk zorgvuldige manier worden gereguleerd, ongeacht of ze worden gebruikt door overheden of door private partijen. Dat ben ik zeer met u eens. Dat is een grote zorg en daar moeten we hard aan werken.
Als het specifiek over dit inlogmiddel gaat, vind ik het heel erg belangrijk — dat zeg ik u ook graag toe — dat wij voortdurend blijven kijken naar de veiligheid en betrouwbaarheid ervan. Dat is namelijk precies wat je wilt. Je wilt dat je nu op een veilige manier kan inloggen, maar dat dat volgend jaar en het jaar daarna ook nog zo is. Je wilt ook dat je technologie kunt inzetten om dat te kunnen blijven doen als er nieuwe, betere technologie komt. Dat vind ik echt heel erg belangrijk. Op dit moment werken we met het hoogste betrouwbaarheidsniveau. Op basis van die novelle hebben we gezegd dat we nog weer scherper kijken naar privacy by design en dat we nog meer inzetten op open source om ervoor te zorgen dat nieuwe technologie en lekken in software tijdig worden herkend. Die waarborgen zitten er op dit moment in. We kiezen echter niet voor één technologie of één middel noodzakelijkerwijs, omdat we de mogelijkheid willen kunnen bieden om die ontwikkelingen te blijven doormaken. Maar laat ik er helder over zijn: met u ben ik zeer bezorgd over een aantal ontwikkelingen in de digitale samenleving en in de transformatie. Het is dus heel erg belangrijk dat we zeker weten dat jij het bent als je zakendoet met de overheid en dat je werkelijk wilt doen wat je aangeeft.
De voorzitter:
Tot slot, meneer Ganzevoort.
De heer Ganzevoort (GroenLinks):
Dat gaat over de inlogmiddelen en daar komen we de rest van de middag nog uitgebreid over te spreken. De wet gaat echter ook over standaardisering van de infrastructuur en dergelijke. Mijn vraag aan de staatssecretaris is of zij zou willen overwegen om, bijvoorbeeld voor de volgende tranche, te kijken hoe elementen als algoritmische discriminatie onderdeel kunnen worden van de regelgeving. Dat gaat ook over bijvoorbeeld standaardisering.
Staatssecretaris Van Huffelen:
Daar wil ik zeker heel graag naar kijken, dus die toezegging doe ik graag. Of dat in een volgende tranche aan de orde is, daar moeten we goed naar kijken. We zijn natuurlijk al bezig met regelgeving op dit gebied. Er goed naar kijken of er bij een volgende tranche nog verdere waarborgen nodig zijn, dat zeg ik u graag toe.
Wat natuurlijk van belang is, is dat we voldoende blijven kijken naar de veiligheid van deze inlogmiddelen. Het is maar een kleine, maar niet onbelangrijke stap als het gaat over het vormgeven van de digitale overheid. Dat moet op een goede manier gebeuren, zodat er een goede balans zit tussen controle en ervoor zorgen dat je kunt doen wat je wilt doen. Ondanks het feit dat er mensen zijn die het moeilijk vinden om digitaal zaken te doen met de overheid — ik kom daar straks nog op terug — weten we dat er ook veel mensen zijn die het heel fijn vinden. Dat zijn niet alleen particulieren, maar ook bedrijven. Door de wet zodanig flexibel te maken dat er ook in onderliggende regelingen verder kan worden aangescherpt, hopen we een stelsel te creëren dat daadwerkelijk de komende tijd de tand des tijds kan doorstaan.
De heer Talsma vroeg specifiek naar die systematiek. Hij vroeg hoe dat precies werkt en hoe het parlement betrokken raakt bij die verschillende algemene maatregelen van bestuur. Voor wat betreft deze wet, de WDO, is er een delegatiemogelijkheid naar AMvB ingevuld. Die mogelijkheid is ook besproken in de Tweede Kamer en zorgt ervoor dat u invloed heeft op die AMvB's voordat het besluit naar de Raad van State gaat voor advisering.
De heer Talsma vroeg of er in dit geval ook een bijzondere vorm van gecontroleerde delegatie geregeld is en of er de mogelijkheid is om ervoor te zorgen dat ook deze Kamer extra aandacht kan besteden aan de invulling van de AMvB's voordat ze daadwerkelijk worden ingezet. Dat is een bijzondere figuur, die we niet heel veel kennen. Voor een deel kennen we die in de BES-wetgeving en in de Vreemdelingenwet. Het zorgt ervoor dat u ook betrokken blijft bij de lagere regelgeving die onder deze wet komt. Wij kunnen zorgen dat wij daarmee uw betrokkenheid goed blijven behouden.
Wat volgens mij ontzettend belangrijk is — dat punt werd ook door de heer Dittrich en anderen gemaakt — is dat er nooit een verplichting voor mensen is om digitaal zaken te doen met de overheid. Er is dus ook geen verplichting om gebruik te maken van een inlogmiddel; dat is immers de eerste stap om die zaken te kunnen doen. Wij willen ervoor zorgen — dat is in de Algemene wet bestuursrecht goed geregeld, maar dat is ook een punt dat in de Tweede Kamer heel uitdrukkelijk aan de orde is geweest en dat ook door u is gemaakt — dat er altijd een offline alternatief is voor mensen. Een alternatief kan zijn het Informatiepunt Digitale Overheid in de bibliotheken, waarvan er in Nederland 600 zijn. Mensen kunnen daar geholpen worden en wegwijs gemaakt worden bij de digitale overheid. Je kunt ook naar de gemeente gaan, of je kunt terecht bij een loket om te regelen wat je nodig hebt. Ik wil ervoor zorgen dat die alternatieven blijven bestaan.
Dat er een noodzaak is voor die alternatieven, is wel bewezen door het feit dat het meedoen in de digitale wereld niet alleen in mijn werkprogramma een belangrijke factor is. We weten immers dat 20% tot 25% van de Nederlanders niet voldoende digitaal vaardig is om daadwerkelijk zaken met de overheid te kunnen regelen. Natuurlijk willen wij dat percentage naar beneden brengen, of het nu gaat over jongeren — daarover zag ik vandaag nog iets in het nieuws — of over ouderen. Wij willen ervoor zorgen dat dit altijd mogelijk blijft.
De informatiepunten, waar mevrouw Prins een vraag over stelde, zullen wij dan ook blijven ondersteunen. In 2023 ontvangen de gemeenten daarvoor een specifieke uitkering, die ook structureel is, om ervoor te zorgen dat dit soort informatiepunten er zijn. Ik ga daar vaak langs; ik weet dat die in een behoefte voorzien. De mensen kunnen daar langskomen als zij niet weten hoe de digitale overheid precies werkt, maar ook als zij hulp willen krijgen bij het vinden van de juiste instantie of samenwerkingspartner. Dat willen wij door blijven zetten.
De heer Van Hattem (PVV):
Het is op zich prima dat die positie blijft voor mensen die het niet digitaal kunnen doen. Alleen wordt het nu een heel breed middel. Het wordt ook voor private diensten ingezet. Die mogelijkheid wordt ook gecreëerd via deze wet. Hoe gaat de staatssecretaris voorkomen dat dit ook sluipenderwijs gebeurt? Dit zien we bijvoorbeeld gebeuren bij het digitaal betalen. Er zijn winkels die geen contant geld meer aannemen. Dat kan natuurlijk ook gebeuren bij de toepassing van dit middel. Hoe gaat de staatssecretaris waarborgen dat dit zowel voor de private als voor de publieke toepassingen geen glijdende schaal wordt?
Staatssecretaris Van Huffelen:
Deze wet gaat over inloggen bij de overheid. Wij bepalen natuurlijk zelf hoe dat kan. Wettelijk is bepaald dat dat op verschillende manieren kan; het kan digitaal als je dat wilt, maar het hoeft niet digitaal. De inlogmiddelen waarmee je dat doet, kunnen zowel publiek als privaat zijn. Ik heb ook in de Tweede Kamer uitdrukkelijk besproken dat er altijd voor zowel burgers als ondernemers inlogmiddelen bestaan die publiek worden gegenereerd.
Als u vraagt wat er in het algemeen verkeer gaat gebeuren — moet je bijvoorbeeld altijd digitaal zakendoen met een winkel als je sokken koopt op het internet? — dan is dat natuurlijk niet iets wat de overheid direct kan beïnvloeden. Wel heb ik in de discussie in de Tweede Kamer — maar dat is een discussie die gaat over de datakluizen — aangegeven dat ik eraan hecht dat voor de bedrijven die vitale diensten in de Nederlandse samenleving leveren, bijvoorbeeld energiebedrijven en banken, geldt dat altijd de mogelijkheid behouden blijft om met die bedrijven zaken te doen zonder dat je digitaal ingelogd hoeft te zijn of zonder dat je dat digitaal hoeft te doen. Dat is iets waar ik in de komende tijd verder aan wil werken. Als je dus niet digitaal wilt bankieren, of als je met je met je energiebedrijf op een andere manier wil werken dan digitaal, dan moet dat mogelijk blijven. Dat is een onderwerp waaraan ik werk. Maar hier gaat het niet over het inloggen bij private bedrijven, maar over het inloggen bij publieke instanties, namelijk de overheid zelf.
De heer Van Hattem (PVV):
Maar dat neemt het risico nog niet weg dat het sluipenderwijs kan gebeuren, dat het bijvoorbeeld op niet-digitale wijze dermate complex wordt dat het voor veel mensen eigenlijk geen optie meer is om het op die manier te doen. Wordt het dus ook een gelijkwaardige wijze aangeboden, zodat iemand die er bewust voor kiest om het op niet-digitale manier te doen, niet gelijk 1-0 of 2-0 achterstaat bij al z'n toepassingen en zodat diegene dus ook niet op indirecte wijze ontmoedigd wordt om het op die niet-digitale manier te doen?
Staatssecretaris Van Huffelen:
Dat is precies wat de Awb zegt: het moet op een goede en transparante manier ook niet-digitaal worden aangeboden. Ik hecht daar zelf ook enorm aan. Ik zei al dat er echt een groep Nederlanders is die niet kan of niet wil digitaal zakendoen met de overheid of met andere instanties. Ook waar het over onszelf gaat, over de overheid, hecht ik eraan dat we dat zo doen. Dat heeft niet alleen te maken met zuiver digitale vaardigheden. Soms moet je maar één keer in je leven iets met een overheid doen en vind je het gewoon fijn dat je goed wordt voorgelicht of dat het persoonlijk gebeurt, dat je naar een loket kan en dat het niet iets wordt waarvan je zelf denkt: ik weet eigenlijk niet goed hoe dat werkt. Dat moet dus gewoon goed worden ingericht en goed ingeregeld blijven. Wat de digitale voorlichting betreft, zeg ik nogmaals dat we daaraan doen in bibliotheken, bij digitale informatiepunten maar ook bij gemeenten. Ook op alle andere plekken — of het nu over de Belastingdienst gaat of over UWV — moet je bij een loket terechtkunnen wanneer jij dat prefereert boven het digitale. Wij zorgen er dus voor dat het allebei kan.
Naar aanleiding van de vragen die de heer Dittrich heeft gesteld, is in dit verband ook van belang om te noemen dat het er niet alleen om gaat dát er zo'n punt is, maar ook dat mensen daar in begrijpelijke taal en op een goede manier worden voorgelicht. Dat is ook een onderwerp waar onze overheid hard aan werkt. We hebben daar een aantal programma's voor. Direct Duidelijk zorgt ervoor dat er begrijpelijk wordt gecommuniceerd. Wij zorgen ervoor dat de Stichting Lezen en Schrijven meewerkt aan het maken van allerlei voorlichtingsmateriaal, zodat mensen goed geïnformeerd worden. Ik weet dat dat nog lang niet altijd perfect is, niet in de laatste plaats omdat we als overheid hier en daar een soort veelkoppig monster zijn, zou je kunnen zeggen. Er zijn veel uitvoeringsorganisaties en er zijn veel regelingen. Juist daar vinden wij het ontzettend belangrijk — deze regering heeft daar niet voor niets een programma voor dat Werk aan Uitvoering heet — dat niet alleen helder is op welke regelingen of op welke zaken een burger aanspraak kan maken of voor welke onderwerpen je bij de overheid terechtkan. Je moet dat ook zo makkelijk mogelijk en zo duidelijk mogelijk kunnen. Bovendien willen we er ook voor zorgen dat steeds meer dingen automatisch geregeld worden, zodat je niet altijd zelf alles moet aanvragen.
Voorzitter. Dan wil ik overgaan naar het stuk over de inlogmiddelen zelf, en dan vooral de private inlogmiddelen, waarover verschillende vragen zijn gesteld. Vanuit dat punt wil ik graag nog een keer ingaan op de Europese verordening waarop deze wet gebaseerd is. Die geeft en creëert namelijk de mogelijkheid om private inlogmogelijkheden in te zetten. Die zijn in verschillende andere lidstaten ook al toegelaten. Ik noemde bijvoorbeeld de Belgische itsme, een privaat inlogmiddel dat gebruikt wordt voor het inloggen bij de overheid. Dat kan dus ook gebruikt worden voor het inloggen in Nederland of bij een andere lidstaat.
In Nederland hebben we de keuze gemaakt om zelf ook private middelen toe te laten. Dat is onder andere gebeurd op basis van verzoeken die de Tweede Kamer daartoe heeft gedaan. Maar we hebben wel steeds gezegd dat er sprake moet zijn van extra vereisten die moeten gelden voor zowel publieke als private middelen. Zo moeten er extra waarborgen zijn voor de verplichting om gegevens gescheiden op te slaan en te gebruiken. Daar hebben verschillende leden vragen over gesteld, zeker de heer Ganzevoort. Met name als een inlogmiddel privaat is, moeten wij zeker weten dat de gegevens over het inloggen van de betreffende burger of het betreffende bedrijf niet worden vermengd binnen die organisatie met andere gegevens die wellicht over zo'n burger worden vastgelegd. Het is ongelofelijk belangrijk dat we er ook voor zorgen dat daar goed toezicht op wordt gehouden.
De heer Koole i (PvdA):
Ik hoorde de staatssecretaris zeggen dat de Europese richtlijn de mogelijkheid van private inlogmiddelen creëert. Mijn eerste vraag is of die Europese richtlijn ook de mogelijkheid van de inzet van private inlogmiddelen verplicht stelt.
Staatssecretaris Van Huffelen:
Het is niet verplicht dat wij in Nederland private middelen hebben. In deze wet regelen we dat die mogelijkheid van zowel privaat als publiek bestaat, maar een privaat inlogmiddel uit een ander land moeten wij in Nederland toestaan. Met het Belgische itsme kun je als Nederlandse staatsburger dus ook inloggen bij de Nederlandse overheid als je dat zou willen. Meestal gebruiken Nederlanders DigiD, maar het kan ook met andere middelen. Met andere woorden, de Nederlandse overheid moet zich ook verhouden tot de private middelen die in Europa worden ingezet, in de zin dat moet worden toegestaan om daarmee in te loggen.
De heer Koole (PvdA):
Begrijp ik goed dat, als het in het buitenland gebeurt, we ons daar als Nederland niet aan kunnen onttrekken, maar dat het nog geen verplichting is voor de Nederlandse overheid om dat ook mogelijk te maken?
Staatssecretaris Van Huffelen:
Nee. Maar we hebben natuurlijk op dit moment al private inlogmiddelen. De eHerkenning, het stelsel dat we gebruiken voor het inloggen van bedrijven bij de overheid, is een privaat middel, even los van de private middelen die we kennen in andere sectoren zoals banken enzovoort. Maar de kern is dat het niet een verplichting is voor Nederland om private middelen hier te erkennen, maar dat regelen we in deze wet wel, vanwege het feit dat we dat ook al in Europa doen, vanwege het feit dat ze er al zijn, vanwege het feit dat we private middelen moeten toestaan. Maar dat doen we ook vanuit de overtuiging dat met de randvoorwaarden die wij zelf stellen, en die met de novelle nog een keer zijn aangescherpt, private middelen veilig kunnen worden ingezet, met name omdat er een hele duidelijke scheidslijn moet zijn tussen de gegevens die er bij aanbieders zijn in termen van het inloggen, en de andere functionaliteiten, services of dienstverlening die zij eventueel aanbieden.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
Het is toch wel belangrijk om dat vast te leggen. Het is dus niet verplicht om het mogelijk te maken dat er private inlogmiddelen worden gecreëerd in Nederland. De Europese richtlijn maakt het wel mogelijk, maar wij zijn niet verplicht om dat in te voeren. Daarvoor is juist die controle op de scheiding van gegevens van belang, zoals de staatssecretaris ook zegt, dus tussen de gegevens die via het inlogmiddel binnenkomen en de gegevens die commerciële bedrijven op een andere manier binnenkrijgen, zodat ze niet verhandelbaar zijn. Ik heb in mijn vraag gesproken over Chinese muren. Zijn die er? Moeten die bedrijven niet bevraagd worden om dat te organiseren? Als nou blijkt — we komen er in een later blokje op terug — dat het eigenlijk niet of nauwelijks te doen is om die scheiding aan te brengen en daarop te controleren, dan is het misschien toch wel te overwegen om te zeggen dat wij dan geen gebruik moeten maken van de mogelijkheid die de Europese richtlijn biedt om private middelen aan te bieden, want de nadelen daarvan zijn zo veel groter dan de voordelen.
Staatssecretaris Van Huffelen:
Het punt is dat we in feite in Nederland al een erkend middel hebben dat privaat is, namelijk de eHerkenning. Daarmee loggen bedrijven in bij bijvoorbeeld de Belastingdienst, UWV of andere overheidspartijen. Op dit moment vindt ook al een dergelijke chinesemurentoets plaats — zoals u hem noemde; ik neem dat woord even over — namelijk dat de informatie die wordt verkregen op basis van het zijn van een inlogmiddel, niet wordt vermengd met andere informatie. Dat wordt extra verscherpt in het kader van deze wet. De taak daarvoor ligt bij de RDI, het vroegere Agentschap Telecom. Er wordt niet alleen maar eerst getoetst of er aan die vereisten wordt voldaan voordat zo'n middel ook daadwerkelijk mag worden toegepast, maar in deze wet is ook geregeld dat je, wanneer je daar niet of niet meer aan voldoet, onmiddellijk uit het stelsel wordt gezet. Nogmaals, dat laat onverlet dat een privaat middel dat erkend is in een andere lidstaat altijd ook in Nederland zal moeten worden erkend, los van of wij het wel of niet doen. Het is, denk ik, goed om dat helder te krijgen. Ik vind het zelf ongelofelijk belangrijk, en ik deel die zorg dus ook, dat we dat heel goed regelen, dus dat die scheiding tussen die datastromen er ook daadwerkelijk is, zodat er geen misbruik kan worden gemaakt door partijen die een inlogmiddel bieden en eventueel ook nog andere dienstverlening aan een burger of een bedrijf leveren. We moeten zorgen dat dat goed wordt ingericht. Ik ga er zo meteen nog iets meer vertellen over hoe we dat zo scherp mogelijk doen. Nogmaals, het is vooral op verzoek van de Tweede Kamer dat dit expliciet is opgenomen in de nota van wijziging om die private inlogmiddelen ook in Nederland te erkennen.
De heer Ganzevoort (GroenLinks):
Dat laatste was inderdaad vierenhalf jaar geleden het geval. De Tweede Kamer is misschien ook wel tot nieuwe inzichten gekomen. Maar mijn vraag is een iets andere. Die is principiëler dan alleen maar over het toezicht. Mijn eerste vraag is of het klopt dat de nationale wetgever een uitzondering kan maken voor het niet-erkennen; dat wil zeggen, dat sommige inlogmiddelen toch geweigerd kunnen worden op basis van gronden als bijvoorbeeld public interest, national security, het beschermen van fundamentele rechten, enzovoorts. Anders gezegd: stel dat men in een lidstaat waar men het iets minder nauw neemt met de Europese regels een inlogmiddel goedkeurt, hebben wij dan nog enige grip op wat er in Nederland gebeurt?
Staatssecretaris Van Huffelen:
Mijn beeld is dat dat niet zo is. Als het ergens anders wordt goedgekeurd, dan moet het goedgekeurd worden op basis van de Europese richtlijnen. Dit soort elementen zijn daar een onderdeel van. Nogmaals, de Belgische toezichthouder moet controleren of itsme voldoet aan de Europese verordeningen en vereisten. Dat geldt voor wat specifiek hierin staat, maar bijvoorbeeld ook de Europese GDPR, dus de privacyregelgeving, en dan moeten ze gecontroleerd worden. Mijn beeld is dat als dat is gebeurd, wij ze in Nederland moeten toelaten. Als bijvoorbeeld een Belgisch staatsburger itsme gebruikt, dan moet hij dat ook in Nederland kunnen doen als hij in Nederland zaken moet doen.
De heer Ganzevoort (GroenLinks):
Ik ben voor België iets minder bang dan voor sommige andere landen. Ik ben ook geen jurist, maar mijn beeld is in ieder geval dat als de staatssecretaris aanwijzingen heeft dat op een van deze punten iets aan de hand is, ze wel degelijk tot niet-erkenning kan overgaan. Ik zou op dat punt graag een goede juridische toetsing willen zien voordat we hierover gaan stemmen.
Laat ik nog een andere vraag stellen die hier direct aan raakt. De interpretatie van de eIDAS door de regering is volgens mij maximaler dan wat er in de eIDAS zelf staat. Het gaat namelijk heel erg over crossborder onlinediensten. Het is volgens mij niet crossborder als een Nederlandse burger bij de Nederlandse overheid aanklopt. Het is wel crossborder als bedrijven internationaal opereren en niet in ieder land een inlogmiddel moeten hebben. Dat snap ik. Maar op het moment dat een Nederlandse burger bij de Nederlandse overheid aanklopt, is volgens mij die crossborderregeling als zodanig niet van toepassing. Daar ziet deze hele verordening niet op. Vandaar toch mijn vraag aan de regering of deze interpretatie wel klopt en of zij ons juridisch kan overtuigen dat dit de juiste toepassing is of dat het een gemaximaliseerde toepassing is.
Staatssecretaris Van Huffelen:
Misschien even een paar dingen. Ik wil toch nog even terugkomen op uw punt over het erkennen. Het erkennen van een inlogmiddel betekent dat je een inlogmiddel in Nederland toetst. Dat inlogmiddel heeft dan vervolgens werking in het Europese domein. Als we deze wet vaststellen, kiezen we in Nederland ervoor om de Europese verordeningseisen te gebruiken en daaraan een aantal van de punten toe te voegen die in de novelle staan. Met andere woorden, of het nu een publiek of een privaat inlogmiddel is, als wij het erkennen, geldt die erkenning voor de hele Europese Unie. Als DigiD onderdeel wordt van dit stelsel — dat hoop ik van harte, want veel mensen maken er met plezier gebruik van — kun je met DigiD ook terecht in Duitsland, Polen, Spanje, nou ja, waar dan ook in de Europese Unie. Er is een verschil tussen erkennen en het feitelijk mogelijk maken om het te gebruiken. Als een middel is erkend in een andere lidstaat — we gaan ervan uit dat de Europese richtlijnen goed worden geïmplementeerd en dat de nationale toezichthouders daar goed toezicht op houden — dan is het zo dat dat middel dat in Duitsland is erkend, ook in Nederland moet worden gebruikt. Zo zit dat in elkaar en zo gaan wij dat ook toepassen.
