[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Verslag van een commissiedebat, gehouden op 25mei 2022, over eventuele anticipatie wetsvoorstel tot wijziging Wet beveiliging netwerk- en informatiesystemen

Wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders

Verslag van een commissiedebat

Nummer: 2022D21808, datum: 2022-06-15, bijgewerkt: 2024-02-19 10:56, versie: 4

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36084-7).

Gerelateerde personen:

Onderdeel van kamerstukdossier 36084 -7 Wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders.

Onderdeel van zaak 2022Z09388:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2021-2022

36 084 Wijziging van de Wet beveiliging netwerk- en informatiesystemen in verband met de uitbreiding van de bevoegdheid van de Minister van Justitie en Veiligheid om dreigings- en incidentinformatie over de netwerk- en informatiesystemen van niet-vitale aanbieders te verstrekken aan deze aanbieders en aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten ten behoeve van deze aanbieders

Nr. 7 VERSLAG VAN EEN COMMISSIEDEBAT

Vastgesteld 15 juni 2022

De vaste commissie voor Digitale Zaken heeft op 25 mei 2022 overleg gevoerd met mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid, over:

de brief van de Minister van Justitie en Veiligheid d.d. 13 mei 2022 inzake eventuele anticipatie wetsvoorstel tot wijziging Wet beveiliging netwerk- en informatiesystemen (Kamerstuk36 084, nr. 5).

Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.

De voorzitter van de commissie,
Kamminga

De griffier van de commissie,
Boeve

Voorzitter: Kamminga

Griffier: Van Tilburg

Aanwezig zijn zeven leden der Kamer, te weten: Beckerman, Bouchallikh, Van Ginneken, Kamminga, Koekkoek, Rajkowski en Van Weerdenburg,

en mevrouw Yeşilgöz-Zegerius, Minister van Justitie en Veiligheid.

Aanvang 16.00 uur.

De voorzitter:

Goedemiddag allemaal. Ik heet u allemaal welkom bij dit commissiedebat van de vaste Kamercommissie voor Digitale Zaken. Uiteraard een bijzonder welkom aan de Minister en haar staf, aan de leden, aan de Griffie en aan de ondersteuning van de bodes, maar ook aan de mensen die thuis kijken of op de publieke tribune. Ik zie één iemand binnenkomen. Welkom.

We hebben een debat van één uur, dus ik stel voor onze tijd goed en nuttig te gebruiken. Ik wil daarbij opmerken dat iedereen twee minuten spreektijd heeft. Ik wil vragen om de interrupties op elkaar, gelet op de aard van dit debat, te beperken tot feitelijke dingen. Laten we ons vooral tot de Minister richten. Voor de wet waar het stuk op ziet, hebben we nog een separaat behandelingstraject. Daar zou ik dus ook terughoudend in zijn. Laten we ons focussen op het stuk dat nu voorligt.

Dat gezegd hebbende, wil ik mevrouw Van Ginneken het woord geven.

Mevrouw Van Ginneken (D66):

Dank, voorzitter. Om te beginnen: dit debat overlapt een ander debat waar ik geacht word te zijn. Ik ga dus vooral mijn positie even toelichten aan de Minister en dan luister ik later het verloop het van de discussie wel terug.

D66 vraagt al heel lang om een structurele oplossing voor de versnippering in de digitale weerbaarheid. We moeten alle bedrijven en organisaties beter beschermen en niet alleen de vitale. Deze wet heeft die ambitie. Het is goed dat de Minister zegt: ik wil hier al eerder met jullie over praten, want er is enige urgentie. Die zorgen van de Minister deel ik, maar tegelijkertijd voelt deze manier van werken een beetje ongemakkelijk. Er is nog geen wet, maar we willen toch in bepaalde gevallen dingen kunnen doen die we eigenlijk later beter willen gaan regelen. D66 vindt heel nadrukkelijk dat de overheid zich aan de wet moet houden. We weten ook dat dat niet altijd gebeurt. Ik noem even een NCTV.

Voor de uitwisseling die de Minister van plan is te gaan doen, is geen wettelijke grondslag op dit moment. Vanwege het grote belang van digitale weerbaarheid voor economie en onze samenleving snap ik best dat we met de anticipatie die de Minister van plan is iets kunnen bereiken, maar ik zie dat heel nadrukkelijk als een noodoplossing. Als de Minister deze bevoegdheid wil gaan gebruiken, die dus eigenlijk een informele bevoegdheid is, willen we in de eerste plaats heel goed kunnen zien hoe, waarom en wanneer die gebruikt is. Dat moet ook naspeurbaar zijn, zodat we daar hier in de Kamer met elkaar een goed gesprek over kunnen voeren en de Minister verantwoording kan afleggen. Het gaat heel nadrukkelijk om echt heel zwaarwegende incidentele gevallen met een grote impact als we niks doen.

Als derde voorwaarde zou ik dan aan de Minister willen geven dat dit een tijdelijke afspraak is, een tijdelijke ruimte. Die blijft wat mij betreft beperkt tot een aantal maanden. Na die maanden komt ofwel het definitieve wetsvoorstel waarover we met elkaar kunnen spreken of de Minister gaat – dat sta ik haar dan toe – opnieuw hierover met gesprek met de Kamer om te kijken of we het misschien met nog een paar maanden kunnen verlengen.

We willen het dus graag van dichtbij kunnen volgen en echt alleen in zwaarwegende incidentele gevallen. Onder die voorwaarden – ik ben heel benieuwd naar de nadere uitwerking in het debat – kan ik het steunen.

De voorzitter:

Dank u wel, mevrouw Van Ginneken. Ik heb u iets meer tijd gegeven dan die twee minuten, omdat u het debat moet verlaten en u daardoor geen tweede termijn meer heeft. Ik doe een beroep op de collega's om wat meer binnen de tijd te blijven. Als er geen interrupties zijn, ga ik naar mevrouw Beckerman.

Mevrouw Beckerman (SP):

Dank u wel, voorzitter. We hebben het vandaag inderdaad niet over de wet, maar wel over de vraag of het noodzakelijk is om op dit moment al bevoegdheden te geven aan het Nationaal Cyber Security Centrum die geen wettelijke basis hebben, maar die het wel mogelijk maken dat er persoonsgegevens gedeeld worden. Daarover heeft de SP een aantal vragen.

Als deze wijziging noodzakelijk is voor crisissituaties, hebben wij dan onze structuren nu niet op orde? Wat is de rol van de MIVD en de AIVD bijvoorbeeld? Die zouden toch ook al zo'n aanval kunnen zien aankomen? En zo nee, functioneren deze diensten dan naar behoren? Zijn deze diensten in staat om de betreffende bedrijven of sectoren die bedreigd worden te waarschuwen als dat in het nationaal belang is?

Wat wij ons vooral afvragen, is waarom nou juist de oorlog in Oekraïne aanleiding is voor deze haast, terwijl er eigenlijk al jarenlang – de fractie van D66 zei het net ook – wordt gewaarschuwd voor de mogelijkheid van een digitale aanval. In hoeverre is het noodzakelijk dat er persoonsgegevens gedeeld worden als bedrijven of instellingen moeten zorgen dat een digitale aanval wordt afgeslagen? Kan de Minister voorbeelden geven van in welke situaties dat noodzakelijk is? Waarom is er niet voor gekozen om deze wijziging in de dienen bij de Kamer na de aanvallen die de regering zelf benoemt in haar brief, in 2017 op een containeroverslagbedrijf en in 2021 toen de software van notarissen niet werkte, of na de kwetsbaarheid binnen het mailprogramma van Microsoft?

