Verslag van de vergadering van 29 november 2022 (2022/2023 nr. 10)
Status: gecorrigeerd
Aanvang: 16.03 uur
Mevrouw Gerkens i (SP):
Dank u wel, voorzitter. Ik spreek vandaag inderdaad ook namens de fractie van de Partij voor de Dieren.
Ik werp even een blik op de kalender en zie dat het vandaag 29 november 2022 is. Dat is bijna dertien jaar nadat ik met het onderwerp "veilig inloggen bij de overheid" van start ging. Op 4 april 2010 stelde ik de eerste Kamervragen over de onveilige constructie van DigiD. De tweestapsverificatie, het gebruik van de app en andere tussenstappen hebben DigiD een stukje veiliger gemaakt, maar bij sommige overheidsdiensten wordt zelfs die tussenstap al niet eens gevraagd. De facto werken wij dus al meer dan dertien jaar met een systeem dat op z'n zachtst gezegd verbetering behoeft. Het is dus fijn dat er wetgeving komt voor een beter systeem.
Ik besef ook dat de senaat zelf debet is aan het feit dat de wet weer wat verder vertraagd werd. Het is immers ook door onze fracties aangegeven dat er absoluut een eis van opensourcesoftware in het wetsvoorstel opgenomen moet worden. Zonder deze novelle was het wetsvoorstel voor ons per definitie onaanvaard geweest. Maar de eis is niet absoluut en de novelle lost niet alle problemen op. Er blijven bij onze fracties vragen, die wij vandaag hopen beantwoord te krijgen.
Voorzitter. Digitaal communiceren is de norm geworden, maar naast die norm mag de uitzondering blijven bestaan, zo zegt de staatssecretaris. Het is belangrijk dat die uitzondering mag blijven bestaan, want niet iedereen is digitaal vaardig. Toch merken de fracties van de SP en de PvdD dat op papier communiceren steeds lastiger wordt. Zo word ik per mail gevraagd digitaal de waterstanden door te geven en mijn arts zet ongevraagd uitslagen in een digitaal beschikbare omgeving. Op papier ontvang ik van beide niets meer. Hoe gaat de staatssecretaris er zorg voor dragen dat de offlinekeuze ook actief aangeboden wordt, en niet iets is waar je om moet vragen?
Het digitaal identificeren is niet alleen nodig bij de Belastingdienst, een bezwaar bij de gemeente, het doorgeven van waterstanden, maar ook voor de totale zorgomgeving, van tandarts tot ziekenhuisuitslagen, het UWV, de reclassering, en ook de dienst Justis, om er maar een paar te noemen. Dat gaat dus om hele, hele gevoelige informatie. Dat hier een systeem moet komen met een veel hoger veiligheidsregime dan DigiD nu heeft, staat voor onze fracties buiten kijf.
Het is echter niet alleen de toegang die de informatie kan opleveren, ook het simpele feit dat er toegang gevraagd wordt, is al waardevolle informatie. Ik herhaal dit nog een keer, want ik denk dat het voor alle leden goed is om dat te beseffen. Niet alleen de informatie die opgevraagd wordt, is interessant, maar alleen al het feit dat men bijvoorbeeld informatie opvraagt bij de reclassering, kan al enorm interessant zijn voor commerciële partijen. Onze fracties zullen de wet dan ook beoordelen op deze punten, namelijk de verbeteringen ten opzichte van het huidige systeem en de kennis van de vraag om toegang.
De eerste van onze vragen gaat over de harde eis om open source te gebruiken. In antwoord op de vragen van de fractie van de PvdA zegt de minister dat er ruimte moet zijn om potentiële aanbieders de tijd te geven om opensourcemethoden te ontwikkelen. Afgezien van het feit dat ik nu al zie dat de markt zich aan het aanpassen is, vraag ik: stellen we nou juist niet die eis omdat we die transparantie willen garanderen? Die transparantie is ons inziens onlosmakelijk verbonden aan het gebruik van open source. Als een aanbieder dat niet kan leveren, zal hij dus niet toegelaten moeten worden. Hoe ziet de staatssecretaris dit?
Ik lees ook dat de staatssecretaris zegt dat de broncode niet openbaargemaakt hóéft te worden, bijvoorbeeld wanneer er een risico is voor de veiligheid. Maar de hele essentie van open source is dat je de broncode bekendmaakt, want daarvan wordt het systeem niet onveiliger, maar juist veiliger. Dit lijkt echt op een escape voor partijen die dan een beroep kunnen doen op deze clausule en hiermee open source kunnen ontwijken. Waarom heeft de staatssecretaris hiervoor gekozen?
