Verslag van de vergadering van 23 september 2014 (2014/2015 nr. 1)
Status: gecorrigeerd
Aanvang: 14.57 uur
De heer De Vries i (PvdA):
Mevrouw de voorzitter. Ik heb de verdrietige taak om in dit debat de plaats in te nemen van Willem Witteveen.
Een aantal commissies uit deze Kamer heeft zich gedurende het afgelopen jaar beziggehouden met aspecten van veiligheid, of eigenlijk onveiligheid, van datacommunicatie. De gebruikelijke belangstelling van de Kamer voor dit onderwerp werd in belangrijke mate gestimuleerd door Edward Snowden, die met de kracht van een mokerslag alle illusies over de veiligheid van dataverkeer aan diggelen sloeg en alle vermoedens over onveiligheid bevestigde. Met veel dank aan alle deskundigen die ons hebben voorgelicht, wil ik de regering een aantal vragen voorleggen. Daarbij ontleen ik veel aan wat tijdens de hoorzittingen is gezegd.
Internet heeft zich de afgelopen 25 jaar uit het niets ontwikkeld tot de belangrijkste communicatiestructuur ter wereld. Iedereen maakt er gebruik van. We verschaffen informatie, we zoeken informatie, we bankieren, kopen en verkopen en we communiceren via de sociale media. We kunnen niet meer zonder en we hopen dat het goed gaat, want iedere gebruiker kan dagelijks vaststellen dat je op internet voortdurend wordt bedreigd door grote en kleine criminelen. Banken worden platgelegd door hackers, DigiNotar wordt gekraakt, particulieren worden bestolen en bedrijven worden op grote schaal bespioneerd. Elk groot bedrijf in Nederland schijnt er rekening mee te houden dat er Chinezen in zijn netwerk zitten.
Experts schetsten tijdens de hoorzitting een onthutsend beeld. De heer Prins vergeleek de IT-infrastructuur met een oude roestige auto, vol met gaten. Hij vertelde dat er in Nederland heel grote botnets gevonden zijn, met tienduizenden en soms honderdduizenden computers die in feite openstaan voor misbruik. De heer Arnbak, een andere gehoorde deskundige, legde de Kamer een aantal waarnemingen voor die ik in hoge mate verontrustend vond. Ik ontleen aan zijn inbreng ook een aantal voorbeelden.
Veel van de onveiligheid op internet is niet het gevolg van onvolkomen techniek, maar wordt moedwillig veroorzaakt. De Internet Engineering Taskforce, de GSM Association, het National Institute of Standards and Technology en andere sleutelorganisaties die het grondwerk doen voor de standaardisering van de beveiligingsprotocollen, worden al jaren op heel systematische wijze gemanipuleerd. De techniek is dus ondermijnd. Het vertrouwen in de Verenigde Staten in de mensen die van dag tot dag internet veilig moeten houden, is onherstelbaar beschadigd. Soms worden zelfs beveiligingsupdates van Microsoft gebruikt om het mogelijk te maken systemen te hacken. Het gezond en up-to-date houden van hard- en software vormt nu in zichzelf een beveiligingsrisico. De Amerikaanse veiligheidsdiensten hebben sinds 2007 140.000 botnets gecoöpteerd om mee te liften met cybercriminelen. Wereldwijd zijn 100.000 internetrouters op kritieke netwerknodes alvast gehackt om later surveillance mogelijk te maken. Het is geen wonder dat de conclusie van de heer Arnbak luidde dat het vertrouwen in die collectieve hallucinatie die internet was, absoluut is ondermijnd. Internet is volgens hem een volstrekte surveillanceomgeving geworden.
