Is DIGID niet (meer) veilig genoeg ? Zie het overleg van de vaste commissie voor Binnenlandse Zaken welke op 18 januari 2017 isgevoerd met o.a. de heer Plasterk
De vaste commissie voor Binnenlandse Zaken heeft op 18 januari 2017 overleg gevoerd met de heer Plasterk, Minister van Binnenlandse Zaken en Koninkrijksrelaties, over: – de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 7 decembe
Informatie- en communicatietechnologie (ICT) Nr. 443
VERSLAG VAN EEN ALGEMEEN OVERLEG
Vastgesteld 2 februari 2017
De vaste commissie voor Binnenlandse Zaken heeft op 18 januari 2017 overleg gevoerd met de heer Plasterk, Minister van Binnenlandse Zaken en Koninkrijksrelaties, over:
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 7 december 2015 inzake uitgangspunten wetgeving Generieke Digitale Infrastructuur (Kamerstuk 26 643, nr. 373);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 15 december 2015 met de voortgangsrapportage Digitaal 2017 (Kamerstuk 26 643, nr. 381);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 4 april 2016 inzake digiprogramma 2016–2017 (Kamerstuk 26 643, nr. 402);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 19 april 2016 inzake continuering Landelijke Aanpak Adreskwaliteit (LAA) (Kamerstukken 17 050 en 27 859, nr. 527);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 17 mei 2016 inzake bundeling middelen voor digitale overheid (Kamerstuk 26 643, nr. 408);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 23 juni 2016 met de reactie op een openbare consultatie in het kader van de herziening van het Europees Interoperabiliteitskader (Kamerstuk 22 112, nr. 2153);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 8 juli 2016 inzake beleidsprioriteiten die kaderstellend zijn voor het ICT-projectenportfolio (Kamerstuk 26 643, nr. 417);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 13 oktober 2016 met de reactie op de motie van het lid Koşer Kaya over meer inzicht voor burgers in welke persoonsgegevens uit overheidsdatabanken zijn opgevraagd (Kamerstuk 32 802, nr. 34);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 9 november 2016 inzake geactualiseerde businesscase inloggen in het BSN-domein (Kamerstuk 26 643, nr. 425);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 16 november 2016 inzake taakopdracht Studiegroep Informatiesamenleving en Overheid (Kamerstuk 26 643, nr. 427);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 21 december 2016 inzake digiprogramma 2017 (Kamerstuk 26 643, nr. 436);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 21 december 2016 over de voortgang programma eID (Kamerstuk 26 643, nr. 437);
– de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties d.d. 15 december 2016 met de voortgangsrapportage Digitaal 2017 (Kamerstuk 26 643, nr. 431).
Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de commissie,
Pia Dijkstra
De griffier van de commissie,
Van der Leeden
Voorzitter: Van Raak
Griffier: Hendrickx
Aanwezig zijn vier leden der Kamer, te weten: Amhaouch, De Caluwé, Oosenbrug en Van Raak,
en de heer Plasterk, Minister van Binnenlandse Zaken en Koninkrijksrelaties.
Aanvang 13.04 uur.
De voorzitter:
Ik heet de Minister en zijn gevolg van harte welkom. Ik heet ook iedereen in de zaal en iedereen die meekijkt van harte welkom.
Mevrouw Oosenbrug (PvdA):
Voorzitter. In het vorige AO heb ik namens mijn fractie een aantal zorgen geuit en heb ik aangedrongen op een geactualiseerde businesscase. Uit deze businesscase komt een positief beeld naar voren, maar ik heb nog wel een aantal vragen aan de Minister over de financiering, de privacy en het toezicht.
Er blijft onduidelijkheid bestaan over de andere domeinen naast het bsn-domein. Een advies van de onderzoekers van de businesscase is om ook het zorgdomein en het sociale domein te onderzoeken. Kan de Minister hierop reageren? Wanneer komt er duidelijkheid over de pilot in het zorgdomein?
Ik kom op de aanschafkosten voor het publieke identificatiemiddel voor burgers, beroepsoefenaars en zzp'ers. Zij betalen middels leges de eenmalige aanschafkosten voor ieder publiek middel dat zij aanschaffen. Wanneer is er zicht op wat dit gaat kosten? Ik lees bijvoorbeeld in de businesscase dat de kosten per chip mogelijk hoger uitvallen. Ook is er onduidelijkheid over de vraag in hoeverre burgers tussentijds certificaten moeten vernieuwen op hun publieke eID-middel en wat de kosten hiervan zijn. Het klinkt alsof er nog geen zicht is op dergelijke aanvullende kosten en de uiteindelijke kosten voor de burger. De PvdA wil nogmaals benadrukken dat er snel duidelijkheid moet komen over de kosten voor burgers en dat de publieke middelen voor iedereen toegankelijk moeten zijn.
In het vorige AO heb ik ook aandacht gevraagd voor privacy en de ontwikkeling van het eID-stelsel. De Minister heeft aangegeven dat privacy by design een van de centrale principes is bij de ontwikkeling van het stelsel. Wanneer kunnen we de uitslag van het privacy impact assessment verwachten?
Het laatste punt bij dit onderwerp is het toezicht. De Autoriteit Persoonsgegevens heeft de zorg geuit dat er in de ontwikkeling van het eID-stelsel nog onvoldoende aandacht is voor het detecteren en afhandelen van beveiligingsincidenten. Zij heeft geadviseerd om ervoor te zorgen dat er voldoende toezicht op is en dat er voldoende tests worden uitgevoerd. De Minister zegt dat er maatregelen getroffen worden om snel en adequaat te kunnen reageren op het moment dat incidenten zich voordoen of dat misbruik wordt geconstateerd. Kan de Minister deze maatregelen toelichten? Zijn hier al testen mee gedaan?
De Minister stelt dat het toezicht zich niet richt op de burgers die gebruikmaken van de middelen. Kan hij toelichten wat hij hiermee bedoelt en wat de maatregelen precies inhouden voor de aanbieders van bepaalde middelen? Wat zijn de eventuele gevolgen voor de gebruikers van het inlogmiddel indien fraude wordt geconstateerd? De Minister stelt voorts dat indien blijkt dat niet wordt voldaan aan de uniforme set van eisen of aan de gemaakte afspraken, de erkenning van een privaat middel beëindigd kan worden. Betekent dit dat een privaat middel op de markt kan komen indien niet wordt voldaan aan de uniforme set van eisen?
Ik kom op de ontwikkeling van de Generieke Digitale Infrastructuur (GDI), die ervoor moet zorgen dat burgers en bedrijven optimaal digitaal zaken kunnen doen met de overheid en dat deze digitale dienstverlening uniform is ingericht. Daarom heet het ook de Generieke Digitale Infrastructuur. Een belangrijk onderdeel van het succes van de nieuwe Generieke Digitale Infrastructuur is de veiligheid. Onlangs heb ik vragen gesteld over de veiligheid van overheidswebsites die onderdeel zijn van de Generieke Digitale Infrastructuur. In de beantwoording van mijn vragen stelt de Minister dat het kabinet het belang van versleuteling onderschrijft. Het gebruik van beveiligde https-verbindingen is volgens de Minister het streefbeeld, maar het is niet verplicht en elke overheidsorganisatie is uiteindelijk zelf verantwoordelijk voor het beveiligen van de eigen overheidswebsite. Ik vind dat een verwarrende conclusie. In de praktijk blijkt het ook niet te werken, want de beveiliging van overheidswebsites is niet op orde, waardoor gegevens van burgers op straat kunnen komen te liggen. Wil de Minister zijn antwoorden op mijn vragen verder toelichten? Kan hij mij toezeggen dat het gebruik van https-verbindingen verplicht wordt? Op welke wijze gaat hij dit regelen?
Ik wil nog ingaan op de reactie van de Minister op de motie van D66 en mijn vragen over de mogelijkheid om burgers een notificatie te sturen wanneer hun gegevens door de overheid worden geraadpleegd. Het regelen van een melding aan burgers dat gegevens zijn ingezien, vraagt volgens de Minister behoorlijke aanpassingen van de systemen bij verschillende overheidsorganisaties en wordt niet mogelijk. Toch wil ik nogmaals pleiten voor deze mogelijkheid. Organisaties zoals de Belastingdienst zijn uitgegroeid tot enorme informatiefabrieken en gaan steeds verder met het opslaan en gebruiken van persoonsgegevens van burgers. De Correspondent heeft afgelopen week nog een oproep gedaan om massaal een inzageverzoek bij de Belastingdienst te doen. Privacy is belangrijk. Burgers moeten zelf weer de touwtjes in handen krijgen en meer grip krijgen op hun persoonsgegevens. Daarnaast kan het eraan bijdragen dat onjuiste registraties van gegevens van burgers eerder aan het licht komen. Ik hoor graag een reactie van de Minister op de oproep van De Correspondent. Ziet de Minister de voordelen van het sturen van een notificatie aan burgers wanneer hun gegevens zijn geraadpleegd? Is de Minister voornemens om te onderzoeken hoe deze mogelijkheid in de toekomst wel zou kunnen worden ingebouwd? We zijn nu tenslotte toch bezig met een toekomstbestendige Generieke Digitale Infrastructuur.
Mevrouw De Caluwé (VVD):
Voorzitter. De weg naar de opvolger van DigiD kent tot nu toe vele hobbels. Het is begonnen als een ambitieus plan voor het opzetten van een multimiddelenstrategie voor het veilig inloggen bij de overheid, maar het werd al heel snel een set van meerdere, los van elkaar opererende trajecten die op het eind weer met elkaar verknoopt moesten worden. De Kamer heeft veelvuldig en soms radicaal moeten bijsturen, maar het lijkt de goede kant op te gaan.