Een andere vraag is waarom het wettelijke kader niet is uitgegaan van dataminimalisatie. De minister stelt in antwoord op vragen van D66 dat deze dataminimalisatie in het conceptbesluit zit. Is het nu zo dat private aanbieders alleen toegang kunnen krijgen tot de data die nodig zijn voor de toegang tot de dienst die gevraagd wordt? Of krijgt de aanbieder iedere keer opnieuw toegang tot alle informatie, ook al is slechts een deel ervan nodig? Onze fracties hebben dezelfde vragen als GroenLinks over decentrale en centrale opslag. Ik versterk de woorden door te benadrukken dat een decentrale opslag de facto veiliger is.
Dan de veiligheid en techniekonafhankelijkheid in de wetgeving. De MR biedt een uitwerkingen om de eisen te stellen dat de software veilig is, onderhouden wordt en beschikbaar is en blijft. De staatssecretaris koos ervoor om dit nu niet nader uit te werken. Maar die ruimte wordt in de MR wel geboden. Dan denken wij bijvoorbeeld aan de vereisten die aansluiten bij het hoogste veiligheidsregime rondom de gegevensuitwisselingen, namelijk die uit de eIDAS voor de QTSP's. Dan gaat het om normen uit die verordening voor audits, uitlegbaarheid, verantwoording van de securityprocedures, zoals procedures rondom een hack en het verlies van gegevens, en het vastleggen van de verantwoordelijkheid van dienstverleners om aan deze eis te voldoen. Is de staatssecretaris bereid om deze mee te nemen? Ik neem aan dat de heer Van den Berg van de VVD hier ook goed naar luistert.
Ik zeg dit, terwijl ik weet dat dit helemaal geen garanties geeft. Bij sommige algoritmes weten de makers wel dat er een achterdeurtje is, maar weten wij dat niet. Dus zelfs als wij het hoogste niveau van beveiliging eisen en zeggen "dan moeten we deze tools gebruiken, want daarvan weten we dat het het hoogste niveau is", dan kunnen er nog steeds achterdeurtjes in zitten die de makers hebben gemaakt, maar waar wij totaal geen weet van hebben. Als we niet het hele proces zien, dan weten we niet alles. Open source kan hier zeker soelaas in bieden. Maar dat gaat over een deel van het systeem. Want open source gaat niet alleen over software, maar ook over open hardware en een open proces. Hoe garandeert de staatssecretaris deze driehoek?
De grootste zorg blijft toch wel het toelaten van commerciële private partijen tot het stelsel. Dat zijn partijen die naast het aanbieden van handige diensten nog een totaal ander doel hebben, namelijk zo veel mogelijk informatie verzamelen van de burger. De staatssecretaris stelt dat er voldoende waarborgen zijn om die informatie niet via het eID-stelsel te verzamelen. Zij verzekert ons meerdere malen dat de informatie die via het eID is verkregen, nergens anders voor gebruikt mag worden. De staatssecretaris geeft ook aan dat de informatie die op een andere wijze is verkregen, niet onder de reikwijdte van deze wet valt.
Ik vraag de staatssecretaris of zij beseft dat bedrijven die aan deze dataverzameling doen, die informatie helemaal niet nodig hebben. Die kunnen ze namelijk zelf al in combinatie met die andere dataverzameling genereren. Dat maakt het wat ingewikkeld. Maar zoals ik in het begin zei: het simpele feit dat iemand toegang vraagt tot bijvoorbeeld de reclassering kan, in combinatie met zijn surfgedrag online en onder andere inlog, al voldoende informatie over die persoon opleveren. Om in die gegevens te kunnen kijken hoeft de partij die toegang al helemaal niet meer. De enorme hoeveelheid data die daar verzameld is, kan het laatste puzzelstukje zijn om het hele plaatje te hebben. Die kunnen ze in combinatie met al die dataverzameling zelf genereren.
