T03652

Toezegging Toekomstige technologieën die decentrale dataopslag mogelijk maken onderzoeken en gebruiken (34.972/35.868)



De staatssecretaris Koninkrijksrelaties en Digitalisering zegt de Kamer, naar aanleiding van een vraag van het lid Ganzevoort (GroenLinks), toe dat wanneer in de toekomst technologieën worden bedacht die decentrale opslag mogelijk zouden maken, bij het gebruik van de inlogmiddelen, die ook onderzocht en gebruikt gaan worden.


Kerngegevens

Nummer T03652
Status openstaand
Datum toezegging 21 februari 2023
Deadline 1 januari 2025
Verantwoordelijke(n) Staatssecretaris Digitalisering en Koninkrijksrelaties
Kamerleden Prof.dr. R.R. Ganzevoort (GroenLinks)
Commissie commissie voor Digitalisering (DIGI)
Soort activiteit Plenaire vergadering
Categorie overig
Onderwerpen data
decentraal
digitale overheid
inlogmiddelen
opslag
Kamerstukken Novelle Wet digitale overheid (35.868)
Wet digitale overheid (34.972)


Uit de stukken

Handelingen I 2022-2023, nr. 10, item 12 - blz. 1

De heer Ganzevoort (GroenLinks):

(…)

“Een struikelblok zit bij de digitale toegang tot publieke dienstverlening. Dat is wat ons betreft het belangrijkste punt. In onze ogen is ten eerste een verkeerde afslag genomen. Ten tweede is het op het punt van de decentrale opslag niet goed geregeld. Over die decentrale opslag is al heel wat uitgewisseld. Volgens de regering is een systeem met centrale opslag niet riskanter dan een systeem met decentrale opslag. Want, zo zegt de regering bij de beantwoording van de vragen, bij hacken is er altijd een risico; je moet het gewoon goed beveiligen. Dat laatste is natuurlijk waar, maar de regering miskent daarmee dat het veel aantrekkelijker is om een centrale opslag te hacken en dat een hack daarbij veel ernstigere en grootschaligere gevolgen heeft. Ik vraag de staatssecretaris waarom ze niet ook op dat punt de gevraagde verbetering heeft aangebracht. Deskundigen zeggen dat dit echt veiliger is, niet alleen als het gaat om hacken, maar ook als het gaat om dataminimalisatie en privacy by design. Had die privacy by design, die nu wel in de novelle is verankerd, niet ook vertaald moeten zijn in decentrale opslag? Dat is toch heel nauw aan elkaar verbonden? Graag een reactie van de minister.”

Handelingen I 2022-2023, nr. 20, item 8 - blz. 18

Staatssecretaris Van Huffelen:

(…)

“Ik zou willen overstappen naar het onderwerp centraal-decentraal. Dat had te maken met een aantal vragen die door onder anderen de heer Ganzevoort werden gesteld over waarom ik niet kies voor een decentraal systeem. Dat vergt dat we nog even proberen heel precies te zijn. Inlogmiddelen zorgen ervoor dat je kunt inloggen bij de overheid en dat je zaken kunt doen met die overheid. Er zijn ontwerpen voor inlogmiddelen waarbij de vraag is of de gegevens dat je gisteren hebt ingelogd bij de Belastingdienst of eergisteren bij het UWV, enzovoort, enzovoort, alleen worden bewaard op je eigen smartphone. Dat betekent dat, wanneer dat nodig zou zijn, je alleen zelf nog kunt terughalen dat je contact hebt gehad of dat je een bepaalde transactie hebt gedaan met een overheidsdienst. Wij vinden dat die situatie net iets te kwetsbaar. We vinden het belangrijk dat er ook wordt geregistreerd bij partijen wanneer je hebt ingelogd om daarmee te kunnen bewijzen dat je dat daadwerkelijk hebt gedaan op het moment dat jouw smartphone er niet meer is. Ik denk wel dat het relevant is dat dat allemaal zo minimaal mogelijk is. We willen natuurlijk zorgen dat data-uitwisselingen en dataopslag zo minimaal mogelijk zijn. Een van de punten waaraan ik zou willen werken, is of je die loggingsinformatie — wanneer heb je bij welke dienst ingelogd? — op een andere manier wat meer decentraal zou kunnen vastleggen. Op dit moment zien we daar nog niet direct de mogelijkheden voor, maar het is wel goed om daar verder naar te kijken. Ik kan me namelijk ook heel goed voorstellen dat mensen het belangrijk vinden dat dit soort informatie zo decentraal mogelijk blijft en niet op een andere plek wordt vastgelegd.”

De heer Ganzevoort (GroenLinks):

“Als ik het goed zie, zijn er drie plekken waar je het zou kunnen opslaan of zou kunnen loggen. Dat is bij de gebruiker, dus bij mijzelf op mijn eigen smartphone. Dat is bijvoorbeeld bij de Belastingdienst. En dat is in mijn geval bij DigiD of welk inlogmiddel ook. De vraag over decentrale opslag gaat natuurlijk heel erg over het inlogmiddel: waar gebeurt het? Maar de argumentatie van de staatssecretaris overtuigt me niet helemaal, omdat in dit geval de Belastingdienst hoe dan ook zal registreren dat ik ingelogd heb. Wat is er meer nodig dan dat zij weten dat ik ingelogd heb? Waarom zou de aanbieder van het inlogmiddel ook moeten registreren waar ik ingelogd heb?”