Voorzitter. Zoals ik aangaf twijfelt mijn fractie, maar niet aan de noodzaak van digitale weerbaarheid. Die is voor mijn fractie volkomen helder. Mijn fractie snapt ook dat er in een crisissituatie soms pragmatisch gehandeld dient te worden om erger te voorkomen. Maar de SP ziet ook dat er veel misgaat als het gaat over het delen van data van mensen, ook bij het Ministerie van Justitie en Veiligheid. Niet voor niks mag deze Minister nog een wetsvoorstel verdedigen, omdat de NCTV jarenlang zijn boekje te buiten ging als het ging om data verzamelen. Daarom heeft de SP echt behoefte aan duidelijkheid over waarom dit met haastige spoed door de Kamer moet.

Voorzitter. Ik ga afronden. Hoewel deze Minister aangeeft dat er een handelingskader is en er altijd informatie met de Kamer gedeeld wordt, vereist dat ook dat we ervan op aan kunnen dat de informatievoorziening aan het parlement op orde is. Het is niet het moment om hier het hele debat te voeren. Mijn fractie is nog niet overtuigd, maar wacht wel graag de reactie af.

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Beckerman. Ik zie dat mevrouw Rajkowski daar een vraag over heeft.

Mevrouw Rajkowski (VVD):

Ook even voor de VVD om het te begrijpen: zit de twijfel in het instrument of zit die in «is er nu wel een cyberoorlog gaande»? Aan welke kant zit die?

Mevrouw Beckerman (SP):

De twijfel zit op beide in de zin zoals wij aangaven. We zien nu dat er eigenlijk al veel misgaat. We hebben natuurlijk veel debatten over digitale weerbaarheid. Onze twijfel zit in: is die urgentie nu zodanig dat we niet kunnen wachten op die wet? Als dat zo is, dan vragen we ons het volgende af. De Minister noemt in de brief allemaal zaken die eerder, in 2017, hebben gespeeld. Waarom is ze dan niet eerder gekomen met dat wettelijke kader? We willen heel graag overtuigd worden van de noodzaak, van waarom deze haast zo noodzakelijk is en we niet de wetsbehandeling kunnen afwachten.

De voorzitter:

Dank u wel, mevrouw Beckerman. Dan ga ik door naar mevrouw Rajkowski voor haar eigen inbreng.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Nederland ligt digitaal onder vuur. Onze universiteiten, onze overheden en onze bedrijven worden dagelijks aangevallen door criminele cyberbendes, statelijke actoren maar ook andere kwaadwillenden die uit zijn op onze kennis en ons geld of die de stabiliteit in Nederland willen verstoren. De oorlog in Oekraïne maar ook het veranderde geopolitieke speelveld, ook in het cyberdomein, maken weer eens pijnlijk duidelijk hoe kwetsbaar je kan zijn. De Autoriteit Persoonsgegevens berichtte vandaag dat 7 miljoen keer informatie van Nederlanders via datalekken, bijvoorbeeld bij gemeenten, op straat is komen te liggen. Wat de VVD betreft is de urgentie er dus zeker. Op dit moment hebben onze inlichtingendiensten informatie over potentiële hacks die zij alleen met vitale aanbieders mogen delen. De rest van Nederland tast dus in het duister.

Voorzitter. Een vraag over deze anticipatie. Hoe verhoudt die zich tot de Wet bevordering digitale weerbaarheid bedrijven? En wat wordt dan de rol van het DTC? Het DTC is nu juist degene die communiceert met niet-vitale bedrijven. Het NCSC gaat dat nu ook tijdelijk doen. Hoe gaat dat dan geregeld worden? Voor de VVD staat voorop dat de juiste informatie snel en bij de juiste organisaties terecht moet komen.

Kort gezegd, de VVD steunt de Minister in haar verzoek om, voordat de uitgebreide wetsbehandeling is geweest, in zeer uitzonderlijke gevallen heel belangrijke informatie te delen met niet-vitale aanbieders. De VVD heeft hier niet voor niets al vaker een lans voor gebroken. Het zou wat ons betreft echt van de zotte zijn dat als wij hacks of andere kennisjatterij kunnen voorkomen, wij dat niet zouden doen.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Dan ga ik naar mevrouw Bouchallikh.

Mevrouw Bouchallikh (GroenLinks):

Dank u wel, voorzitter. Cybersecurity is ontzettend belangrijk; laat ik dat vooropstellen. Dat is ook niet de discussie van vandaag. Het gaat ons om het proces. Ik schrok van de brief die de Minister ons afgelopen week heeft gestuurd. Daarin lezen we dat zij het NCSC meer bevoegdheden wil geven om persoonsgegevens en andere vertrouwelijke gegevens te delen zonder dat zij hier een wettelijke grondslag voor heeft en ook nog zonder precies te weten of de wet überhaupt doorgang zal vinden. Ik lees in de brief van de Minister dat zij erop anticipeert dat zich in de nabije toekomst digitale dreigingen en incidenten voordoen en dat daarom de Wbni nu al ingezet moet worden. Maar dit is toch niet anticiperen? Dit is de nog niet besproken wet stelselmatig uitvoeren. Daar hebben we een brief van een paar kantjes over gekregen. Wij vroegen ons daarbij af waarom niet is aangedrongen op een spoedbehandeling in de Kamer. Als we die wet dan zo nodig zo snel moeten gaan inzetten, dan vinden wij het belangrijk om daar met z'n allen op een gedegen manier naar te kunnen kijken. Of beter nog: waarom is de wet überhaupt niet eerder ingediend?

Dan de gevolgen van de anticipatie. In het rapport Algoritmes getoetst van de Algemene Rekenkamer staat dat de algoritmes die het slechtst uit hun toetsingskaders komen momenteel ingezet worden onder de verantwoordelijkheid van het Ministerie van Justitie en Veiligheid. Juist dit ministerie wil meer bevoegdheden geven zonder de bijpassende verantwoordingsmechanismen. Kan de Minister toelichten hoe zij gaat garanderen dat het NCSC niet meer doet dan waar het de bevoegdheden voor heeft zonder gepast toezicht en verantwoording, zoals bij de NCTV is gebeurd in 2021?

Ik check heel even de tijd. O, die heb ik niet ingesteld. Hoeveel heb ik nog? Een halve minuut? Oké.

Tot slot over de Autoriteit Persoonsgegevens. In de brief van de Minister wordt genoemd dat deze bevoegd is om de naleving van de Algemene verordening gegevensbescherming te handhaven. Bedoelt de Minister hiermee dat de verantwoordelijkheid voor het toezicht op het NCSC bij de AP ligt? Ziet de Minister in dat de huidige verantwoordelijkheden van de AP in een iets ander domein liggen dan cybersecurity?

Dank u wel.

De voorzitter:

Dank u wel, en nog steeds keurig binnen de tijd. Dank u wel daarvoor. Het geeft helemaal niks. Daar hebben wij ook de ondersteuning voor, maar dank daarvoor. Dan gaan we door naar mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Ik kan voor een groot deel aansluiten bij de vorige sprekers, ook wat de vragen betreft, van D66, de SP en GroenLinks. Ik zal dus een verkorte versie doen, ook omwille van de tijd.