De VVD had in een eerder stadium bijna de stekker uit het project willen trekken, ware het niet dat we het ons niet kunnen veroorloven om de invoering van dit digitale paspoort verder te vertragen. Vandaar dat we de Minister om een aantal ontbrekende en cruciale documenten hebben gevraagd met een strakke deadline van december vorig jaar. De Minister heeft alle documenten eind december opgeleverd. Daarvoor wil ik de Minister en vooral ook zijn ambtenaren graag dankzeggen, want dat zijn de mensen die heel hard daaraan hebben moeten trekken. Dank u wel voor al het werk en de inspanning. Het is een flinke stap vooruit.
Kunnen we achterover gaan leunen? Nee, dat nog niet. De VVD zou de VVD niet zijn als ze op dit dossier niet nog wat vragen had. Er moet nog veel gebeuren, willen we de deadline halen van oktober van dit jaar. Dat is de deadline waarvan de Minister in zijn brief heeft aangegeven dat hij wil beginnen met de uitrol. Daarbij zijn volgens de VVD drie dingen cruciaal. Allereerst is daar de uniforme set van eisen. Het is goed dat deze er eindelijk is. Nu moeten alle middelen er nog aan getoetst worden om te bepalen of ze kunnen toetreden tot het stelsel. Dan volgt de go/no go door de Kamer, want deze was uitgesteld.
De set van eisen is overkoepelend. Daar moeten de diverse stelsels aan opgehangen worden. Maar hier lijkt op sommige plekken een bottleneck te ontstaan bij een of meer stelsels. De uniforme set van eisen is namelijk deels niet overkoepelend, maar meer overschrijvend omdat die heel minutieus is uitgewerkt. In de herfst hebben we de Minister gevraagd om met de diverse aanbieders van middelen in gesprek te gaan over deze set van eisen. Er zijn bijeenkomsten geweest, maar de eisen zijn daarbij kennelijk niet besproken. Dat heb ik althans gehoord.
Ik wil voorkomen dat een deel van de bouw van de middelen overgedaan moet worden of dat we vertraging oplopen omdat er gesteggel is over de vraag: voldoen ze nou wel of niet aan de uniforme set van eisen en past een bepaalde bouw er dan wel of niet in? Daarom vraag ik of de Minister bereid is om met de deelnemers aan de pilots in gesprek te gaan over het wegnemen van eventuele hobbels, heel praktisch en zonder te tornen aan de zwaarte van de eisen. Ik ben het met de Minister eens dat de eisen vrij zwaar zijn en zwaar moeten blijven. Daar moet je niet aan tornen.
Ik kom bij de businesscase, waarover mevrouw Oosenbrug van de PvdA ook al het een en ander heeft gezegd. De businesscase van het overheidsmiddel bevat nog geen uitgewerkte financiële paragraaf. We hebben geen idee hoeveel aan wie wordt doorbelast en hoe het wordt berekend. De Minister zegt dat hij daar nog iets meer tijd voor nodig heeft. Als we in oktober willen uitrollen, moeten de private aanbieders nu wat meer zekerheid hebben. Zij moeten namelijk weten op welke financiële gegevens zij hun businesscase moeten baseren, of zij kunnen uitrollen per oktober en, zo ja, onder welke voorwaarden. Misschien willen zij zich zelfs terugtrekken, omdat de businesscase niet sluitend te maken is. Wanneer komt dat financiële plaatje voor de deelnemers aan de pilots?
Dan kom ik bij de beveiligingsniveaus. Heeft de Minister al zicht op de wil van diverse aanbieders om een middel op niveau hoog te ontwikkelen? Mij bereiken geluiden dat dit allerminst zeker is, aangezien dit middel extra ontwikkelingsinspanningen en extra kosten met zich meebrengt, terwijl het maar mondjesmaat zal worden gebruikt, door sommige mensen maar twee of drie keer per jaar. We kunnen pilots blijven draaien en uitbouwen, maar er moet heel snel zekerheid komen over de beschikbare middelen per oktober 2017, wil er nog genoeg tijd zijn om alles gereed te hebben. Is de Minister bereid om op heel korte termijn om de tafel te gaan zitten met de huidige deelnemers aan de pilots over de mogelijke bottlenecks in de uniforme set van eisen, het financiële plaatje en het soort middel dat de diverse aanbieders gaan ontwikkelen? Als we daarover duidelijkheid hebben, kan er een go/no go worden gegeven. Dan kan er heel strak worden gepland om de deadline van oktober 2017 te halen, maar het is kort dag.
Mevrouw Oosenbrug (PvdA):
Ik heb een verhelderende vraag. Ik hoor de collega van de VVD zeggen dat sommige aanbieders eigenlijk op een lager beveiligingsniveau willen zitten, omdat sommige mensen maar twee of drie keer per jaar gebruikmaken van het middel. Maar dan maak je er een kwaliteit-kwantiteitverhaal van, terwijl je juist moet kijken waarvoor je dat identiteitsmiddel gebruikt – heb je dan een hoog niveau of een lager niveau nodig? – en niet naar het aantal keren. Is de collega van de VVD het daarmee eens of bekijkt zij liever hoe vaak iemand een middel gebruikt?
Mevrouw De Caluwé (VVD):
Ik ben blij dat mevrouw Oosenbrug die vraag stelt, want nu kan ik het even ophelderen. Natuurlijk moeten we kijken naar wat er nodig is. Voor veel inlogmomenten zul je een middel nodig hebben op niveau substantieel. Voor een aantal zaken – ik denk aan de gezondheidszorg, medische gegevens en dergelijke – zul je een middel nodig hebben op niveau hoog. Je moet niet kijken naar hoe vaak er wordt ingelogd en dan kiezen voor niveau substantieel of lager. Nee, je moet kijken waarvoor wordt ingelogd en daaraan koppel je of je een middel nodig hebt op niveau hoog dan wel niveau substantieel. Ik krijg alleen van diverse aanbieders te horen dat ze in ieder geval een middel op niveau substantieel ontwikkelen. Ze zijn ook wel van plan om dat op niveau hoog te ontwikkelen. Maar als dat slechts in een beperkt aantal gevallen wordt gebruikt, is het voor hen misschien de investering niet waard om ook een middel op niveau hoog te ontwikkelen. Als de private aanbieders dat niet doen, zou je alleen een publiek middel op niveau hoog hebben. Dat lijkt mij niet zo verstandig, omdat je een multimiddelenaanpak wilt. De Minister wil een multimiddelenaanpak hebben, ook op niveau hoog. Ik heb er niet echt inzicht in. Daarom vraag ik aan de Minister of duidelijk is dat ook andere aanbieders een middel op niveau hoog gaan aanbieden.
Mevrouw Oosenbrug (PvdA):
Dat was een heel lang antwoord op een eigenlijk vrij simpele vraag. De vraag is of de VVD dan bereid is om te marchanderen met het beveiligingsniveau zodat er meer aanbieders zullen zijn. Of houdt zij eraan vast dat, op het moment dat je moet inloggen voor heel gevoelige gegevens, het beveiligingsniveau altijd hoog blijft, ook als andere aanbieders zich zullen terugtrekken?
Mevrouw De Caluwé (VVD):
Het korte antwoord is: niet marchanderen. Ik ben dat helemaal eens met mevrouw Oosenbrug.
Ik heb een paar kortere vragen, onder andere over de kosten. Initieel was er 240 miljoen geraamd voor het vervangen van DigiD. Inmiddels hebben we in de businesscase kunnen lezen dat het totaal benodigde budget 658 miljoen euro is. Waarin zit dat verschil tussen de eerste ramingen en de huidige ramingen? Hoe definitief is dat? Kan nog een veelvoud daarvan erbij komen?
Ik heb begrepen dat de gemeenten op dit moment heel goed aansluiten bij de GDI en ook willen aansluiten bij de eID. Dat is logisch, maar ze vragen zich wel af wat de financiële gevolgen daarvan zijn voor de decentrale overheden. Ze geven ook aan dat het in sommige gevallen makkelijker zal zijn om een brief te sturen aan iemand dan dat via de eID of digitaal te doen, omdat de financiële gevolgen voor hen te groot zijn. Ik krijg daarop graag een reactie van de Minister.
Ik heb begrepen dat het publieke middel alleen toegankelijk is via een Android-toestel. Ik heb hier een iPhone. Omdat deze smartphone geen NFC-lezer heeft, zou dat publieke middel alleen maar voor Android-toestellen toegankelijk zijn. Betekent dat ook nog iets voor de financiën? Op welke termijn zal het ook beschikbaar zijn voor iOS-toestellen? Heel veel mensen in Nederland hebben een iOS-toestel. Als je het publieke middel niet kunt gebruiken omdat je geen Android-toestel hebt, wordt het toch wel lastig.
Ik heb nog drie korte vragen. De Minister heeft waarschijnlijk vanmorgen ook De Telegraaf gelezen. Ik heb gezien dat de notarissen ook willen meedoen. Zij doen niet mee aan de pilots. Maar als je in oktober met meerdere partijen wilt uitrollen, wordt NotarisID dan ook daarin meegenomen zonder dat je de snelheid eruit haalt? De VVD wil absoluut dat er in oktober wordt gestart, maar hoe doe je dat dan met NotarisID?
Ik heb nog een vraag over DigiD op niveau substantieel. Zoals dat nu is vormgegeven, is het geen privacy by design. Het voldoet dus niet aan de eIDAS-normen. Volgens de eIDAS-richtlijn moet je ook elders binnen Europa volgens de eIDAS-normen kunnen inloggen. Wat betekent dat voor DigiD op niveau substantieel?
Ik sluit mij aan bij de vragen die mevrouw Oosenbrug heeft gesteld over het opvragen door mensen wie hun gegevens heeft ingezien. De motie die daarover die bij de begrotingsbehandeling is ingediend, is aangenomen. We willen heel graag weten hoe en op welke termijn de Minister antwoord kan geven op de vraag hoe mensen inzage kunnen krijgen in wie er hun gegevens heeft bekeken.