Ik wijs de staatssecretaris erop dat menig website van de gemeente een link naar Facebook of Instagram heeft, of zo'n mooi icoontje dat je aan kunt klikken, waardoor per definitie al data van je verzameld wordt. Ze kunnen ook met video's werken die op YouTube staan, of websites hebben die met Google Fonts werken. Dat zijn allemaal tools die trackers hebben en die vervolgens bijhouden wat je allemaal op het internet doet. De stelling dat private commerciële aanbieders geen overbodige informatie mogen verzamelen, gaat uit van de premisse dat zij dit ook niet willen. En dat is niet waar. Deze partijen is het niet zozeer te doen om die precieze informatie. Het is deze partijen er alleen om te doen dat zij weten dat iemand inlogt bij een dienst of een ziekenhuis. Met al die informatie kunnen zij in combinatie met de rest van het surfgedrag al heel erg veel.
Ik zei in een interruptie op meneer Van den Berg al dat deze informatie niet verzameld wordt per individu, maar dat dit gebeurt in statistische groepen. Dat is in eerste instantie helemaal niet naar één persoon te herleiden. Met deze statistische groepen en deze informatie in de huidige artificiële intelligentie, gaan neurale netwerken aan de slag om een profiel te maken van het individu. In die honderdduizenden megabits is dan niet meer terug te vinden of er daadwerkelijk misbruik is gemaakt van de informatie die is vergaard door de inlog. In feite hoeven deze private aanbieders ook helemaal geen toegang tot de data van de Basisregistratie. Als ze weten wanneer iemand inlogt, kunnen ze met die informatie hun neurale netwerken slimmer maken. Alle bescherming die wij nu hebben op onze overheidswebsites, bijvoorbeeld door geen trackers te gebruiken, is dan in één keer weggegooid. Wanneer de staatssecretaris zou verbieden dat er gebruikgemaakt mag worden van metadata, dan gebruikt men metametadata of metametametadata. Het zal hetzelfde resultaat hebben. Het duurt alleen ietsjes langer.
Voorzitter. Ik besef ook dat we nu al heel veel data weggeven. Ik besef dat vele overheden en zorginstellingen nog steeds niet de risico's zien van het gebruik van trackers op hun website. In juni van dit jaar bleek dat zeven ziekenhuizen in de Verenigde Staten door één pixel van Facebook gevoelige data weggaven aan het bedrijf. Meta zei deze informatie te filteren. Meta zei geen gebruik te maken van deze informatie, maar bewijzen deden ze dat niet. Hier geldt opnieuw dat het überhaupt niet te bewijzen is of Meta die data ook misbruikte, want wanneer er metadata of metametadata verzameld worden, is de herkomst onmogelijk te herleiden. Daar helpt geen wet tegen. Ik wil in dit kader ook mijn zorgen uiten over PRISM. PRISM is een surveillanceprogramma dat gericht is op personen buiten de Verenigde Staten en dat grote datastromen analyseert om onregelmatigheden te filteren en te linken aan personen en individuen. Daarbij richt het zich specifiek op persoonsgegevens verzameld via Google, Meta, Yahoo! en Microsoft. Met PRISM kan NSA dus direct in die systemen komen. Helaas doen ze dat niet op een manier waarop wij dat kunnen ontdekken, dus dat is niet transparant.
Voorzitter. Alles overziend, dit alles horend, vraag ik de staatssecretaris: waarom heeft zij geen uitsluiting opgenomen voor bedrijven die aan dit soort dataverzameling doen? Waarom kiest zij ervoor private commerciële partijen kennis te geven over welke toegang we vragen en hoe vaak? Waarom denkt zij dat deze partijen dat willen wanneer de toegang kosteloos wordt aangeboden? Waar zit dan het verdienmodel? Waarom heeft de staatssecretaris bijvoorbeeld niet gekozen voor het uitschrijven van een prijsvraag voor een aanbieder? De Rijndael-AES heeft laten zien dat dit soort prijsvragen uitstekende producten kunnen opleveren. Ik verwijs ook naar het bericht dat deze staatssecretaris overweegt te stoppen met overheidspagina's op Facebook. Wat heeft dit voor consequenties voor de toelating van Meta wat betreft het aanbieden van een eID?
Voorzitter. Het moge duidelijk zijn dat onze fracties nog niet overtuigd zijn van de juiste keuze voor het toelaten van private partijen voor de e-identificatie. Ik kijk daarom uit naar de antwoorden van de staatssecretaris op de vragen die wij gesteld hebben.
De voorzitter:
Dank u wel, mevrouw Gerkens. Dan is het woord aan de heer Van Hattem namens de PVV.