Op 7 april jongstleden hebben we al met de Minister gesproken over de Wbni en de noodzaak van een snelle behandeling en invoering daarvan. We hebben toen toegezegd dat we dat zullen doen. Bij die gelegenheid hebben we de Minister ook opgeroepen om haast te maken met die wet en te kijken of er een mogelijkheid was om een tijdelijke oplossing te zoeken totdat de wetsbehandeling is afgerond. Daarbij gaf ik aan dat wat de PVV betreft niet geschuwd moest worden om heilige huisjes om te schoppen indien noodzakelijk. Maar daar bedoelde ik natuurlijk niet mee dat ze de rechtsgrond maar even overboord moest gooien. Ik zat meer te denken aan organisatorische aanpassingen, een stelselwijziging, even vooruitlopend op de nieuwe integrale Nederlandse cybersecuritystrategie waar de Minister al mee bezig is en die we, zo is al toegezegd, voor de zomer zullen ontvangen. Een voorbeeld is het samenvoegen van het NCSC en het DTC. Daar hebben we toen ook over gesproken. Deze brief heeft de PVV dus onaangenaam verrast. Wij vinden het een ongemakkelijke optie om alvast iets toe te staan, vooruitlopend op een wet.

De vorige spreker had het ook al even over de NCTV. Daar is natuurlijk ook behoorlijk wat ophef over ontstaan een aantal weken geleden. Die affaire heeft bij de PVV ook een hele nare smaak achtergelaten. Ongetwijfeld zullen mijn collega-woordvoerders daarover nog een flink appeltje te schillen hebben met deze Minister, maar we zijn nu hier voor de Wbni. Ik wil de Minister nog één keer vragen: welke samenwerkingsvormen, welke stelselopties heeft zij laten onderzoeken en bleken dus niet mogelijk, waardoor ze deze optie heeft gekozen, en waarom waren die niet mogelijk?

Ik wil tot slot hier even gezegd hebben dat de partijen die nu tegen deze optie van de anticipatie zijn niet straks de zwartepiet moeten krijgen, als er een cyberaanval is en bedrijven schade oplopen. Het betekent niet dat we niet de urgentie zien dat de Wbni er snel moet komen. We hebben allemaal toegezegd dat we meewerken aan een snelle behandeling, maar ik wil wel voorkomen dat er straks gewezen wordt: maar jullie wilden niet die anticiperende optie, dus zijn jullie medeverantwoordelijk. Dat wilde ik even gezegd hebben.

Dank, voorzitter.

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Ik zie dat dit een reactie oproept bij mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Natuurlijk is het nooit de schuld van welke partij dan ook. Het gaat om statelijke actoren en cyberbendes. Dat is allemaal niet de schuld van deze Kamer, maar wij hebben wel een verantwoordelijkheid voor een snelle behandeling. Heel eerlijk: als we kijken naar de plenaire agenda en naar de lijst van commissiedebatten, dan kunnen we zeggen dat we bijvoorbeeld die wet heel snel willen gaan behandelen, maar ik zie het niet gebeuren. Bepaalde debatten over corona worden zelfs na het zomerreces gevoerd. Dat is gewoon wat wij met z'n allen met deze agenda doen. Als we het echt zó erg vinden wat er gebeurt en we weten dat overheidsteams mensen kunnen waarschuwen «zet die digitale deur op slot, want ze gaan op deze manier proberen bij jou binnen te komen», dan zou het toch zonde zijn als wij dat een halfjaar laten gebeuren terwijl in heel uitzonderlijke gevallen, met al die waarborgen, iemand toch even een tip zou willen krijgen. Ik begrijp de oproep van mevrouw Van Weerdenburg, maar het is niet zo dat wij helemaal geen verantwoordelijkheid hebben.

De voorzitter:

En dan toch even uw vraag aan mevrouw Van Weerdenburg.

Mevrouw Rajkowski (VVD):

Of zij het met mij eens is.

Mevrouw Van Weerdenburg (PVV):

Ik ben het absoluut met mevrouw Rajkowski eens dat er een noodoplossing zou moeten komen. Daar hebben we ook om gevraagd. Maar het is echt wel een brug te ver, zoals mijn collega van GroenLinks al zei, dat we gewoon de wet maar alvast gaan uitvoeren totdat die goed en wel behandeld is. Dat was niet de noodoplossing die ik voor ogen had. Ik vind het moeilijk te geloven dat dat de enige optie is.

De voorzitter:

Nog één vervolgvraag, maar dan wel kort en ook echt een vraag.

Mevrouw Rajkowski (VVD):

Welke noodoplossing dan wel? Ik snap het allemaal wel. Dingen hadden misschien beter gekund et cetera. Dat begrijpt mijn fractie allemaal wel. Daarom hebben we het verzoek voor dit debat ook gesteund. Maar welke andere noodoplossing bieden wij dan als Tweede Kamer?

Mevrouw Van Weerdenburg (PVV):

Ik wil het werk van de Minister niet doen. Zij heeft overigens veel meer ambtenaren dan wij medewerkers. Maar kijk nog eens even goed naar een stelselwijziging. Kunnen we niet desnoods tijdelijk het DTC en het NCSC misschien in een samenwerkingsverband persen of wat dan ook? Ik heb toen gezegd: er moeten geen heilige huisjes zijn en prestigeoverwegingen moeten niet meespelen. Het is natuurlijk niet zo leuk voor het Ministerie van EZK als deze Minister gaat zeggen: nou, dat DTC ga ik toch even anders inrichten. Dat snap ik allemaal wel, maar daar moeten we eventjes overheen springen. Ik heb ook geen pasklare oplossing. Ik heb alleen het gevoel dat deze wel heel erg ver gaat. Hebben we wel goed gezocht naar een minder ingrijpende oplossing?

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Dan mevrouw Koekkoek voor haar inbreng.

Mevrouw Koekkoek (Volt):

Dank u wel, voorzitter. Volgens mij is de Kamer redelijk eensgezind. Een aantal van mijn vragen overlappen met wat eerder is gezegd. Voor mij valt het vooral uiteen in waarom, wat en waarheen.

In het kader van «waarom» vroeg ik me af: waarom geen spoedwet? Dat lijkt de meer zuivere route. Ik vraag me in dat kader ook nog af: heeft de Minister zo'n concreet moment al meegemaakt in de afgelopen maanden? Is er een moment geweest waarop de Minister dacht: nu bots ik tegen muren op? Kan ze ons een beetje meenemen in dat dilemma?

Los van de vragen die al gesteld zijn, vroeg ik me in het kader van «wat» ook af of we dit afwegingskader moeten zien als een soort precedent, dus dat we in andere gevallen waarin we gegevens moeten delen eenzelfde soort route kunnen en willen volgen. Ook in andere gevallen speelt volgens mij een beetje de stress van spoed, geen wettelijke basis en ingewikkeldheid.

Ten slotte het «waarheen», los van het precedent. Er werd volgens mij al gezegd dat het toezicht bij de Autoriteit Persoonsgegevens ligt. Ligt dat voor het afwegingskader dan ook bij de AP, en op welke manier? Ik heb zelf ook wel mijn twijfels over of de AP dit aankan. Als het niet bij de AP ligt of teruggekoppeld wordt aan de Kamer, hoe kan de Kamer dan ook goed meecontroleren? Heeft de Minister ook ideeën over hoe er, wanneer die uitzondering ingeroepen wordt, niet alleen teruggekoppeld wordt, maar de Kamer ook zelf kan meekijken? Dat kan eventueel via een advies van de AP over of die uitzonderingsgrond om goede redenen ingeroepen is.