De heer Amhaouch (CDA):
Voorzitter. Ik dank de Minister en complimenteer hem en zijn ambtenaren voor het uitvoerig beantwoorden van de vragen. We hebben in september een behoorlijk kritisch AO gehad. Er was toen veel commentaar. Los van de manier van beantwoorden is alles in elk geval geadresseerd. Daarom hebben we nog een aantal toegevoegde vragen.
In de brief staat dat er tegelijkertijd wordt gewerkt aan eID basis – dat hebben we vandaag de dag – aan eID substantieel en aan eID hoog. Hoe zal het roll-outplan eruitzien? Er wordt gesproken over fase 1, wat dat ook moge zijn. Ik vind het een beetje onduidelijk. In de brief staat dat we alles stap voor stap, sector voor sector gaan doen. We gaan halverwege dit jaar starten met fase 1 van de uitrol. Kan de Minister aangeven wat dat is? Hoe ziet zo'n roll-outplan eruit en hoe kunnen mensen daar daadwerkelijk gebruik van maken? Bij de eID zijn we afhankelijk van het rijbewijs met de juiste gegevens erop en ook van de ID-kaart. Hoe ziet dat er in de tijd uit? Of worden wij door de tijd ingehaald? We hebben wel een uitrol halverwege dit jaar, maar misschien kunnen de meeste mensen pas eind volgend jaar of het jaar daarop er echt gebruik van maken.
Ook het CDA heeft in het vorige AO de pilot zorg genoemd. Er was een evaluatie, maar daar zat de zorgsector niet in. Dat wordt nu geadresseerd in de brief. De evaluatie zou begin dit jaar beschikbaar komen. Wanneer mogen wij die verwachten? Wij maken ons zorgen over de zorgsector, want volgens onze gesprekken en informatie zit daar de meeste complexiteit in.
Als ik het stuk positief bekijk, dan komt alles goed dit jaar. We hebben halverwege dit jaar fase 1 van de uitrol. Aan het eind van het jaar komt er nog een uitrol. Ik zou ook graag een toekomstige brief of een update aan deze commissie zien. Kunnen wij inzicht krijgen in de risico's? Natuurlijk gaat er heel veel goed – dat geloof ik ook – maar wil de Minister ook de risico's met ons delen? Dan kunnen wij gezamenlijk optrekken: welke risico's zijn er bij zo'n uitrol en wat doen we daaraan? Lees ik het goed dat alles goed komt eind dit jaar met de uitrol van de eID, zowel financieel als technisch? Ik vind dat de financieringsafspraken vrij laat in het traject komen, zoals mijn collega ook heeft gezegd. Loopt het goed? Zo niet, dan wil ik graag weten of de Minister bereid is om aan te geven welke twee, drie grote risico's hij nog voor ogen heeft en hoe hij die denkt op te lossen.
In de brief wordt ook uitvoerig gereflecteerd op de verantwoordelijkheden van de Minister en op de governancestructuur van het Ministerie van Binnenlandse Zaken. Er wordt gesproken over een hoge ambtelijke stuurgroep die ingesteld is vanuit meerdere departementen, en over vooroverleg op ambtelijk niveau. Ook staat in de brief dat klip-en-klaar duidelijk is dat de verantwoordelijkheid en de regie liggen bij de Minister van BZK. Heeft de Minister ook voldoende mandaat om die verantwoordelijkheden en die regie in te vullen? Of heeft hij daarvoor ook de Wet GDI of andere zaken nodig? Ik krijg daarop graag een reflectie van de Minister.
Daarmee maak ik een sprongetje naar de Wet GDI, die, als ik het goed begrepen heb, tot en met maart ter consultatie voorligt. Waar zit de bottleneck zolang we deze wet niet hebben? Wat kunnen we dan niet?
Het volgende blok gaat over de Voortgangsrapportage Digitaal 2017. De Minister benoemt daarin natuurlijk dat wij stappen willen zetten en voortgang willen boeken met de digitale overheid, maar stap één moet altijd zijn dat we aandacht blijven houden voor de mensen die niet digivaardig zijn. Ik denk dat dat heel belangrijk is. Dat lees ik ook terug in de rapportage en daarvoor heb ik waardering. Dit moet altijd bovenaan blijven staan: wij gaan automatiseren en digitaliseren, maar er moet een vangnet zijn voor mensen die niet meekunnen, ook al is het een klein percentage. We gebruiken vaak het voorbeeld van de blauwe envelop van de Belastingdienst.
Er wordt gesproken over steeds intensievere samenwerking, zowel binnen de eigen overheid als interbestuurlijk. Hoe is die geborgd? Is dat iets van de laatste tijd? Is dat een ervaring die we als overheid gezamenlijk doormaken?
De monitor die voorligt, is, als ik mij niet vergis, de GDI-monitor over 2015. We hebben de laatste monitor, over 2016, nog niet gehad. De getallen van 2015 zijn vrij verouderd. Ik pik er eentje uit. De overheid heeft eind vorig jaar het WOZ-waardeloket gelanceerd. Bij die lancering waren er veel klachten – dat was misschien wel logisch – omdat maar een kwart van de gemeentes erop aangesloten was. Hoeveel is dat vandaag de dag? Mijn eigen gemeente, Peel en Maas, maakte deze week bekend dat zij aangesloten is. Ik ging dat vandaag even checken op de site. Ik kon mijn WOZ-waarde nog niet zien, maar die van mijn persoonlijk assistent wel. We investeren veel geld in applicaties; hoe zorgen we voor een goede roll-out? Hoe kunnen we die applicaties goed wegzetten bij de decentrale overheden? Hebben we daarvoor een mandaat? Want ook zij zijn zeer creatief in het maken van eigen platforms. Het zou zonde zijn als we gemeenschapsgeld zouden verspillen, of dat nou decentraal gebeurt of op rijksniveau. Ik vraag de Minister ook of we in de toekomst de informatie van de GDI-monitor ook halverwege het jaar kunnen krijgen. Ik neem aan dat die informatie opgebouwd wordt. Voor dit AO kregen we de informatie van 2015 en daar kan ik eerlijk gezegd niet veel mee.
Ik kom op de waardering van de digitale dienstverlening. In dezelfde brief lezen we dat de waardering in 2010, dus vijf jaar geleden, een 6,7 was. In 2015 was die waardering met 0,3% gestegen; een stijging in vijf jaar met 0,3% dus. Waar legt de Minister het ambitieniveau en hoe wil hij dat de komende tijd bereiken?
De Digicommissaris heeft voorstellen gedaan voor een duurzame financiering, om inzicht en voorspelbaarheid te versterken. Daar zijn we het absoluut mee eens. Deze voorstellen zijn volgens mij ook al door het kabinet besproken. Wanneer kunnen we die terugzien? Wat is er concreet uit gekomen? Gaan we ook concreet terugzien in de begroting dat dit puntje opgelost is?
De Studiegroep Informatiesamenleving en Overheid werkt aan aanbevelingen voor governance, normstelling, infrastructuur, financiering en dienstverlening, om dit onderwerp bij de komende kabinetsformatie structureel te regelen. Ik denk dat dat heel belangrijk is. Hoe gaan we de digitale infrastructuur met al zijn aspecten goed regelen in een volgend kabinet, zodat er een duidelijk mandaat is voor de bewindspersoon die moet regisseren en die de verantwoordelijkheid heeft om dit goed te organiseren?
De voorzitter:
Namens de SP heb ik ook nog een enkele vraag, en wel over de digitale identificatie, de opvolger van DigiD. De Minister stelt in de stukken: dat komt goed. Maar dat is natuurlijk niet zo, want ICT-projecten bij de overheid komen nooit goed. Die gaan altijd mis en daar zijn altijd drie overkoepelende redenen voor.
De eerste reden is de eenduidigheid: helderheid over wat we precies willen en hoe. De tweede reden is de verantwoordelijkheid: wie is eigenlijk verantwoordelijk, wie kunnen we aanspreken en hoe kan iemand die verantwoordelijkheid dragen? De derde reden is altijd de snelheid. Daarmee bedoel ik niet dat dingen heel snel gebeuren, want dat is meestal niet zo. Dingen lopen altijd uit, het duurt altijd jaren en het gaat altijd over zijn tijd heen. Ik bedoel daarmee dat de tijd een belangrijke rol speelt in het ontwikkelen. Er wordt nu ook gezegd dat het absoluut in oktober van dit jaar moet gebeuren. Mevrouw De Caluwé zei dat met zoveel woorden: de VVD heeft heel veel kritiek, maar we zijn nu al zo ver en er is al zo veel geïnvesteerd dat het nu wel moet gebeuren. Ik ben altijd heel ver met mevrouw De Caluwé meegegaan in haar kritiek, maar hier heb ik wel een vraag bij. Gaan we in de ontwikkeling niet naar een datum toe redeneren? Er zijn nu pilots geweest, bij de Belastingdienst, in de zorg, in het onderwijs en bij DUO. Daaraan voorafgaand was er fundamentele kritiek van de Algemene Rekenkamer, ook specifiek gericht op ons. De Algemene Rekenkamer zegt: om de Tweede Kamer in staat te stellen gefundeerde keuzes te maken ... Mevrouw De Caluwé wil mij interrumperen.
Mevrouw De Caluwé (VVD):
Ja, het is een beetje lastig, voorzitter, als de voorzitter ook het woord voert. Dan weet ik niet aan welke voorzitter ik het moet vragen.
De heer Van Raak zei dat ik heb gezegd: we zijn nu al zo ver gekomen en hebben al zo veel geïnvesteerd dat we door moeten. Nee, de reden waarom we door moeten gaan, is dat er echt een systeem moet komen. Je kunt nu wel zeggen «we trekken de stekker eruit; ga nog maar eens terug naar de tekentafel», maar dan zijn we weer een paar jaar verder en dan missen we de boot. We kunnen ook zeggen: we gaan heel strak bijsturen. Die keuze hebben wij gemaakt. Ik wil dus wel dat de heer Van Raak mij goed citeert. Het is niet: we hebben al zo veel geïnvesteerd dus we gaan nu maar door. Dat mag nooit een reden zijn.