Dit leidt tot een drietal vragen. Is de regering het met die conclusies en observaties eens? Was de regering op de hoogte van deze moedwillige ondermijning van de veiligheid van internet en zo niet, acht zij dit schokkend? Het allerbelangrijkste is natuurlijk: hoe kan hieraan tegenwicht worden geboden? Je zou verwachten dat men in internationaal verband hard aan de bel zou trekken en degenen die zich hieraan schuldig maken, krachtig zou aanspreken. Is Europa, is Nederland niet veel te slap en onderdanig als dit in en door de Verenigde Staten gebeurt? Uit tal van documenten, laatstelijk uit de zeer leesbare nota Vrijheid en veiligheid in de digitale samenleving, blijkt dat de onveiligheid op internet door het kabinet serieus wordt genomen. Er zijn tal van fora gecreëerd waarin de overheid, instellingen en bedrijven samenwerken.
De heer Van Boxtel i (D66):
Ik deel helemaal de analyse waarmee u gestart bent, maar ik vind wel iets frappant. Wij kunnen ons — gelukkig! — enorm opwinden over alles wat in de Verenigde Staten misgaat, maar dat komt in ieder geval nog een keer naar buiten. Laten wij echter ook de Chinezen eens noemen. Het is bekend dat zij megaveel op internet manipuleren. Ik wijs ook op de Iraniërs. Het gaat dus niet alleen om de Amerikanen.
De heer De Vries (PvdA):
Nee, ik heb de Chinezen ook al genoemd. Ik heb hun al de eervolle plaats gegeven dat zij in elk groot netwerk in Nederland actief zijn. Als u zegt dat de Iraniërs daar ook zitten, geef ik ze daarvoor graag de credits. Misschien hebt u nog een lijst van landen die niet deugen; anders wil ik u wel een suggestie doen. Ik mag nu natuurlijk niet interrumperen, maar ik zou de heer Van Boxtel weleens willen vragen waarom hij denkt dat hier alleen de Verenigde Staten te kijk worden gezet. Is dat een bijzondere gevoeligheid van hem?
De heer Van Boxtel (D66):
Nee, absoluut niet! Ik heb uw opmerking over de Chinezen blijkbaar gemist, maar het viel mij gewoon op, ook in de betogen van de heer Franken en mevrouw Gerkens. Wij zijn heel veel te weten gekomen door wat via Snowden allemaal naar buiten is gekomen over NSA en PRISM, maar van anderen weten wij eigenlijk niks, behalve dat bij DigiNotar ook andere staten een bemoeienis hadden. Ik wil alleen maar de balans overeind houden dat er veel meer mensen, staten en overheden actief zijn.
De heer De Vries (PvdA):
Maar het is een grote verdienste van de Verenigde Staten dat ze ons de heer Snowden hebben gegeven.
De heer Franken i (CDA):
Een kleine aanvulling: de Engelse inlichtingendienst heeft dezelfde dingen gedaan waaraan we hier een bepaalde kwalificatie kunnen geven. Belgacom is gekraakt. We hoeven dus niet eens zo ver van huis.
De heer De Vries (PvdA):
Nee, je hoeft maar in de kabel bij Katwijk te kruipen en in Engeland boven water te komen, bij wijze van spreken.
In de nota Vrijheid en veiligheid wordt gesteld dat alle partijen, dus overheid, maatschappelijke organisaties en bedrijfsleven, betrokken moeten worden als het om cybersecurity gaat. Dat klinkt goed, maar de oproep tot een constante open dialoog tussen burgers, bedrijfsleven en overheid, zowel nationaal als internationaal, is natuurlijk voor de burgers niet navolgbaar. Het spreekt vanzelf dat iedere gebruiker het zijne moet doen om het gebruik veilig te maken. Ook op de weg moet elke verkeersdeelnemer goed opletten. Maar individuele gebruikers, die miljarden burgers en die miljoenen bedrijven die internet gebruiken, staan natuurlijk machteloos tegenover het structurele geweld waarmee internet blijkt te worden ondermijnd. Daar moet men op de overheid kunnen rekenen.
De analogie met het wegverkeer trek ik nog even door. Daar speelt de overheid op bijna alle terreinen een cruciale rol. Dat gaat van het stellen van gedetailleerde eisen aan de kwaliteit van de weg en van de vervoermiddelen tot het actief bestrijden van wegpiraten. Merkwaardigerwijs lijkt het alsof de overheid de onveiligheid op internet anders ziet en zelfs soms bestendigt.