We zijn het er volgens mij met z'n allen over eens dat deze manier geen onderdeel zou moeten worden van de vaste toolbox. Volgens mij is er consensus over dat we dit niet altijd zo zouden moeten doen.

Misschien om met iets positiefs te eindigen: ik denk dat het ook wel weer interessant is dat we met z'n allen zoeken naar hoe we verder kunnen met elkaar, nu er geen wettelijke grondslag is. Ik hoor daarom heel graag wat de Minister allemaal aan ons kan meegeven.

De voorzitter:

Dank u wel, mevrouw Koekoek. Als er geen interrupties zijn, brengt dat ons bij het einde van de eerste termijn van de Kamer. Ik heb net al even met een schuin oog naar de Minister gekeken, die aangeeft een kwartier nodig te hebben.

De vergadering wordt van 16.19 uur tot 16.33 uur geschorst.

De voorzitter:

Ik zie dat iedereen terug is. Ik zie ook de Minister. Ik hoorde dat er een ordevoorstel was.

Mevrouw Van Weerdenburg (PVV):

Nou ja, voorzitter. Gezien de tijd dacht ik dat we, als alle collega's het daarmee eens zijn, misschien wat ruimer kunnen interrumperen en dan wellicht geen tweede termijn hoeven doen.

De voorzitter:

Ik kijk even rond, of er inderdaad geen behoefte is aan een tweede termijn. Ik zie mevrouw Beckerman ja knikken.

Mevrouw Beckerman (SP):

Ja, hoor. Ik ben het helemaal eens met het ordevoorstel.

De voorzitter:

Oké, geen tweede termijn. Dat betekent dat we iets meer ruimte hebben voor interrupties. Dan doen we dat. Dan geef ik het woord aan de Minister voor de beantwoording.

Minister Yeşilgöz-Zegerius:

Dank u wel, voorzitter. Heel veel dank ook dat dit op dit moment kon. Toen ik de brief stuurde, hoopte ik dat we het in het debat over digitale zaken konden behandelen, maar dat is toen verzet. Dus erg fijn dat het op deze manier toch kan, dat we er hier met elkaar bij stil kunnen staan.

Voorzitter. Wellicht een paar woorden vooraf. Wij signaleren dat de digitale dreiging in Nederland groot is. Het Nationaal Cyber Security Centrum ontvangt dagelijks informatie over computersystemen die mogelijk kwetsbaar zijn of gecompromitteerd zijn en het is van belang dat het Nationaal Cyber Security Centrum deze informatie snel kan delen en verspreiden, zodat bedrijven actie kunnen ondernemen. Volgens mij hadden we daar de vorige keer ook consensus over en is dat nog steeds de stand van zaken. Het Nationaal Cyber Security Centrum deelt deze informatie primair en direct met de rijksoverheid en vitale aanbieders en daarnaast waar mogelijk met schakelorganisaties binnen het Landelijk Dekkend Stelsel. Een voorbeeld van zo'n schakelorganisatie is het Digital Trust Center voor het niet-vitale bedrijfsleven.

Voorzitter. Door een weeffout in de wet is het voor het Nationaal Cyber Security Centrum nu niet altijd mogelijk om informatie te delen met deze schakelorganisaties. Hierdoor weet het centrum dat bepaalde aanbieders kwetsbaar zijn voor specifieke digitale aanvallen of dat ze zijn aangevallen, maar mogen zij deze aanbieders of hun schakelorganisaties hier lang niet altijd over informeren. Hierover is in de Kamer verschillende keren gesproken. Er is ook verschillende keren aandacht voor gevraagd, bijvoorbeeld door de Cyber Security Raad. Om deze reden is afgelopen maand het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen bij uw Kamer ingediend. Met het wetsvoorstel wordt het mogelijk dat het Nationaal Cyber Security Centrum in ruimere zin dreigings- en incidentinformatie kan delen. We komen hierover te spreken.

Er is in het verleden al heel veel dreiging geweest. Ik weet dat deze commissie daar zeer bij betrokken is geweest, al bestond die nog niet in deze vorm. Deze Kamerleden wel. Nu zien we er een reële digitale dreiging bij komen, dus ik stond voor een dilemma. Ik heb ervoor gekozen om het dilemma te schetsen voor de Kamer. Ik heb gezegd: «Dit is waar we nu voor staan en dit is een mogelijke oplossing. Mooi is die niet, maar het is in ieder geval een manier om daarop te handelen en ik zou dat graag met de Kamer willen bespreken.» Dat leek me de handigste manier om te gaan met een dergelijk dilemma. Dat staat allemaal in de brief.

Voorzitter. Wellicht ten overvloede, maar het is wel goed om te zeggen: het is geen makkelijk dilemma en de keuze die ik voorleg was ook niet licht aan onze kant, omdat je, eigenlijk precies zoals iedereen aangaf, vraagt om iets te kunnen doen zonder dat daar op dat moment een wettelijke grondslag voor is. Dat is ook de reden waarom ik ervoor heb gekozen om het hier transparant te delen als dilemma. We zien dat er in Oekraïne, omdat we zien wat daar aan de hand is, echt sprake is van een reële dreiging met mogelijke grote gevolgen voor en impact op de Nederlandse samenleving.

Ik stel voor dat ik de rest van mijn inleidende tekst oversla, want dat komt allemaal terug bij de verschillende vragen. Die waren eerst verdeeld over verschillende mapjes, maar dan hadden we wel heel veel mapjes. Ik ga gewoon de vragen langs, want die kwamen eigenlijk allemaal wel op hetzelfde neer. De zorgen zaten in ieder geval in dezelfde hoek, zou ik moeten zeggen.

Laat ik beginnen met D66. Die gaf een aantal randvoorwaarden mee waarbij de Kamer zo snel mogelijk geïnformeerd moet worden aan de hand van duidelijke kaders. Die hebben wij genoteerd en dat zijn ook precies de kaders zoals wij ze zouden willen hanteren. Ik neem dat dus mee als ondersteuning van onze intentie, mocht de Kamer beslissen dat dit een tijdelijke oplossing is. Dus dat sowieso.

Dan de vragen van de SP. De vragen van de Kamerleden lopen een beetje door elkaar. De vraag van mevrouw Beckerman was: waarom heeft u de Kamer hier nu over geïnformeerd en niet vorig jaar al? Het Nationaal Cyber Security Center heeft vorig jaar, toen het wetsvoorstel in consultatie is gegaan, in een aantal gevallen al geanticipeerd op het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen door dreigings- en incidentinformatie te verstrekken aan andere niet-vitale aanbieders of hun schakelorganisaties. Daartoe heeft het centrum besloten om nadelige maatschappelijke gevolgen te voorkomen, waarbij natuurlijk een zorgvuldige afweging is gemaakt van de ernst van de dreiging en hoe die er precies uitzag. Een voorbeeld daarvan is dat er op 18 juni vorig jaar door BZK een brief naar de Kamer is gestuurd – dat was rond de verkiezingen – over het verkiezingsproces en de dreiging rond politieke partijen in dat proces. Daarbij heeft het ook aangegeven dat daar iets werd gedaan waar eigenlijk een grondslag voor nodig is, maar wat zo urgent was dat het zo werd gedaan. Dit is niet een situatie die we in stand willen houden. Vandaar het wetsvoorstel en dat we nu, nu de actuele dreiging vanuit Oekraïne of vanuit Rusland, zo je wil, helder is, het dilemma dat we concreter zagen worden, voorleggen. Het wordt in die zin niet veel mooier, maar dat is wat het is.