De voorzitter:
Dank voor de aanvulling.
Mevrouw De Caluwé (VVD):
Gaat u verder.
De voorzitter:
De Algemene Rekenkamer gaf destijds dus aan dat het, om de Tweede Kamer in staat te stellen om gefundeerde keuzes te maken over de definitieve inrichting van dit eID-stelsel, van belang is om een aantal randvoorwaarden op orde te hebben. Het lijkt mij sterk dat die op orde zijn. De pilots zijn geweest. Na die pilots kregen we ook een interessante en indringende brief van de Autoriteit Persoonsgegevens, die stelt dat de zaken op een groot aantal punten gewoon niet op orde zijn. Er is onvoldoende aandacht besteed aan de technische privacyaspecten. Ook is er onvoldoende aandacht voor het detecteren en afhandelen van beveiligingsincidenten. Het huidige lage beveiligingsniveau van DigiD is onvoldoende, gelet op de stand van de techniek en de gevoeligheid van persoonsgegevens. De Autoriteit Persoonsgegevens geeft dus een aantal onvoldoendes, en doet dat niet vóór de pilots maar na de pilots. Wat is daarmee gebeurd?
Was de Minister overvallen door het initiatief van de banken, die zelf bezig zijn met identificatiemiddelen? Is dit initiatief genomen in goed overleg met het ministerie of heeft de Minister dat ook maar uit de krant of uit de tweede hand vernomen? En hoe zit het met de veiligheidsniveaus als de banken dit gaan aanbieden? Kan dan ook bij andere vormen van identificatie een ander veiligheidsniveau worden gebruikt? Mevrouw De Caluwé wees daar terecht op. Bij de banken speelt ook het vertrouwen. Bij commerciële banken is het volgens mij niet de vraag óf, maar hóé zij misbruik gaan maken van deze situatie. Dat we vertrouwen op banken om zo'n belangrijke, privacygevoelige en veiligheidsgevoelige publieke taak uit te voeren snap ik, echt waar, niet. Leren we dan helemaal niks? Daarom vraag ik de Minister waarom identificeren, of dat nu met je paspoort is of op een andere manier – dat laten we toch ook niet door de banken doen? – niet een publieke taak is, met publieke middelen en publiek toezicht door een publieke organisatie. Waarom moet dat commercieel? De Minister moet regie voeren; de heer Amhaouch wees daar terecht op. Hoe gaat dat dan? Op papier zal het wel goed geregeld zijn, maar hoe gaat de Minister straks regelen met bijvoorbeeld de banken dat het veiligheidsniveau hoog genoeg is en daar niet mee gerommeld en gesjoemeld wordt? Hoe kan de Minister bereiken dat fraude wordt opgespoord en bestreden?
Minister Plasterk:
Voorzitter. Ik realiseer mij dat er wellicht mensen zijn die thuis meekijken. We hebben te maken met een onderwerp dat op het eerste gezicht misschien wat technisch lijkt. Er vallen Engelse termen en veel afkortingen. Het is echter heel goed dat we hier in deze setting zitten. We zijn bijna aan het eind van de zittingsperiode van de Kamer, dus de kijkers merken ook dat de Kamerleden allemaal experts zijn op dit terrein. Ik zal dus, wat ik meestal liever niet doe bij mijn beantwoording, hier en daar moeten terugvallen op de precieze teksten op papier, want soms wordt het technisch.
Laat ik, voordat we daaraan toekomen, eerst het algemeen belang nog eens benadrukken. We zijn van een samenleving waarin we zaken op een andere manier deden, overgegaan naar een samenleving waarin het grootste deel digitaal kan. Je kunt 24/7 vanachter je bureau een boek bestellen of je bankzaken regelen. Het is de bedoeling dat dat ook kan bij de interactie met de overheid of met organisaties die aan de overheid gerelateerd zijn. Het gaat dus over het hele publieke domein. Dat bepaalt ons leven en we moeten dat op een goede manier doen. Heel veel aspecten spelen hierbij een rol. Ik kom op de afzonderlijke aspecten terug. Het moet gebruikersvriendelijk zijn en het moet ook toegankelijk zijn voor mensen met enigerlei vorm van beperking, bijvoorbeeld slechtzienden of slechthorenden of mensen die niet goed kunnen lezen. We hebben daar bij andere gelegenheden uitgebreid over gesproken. Op dat gebied moet er dus van alles gebeuren. Ook moet de privacy beschermd zijn en moet de informatie die wordt aangeboden, volledig en correct zijn. De informatie moet niet gehackt kunnen worden, dus de integriteit van de informatie moet zijn gegarandeerd. Er worden dus veel eisen aan gesteld, waaraan voldaan moet worden. En dan gebeurt het ook nog in een zich snel ontwikkelende wereld, waarin de feiten soms sneller zijn dan de plannen die ergens worden gemaakt. Dat is de context waarin we het doen.
We hebben ons vierenhalf jaar geleden in het regeerakkoord voorgenomen om in het jaar 2017 te bereiken dat alle interacties met de overheid digitaal kunnen. Ik heb de Kamer ook schriftelijk gerapporteerd dat dit nu – het jaar 2017 is nog maar net begonnen – voor 88% van de interacties het geval is. We maken dus forse vorderingen. Voor de grote leveranciers van interacties met de overheid, zoals DUO voor de studiefinanciering, de Belastingdienst en de uitkeringsverschaffers, is die score vaak zo goed als 100%. Er gebeurt op dat front dus heel veel, maar ik ben het eens met wat er zojuist is gezegd: we moeten niet achteroverleunen en de rest op zijn beloop laten. De wereld waarin wij leven is immers voor een groot deel een digitale wereld geworden. We zitten hier om ervoor te zorgen dat het voor burgers een kwalitatief goede, toegankelijke en veilige wereld is.
Ik wil mijn beantwoording als volgt opbouwen. Ik begin met een onderwerp uit de actualiteit van vorige week, namelijk de beveiliging van websites. Dat onderwerp haal ik even apart naar voren, ook naar aanleiding van vragen die mevrouw Oosenbrug al eerder schriftelijk stelde. Dan ga ik in op de Wet Generieke Digitale Infrastructuur. Een aantal leden heeft daar vragen over gesteld. Daarna zeg ik iets over identificeren, dus bewijzen wie je bent, met DigiD en in de toekomst eID, en de lopende pilots daarvoor. En dan lijkt het me toch het beste om maar meteen in de volgorde waarin de vragen zijn gesteld wat dieper de techniek in te gaan.
Allereerst kom ik te spreken over de beveiliging van websites. Daarvoor is al in een eerder debat aandacht gevraagd door mevrouw Oosenbrug. Kunnen die sites niet gehackt worden? Hoe zit dat nou? Zijn ze veilig genoeg? Wie nog niet doorhad dat het een onderwerp was, heeft de actualiteit in de Verenigde Staten kunnen zien, met de zorg over het hacken van overheidswebsites. Dat heeft de voorpagina's gehaald. Hoe staat het met de beveiliging van overheidswebsites? Dat gebeurt via de zogenaamde https-standaard in het kader van de TLS (Transport Layer Security). Dat is de wenselijke norm op dit moment. Ik heb in de schriftelijke beantwoording al bevestigd dit de norm is, maar dat riep kennelijk wat verwarring op dus ik zal proberen om dat op te helderen. Wat er in die schriftelijke beantwoording stond, is allemaal feitelijk correct. Ik ben daar met mijn medewerkers nog eens doorheen gegaan. Dat beschrijft de huidige stand van zaken. Vooropgesteld: overheden zijn allemaal zelf verantwoordelijk voor de websites die zij aanbieden. Wij zijn dus in dit gebouw in Den Haag niet eindverantwoordelijk voor de site van de gemeente Goes. Daar moet de gemeente Goes in principe zelf voor zorgen. Dat wil echter niet zeggen dat we achterover gaan zitten en ons er niet meer mee bemoeien; wij kunnen immers de norm stellen. Door het Forum Standaardisatie wordt onderzocht of binnen de huidige https-norm de contacten met onze websites echt worden versleuteld, zodat ze niet zomaar gehackt kunnen worden, en of dit ook bindend zou moeten worden opgelegd. Zoals bekend hebben de VNG en het KING (Kwaliteits Instituut Nederlandse Gemeenten), dat voor de gemeenten werkt, gezegd dat dit voor alle gemeentelijke websites de norm is. Ik heb hen geciteerd. Ook hebben zij gezegd dat de websites die persoonsgevoelige informatie verwerken, ten minste volgens die norm moeten worden beschermd en hebben zij, aanvullend daarop, aangeraden om alle sites volgens die norm te beschermen. Misschien is daardoor die verwarring ontstaan. Men zou daarin immers kunnen lezen dat dit voor die andere sites minder belangrijk zou zijn. Ik heb gezien dat dit vervolgens werd uitvergroot tot de bewering dat dit voor de niet-persoonsgevoelige websites niet belangrijk was – tja, zo gaat dat in de sociale media – en dat dat weer tot de kop leidde dat deze Minister de beveiliging van websites niet belangrijk vond. Maar zo zijn we helemaal van het pad af. Dat was dus niet de strekking van het antwoord. Mijn leermoment hierbij is geweest dat ik dus moet oppassen met aanvullende argumentatie, omdat die soms de hoofdargumentatie weet te overschaduwen. Ik dank de Kamer voor deze gelegenheid om weer eens heel helder te kunnen zijn over de norm, namelijk dat álle overheidswebsites aan die norm moeten voldoen, ook websites die geen persoonsgevoelige of beveiligde informatie bevatten maar puur inlichtingen verschaffen. Daarbij kan het bijvoorbeeld gaan om inlichtingen van de politie, waarmee na een hack mensen op het verkeerde been zouden kunnen worden gezet. Wat op zo'n site staat, zou dan immers niet waar kunnen zijn. Het is echt voor alle websites van belang dat die norm wordt toegepast. In de Wet GDI, die zoals aan de Kamer gemeld, nu ter consultatie is gegeven, zit een anker dat het mogelijk maakt om een AMvB te slaan waarin dit wordt opgelegd. Ik zeg de Kamer toe dat ik dat anker zal gebruiken om ervoor te zorgen dat die norm via een AMvB zal worden gesteld, zodat daar geen misverstanden over kunnen bestaan. Ik zal nog met de gemeenten in gesprek gaan over de precieze modaliteiten. Nogmaals dank voor de gelegenheid om dit toe te lichten.