De voorzitter:
Tot slot, meneer Ganzevoort.
De heer Ganzevoort (GroenLinks):
Tot slot. Ik wacht op de rest van het antwoord. Mijn fundamentele vraag ging over het hele crossborderprincipe waar de staatssecretaris zich op baseert. Dat geldt toch niet voor een Nederlandse burger die met de Nederlandse overheid communiceert?
Staatssecretaris Van Huffelen:
Jawel. Er is ook de mogelijkheid voor een Nederlandse burger om met een Belgisch inlogmiddel met de Nederlandse overheid zaken te doen. Dat kan.
De heer Ganzevoort (GroenLinks):
Maar dat staat niet in eIDAS. Daarin staat letterlijk: "Het doel van de verordening is te waarborgen dat veilige elektronische identificatie en authenticatie voor de toegang tot grensoverschrijdende onlinediensten van de lidstaten mogelijk is." Er staat "grensoverschrijdend". Dat is een kernbegrip in deze hele verordening. Daarom vraag ik: kan de staatssecretaris een juridisch sluitende argumentatie geven? Dat hoeft niet nu; dat mag ook in een brief. Kan zij in juridische zin duidelijk maken dat de verordening inderdaad dwingend leidt tot het toelaten van private diensten voor Nederlandse burgers bij de Nederlandse overheid? Dat is mijn vraag.
Staatssecretaris Van Huffelen:
Het dwingt sowieso niet, want als Nederlands staatsburger mag je gewoon gebruikmaken van de door Nederland erkende inlogmiddelen. Ik denk dat dat in de meeste gevallen ook zal gebeuren. Ik kom anders graag in tweede termijn op uw vraag terug. Ik begrijp dat uw vraag is: mag een Nederlandse burger met een inlogmiddel uit Duitsland of België zakendoen met de Nederlandse overheid?
De heer Ganzevoort (GroenLinks):
Nee, dat is niet mijn vraag.
Staatssecretaris Van Huffelen:
Nee? Oké. Het antwoord op de vraag die ik net noemde, is namelijk: ja.
De heer Ganzevoort (GroenLinks):
Nee, mijn vraag is: dwingt deze verordening ons om toe te laten dat een Nederlandse burger met een buitenlands middel bij de Nederlandse overheid inlogt? Mijn stelling is dat de verordening ons daar niet toe dwingt, gegeven de tekst van de eIDAS. Als de verordening ons daar wel toe dwingt, dan wil ik dat graag schriftelijk onderbouwd zien.
Staatssecretaris Van Huffelen:
Ik kom daar in de tweede termijn graag op terug. Puur dat "grensoverschrijdend" is niet het enige criterium. Dus een Belg kan in Nederland met zijn Belgische middel inloggen. En een Nederlander kan ook met het Belgische middel in Nederland inloggen.
Mevrouw Gerkens i (SP):
Daarop aansluitend moet ik dan concluderen dat alles wat wij hier nu per wet willen regelen, bijvoorbeeld het afdwingen van het gebruik van open source, eigenlijk een farce is. Immers, ieder ander middel van een ander land hoeft daar niet aan te voldoen.
Staatssecretaris Van Huffelen:
Dat kan, inderdaad. Wij kiezen ervoor om de inlogmiddelen die wij in Nederland erkennen, ook aan die extra vereisten te laten voldoen. Maar inderdaad en nogmaals: een Belg kan met een inlogmiddel dat voldoet aan de Belgische eisen, hier inloggen. Dat hoeven niet helemaal dezelfde eisen te zijn. Dat komt doordat wij een aantal extra punten in onze novelle hebben geregeld. Ja.
Mevrouw Gerkens (SP):
Aan de andere kant kan een Nederlander ook met dat Belgische inlogmiddel inloggen; dat heeft u ook al een aantal keren gezegd. Zo'n Belgisch inlogmiddel hoeft dan niet te voldoen aan de voorwaarden die wij hier aan de Nederlandse inlogmiddelen wel stellen. Zo begrijp ik het toch goed?
Staatssecretaris Van Huffelen:
Ja.
Mevrouw Gerkens (SP):
Dan zijn we hier toch een beetje nutteloos bezig?
Staatssecretaris Van Huffelen:
Dat lijkt mij niet, want u hebt aangegeven wat u van belang vindt om ook daadwerkelijk te realiseren. Een Nederlandse burger kan zeggen: ik wil het liefste werken met een Nederlands inlogmiddel. Het is aan hem of haar om daarin de keuze te maken.
Mevrouw Prins i (CDA):
Ik heb nog een aanvullende vraag. Ik ga uit van wat u net zei. Dat betekent dus dat de burger straks kan kiezen. Maar hoe weet de burger dan dat er bepaalde inlogmiddelen door de Nederlandse overheid zijn gecheckt, gescreend, getoetst et cetera, en dat dat bij bijvoorbeeld een inlogmiddel uit — ik noem een heel ander land — Roemenië of Bulgarije niet het geval is? Hoe zorgen we ervoor dat de burgers weten waar ze dan tussen kiezen?
Staatssecretaris Van Huffelen:
Het superformele antwoord is: het wordt gepubliceerd in het Staatsblad. Dat zegt natuurlijk wel iets. Dat zegt iets over het feit dat wíj die erkenning hebben gedaan. Maar ik denk dat het van belang is dat wij aan Nederlanders ook duidelijk maken welke inlogmiddelen door ons erkend zijn, gecheckt zijn enzovoort, enzovoort. Ik hecht er dus wel aan dat Nederlanders weten welke van die inlogmiddelen ook door de Nederlandse toezichthouder, in dit geval de Rijksinspectie Digitale Infrastructuur, extra zijn gecheckt.
Mevrouw Prins (CDA):
Mag ik zover gaan dat u een duidelijke toezegging geeft dat u voor het brede publiek uitdrukkelijk gaat communiceren welke inlogmiddelen door Nederlandse autoriteiten zijn gekeurd? En kunnen we wellicht zelfs denken aan een keurmerk?
Staatssecretaris Van Huffelen:
Er ís dus een keurmerk, want je bent pas erkend als je dat keurmerk hebt. Je wordt pas gepubliceerd en toegelaten in Nederland als onderdeel van het Europese stelsel als je dat keurmerk hebt. Maar ik denk dat het goed is dat we twee dingen doen. We moeten gewoon laten zien welke van die inlogmiddelen in Nederland erkend zijn, zodat het voor de Nederlandse burger helder is dat er een toets gedaan is, en niet alleen maar dat die toets is gedaan door een Nederlandse partij. Nogmaals: dat laat onverlet dat er ook andere partijen toegelaten moeten worden.
De voorzitter:
Mevrouw Prins, tot slot.
Mevrouw Prins (CDA):
De laatste keer. Ik zou toch graag de toezegging horen dat heel uitdrukkelijk wordt aangegeven, inclusief criteria, op grond waarvan wij de bepaalde Nederlandse inlogmiddelen goedkeuren, dus niet alleen DigiD, maar ook inlogmiddelen van private aanbieders.
Staatssecretaris Van Huffelen:
Dat doe ik graag. Als we een inlogmiddel erkennen, vind ik het nameljk belangrijk dat we ook aangeven waarom we dat doen, en dat is dus op basis van de vereisten die we in deze wet vastleggen.
De heer Van Hattem (PVV):
Het gaat nu wel op een heel vreemde manier. De staatssecretaris zegt: dat laat onverlet dat we de inlogmiddelen die uit andere landen afkomstig zijn, moeten toelaten. Dan kunnen we hier een keurmerk hebben en dergelijke, maar ja … Juist door het feit dat in deze wet zo veel dingen met elkaar verknoopt worden, ook de samenwerking met private partners, kun je een glijdende schaal krijgen, of een perverse prikkel, zo u wilt, waarbij een gebruiker bijvoorbeeld vanwege bepaalde zakelijke toepassingen kiest voor een bepaald inlogmiddel. Net is bijvoorbeeld Roemenië al genoemd, maar het kan ook Bulgarije, Cyprus of noem maar op zijn. Het kunnen allerlei landen zijn die er misschien een andere standaard op na houden dan Nederland. Als de zakelijke gebruiker, die private gebruiker voor zakelijke toepassingen, zegt dat hij het makkelijk vindt om dat inlogmiddel uit die landen te gebruiken omdat hij daar ook allerlei andere zaken heeft geregeld, krijgen we dan geen glijdende schaal? Kan er dan geen sprake zijn van een inlogmiddel dat hier massaal gebruikt wordt, omdat het voor zakelijke gebruikers misschien makkelijker en goedkoper is om aan mindere standaarden te voldoen en omdat het misschien zelfs ook wel interessanter is, omdat het verhandelverbod daar niet op van toepassing is? Loopt de Nederlandse gebruiker dan niet het risico dat zijn data via zulk soort inlogmiddelen verhandeld zullen worden?
Staatssecretaris Van Huffelen:
Ten eerste gelden de Europese regels in alle Europese lidstaten. Een verhandelverbod mag niet volgens de GDPR, in Nederland de AVG genoemd, dus volgens de privacyregels. Dat kan niet. Daar kan een inlogmiddel geen erkenning voor krijgen, in welke lidstaat dan ook. Als je als bedrijf of als burger zeker wilt weten dat er op een veilige manier met jouw gegevens wordt omgegaan, kun je er in Nederland voor kiezen om de Nederlandse overheid te volgen, omdat die een aantal inlogmiddelen heeft erkend, zowel publieke als private inlogmiddelen. Je kunt ervoor kiezen om die te gebruiken. Ik kan mij niet zo goed voorstellen waarom je het als bedrijf interessant zou vinden om een inlogmiddel te kiezen waarvan je weet dat je data daarbij niet veilig zijn. Ik denk dat zowel burgers als bedrijven, wanneer zij inloggen en zakendoen met een overheid, of dat nou de Nederlandse of een andere overheid is, heel graag willen dat dat op een goede manier gebeurt. Nogmaals, daar zijn in Europa heldere regels over afgesproken. Met deze wet maken we die regels nog wat explicieter en scherper voor de Nederlandse situatie, zodat Nederlandse burgers en Nederlandse bedrijven, wanneer ze gebruikmaken van die in Nederland erkende inlogmiddelen, weten dat er een extra toets is gedaan op bijvoorbeeld het verhandelverbod, privacy by design of open source.
De heer Van Hattem (PVV):
Maar dan kom ik toch op het punt van de perverse prikkel voor de gebruiker. Stel dat een gebruiker heel veel gebruikmaakt van bedrijven als AliExpress — ik noem even een willekeurig bedrijf, zonder daar een kwalificatie aan te hangen — of andere buitenlandse leveranciers, en inlogmiddelen gebruikt die voor allerlei handelstoepassingen makkelijk zijn. Het kunnen misschien ook bepaalde banken zijn, et cetera. Zo'n gebruiker kan dan denken: het is makkelijk om mijn inlogmiddel — dat wordt door die private partij nadrukkelijk gestimuleerd — ook in te zetten voor mijn contact met de Nederlandse overheid. Daarbij wordt dus niet dezelfde standaard toegepast die bij het Nederlandse erkende inlogmiddel wordt toegepast. Creëren we daarmee niet het risico van zulk soort perverse prikkels en van een glijdende schaal?
Staatssecretaris Van Huffelen:
Ik weet niet helemaal welke perverse prikkel er zou zijn. Als iemand inlogt met een inlogmiddel dat niet noodzakelijkerwijs door de Nederlandse overheid is erkend, maar wel door een andere Europese lidstaat, dan is de Nederlandse overheid ook gerechtigd om dat inlogmiddel te erkennen en te gebruiken. Althans, je kunt daarmee inloggen, als een bedrijf uit Duitsland, België, Frankrijk of welke Europese lidstaat dan ook dat wil. Ik begrijp niet zo goed waarom een bedrijf zou willen werken met een inlogmiddel waarvan het vermoedt dat het niet voldoet aan de Europese vereisten. Nogmaals, er is geen reden om te zien dat dat gebeurt, want elke lidstaat moet die erkenning voor elkaar krijgen. De Nederlandse overheid hoeft daarin niet zo veel te doen. De Nederlandse overheid moet alleen maar bezien of er daadwerkelijk sprake van is dat die partij gebruikmaakt van een inlogmiddel dat erkend is in een lidstaat en of die partij ook daadwerkelijk een partij is waar je zaken mee moet doen. Dat kun je dan ook herkennen. Ik zie dus niet zozeer waar hier de glijdende schaal is. Ik zou juist zeggen dat de glijdende schaal de goede kant opgaat, de kant die uw Kamer op wil, namelijk die waarbij extra vereisten gelden als je in Nederland zo'n inlogmiddel wilt laten erkennen of de toetsing daarvoor in Nederland doet.
De voorzitter:
Tot slot, meneer Van Hattem.
De heer Van Hattem (PVV):
Dat is nou net het punt. Het is dan een middel dat Nederland erkent, maar er kunnen ook middelen worden toegelaten die alleen in andere EU-lidstaten zijn erkend, want het gaat erom dat het middel in een EU-lidstaat is erkend. In die lidstaten worden minder strenge eisen gesteld dan in Nederland. Wat wij nu in de novelle hebben gefietst, wordt dus niet meegenomen in andere landen. Ik noemde maar een paar willekeurige voorbeelden. Maar het zou dus kunnen gebeuren dat het door bepaalde bedrijven heel erg wordt gestimuleerd om voor privaat gebruik minder streng gereguleerde inlogmiddelen te gebruiken. Daar hoeven ze waarschijnlijk ook minder kosten voor te maken.
De voorzitter:
Kunt u tot uw vraag komen, meneer Van Hattem?
De heer Van Hattem (PVV):
De inzet wordt dus makkelijker. Ik kom dan eigenlijk op het punt van die glijdende schaal. Als bepaalde bedrijven — dat kunnen ook bigtechbedrijven zijn — massaal inzetten op het gebruik van zo'n middel, wordt daarmee dan niet het door de Nederlandse overheid erkende middel gepasseerd door zo'n buitenlands middel? Hoe groot schat de staatssecretaris dat risico in?
Staatssecretaris Van Huffelen:
Ik schat in dat dat risico niet zo groot is. Eén. Uw Kamer heeft gezegd: wij willen dat er strengere eisen gelden. Ik heb u daar ook complimenten voor gemaakt. Ik heb zowel hier als in de Tweede Kamer toegezegd dat er altijd een publiek inlogmiddel zal zijn, zowel voor bedrijven als voor burgers. Dat betekent dus dat voor alle bedrijven die met de Nederlandse overheid zaken willen doen, er altijd een publiek middel is waarvoor we geen kosten in rekening brengen en waarmee je dus zaken kunt doen met de overheid. Dat geldt voor buitenlandse of Nederlandse bedrijven en burgers, of dat nou mensen zijn die in een andere lidstaat wonen of mensen die Nederlands staatsburger zijn en hier wonen. Ik zie dus niet zozeer in waarom een bedrijf ervoor zou kiezen om met een andere partij zaken te doen, als dat het idee heeft dat die partij niet fatsoenlijk met zijn gegevens omgaat. Nogmaals, daar is Europese regelgeving voor. Wij zorgen er in Nederland voor, onder andere ook met uw aanscherpingen van deze wet, dat er voor Nederlandse burgers en bedrijven en voor burgers en bedrijven die in Nederland zaken willen doen een inlogmiddel is dat erkend wordt en dat aan de scherpste eisen moet voldoen.
De heer Koole (PvdA):
Het begint op mij toch een beetje warrig over te komen. Daarom heb ik een vraag over een inlogmiddel dat door een buitenlandse overheid is erkend. Kan de Nederlandse overheid dat voor Nederland niet erkennen?
Staatssecretaris Van Huffelen:
Het punt is dat er geen dubbele erkenning is. Het middel wordt ergens aangemeld. De Belgen hebben het private itsme. Dat is bij de Belgische overheid aangemeld als een inlogmiddel. Het wordt door de Belgische overheid van een toetsing voorzien en dan wel of niet toegelaten tot het stelsel. Op dat moment moet het ook worden toegelaten in Nederland. Wij doen dus niet nog een extra check op inlogmiddelen die door andere Europese overheden zijn toegelaten.
De heer Koole (PvdA):
Dat betekent dus dat inlogmiddelen die elders in Europa zijn erkend, zonder meer ook worden toegelaten in Nederland en niet extra worden getoetst op de punten die bijvoorbeeld in de Nederlandse novelle, die we vandaag ook bespreken, zijn vastgelegd.
Staatssecretaris Van Huffelen:
Nee, dat kunnen we inderdaad niet. We kunnen dat doen voor de in Nederland aangemelde en erkende middelen, maar niet voor inlogmiddelen van andere lidstaten, want anders moet een inlogmiddel voor iedere lidstaat opnieuw een notificatie aanvragen. We doen dat in Europa in één keer, zodat je niet al die lidstaten af moet lopen voor erkenning als je als bedrijf of overheid zo'n middel maakt.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
Dan constateer ik toch dat de mogelijkheden om de Nederlandse extra eisen te omzeilen gigantisch zijn.
Staatssecretaris Van Huffelen:
De extra eisen gaan bijvoorbeeld over die open source. We willen dus graag dat die middelen open source zijn. Een bedrijf kan een inlogmiddel maken dat daar niet aan voldoet. Het moet overigens wel voldoen aan de privacyregels enzovoort, enzovoort. Maar wie met de Nederlandse overheid zaken moet doen, of dat nou een burger of een bedrijf is, hoeft niet voor dat inlogmiddel te kiezen. Die kan voor een in Nederland erkend inlogmiddel kiezen. En we hebben ook gezegd dat er altijd een publiek middel zal zijn. Dus als u in Nederland zaken wil doen met uw Nederlandse overheid, dan kunt u dat gewoon doen met een publiek Nederlands middel. Als u dat niet zou willen, hoeft u geen zaken te doen met een ander middel uit een andere lidstaat. Dat kan dus wel, maar dat hoeft niet.
Mevrouw Gerkens (SP):
Hier nog even op aansluitend. Ik kan overigens natuurlijk een Nederlands middel kiezen als ik daar voldoende van op de hoogte ben. Ik probeer mijn dochter er ook steeds van te overtuigen dat zij TikTok niet moet gebruiken, maar dat lukt mij ook niet. Dat is ook echt wel een falen van mijn kant, vind ik. Maar nu even toegespitst op deze vraag. Stel dat big tech een vergunning aanvraagt voor e-identificatie in — ik noem maar een land — Roemenië, en daar wordt hun inderdaad dat certificaat toegekend. Dat betekent in ons systeem dan toch dat wij Google vervolgens ook onder die voorwaarden moeten toelaten?
Staatssecretaris Van Huffelen:
Als er een inlogmiddel wordt gemaakt door een private partij — en dat zou Google kunnen zijn — en dat wordt erkend, door welke lidstaat in Europa dan ook, dan kan iemand inloggen met dat inlogmiddel bij de Nederlandse overheid.
Mevrouw Gerkens (SP):
Dus big tech kan op zoek gaan naar het laagste afvoerpunt, daar de erkenning aanvragen en vervolgens heel Europa met dezelfde tool bedienen?
Staatssecretaris Van Huffelen:
Dat zou kunnen. Maar het is geen verplichting voor iemand om daar gebruik van te maken. En zo'n bedrijf — welk privaat bedrijf het dan ook is; een bank, Google of een ander bedrijf — mag al helemaal niet gebruikmaken van het feit dat iemand bij dat bedrijf een inlogmiddel afneemt of dat inlogmiddel op een andere manier in relatie tot zijn andere activiteiten gebruikt.
De voorzitter:
Tot slot, mevrouw Gerkens.
Mevrouw Gerkens (SP):
Nee, dat mag niet. Dan kom ik straks nog even terug op dat punt. Volgens mij komen we daar sowieso nog op terug. Maar dan begrijp ik dus goed dat alles wat wij nu aan waarborgen met de novelle proberen te krijgen in deze wet, eigenlijk voor de big tech niet gaat gelden, want die zoekt het land waar het straks het minst lastig is?
Staatssecretaris Van Huffelen:
Dat weet ik niet. Ten eerste, het kan maar het hoeft niet. Heel veel bedrijven vinden het ook fijn als dingen goed worden gecontroleerd, omdat ze daarmee ook de status hebben die maakt dat bedrijven wellicht juist van deze dienstverlening gebruik willen maken. Maar de kern is dat voor alle landen de eIDAS-verordening geldt, en dat voor alle landen dus ook de privacyregels gelden. Zij moeten er dus ook voor zorgen dat er geen verhandelverbod is, enzovoorts, enzovoorts. Nogmaals, we scherpen dat in onze wet aan, maar het is niet zo dat een en ander niet geldt, want ook in die eIDAS en in de Europese wetgeving is geregeld dat bedrijven daaraan moeten voldoen.
De heer Van den Berg i (VVD):
Ik hoor uit de voorgaande discussie dat we dus een hele mooie wet aan het optuigen zijn, ook met de novelle, die wel geldt voor de instrumenten die in Nederland ontwikkeld worden en die hier erkend worden, maar dat we weinig te zeggen hebben over alles wat door andere lidstaten erkend wordt en hier automatisch toegelaten is, maar waarvan we niet weten of het aan dezelfde eisen voldoet. U zegt daarbij: ja, maar als Nederlands bedrijf of Nederlandse burger hoef je niet zo'n soort instrument te gebruiken. Mijn vraag is eerder, aansluitend op wat mevrouw Gerkens ook zegt: wat zou de drijfveer van een aanbieder zijn om het in Nederland erkend te krijgen? Als bij ons de richtlijnen strenger zijn dan in andere landen, denk ik dat we heel weinig instrumenten krijgen die via de Nederlandse route de markt proberen te betreden.
Staatssecretaris Van Huffelen:
Ik vind dat deze discussie toch een beetje de schijn krijgt alsof andere lidstaten nergens op controleren en de eIDAS-vereisten niet ook gelden voor andere Europese lidstaten. Ik zou niet in de situatie willen komen dat we zeggen dat de Belgen, de Duitsers of de Roemenen de Europese regelgeving aan hun laars lappen en in dit geval inlogmiddelen zullen toelaten. Geen van die landen, noch de bedrijven, noch de burgers van die landen, hebben daar namelijk enig belang bij, zou mijn beeld zijn. Die eIDAS-regelgeving geldt ook in andere landen. Ook het verhandelverbod geldt. Verder noem ik privacy by design, enzovoort, enzovoort. Het is misschien een beetje een vreemd voorbeeld, maar Nederlandse tweedehandsauto's zijn vaak meer waard, omdat wij zoiets hebben als een apk-keuring, die andere lidstaten niet hebben. Ik vraag me dus af of het niet juist andersom kan werken, namelijk dat een inlogmiddel dat erkend is in Nederland en dat voldoet aan de extra vereisten door heel veel landen liever wordt gebruikt. We staan nummer 3 in Europa als het gaat om digitalisering en digitaal zakendoen met de overheid. Ik kan me heel goed voorstellen dat andere lidstaten juist daarom de inlogmiddelen die wij gebruiken heel graag van ons overnemen. Daarmee zorgen zij ervoor dat het goed is geregeld en dat zij op een gemakkelijkere manier kunnen voldoen aan de vereisten, terwijl zij hun burgers niet blootstellen aan — nou ja, ik weet niet welke kwalificatie ik eraan moet geven — bedrijven die het niet zo nauw nemen met de Europese regelgeving.