Mevrouw Koekkoek van Volt zei daarbij: maar als dit zo urgent is, waarom kies je dan niet voor een spoedwetprocedure? We hebben natuurlijk allemaal gekeken hoe je het kunt versnellen, zodat je gewoon degelijk de wet kunt behandelen en daarna het gesprek kunt hebben over hoe je die degelijk inricht. Het punt is dat er geen apart wetgevingstraject bestaat voor wetgeving met grote spoed. Er is dus niet een spoedwetprocedure als zodanig, waardoor we het eerder hadden kunnen doen. Je kunt dingen proberen te versnellen, maar dan nog moet je natuurlijk langs alle elementen die erbij horen. Dus ook als je het met zeer grote spoed doet, moeten de verplichte stappen uit het wetgevingsproces doorlopen worden, van formele consultatie tot al die andere elementen waar de Kamerleden natuurlijk ook van op de hoogte zijn. Het is wel mogelijk om verschillende actoren in het wetgevingsproces te vragen om zo snel mogelijk met hun advies op het voorstel te komen. Er zijn manieren om te versnellen en dat hebben we allemaal gedaan met dit wetsvoorstel, maar er waren niet nog meer manieren om het zo naar voren te halen dat het gat waar we nu in vallen te dichten. Dan ga ik er ook nog van uit dat het wetsvoorstel het haalt, wat ook niet zo makkelijk zal zijn. Daar moeten we goed met elkaar naar kijken. Zo bedoel ik het niet. Er was geen manier om het nog meer naar voren te halen.

Dan ben ik weer terug bij mevrouw Beckerman. Ik zei al dat het een beetje door elkaar gaat, als u dat niet heel erg vindt. Zij verwees ernaar dat er natuurlijk heel veel te doen is geweest, de afgelopen jaren sowieso en zeer recent ook nog, met het delen van data. Heel terecht dat er dan vragen zijn over waarom dit dan met haastige spoed door de Kamer moet en of je daar niet allemaal nieuwe risico's mee loopt. Dat laatste voeg ik even toe aan haar vraag. Zo heb ik ’m gehoord. Ik begrijp het helemaal. Ik kom ook straks nog terug op de manieren op toezicht te houden, zoals de AP en ook een afwegingskader. We hebben naar manieren gezocht om de Kamer daar goed bij te betrekken, om aan alle kanten in te bouwen dat je dat risico niet hebt of minimaal houdt. Want ik deel het, ik begrijp het. Het doel van wat we hier proberen te doen, is dat aanbieders maatregelen kunnen treffen om echt heel forse nadelige maatschappelijke gevolgen te voorkomen of te beperken. Dat is de reden van de haastige spoed. Ik kom straks nog op het toezicht, de waarborgen en de kaders. Die zijn al in de brief toegelicht, maar ik zal nog even langer stilstaan bij waarom we denken dat dit dan de beste oplossing voor nu is. Zij is niet mooi, maar de beste die wij konden verzinnen. Ik zal later ingaan op de vragen van mevrouw Van Weerdenburg, die vroeg of er niet andere opties waren en er een aantal noemde.

Voorzitter. Het lijkt erop dat u zegt dat ik een interruptie heb.

De voorzitter:

Ja, ik wilde zeggen: voordat u uw betoog vervolgt, zag ik dat mevrouw Beckerman een vraag wilde stellen.

Mevrouw Beckerman (SP):

Ja, voorzitter. De SP is het er natuurlijk volledig mee eens dat wetgeving zorgvuldig moet gebeuren. De Minister geeft nu aan: vorig jaar op 18 juni moesten we eigenlijk ook al voor een lelijke oplossing kiezen, omdat dat in die crisissituatie noodzakelijk was. Is daarna dan direct gestart met de permanente oplossing van die wet of zit daar ook tijd tussen?

Minister Yeşilgöz-Zegerius:

Daar was ikzelf niet bij betrokken; ik heb niet precies scherp wanneer daarmee gestart is. Maar als dat straks in mijn app als antwoord zou mogen komen, dan zou ik daar graag op terug willen komen. Ik heb het niet scherp.

De voorzitter:

Ik zie mevrouw Beckerman knikken. Gaat u verder met uw betoog.

Minister Yeşilgöz-Zegerius:

Ja. Daar kom ik straks op terug. Ik ben bang dat het straks een beetje door elkaar gaat lopen. Mevrouw Koekkoek vroeg of de Autoriteit Persoonsgegevens betrokken is bij het afwegingskader. Voordat we de brief naar de Kamer hebben verzonden, hebben we de Autoriteit Persoonsgegevens op de hoogte gesteld van de brief. Die heeft daarop laten weten zich nog te beraden op een eventuele reactie. Dus die kan daarna nog komen. Met de Autoriteit Persoonsgegevens is ook besproken dat in uitzonderlijke gevallen waarin wordt overgegaan tot anticipatie, zij hierover zo spoedig mogelijk achteraf zal worden geïnformeerd, net als uw Kamer, zodat de AP in elk geval aan haar taak kan voldoen. Ik besef heel erg dat het niet mooi is dat dat «achteraf» is en «zo snel mogelijk». Het zou beter zijn als het aan de voorkant zou kunnen. Maar dan kun je je afvragen of het voldoet aan het afwegingskader, want daarvoor moet er sprake zijn van hoge spoed en moet het zeer urgent zijn. Dus je moet snel handelen; anders valt het niet binnen deze afwegingen. Dus dat is wat we op dit moment hebben gedeeld met de AP en wat we hebben afgesproken.

De voorzitter:

Ik zie mevrouw Koekkoek.

Mevrouw Koekkoek (Volt):

De Minister gaf aan dat er aan de AP advies gevraagd is hierover. Is er al bekend op welke termijn dat te verwachten is?

Minister Yeşilgöz-Zegerius:

Nee.

Mevrouw Koekkoek (Volt):

Nee.

Minister Yeşilgöz-Zegerius:

Nee, dat weten we nog niet. We hebben het zo snel mogelijk proberen te sturen. Maar op het moment dat daar nog aanvullende informatie, adviezen of ideeën op komen, zullen we het uiteraard ook meteen weer hier agenderen. Stel dat dit een werkmodus wordt die we tijdelijk met elkaar hanteren, dan kunnen we elke keer als het moet veranderen, dat hier melden. Ik hoop eerlijk gezegd dat tegen die tijd de wetsbehandeling al is geweest. Dat zal in ieder geval niet aan ons liggen.