Ik kom nu te spreken op de Wet Generieke Digitale Infrastructuur; de insiders hebben het daarbij over de «Wet GDI». Dat is een belangrijke wet. De heer Amhaouch vroeg naar de instrumenten en het mandaat. Vooruitlopend op mijn antwoord wil ik meer specifiek het volgende zeggen. Inderdaad is er de stuurgroep van dg's, voorgezeten door de verantwoordelijke dg van BZK. Wij voelen ons voldoende gesteund door de collega's om hierin een eendrachtig beleid te kunnen voeren, maar naar de letter kunnen wij hierbij natuurlijk niet beschikken over doorzettingsmacht. Het is daarom ook voor de toekomst van belang dat deze Wet GDI een aantal zaken wettelijk vastlegt en daarbij het een en ander op een rijtje zet. Van een aantal zaken zou men kunnen zeggen dat ze vanzelf spreken, maar het is goed dat ook die in de wet staan, zodat mensen zich er bij conflicten op kunnen beroepen en er besluiten op kunnen worden gebaseerd.
In die wet staat allereerst dat alle voor burgers en ondernemers relevante algemene overheidsinformatie en persoonsgebonden overheidsinformatie gemakkelijk digitaal beschikbaar moet zijn. De versterking van de informatiepositie van de burger wordt er ook in vastgelegd, evenals een betere beveiliging van het elektronische contact met de overheid, en het door het gebruik van open standaarden en gemeenschappelijke voorzieningen voorkomen van tijdverlies en ergernis. Verder worden de ICT-voorzieningen gebruiksvriendelijker, ook voor de minder digivaardigen. Dat onderwerp is hier uitgebreid besproken. Zonet werd het voorbeeld van de Belastingdienst genoemd, maar dit geldt ook voor andere diensten. De verantwoordelijkheden voor veiligheid, zorg en beheer worden in de wet goed geregeld, evenals het toezicht en de handhaving. Deze wet is net in consultatie gegeven, tot 1 april 2017. Ik verwacht dat het wetsvoorstel in de tweede helft van 2017 bij de Tweede Kamer kan worden ingediend.
Nog iets in algemene zin over elektronische identificatie. Zoals bekend hebben we nu DigiD. De heer Van Raak vroeg of het klopt dat die niet veilig genoeg is. Die conclusie klopt: DigiD is niet meer veilig genoeg voor alle toepassingen. Vandaar dat DigiD op een aantal punten zal worden versterkt en we zullen komen met nieuwe vormen van elektronische identificatie. Omdat deze twee zaken parallel lopen, heb ik alles in een schemaatje op een rijtje gezet. Tot en met het einde van 2017 gaan we door met de huidige pilots op het gebied van eID. In het tweede kwartaal van dit jaar is er de voorgenomen start van de uitrol van DigiD substantieel. Voor de huidige DigiD moet men een naam en password weten, maar voor DigiD substantieel moet men er ook iets fysieks bij hebben. Het kan dan inderdaad zijn dat men zijn Android-telefoon bij een kaart zal moeten houden. Ik kom zo nog te spreken over de vraag waarom iPhone-gebruikers die nog niet zullen kunnen gebruiken. Daarna, in het eerste kwartaal van 2018, komt de uitrol van DigiD hoog op het rijbewijs en later dat jaar komt deze op de identiteitskaart. Ik verwacht dat de Wet GDI in het eerste kwartaal van 2019 van kracht wordt. Een onderdeel daarvan is de brede uitrol van eID. Het eID-stelsel is niet één middel, maar een pakket van verschillende middelen voor identificatie.
Ik zal zo in de beantwoording van de overige specifieke vragen duiken, in de volgorde van de vraagstelling, maar in dit algemene blokje zeg ik eerst nog even iets over de financiering van eID. De financiering is voor dit jaar geregeld. Voor 2018 moet er nog het een en ander worden geregeld. De uitgangspunten zijn de afgelopen zomer in de ministerraad vastgesteld. Aan de hand van de uitgangspunten wordt nu ambtelijk een sluitend structureel financieringsvoorstel uitgewerkt, en wel tijdig, vóór de begroting van 2018. De politieke werkelijkheid zal wellicht anders zijn. Medio maart zijn er immers verkiezingen. Mag ik deze gelegenheid aangrijpen, voorzitter, om te melden dat deze Tweede Kamer daarna wordt ontbonden? Wist u dat?
De voorzitter:
Nu mogen wij nog wel even blijven, Minister.
Minister Plasterk:
Ik vind het in ieder geval wel mooi geweest. Ik sla nu even een zijpad in, maar dat kan vast wel. Bij de installatie van een nieuw gekozen Tweede Kamer wordt normaal gesproken de oude van rechtswege ontbonden. Echter, als er een Grondwetswijziging voorligt, stelt de Grondwet dat de Minister van BZK een KB slaat, dat door de Koning wordt getekend. Ik heb zelf gisteren het contraseign gezet. De Koning ontbindt de Kamer dan actief, opdat de Grondwetswijziging in tweede lezing kan plaatsvinden. Ik heb de datum maar hetzelfde gehouden als die van de installatie van de nieuwe Kamer. Materieel maakt het allemaal dus niet uit, en iedereen blijft natuurlijk zijn vergoedingen et cetera krijgen. Maar goed, het valt te voorzien dat een nieuwe coalitie de begroting voor 2018 zal willen maken. Die zal dan de context bieden waarin deze plannen finaal zullen moeten worden. Wij doen nu al het voorwerk, opdat dit bij het maken van die begroting voor 2018 als structurele financiering kan worden opgenomen, langs de lijnen die wij eerder hebben besproken en die wij overigens voortdurend afstemmen in goede samenspraak met de Digicommissaris. Daar zit de doorbelasting van de kosten in. Voor zover dat kan, zit er ook de verdeling van de verschillende kosten naar hun aard over de verschillende partijen in. De algemene uitgangspunten hiervan heb ik al uiteengezet. Er zal dus het element in zitten dat de gebruiker betaalt voor het gebruik hiervan. Dat is namelijk de enige manier om een realistische dekking te maken bij een nog onbekend gebruiksvolume. Een afnemer, de Belastingdienst of een andere partij, kan hier dan navenant gebruik van maken, binnen de gestelde eisen. Maar er zit ook een publiek deel in, met een versleuteling van de kosten over de verschillende overheden voor het systeem als zodanig. Maar dit plaatje is dus nog niet compleet. Dat moet dit voorjaar komen, ook ten behoeve van de begroting voor volgend jaar.
De voorzitter:
De Minister kan ons dan wel hebben ontbonden, maar hij moet zich toch nog even aan onze orde houden. Had mevrouw De Caluwé een vraag?
Mevrouw De Caluwé (VVD):
Ik had al eerder een vraag, maar daar is nu weer een vraag over de financiering bij gekomen. De Minister zei dat DigiD substantieel in het tweede kwartaal zal worden uitgerold. Ik heb begrepen dat die uitrol gezamenlijk plaatsvindt, vanwege de multimiddelenstrategie. Dat zou betekenen dat andere middelen op niveau substantieel tegelijkertijd zouden moeten worden uitgerold, maar daarmee beginnen we pas in oktober. Kan ik ervan uitgaan dat er één datum komt voor dé uitrol van de middelen op niveau substantieel, of gaat dit in twee snelheden en, zo ja, hoe zit het dan met het level playing field?
Over de financiering nog het volgende. De Minister ging namelijk nog even door: hij had het over de begroting van 2018. Als we in oktober willen starten met de uitrol, betekent dit dat ook de andere partijen duidelijkheid over de financiering moeten hebben, inclusief over de financiering van de uitrol. De Minister had het in zijn brief hierover. Wordt er bijvoorbeeld overheidsfinanciering gesteld tegenover het privaat gefinancierde deel? Als men naar oktober toe wil plannen, dan zou men uiterlijk in maart moeten weten hoe het financieel allemaal in zijn werk gaat, omdat men anders zijn businesscase voor de eigen middelen niet kan rondmaken. Het is leuk dat die businesscase voor de publieke middelen er is, maar voor de andere middelen moet die ook gemaakt kunnen worden voordat de uitrol begint, en niet pas in september, wanneer de begroting beschikbaar is.
Minister Plasterk:
Met de uitrol die ik noemde, doelde ik op het moment vanaf welk de diverse middelen kunnen worden uitgerold. Dit is niet gepland als één grote kladderadatsch. Tot zover het eerste deel. Voor het tweede deel moeten we dit stap voor stap plannen. Ik realiseer me dat er een grote druk staat op de private partijen. Er staat natuurlijk ook een grote druk op de publieke partijen, zoals op mijn collega's Edith Schippers en die van de Belastingdienst, die deze middelen natuurlijk zo snel mogelijk op het juiste beveiligingsniveau wensen. En inderdaad staat er ook druk op het budget. Volgens mij lukt het elke keer weer om alles net op tijd in te passen. Ik zal de Kamer volledig van de stand van zaken op de hoogte houden, maar ik ben het met iedereen eens die zegt dat dit echt een hele onderneming is. Het is zeker niet gemakkelijk om elke keer zodra dat kan hierover helderheid te verschaffen, maar het kan ook niet eerder dan dat. Tot zover de planning zoals ze er nu voorstaat.