De heer Van den Berg (VVD):
Uit uw antwoord maak ik op dat wij het bij de bespreking van deze wet hebben, op Europese schaal, over de ondergrens die in eIDAS gelegd wordt. U zegt dat wat door Nederland wordt goedgekeurd, de instrumenten zijn die het hoogste keurmerk zouden hebben en daardoor misschien extra gebruikt zouden gaan worden. Dat vind ik op zich een interessant argument. Ik vraag me daarbij wel af of we niet heel veel van burgers en bedrijven vragen als we verwachten dat ze precies weten in welk land een bepaald instrument aangemeld en goedgekeurd is, voordat ze het gaan gebruiken, zeker als het over internationale bedrijven gaat. Hoe kun je van een burger verwachten dat die weet via welke nationale wetgeving en welke nationale voorwaarden dat instrument de Europese markt betreden heeft?
Staatssecretaris Van Huffelen:
We hebben het in dit geval over inloggen bij de overheid en niet over inloggen bij private bedrijven. Dat is een ander hoofdstuk. In deze wet gaat het daarover. Wij gaan Nederlandse bedrijven en burgers — dat zei ik ook in het debat dat ik hierover had met mevrouw Prins — heel duidelijk maken welke inlogmiddelen door ons erkend zijn en welke door de overheid zelf worden uitgegeven, namelijk welke de publieke zijn, zowel voor burgers als voor bedrijven. Dus Nederlandse burgers hoeven niet op zoek te gaan naar een Pools, een Roemeens, een Frans, een Duits of een Belgisch inlogmiddel. Zij kunnen bij ons gewoon inloggen met de Nederlandse publieke middelen als ze dat willen, die hun gewoon ter beschikking staan. Met die novelle hebt u als Kamer gezegd: wij willen ervoor zorgen dat we zeker weten dat voor Nederlanders — maar dat kan overigens ook voor andere Europese staatsburgers — het zakendoen met de overheid op een zeer verantwoorde manier kan gebeuren, juist door de inlogmiddelen van zo hoge kwaliteit te maken en ze aan extra toetsen te laten voldoen. We zorgen er ook voor dat er altijd een publieke variant is. Daarmee zorgen we ervoor dat Nederlandse burgers goed beschermd zijn. Dat anderen, Belgen, ook van onze DigiD gebruik kunnen maken als ze dat graag willen, is good for them, zou je kunnen zeggen.
De voorzitter:
Tot slot, meneer Van den Berg.
De heer Van den Berg (VVD):
Die mogelijkheid wordt dus geboden. Een Nederlandse burger of een Nederlands bedrijf kan daarvoor kiezen, maar we kunnen weinig zeggen over welke andere instrumenten zich ook op die markt begeven. Die kunnen we dus ook niet tegenhouden.
Staatssecretaris Van Huffelen:
We kunnen ze niet tegenhouden als er in een ander Europees land een erkenning is. Als die erkenning er is, dan is die er. Daarvoor gelden die eIDAS-eisen. Die zijn niet laag. Daar staat heel goed in geregeld wat er nodig is. De Europese Unie en lidstaten onderling hebben strenge afspraken op dit gebied. Maar inderdaad, een erkend middel uit Duitsland moet ook in Nederland kunnen worden toegepast.
De heer Talsma i (ChristenUnie):
Dank aan de staatssecretaris voor het antwoord op een nog niet gestelde vraag van mijn kant. We stellen samen vast dat voor alle lidstaten in ieder geval dezelfde basisnormen gelden wat betreft deze problematiek. De vraag die ik eraan koppel, betreft de erkenning. Ik hoorde de staatssecretaris net het woord "gerechtigd" gebruiken. Ik kreeg de indruk dat de staatssecretaris zei dat Nederland dan het recht heeft om wel of niet zulke inlogmiddelen te erkennen, maar zegt artikel 6, lid 1 van de verordening niet dat het gewoon een moetje is, gewoon een hele harde verplichting?
Staatssecretaris Van Huffelen:
Als iemand zich bij ons meldt, iemand die een inlogmiddel wil maken, dan zegt de wet dat wij de toetsing moeten doen. Als iemand voldoet aan de vereisten, en als we deze wet aannemen dus ook aan die extra Nederlandse vereisten, dan moeten we natuurlijk zo'n middel erkennen. Maar misschien vraagt u naar bijvoorbeeld een Belgisch inlogmiddel dat in België erkend is. Dat moeten wij toelaten. Zo werkt het, ja.
Mevrouw Prins (CDA):
Ik heb nog een aanvullende vraag om dit te begrijpen. Begrijp ik dat wij, als wij deze wet niet goedkeuren, sowieso als Nederlandse overheid verplicht zijn om op basis van de Europese wetgeving wel andere inlogmiddelen uit andere landen te accepteren?
Staatssecretaris Van Huffelen:
Ja.
Mevrouw Prins (CDA):
Dus deze wet is, als ik het goed begrijp, een stukje extra. Als we het niet doen, dan blijven we op het niveau van de eIDAS-toetsingen?
Staatssecretaris Van Huffelen:
We moeten sowieso inlogmiddelen vanuit andere lidstaten toestaan. We kunnen als overheid gebruik blijven maken van andere inlogmiddelen, maar de kern is dat we inderdaad de erkenning voor inlogmiddelen moeten regelen in de Nederlandse wet.
Mevrouw Prins (CDA):
Dat begrijp ik. Dat waardeer ik ook. Ik wilde even voor mezelf zeker weten dat we, als we niks met deze wet doen of hem zouden afstemmen, als overheid altijd verplicht zijn om inlogmiddelen uit andere landen te gebruiken. Het is in ieder geval voor mij waardevol om dat te weten.
Staatssecretaris Van Huffelen:
Dat zegt de Europese verordening inderdaad.
De heer Ganzevoort (GroenLinks):
Dan het andere aspect van het toelaten van private aanbieders binnen de Nederlandse markt. Zegt de staatssecretaris nu ook dat wij gebonden zijn om die toe te laten? Eerder zei ze dat het een keuze is om ook private aanbieders toe te laten.
Staatssecretaris Van Huffelen:
Wat betreft het erkennen door de Nederlandse toezichthouder, de Nederlandse Staat, kunnen we ervoor kiezen — maar nogmaals, daar heeft de Tweede Kamer expliciet niet voor gekozen — om private partijen buiten ons erkenningsstelstel te laten. Dat laat onverlet dat die private partijen wel gewoon als inlogmiddel ingezet kunnen worden. De Nederlandse regering en de Tweede Kamer hadden die keuze kunnen maken. U zei: dat is een Kamer van een tijdje geleden. Maar goed, de Kamer is de Kamer. De Kamer heeft wel degelijk gezegd dat van belang te vinden. Ook bij het bespreken van de novelle vorig jaar heeft de Tweede Kamer steeds gezegd die combi van privaat en publiek van belang te vinden.
De heer Ganzevoort (GroenLinks):
Volgens mij was dat daar niet zo'n groot thema, maar deze Kamer is ook een Kamer. De regering zal dus ook deze Kamer moeten overtuigen dat het relevant is. Ik hoor de staatssecretaris vooral zeggen dat private aanbieders van de eIDAS toegelaten moesten worden. Volgens mij is dat dus niet zo. Vervolgens zegt ze dat het van de Tweede Kamer moest. Maar wat is nou de dwingende redenering waarom de regering wil dat private aanbieders worden toegelaten? Dat snap ik gewoon niet.
Staatssecretaris Van Huffelen:
Even om dit punt heel scherp te krijgen: ik heb niet gezegd dat wij het van eIDAS moeten erkennen. Als er ergens in Europa een privaat middel is erkend, moet je dat van eIDAS wel mogen gebruiken om zaken te doen met de Nederlandse overheid. Dat is dat. De Tweede Kamer heeft inderdaad aangegeven het belangrijk te vinden om beide te doen. Ik vind dit vanuit de regering ook relevant, omdat ik het heel belangrijk vind dat we in Europa op basis van een level playing field werken. Ik zou het gek vinden als het in andere landen wel mag en in Nederland niet mag. We hebben op dit moment al een privaat inlogmiddel, namelijk eHerkenning. Dit is een privaat middel dat door bedrijven gebruikt moet worden om zaken te doen met bijvoorbeeld de Belastingdienst en de Nederlandse overheid. Ik zie geen reden waarom we dat niet zouden willen. Er zijn andere argumenten die een rol spelen, namelijk zorgen dat je daarmee, ook door de concurrentie, extra innovatie kunt creëren. Als burger heb je dan de mogelijkheid om het via meerdere routes te doen met, nogmaals, als belangrijke basis dat er zowel voor bedrijven als voor burgers altijd een publiek Nederlands, aan hoge kwaliteitseisen voldoend middel moet zijn.
De voorzitter:
Tot slot, de heer Ganzevoort.
De heer Ganzevoort (GroenLinks):
Maar als dat publieke middel er dan altijd zo goed moet zijn, welke reden is er dan voor burgers om daar niet voor te kiezen? Kijk, ik maak me in die zin iets minder zorgen over bedrijven. Die hebben veel meer mogelijkheden om zich te wapenen en goed over dingen na te denken et cetera. Ik maak me wel zorgen over juist burgers, kwetsbare burgers. Daarom mijn vraag: wat voor dwingende reden is er nou om private aanbieders op die markt los te laten, als je dat al een markt wilt noemen?
Staatssecretaris Van Huffelen:
Er is geen dwingende reden, want het is dus niet verplicht om dat te doen. Ik weet bijvoorbeeld dat notarissen in Nederland zo'n inlogmiddel willen maken, waarmee je bij de Nederlandse overheid kunt inloggen en ook bij de notaris, wat nu met de DigiD bijvoorbeeld niet kan. De bankensector is een andere sector die daarover nadenkt. Zij zien dat kennelijk als een voor hen interessant te bieden optie aan hun clientèle, met daarbij de scherpe regelingen dat je geen data van de ene naar de andere kant van het bedrijf mag verplaatsen. Maar de kern is dat er private partijen zijn die daarin geïnteresseerd zijn. Degene die zich nu bij ons gemeld hebben, zijn banken en notarissen, die overigens officieel geen private partijen zijn, hoewel ze wel hun eigen inkomen moeten verdienen. Het is geen verplichting om het te doen.
De heer Ganzevoort (GroenLinks):
Nog heel even. Dit zijn voorbeelden die gaan over het gebruik van een publiek middel in een private sector. De notaris zou het fijn vinden als er een middel is dat zij ook kunnen gebruiken, prima. Omgekeerd: waarom zouden de burgers het fijn vinden om een middel te gebruiken wat niet onder verantwoordelijkheid van de overheid wordt gemaakt? Die redenering blijft voor mij nog steeds onduidelijk. De valkuilen die van allerlei kanten genoemd zijn, worden kennelijk niet echt opgepikt. Ik mis die redenering.
Staatssecretaris Van Huffelen:
U stelt dat de Nederlandse overheid een inlogmiddel moet maken waarmee je ook bij private partijen kunt inloggen. Dat is onze bedoeling niet. Wij willen een publiek middel maken waarmee je kunt inloggen bij publieke partijen. Het is niet de bedoeling dat je met DigiD kunt inloggen bij een internetsite die sokken verkoopt, om maar een voorbeeld te noemen. Het is zo dat private partijen ervoor kunnen kiezen om inloggen bij verschillende instanties mogelijk te maken. Het kan voor een burger handig zijn om een ander inlogmiddel te gebruiken voor de minimale hoeveelheid data die je moet delen als je bijvoorbeeld dat paar sokken op internet wilt kopen en betalen. Nu kun je bijvoorbeeld met Facebook of Google inloggen. Je geeft daarmee een heleboel data weg. Misschien niet op een manier die heel zichtbaar is, maar het gebeurt wel. Als je dat niet wilt en gebruik wilt maken van een ander inlogmiddel, kan zo'n private partij dat aanbieden. Die partij kan ook aanbieden dat je kunt inloggen bij de overheid. We gaan het niet andersom creëren. We willen geen DigiD maken waarmee je ook kunt inloggen bij private partijen.
De heer Dittrich i (D66):
Mag ik de staatssecretaris vragen om een beeld te schetsen van wat er zou gebeuren als wij dit wetsvoorstel zouden wegstemmen? Wat is dan de situatie qua inlogmiddelen in vergelijking met de situatie als het wetsvoorstel wel zou worden aangenomen? Ik wil het ook weten specifiek voor Nederlanders die in het buitenland inlogmiddelen gebruiken om met de Nederlandse overheid te gaan handelen.
Staatssecretaris Van Huffelen:
De Europese verordening zegt dat er inlogmiddelen moeten zijn om als burger of als bedrijf zaken te kunnen doen met de overheid, en dat een lidstaat zo'n inlogmiddel ter beschikking moet stellen. Dat betekent dat er in iedere lidstaat zo'n inlogmiddel moet zijn of gecreëerd moet worden door een private partij. Maar het moet er zijn. Dat is een. Dat verandert niet met het aannemen van deze wet. Met andere woorden: er moeten inlogmiddelen zijn, er moet een mogelijkheid zijn voor Nederlandse burgers om in te loggen.
Wat u met de novelle doet, is daar voor de in Nederland erkende inlogmiddelen een paar extra, stevige verscherpingen aan toe te voegen. U zegt: ik wil zeker weten dat het verhandelverbod explicieter is, ik wil zeker weten dat er open source is en nog een aantal andere elementen die erin zitten. Maar los daarvan moet de erkenning van buitenlandse middelen er ook zonder deze wet komen. Dan moeten we Nederlandse private en publieke middelen allemaal erkennen. Dan zijn we niet aan het stuur voor het daadwerkelijk in Nederland regelen van de inlogmiddelen die we in Nederland willen toestaan.
De heer Dittrich (D66):
Dus eigenlijk is het verschil dat we dan Nederlanders een mogelijkheid ontnemen om hele goede, degelijke inlogmiddelen te hebben.
Staatssecretaris Van Huffelen:
Ja.
De voorzitter:
Staatssecretaris, het is mijn taak om een beetje op de voortgang van dit debat te letten. We zijn nu bijna anderhalf uur bezig. U bent nog bij het tweede van acht onderwerpen. Of heeft u een aantal andere misschien en passant al behandeld?
Staatssecretaris Van Huffelen:
Ik denk het wel, maar ik ga proberen dat zo snel mogelijk te doen. Als ik vragen gemist heb, zullen uw leden die vast nog boven water halen. Ik denk dat we over het onderwerp waar we waren gebleven, die private, voldoende hebben gewisseld.
Ik ga nog even naar het thema van de novelle zelf. Door uw leden is gevraagd wat die novelle extra regelt. Dat is privacy by design, het verhandelverbod voor gegevens en opensourcesoftware. Die novelle is niet alleen op basis van de vragen van uw Kamer tot stand gekomen, maar ook aangenomen in de Tweede Kamer.
Over privacy by design is een aantal vragen gesteld. Ik gaf aan dat de AVG, de Europese wetgeving op het gebied van privacy, sowieso geldt voor alle inlogmiddelen. We hebben in de novelle aangegeven dat we dat extra willen versterken. De heer Talsma vroeg: hoe zit dat nou precies? Er wordt door de Nederlandse toezichthouder, in dit geval de Rijksinspectie Digitale Infrastructuur, getoetst op privacy by design bij het erkennen van een inlogmiddel. Dat gebeurt niet alleen maar bij de toelating, maar ook permanent, omdat het van belang is dat er doorlopend toezicht plaatsvindt door de RDI. Dat geldt voor privacybescherming maar ook voor de andere vereisten. Dat vinden we vooral van belang omdat de techniek natuurlijk vordert — een punt dat de heer Ganzevoort maakte — en omdat we daarmee blijven werken aan het steeds weer aanscherpen. Sowieso moeten de aanbieders van inlogmiddelen iedere drie jaar een zogenaamde DPIA opnieuw inleveren. De Rijksdienst controleert niet alleen op papier, maar kan ook bij de bedrijven kijken en heeft de mogelijkheid om aanwijzingen te geven en boetes uit te delen. Bij schending van de voorwaarden kan een bedrijf uit het stelsel worden verwijderd.
Dan waren er nog vragen over het verhandelverbod. Het is natuurlijk helder dat persoonsgegevens geen handelswaar zijn en mogen zijn. Als aanbieders dat doen, overtreden zij de AVG en zal er gehandhaafd worden. Als dubbel slot op de deur is een extra verhandelverbod vastgelegd voor de aanbieders van inlogmiddelen. Dat is nog een keertje aangescherpt bij amendement in de Tweede Kamer; zie de Handelingen uit de Tweede Kamer over dit amendement. Dat betekent dus ook — dat was een vraag die werd gesteld door de heer Ganzevoort — dat aanbieders van inlogmiddelen die zich niet aan de regels houden uit het stelsel zullen worden gezet. Persoonsgegevens mogen op geen enkele manier commercieel worden uitgenut, bijvoorbeeld door ze voor profilering te koppelen aan andere gegevens of door ze door te verkopen. Wij vinden dat ontzettend belangrijk en delen dat heel erg. Met het verbod dat we nu in deze wet opnemen, heb ik een extra sturingsmiddel in handen om te zorgen dat ook aan dit handelsverbod wordt voldaan.
Mevrouw Gerkens (SP):
Ik heb hierover twee vragen. Misschien komt de staatssecretaris hier nog op. Ik heb het ook gehad over meta-metadata. Hoe is in de wet opgenomen dat die niet mag worden verzameld? Hoe gaat de staatssecretaris dat controleren? Ik wil ook vragen of de staatssecretaris op de hoogte is van de Freedom Act. Dat is Amerikaanse wetgeving die bepaalt dat als je data moet geven, je deze moet geven. We komen er dan nooit achter of die is opgevraagd of niet.
Staatssecretaris Van Huffelen:
Het punt is dat de AVG en dit extra verbod regelen dat er niet mag worden gehandeld in data, ook niet in metadata of meta-metadata. U heeft het dan bijvoorbeeld niet alleen over wat er is gewisseld tussen de Belastingdienst en een burger. Ook het feit dat is ingelogd bij de Belastingdienst of andere data mag niet worden gedeeld. Dat is onderdeel van dat handelsverbod. Er mag gewoon geen sprake van zijn dat dit op welke manier dan ook aan elkaar wordt gekoppeld.
Mevrouw Gerkens (SP):
Maar betekent dit dat ze het ook niet zelf mogen gebruiken? Een handelsverbod betekent dat ze het niet mogen verhandelen, maar mogen ze het zelf gebruiken? We praten hier over private partijen. We hebben het niet over zomaar private partijen, maar we hebben het over partijen wier businessmodel het is om data te verzamelen. Ze hoeven het dus helemaal niet te verkopen. Sterker nog, ze willen het niet verhandelen, maar ze willen het zelf gebruiken. De informatie is voor hen belangrijk.
Staatssecretaris Van Huffelen:
Ook dat mag niet. Je mag het niet voor iets anders gebruiken dan het doel waarvoor je die data hebt verkregen. Dat is in dit geval voor het inloggen bij bijvoorbeeld de Nederlandse overheid. Je mag het dus niet voor een ander doel gebruiken. Je mag het überhaupt niet gebruiken. Je mag het niet verhandelen. Je mag het niet enzovoorts enzovoorts. Dus dat mag niet.
De voorzitter:
Tot slot, mevrouw Gerkens.
Mevrouw Gerkens (SP):
Voorzitter, ik begrijp dat u "tot slot" zegt, maar het wordt een beetje lastig en technisch. Stel dat u een Twittericoontje, een Google-icoon, een Facebookicoon of een Instagramicoon op een website heeft staan, dan wordt daarmee al data verzameld. Als diezelfde aanbieder ook een aanbieder is van het inlogmiddel, dan betekent dit dat die wel de data van het icoontje mag gebruiken, maar niet de data van het feit dat iemand daarnaartoe is gegaan om in te loggen. Volgens mij is dat niet te onderscheiden. Volgens mij geef ik hier de moeilijkheid mee aan. Je kunt tegen dit soort private partijen wier businessmodel het is om data te verzamelen eigenlijk niet zeggen dat zij die data niet mogen verzamelen. Zij zeggen dan gewoon: we hebben het op een andere manier verzameld.
Staatssecretaris Van Huffelen:
Het punt is dat de AVG heel duidelijk zegt dat je toestemming ... Nee, maar dat is de wetgeving waarop wij werken en waarop wij controleren. Dat doet onze AP enzovoorts. De kern is dat het niet mag. Het is niet voor eigen gebruik. Je mag die data niet op een andere manier gebruiken. Als ik ervoor kies om bepaalde informatie aan een private partij te geven, los van het feit dat ik ook via hen inlog bij de overheid, dan is het aan mij om daar toestemming voor te geven. Maar het mag niet zo zijn dat de informatie door die bedrijven wordt gekoppeld, op de een of andere manier wordt gebruikt, in combinatie wordt gebracht, wordt verhandeld enzovoorts enzovoorts. Maar als ik ervoor kies om aan een bedrijf informatie te geven, dan kan ik dat doen. Dat mag conform de AVG.
Mevrouw Gerkens (SP):
Voor de laatste keer: als we al zo veel data op andere manieren weggeven, hoe maken we dan het onderscheid tussen hoe die data is verkregen? Eigenlijk is dat toch niet controleerbaar? Daarmee zou de conclusie toch moeten zijn dat dit soort inlogmogelijkheden niet moeten worden gegeven aan private partijen wier businessmodel het is om data te verzamelen?
Staatssecretaris Van Huffelen:
Wat we juist in deze aanscherping van de WDO, de novelle, zeggen, is dat het verhandelverbod geldt. Data moeten worden opgeslagen in gescheiden systemen. Die mogen niet met elkaar worden gecombineerd. De rijksdienst gaat daarop controleren. Die gaat er dus op controleren dat er geen sprake van is dat de data die aan de ene kant van het bedrijf door u worden gegeven, gemengd worden met data in dat inlogmiddel. Dat is de controle die moet worden uitgevoerd. Dat geldt voor een publiek inlogmiddel en voor een privaat inlogmiddel van welke aanbieder dan ook.
Mevrouw Gerkens (SP):
Precies. Maar als Google, Meta of noem maar op zijn certificaat heeft gehaald in Roemenië, dan geldt die hele wetgeving niet. Die hebben wij hier immers specifiek neergezet.
Staatssecretaris Van Huffelen:
Die geldt wel.
Mevrouw Gerkens (SP):
Daar stellen we natuurlijk strenge regels voor. Maar al die extra waarborgen die we hier willen hebben omdat we ons zorgen maken over dit soort private partijen wier businessmodel het is om data te verzamelen, vervallen gewoon.