Dan ben ik bij de vragen van mevrouw Rajkowski. Hoe verhoudt het wetsvoorstel tot wijziging van deze wet zich tot het wetsvoorstel Bevordering digitale weerbaarheid bedrijven? Gaat het Nationaal Cyber Security Centrum meer informatie delen met het Digital Trust Center? Of gaat het zelf meer niet-vitale bedrijven direct informeren? Het wetsvoorstel Bevordering digitale weerbaarheid bedrijven is door de Minister van Economische Zaken en Klimaat vorig jaar in procedure gebracht. Het wetsvoorstel strekt ertoe dat taken en bevoegdheden van het Digital Trust Center van het ministerie vastgelegd worden. Daaronder is ook de taak om niet-vitale bedrijven te informeren en die te adviseren over digitale dreigingen en incidenten. Het Digital Trust Center is daarnaast vorig jaar krachtens de Wet beveiliging netwerk- en informatiesystemen als schakelorganisatie aangewezen. Het wetsvoorstel tot wijziging van de Wet beveiliging netwerk- en informatiesystemen zorgt ervoor – ik wil geen afkortingen gebruiken, dus af en toe zijn mijn antwoorden erg lang, maar dat houden we toch vast – dat het Nationaal Cyber Security Centrum in ruimere zin dreigings- en incidentinformatie kan delen met aangewezen schakelorganisaties, waaronder dus ook het Digital Trust Center. Niet-vitale bedrijven zullen door het Digital Trust Center over dreigingen en incidenten worden geïnformeerd. Zo zijn die taken verdeeld.

Dan heb ik het antwoord voor mevrouw Beckerman binnen. De start van het wetgevingstraject was inderdaad juni 2021. Toen is met de consultatie gestart.

Dan heb ik de vraag van GroenLinks over het verschil tussen anticiperen op het wetsvoorstel en de aanleiding van het wetsvoorstel Verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid. Ik begrijp dat deze vraag wordt gesteld, maar deze wetsvoorstellen liggen qua aanleiding en inhoud heel erg uit elkaar. Het zijn echt twee losse dingen. Het wetsvoorstel Verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding en nationale veiligheid verankert een aantal taken op het terrein van de bestrijding van terrorisme en van nationale veiligheid. De verwerking van de persoonsgegevens die daarbij horen, wordt door de NCTV verricht. Daar komen we ook met elkaar over te spreken. Ik denk dat dat na het reces wordt, ergens in het najaar. Daar moeten we dan met elkaar goed bij stilstaan.

De wet waar we het vandaag over hebben, heeft daarentegen betrekking op de taken en bevoegdheden van het Nationaal Cyber Security Centrum. Dat gaat om hele andere doelen en bevoegdheden. Dit wetsvoorstel dat we straks zullen behandelen, voor de Wet beveiliging netwerk- en informatiesystemen, verruimt de bevoegdheid tot het verstrekken van informatie over die digitale dreigingen en incidenten. Dat is eigenlijk al in de wet vastgelegd, maar we maken het nu mogelijk om het te delen met meer partijen: met de niet-vitale aanbieders, en in bepaalde gevallen ook met die andere aanbieders. Dus dit is een verbreding van de mogelijkheid tot het delen van de informatie.

Mevrouw Beckerman had daarbij de vraag: wat is eigenlijk de rol van MIVD en AIVD; kunnen zij hier niet hun rol pakken om het op die manier op te lossen? Het gaat hier om dreigings- en incidentinformatie waarover nou juist het NCSC beschikt en die de vitale partijen niet aangaat. Deze informatie zal dus heel vaak niet beschikbaar zijn bij MIVD en AIVD. Als ik het zo mag formuleren: hun focus ligt weer elders. De expertises zijn hier echt verschillend. NCSC heeft nu al de grondslag om deze informaties met schakelorganisaties van niet-vitale partijen te delen. Het zorgt er alleen voor dat die kring van organisaties verruimd wordt. Dat zou hier gebeuren.

Dan nog een vraag van de SP: wat is een voorbeeld van een uitzonderlijk geval? Als we hiermee kunnen leven, zal er de komende tijd onder mijn verantwoordelijkheid aan de hand van een vast afwegingskader een beoordeling plaatsvinden of er sprake is van een uitzonderlijk geval. Het afwegingskader is ook met de brief naar uw Kamer verzonden. Daarin staan de stappen. Een situatie waarbij van anticipatie gebruik zou kunnen worden gemaakt, is bijvoorbeeld een hypothetische kwetsbaarheid in systemen van bedrijven in de haven van Rotterdam. Het Havenbedrijf zelf is vitaal verklaard en valt hiermee al onder de doelgroep van het NCSC, maar de bedrijven in de haven zijn dat lang niet altijd. Dan kan er een hele heftige, lastige, complexe situatie ontstaan. Deze bedrijven hebben zich wel verenigd in schakelorganisatie FERM. Op het moment dat het Nationaal Cyber Security Centrum informatie heeft over een kwetsbaarheid in de systemen van deze bedrijven in de haven, kan het deze informatie, als we die verruiming uiteindelijk zouden realiseren, wél delen met FERM, wat op dit moment niet kan. Ik moet zeggen: dat kan vaak niet, want het hangt van de specifieke voorbeelden af. Door deze informatie niet te delen, kunnen de bedrijven dus geen maatregelen treffen om zichzelf te beschermen. Je weet op dat moment wel dat er iets urgents aan de hand is, dat er een acute dreiging is, maar je kunt ze daarvan niet op de hoogte brengen.

Misschien nog een paar zinnen in antwoord op deze vraag, om het voorbeeld af te maken. Indien de kwetsbaarheid wordt gebruikt door kwaadwillenden, heeft dat dus niet alleen grote gevolgen voor een van die bedrijven of voor het collectief in FERM, maar ook voor de Rotterdamse haven als geheel. Ik denk dat ik deze commissie niet hoef uit te leggen wat voor impact dat dan vervolgens kan hebben buiten het bedrijf, het bedrijventerrein en de haven. Dat raakt mogelijk het hele land; dan wordt de Nederlandse infrastructuur mogelijk ontwricht. Dat hebben we bijvoorbeeld gezien bij de NotPetya-hack bij Maersk, toen vrachtwagens dagenlang voor de Rotterdamse havens stonden te wachten. Door te anticiperen zou je dit kunnen voorkomen. Dit voorbeeld komt, denk ik, het dichtst bij wat we bedoelen met «urgent».

De voorzitter:

Dank u wel voor dat voorbeeld. Dat roept een vraag op van mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Kan de Minister aangeven waarom het dan in zo'n geval niet mogelijk is dat het NCSC met een soort rode lijn met een bepaald securityniveau een spoednummer van het DTC belt om te zeggen: jullie moeten dit nu doorgeven aan die organisaties? Waarom kan dat niet?

Minister Yeşilgöz-Zegerius:

Die vraag stelde mevrouw Van Weerdenburg ook in haar eerste termijn, namelijk: zit daar niet gewoon winst, zodat je dit niet hoeft te doen? Ik heb toegezegd om daarop terug te komen. Een samenwerking tussen DTC en NSC ... NCSC! Daarom wil die afkorting niet gebruiken: ik kom er zelf vaak niet uit! Die samenwerking heeft een wettelijke basis nodig om die informatie te delen. Dus als we daar die stappen zouden willen zetten – dat willen we natuurlijk ook – dan kost dat tijd. Dat is eigenlijk het meest praktische en feitelijke antwoord. We hebben de afgelopen tijd ook echt gekeken naar andere manieren om informatie te delen, om ruimte te creëren waar dat kan. De informatie die we al kunnen delen, wordt gedeeld via de CERT's, de Computer Emergency Response Teams. Daarvoor biedt de wet wél ruimte. Maar soms kan informatie ontdaan worden van persoonsgegevens of herleidbare gegevens, waardoor deze wel gedeeld kan worden. Op het moment dat dat kan, doe je dat natuurlijk. We gaan ervan uit – dat hopen we ook – dat de gevallen waarbij herleiden en lostrekken ook niet kan, zeer uitzonderlijk zijn. Die gevallen bestaan.