Mevrouw De Caluwé (VVD):
Ik heb een korte vervolgvraag. Wat voor consequenties ziet de Minister van een geleidelijke invulling van de financiering en de budgetten voor de uitrol? Ik kan me namelijk voorstellen dat de private partijen binnen die publiek-private samenwerkingsconstructie (pps-constructie) dan gaan zeggen dat zij helemaal geen besluiten kunnen nemen over de verdere vormgeving van het middel, over hoe ze dat middel in de markt gaan zetten of over wat dan ook. Wat voor consequenties heeft dit mogelijkerwijs voor de uitrol vanaf oktober dit jaar?
Minister Plasterk:
Natuurlijk overleggen wij voortdurend met de private partijen. Strikt genomen is dit geen product van publiek-private samenwerking meer. We hebben op basis van de uniforme set eisen gewoon criteria gemaakt waaraan private en publieke middelen in gelijke mate moeten voldoen. Wij zijn daar eigenlijk voortdurend over in gesprek.
Mevrouw De Caluwé (VVD):
Minister, ze bellen!
Minister Plasterk:
O, excuus. Ik krijgen nu een telefoontje van de voorzitter van de Eerste Kamer, een heel hoog orgaan. Mag ik haar laten weten dat ik nu even in gesprek ben? U kunt zich voorstellen dat ik nu even van slag ben.
Mevrouw De Caluwé (VVD):
Ik had het over de mogelijke consequenties voor de uitrol van de wat late duidelijkheid over de financiering.
Minister Plasterk:
Dat was het tweede deel van het antwoord dat ik zojuist gaf. U vroeg of ik wilde toezeggen dat ik in overleg zal gaan met de private partijen. Eigenlijk zijn wij dat dus voortdurend. Omdat u me daarop heeft geattendeerd, zal ik meegeven dat wij dit aspect, namelijk op welk moment zij welke informatie nodig hebben om hun eigen plannen te kunnen maken, voorop zullen stellen. Ik realiseer me dit namelijk heel goed. Maar nogmaals, ik ben ook gebonden aan de begroting voor volgend jaar, en dus ook aan de collega's in het kabinet.
Zo gaan we nu toch langzaamaan de techniek in. Mag ik mij nu even herpakken en de specifieke vragen gaan beantwoorden? Sommige daarvan zijn best technisch, dus ik pak er even mijn papieren bij. Allereerst de vraag over de domeinen na het bsn-domein. Dit gaat over het burgerservicenummer. Voor de mensen thuis: het bsn-domein gaat over dingen in de sfeer van de overheid of de publieke zaak, dus over zaken als een uitkering of studiefinanciering aanvragen, een afspraak met de gemeente maken, een vergunning aanvragen of bezwaar maken tegen een door iemand anders aangevraagde vergunning. De businesscase heeft inderdaad betrekking op het bsn-domein. Dit wordt ruim opgevat, dus de hele overheid en semioverheid, de bestuursorganen en de bsn-gerechtigde organisaties. Het heeft geen betrekking op het inloggen bij private dienstenaanbieders, zoals die van webmiddelen. Dit is meteen mijn antwoord op de vraag van de heer Van Raak over wat banken aanbieden. Wij leven in een vrij land, dus banken mogen op dat punt aanbieden wat zij willen, zolang zij dat maar voor private interacties gebruiken. Daar is wel toezicht op, maar dat zit meer bij Financiën, dus het valt hierbuiten. Als de banken daarmee echter toegang willen verschaffen tot het bsn-domein, dus het bijvoorbeeld mogelijk willen maken om met een bankpas in te loggen om een afspraak met de gemeente te maken, dan moeten zij voldoen aan de eisen die door de overheid daaraan worden gesteld, en binnenkort dus via de Wet GDI. Dat is de verdeling die geldt.
Mevrouw Oosenbrug vroeg naar het zorgdomein. Ook de heer Amhaouch vroeg hiernaar. In een eerdere businesscase is ervan uitgegaan dat het aantal authenticaties in dat domein kan doorgroeien tot wel 500 miljoen per jaar. De onderzoekers geven aan dat de schatting van het aantal op niveau hoog met grote onzekerheden is omgeven; het kunnen er minder maar ook meer zijn. Zij willen dus nader onderzoek in de sector. Op korte termijn vind ik het belangrijk om de voorlopers in de zorg bij het programma te blijven betrekken, zodat de zorg daadwerkelijk van de inlogmiddelen gebruik gaat maken. Ook mijn collega van VWS hecht daar zeer aan, dus we doen het goed samen.
Volgens de onderzoekers is er sprake van een positieve businesscase bij een aantal van 30 miljoen transacties met inlogmiddel hoog. Op het eerste gezicht, zo zeggen de onderzoekers, lijkt het niet onrealistisch om te denken dat dat gehaald gaat worden. De duidelijkheid over de evaluaties komt nog deze maand van mijn college van VWS. We kijken uit naar de verdere uitrol van de eerste fase later dit jaar, waarbij we grootschaliger gaan werken. Ik zal de Kamer samen met de collega ook informeren over de stand van zaken daar.
Mevrouw Oosenbrug vroeg naar de privacy en het toezicht. Overigens, voor de kijkers thuis, zij was zo vriendelijk om kort voor dit overleg alvast een aantal vragen met mij te delen, opdat ik ze nog beter in kaart zou kunnen brengen. Hetzelfde geldt voor mevrouw De Caluwé. Ik zeg dit, anders denkt u misschien: hoe weet hij dat opeens? Ik heb het dus vanochtend nog met mijn medewerkers nageslagen, zodat we de data goed hebben. De resultaten van het privacy impact assessment (PIA) zijn naar verwachting in mei 2017 gereed. Ik zal de Kamer daarover in de volgende voortgangsbrief informeren, evenals over eventuele vervolgacties naar aanleiding van dat PIA, dus het in kaart brengen van de inbreuk op je privacy.
Ik kom op de aanpak van incidenten. In het ontwerp van het stelsel is rekening gehouden met beperking van de impact van beveiligingsincidenten door ervoor te zorgen dat die incidenten niet het stelsel als geheel kunnen treffen. Er is gekozen voor de klassieke oplossing: compartimenteren, wat met een Engelse uitdrukking «to die graciously» heet; je gaat elegant dood in plaats van in één klap. Wat er gisteren met de elektriciteit in Amsterdam gebeurde, kan dan dus niet, want het is gecompartimenteerd voor deze situatie.
In de toekomstige Wet GDI zullen die maatregelen worden opgenomen om samen te kunnen werken in het geval van beveiligingsincidenten, zoals diensten tijdelijk niet beschikbaar maken of inlogmiddelen intrekken. In de verdere ontwikkeling van de uniforme set van eisen wordt dit onderwerp expliciet meegenomen. Voordat maateregelen in uitvoering worden genomen, worden er ook testen gedaan, de zogenoemde proof of concept, waarbij het systeem van tevoren daarop wordt getest.
In een van de brieven zat een punt dat misschien onduidelijk was, namelijk de opmerking dat maatregelen over privacy en toezicht zich niet richten op de burgers. Wat is dat nou, het gaat toch om de burgers, denkt de lezer misschien? Maar de bedoeling van die passage is aan te geven dat het toezicht door de door mij op zich formeel nog aan te wijzen toezichthouder zich richt op de aanbieders van de erkende eID-diensten. Dat is natuurlijk ten behoeve van de burgers. De normen worden in de uniforme set van eisen vastgesteld. Zij moeten er ook op toezien dat die normen ook worden nageleefd.
Wat gebeurt er als er fraude wordt geconstateerd? Allereerst proberen we natuurlijk om fraude zo veel mogelijk te beperken. Misbruik kan vervelende gevolgen hebben voor iemand. We hebben weleens een heel AO aan identiteitsfraude gewijd. Mensen worden op kosten gejaagd en moeten laten weten dat ze het helemaal niet zelf gedaan hadden. Maatregelen kunnen zijn het blokkeren of intrekken van inlogmiddelen et cetera. Ook kan in het uiterste geval de Minister besluiten om als noodmaatregel bepaalde voorzieningen ontoegankelijk te maken voor onbepaalde tijd, om zo misbruik te voorkomen. Maar dat is natuurlijk een paardenmiddel, want daarmee raak je ook andere gebruikers.
Kan er een privaat middel op de markt komen dat niet voldoet aan de uniforme set van eisen? Nee, dat kan niet als men in het bsn-domein daarmee activiteiten zou willen ontplooien.
De oproep in De Correspondent over notificatie heb ik gezien. Het voordeel voor de burger als het automatisch gebeurt, is dat hij er niet om hoeft te vragen. Er zit ook een nadeel aan, want je krijgt allemaal informatie waar je nooit om gevraagd heb. Dat heb ik soms ook. Als ik bij deze of gene internetprovider een burrito bestel, krijg ik er nog vijf e-mailtjes achteraan: dat het bezorgd gaat worden, is geworden, hoe het is bevallen... Ik stel die burrito's altijd zeer op prijs, maar je moet met zo'n notificatie altijd een beetje maat houden, want die zit natuurlijk tussen allemaal heel belangrijke brieven van staatszaken ... Nee hoor, dat zit gescheiden! Dat zit op een andere e-mailaccount. Geen grappen meer daarover. Daarom heb ik in de brief van 13 oktober gezegd dat het een complexe zaak is om dit te regelen. Ik zie het wel als een belangrijke stap. Inzage is het eerste doel, notificatie het vervolg.
Wanneer we tot automatische notificatie willen overgaan, zullen we naast inzicht geven in de kosten ervoor moeten zorgen dat we het eens zijn over het moment waarop en de mate waarin het gebeurt. Ik bereid een wijziging voor van de Algemene wet bestuursrecht waarmee we een e-mailnotificatie kunnen verplichten, tenzij een burger heeft aangegeven geen notificatie te willen ontvangen. Ik denk dat dat de juiste manier is om het in te kleden. Deze wijziging is in consultatie geweest. Naar verwachting komt het wetsvoorstel medio dit jaar naar deze Kamer. Tot zover de stand van zaken op dat punt.