Staatssecretaris Van Huffelen:
Nee. Even voor de helderheid: de wetgeving over het handelsverbod geldt ook in andere Europese lidstaten. Wij scherpen haar extra aan, zoals ik al eerder heb gezegd, maar ze geldt ook in andere lidstaten. Als een Nederlandse burger een Roemeens, een Pools, een Duits, of van welke lidstaat dan ook, inlogmiddel zou willen gebruiken, dan kan dat. Wat wij aangeven en wat ik eerder heb aangegeven, is dat we juist die Nederlandse erkenning maken, omdat daarmee het handelsverbod wel degelijk nog een keer extra door onze eigen inspectie wordt gecontroleerd.
De heer Van Hattem (PVV):
Op dit punt wil ik nog even specifieker doorgaan, want in de eerste termijn heb ik de staatssecretaris hierover een vraag gesteld. In de memorie van antwoord staat dat bij het beoordelen van een aanvraag wordt getoetst of een aanvrager de mogelijkheid geeft aan burgers om het delen van gegevens aan derde partijen op elk mogelijk moment te beëindigen. Daar zit het probleem. Voor een burger kan er namelijk op een bepaald moment wel een theoretische mogelijkheid zijn om het delen of gebruiken van de informatie uit te zetten, maar daar kunnen wel praktische nadelen aan zitten. Iemand maakt bijvoorbeeld gebruik van een inlogmiddel om tegelijkertijd in te loggen op Facebook en op Instagram, of om tegelijkertijd gebruik te maken van een webshop. Als hij dat middel vervolgens ook moet of kan gebruiken om in te loggen bij de overheid, komt hij op het punt dat hij denkt: als ik dat uitschakel, is het voor mij wel heel erg onhandig. Hij moet dan namelijk weer iets aparts aanvragen, maar heeft liever alles bij elkaar zitten. Zo'n burger neemt eigenlijk ongemerkt het verlies van de mogelijkheden op de koop toe. Hoe kijkt de staatssecretaris ertegen aan dat je op die manier met een perverse prikkel mensen voor het blok zet om toch maar hiermee door te gaan, vanwege het gebruiksgemak?
Staatssecretaris Van Huffelen:
De kern is dat een burger het niet hoeft te doen. U zegt dat het uit gebruiksgemak gebeurt, maar het kan niet zijn dat je door in te loggen bij zo'n aanbieder tegelijkertijd op allerlei dingen tegelijk inlogt. Het kan dus niet zo zijn dat je daarmee ingelogd bent bij een webshop voor het kopen van een paar sokken en ingelogd bent bij de Belastingdienst. Inlogmiddelen die gaan over zakendoen met de overheid moeten sowieso apart geregeld worden. Natuurlijk kan een burger kiezen voor een private partij. Als een burger dat fijn vindt en dat kan doen, is het mogelijk om via die private partij wellicht ook bij andere partijen dan de overheid in te loggen. Maar dat gaat nooit in één keer. Dat is altijd op verschillende manieren geregeld.
Overigens is dat niet iets wat ik regel, of wat wij in deze wet proberen te regelen. Dat is iets wat in de eIDAS-verordening aan de orde is. Er mogen namelijk private partijen inlogmiddelen ter beschikking stellen. Die private partijen mogen ook inlogmiddelen ter beschikking stellen, waarmee je niet alleen met de overheid zaken kunt doen, maar ook met private partijen.
De heer Van Hattem (PVV):
Maar dan is de vraag wat de toegevoegde waarde is van zo'n bepaling. Mensen worden op die manier toch voor het blok gezet om die gegevens te delen. Het kan weliswaar zijn dat voor alles apart moet worden ingelogd, maar het gaat om het principe dat met zo'n inlogmiddel gegevens gedeeld kunnen worden. Als ze ervoor kiezen om zo'n inlogmiddel te gebruiken, dan komen ze toch in die glijdende schaal terecht? Is het dan niet iets wat op deze manier, zeker voor de bigtechbedrijven, wel erg gemakkelijk gefaciliteerd wordt? Mensen zullen het straks wel erg gemakkelijk vinden om er gebruik van te maken als ze daarmee kunnen inloggen bij de webshop om sokken te bestellen en kunnen inloggen op een van de socialmediaplatforms. En dan pakken ze ook maar meteen dat middel om bij de overheid in te loggen.
Staatssecretaris Van Huffelen:
Maar als dat zo is, dan gelden voor het inloggen bij de overheid de vereisten die de eIDAS-verordening daaraan stelt. Dat betekent dat er met dat inlogmiddel alleen maar kan worden ingelogd, dat er geen data van mogen worden gebruikt, dat de gegevens niet op een verkeerde manier mogen worden verhandeld, enzovoorts, enzovoorts, enzovoorts. Er is nooit sprake van dat het van de ene kant van het bedrijf naar de andere kant gaat. Nogmaals, dat staat nog los van het feit dat het voor de burger niet noodzakelijk is om met dat inlogmiddel te werken. Het kan niet zo zijn dat er data over het inloggen bij de Belastingdienst vermengd worden met data over het inloggen bij een bedrijf waar je sokken kunt kopen.
De voorzitter:
Tot slot, meneer Van Hattem.
De heer Van Hattem (PVV):
Tot slot. Daar gaat het niet om. Het gaat niet om het vermengen van die data. Het gaat erom dat ze volgens de memorie van antwoord de mogelijkheid krijgen om het delen van gegevens stop te zetten. Dat is het toetsingscriterium dat de overheid gaat aanhouden. Maar in de praktijk zal de drempel om dat te doen veel lastiger zijn dan de overheid veronderstelt. Als er in theorie een knopje is waarmee men het delen van gegevens kan stoppen … Laat ik een praktisch voorbeeld geven. Als ik als politieke partij een advertentie wil plaatsen op Facebook, moet ik allerlei gegevens aanleveren. Dan moet ik een kopie van mijn paspoort en dergelijke aanleveren. Ik heb er eigenlijk bezwaren tegen om dat te doen, maar als ik die advertentie wil plaatsen, dan zal ik toch de stap moeten zetten om die gegevens te delen. Je kunt op die manier als burger toch in een lastig parket terechtkomen als je een dienst aangeleverd wilt krijgen en ...
De voorzitter:
Wat is uw vraag, meneer Van Hattem?
De heer Van Hattem (PVV):
Kan de staatssecretaris aangeven wat de toegevoegde waarde is van die bepaling?
Staatssecretaris Van Huffelen:
De toegevoegde waarde van de bepaling dat we ervoor willen zorgen dat er in Nederland extra waarborgen zijn, is dat we willen voorkomen dat persoonsgegevens van mensen op een verkeerde manier worden toegepast. Dat geldt zowel voor private als publieke aanbieders. Het is ontzettend belangrijk dat wij niet alleen maar aan Nederlanders vertellen wat er met hun gegevens kan gebeuren. Wij moeten hun ook de garantie geven dat als je gebruikmaakt van een in Nederland erkend inlogmiddel, jouw persoonsgegevens niet kunnen worden verhandeld. En wanneer zo'n inlogmiddel dat zou willen proberen te bereiken, zou dat uit het stelsel worden gezet worden.
De heer Koole (PvdA):
Laat ik het van de andere kant benaderen. Ik heb hier in de eerste termijn ook een vraag over gesteld. Stel dat het inderdaad allemaal lukt en dat alle voorwaarden, ook de toegevoegde voorwaarden die wij in Nederland stellen, worden gerealiseerd. Dus absoluut geen verhandeling, geen gebruik van de gegevens voor koppeling met andere gegevens binnen het eigen bedrijf, met daarop een goede en effectieve controle. Stel dat dat allemaal gebeurt, wat is dan nog de businesscase voor een commerciële onderneming?
Staatssecretaris Van Huffelen:
Wat ik zie, is dat commerciële ondernemingen — nu hebben we het over bijvoorbeeld banken of mensen die doen aan dienstverlening, zoals een notaris — aangeven dat zij dezelfde soort inlogmiddelen die zij ter beschikking willen stellen voor het inloggen bij de overheid, ook voor hun eigen dienstverlening willen gebruiken, omdat zij dan op een veilige manier zaken kunnen doen met hun klanten. Dat zou een businesscase kunnen zijn. Een inlogmiddel dat gebruikt kan worden voor inloggen bij de overheid, dat daarvoor erkend is en voldoet aan alle vereisten, zoals in het voorbeeld dat u noemt, kan op dezelfde manier ook worden gebruikt voor een ander soort dienstverlening, maar dan privaat. Het feit dat jouw inlogmiddel erkend is door de Nederlandse overheid, kan voor partijen een heel interessante optie zijn.
De heer Koole (PvdA):
Als we het uitbreiden van de Nederlandse banken en notarissen naar de big tech, dus Google en andere bedrijven, wat is voor hen dan de businesscase als ze moeten voldoen aan de Nederlandse eisen, ervan uitgaande dat die allemaal geïmplementeerd en gecontroleerd worden en dat dat allemaal werkt?
Staatssecretaris Van Huffelen:
Ik kan natuurlijk niet goed overzien of dat voor hen een businesscase oplevert. Zij kunnen dan een dienst aanbieden aan mensen om in te loggen bij de overheid — al dan niet tegen betaling; daar kunnen zij zelf voor kiezen. Dat zou een manier kunnen zijn waarop zij er geld aan verdienen.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
Omdat ze het niet op een andere manier kunnen verdienen, vanwege het koppelen van data enzovoorts, wat hun business is, zal hun commerciële model gebaseerd zijn op bijvoorbeeld het vragen van gelden om van dat middel gebruik te kunnen maken.
Staatssecretaris Van Huffelen:
Ja, dat is bijvoorbeeld hoe eHerkenning werkt. Je moet een bedrag betalen om daar gebruik van te kunnen maken.
De heer Koole (PvdA):
Maar de Nederlandse overheid moet dan nog steeds — dat heeft de staatssecretaris ook een paar keer herhaald — altijd op alle kwaliteitsniveaus een publieke voorziening aanbieden.
Staatssecretaris Van Huffelen:
Dat moet niet. Daar hebben wij als overheid voor gekozen. Wij hebben gezegd: wij willen dat er zowel voor bedrijven als voor particulieren …
De heer Koole (PvdA):
Maar er is altijd op alle niveaus sprake van een goede kwaliteit van het inlogmiddel. Wat voegt een commercieel bedrijf dan nog toe als de gegevens niet kunnen worden gekoppeld aan hun eigen gegevens en ze dus eigenlijk niet kunnen concurreren met de publieke aanbieders — ik neem aan dat de publieke aanbieders gratis zijn — omdat ze geld moeten vragen? Wat voegt dat nog toe voor die bedrijven om daar een businesscase op te bouwen?
Staatssecretaris Van Huffelen:
Deze regering heeft daar niet voor niets een programma voor dat Werk aan Uitvoering heet. Wat ik al aangaf: als bijvoorbeeld banken een inlogmiddel op hoog niveau maken dat gebruikt kan worden om bij de overheid in te loggen, dan kan dat ook voor henzelf worden gebruikt. Wellicht dat ze voor het inloggen bij hun eigen dienstverlening wel iets vragen. Dat zou kunnen. Dat is wat wij in feite ook zien. De mensen of de partijen die zich bij ons gemeld hebben, zijn dit soort partijen. Er zijn in Europa ook andere modellen mogelijk. Het kan ook zijn dat een overheid aan een privaat bedrijf vraagt om het te maken en daar een betaling voor doet. Dan schrijf je als overheid een tender uit en vraag je: wie wil dit voor mij gaan ontwikkelen? Dat kan ook. Dat is ook een model.
Mevrouw Prins (CDA):
Ik wilde graag doorgaan op de businesscase, maar dan vanuit het perspectief van de burger. De burger kan nu gebruikmaken van DigiD. Ik heb uit de wet en uit uw toelichting begrepen dat zo'n type middel altijd blijft bestaan. Heeft dit nog consequenties voor de prijs van een DigiD? Of blijft DigiD altijd gratis?
Staatssecretaris Van Huffelen:
Ik kan natuurlijk niet voor altijd praten, maar onze inzet is inderdaad dat dat gewoon een gratis inlogmiddel is. Een gratis, publiek gecontroleerd inlogmiddel.
Mevrouw Prins (CDA):
En dan alleen wel op een hoger niveau dan nu het geval is?
Staatssecretaris Van Huffelen:
DigiD wordt ieder jaar verder ontwikkeld. De beveiligingsniveaus zijn in de afgelopen jaren al gestegen. Dat doen we om te zorgen dat het middel veilig blijft. Dat niveau zal in de komende jaren verder blijven stijgen. Daarbij is wel belangrijk — dat heb ik ook in het debat met de Tweede Kamer gewisseld — dat we kijken hoe het dan toch beschikbaar kan blijven voor zo veel mogelijk mensen. Hogere beveiligingsniveaus betekenen immers bijvoorbeeld dat je moet inloggen met een smartphone. Dat is niet voor iedereen. We moeten dus heel goed bekijken hoe we die stappen in de komende tijd zetten, maar de beveiligingsniveaus zullen in de komende tijd zeker weer aangescherpt worden.
De voorzitter:
U bent inmiddels bij het blokje open source, klopt dat?
Staatssecretaris Van Huffelen:
Ik ben inderdaad bij het blokje open source. Een wens die heel duidelijk in de novelle is aangegeven, is om te werken met opensourcesoftware. Daar zijn een paar vragen over gesteld. Hoe waarborgen we dat er echt sprake is van open source? Dat doen we bij de inzet. Als makers van inlogmiddelen zich in Nederland melden om erkend te worden, dan controleren we die op het thema open source. Is de broncode van deze middelen publiek bekend of beter gezegd openbaar? Wij gaan voorts kijken of dat opensourcekarakter ook daadwerkelijk wordt geleefd en beleefd. Dat betekent dat wij nagaan of er communities om die software heen zijn gecreëerd. Voor zover die er niet zijn, zullen wij er als overheid aan werken dat die er komen, zodat die daadwerkelijk kunnen helpen om die software te verbeteren. Wij toetsen — of beter gezegd de RDI doet dat — die inlogmiddelen er ook op of die verbeteringen dan ook worden geïmplementeerd.
Ik vind het niet alleen heel belangrijk dat het thema van die open source er is. Het ging ook over de vraag wanneer alle middelen daaraan moeten voldoen. Er stond namelijk nog "open source, tenzij". Wat mij betreft moet dat zo snel mogelijk. U had gevraagd om een einddatum. Wij denken dat het uiterlijk over vijf jaar zo moet zijn dat alles open source is. Dat klinkt misschien nog als heel ver weg, maar alle elementen van bijvoorbeeld de DigiD die nu nog niet open source zijn, of in ieder geval een deel daarvan, moeten dan opnieuw worden geprogrammeerd. Dat willen we ook graag doen, maar daar hebben we wat meer tijd voor nodig. We willen natuurlijk ook dat het op een goede manier gebeurt.
Voor degenen die daar nog vragen over stelden: open source betekent dus niet dat je zomaar zo'n inlogmiddel kunt kopiëren. Je kunt weliswaar de basis ervan achterhalen. Het is helder hoe het in elkaar zit, anders dan alles wat gaat over de encryptie en de veiligheidsregels daaromheen. Over de communities heb ik al iets gezegd. Wij denken dat er voldoende interesse voor die communities is. Dat zien we nu ook al. Waar nodig willen we dat verder sponsoren en verder onderzoeken hoe we dat kunnen doen met zogenaamde bug bounties, met andere woorden: als je iets vindt wat niet klopt, dan krijg je daar een waardering voor enzovoorts, enzovoorts, enzovoorts.
De heer Koole (PvdA):
Ik begrijp dat de open source met een horizon van uiterlijk vijf jaar volledig gaat gelden. Mijn vraag, die ik ook in de eerste termijn heb gesteld, is: waarom nu niet al die eis van open source gesteld bij nieuwe aanbieders?
Staatssecretaris Van Huffelen:
Als deze wet ingaat, dan is iedereen in feite een nieuwe aanbieder, dus ook DigiD bijvoorbeeld, dat op dit moment niet aan die opensourcevereiste kan voldoen. Dat betekent dus dat we de tijd willen nemen om dat voor elkaar te krijgen. Het betekent niet dat het pas over vijf jaar zover is. We willen juist zorgen dat het al in de tussentijd gebeurt. Voor DigiD hebben we overigens de broncode inmiddels openbaar gemaakt. Het verbeteren van die broncode, dus het volledig open source werken, kan nog niet met DigiD, maar dat willen we wel in de komende jaren gaan realiseren. Datzelfde geldt voor eHerkenning.
De heer Koole (PvdA):
Nu wordt DigiD ineens een nieuwe aanbieder genoemd. Voor mij is DigiD gewoon de oude aanbieder die zich gaat ontwikkelen naar open source. Zo heb ik het ook altijd begrepen. Dat betekent dat als andere aanbieders dan de leverancier van DigiD de markt in Nederland betreden, ze pas erkend zouden moeten worden als ze voldoen aan die eis van open source. Want dat is, zo zegt de regering ook, het uiteindelijke doel: dat open source dé norm en standaard is. Mijn vraag is: waarom laat je bedrijven toe die nog een tijdlang via closed source werken en daarmee allerlei zaken doen die niet goed te controleren zijn, wat wel via open source, via de community, het geval is? We moeten nog maar zien of je die dan na vijf jaar weer van de markt kan krijgen. Waarom is niet gelijk gekozen voor die nieuwe aanbieders? Ook veel specialisten zeggen dat je gewoon nu al de eis kunt stellen dat aanbieders aan open source moeten voldoen, zodat je het proces om daar te komen niet vertraagt door tijdelijk toch nog toe te staan dat er nieuwe aanbieders komen die via closed source werken.
Staatssecretaris Van Huffelen:
Wat we zeggen, is: er moet open source zijn, tenzij. Als er dan zo'n aanbieder komt, moet dus helder zijn waarom dat noodzakelijk is. Als dat niet noodzakelijk is, omdat er namelijk gewoon nieuwe technologie beschikbaar is, dan kan dat niet. Anders moet er een overgangstermijn zijn, waarvan ik aan uw Kamer voorstel om die op vijf jaar te stellen. Je moet dus binnen vijf jaar volledig open source zijn. We hebben straks nieuwe wetgeving. Daarmee wordt ook DigiD opnieuw getoetst en wordt ook de eHerkenning getoetst. We moeten ervoor zorgen dat al die inlogmiddelen met elkaar gaan voldoen aan de nieuwe wetgeving. Voor zover ik weet, bestaat niet de mogelijkheid om een onderscheid te maken tussen DigiD en andere, dus wat u voorstelt — DigiD is een bestaande en de nieuwe moeten er allemaal aan voldoen — kan ik niet in de wet regelen. Ik kan wel regelen dat iedereen wordt uitgedaagd om daar waar het enigszins kan ook al in die periode van vijf jaar elementen van het programma in open source te maken en aan te bieden.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
Dan zou ik de staatssecretaris toch willen vragen om te onderzoeken of het juridisch mogelijk is om dat onderscheid wel te maken, dat DigiD als bestaande aanbieder die ontwikkeling doormaakt, en dat je, zodra je de markt opengooit voor nieuwe aanbieders, ook gelijk die eis stelt. Ik ben er nog niet van overtuigd dat dat niet mogelijk is, maar ik zou de staatssecretaris willen vragen om in tweede termijn of anders via een brief te laten zien wat de juridische mogelijkheden hier zijn.
Staatssecretaris Van Huffelen:
Ik kom daar graag op terug, maar mijn beeld is dus dat de nieuwe regels nu al gelijk voor iedereen gelden, dat ze gelijk zijn voor iedereen.
De heer Dittrich (D66):
Ik wil graag even terugkomen op de community's, de gemeenschappen die bij open source begeleiden en meekijken en aanscherpen. Ik hoorde de staatssecretaris zeggen dat de overheid ervoor gaat zorgen dat ze er zijn en ook gaat proberen dat via bepaalde bonusregelingen te activeren. Maar wat als in de loop van de tijd zo'n gemeenschap — het zijn vaak vrijwilligers — uitdunt en ze ermee ophouden? Hoe gaat dat in zijn werk? Daar heb ik in mijn eerste termijn veel vragen over gesteld, dus ik hoor daar graag wat meer over.
Staatssecretaris Van Huffelen:
Ik heb inmiddels ook al gesproken met een groep van mensen die opensourcesoftware beoordelen. Dat zijn voor een deel vrijwilligers, maar voor een deel ook helemaal niet. Er zijn gewoon mensen die als professie hebben het onderzoeken van software, het beoordelen daarvan en het vinden van gaten of fouten of anderszins dit soort punten. De kern is inderdaad ... Open source betekent dat je sowieso de broncode openbaar maakt. Maar je hebt er natuurlijk het meeste aan wanneer er daadwerkelijk zo'n community is. Wanneer er geen community is van vrijwilligers die je extra kunt stimuleren met eventuele bug bounty's, dus waardering al dan niet financieel of anderszins, om te helpen om problemen in de software te vinden en op te lossen, is het onze opgave om ervoor te zorgen dat zo'n community wordt gecreëerd. Wij hebben als overheid altijd de mogelijkheid om mensen te vragen om dit werk voor ons te doen zolang het niet in de community zelf gebeurt. Wat we letterlijk zien rondom dit soort overheidsinlogmiddelen, is dat er in ieder geval op dit moment voldoende partijen zijn en waarschijnlijk ook in de komende jaren zullen blijven die het echt interessant vinden om dit te doen en die heel goed helpen om software te verbeteren.
De heer Dittrich (D66):
Is het een wettelijke verplichting voor de overheid om ervoor te zorgen dat er altijd community's zijn, in wat voor vorm en grootte dan ook?
Staatssecretaris Van Huffelen:
Nee.
De heer Dittrich (D66):
Staat dat in de wettekst? Of is het iets waarvan u zegt voor de wetsgeschiedenis: ik vind het belangrijk als overheid en we doen ons best, een soort inspanningsverplichting?
Staatssecretaris Van Huffelen:
Ja, dat laatste. Er staat dat je je broncode openbaar moet maken. Er staat niet dat we verplicht zijn zo'n community te realiseren. Maar ik heb ook in het debat in de Tweede Kamer aangegeven dat wij dit niet alleen ontzettend belangrijk vinden, maar het ook willen stimuleren, daar waar nodig ook financieel.
De voorzitter:
Tot slot, meneer Dittrich.
De heer Dittrich (D66):
Ik heb een als-danvraag. Stel dat er op een gegeven moment geen community is, wat is dan de situatie?
Staatssecretaris Van Huffelen:
Dan is de situatie dat wij als overheid moeten nadenken over wie we gaan vragen om, waarschijnlijk tegen een vergoeding, dit werk te gaan doen.