Mevrouw Duthler i (VVD):
Begrijp ik het goed dat de PvdA-fractie vraagt om meer en duidelijkere spelregels en om handhaving en naleving van de spelregels?
De heer De Vries (PvdA):
Op zijn minst. Ik zou nog meer willen vragen, maar dat moet ik dan heel zorgvuldig formuleren. Ik vraag op zijn minst om het handhaven van de spelregels.
Tijdens de hoorzittingen van deze Kamer bracht de heer Jacobs naar voren dat op internet door veiligheids- en inlichtingendiensten kwetsbaarheden worden gesignaleerd die met opzet niet worden bekendgemaakt, omdat de diensten zelf ook graag van die kwetsbaarheden gebruik willen blijven maken. Willem Witteveen merkte daarover op dat het algemeen belang om die kwetsbaarheid te kennen en te verhelpen toch zwaarder zou moeten wegen dan het belang van de diensten. Het antwoord dat hij daarop kreeg, was ontwijkend. Er zou naar een balans moeten worden gezocht tussen het publieke belang en dat van de diensten. Wat vindt de regering daarvan? Vindt zij ook niet dat het belang van de burgers hier richtinggevend moet zijn en dat we dat niet mogen neutraliseren met een sofistische redenering dat het belang van diensten ook altijd het belang van de burgers is? Het lijkt mij een bijna principiële keuze. Is de regering het daarmee eens?
De vraag is hoe de onveiligheid van internet te verbeteren valt. Wat vindt de regering daarbij de belangrijkste methode? Moet het van regelgeving komen, van het opvoeren van verdediging tegen machtige vijanden of van het intrinsiek veiliger maken van de infrastructuur en de hardware en software? En als het alle drie is, wat doet de regering dan concreet op het laatste gebied? Arnbak wijst op jurisprudentie in Duitsland waarin een nieuw grondrecht op de vertrouwelijkheid en integriteit van IT-systemen is ontwikkeld. Wat is de visie van de regering daarop?
Dezelfde deskundige wees er ook op dat voor een land als Nederland op verdedigend vlak enorm veel te winnen valt, als we ons kunnen profileren als een land waar data veilig zijn en waar goed wordt nagedacht over kwetsbaarheden in software. De wereld staat echt te springen om zo'n plek, zo zei hij, maar het huidige toezichtinstrumentarium is daar totaal niet op ingericht. Wat vindt de regering daarvan?
Tot slot wat dit deel betreft, heb ik een vraag over de governance. Op veel plaatsen in ons land zijn overheidsdiensten actief bezig met IT-onveiligheid. Zijn deze activiteiten voldoende op elkaar afgestemd om een optimaal resultaat te kunnen bereiken? Wie verzorgt die afstemming? Wordt de beperkte deskundigheid optimaal ingezet? Dezer dagen wordt een nieuw cybercommando opgericht bij het ministerie van Defensie. Wat gaat dat precies doen? "Cyberwarfare" zult u zeggen, maar wat is dat? Het beveiligen van vitale infrastructuur? Maar daar waren toch al voorzieningen voor getroffen? Hoe is het toezicht op die nieuwe activiteiten geregeld? Wat is de relatie met de SIGINT-activiteiten van de MIVD? Houdt de coördinerend minister ook oog op deze activiteiten van dit cyberwarfarecommando?
Ik kom bij mijn tweede onderwerp. Snowden heeft duidelijk gemaakt dat overheden niet alleen gebruikmaken van de onveiligheid van internet, maar daaraan ook een grote bijdrage leveren. Zijn constatering betrof niet de overheden van China of Rusland, maar van landen die westerse waarden zeggen te verdedigen. China en Rusland hebben we zojuist al geïdentificeerd als waardige concurrenten. De minister van Binnenlandse Zaken deelde deze Kamer desgevraagd mede dat de onthullingen van Snowden voor hem een verrassing inhielden. Ik neem aan dat hij dat niet persoonlijk bedoelde, maar dat het ook een verrassing was voor de onder hem ressorterende diensten. Kan hij dat bevestigen? Hadden de diensten hier werkelijk geen idee van? Wisten ze niet wat de collega's van de NSA en van de Britse diensten in hun kolossale gebouwen uitspookten? Het is moeilijk te geloven.