Ik ben mijn bijdrage begonnen met de beveiliging van de websites. Daar heb ik een toezegging over gedaan aan mevrouw Oosenbrug. Dit brengt mij bij de hier en daar technische maar zeker ook belangwekkende vragen van mevrouw de Caluwé. Gaan private aanbieders wel middelen aanbieden op het niveau hoog, wil zij weten. Die bestaan al; op dit moment zijn er twee leveranciers, KPN en Digidentity, die op hoog niveau middelen aanbieden. Ze zijn getoetst en akkoord bevonden door een onafhankelijk toezichthouder, het Agentschap Telecom, dat valt onder het Ministerie van EZ voor wat betreft de portefeuilleverantwoordelijkheid. Ze worden momenteel als pilots in de zorg beproefd.
Ik heb al gesproken over de prijs en een drieslag aangebracht: gebruikers per tik, aanbieders voor het feit dat zij het vragen en wellicht nog een algemeen deel op het systeemniveau, dat dan versleuteld moet worden tussen de verschillende overheidspartijen.
Zijn die private leveranciers wel betrokken bij de totstandkoming van de uniforme set van eisen? Jazeker. Er zijn met de individuele leveranciers die nu meedoen aan de pilots, voor de publicatie op 21 december twee sessies geweest. Vanaf 21 december staat die set van eisen op rijksoverheid.nl, waar ze openstaan voor formele reacties van eenieder, dus ook van alle andere aanbieders of potentiële aanbieders. De beheerorganisaties van die leveranciers zijn nauw betrokken geweest bij de uitwerking van de uniforme set van eisen. Maar laat er geen misverstand over bestaan: dit betekent niet dat zij altijd hun zin hebben gekregen. We hebben de input vergaard en naar beste weten gedaan wat we op dit moment denken dat in het publieke belang is. Er was ook een taskforce. De beheerorganisaties van iDIN en Idensys hebben in het vroege voorjaar deelgenomen aan een specifieke taskforce. Vervolgens zijn de beheerorganisaties ook betrokken geweest bij de nadere uitwerking in de werkgroepen functionaliteit en technieken en kaders. Maar nogmaals, het klopt dus dat dit niet wil zeggen dat alle wensen daar zijn overgenomen. In mijn inleiding zei ik al dat we voortdurend in contact staan met private partijen. Wij snijden hier langs publiek-privaat, maar voor de mensen in het land is het verschil vaak zo groot en zo helder niet, en zij moeten er ook geen last van hebben.
Mevrouw De Caluwé (VVD):
Ik dank de Minister voor de beantwoording van deze vraag. Ik heb echter toch nog wel een vraag hierover, want mij bereiken andere geluiden, namelijk dat er wel bijeenkomsten zijn geweest, waar ook presentaties zijn gehouden, maar dat er niet echt over de inhoud van de diverse eisen is gesproken en dat daar ook geen nadere discussies over geweest zijn. Het is voor mij lastig, want ik heb er zelf niet bij gezeten, dus ik kan het niet beoordelen.
De Minister zei terecht dat ik een redelijk technisch verhaal had, maar nu wordt het nóg iets technischer. Ik pak gewoon een voorbeeld bij de kop. Dat verduidelijkt het misschien. Neem de polymorfe pseudo-ID's. Die houden in dat wanneer ik inlog als «Ingrid de Caluwé» dat dusdanig wordt versleuteld dat ik iets heet als «Mevrouw ABC» en de volgende keer «Mevrouw XYZ», zodat je daarna niet meer kunt herleiden waar ik allemaal heb ingelogd. Als er een aanbieder is die wel end-to-end-encryptie heeft – dan word ik geanonimiseerd als ik inlog van begin tot eind – maar dat niet via een polymorf pseudo-ID doet, staat er in de uniformesetoverkoepelende regel dat het wel degelijk een polymorf pseudo-ID moet zijn. Als er een aanbieder is die tot de pilots is toegelaten met zijn end-to-end-encryptie die niet een polymorf pseudo-ID is, moet deze aanbieder dat dan helemaal omzetten? Of wordt er met hem overlegd, in de trant van: «We hebben een praktisch probleem. Eigenlijk doet u wat wij willen, namelijk end-to-end-encryptie. Men wordt helemaal geanonimiseerd, van begin tot het einde, maar u doet dit niet via de uitwerking die wij in de uniforme set eisen hebben neergelegd. Hoe vinden we daar een oplossing voor?» Misschien maakt dit voorbeeld mijn vraag wat duidelijker.
Minister Plasterk:
Die vraag is inderdaad niet makkelijk. Laten we in deze context bekijken of we het procedureel kunnen oplossen. De uniforme set van eisen is gepubliceerd op rijksoverheid.nl. Iedereen kan zijn reacties opsturen naar de daarvoor aangewezen plek, tot uiterlijk 31 maart. Er kunnen daar ook vragen over worden gesteld. Ik zeg toe dat we op basis van die reacties bijeenkomsten zullen organiseren waarbij we de dialoog aangaan. Ik realiseer mij dat een dialoog iets anders is dan alleen maar een PowerPointpresentatie van de kant van de overheid. Dan kan er een serieus gesprek ontstaan. Dat zegt natuurlijk nog niets over wat we daar allemaal mee gaan doen. Maar iedereen kan erbij zijn. Er kan dan ook worden bijgehouden wat de input is. We zullen dan samen met de uitkomsten van de consultatie betreffende de Wet Generieke Digitale Infrastructuur komen met een aangepaste versie van de uniforme set van eisen en in de toelichting ingaan op de vraag wat we hebben gedaan met de geleverde input. Zo is het volledig transparant en voor de Kamer inzichtelijk of we de knoop op de goede manier hebben doorgehakt. Dat kunnen we dan ook doen wat betreft het punt dat mevrouw De Caluwé zojuist ter illustratie aanvoerde. Mogen we het zo doen?
Mevrouw De Caluwé (VVD):
Ja.
Minister Plasterk:
Een van de vragen was waarom de uniforme set van eisen rule-based is en niet principle-based. Dat is gebaseerd op de Europese verordening, de zogenoemde eIDAS-verordening. Die is nu eenmaal rule-based. Dat uitgangspunt is ook vastgelegd in een specifieke taskforce, ook alweer een buitenlands woord, maar dat is niet anders. Hier hebben de beheerorganisaties van de deelnemende pilotpartijen aan deelgenomen.
Mevrouw De Caluwé stelde nog een paar andere vragen. En passant werd gezegd dat DigiD substantieel niet aan de eIDAS-normen zou voldoen maar dat is niet zo. Het voldoet wel aan eIDAS-niveau substantieel. Daar zitten wij, meen ik, goed.
Dan de vraag over de notarissen. Beoogd was om medio 2017 te starten met nieuwe pilots, die de werking van de multimiddelenaanpak verder beproeven. Dat heb ik in de brief aan hen van oktober jl. in algemene zin al zo benoemd. Dat zou een goede instap kunnen zijn voor de notarissen. Dat is een mooie illustratie van de verschillende betrokken partijen.
Wat zijn de financiële gevolgen voor de gemeenten? De kosten worden op dit moment in kaart gebracht. Ik heb op allerlei onderwerpen te maken met de gemeenten. Zij trekken bij ieder onderwerp aan de bel om te vragen of ik wel rekening heb gehouden met de kosten voor hen. Ik begrijp dat ook heel goed, vanuit de gemeenten gezien. Er zijn ook andere die dit doen, bijvoorbeeld de politie. Die trekt ook aan de bel om te zeggen: naar aanleiding van deze actualiteit willen we even wijzen op het belang van meer middelen. De gemeenten doen dat ook. Dit is een voorbeeld daarvan. Maar goed, we pakken het op en brengen het in kaart. Er worden uitvoerbaarheidstoetsen uitgevoerd en ik ben nauw betrokken bij die check. We doen het samen met IPO, VNG en KING.
Dan de vraag of het klopt dat het alleen maar op een Android-telefoon werkt. Ja, dat klopt, want alleen die hebben alleen maar near field communication (NFC). Die toepassing hebben wij iPhone-gebruikers niet. Daar komt bij dat de firma die het levert, ook nog niet bereid is om de mobiels beschikbaar te laten zijn voor dergelijke toepassingen. Daar zijn we van afhankelijk, zo is de wereld waarin we leven. Maar het zou op termijn natuurlijk wel de bedoeling zijn om ofwel daar een oplossing te vinden, ofwel een losse kaartlezer beschikbaar te maken. Maar dat is natuurlijk weer gedoe, want die moet je dan weer in je USB-poort pluggen of zo. Het zou beter zijn als het via de mobiel kon. Maar goed.
Dan de vraag over de motie betreffende inzage in gegevens. Indien gewenst stuur ik een brief over de aanpak van die motie in februari. Mag ik het zo doen? Die aanpak zal eruit bestaan om een onderzoek te doen, dat voor de zomer klaar moet zijn, naar de inzage in gegevens en wie die heeft gebruikt. Intussen loopt er een aantal pilots. Ik verwacht ook daarvan de resultaten voor de zomer, maar ik wil niet helemaal naar dat moment verwijzen. Ik realiseer mij dat dat weinig praktisch is. Ik zeg toe dat ik in februari een brief zal sturen, waarin ik de stand van zaken op dit punt weergeef.
Mevrouw De Caluwé vroeg naar DigiD op niveau substantieel in het kader van het level playing field. Ik had daar al iets over gezegd. Er zijn nu al private middelen op het niveau substantieel. Die doen ook mee aan de pilots, dus dat past in het plaatje van het huidige speelveld.
Er is gevraagd naar het verschil tussen het budget van weleer en het budget zoals dat nu voorligt. Dat wordt veroorzaakt door het verschil in periode en scope tussen het oorspronkelijke onderzoek en de toegezonden actualisatie. Daar valt nu ook de periode van 2015 tot 2018 onder. We kijken dus verder vooruit. De scope is integrale kosten voor alle publieke middelen, zowel de kosten voor toetreding en toezicht als de kosten voor de aansluiting van gemeenten. Het is een reële inschatting. Dat verklaart de verschillen met eerdere inschattingen naar vermogen.