Ik zou willen overstappen naar het onderwerp centraal-decentraal. Dat had te maken met een aantal vragen die door onder anderen de heer Ganzevoort werden gesteld over waarom ik niet kies voor een decentraal systeem. Dat vergt dat we nog even proberen heel precies te zijn. Inlogmiddelen zorgen ervoor dat je kunt inloggen bij de overheid en dat je zaken kunt doen met die overheid. Er zijn ontwerpen voor inlogmiddelen waarbij de vraag is of de gegevens dat je gisteren hebt ingelogd bij de Belastingdienst of eergisteren bij het UWV, enzovoort, enzovoort, alleen worden bewaard op je eigen smartphone. Dat betekent dat, wanneer dat nodig zou zijn, je alleen zelf nog kunt terughalen dat je contact hebt gehad of dat je een bepaalde transactie hebt gedaan met een overheidsdienst. Wij vinden dat die situatie net iets te kwetsbaar. We vinden het belangrijk dat er ook wordt geregistreerd bij partijen wanneer je hebt ingelogd om daarmee te kunnen bewijzen dat je dat daadwerkelijk hebt gedaan op het moment dat jouw smartphone er niet meer is. Ik denk wel dat het relevant is dat dat allemaal zo minimaal mogelijk is. We willen natuurlijk zorgen dat data-uitwisselingen en dataopslag zo minimaal mogelijk zijn. Een van de punten waaraan ik zou willen werken, is of je die loggingsinformatie — wanneer heb je bij welke dienst ingelogd? — op een andere manier wat meer decentraal zou kunnen vastleggen. Op dit moment zien we daar nog niet direct de mogelijkheden voor, maar het is wel goed om daar verder naar te kijken. Ik kan me namelijk ook heel goed voorstellen dat mensen het belangrijk vinden dat dit soort informatie zo decentraal mogelijk blijft en niet op een andere plek wordt vastgelegd.
De heer Ganzevoort (GroenLinks):
Als ik het goed zie, zijn er drie plekken waar je het zou kunnen opslaan of zou kunnen loggen. Dat is bij de gebruiker, dus bij mijzelf op mijn eigen smartphone. Dat is bijvoorbeeld bij de Belastingdienst. En dat is in mijn geval bij DigiD of welk inlogmiddel ook. De vraag over decentrale opslag gaat natuurlijk heel erg over het inlogmiddel: waar gebeurt het? Maar de argumentatie van de staatssecretaris overtuigt me niet helemaal, omdat in dit geval de Belastingdienst hoe dan ook zal registreren dat ik ingelogd heb. Wat is er meer nodig dan dat zij weten dat ik ingelogd heb? Waarom zou de aanbieder van het inlogmiddel ook moeten registreren waar ik ingelogd heb?
Staatssecretaris Van Huffelen:
Dat moet de aanbieder van het inlogmiddel om ook zeker te weten dat dat gebeurd is. Want ook bij de Belastingdienst, bij UWV enzovoort, enzovoort, wordt niet altijd alles geregistreerd. Het gaat er dus vooral om dat je zelf die loggingsinformatie kunt laten zien, en daar ook toegang toe hebt. U heeft eerder gevraagd: kan je die informatie niet ook gewoon alleen maar laten zijn bij de persoon over wie het gaat? Dan is die informatie dus niet bij het inlogmiddel en niet bij het bedrijf waar je hebt ingelogd. Het kan bijvoorbeeld ook dat je bij zo'n bedrijf wel hebt ingelogd, maar dat dat mislukt is, terwijl je dus wel degelijk een poging hebt gedaan. Wij denken dat het verstandig is om burgers te kunnen blijven helpen met hun logginsformatie. Maar we willen wel onderzoeken of je dat uiteindelijk ook op een decentrale manier kunt doen: een manier die we nu nog niet kennen, maar die we wel willen onderzoeken.
De heer Ganzevoort (GroenLinks):
"Een manier die we nog niet eens kennen." Dat is bijna transcendent. Zo vind ik het ingewikkeld worden. Voor mij is de vraag simpeler dan dat. De Belastingdienst registreert het als ik inlog of niet. Dus als de Belastingdienst niet registreert, heb ik niet ingelogd. Het werkt precies hetzelfde als ik een brief stuur naar de Belastingdienst. Als die brief daar niet aankomt, wordt die niet geregistreerd. Als ik met de post een brief stuur die wél aankomt, dan staat de brief in het postboek. De vraag is dus eigenlijk volgens mij vrij simpel: welke meerwaarde heeft nou het registreren bij het inlogmiddel? De staatssecretaris zegt daarop: dat is eigenlijk een extra zekerheid. Maar die extra zekerheid vormt ook een extra risico. Dat decentrale verdient volgens mij volgens alle privacyadviseurs de voorkeur. Waarom wordt dit dus niet losgelaten?
Staatssecretaris Van Huffelen:
Inderdaad denkt niet iedereen daar hetzelfde over. Er zijn zeker mensen die hebben aangegeven, ook aan ons, dat het relevant is om dat te overwegen. Daarom wil ik dat ook graag verder onderzoeken. Maar we weten ook dat het voor mensen vaak heel vervelend is als ze moeten gaan nagaan bij welke instanties ze allemaal wel of niet hebben ingelogd en wanneer dat heeft plaatsgevonden, en ze daarbij afhankelijk zijn van die aanbieders, dus van de Belastingdienst, van UWV, van een gemeente. Ze zijn er dan afhankelijk van of die instanties die logging daadwerkelijk goed hebben gedaan. Mensen vinden het vaak veel fijner als ze dat ook zelf kunnen onderzoeken, en kunnen blijven onderzoeken, ook wanneer hun telefoon gestolen is, verdwenen is, in het water gevallen is of anderszins. Dat is dus de reden waarom wij daarvoor nu de mogelijkheid willen creëren waarbij je dus die loggingsinformatie ook hebt. Maar u vroeg ook steeds: bent u wel bezig met nadenken over de vraag of er een nieuwe technologie is die op een goede manier burgers kan helpen? Nou, die technologie wil ik heel graag onderzoeken. Want als die er is, hoeft het niet meer bij het inlogmiddel te gebeuren en zou het op een andere manier kunnen.
De heer Ganzevoort (GroenLinks):
Maar het is dus alleen nodig voor die situaties waarin én de Belastingdienst het niet geregistreerd heeft, én ik mijn telefoon kwijtraak? Ik vind het wel een overkill aan regelingen. Ik zou zeggen: geef dan toch echt de voorkeur aan decentraal.
Staatssecretaris Van Huffelen:
Maar heel veel burgers loggen in bij heel veel verschillende overheidspartijen. Ze moeten dan al die overheidspartijen gaan bellen om te vragen: wat is mijn inloghistorie bij u? Dat geldt ook voor de ondersteuning als het niet lukt om in te loggen, of bij het ervoor zorgen dat je hulp krijgt. Al die elementen zitten daar dan niet in. Er is dan dus geen hulp wanneer het niet lukt om in te loggen. Je weet niet bij welke partijen het was, of je moet ze allemaal bellen. Die service willen wij graag aan burgers blijven bieden. En ik maak daarbij nogmaals wel de opmerking dat het mij verstandig lijkt om te kijken of we dat niet uiteindelijk ook decentraal kunnen doen. Wat mij betreft is dat een toezegging, tenzij u zegt: wat mij betreft hoeft het niet.
Dan zijn er vragen gesteld over toezicht en handhaving. Daarover hebben we ook al best een aantal dingen besproken. Dat gebeurt dus in Nederland door de Rijksdienst Digitale Infrastructuur voor partijen die zich in Nederland willen laten erkennen. Dan moeten partijen zich daar melden en wordt er getoetst of ze aan alle vereisten voldoen, inclusief het vereiste van de novelle. Vervolgens gaat de RDI aan het werk om te onderzoeken of je eraan voldoet of niet. Dat gebeurt niet alleen bij die eenmalige erkenning, maar ook gedurende het traject.
De RDI heeft daarvoor specifieke kennis nodig. Daarover zijn ook vragen gesteld. Die kennis heeft men daar in de afgelopen tijd al ontwikkeld rondom eHerkenning en de DigiD. Maar die kennis gaat men bij de RDI ook nog verder ontwikkelen. Men heeft bij de RDI aangegeven dat zij zich nu adequaat gestafft voelen om dit te doen. Overigens doen ze dat voor een deel, als het gaat om privacyvraagstukken, natuurlijk ook samen met de AP. Wanneer een partij dus niet voldoet, heeft de RDI de mogelijkheid om niet te erkennen, maar de dienst kan ook een last onder dwangsom opleggen, of een erkenning intrekken. En de AP kan boetes opleggen wanneer er sprake is van overtreding van de AVG.
De heer Koole (PvdA):
De RDI zegt die capaciteit te hebben, maar geldt dat alleen voor de huidige situatie of ook in de situatie dat de bigtechbedrijven en de Googles zich zouden aanbieden als aanbieder van een inlogmiddel? Heeft de rijksinspectie in dat laatste geval de capaciteit om na te kunnen gaan of deze organisaties de data, verzameld via dat inlogmiddel, absoluut niet koppelen — dat zijn Chinese muren — aan andere data, die zij op een andere manier hebben verzameld? Heeft de RDI de capaciteit om dat te doen, bij dat type grote bedrijven?
Staatssecretaris Van Huffelen:
Ik heb daarover afspraken gemaakt met de RDI. Ook als zich veel meer bedrijven melden voor het aanbieden van inlogmiddelen dan we op dit moment voorzien, hebben ze voldoende medewerkers om dat werk daadwerkelijk op een goede manier te doen. Als het nodig is, kunnen zij groeien in het aantal mensen dat het werk moet doen om ervoor te zorgen dat niet alleen de erkenning, maar ook de blijvende check op het werk dat ze moeten doen, wordt uitgevoerd.
De heer Koole (PvdA):
De staatssecretaris zegt dat ze met de mensen van de RDI heeft gesproken. Dat is dus niet met de mensen van de Googles, van de bigtechbedrijven. Zijn zij daartoe bereid en wat is er volgens hen mogelijk? Laten zij deze toezichthouders toe in hun systeem om te checken dat er geen koppeling tussen verschillende datasets wordt gemaakt?
Staatssecretaris Van Huffelen:
Als zij dat niet doen, worden zij niet toegelaten, want dat is onderdeel van de checks die de RDI doet. Het is geen papieren exercitie, maar gaat om het daadwerkelijk in de systemen van deze organisaties kijken. Dat kan niet alleen bij de erkenning, maar ook tijdens het gebruik. Wanneer ze dat niet toestaan, worden ze gewoon niet toegelaten tot het systeem.
De voorzitter:
Tot slot, meneer Koole.
De heer Koole (PvdA):
Ja, dat kan dus bij de toelating, maar ze kunnen op het moment van de toelating zeggen dat ze dat niet doen en het vervolgens toch doen, waardoor ze, zeker op metametaniveau, toch allerlei dingen met elkaar combineren. De vraag is of dat niet vereist dat de RDI permanent toezicht houdt op dit soort grote bedrijven, als die zich zouden melden als aanbieders van inlogmiddelen.
Staatssecretaris Van Huffelen:
Ook op kleine bedrijven. Ze moeten dat sowieso doen. Dat hoort bij hun taak en hun takenpakket. Ze moeten dat ook kunnen doen door daadwerkelijk bij die bedrijven langs te gaan en in hun systemen te kijken. De AP kan dat ook, want die speelt natuurlijk ook een rol in dit verhaal. De AP kan ook bij bedrijven langsgaan en alle benodigde informatie opvragen, en dan kunnen bedrijven natuurlijk niet op iets anders bogen. Wanneer ze niet voldoen aan het vereiste van toegang verlenen, kunnen ze uit het stelsel worden gezet. Ten eerste worden ze niet erkend, maar mocht het verder in de tijd gebeuren, dan kunnen ze ook uit het stelsel worden geweerd door ons.
De heer Dittrich (D66):
Ik ga even door op het punt over Facebook. In mijn eerste termijn heb ik een citaat gebruikt waaruit blijkt dat de overheid overwoog om niet meer met Facebook in zee te gaan vanwege het feit dat ze met privégegevens van burgers aan de slag waren en geen duidelijkheid gaven over hoe ze dat deden. Stel nu dat zij met een inlogmiddel komen en dat de RDI dat erkent, maar dat we er in de loop van het werk achter komen dat er dingen gebeuren zonder dat we precies weten wat ze met die gegevens doen. Wat is dan de situatie? Daarmee kom ik ook weer op de vraag van de heer Koole: heeft de RDI dan voldoende kennis, kunde en menskracht in huis om dat goed te bekijken en daar een oordeel over te geven?
Staatssecretaris Van Huffelen:
Ik vind dat natuurlijk ontzettend belangrijk. De casuïstiek rond Facebook is een andere. Als een bedrijf een inlogmiddel maakt, welk bedrijf dat dan ook is, moet het voldoen aan de vereisten. Dat moeten we goed kunnen toetsen, niet alleen vooraf, maar blijvend. Dat moet blijvend gebeuren. Ik vind het van groot belang dat de RDI daartoe gestafft is qua capaciteit en omvang, dus dat ze voldoende medewerkers met kennis en kunde hebben om dit werk te doen. Daarover zal ik zeker met hen in gesprek blijven, want dat moet natuurlijk op een goede manier gebeuren, zeker omdat het van belang is dat die Chinese muren daadwerkelijk Chinese muren zijn.
Het gaat hier over erkenning op de Nederlandse markt. Dat betekent dat de Nederlandse toezichthouder het werk hier kan doen. Er kan dus informatie worden gevorderd, er kunnen boetes worden uitgedeeld en een inlogmiddel kan uiteindelijk ook uit het Nederlandse stelsel worden gezet. Het heeft dan geen erkenning meer en zo'n bedrijf kan dat werk dan niet meer doen in Nederland. In dit geval is dat wat directer dan in het geval van Facebook, want daarvan staat het hoofdkantoor niet in Nederland. De Nederlandse toezichthouder is dus ook niet de partij waarmee ik over dit onderwerp spreek. Dat laat onverlet dat ik wel met Facebook in onderhandeling ben over het gebruik van die pagina's door de overheid.
De heer Dittrich (D66):
Dan komen we toch weer terug op waar we het in het begin van het debat over hadden. Stel dat de RDI zegt dat Facebook of welk ander bedrijf dan ook niet voldoet aan de kwaliteitseisen die de RDI stelt, maar een bedrijf of een burger via een ander land wel met dat bedrijf, met die inlogmiddelen, in zee gaat. Die kunnen in Nederland dan wel weer met dat middel met de overheid in contact treden. De vraag is in hoeverre de verstrekte gegevens dan door dat bedrijf op een verkeerde manier gebruikt worden. Mijn vraag is dus hoe de RDI daar de vinger achter kan krijgen.
Staatssecretaris Van Huffelen:
De RDI kan een bedrijf dat erkend is in een andere lidstaat niet ook nog aan een extra controle onderwerpen. De RDI kan er in samenspraak met de collega-toezichthouders natuurlijk wel voor zorgen dat als wij informatie hebben waardoor wij denken dat er sprake is van misbruik of verkeerd gebruik, het wordt doorgegeven. Die samenwerking is er in Europees verband namelijk zeker. Wij kunnen op de Nederlandse inlogmiddelen natuurlijk heel direct toezicht houden. Als we constateren dat er iets fout gaat, kunnen wij er ook voor zorgen dat iemand een boete krijgt of uit het stelsel wordt gezet. Als een middel in Nederland is geregistreerd en er onverhoopt een situatie ontstaat waarin we zodanig moeten ingrijpen dat een middel geen toegang meer krijgt tot dat stelsel, is het natuurlijk wel heel erg belangrijk dat we ervoor zorgen dat dat ook heel erg breed bekend is.
Dat dat ook zo werkt, blijkt bijvoorbeeld wel uit een onlangs verschenen, vrij uitgebreid artikel in The New York Times, waarin wordt aangegeven dat de Nederlandse manier van onderhandelen om de big tech aan de privacyregels te laten voldoen, heel goed werkt. Wij zeggen namelijk: wij gaan net zolang met u zitten totdat u voldoet aan de geldende eisen, en als dat niet zo is, maken wij verder geen gebruik van u. Die manier blijkt te werken. Zo hebben we al aanpassingen van regels bij Microsoft gezien. We hopen dat nu ook bij Facebook Pages te gaan realiseren. Het is dus wel een kwestie van die informatie ook met elkaar delen en ervoor zorgen dat er geen misbruik van de gegevens kan worden gemaakt.
Dan was er nog een vraag over interbestuurlijk toezicht. Dat gaat natuurlijk met name over de andere overheden. Het idee van deze wet is dat je niet alleen bij de Rijksoverheid of bij uitvoeringsinstanties van de Rijksoverheid kunt inloggen, maar ook bij provincies, gemeenten en andere overheidspartijen. Wij moeten ervoor zorgen dat dat op een goede manier kan. Op dit moment kan dat bijvoorbeeld met DigiD, maar we willen er ook voor zorgen dat je met andere inlogmiddelen op een veilige en goede manier kan worden aangesloten. Wij eisen in dat geval dat gemeenten voldoen aan de vereisten die we aan ze stellen, conform deze wet, waarbij informatieveiligheid een belangrijke factor is. Daar vroeg de heer Van Hattem naar. Er wordt voldaan aan die zogenaamde BIO, de Baseline Informatiebeveiliging Overheid. Daar zitten organisatorische en technische maatregelen in, die gemeenten moeten toepassen om ervoor te zorgen dat zij ook aan de veiligheidsvereisten voldoen. Er zijn overigens ook nog wel andere instanties die daarbij helpen.
Ik kijk even of ik daarmee alle vragen heb beantwoord. Er waren door mevrouw Prins en volgens mij ook door de heer Van Hattem nog vragen gesteld over de mogelijkheid voor een extra functionaliteit, die bijvoorbeeld aan je rijbewijs en je identiteitskaart wordt toegevoegd. Die maakt het mogelijk om elektronisch zaken te doen. U heeft gevraagd wat dat betekent. Dat betekent dat er een verhoogd veiligheidsniveau kan worden ingevoerd. Die functionaliteit zit in de ID-kaart en in het rijbewijs. Er werd gevraagd wat dat kost. Die functionaliteit kost inderdaad geld. Voor het rijbewijs is dat €3,50 en voor de eNIK, die op je identiteitskaart zit, is het €4,50. Die prijzen zijn al verwerkt in de tarieven voor het uitgeven van rijbewijzen en identiteitsbewijzen.
Voorzitter. Volgens mij heb ik hiermee, zij het een beetje in gemengde vorm, de antwoorden gegeven.
De voorzitter:
Dank u wel, staatssecretaris. Thans zijn we aangekomen bij de tweede termijn van de kant van de Kamer. Maar ik schors eerst op verzoek de vergadering voor vijf minuten. Dat is dan tot 16.15 uur.
De vergadering wordt van 16.07 uur tot 16.15 uur geschorst.
De voorzitter:
Ik geef het woord aan de heer Ganzevoort.
De heer Ganzevoort i (GroenLinks):
Voorzitter, dank u wel. Ik dank de staatssecretaris voor de beantwoording van de vragen, vechtend als een leeuwin voor haar zaak, niet alleen voor een wet die ze hier vandaag graag door de Kamer wil hebben, maar — en dat is het positieve van het debat — voor een zaak die wij ook als waardevol zien, namelijk het beschermen van burgers en het beschermen van de veiligheid en de toegankelijkheid van onze digitale dienstverlening. Ik heb ook in mijn eerste termijn gezegd dat er een aantal echt positieve elementen in het wetsvoorstel zitten, als het gaat om het stellen van standaarden, de infrastructuur, de regie en de verbeteringen die in de novelle zijn aangebracht. Er zijn dus echt een aantal positieve dingen te noemen. Dat het debat daar niet over ging, is misschien wel omdat we het over die positieve dingen grotendeels met elkaar eens zijn. Als dat het enige was wat erin stond, zou deze wet allang zijn aangenomen.
Er zijn een aantal zorgen benoemd, over open source, bijvoorbeeld. Er wordt hopelijk nog een aantal stappen gezet om dat te verbeteren en aan te scherpen. Wat de decentrale opslag betreft zijn wij niet overtuigd. Ik ben wel blij met de toezegging — en die noteer ik toch maar graag — dat wanneer in de toekomst technologieën worden bedacht die dit probleem voor ons gaan oplossen, die ook onderzocht en gebruikt gaan worden. Maar ik ben niet overtuigd door de argumentatie dat die decentrale opslag niet gewoon überhaupt beter is. Daar ben ik dus wel van overtuigd, maar ik ben er niet van overtuigd dat een centrale opslag mogelijk zou moeten blijven.
Mijn echte punt gaat over de private aanbieders en de internationale aanbieders. Er is heel veel gesproken, vandaag ook weer, over nieuwe aanbieders die de markt betreden. Ik hoop dat dit alleen maar een metafoor is. Eerlijk gezegd is het contact met de overheid geen markt. Volgens mij zou het ook geen markt moeten zijn. Bij de overheid gaat het om een heel basaal element van onze staatsinrichting. Dat moet je juist niet markttechnisch regelen.
Maar dan over die aanbieders. Het eerste probleem — ik trek ze even uit elkaar, omdat ze in het debat wat verwarrend door elkaar lopen — is: waarom laten we überhaupt private aanbieders toe in Nederland? Het gaat om het erkennen van Nederlandse private aanbieders. Waarom willen we dat zelf eigenlijk? De staatssecretaris heeft ons op dat punt niet overtuigd. Wat ons betreft moeten de belangen van de burger daarbij vooropstaan. Dat is de enige reden waarom je dat zou moeten doen. Dan is de vraag: welk belang heeft de burger erbij dat ze zouden worden toegelaten? En niet: wat is de businesscase van bedrijven? Eerlijk gezegd vind ik dat bij dit onderwerp niet zo relevant, maar alleen het belang van de burger wat mij betreft.
Eigenlijk is de constatering — de heer Koole vroeg ernaar — dat er waarschijnlijk helemaal geen businesscase is voor die bedrijven. Als die er niet is, waarom gebeurt het dan? Als die bedrijven dat dan toch willen, moet je het dan niet wantrouwen? Er zit een soort basalere vraag achter, van: waarom doen we dit eigenlijk? Die vraag is wat mij betreft niet beantwoord. Dat is het eerste deel.
De heer Dittrich i (D66):
Over dat eerste deel zou ik de vraag willen stellen: wat als de burger zelf een privaat inlogmiddel wil kiezen en zelf de vrijheid wil hebben om dat inlogmiddel via een private partij te hebben? Waarom zou u, of de fractie van GroenLinks, dat dan willen tegenhouden door alleen de overheid dat toe te laten staan?
De heer Ganzevoort (GroenLinks):
Ik heb daar misschien een antwoord op uit een ander voorbeeld dat hier indertijd in deze Kamer aan de orde is geweest. Dat ging over de patiëntgegevens. Uiteindelijk hebben we daarover om heel fundamentele redenen gezegd: dat moet je niet op deze manier gaan regelen, als de regering het wil. Vervolgens stopte iedereen zijn medische gegevens in de Google Wallet en kwam het daar totaal onbeschermd aan de orde. Dit gaat over de manier waarop mensen hun persoonlijke gegevens bewaren, maar op het moment dat het gaat over de manier waarop ze contact maken met de overheid, zal een aantal mensen prima in staat zijn om iets te kiezen wat goed voor hen is. Maar juist heel veel kwetsbare mensen lopen het risico dat ze verleid worden door aanbieders die niet het beste met hen voor hebben. Dat is de reden.
De heer Dittrich (D66):
Maar dan zou ik toch nog wel helder willen krijgen hoe u die basisvereiste ziet die de Europese regelgeving aan alle inlogaanbieders stelt. Er zijn wel degelijk regels, maar wij hier in Nederland doen er een plus bovenop.