Voor de minister die de grondrechten moet beschermen, moet het een grote schok geweest zijn dat de persoonlijke levenssfeer van de burgers zo lek is als een mandje. Op de hoorzitting werd ons voorgehouden dat de verzameling gegevens die de NSA over personen heeft verzameld, heel Europa zou vullen met archiefkasten, indien al die gegevens geprint moesten worden. De heer Franken maakte al een vergelijking met de Stasi, die zijn spullen nog in één huizenblok kon onderbrengen. Alle dataverkeer wordt door onze bondgenoten afgeluisterd en getapt, geanalyseerd en opgeslagen. Wat onze vijanden allemaal doen, zal niet veel beter zijn. De onthullingen van Snowden hebben niet alleen het vertrouwen in internet, maar ook in overheden ernstig aangetast. De keizer heeft al te vaak geen kleren aan. Gelukkig houden onze eigen inlichtingen- en veiligheidsdiensten zich volgens de regering aan de wet, maar volgens de CTIVD gaan ze toch regelmatig over de schreef. Bovendien leveren ze massaal gegevens aan veiligheidsdiensten van andere landen die zich niet door onze wet gebonden weten. "Metadata", zegt de minister. Hij zei er niet bij hoe privacygevoelig die kunnen zijn.
De surveillance van alle burgers, die kennelijk in de ogen van sommige overheden allemaal potentiële verdachten zijn, wordt gerechtvaardigd door de claim dat hiermee onze veiligheid gediend is, met name tegen terroristen. Er is net al gewezen op een officieel onderzoek in de Verenigde Staten waaruit bleek dat in geen enkel geval een terrorist geïdentificeerd was met behulp van de verzamelde gegevens. Ook de heer Wiebes wees tijdens de hoorzittingen daarop. Wat is de visie van de regering daarop? Als al dat verzamelen niet echt helpt tegen terroristen, waar is het dan wel goed voor? Mevrouw Gerkens stelde deze vraag zeer terecht. Waar wordt al dat geld voor uitgegeven, vroeg de heer Franken. Mogen we misschien een indicatie krijgen van wat het nut is van die investeringen die door de NSA en door de Britse geheime diensten worden gedaan en die natuurlijk ook in Nederland op een bepaalde wijze worden gedaan? Wat levert dit op? Waar is men mee bezig? Is dat economische spionage of is het iets anders? Ik zou dat graag van de regering horen.
Het perspectief waarbij iedereen besurveilleerd wordt en als verdachte wordt beschouwd, is veel te dominant in alles wat ik lees over internet. Komt dat ook omdat het coördinerend ministerschap bij het departement van Veiligheid en Justitie is belegd, waar men natuurlijk eerder geneigd is om mensen als verdachte te behandelen? Zou een grotere verantwoordelijkheid van de minister van BZK de bescherming van de grondrechten van de burger niet meer centraal stellen? Ziet de minister van BZK een taak voor zichzelf om de positie van de burger in deze internetomgeving te beveiligen? Beschikt hij over de deskundigheid daartoe, niet alleen bij zijn geheime diensten, maar ook binnen het normale departement?
