Verslag van de vergadering van 30 september 2014 (2014/2015 nr. 2)
Status: gecorrigeerd
Aanvang: 13.56 uur
De heer Hoekstra i (CDA):
Voorzitter. Het bijzondere van het debat van vandaag is wat ons betreft dat het eigenlijk maar gaat om één enkele vraag. Die vraag is: kan het kabinet voldoende aannemelijk maken dat de beveiliging van het plan dat het vandaag verdedigt, afdoende is?
Het kabinet is van plan om de online dienstverlening aan de burger verder uit te breiden. In dit geval betreft dat de dienstverlening die gaat over de burgerlijke stand. Gemeenten kunnen namelijk overgaan tot elektronische dienstverlening op het gebied van de aangifte van geboorte, overlijden, voorgenomen huwelijk en het geregistreerd partnerschap. Dat is gelet op de digitalisering van de samenleving een verstandige, logische en ook toe te juichen ambitie. Inhoudelijk zijn wij het dus snel eens. Wij twijfelen als fractie ook niet aan de juridische aspecten van het voorstel. Het gaat wat ons betreft om de uitvoerbaarheid en, binnen de uitvoerbaarheid, in het bijzonder om de veiligheid. Daarover drie opmerkingen.
Op de eerste plaats is het op orde brengen en houden van ICT lastig. Veel bedrijven en veel instellingen, ook die welke daar veel geld aan uitgeven en goede mensen tot hun beschikking hebben, worstelen daarmee. Dat is, denk ik, een juiste constatering.
De heer Hoekstra (CDA):
Iemand wees mij eens op de volgende vuistregel. Ga ervan uit dat een IT-project de helft oplevert van wat er werd beloofd, twee keer zo lang duurt als werd beloofd en twee keer zo veel geld kost als werd beloofd. Als de businesscase dan nog positief is, is het project mogelijk — let wel, ik zeg: mogelijk — het overwegen waard.
Het is dus ingewikkeld, en dat brengt mij bij mijn tweede punt. De overheid heeft — laat ik mij genuanceerd uitdrukken — helaas een weinig vertrouwenwekkende reputatie weten op te bouwen op het gebied van IT. Er waren en zijn grote problemen met ICT bij de politie. Er waren en zijn grote problemen met ICT bij defensie. Er waren en zijn grote problemen met ICT bij de gemeente Amsterdam. Wie het rapport van de Algemene Rekenkamer van mei 2014 bestudeerd heeft, leest daarin dat de Rekenkamer ook kritisch is over de ICT bij Rijkswaterstaat en bij DUO. Die lijst gaat nog verder.
Je mag dus zeggen dat er indringende vragen te stellen zijn over de ICT-competenties van de overheid, en die vragen gaan vaak over de veiligheid. Toch spreekt er een groot optimisme uit de memorie van antwoord, alsof er vrijwel geen vuiltje aan de lucht was. Laat ik mij omwille van de tijd beperken tot één specifiek voorbeeld. Het kabinet schrijft, ik geloof dat het in reactie was op een vraag van de fractie van de VVD: "het feit dat DigiD het afgelopen jaar ruim 100 miljoen keer is gebruikt en 11 miljoen mensen een DigiD hebben, toont aan dat het een afdoende betrouwbaar systeem is voor de meeste elektronische dienstverlening". Dat vind ik eerlijk gezegd op zichzelf al een merkwaardige redenering, eentje uit de categorie: het feit dat miljoenen Nederlanders Facebook gebruiken, toont aan dat de privacy van de gebruikers afdoende gewaarborgd is. Het is misschien een perspectief op de werkelijkheid, maar dat is iets anders dan de werkelijkheid.
Fundamenteler is echter dat ook de overheid zelf in mei van dit jaar kennelijk niet langer geloofde wat het kabinet de Eerste Kamer in maart nog heeft geschreven. De Belastingdienst maakte immers toen bekend dat de wachtwoorden van DigiD per direct aan strengere veiligheidsnormen moesten voldoen. Vervolgens constateerde de Rekenkamer dat DigiD niet aan de beveiligingsnormen voldeed en dat de oorzaak daarvan bovendien niet bij de gebruiker, maar bij de overheid ligt. De vraag is dus hoe geloofwaardig het is als ons beloofd wordt dat het met de risico's wel meevalt. Ik vraag dat in de wetenschap dat het — en dat is geen verwijt, maar een constatering — voor alle organisaties ingewikkeld is om de ICT op orde te krijgen.
Dat brengt mij bij een aantal vervolgvragen. Kan de minister of kan de staatssecretaris in detail ingaan op de resultaten van de pilots en ook de vervolgpilot op het gebied van de veiligheid? Beter gezegd: in het bijzonder van de veiligheid, want daar was nog betrekkelijk weinig over te lezen. Kan de minister, of kan één van de bewindslieden, ook een inschatting geven van de veiligheidsrisico's en aangeven wat de consequenties zouden zijn als die veiligheidsrisico's zich inderdaad materialiseerden? Aan welke minimale ICT-veiligheidseisen zou een gemeente, in de ogen van het kabinet, moeten voldoen om tot digitalisering van de dienstverlening van de burgerlijke stand over te mogen gaan? Wij zijn zeer benieuwd naar de antwoorden van de kant van het kabinet op al die vragen.
Als dit het hoofdgerecht was van mijn inbreng, dan volgt nu nog een klein en wat giftig toetje, namelijk de brief die wij recent ontvangen hebben en waar de staatssecretaris — zeg ik met dank voor zijn voortvarendheid — weer heel snel op gereageerd heeft. Misschien kan hij toch nog nader duiden hoe het kan dat wij zo kort voor het debat die brief krijgen, terwijl tot dat moment uit alle stukken lijkt te spreken dat het kabinet in grote eensgezindheid optrad met de schrijver van de brief.