De heer Ganzevoort (GroenLinks):
Nee, het gaat me er niet zozeer om of die regels er zijn. Die zijn er al. Daar kunnen we nog een plus bovenop doen et cetera. Het gaat erom of wij voor het contact tussen de Nederlandse burger en de Nederlandse overheid private aanbieders willen toelaten. Dat is de vraag waar het om gaat. Het gaat niet over de internationale aanbieders. Dat is mijn tweede probleem. Het eerste probleem zijn Nederlandse private aanbieders bij de relatie tussen de Nederlandse burger en de Nederlandse overheid.
De voorzitter:
Tot slot, meneer Dittrich.
De heer Dittrich (D66):
Tot slot. U kwam wel met het voorbeeld over de medische gegevens en Google, maar we hebben hier vastgesteld dat er basisregels zijn. Dat voorbeeld waarin er met gegevens uit het medisch dossier aan de haal werd gegaan, kan niet kloppen in relatie tot waar we het vandaag over hebben.
De heer Ganzevoort (GroenLinks):
De vraag van de heer Dittrich was of we het, als burgers het toch willen, dan niet moeten toestaan. Mijn deel van de argumentatie ging niet specifiek over Google. Dat ging erover dat burgers misschien wel iets kiezen wat aantrekkelijk lijkt maar niet per se in hun belang is. We hebben ook een verantwoordelijkheid als volksvertegenwoordigers om wat dat betreft de risico's van burgers te verkleinen.
De heer Otten i (Fractie-Otten):
Ik kan helemaal meegaan in het betoog van de heer Ganzevoort, maar ik weet niet of de heer Ganzevoort ermee bekend is dat ondernemers wanneer ze aangifte willen doen van vennootschapsbelasting of omzetbelasting, dat verplicht moeten doen met eHerkenning. Dan moet er een keuze gemaakt worden tussen Digidentity, KPN, QuoVadis, We-ID, Z login of Reconi. Dat zijn gewoon private aanbieders. Daar moet je €100 per jaar voor betalen om je belastingaangifte als ondernemer te kunnen doen. Daar is in het verleden ook wel ophef over geweest. Maar dat wordt dus al volop gebruikt door ondernemers. Heeft u daar dan ook bezwaar tegen? Je zou dan toch ook moeten zeggen: als je belasting moet betalen, moet de overheid dat gewoon normaal gratis kunnen regelen en zou je niet via KPN een abonnement van €100 moeten nemen om überhaupt belastingaangifte te kunnen doen? Wat vindt de heer Ganzevoort daarvan?
De voorzitter:
Uw vraag is duidelijk. De heer Ganzevoort.
De heer Ganzevoort (GroenLinks):
Helemaal mee eens. Daarom ben ik blij dat er nu ook voor bedrijven de mogelijkheid komt van een publiek middel. Zo heb ik dat begrepen van de staatssecretaris. Dat lijkt mij winst.
De voorzitter:
Vervolgt u uw betoog.
De heer Ganzevoort (GroenLinks):
Maar dan nog maak ik mij over burgers in het algemeen en kwetsbare burgers in het bijzonder iets meer zorgen dan over bedrijven, waarvan ik verwacht dat ze iets meer voor zichzelf kunnen zorgen.
Het tweede probleem zijn internationale aanbieders. De staatssecretaris zal hier in tweede termijn op terugkomen, maar dit is mijn tweede termijn, dus ik zal er nu wat over moeten zeggen. De staatssecretaris zegt dat de eIDAS-verordening er eigenlijk om vraagt dat ze worden toegelaten. Private internationale middelen zouden moeten worden toegelaten voor het contact tussen de Nederlandse burger en de Nederlandse overheid. Ik betwijfel dat ten zeerste, ook na wat de staatssecretaris gezegd heeft. De kern van de verordening is namelijk: "accessing cross border public services that requires identification of the user by Union or national law". "Cross border public services", dus de grensoverschrijdenden publieksdiensten. Daar gaat het over. Die artikelen hebben geen toepassing op interne, nationale situaties. Wij kunnen dus onze eigen keuzes maken voor onze nationale systemen en de identificatie van Nederlandse burgers. Het is zeer de vraag of die eIDAS-verordening ons verplicht om de toegang tot niet-Nederlandse inlogmiddelen voor Nederlandse burgers mogelijk te maken.
Een van de doelstellingen van deze verordeningen, staat er ook, is het wegnemen van bestaande belemmeringen voor het grensoverschrijdende gebruik van elektronische identificatiemiddelen die in de lidstaten worden gebruikt. Dat is hier niet aan de orde. Wanneer het gaat over Nederlandse burgers en de Nederlandse overheid is er geen sprake van een grensoverschrijdend gebruik. Daar zit het basale punt wat betreft de internationale aanbieders. Kennelijk krijgen we dat in dit debat niet duidelijk. Ik vind dat toch wel een heel wezenlijk punt. De vraag is of de eIDAS-verordening ons verplicht om voor het contact tussen de Nederlandse overheid en de Nederlandse burgers die internationale aanbieders toe te laten. Het gaat me niet om de Belg, de Duitser of de Hongaar die hier iets moet met de Nederlandse overheid. Het is de vraag of de eIDAS-verordening ons dwingend verplicht om voor die Nederlandse burgers die internationale aanbieders toe te laten. Dat is voor mij de wezenlijke vraag en die is niet opgehelderd.
Ik heb zeer behoefte aan een grondige, onafhankelijke, juridische analyse van dit punt. Ik kan me zomaar voorstellen dat ook de staatssecretaris dit punt niet volledig paraat heeft vandaag. Ik zou willen voorstellen dat we daar voorafgaand aan de stemmingen een heldere, onafhankelijke analyse van krijgen. Zelfs als ze het antwoord wel paraat heeft, zou ik nog die onafhankelijke analyse willen voorafgaand aan de stemmingen, zodat we ook op dat punt de balans kunnen opmaken. Het is voor ons echt een heel wezenlijk punt, waarmee instemming met de wet zou kunnen staan of vallen. Dus wat dat betreft graag een toezegging in een brief.
Dank u wel, voorzitter.
De voorzitter:
Dank u wel, meneer Ganzevoort. Dan is het woord aan mevrouw Prins van het CDA.
Mevrouw Prins i (CDA):
Meneer de voorzitter, ook ik dank de staatssecretaris voor de uitvoerige beantwoording. Ik merk dat ik met hetzelfde zit. Ik begrijp uit de toelichting van de staatssecretaris dat Europese wetgeving ervoor zorgt dat elke nationale overheid moet zorgen voor een inlogmiddel om met de overheid te communiceren, ons huidige DigiD. Zij zorgt er ook voor dat een inlogmiddel dat in een ander Europees land is geaccordeerd door de Nederlandse overheid moet worden geaccepteerd. Heb ik dat goed begrepen? Onze burgers kunnen dus in theorie naast het publieke middel DigiD gebruikmaken van andere middelen uit andere landen, mits geaccordeerd volgens eIDAS. Ik wil dat even scherp hebben en dat sluit een beetje aan bij de vraag van de heer Ganzevoort.
Het voorliggende wetsvoorstel regelt dus dat de Nederlandse overheid aanvullende eisen stelt aan de inlogmiddelen die wij accorderen. Dit betekent een extra verantwoordelijkheid voor de Nederlandse overheid om dit heel duidelijk te maken voor de Nederlandse burger. Ik heb als toezegging van de staatssecretaris genoteerd dat er extra aandacht wordt gegeven aan de communicatie, maar ik wil dit hier nog even extra benadrukken, omdat ik denk dat dit cruciaal is, ook voor de toekomst.
Voorzitter. Als laatste breng ik nog de volgende vraag onder de aandacht. We hebben begrepen dat de aanbieders van inlogmiddelen minimaal 60 uur per week telefonisch bereikbaar dienen te zijn voor hun klanten. Wordt er bij de toelating en de tussentijdse controles niet alleen getoetst op die meetbare 60 uur, want dat is makkelijk, maar juist ook op het getraind en vaardig zijn van de medewerkers van de aanbieders van de inlogmiddelen in het beantwoorden van vragen van niet-digitale experts? Eigenlijk zou ik graag een toezegging willen hebben van de staatssecretaris dat dit onderdeel ook in de toetsing wordt meegenomen.
De voorzitter:
Dank u wel, mevrouw Prins. Dan is het woord aan meneer Van den Berg namens de fractie van de VVD.
De heer Van den Berg i (VVD):
Dank, voorzitter. Ook veel dank aan de staatssecretaris voor de uitvoerige beantwoording van de vragen. Ook voor mij leidde het tot verbazing, om voort te bouwen op het punt van mevrouw Prins en de heer Ganzevoort, om te leren dat de buitenlandse aanbieders eigenlijk niet via hetzelfde normenkader toegelaten hoeven te zijn als ze via andere landen komen. De eisen die wij aan Nederlandse aanbieders stellen, zijn strenger. Tegelijkertijd begrijp ik ook dat de nuloptie, het niet instemmen met deze wet, daarin geen echte verandering brengt.
Wat bij mij verder overblijft, is het punt over de community die bijdraagt aan de veiligheid van de open source en de kwaliteit van de opensourcemiddelen. De staatssecretaris geeft aan dat zij animo ziet onder vrijwilligers om die rol op zich te nemen. Zij kan bug bounty's inzetten en onze regering hecht er belang aan dat dit goed geregeld is. Ik vind dat toch vrij zacht en vrij vrijblijvend blijven, want er is nergens gedefinieerd wat dan een goede community is of wat een goed functionerende community is, noch in omvang noch in kwaliteit. Dus we weten niet wanneer dat functioneren door het ijs zou zakken. Bovendien zegt de staatssecretaris dat de regering een inspanningsintentie heeft, maar geen juridisch geregelde verantwoordelijkheid. Graag zou ik van de staatssecretaris een toezegging krijgen dat een ministeriële regeling op dit punt verder wordt aangescherpt. Die moet dan meer duidelijkheid geven over wat de ondergrens is van het functioneren van die community en duidelijkheid geven over hoe de verantwoordelijkheid voor het voldoende functioneren van die community juridisch geregeld is.
Dank u wel.
De voorzitter:
Dank u wel, meneer Van den Berg. Dan is het woord aan de heer Dittrich namens D66.
De heer Dittrich i (D66):
Dank u wel, voorzitter. Hartelijk dank aan de staatssecretaris voor de uitgebreide beantwoording. Wat ik van de eerste termijn van de staatssecretaris heb meegekregen, is toch wel het punt van de inlogmiddelen die wij hier in dit parlement voor de Nederlandse burgers en bedrijven regelen. Heel duidelijk is naar voren gekomen dat inlogmiddelen via andere Europese landen, die uiteraard aan bepaalde basisvereisten van de Europese regelgeving moeten voldoen, van andere, misschien wel mindere kwaliteit kunnen zijn dan wat wij hier voor de Nederlanders afspreken. De staatssecretaris zegt: waarom zouden Nederlanders een inlogmiddel uit het buitenland willen gebruiken dat minder waarborgen biedt dan de Nederlandse regelgeving? Dat begrijp ik, maar toch heb ik het gevoel dat dit een onderdeel is dat nog niet helemaal in dit debat is uitgekristalliseerd. Ik hoor de heer Ganzevoort vragen om een onafhankelijk juridisch advies om met name naar dat punt te kijken. Ik kan me daar wel wat bij voorstellen, mits dat allemaal op korte termijn gebeurt. Het oorspronkelijke wetsvoorstel is in 2017 of 2018 ingediend en is uiteraard sterk verbeterd, ook door de novelle. Maar we moeten hier op enig moment wel een punt achter kunnen zetten.
Open source en de communities zijn ook uitgebreid aan de orde geweest. Ik begrijp dat er echt een inspanningsverplichting is van de overheid om te zorgen dat de communities hun werk doen, blijven doen, goed doen, kunnen blijven doen en goed kunnen blijven doen. Ik zou — en dat sluit aan bij wat de heer Van den Berg vraagt — willen toevoegen dat het iets meer houvast moet hebben, omdat het niet in de wetstekst verankerd is. In de nadere regelgeving zou daar iets meer duidelijkheid over moeten komen.
Tot slot. In mijn eerste termijn heb ik heel duidelijk gevraagd: hoe kan de Nederlandse burger weten welke inlogmiddelen betrouwbaar zijn, als er meer dan een inlogmiddel is, bijvoorbeeld het overheidsinlogmiddel maar ook particuliere en private inlogmiddelen? Allereerst natuurlijk omdat ze erkend zijn. Daar zitten allerlei waarborgen aan. Maar ik kan me toch voorstellen dat ze onderling van elkaar verschillen. Dan is voorlichting aan de Nederlandse burger erg belangrijk. Mijn vraag aan de staatssecretaris is of zij ons meer duidelijkheid kan bieden over hoe we de Nederlandse burgers gerust kunnen stellen dat als zij in Nederland een inlogmiddel kiezen voor hun contact met de overheid, dat volledig betrouwbaar is.
De voorzitter:
Dank u wel, meneer Dittrich. Dan is het woord aan de heer Talsma namens de ChristenUnie.
De heer Talsma i (ChristenUnie):
Veel dank, meneer de voorzitter. Dank aan de staatssecretaris voor de beantwoording in de eerste termijn. Wat mij betreft blijven drie punten nog staan.
Voor het eerste punt sluit ik een beetje aan bij collega Ganzevoort. Dat gaat over die wederzijdse erkenning. Daar zoek ik toch nog even naar de scherpte, kijkend naar artikel 6 lid 1 van de eIDAS-verordening. Ik zou het zeer op prijs stellen als de staatssecretaris ons daar nog eens even klip-en-klaar doorheen geleidt. Wat staat er nu eigenlijk? We zijn het er samen over eens, zo bleek uit het interpellatiedebat … Het interruptiedebatje, zo gek was het nou ook weer niet. Het was gewoon een interruptie. We zijn het erover eens dat het een verplichting is. Het moet. Er staat niet voor niets in de Nederlandse vertaling van de eIDAS-verordening het woord "moet". De spannende vraag is nog even: hoe zit het nu tot op het bot? Met name: wat is de strekking van de toevoeging van de woorden die daar staan in artikel 6 lid 1: "ten behoeve van de grensoverschrijdende online-authenticatie". Daar ben ik heel benieuwd naar en ik zou het zeer op prijs stellen als de staatssecretaris daarop ingaat.
De vragen rondom de communities die ik in eerste termijn heb gesteld, zijn zojuist ook gesteld door collega Van den Berg. Ik sluit mij omwille van de tijd aan bij de vragen die hij daarover heeft gesteld.
Het laatste punt dat mijn bijzondere belangstelling heeft, betreft de capaciteit voor de handhaving van dit soort regels. Daar heb ik in eerste termijn iets over gevraagd. De staatssecretaris heeft eerder in de schriftelijke voorbereiding gereageerd met de mededeling dat haar geen signalen hebben bereikt dat de capaciteit niet toereikend zou zijn. Dat is op zich een heel prettige ondergrens, maar ik zou het zeer waarderen als de staatssecretaris ons hier iets concreter en iets gefundeerder gerust zou kunnen stellen.
Ik dank u zeer.
De voorzitter:
Dank u wel, meneer Talsma. Dan is het woord aan de heer Koole namens de Partij van de Arbeid.
De heer Koole i (PvdA):
Dank u wel, voorzitter. Dank aan de staatssecretaris voor het beantwoorden van de vragen in de eerste termijn. Het is een heel belangrijk onderwerp. Ik denk ook dat we op een aantal punten verheugd kunnen zijn dat dit onderwerp zich in de loop van de tijd zo heeft ontwikkeld dat er verbeteringen zijn aangebracht via de novelle; dat is al vaker genoemd. Maar we zijn bijvoorbeeld ook verheugd over de opmerking van de staatssecretaris dat er altijd een offline alternatief voor digitale inlogmiddelen blijft bestaan in de bibliotheek of elders. Volgens mij is het heel goed dat dit er altijd zal zijn. Het doenvermogen van burgers is niet altijd gelijk. Ik denk dat het heel goed is dat dit gegarandeerd is.
Er zijn natuurlijk ook zorgen. Deze zijn al een paar keer genoemd. De erkenning van buitenlandse bedrijven leidt er inderdaad toe dat die hier actief kunnen zijn zonder dat daar de additionele voorwaarden gelden die in de novelle zijn gesteld. Dan is het de vraag of je op een gegeven moment niet een bigtechbedrijf hebt dat zoekt naar het land dat de minst strenge eisen stelt, in ieder geval de eIDAS-verordening, en in de praktijk misschien ook de minst strenge handhaving heeft, om erkend te worden. Als het bigtechbedrijf eenmaal is erkend in een bepaald Europees land, biedt het dan toch zijn diensten aan in Nederland. Hoe gaan we daarmee om? Wat kun je daaraan doen? Mijn vraag aan de staatssecretaris is: zou het niet ook een inzet van de regering met zich meebrengen dat zij op Europees niveau probeert om de eisen die we nu hebben gesteld in de novelle in een volgende versie van de eIDAS op Europees niveau te regelen?
De heer Ganzevoort heeft al indringend gesproken over de noodzaak van het wel of niet toelaten van commerciële bedrijven in Nederland voor de toegang van Nederlandse burgers tot de Nederlandse overheid. Ik ondersteun zeer zijn vraag voor een goede, uitputtende juridische analyse van wat hier precies de verplichting is met dat grensoverschrijdende verkeer. Ik zou dat ook willen aanvullen met de vraag — ik heb deze vraag al eerder gesteld — of het per se juridisch noodzakelijk is om de opensourcevereiste gelijk te stellen voor oude en nieuwe aanbieders. Mijn idee is toch dat je daar onderscheid zou kunnen maken, maar ik hoor daarop graag het antwoord van de staatssecretaris. Het idee is natuurlijk om het vereiste van open source bij nieuwe aanbieders van inlogmiddelen ook echt vanaf het begin te stellen. De vraag is dan: kan dit juridisch? En als dit juridisch kan: kan de staatssecretaris toezeggen dat dan ook te eisen?
Ik had nog wel een kleinere vraag over de communities. Er is al een paar keer over gesproken. De staatssecretaris zei op een gegeven moment: als het niet goed loopt, zullen we ze misschien financieel ondersteunen. Mijn vraag is eigenlijk: hoe verhoudt zich dat tot de onafhankelijkheid van die communities? Die zijn natuurlijk bedoeld om kritisch te kijken naar het systeem en de inlogmiddelen. Als de overheid ze financiert, zit daar dan niet een zekere spanning? Herkent de staatssecretaris dat? Hoe denkt zij daarmee om te gaan?
Meneer de voorzitter. Tot slot over de Chinese muur, de handhaving en de controle. De staatssecretaris heeft gezegd dat er voldoende capaciteit is bij de RDI — de heer Talsma vroeg er ook al naar — om bedrijven als Facebook, Google et cetera te controleren. Is dat in het voorbeeld dat ik net noemde ook zo wanneer die bedrijven erkend zijn in een ander Europees land? Als die erkenning formeel door Nederland is overgenomen, kan de RDI dat dan ook controleren? Zou het niet goed zijn als de toezichthouders in de verschillende lidstaten samen en misschien ook op Europees niveau overleggen om ervoor te zorgen dat de handhaving overal in gelijke mate en stringent wordt toegepast?
Tot zover, voorzitter.
De voorzitter:
Dank u wel, meneer Koole. Dan is het woord aan mevrouw Gerkens namens de SP.
Mevrouw Gerkens i (SP):
Dank u wel, voorzitter. Laat ik aansluiten bij de Chinese muur van de heer Koole. We hebben het over bedrijven als Google en Meta, die straks ons inlogmiddel zouden kunnen zijn. Maar stel u eens voor dat ik zeg dat we kunnen gaan inloggen met TikTok. Ik denk dat eenieder van u even de adem zou inhouden, omdat we dan opeens beseffen dat onze data bij de Chinezen komen te liggen. Laat ik u zeggen wat Cisco, een groot, gerenommeerd bedrijf onlangs heeft gezegd: ik ben niet van plan om zelf een soevereine cloud te bouwen, niet omdat ik dat niet wil, maar simpelweg omdat ik dat niet kan; Amerikaanse bedrijven die het tegendeel beweren, houden er een eigen definitie van soevereiniteit op na.
Voorzitter. Dat komt doordat er een Freedom Act is. Dat is iets wat ik in het debat ook probeerde te betogen. Die Freedom Act, een wet in Amerika, vereist dat data gegeven worden op het moment dat de Amerikaanse overheid daarnaar vraagt. Mensen hoeven daar niet van op de hoogte te worden gesteld. Ik vind het echt onverstandig om dit soort aanbieders toe te laten en toegang te geven tot zeer gevoelige data, wat uiteindelijk tot schending van mensenrechten kan leiden.
Dan zegt de staatssecretaris: we hebben regels, we hebben de AVG en we hebben de kaderwet. We hebben regels en daar moet men zich aan houden. Zeker, daarom heeft Meta begin dit jaar een boete gekregen van 390 miljoen euro, haar vijfde overigens, vanwege het schenden van de AVG. Sterker nog, er zijn sinds het begin van de AVG al 1,5 miljard aan boetes in Europa opgelegd aan grote bigtechbedrijven. De staatssecretaris heeft eerder gezegd dat clouddiensten voor de rijksoverheid veilig zijn om te gebruiken. Daar is ze gelukkig voor teruggefloten door de Tweede Kamer, omdat de Autoriteit Persoonsgegevens zei dat de clouddiensten niet veilig zijn.
Uiteindelijk zijn dit de zaken waarvan ik denk dat we gewoon goed moeten kijken hoe we onze publieke zaak kunnen borgen. Inderdaad kun je kiezen, zoals de staatssecretaris ook zegt, voor bijvoorbeeld de publieke variant. Wij hebben dat keurmerk. Misschien zullen marktdenkers denken dat dit een middel kan zijn om te laten zien hoe goed wij het doen in Nederland. Maar als ik bij Adobe wil inloggen, is het eerste wat ik zie "inloggen met Google", "inloggen met Facebook" en ergens onderaan zie ik pas dat ik kan inloggen met mijn eigen e-mailadres. Je wordt dus al die kant op gedwongen.
Uiteindelijk is de vraag: waarom laten we dit publieke domein over aan private partijen? Wat is daar de toegevoegde waarde van? Ik steun de interruptie van de heer Otten over de gebruikersmiddelen. Laten we zien hoe zich dat verder ontwikkelt.
Wat volgens ons Europees moet, is het volgende. Als in Nederland een boete betaald moet worden door een Duitser, moet het CJIB de mogelijkheid bieden aan de Duitse meneer of mevrouw om in te loggen met een Duits inlogmiddel. Dat is volgens mij de verplichting die er is. Maar voor onze fractie is het ook de discussie of die wederkerigheid bestaat. Is het zo dat we private partijen móéten toestaan als we dat niet zouden willen? Mijn fractie zou die buitenlandse aanbieders voor onze Nederlandse burgers willen weren. We steunen dan ook het verzoek van de heer Ganzevoort om een juridische, onafhankelijke analyse, met nadruk op "onafhankelijke". Die analyse zouden we graag voor de stemmingen willen zien. Daar laten we ons eindoordeel van afhangen.
Dank u wel.
De voorzitter:
Dank u wel, mevrouw Gerkens. Dan is het woord aan de heer Van Hattem namens de PVV.