Staatssecretaris Van Huffelen:

“Dat moet de aanbieder van het inlogmiddel om ook zeker te weten dat dat gebeurd is. Want ook bij de Belastingdienst, bij UWV enzovoort, enzovoort, wordt niet altijd alles geregistreerd. Het gaat er dus vooral om dat je zelf die loggingsinformatie kunt laten zien, en daar ook toegang toe hebt. U heeft eerder gevraagd: kan je die informatie niet ook gewoon alleen maar laten zijn bij de persoon over wie het gaat? Dan is die informatie dus niet bij het inlogmiddel en niet bij het bedrijf waar je hebt ingelogd. Het kan bijvoorbeeld ook dat je bij zo'n bedrijf wel hebt ingelogd, maar dat dat mislukt is, terwijl je dus wel degelijk een poging hebt gedaan. Wij denken dat het verstandig is om burgers te kunnen blijven helpen met hun logginsformatie. Maar we willen wel onderzoeken of je dat uiteindelijk ook op een decentrale manier kunt doen: een manier die we nu nog niet kennen, maar die we wel willen onderzoeken.”

De heer Ganzevoort (GroenLinks):

"Een manier die we nog niet eens kennen." Dat is bijna transcendent. Zo vind ik het ingewikkeld worden. Voor mij is de vraag simpeler dan dat. De Belastingdienst registreert het als ik inlog of niet. Dus als de Belastingdienst niet registreert, heb ik niet ingelogd. Het werkt precies hetzelfde als ik een brief stuur naar de Belastingdienst. Als die brief daar niet aankomt, wordt die niet geregistreerd. Als ik met de post een brief stuur die wél aankomt, dan staat de brief in het postboek. De vraag is dus eigenlijk volgens mij vrij simpel: welke meerwaarde heeft nou het registreren bij het inlogmiddel? De staatssecretaris zegt daarop: dat is eigenlijk een extra zekerheid. Maar die extra zekerheid vormt ook een extra risico. Dat decentrale verdient volgens mij volgens alle privacyadviseurs de voorkeur. Waarom wordt dit dus niet losgelaten?”

Handelingen I 2022-2023, nr. 20, item 8 - blz. 18-19

Staatssecretaris Van Huffelen:

“Inderdaad denkt niet iedereen daar hetzelfde over. Er zijn zeker mensen die hebben aangegeven, ook aan ons, dat het relevant is om dat te overwegen. Daarom wil ik dat ookgraag verder onderzoeken. Maar we weten ook dat het voor mensen vaak heel vervelend is als ze moeten gaan nagaan bij welke instanties ze allemaal wel of niet hebben ingelogd en wanneer dat heeft plaatsgevonden, en ze daarbij afhankelijk zijn van die aanbieders, dus van de Belastingdienst, van UWV, van een gemeente. Ze zijn er dan afhankelijk van of die instanties die logging daadwerkelijk goed hebben gedaan. Mensen vinden het vaak veel fijner als ze dat ook zelf kunnen onderzoeken, en kunnen blijven onderzoeken, ook wanneer hun telefoon gestolen is, verdwenen is, in het water gevallen is of anderszins. Dat is dus de reden waarom wij daarvoor nu de mogelijkheid willen creëren waarbij je dus die loggingsinformatie ook hebt. Maar u vroeg ook steeds: bent u wel bezig met nadenken over de vraag of er een nieuwe technologie is die op een goede manier burgers kan helpen? Nou, die technologie wil ik heel graag onderzoeken. Want als die er is, hoeft het niet meer bij het inlogmiddel te gebeuren en zou het op een andere manier kunnen.”

Handelingen I 2022-2023, nr. 20, item 8 - blz. 19

De heer Ganzevoort (GroenLinks):

“Maar het is dus alleen nodig voor die situaties waarin én de Belastingdienst het niet geregistreerd heeft, én ik mijn telefoon kwijtraak? Ik vind het wel een overkill aan regelingen. Ik zou zeggen: geef dan toch echt de voorkeur aan decentraal.”

Staatssecretaris Van Huffelen:

“Maar heel veel burgers loggen in bij heel veel verschillende overheidspartijen. Ze moeten dan al die overheidspartijen gaan bellen om te vragen: wat is mijn inloghistorie bij u? Dat geldt ook voor de ondersteuning als het niet lukt om in te loggen, of bij het ervoor zorgen dat je hulp krijgt. Al die elementen zitten daar dan niet in. Er is dan dus geen hulp wanneer het niet lukt om in te loggen. Je weet niet bij welke partijen het was, of je moet ze allemaal bellen. Die service willen wij graag aan burgers blijven bieden. En ik maak daarbij nogmaals wel de opmerking dat het mij verstandig lijkt om te kijken of we dat niet uiteindelijk ook decentraal kunnen doen. Wat mij betreft is dat een toezegging, tenzij u zegt: wat mij betreft hoeft het niet.”

Handelingen I 2022-2023, nr. 20, item 8 - blz. 32

De heer Ganzevoort (GroenLinks):

(…)

“Wat de decentrale opslag betreft zijn wij niet overtuigd. Ik ben wel blij met de toezegging — en die noteer ik toch maar graag — dat wanneer in de toekomst technologieën worden bedacht die dit probleem voor ons gaan oplossen, die ook onderzocht en gebruikt gaan worden. Maar ik ben niet overtuigd door de argumentatie dat die decentrale opslag niet gewoon überhaupt beter is. Daar ben ik dus wel van overtuigd, maar ik ben er niet van overtuigd dat een centrale opslag mogelijk zou moeten blijven.”


Brondocumenten


Historie