Dan de vraag: hoe wordt de Kamer ten behoeve van haar controlerende taak geïnformeerd over een uitzonderlijk geval, en gebeurt dat dan vertrouwelijk? Ik weet even niet meer wie de vraag gesteld had. Wie was dat?

De voorzitter:

Het is onduidelijk wie de vraag heeft gesteld, maar we zijn wel nieuwsgierig naar het antwoord!

Minister Yeşilgöz-Zegerius:

Ja, natuurlijk! Maar mevrouw Koekkoek steekt haar hand al op. Ik vind het altijd fijn om de vragensteller ook aan te kunnen kijken, al kan ik me voorstellen dat iedereen dit wel een interessante vraag vindt. Voor mij was het ook een hele belangrijke voorwaarde toen we het er in huis over hadden. We leggen nu het dilemma voor, maar ik kan daarbij niet zeggen: vertrouw me maar en u hoort ergens volgend jaar wel of het goed is gegaan. De vraag is dus: hoe zorgen we ervoor dat we zo snel mogelijk kunnen informeren? Laat ik het proces even schetsen. Op het moment dat er sprake is van een uitzonderlijk geval, waarin het dus echt noodzakelijk is om informatie te delen op een manier die nu niet kan, is het van belang dat deze informatie zo spoedig mogelijk wordt verstrekt, zodat aanbieders snel kunnen schakelen. Vervolgens gaan we dat via het afwegingskader toetsen. Gezien de urgentie is het dan waarschijnlijk niet mogelijk om uw Kamer vooraf te informeren, maar we zullen dan zorgen dat we de commissie voor Digitale Zaken wel zo direct mogelijk achteraf vertrouwelijk informeren. Daar waar het niet vertrouwelijk hoeft, zullen we altijd die toets doen. We zullen het ook niet vertrouwelijk doen, gewoon openbaar delen, zodat uw werk ook makkelijker wordt en iedereen het kan volgen. Maar als daar geen ruimte voor is en ik het wel belangrijk vind om de informatie heel snel te kunnen delen, zal dat vertrouwelijk zijn.

Mevrouw Koekkoek stelde de vraag: is dit nu een precedent en ga je dit nu vaker doen? Zij zag misschien dat ik heel moeilijk keek toen ze die vraag stelde. De reden waarom ik moeilijk keek, was dat ik dacht: nou, liever niet. Ik denk absoluut niet: mooi, we zouden hiermee weleens een werkmodus kunnen hebben ontdekt. Nee, het is echt een groot dilemma. Ik zie het niet als een makkelijke of wenselijke oplossing. Alleen acht ik de problematiek die zou kunnen ontstaan zo, dat ik denk: dan maar zo. Wat mij betreft is het een uitzonderlijk geval dat over uitzonderlijke gevallen gaat.

De voorzitter:

Ik zie dat dit een vraag oproept bij mevrouw Koekkoek.

Mevrouw Koekkoek (Volt):

Eigenlijk meer een verduidelijking van mezelf. Met precedent bedoelde ik ook, los van het antwoord dat de Minister nu geeft: op het moment dat we straks het wetsvoorstel gaan behandelen, hebben we een periode gehad waarin we wellicht op basis van dit afwegingskader werken. Dan gaan we in het kader van het precedent terugverwijzen: ja, we hebben nu zo met elkaar gewerkt en daarom moeten we het wetsvoorstel aannemen.

Minister Yeşilgöz-Zegerius:

Oké, dan wordt het al een stuk minder moeilijk. Dan snap ik de vraag. Die discussie gaan we dan ongetwijfeld hebben. Ik hoop dat er zich dan geen incident heeft voorgedaan waardoor we deze noodoplossing moesten inzetten. Maar stel dat dat wel zo is, dan hebben we dat vertrouwelijk kunnen delen. Dan kunnen we er ook van leren hoe het wel of niet heeft gewerkt. Maar de Kamer gaat erover. De Kamer gaat er ook over om te beoordelen of het een goed wetsvoorstel is of niet. Maar als er al incidenten zijn geweest, dan zal ik in ieder geval altijd kijken wat we daarvan geleerd hebben, welke informatie er is gedeeld en of men vervolgens snel heeft kunnen schakelen om zichzelf te beschermen. Het is ook belangrijk om te weten of die informatie nuttig is geweest. Wat mij betreft betrekken we dat erbij. Dat wat openbaar kan, doen we gewoon in het debat. En anders kunnen we er ook in een vertrouwelijk deel bij stilstaan. Ik zou het zelf niet willen beschouwen als: dit hebben we nu een tijdje gedaan, dus het werkt wel. Ik zie dit echt als een noodoplossing. Hopelijk hoeven we die niet in te zetten en zo ja, dan kunnen we het wat mij betreft als les betrekken. Dat zou mijn voorstel zijn.

Dan heb ik nog de vraag van GroenLinks over het toezicht. Dat is tweeledig. De Autoriteit Persoonsgegevens heeft een toezichthoudende rol op de verwerking van de persoonsgegevens door het Nationaal Cyber Security Centrum. Op dat onderdeel en voor wat we hier bespreken, is het de AP. Daarnaast is er de Inspectie van JenV die toezicht houdt op de taakuitvoering. Dat zijn de twee toezichthouders.

Volgens mij heb ik alle antwoorden kunnen geven, al ging het een beetje door elkaar.

De voorzitter:

Dank aan de Minister voor de beantwoording. Ik kijk even rond. Ik zie dat mevrouw Bouchallikh een vraag heeft en daarna mevrouw Van Weerdenburg.

Mevrouw Bouchallikh (GroenLinks):

Dank aan de Minister en haar team voor het beantwoorden van de vragen. Ik heb inderdaad een vraag gesteld over het toezicht, specifiek over het gebruik van algoritmes en data. Mijn collega van de SP gaf ook al aan dat dat helaas vaker misgaat bij de overheid. We hebben laatst het rapport van de Rekenkamer gezien. Ik weet dat de Autoriteit Persoonsgegevens best veel wordt overvraagd. Het is een vrij kleine organisatie met heel grote verantwoordelijkheden en bevoegdheden. Vandaar de vragen die ik stel. In hoeverre is de Inspectie van JenV voldoende om samen hiermee ondersteunend aan de slag te gaan? Mocht er geconstateerd worden dat het niet genoeg is of dat er niet genoeg middelen zijn, wat kan de Minister dan doen om dat te voorkomen?

Minister Yeşilgöz-Zegerius:

Dit is een heel terechte vraag. Dat is een van de redenen waarom in het coalitieakkoord extra geld wordt vrijgemaakt voor de Autoriteit Persoonsgegevens. Ik denk dat dat echt een belangrijke stap is. Ik heb nu alle reden om ervan uit te gaan dat er genoeg expertise en capaciteit is voor datgene waar we het vandaag over hebben. Ik ga er niet van uit dat we hier elke week de noodoplossing moeten inzetten. Dat hoop ik niet. Dat is niet onze verwachting op dit moment. Wellicht kunnen we deze vraag straks betrekken bij de wetsbehandeling. Dan kunnen we nog een extra toevoeging doen hoe we dat zien en wat het zou betekenen. Als mevrouw Bouchallikh het goed vindt, hebben we het volgens mij op die manier goed geborgd.

Mevrouw Van Weerdenburg (PVV):

Toch nog even voor de helderheid. Kan de Minister zeggen of het delen van informatie in wat ruimere zin met meer partijen, zoals hier in de brief staat, al een keertje is voorgekomen toen de nood aan de man was? Is dat al eens gebeurd, en zo ja, hoe vaak?