De heer Van Hattem i (PVV):
Dank u wel, voorzitter. De PVV-fractie heeft een wat fundamentelere kritiek op dit wetsvoorstel. Ik citeer nog eens uit de memorie van antwoord. Daarin zegt de staatssecretaris: de eerste tranche van de Wet digitale overheid creëert hiermee bovendien een stevig fundament voor toekomstige ontwikkelingen, in lijn met toekomstige Europese wetgeving. Dat is dus het grote probleem dat hieronder ligt. Met de Wet digitale overheid als kaderwet wordt de Europese digitale identiteit ingekaderd en vervolgens in de tweede tranche geëffectueerd WDO.
De staatssecretaris loopt zelfs al in zevenmijlslaarzen voor de troepen uit, door nu al ontmoetingen voor de open source community te organiseren voor de Europese digitale identiteit, zo blijkt uit haar beantwoording aan de Tweede Kamer. Het parlement als de democratische medewetgever is blijkbaar alleen maar overbodige ballast voor deze D66-staatssecretaris, getuige ook haar dringende verzoek om de stuiting van de aan deze Kamer voorgehangen ontwerpbesluiten voor de WDO op te heffen. Vanwaar die haast? Wiens belangen moeten hier met zo veel spoed gediend worden dat het belang van de democratische controle en zeggenschap door het parlement aan de kant geschoven moeten worden? Worden wellicht de private partijen, die volgens deze wet diensten mogen gaan aanbieden, ongeduldig? Of ligt er weer een stalorder vanuit Brussel? Kan de staatssecretaris hier uitsluitsel over geven?
Nog bonter maakt de staatssecretaris het, met instemming van het hele kabinet-Rutte/Kaag, door enkele door de Tweede Kamer aangenomen moties niet uit te voeren en zelfs regelrecht in strijd met de motie-Leijten in Brussel bij de Telecomraad van 6 december jongstleden te tekenen bij het kruisje voor de Europese digitale identiteit, formeel de herziening van de eIDAS-verordening, terwijl de motie klip-en-klaar uitsprak dat hiermee niet werd ingestemd. De staatssecretaris kwam enkel naar Brussel om met de zegen van Rutte en Kaag kopjes te geven aan de Europese Commissie en de opdracht van het Nederlandse parlement door de shredder te halen.
In het interpellatiedebat in de Tweede Kamer gaf de staatssecretaris afgelopen week aan dat ze tevreden was met het resultaat en dat bij een tegenstem sprake zou zijn van een verslechtering van de positie van Nederland bij de onderhandelingen die nog lopen. Maar wat is die positie nog waard als er toch al ja en amen is gezegd tegen deze Europese verordening? Kan de staatssecretaris aangeven in hoeverre er dan voor Nederland alsnog een mogelijkheid is om in die trialogen nee te zeggen?
Ook stelde de staatssecretaris dat het belangrijk is om "een betrouwbare onderhandelingspartner in Brussel" te zijn. Wat valt er te onderhandelen als de staatssecretaris sowieso al ja zegt en zelfs voor de troepen uitloopt door de invoeringsvoorbereidingen voor de Europese digitale identiteit te treffen?
Ook sprak de staatssecretaris over het belang van een Europese wallet om regie te houden op de eigen gegevens. Hoe totaal ongeloofwaardig is dat als zij niet eens de regie kan houden over onze eigen nationale belangen en over de opdracht van onze eigen volksvertegenwoordiging? Waarom zouden Nederlandse burgers wel moeten kunnen vertrouwen op een dergelijk systeem, waarin alle mogelijke privacygevoelige gegevens aan elkaar worden geknoopt en dat potentieel door overheden en bigtechbedrijven kan worden misbruikt als een digitale enkelband en als socialecontrolemiddel? Als in Brussel zo makkelijk de belangen van onze burgers en hun volksvertegenwoordigers verkwanseld worden, worden dan om de bazen in Brussel te pleasen ook niet even makkelijk de privacy en vrijheden van onze burgers in een volgende wijziging of tranche verkwanseld?
Verder gaf de staatssecretaris aan dat het gevraagde expliciete verhandelingsverbod niet in de Europese verordening is opgenomen. Kan de staatssecretaris aangeven hoe zich dat verhoudt tot het voorliggende wetsvoorstel, waarin wel wordt uitgegaan van zo'n verhandelingsverbod? Wordt het verhandelingsverbod in deze wet met de nieuwe Europese verordening op dit onderdeel mogelijk een dode letter? Het zou nog belangrijker zijn om te komen tot een verhandelingsverbod voor onze nationale soevereiniteit, om te voorkomen dat D66-onderministers onze nationale soevereiniteit en onze parlementaire democratie aan de eurocraten in Brussel verhandelen omwille van hun onderhandelingspositie. Een onderhandelingspositie in wiens belang? Niet het belang van onze burgers en hun volksvertegenwoordigers. Als men dat belang echt wil dienen, moet worden begonnen met het onderhandelen over een nexit.
Voorzitter. Tot slot heb ik nog enkele openstaande vragen uit de eerste termijn. Daarnaast zal ik een motie indienen waarin wordt uitgesproken om alsnog af te zien van een Europese digitale identiteit.
De voorzitter:
Door de leden Van Hattem, Faber-van de Klashorst, Van Strien, Bezaan en Ton van Kesteren wordt de volgende motie voorgesteld:
De Kamer,
gehoord de beraadslaging,
constaterende dat volgens de staatssecretaris de WDO een "stevig fundament" legt voor toekomstige EU-regelgeving, zoals de Europese digitale identiteit;
constaterende dat in de tweede tranche van de WDO de Europese digitale identiteit wordt voorzien;
overwegende dat de Europese digitale identiteit grote risico's oplevert voor de privacy en vrijheden van burgers;
spreekt uit dat verdere stappen richting een Europese digitale identiteit onwenselijk zijn en de Nederlandse regering hiervan moet afzien,
en gaat over tot de orde van de dag.
Zij krijgt letter AD (34972, 35868).
De heer Van Hattem (PVV):
Voorzitter. Dan had ik nog enkele openstaande vragen die in de eerste termijn niet of niet voldoende zijn beantwoord. Er werd door de staatssecretaris een en ander gesteld over open source. De concrete criteria voor open source zijn nog steeds niet duidelijk, zoals de VVD net ook al terecht aangaf. De staatssecretaris zei ook "ze gaan het op vrijwillige basis doen, maar als het niet anders kan, gaan we ervoor betalen". Hoe groot is de kans dat de opensourcecommunity dan zegt "als de overheid toch bereid is uiteindelijk de portemonnee te trekken, gaan we het echt niet voor nop doen"?
Over het uitwisselen van patiëntengegevens had ik in eerste termijn ...
Mevrouw Gerkens i (SP):
Ik kan de heer Van Hattem echt geruststellen. De hele essentie van open source is nu juist níét ervoor te zorgen dat de overheid de portemonnee trekt. Sterker nog, er zijn al voldoende opensourcesoftwareontwikkelingen die door de overheid geïnitieerd zijn. Natuurlijk, de eerste ontwikkeling moet betaald worden, want voor niets gaat de zon op. Maar het gaat er juist om dat je niet steeds met licenties extra kosten hebt. Ik zou me daar niet zo veel zorgen over maken als ik de heer Van Hattem was.
De heer Van Hattem (PVV):
Ik maakte me daar initieel ook niet zo veel zorgen over. Ik denk dat die opensourcecommunity een goed initiatief is. Maar als de staatssecretaris nu al aangeeft "als het niet van de grond komt, gaan we er als overheid uiteindelijk toch voor betalen", dan zou het zomaar kunnen dat sommigen heel calculerend gaan denken. Daar zie ik toch wel een klein risico in.
Dan had ik in mijn eerste termijn nog een vraag gesteld over de uitwisseling van patiëntengegevens. Daar is de staatssecretaris volgens mij in haar eerste termijn niet op ingegaan. De vraag was vooral in hoeverre de inlogmiddelen uit de WDO wel betaalbaar, gebruiksvriendelijk en voldoende betrouwbaar zijn voor de zorgsector.
Ik had in eerste termijn ook nog gevraagd naar de juridische, organisatorische en technische basis van het stelsel. Die zou naar verwachting een half jaar na inwerkingtreding van de wet gereed zijn. Dat was eigenlijk juli 2023, maar ik had de staatssecretaris gevraagd wat er nog juridisch geregeld zou moeten worden en waarom dat nu niet bij de behandeling al duidelijk is.
Dan had ik nog het punt van de decentrale overheden. Daarvan zegt de staatssecretaris dat ze moeten voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid. De vraag is in hoeverre er al voldoende aan wordt voldaan om in dit stelsel actief te kunnen zijn.
Tot slot, voorzitter. Welke garanties kan de staatssecretaris nu geven dat de vrijheid en de privacy van onze burgers via deze WDO niet worden meegezogen in de Brusselse fuik?
Voorzitter. Wij als PVV zijn niet enthousiast over dit voorstel. We staan wel achter de novelle, omdat die de schadelijkheid van de wet verder inperkt, maar de wet zelf, de WDO, daar zijn wij niet enthousiast over.
Voorzitter. Tot zover mijn tweede termijn.
De voorzitter:
Dank u wel, meneer Van Hattem. Wenst een van de leden in tweede termijn nog het woord? De heer Otten.
De heer Otten i (Fractie-Otten):
Dank, voorzitter. Wij hebben weliswaar niet meegedaan aan dit debat, maar wij hebben het wel aandachtig gevolgd. We zouden ons als fractie willen aansluiten bij het voorstel van onder anderen mevrouw Gerkens om de staatssecretaris te laten toezeggen dat ze een onafhankelijke deskundige advies laat uitbrengen over de juridische noodzaak van deze toegang van private partijen. Dat lijkt ons toch wel aan de orde. Dat is ook de reden waarom ik mij nog even meld als spreker, om de staatssecretaris ook namens onze fractie met klem te verzoeken die toezegging te doen.
Voorzitter, dank.
De voorzitter:
Dank u wel, meneer Otten. Staatssecretaris, bent u in de gelegenheid om direct te reageren op de vragen van de Kamer? Nee. Hoeveel tijd heeft u nodig? Een kwartier? Dan schorsen wij voor een kwartier.
De vergadering wordt van 16.53 uur tot 17.10 uur geschorst.
De voorzitter:
Ik geef het woord aan de staatssecretaris Koninkrijksrelaties en Digitalisering.
Staatssecretaris Van Huffelen i:
Dank u wel, voorzitter. Dank voor de vragen die ook nog in tweede termijn zijn gesteld en voor de discussies die we vandaag gehad hebben. Ik denk dat de kern is dat velen van ons heel duidelijk zien dat de digitale wereld ons aan de ene kant fantastische kansen en heel veel mooie mogelijkheden biedt, maar dat er ook allerlei ontwikkelingen zijn waar we heel scherp zicht op moeten houden. Het is ongelofelijk belangrijk dat we de privacy van Nederlandse burgers beschermen en dat we de manier waarop gegevens van Nederlanders worden gedeeld, beschermen. In de digitale wereld, de transformatie waar we nu in zitten en waar de overheid ook een rol in heeft te spelen, moeten we niet alleen zorgen dat we de regie nemen vanuit het perspectief dat iedereen mee moet kunnen doen, maar moeten we ook zorgen dat dat veilig kan en dat mensen regie houden. Daarom was ik ook blij met de vragen die u daarover heeft gesteld. Ik ga proberen die zo snel mogelijk te beantwoorden.
Ik begin met de vragen die gesteld zijn door de heren Ganzevoort en Talsma. Het ging over de vraag: moet Nederland nou inlogmiddelen uit andere EU-lidstaten accepteren wanneer die door Nederlandse burgers worden gebruikt? Laat ik er helder over zijn. Ik zal u daar zeker een brief over sturen, maar het antwoord is dat dat inderdaad zo is. In dit geval heeft "crossborder" niet te maken met een Nederlandse burger die in Nederland zakendoet en dan geen grenzen overschrijdt, maar gaat het over inlogmiddelen die crossborder zijn, namelijk die in meerdere lidstaten kunnen worden gebruikt. Velen van u hebben gevraagd om dat helder op te schrijven. Dat doe ik graag. Ik zal ervoor zorgen dat u die brief deze week krijgt en dat hij ook wordt voorzien van een expertoordeel, omdat een aantal van uw leden daar ook om vroeg.
De heer Ganzevoort i (GroenLinks):
Het was inderdaad niet zozeer een verzoek aan de staatssecretaris om het op te schrijven, maar om een onafhankelijke juridische analyse.
Staatssecretaris Van Huffelen:
Oké. Wij zullen ervoor zorgen dat u de brief met die analyse krijgt. Ik kan inderdaad aan een onafhankelijke partij vragen om daarnaar te kijken. Het hoeft wat mij betreft niet een hele uitgebreide brief te worden, want hij gaat dus over de centrale vraag of het mogelijk is dat een Nederlandse burger met een buitenlands inlogmiddel dat niet erkend is door de Nederlandse toezichthouder — daar gaat het dan over — in Nederland zaken kan doen. Om daar iets meer informatie over te geven: het gebeurt vandaag de dag al. Er zijn Nederlandse burgers die bijvoorbeeld met itsme inloggen bij de gemeente Rotterdam.
De heer Ganzevoort (GroenLinks):
De vraag was heel precies of de eIDAS-verordening ons verplicht het mogelijk te maken dat Nederlandse burgers met een buitenlands middel bij de Nederlandse overheid inloggen. Daar wil ik graag een onafhankelijke analyse op.
Staatssecretaris Van Huffelen:
Het antwoord daarop is dus, zoals ik u aangaf: ja. Maar ik laat dat graag verder uitzoeken en onderbouwen, en als het niet waar zou zijn, zal ik u dat uiteraard ook melden. Maar dit is wel het antwoord.
De voorzitter:
Hoorde ik u aankondigen, staatssecretaris, dat de brief deze week komt?
Staatssecretaris Van Huffelen:
Dat is wel mijn bedoeling, althans, in ieder geval voordat u gaat stemmen over de wet. Dat is … O, dat is natuurlijk niet volgende week. Voor de stemming in ieder geval.
De voorzitter:
Dat moment moeten we nog bepalen, maar ik ga later voorstellen om dat over twee weken te doen.
Staatssecretaris Van Huffelen:
Misschien is het wel goed om ook nog te laten weten — dat had ik in de eerste termijn niet gezegd — dat er bij de erkenning van buitenlandse inlogmiddelen sprake is van een soort notificatieproces. Dat betekent dat er ook een peerreview wordt gedaan door experts uit verschillende lidstaten om dat inlogmiddel te toetsen. Als er sprake is van een Nederlands product, dan wordt dat niet alleen maar getoetst door onze experts, maar ook door experts uit drie andere lidstaten, die samen kijken of het in ieder geval voldoet aan de eIDAS-verordening. Het is dus niet zo dat één land in zijn eentje de erkenning van een middel kan doen. Er zijn altijd andere die meekijken. Er is dus sprake van peerreview op die toekenning.
Dan was er een vraag van de heer Koole: kan voor open source een onderscheid worden gemaakt tussen bestaande middelen, dus middelen die nu al worden gebruikt, en andere inlogmiddelen? Dat kan ik helaas niet doen. De kern is dat ik sowieso geen onderscheid kan maken tussen die middelen, vanwege het feit dat aan alle aanbieders dezelfde eisen moeten worden gesteld, of die nu nieuw zijn of bestaand. Dat kan niet op veiligheid en privacy en ook niet op het onderwerp open source. De belangrijkste reden daarvoor is dat voor alle middelen dezelfde eisen moeten gelden. Ik wil voorkomen dat we daar juridische procedures over krijgen waarin dan die eis van tafel zou gaan.
De heer Koole i (PvdA):
De staatssecretaris zegt dat zij dat niet kan doen. Zij geeft een aantal redenen, maar zegt aan het slot dat zij juridische procedures wil voorkomen. Mijn vraag was ook om juridisch te laten uitzoeken of het inderdaad mogelijk is, dus dat niet alleen volgens de staatssecretaris maar ook volgens experts dat onderscheid gemaakt kan worden.
De tweede vraag is: als de juridische mogelijkheid niet zou bestaan, is het dan niet te overwegen om de invoerdatum van het nieuwe systeem ongeveer gelijktijdig te laten zijn met de deadline die de staatssecretaris eerder noemde, namelijk dat open source uiterlijk over vijf jaar moet zijn ingevoerd? Waarom zou je in de tussentijd, vraag ik nogmaals, private partijen, andere partijen toelaten die met closed source werken om vervolgens te zeggen dat ze wel heel hard moeten werken aan die open source? Waarom doe je dat niet gelijk? Als dat onderscheid juridisch niet te maken is, zou je dan niet eerder de inwerkingtreding tot een latere datum moeten uitstellen?
Staatssecretaris Van Huffelen:
Wij kunnen de inwerkingtreding natuurlijk niet zomaar tot een latere datum uitstellen, want hier is sprake van een Europese verordening. Los daarvan kan dat nog best lang duren. Ik heb aangegeven dat sommige inlogmiddelen, met name DigiD, er nog wel vijf jaar over kunnen doen om volledig te voldoen aan het opensourcevereiste. Ik zou het juist fijn vinden dat we het in de tussentijd wel mogelijk kunnen maken dat andere inlogmiddelen die voldoen aan onze vereisten daadwerkelijk door ons worden getoetst in de ruime zin, dus voor de Nederlandse vereisten, en op die manier onderdeel kunnen worden van het stelsel. Ik kan in dezelfde brief die ik heb toegezegd ook aangeven of dat onderscheid gemaakt kan worden. Ik ben altijd blij om te horen dat ik kennelijk niet tot de experts behoor. Onze inschatting is dat dat niet kan, omdat er dan een oneigenlijk onderscheid zou zijn tussen de verschillende inlogmiddelen in dit stelsel. Maar ik kan dat in de brief nog een keer laten aangeven.
Mevrouw Prins vraagt of in de regeling kan worden vastgelegd dat er bij de helpdesk van een middelenaanbieder ook ruimte is voor voldoende kennis en kunde, wanneer burgers onvoldoende digitaal vaardig zijn; met andere woorden, dat de kwaliteit van die helpdesk niet alleen maar bestaat uit "zoveel uren per week beschikbaar", maar dat dat ruim moet kunnen. Wat mij betreft is dat ook van belang. Op dit moment hebben we dat niet specifiek in de regeling opgenomen. Overigens is dat bij DigiD, bij onze eigen voorziening, wel goed geregeld. Ik wil met u gaan kijken of ik dat misschien wat explicieter in de regeling kan opnemen, maar dan moet ik kijken of dat daadwerkelijk kan worden geregeld. Ook ik vind het van belang dat we ervoor zorgen dat je niet alleen maar te woord wordt gestaan, maar dat dat ook van kwaliteit is.
De heer Van den Berg en de heer Talsma vragen of er een soort ondergrens kan worden gedefinieerd voor opensourcecommunity's, zodat de kwaliteit daarvan zodanig voldoende is dat ze daadwerkelijk een functie hebben en kunnen zorgen voor het verbeteren van de software, en of dat in de ministeriële regeling kan worden opgenomen. Ik wil graag onderzoeken hoe ik dat juridisch kan verankeren. De vraag is al een paar keer gesteld en ook ik hecht eraan dat we voor onszelf definiëren wat een opensourcecommunity op z'n minst zou moeten kunnen realiseren. Ik weet niet of de ministeriële regeling daar de goede plek voor is, omdat die vooral gaat over de eisen die we stellen aan partijen die een erkenning vragen. Maar ik wil wel heel graag kijken of we dit op de een of andere manier ook juridisch kunnen onderbouwen en in ieder geval helder kunnen hebben wat onze ondergrens is, als het gaat over het functioneren van die community's. Ik ben het overigens eens met mevrouw Gerkens, die zegt dat die community's er gelukkig zijn, dat ze een hele belangrijke rol spelen en dat het over het algemeen helemaal niet nodig is om ze te stimuleren. Gelukkig is die zekerheid er in de digitale wereld.
Dan gaat het in de vraag van de heer Van den Berg nog over die financiële ondersteuning. Als het nodig is, kan ik er dus een bijdrage aan leveren, maar de onafhankelijkheid wordt natuurlijk ingewikkelder als je van tevoren ook dingen gaat regelen. Als we geld geven, wil je misschien ook nog anderszins dingen geregeld hebben. Onze ervaringen tot nu toe zijn dat dat voldoende is. Maar goed, als wij zien dat er niemand meer meekijkt naar die broncodes, is er altijd nog de mogelijkheid dat je dat op de een of andere manier anderszins gaat stimuleren. Dan lijken dingen als bug bounty's interessanter dan daadwerkelijk zeggen: doe een analyse op dit of dat. Hoewel, dat doen we op andere plekken ook. Maar zo'n bug bounty is veel onafhankelijker. Ik snap het, en ik zal het graag meenemen, in combinatie met het eerste punt dat ik net noemde.
De heer Dittrich vroeg: hoe kunnen Nederlandse burgers er gerust op zijn dat, als ze inlogmiddelen kiezen voor contact met de overheid, die ook betrouwbaar zijn? Dat is eigenlijk een vraag die, denk ik, ook wel past bij wat eerder ook door mevrouw Prins is aangegeven, namelijk dat we ook heel duidelijk moeten maken welke inlogmiddelen aan de vereisten voldoen die we hier volgens de Nederlandse wet stellen. Als u deze wet aanneemt, is dat dus de WDO plus de novelles. Dan moet ook helder zijn dat daar die verboden voor gelden. Overigens blijf ik ook benadrukken dat ook inlogmiddelen die in Europa worden toegelaten, veilig moeten kunnen worden gebruikt door Nederlandse burgers en bedrijven. Die middelen worden dus ook onderworpen aan die peerreviews van minimaal drie andere lidstaten.
De heer Talsma stelde een vraag over de capaciteit bij de RDI. Wij zijn veel met de mensen van de RDI in gesprek. Zeker mijn medewerkers spreken maandelijks met hen. We moeten natuurlijk inderdaad zorgen dat er voldoende capaciteit is, zowel in termen van omvang, als in termen van kennis en kunde. Er moet in die zin voldoende capaciteit zijn om ook goed te kunnen blijven toetsen. Ik wil u daarover twee dingen aangeven. In de eerste plaats zullen wij uw Kamer jaarlijks informeren over het functioneren van dit stelsel, inclusief dit onderwerp. Dus: hoe gaat het met het functioneren van de toezichthouder? En in de tweede plaats zal ik u daarbij laten weten hoe wij ook samenwerken met de andere Europese toezichthouders. Dat gebeurt nu ook al vrij intensief, omdat er ook vanuit de verschillende landen en lidstaten wordt gekeken hoe zij dat toezicht goed kunnen invullen. Daar kan ik dan ook iets meer over vertellen. Met welke van deze toezichthouders hebben we contacten? Waar gaan die over? Hoe informeren we elkaar wanneer we bijvoorbeeld zien dat inlogmiddelen die in een bepaalde lidstaat zijn toegelaten, volgens ons bijvoorbeeld problematisch zijn, of wanneer we zien dat er daarmee dingen niet goed gaan?