Het heeft mij verbaasd hoe beleefd en terughoudend de Nederlandse regering, anders dan de Duitse, op de onthullingen van de heer Snowden heeft gereageerd. Minister Timmermans heeft er een keer met de heer Kerry over gesproken en minister Plasterk overlegde met een hoge Amerikaanse ambtenaar. Hebben wij boter op het hoofd zoals Duitsland, waar de inlichtingendiensten ook buitenlandse politici bleken af te luisteren, of durven we de Amerikanen op dit punt niet echt aan te spreken? Alle publieke verontrusting heeft alleen geleid tot het instellen van een aantal werkgroepen in EU-verband waarin samen met de VS de problematiek wordt besproken. Dat schiet niet op, zou je zeggen. Of misschien wel? Hoe staat het ermee? Zijn er al resultaten bekend of zijn de Verenigde Staten daarin niet geïnteresseerd? Wordt ook met de regering van Groot-Brittannië besproken hoe ze erbij komt om alle dataverkeer dat per kabel Nederland verlaat, in Engeland af te tappen? Voor welke doeleinden worden die gegevens dan gebruikt? Wat vindt de regering van het feit dat de Amerikaanse regering met betrekking tot niet-Amerikaanse burgers praktijken toelaatbaar acht die ze niet op de eigen burgers mag toepassen? Is de inzet van de regering in Europees verband om de eigen burgers hiertegen te beschermen duidelijk genoeg?
Ik heb nog een enkele opmerking over het toezicht op de inlichtingen- en veiligheidsdiensten in ons land. De in de Wiv geïntroduceerde CTIVD, die op de rechtmatigheid van de diensten toezicht houdt, doet naar ik meen voortreffelijk werk. De commissie-Dessens beveelt aan dat de verantwoordelijke ministers zichzelf beter uitrusten om toezicht te houden. Dat lijkt mij niet overbodig. Het gaat niet eens alleen om het houden van toezicht, maar, in elk geval bij Binnenlandse Zaken, ook om het direct leiding geven aan het directoraat-generaal dat in wording is.
Wat de controle door het parlement betreft, via de commissie voor de Inlichtingen- en Veiligheidsdiensten, lijkt enige professionalisering ook geen overbodige luxe. De Tweede Kamer beraadt zich hierop naar aanleiding van de rapportage van de commissie-Dessens. Ook iedere televisiekijker in Nederland zal echter de indruk hebben dat het wel iets beter kan dan we tot nu toe hebben gezien, zeker in het afgelopen halfjaar. De commissie van de Kamer zou niet noodzakelijkerwijs uit fractievoorzitters moeten bestaan, maar uit Kamerleden die zich ter zake specialiseren, zo is ons gezegd. Een kleine permanente ambtelijke ondersteuning is toch het minste dat vereist is. Toezicht moet nu eenmaal aan zware methodische eisen voldoen wil men er vertrouwen in kunnen hebben. Hoe denkt de regering daarover?
Zou het geen goed idee zijn als de commissie die de inlichtingendiensten moet controleren, althans die de ministers die verantwoordelijk zijn voor de inlichtingendiensten moet controleren waar het gaat om vertrouwelijke dossiers, een gezamenlijke commissie zou zijn en zou bestaan uit leden van de Tweede en de Eerste Kamer? De controle van inlichtingendiensten is een verantwoordelijkheid die op het ogenblik in de Eerste Kamer helemaal niet wordt waargemaakt. We lopen daar met een boog omheen, omdat we denken dat de collega's in de Tweede Kamer dat wel goed doen. Als die indruk niet overtuigend wordt bevestigd, is er misschien alle aanleiding om eens na te denken over de vraag of wij daarin ook een verantwoordelijkheid moeten nemen. Het lijkt er in elk geval op alsof het parlementair toezicht op deze diensten de afgelopen jaren enige achterstand heeft opgelopen.
Inmiddels heeft klokkenluider Snowden, die het bespioneren van de burgers aan de kaak stelde en die en passant ook licht wierp op het vertrouwen van bondgenoten in elkaar, zijn toevlucht moeten zoeken in het Rusland van de heer Poetin, of all places. In het vrije Westen loopt hij het gevaar te worden uitgeleverd aan de Verenigde Staten, hetgeen hem meteen in de gevangenis zal doen belanden. Wat vindt de minister van BZK, die in ons land klokkenluiders die kwalijke praktijken blootleggen bescherming wil bieden, hier eigenlijk van?
Dit zijn vele vragen en ik kijk zeer uit naar de beantwoording ervan.
De voorzitter:
Dank u wel, mijnheer De Vries. Ik geef het woord aan mevrouw Duthler van de fractie van de VVD.