Minister Yeşilgöz-Zegerius:

Naar mijn weten is dat weleens gebeurd. Het voorbeeld van 18 juni was er een van. Dat is dan met de Kamer gedeeld. Ik heb nu niet paraat of dat de afgelopen jaren vaker is gebeurd en hoe vaak dan. Ik heb wel het idee dat het wat vaker is voorgekomen. Als mevrouw Van Weerdenburg het goed vindt, kan ik daar wel schriftelijk op terugkomen. We moeten even kijken wanneer, maar laat ik zeggen: zo snel mogelijk. Mijn verzoek zou zijn, nog even ongeacht of ik de PVV heb kunnen overtuigen of niet, om hiermee wel de beslissing hierover te nemen, zodat we dit in werking kunnen laten treden. En ik kom zeker nog terug op deze vraag. Maar 18 juni – ik onthoud de datum, want dat is mijn verjaardag – vorig jaar was in ieder geval een voorbeeld waarbij rond de verkiezingen de dreiging zo acuut werd geacht dat het aan de Kamer is meegedeeld. Maar of dat vaker is gebeurd en of het vaker gedeeld is, zal ik nagaan.

De voorzitter:

Mevrouw Van Weerdenburg, nog een laatste vraag.

Mevrouw Van Weerdenburg (PVV):

Omdat deze brief elf, twaalf dagen na die grote ophef over de NCTV gestuurd is, kan ik me niet aan de indruk onttrekken dat we deze brief anders niet hadden gehad. Dat is niet per se een beschuldiging. De Minister zit er ook nog maar net. Maar daarmee wil ik wel gezegd hebben dat we van dit soort praktijken af moeten. De NCTV heeft dat natuurlijk jaren gedaan. Misschien is dit ook al grootschalig toegepast. Ik wacht de brief van de Minister rustig af.

De voorzitter:

En uw vraag, mevrouw Van Weerdenburg?

Mevrouw Van Weerdenburg (PVV):

Daarom denk ik: hier moeten we iets anders op verzinnen.

De voorzitter:

Ik heb niet echt een vraag gehoord, maar de Minister wil toch reageren, merk ik.

Minister Yeşilgöz-Zegerius:

Als dat mag, doe ik dat toch wel graag. Want ik begrijp het. Ik blijf bewust nu nog weg bij mijn antwoorden over de NCTV, omdat ik de zorgen en de vragen begrijp, maar niet altijd de duiding erbij deel. Maar daar komen we ook over te spreken. Dat kan ik zeggen vanuit mij. Het heeft voor mij helemaal niks ermee te maken. En in huis is het ook niet op die manier behandeld, NCTV en dit onderwerp. Ik vind het wel heel belangrijk om heel transparant te zijn over de dilemma's en wat er gebeurt. Het was wel een heel bewuste afweging, in ieder geval vanuit mij, maar ook vanuit de organisatie. We zien dit dilemma. We zien ook de mogelijkheid op een acute dreiging groeien door wat er in Oekraïne gebeurt. Dat is natuurlijk wel echt anders dan in de afgelopen jaren. Dus laten we dan het dilemma delen en samen met de Kamer bekijken of hier nu een oplossing voor te verzinnen is, ja of nee. Mevrouw Van Weerdenburg kan er in ieder geval van uitgaan dat wat mij betreft wij zo met elkaar zullen samenwerken de komende jaren.

Volgens mij heb ik dan alles beantwoord.

De voorzitter:

Dan dank ik de Minister. Gelet op de tijd en het feit dat de leden hebben afgezien van een tweede termijn, rest mij nog even de toezeggingen te formuleren. Luister goed mee of we iets gemist hebben.

Het staat weliswaar ook al een beetje in de brief, maar omdat het toch het hoofdpunt was van het debat, denk ik dat het ook goed is om het volgende hier toch nogmaals als toezegging te markeren.

– De Minister informeert de Kamer waar mogelijk open en indien nodig vertrouwelijk als er sprake is van een uitzonderlijk geval met in achtneming van de afwegingskaders, zoals geschetst in de brief, en doet dat op een navolgbare wijze.

Dat «navolgbare wijze» heb ik maar even als samenvatting van de punten van D66 geformuleerd. «Napluisbaar» was het volgens mij. Ik heb er «navolgbaar» van gemaakt.

– De Minister informeert de Kamer zo spoedig mogelijk per brief over naar aanleiding van hoeveel incidenten er al eerder informatie is gedeeld, vooruitlopend op deze wet.

Minister Yeşilgöz-Zegerius:

Ik ben nu even aan het zoeken hoe we hier verder mee gaan, aangezien ik een dilemma heb gedeeld en heb voorgesteld erover te spreken. Dat hebben we gedaan. Hoe nu verder? Want mijn dilemma staat en mijn oplossingsvoorstel ook.

De voorzitter:

Ik heb toch gelezen, aangezien er geen tweede termijn is en er ook geen moties worden ingediend, dat met deze toezegging de Kamer u het vertrouwen geeft, met alle aandachtspunten die er zijn genoemd. Ik zou me wel kunnen voorstellen dat veel afhangt van de brief en de informatie die komt als u een keer ...

Minister Yeşilgöz-Zegerius:

Misschien kunnen we er nog een toevoeging bij doen. Bij de wetsbehandeling worden ook al die andere toezeggingen betrokken. We kunnen met elkaar een moment afspreken en proberen die wet hier snel te behandelen, en anders met elkaar er weer bij stilstaan, al dan niet vertrouwelijk, om in ieder geval te kunnen terugkijken op de periode. We kunnen dat in ieder geval bijvoorbeeld met een paar maanden doen. Dan kunnen we als de wet nog niet behandeld is, stilstaan bij: wat is er de afgelopen maanden gebeurd en in wat voor situatie zitten we nog?

De voorzitter:

Ik zie de leden instemmend knikken. Volgens mij was het ook al een opmerking van een van de leden in de inbreng: kunnen we dan een datum vaststellen als die wet heel lang duurt? Ik zou willen voorstellen dat wij dit in de pv dan even mee terug nemen voor wat het datumvoorstel betreft en wij dan de Minister laten weten wat wij een termijn vinden waarop dat kan.

Mevrouw Rajkowski. Ik wil, ook gelet op de tijd, op zich niet weer een heel debat gaan openen.

Mevrouw Rajkowski (VVD):

Nee, nee, zeker, heel kort. Ik heb een cybersecuritydebat aangevraagd voor in september met een aantal andere partijen. Ik zou even naar de andere indieners moeten kijken, maar ik zou het prima vinden om die datum op te offeren, want dan zitten al deze mensen toch al bij elkaar. Dat zou nog kunnen.

De voorzitter:

Dank voor deze suggestie. Volgens mij moeten we deze meenemen in de procedurevergadering.

Als laatste nog mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Ja, excuus, voorzitter. Nog even een opmerking, of een disclaimer. Het ging nu even zo van: jullie stemmen allemaal in. Maar ik heb geen vetorecht, anders had ik nu al nee gezegd. Maar we nemen dit allemaal mee in de behandeling van de wet zelf.

De voorzitter:

Ja. Dan dank ik iedereen voor de vergadering en de discipline. Ik dank uiteraard de Minister en de ondersteuning.

Sluiting 17.05 uur.