Ik ga nog terug naar de vraag die de heer Ganzevoort en de Koole stelden over die Chinese walls. We hebben denk ik, ook al eerder in dit debat, helder gewisseld dat dat verhandelen van gegevens een heel harde "nee" moet zijn, en een hele harde onmogelijkheid in dit stelsel moet zijn. Dat staat als een paal boven water. Via die inlogmiddelen log je in met gegevens over je identiteit. Het gaat over gegevens die, via dat inloggen, worden gewisseld met de overheid, met de Belastingdienst of anderszins. Dus er moet echt voor gezorgd worden dat dit heel goed wordt gedaan. Er kan onderzoek worden gedaan, niet alleen door de toezichthouder zelf, maar die toezichthouder kan ook nog onderdelen daarvan uitbesteden. Hij kan om extra onderzoeken vragen. Hij kan boetes uitdelen, kan partijen uit het stelsel laten krijgen. Dat maakt dat dit daarmee in principe in de basis goed geregeld is.
Maar ik heb natuurlijk uw punten goed gehoord. Meerdere leden hebben gezegd: ja, maar wat gebeurt er als er dan toch een partij is die misbruik van dit systeem wil maken? Hoe zorgen we er dan voor dat er dan ook echt wel voldoende wordt gedaan? Daarvoor geldt wat mij betreft dat we zo veel mogelijk proberen om die partijen te onderwerpen aan wat wij in deze wet willen, namelijk het systeem van de Nederlandse toezichthouder. We moeten er ook voor zorgen dat dat toezicht niet alleen maar aan de voorkant wordt gehouden, maar continu wordt gehouden. En we moeten de werkelijke mogelijkheden inzetten om partijen die niet voldoen, ook aan te pakken. Ik denk dat het echt een ongelofelijk belangrijke kwestie wordt voor de komende tijd om dat ook scherp te blíjven volgen. Net als u kan ik nu ook nog niet bedenken welke partijen hier mogelijkerwijs misbruik van zouden willen maken, wat we gaan tegenkomen in de praktijk en of private partijen daadwerkelijk massaal interesse in dit systeem zullen krijgen. Op dit moment is die interesse zeer beperkt, maar die zou natuurlijk groter kunnen worden. Ik wil net als u totaal niet dat er problemen met gegevensdeling of het ontbreken van Chinese walls zouden ontstaan.
Dus nogmaals, ik vind het belangrijk dat we heel goed en scherp toezicht invoeren en dat we dat ook in Europees verband doen, maar vooral dat wij als Nederlanders blijven kijken of we dit veilig vinden en dat we heel duidelijk laten weten aan de Nederlandse burgers en bedrijven op welke manier de partijen die bij ons in het stelsel zitten, worden gecontroleerd.
De heer Koole (PvdA):
Ik ben blij met de uitspraak van de staatssecretaris dat zij het toezicht op die Chinese walls ook heel belangrijk vindt. We weten nu natuurlijk nog niet precies welke grote commerciële bedrijven zich zullen aanmelden, maar om daar toch een beetje zicht op te krijgen, heb ik de volgende vraag. Zijn er contacten geweest tussen toezichthouders en potentiële aanbieders, áls ze er zijn, om te kijken of je het zodanig kunt organiseren dat je niet alleen een controle doet en dan uiteindelijk misschien via sancties iets probeert af te dwingen, maar ook, via doorlopende controle en toegang van de toezichthouder tot die bedrijven, voorkomt dat de data met elkaar worden vermengd? Korter gesteld: zijn er contacten met bijvoorbeeld potentiële aanbiedende bigtechdrijven over de mogelijkheid dat zij toezichthouders — dat kan een nationale of een Europese toezichthouder zijn, of het samenwerkingsverband van nationale toezichthouders — echt toelaten, of is dat nog helemaal in the open?
Staatssecretaris Van Huffelen:
Het stelsel werkt zo dat dat zou moeten: voordat je erkend wordt, moet je inderdaad toegang tot jouw bedrijf geven en moet de toezichthouder langs kunnen komen en allerlei onderzoeken kunnen doen. Op dit moment hebben zich bij ons nog geen bigtechbedrijven gemeld die erin geïnteresseerd zijn om zo'n inlogmiddel te maken. Ik noemde partijen die wel geïnteresseerd zijn: dat zijn banken, notarissen … Punt. We hebben sowieso gezegd dat we het publieke middel voor zowel burgers als bedrijven maken. Mocht zo'n grote onderneming zich bij onze toezichthouder melden, dan kan ik ervoor zorgen dat die gaat functioneren op basis van het stelsel zoals we willen dat het werkt, namelijk: voor erkenning moet je toelichting geven en ervoor zorgen dat er een peerreview plaatsvindt, want er moet ook door vertegenwoordigers van andere landen en toezichthouders getoetst worden of je voldoet. Ik kan in ieder geval zeggen dat iemand geen onderdeel van het stelsel kan worden als die toegang niet wordt gegeven.
De heer Koole (PvdA):
Dank voor dit antwoord. Betekent dit ook dat je, zodra zo'n bigtechbedrijf zich meldt en erkenning krijgt in een ander Europees land en daarmee dus automatisch ook in Nederland, actie kunt ondernemen en de afspraak kunt maken dat je, zoals ik net beschreef, permanent kunt volgen dat dat bedrijf toezicht toelaat, ook bij zo'n land, via de peerreview of anderszins? Kun je zeggen dat er van het begin af aan toezicht moet zijn, zodat we niet overgeleverd zijn aan de specifieke regels in een bepaald land? Kun je er op Europees niveau voor zorgen dat we er met z'n allen echt alles aan gaan doen om ervoor te zorgen dat, áls een bigtechbedrijf zich meldt, er dan ook echt van het begin af aan afspraken zijn en dat er toegang van het toezicht tot hun systeem is?
Staatssecretaris Van Huffelen:
Volgens mij heb ik het eerder gezegd: ik maak me ook zorgen over de vraag of er partijen zijn die misbruik willen maken van dit stelsel. In principe hebben we de instrumenten, zowel in Nederland als internationaal, om dat te voorkomen. Maar ik ben het wel met u eens dat het belangrijk is dat die instrumenten ook worden ingezet, in welk land je je ook meldt als onderneming en wat ook de aard van je onderneming is, want of het nou een bigtechbedrijf of een kleiner bedrijf is, je wilt dat misbruik sowieso wordt voorkomen. Ik kan u via de rapportage die ik wil maken, op de hoogte houden van wie zich meldt en hoe het toezicht georganiseerd is. Mochten we daar dingen in zien waarvan we zeggen dat ze onvoldoende zijn, dan kunnen we die ook met onze collega's gaan bespreken. Volgens mij is het wel goed om te weten dat de collega-toezichthouders van de RDI, die van de andere lidstaten, dit onderwerp wel degelijk hoog op de agenda hebben staan.
De heer Ganzevoort (GroenLinks):
De beste beveiliging lijkt me om die private aanbieders niet toe te laten, maar die discussie hebben we al gevoerd. Laat ik het nu wat toespitsen op de toezichthouders, in ieder geval op de Nederlandse inspectie. Op wat voor manier toetst die dat dan eigenlijk? Is dat een kwestie van een afvinklijstje, waar wat vinkjes bij moeten staan, dus waarbij wordt gezegd: als dit, dat en dat klopt, is het oké? Of wordt er ook meer kwalitatief gekeken naar wat voor soort aanbieder het eigenlijk is, en niet alleen materieel naar hoe de processen lopen?
Staatssecretaris Van Huffelen:
Dat laatste dus. Er wordt inderdaad niet alleen een soort afvinklijstje gebruikt, maar er worden ook daadwerkelijk onderzoeken binnen het bedrijf gedaan. Daar moet het bedrijf dus ook toegang tot verlenen. Er is ook sprake van die peerreview. Met andere woorden, je kunt niet in Nederland worden toegelaten als je niet ook gepeerreviewd bent of als dat onderzoek niet ook bekeken is door de toezichthouders van andere lidstaten. Andersom geldt dat dus ook voor lidstaten om ons heen. Dat is dus absoluut de bedoeling. Ik hecht er ook aan om nog maar even te zeggen dat ik dat zelf ook zeer belangrijk vind. Er moeten ook controles op papier plaatsvinden, maar die zijn natuurlijk niet voldoende om er een beeld van te krijgen of het ook goed georganiseerd is. Ik hecht er dus aan dat dat gebeurt, dat de toezichthouder dat ook gaat doen en dat hij daar de middelen niet alleen zelf voor heeft, maar dat hij die zo nodig ook kan inhuren. Als er getwijfeld wordt of als er extra expertise nodig is, dan moeten die middelen ook kunnen worden ingehuurd.
De heer Ganzevoort (GroenLinks):
Volgens mij delen we de intenties. We zoeken inderdaad naar de manier waarop we het binnen de omstandigheden zo veilig mogelijk maken. Is daar al een uitgewerkt toezichtkader voor ontwikkeld? Of zijn dat alleen maar de criteria zoals die algemeen in de wetgeving staan? En als er al een uitgewerkt toezichtkader is, zouden we dat dan kunnen krijgen?
Staatssecretaris Van Huffelen:
Nee, dat is er nog niet, maar als dat opgesteld wordt, kan ik er natuurlijk voor zorgen dat u dat krijgt. Dat wordt opgesteld, maar dat hebben we nu nog niet.
De heer Ganzevoort (GroenLinks):
Dank voor die toezegging.
Staatssecretaris Van Huffelen:
Ik zeg nogmaals dat het dus ook wel van belang is om te weten dat we dat ook onderling met elkaar gaan afstemmen in Europa.
Dan was er nog een vraag van de PVV over wat er juridisch nog moet worden geregeld. Ik heb een overzicht daarvan meegestuurd in de memorie van antwoord van 10 oktober. De uitvoeringsregelgeving, die we moeten uitwerken, hebben we voor het grootste deel al beschikbaar. Die hebben we ook in voorhang bij uw Kamer of die is gereed voor publicatie. Het gaat dan over de ministeriële regelingen. In de komende periode moeten we die dan ook afronden. Dan komt de internetconsultatie. We zullen de input verwerken en eventueel een en ander aanpassen als die AMvB's ofwel door u zijn goedgekeurd ofwel nog door ons behandeld zijn.
De heer Van Hattem heeft nog een vraag gesteld over het stelsel waar dit onderdeel van is, over de Wet digitale overheid. Ik heb in het begin al iets gezegd over het onderscheid dat er is tussen deze en andere wetgeving. Deze wetgeving gaat over de inlogmiddelen en de betrouwbaarheid van websites, en niet over het invoeren van een Europese wallet. Digitaal zakendoen met de overheid blijft vrijwillig en dat geldt ook voor het wel of niet gebruiken van een wallet, als die in Europa zou worden ingevoerd. We komen daar overigens nog met elkaar over te spreken als de uitvoeringswetgeving over dat onderwerp nog verder aan de orde is.
U vroeg nog of die inlogmiddelen in de zorgsector kunnen worden gebruikt. Een hoge mate van betrouwbaarheid van WDO-middelen is ook van belang voor het inloggen van patiënten bij hun zorgaanbieder. Je kunt nu bijvoorbeeld ook al met de DigiD bij je zorgaanbieder inloggen. We willen ervoor zorgen dat andere inlogmiddelen ook aan die hoge vereisten voldoen. Daarmee kan de zorg voldoen aan de wettelijke verplichting om in te loggen op het hoogste betrouwbaarheidsniveau. Het ministerie van VWS ondersteunt de zorgaanbieders om daarbij aan te sluiten op het stelsel. Daarbij geldt natuurlijk ook dat het gebruiksvriendelijk moet zijn, want dat is het dan niet alleen voor de patiënten, maar ook voor de zorgprofessionals, die op deze manier ook veilig informatie over patiënten kunnen delen.
De heer Van Hattem vraagt of wij nee kunnen zeggen tegen de wet, en dan niet zozeer tegen de WDO maar tegen de wet inzake de e-identity oftewel de wallets of de datakluizen. Zoals ik al in de Tweede Kamer heb gezegd, bevinden de Europese onderhandelingen zich op dit moment in de triloogfase. Ik heb op verzoek van de Tweede Kamer een heleboel zaken in die verordening gerealiseerd. Het is nu aan de Europese Commissie om met ons mandaat die fase af te ronden. Zolang binnen het mandaat wordt onderhandeld, komt er dus niet nog een moment waarop wij gaan stemmen over die verordening, maar zal die moeten worden geïmplementeerd in Europese wetgeving.
Dan is er nog de motie van de heer Van Hattem en anderen met de vraag of ik ervoor kan zorgen dat we afzien van verdere stappen richting de Europese digitale identiteit in Nederland. Daar zal ik niet mee instemmen. Althans, ik moet die motie ontraden. Wij hebben er als Nederlandse overheid om een aantal redenen voor gekozen om met deze ontwikkeling mee te gaan. We hebben ervoor gekozen, omdat we zien dat dat hele mooie kansen biedt. Er zijn ook risico's, maar we gaan er natuurlijk vooral aan werken om die te beperken. We hebben ervoor gekozen omdat het een vrijwillige Europese identiteit is en omdat het er gezien de huidige verhoudingen tussen de landen naar uitziet dat deze identiteit er in Europees verband daadwerkelijk gaat komen.
We hebben het expliciete verhandelverbod nog niet gerealiseerd in de onderhandelingen. Ik vind het heel belangrijk om dat expliciete verhandelverbod ook in die verordening te krijgen. Ik wil juist aan tafel zitten om dat nog te realiseren. Daarmee zal, in tegenstelling tot wat we vandaag hebben voorliggen, dat expliciete verhandelverbod in de Europese regelgeving staan en zal dat ook door alle andere lidstaten met extra aandacht moeten worden gehandhaafd.
Voorzitter. Dat waren volgens mij de vragen.
De voorzitter:
Dank u wel, staatssecretaris. De heer Van Hattem.
De heer Van Hattem i (PVV):
De Tweede Kamer heeft een heel duidelijke motie aangenomen en "nee" gezegd tegen die Europese digitale identiteit. De staatssecretaris heeft daar vervolgens "ja" op gezegd. Nu zegt de staatssecretaris: het ligt als mandaat bij de Europese Commissie en wordt geïmplementeerd in Europese wetgeving. Wat valt er dan nog over te onderhandelen?
Staatssecretaris Van Huffelen:
Er is nog sprake van de triloogfase. Die loopt op dit moment. Ik heb ingestemd met het onderhandelingsmandaat van de Commissie voor de triloogfase. Dan gaat het onder andere over de onderhandelingen met het Europees Parlement. In die fase kan de verordening nog worden aangepast. Ik zit heel graag daarbij aan tafel. Het is goed om te weten dat in de historie van deze verordening de Tweede Kamer mij in het afgelopen jaar heeft gevraagd om een aantal belangrijke punten in de verordening te krijgen. Dat hebben wij ook voor elkaar gekregen. Het ging onder andere over open source, over een verhandelverbod en privacy by design. Het is ons gelukt om dat expliciet te doen, met uitzondering van dat expliciete verhandelverbod. Impliciet zit het erin, maar niet expliciet. Dat laatste wil ik nog graag proberen te realiseren in de trilogen. In mijn perspectief is het daarbij van belang dat wij samenwerken met de Europese Commissie en de partijen die nu aan het onderhandelen zijn.
De heer Van Hattem (PVV):
Het klinkt allemaal leuk en aardig, al die technische aspecten die erin zijn meegenomen. Dat is allemaal prima, maar er lag een heel duidelijke oproep vanuit de Tweede Kamer in een door de meerderheid van de Kamer aangenomen motie, om niet in te stemmen met die Europese digitale identiteit en daartoe geen stappen te zetten. Deze staatssecretaris heeft het toch gedaan. Zij heeft toch in Brussel getekend bij het kruisje. Nu zegt ze: ik vind het heel belangrijk om nog mee te kunnen praten. Als dat meepraten bedoeld is om uiteindelijk heel dat stuk van tafel te halen, is dat prima. Maar er wordt meegepraat om het verder vorm te geven. Kan de staatssecretaris aangeven hoe zij die aangenomen motie van de Tweede Kamer toch nog kan inzetten, in plaats van deze nu zomaar aan de kant te schuiven? Anders zitten wij hier met een wet die deze mogelijkheid gaat inkaderen. Die ligt vandaag voor en daar hebben wij het vandaag over. Dan moet u toch zeggen: dit is een brug te ver en hier moeten we in een parlementaire democratie geen medewerking aan verlenen? Hoe kan de staatssecretaris dit rijmen met een goede parlementaire behandeling?
Staatssecretaris Van Huffelen:
Ik zou willen voorkomen dat ik het debat dat ik in de Tweede Kamer had over een ander wetsvoorstel dan het wetsvoorstel dat wij vandaag behandelen, hier ga herhalen. Ik heb een aantal argumenten gegeven waarom het kabinet bij hoge uitzondering ervoor heeft gekozen om deze motie, die door de Tweede Kamer is aangenomen, niet over te nemen en er geen uitvoering aan te geven. Dat heeft ermee te maken dat ik het ontzettend belangrijk vind dat de elementen in de novelle die vandaag voorligt juist in die verordening een grote plek moeten krijgen. Ik wilde de beste positie blijven realiseren om ervoor te zorgen dat we dat zouden kunnen halen. Dat is de positie waarbij je betrokken bent bij de onderhandelingen over een verordening, die overigens een grote meerderheid heeft in de EU en naar verwachting zal worden gerealiseerd.
De voorzitter:
Tot slot, meneer Van Hattem.
De heer Van Hattem (PVV):
Ja, tot slot, voorzitter. "Een grote meerderheid in de EU"; maar een grote meerderheid in ons nationale parlement zou toch veel belangrijker moeten zijn voor dit kabinet? Ik moet toch met leedwezen vaststellen dat hier een staatssecretaris staat die gewoon het belang van de volksvertegenwoordiging aan de kant schuift. We hebben het niet over een ander wetsvoorstel; we hebben het vandaag over de kaderwet die uiteindelijk de Europese digitale identiteit mogelijk gaat maken in de tweede tranche. Dat wordt vandaag opgetuigd. Dat leggen we hier neer en daar kunnen we hier nu paal en perk aan stellen. Ik hoop dat we hiermee alsnog een punt kunnen zetten. Want als we dit laten doorgaan, zitten we straks vast aan die Europese digitale identiteit, die de Tweede Kamer nadrukkelijk niet heeft gewild. Kan de staatssecretaris aangeven welke inzet zij nog gaat plegen om in ieder geval die niet gewilde Europese digitale identiteit van tafel te kunnen halen?
Staatssecretaris Van Huffelen:
Misschien is het goed om het nog één keer heel scherp over de techniek te hebben. U spreekt over een verordening die niet in deze Kamer voorligt. Om het heel scherp te hebben: de verwachting is dat de grote meerderheid van de lidstaten en ook het Europees Parlement zullen instemmen met het realiseren van een vrijwillige digitale identiteit in Europa. De inzet van de Nederlandse regering en van mij specifiek is om die te laten voldoen aan alle vereisten die deze Kamer heeft genoemd. U heeft ook aangegeven dat u een voorstander was van de novelle die vandaag voorligt. Diezelfde eisen, in een andere wet, liggen ook voor in het Europees Parlement. Het is mijn grote oogmerk om dit voor elkaar te krijgen.
De heer Koole (PvdA):
Ik dank de staatssecretaris voor de toezegging dat ze de Kamer op de hoogte zal houden van de voortgang op Europees niveau wat betreft de toezichthouders en wat er aan plannen wordt ontwikkeld. Mijn vraag in de tweede termijn was om de plussen die in de novelle staan ook actief op Europees niveau in te zetten. Begrijp ik goed uit de woorden van de staatssecretaris van zojuist dat dat ook het doel is van deze regering? Wil ze de plussen uit de novelle actief uitdragen in Europa en tot Europese regelgeving realiseren?
Staatssecretaris Van Huffelen:
In het algemeen zeker. Daar is gelukkig steeds meer steun voor in Europa. Die is er niet in alle opzichten, maar in grote opzichten wel. Overigens kan ik dat niet meer zomaar toevoegen aan de eIDAS-verordening waar we het vandaag over hebben en die al stamt uit 2014. Die verordening is nou eenmaal al afgerond. Maar in andere soorten regelgeving, of het nou gaat om de AI Act, de kunstmatige intelligentie, of straks ook om het realiseren van Europese identiteiten, zal ik dat altijd, zoals ik tot nu toe ook altijd heb gedaan, met heel veel verve doen, omdat ik er ontzettend veel waarde aan hecht dat dit goed geregeld wordt.
Voorzitter. Ik rond af. De wet waar we het vandaag over hebben, regelt het recht voor burgers en bedrijven om veilig en goed digitaal zaken te kunnen doen met de overheid. We zorgen voor goede veiligheidsstandaarden bij websites, voor allerlei privacywaarborgen, voor machtigingen, voor het gebruik van je DigiD, voor het gebruiken van sites als MijnOverheid. Het zorgt er vooral voor dat gevoelige gegevens, zoals medische gegevens, ook echt op een goede manier worden gebruikt. Ik vind het ontzettend belangrijk dat we dat doen en ook doen op een manier die werkt voor de hele overheid en dat de thema's waar we vandaag over gewisseld hebben niet alleen goed in de wet en de wetsteksten terechtkomen, maar dat we die ook gaan leven. Daar ga ik deze Kamer graag in onze jaarlijkse rapportages over van informatie voorzien.
Dat was het wat mij betreft voor de tweede termijn.
De voorzitter:
Dank u wel, staatssecretaris.
De beraadslaging wordt gesloten.
De voorzitter:
Ik kom tot afhandeling van beide wetsvoorstellen, allereerst het wetsvoorstel 34972, Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur, kortweg de Wet digitale overheid. Wenst een van de leden stemming over het wetsvoorstel? Dat is het geval. Dan stel ik voor dat er over twee weken, op 7 maart, over het wetsvoorstel wordt gestemd. Uiteraard zal ik, zoals gebruikelijk, de toegezegde brief van de staatssecretaris onverwijld ter hand laten stellen aan de commissieleden, ook in het reces. Er zal naar worden gestreefd om de commissie op de ochtend van 7 maart bijeen te laten komen om te beraadslagen over de procedure. Mocht de commissie de stemming alsnog willen uitstellen, dan kan dat uiteraard altijd gebeuren.
De heer Van Hattem (PVV):
Ik heb een punt van orde. Ik wil vragen om de stuiting van de voorgehangen AMvB's in stand te laten. Er is namelijk afgesproken om die stuiting in stand te laten zolang de mondelinge behandeling hiervan aan de orde was. Ik wil vragen om die niet op te heffen zolang die brief er nog niet ligt en de stemming nog niet heeft plaatsgevonden.
De voorzitter:
Die blijft in stand tot en met de stemming, hoor ik van de griffier. Dat is dan bij dezen besproken.
Over wetsvoorstel 35868 stel ik dezelfde vraag. Dat is de novelle, de Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur. Dat is dus de novelle Wet digitale overheid. Wenst een van de leden stemming over dit wetsvoorstel? Dat is het geval. Ik stel voor om ook daarover in beginsel over twee weken te stemmen, tenzij de commissie anders besluit.
Dan stel ik ook voor om in beginsel over twee weken over de ingediende motie te stemmen. Ik constateer dat u daarmee akkoord kunt gaan.
De vergadering wordt enkele ogenblikken geschorst.