De heer Amhaouch stelde een vraag over de zorg. Daar heb ik al over gesproken naar aanleiding van een vraag van mevrouw Oosenbrug. Hij vroeg naar het delen van inzicht in de risico's. Ik vind dat een heel reële vraag. Zeker in een periode van politieke transitie, waarin sprake zal zijn van nieuwe politieke verhoudingen en een nieuw samengestelde Kamer, is het van belang dat de Kamer als instituut zo veel mogelijk wordt meegenomen in het in beeld brengen van reële risico's. Ik zeg toe dat ik die bandbreedte bij een volgende gelegenheid zal aanbrengen en dat ik ervoor zal zorgen dat de risico's in beeld worden gebracht. Ik zal dit punt ter harte nemen bij de volgende voortgangsbrief, die in juni verschijnt.
De heer Amhaouch (CDA):
Ik ben blij met de toezegging, maar niet met het tijdstip. Als fase één halverwege dit jaar van start gaat – we hebben de brief hier liggen, dus daar moet een goede rapportage over zijn – dan moeten we ervoor zorgen dat de belangrijkste risico's zo snel mogelijk in kaart worden gebracht, want we hebben nog maar twaalf maanden te gaan. Halverwege dit jaar is een belangrijke milestone en dat geldt ook voor het einde van dit jaar. Als de Minister zegt dat we de risico's halverwege dit jaar toegezonden krijgen, neemt hij ons niet mee, maar verrast hij ons. Kunnen we de belangrijkste risico's middels een brief eerder toegezonden krijgen?
Minister Plasterk:
We hebben eerder met elkaar de systematiek afgesproken. Er zou twee keer per jaar een rapportage verschijnen, dus vandaar dat ik in mijn reactie de maand juni noemde. Maar ik begrijp wat de heer Amhaouch zegt. Dit is niet zomaar een jaar, maar een jaar waarin belangrijke stappen zullen worden gezet. Laten we het daarom maar bij uitzondering doen. We zullen in het voorjaar middels een tussenrapportage laten weten hoe het ervoor staat en we zullen daarbij ook de risico's in beeld brengen. Ik denk dat dat verstandig is. De heer Amhaouch heeft gelijk: we moeten alles goed onder ogen zien.
De heer Amhaouch vroeg ook naar het mandaat voor de regie. Ik heb daar in het algemene deel al antwoord op gegeven. Ik heb geen klagen. Het is niet zo dat ik nu wettelijk in positie wil komen omdat we dan eindelijk met voldoende steun ons werk kunnen doen. De ambtelijke stuurgroep, onder het voorzitterschap van mijn directeur-generaal, werkt op zichzelf goed. Maar mocht er in de toekomst een andere wind gaan waaien, dan zou het inderdaad goed zijn als het wettelijk werd vastgelegd. Dat gebeurt dus.
Ik kom op de monitor over 2015. De geactualiseerde monitor over 2016 komt medio dit jaar. Dat is niet anders. Dat soort dingen loopt altijd wat achter op de realiteit.
De WOZ-waarde is een belangrijk punt. Ik denk dat de overheid de grootste goudmijn is wat betreft grote datasets voor burgers. Van al die gegevens is de waarde van huizen misschien wel het interessantst voor de gemiddelde burger. Die is voor allerlei doelstellingen van belang, ook voor wetenschappelijk onderzoek. Je kunt die waarde aan allerlei interessante vragen koppelen, bijvoorbeeld als je gezondheid wilt correleren aan welstand, als je migratiebewegingen in het land in beeld wilt brengen, of als je wilt weten wat je op de woningmarkt in Drenthe zou kunnen krijgen voor het geld waar je in Den Haag een appartement van koopt. Het is dan niet alleen interessant om de WOZ-waarde van je eigen huis te weten, zoals voorheen het geval was, maar ook om die van andere huizen te kunnen opvragen.
We zijn inmiddels een heel eind om deze informatie kosteloos publiek toegankelijk te maken. De huidige stand van zaken is dat de informatie kosteloos openbaar wordt gemaakt op de Landelijke Voorziening WOZ. Op dit moment is ongeveer de helft van de gemeenten aangesloten op die Landelijke Voorziening, waardoor de WOZ-waarde van ongeveer 55% van alle woningen opgevraagd kan worden. De verwachting is dat alle gemeenten in de loop van dit jaar zullen zijn aangesloten op de Landelijke Voorziening. Van mij zou het nog veel sneller mogen gaan en daarom heb ik Geert Jansen, voormalig CdK, gevraagd om aanjager te zijn. Hij weet dit soort processen altijd stevig aan te jagen en heeft inmiddels toegezegd. Ik heb de gemeenten die nog niet zijn aangesloten op de Landelijke Voorziening, middels een brief erop gewezen dat het van belang is om die aansluiting te realiseren voor de volgende aanslagronde van de gemeentelijke heffingen. Idealiter gebeurt dat voor 1 maart 2017. Ik zet er dus veel vaart achter.
Met de huidige systematiek kun je per keer de WOZ-waarde van maximaal tien private bezittingen opvragen. Het betreft een spreadsheet dat bestaat uit vier letters en twee cijfers plus het huisnummer. Dat definieert het particulier onroerend goed. Het getal geeft de WOZ-waarde aan. Wat mij betreft is het einddoel dat die informatie ook per bulk toegankelijk is, zodat het echte open data wordt. Ik probeer eraan te sjorren, te duwen en te trekken, zodat we die kant op gaan. Ik denk dat dat buitengewoon waardevol zou zijn voor alle mensen die met deze informatie dingen kunnen doen. Je kunt bijvoorbeeld een app maken waarin je op een kaart kunt klikken om te bekijken hoe de huizenprijzen over een bepaalde regio verdeeld zijn of waar je het beste kunt wonen als je een huis met een zwembad wilt. De waarde van open data is dat niet wij, maar anderen toepassingen kunnen verzinnen. Dit is een van de belangrijkste datasets. Ik realiseer me dat ik hiermee werk op mij neem. Ik zal er eerst voor zorgen dat alle informatie toegankelijk is, waarna ik zal bekijken of die informatie uiteindelijk ook per bulk beschikbaar gesteld kan worden. Ik doe dat natuurlijk samen met de gemeenten, maar ik zal mij daar sterk voor maken.
De heer Amhaouch (CDA):
Als ik het goed heb gelezen, biedt het wetsvoorstel daar nu geen ruimte voor. Volgens mij mag nu alleen een individu dat doen.
Minister Plasterk:
Dat klopt, maar we kijken bij ontwikkelingen ook vooruit. Aan de kosten kan het niet liggen, want het gaat om één spreadsheet dat een heleboel objecten bevat. Ik ben op zoek naar waar de bezwaren zouden kunnen zitten. Wellicht zou een aanpassing van de wet nodig zijn, maar laten we daar niet op vooruitlopen. Ik zeg in ieder geval toe dat ik dat probeer te bereiken.
Mevrouw Oosenbrug (PvdA):
Ik word altijd enorm enthousiast van open data, maar over dit onderwerp kreeg ik heel veel e-mails van mensen die zeiden: wacht even, want dit gaat om heel privacygevoelige data. Ik kan mij herinneren dat daarover eerder vragen zijn gesteld. We vragen ons nu af waar precies de bottleneck zit, maar volgens mij zit die op dat punt. Ik heb geen aanvullende vraag, maar een aanvullende opmerking. Ik ben erg voor open data, maar privacy is nog wel een dingetje.
Minister Plasterk:
Dat is ook mijn herinnering, maar die hobbel hebben we genomen nu de WOZ-waarde van tien objecten kan worden opgevraagd. We zijn voorbij de gedachte dat niemand mag weten wat de WOZ-waarde van je huis is. Ik vraag mij echter af waarom je die informatie wel hapsnap kunt opvragen, maar niet bulksgewijs. Mevrouw Oosenbrug heeft gelijk dat de wet het op dit moment tegenhoudt, dus daar moet nog iets aan gebeuren.
De heer Amhaouch signaleert dat de waardering voor de digitale overheid in de afgelopen vijf jaar maar weinig is gestegen. Hij vroeg naar mijn doelstelling.
De heer Amhaouch (CDA):
Ik heb geen kwalificatie gegeven. Ik heb alleen gezegd: 0,3%.
Minister Plasterk:
Ik vind 0,3% niet veel. Dat is mijn eigen kwalificatie. Men vroeg naar mijn ambitie. Ik wil daar iets methodologisch aan toevoegen. Mensen vonden datgene wat ze drie jaar geleden konden al heel wat, maar de wensen en verlangens van mensen groeien natuurlijk mee met de technische mogelijkheden die ze ondervinden. Ik hoop dat de waardering verder zal stijgen, maar los daarvan zullen mensen ook meer gaan verlangen. We zullen dus ons best moeten doen om die waarderingscijfers überhaupt te halen. Er komt een moment waarop men zich afvraagt: waarom is dit niet allang geregeld? De ambitie reikt verder dan alleen het behalen van een hogere score bij de waardering. We willen alles, voor zover dat kan, voor honderd procent digitaal beschikbaar en toegankelijk maken.
De heer Amhaouch brak een lans voor het goed beleggen van de digitale overheid in een volgend kabinet. Ik ben het daarmee eens. De digitale overheid is nu bij BZK belegd. Ik hoop dat de heer Amhaouch het mij niet kwalijk neemt als ik vind dat die daar goed belegd is. Maar de digitale overheid zal ook in de toekomst goed belegd moeten zijn; daar ben ik het mee eens.
De heer Amhaouch (CDA):
Dat de digitale overheid vandaag de dag bij BZK belegd is, is een constatering. Ik haalde alleen aan dat in de stukken die wij hebben gekregen, staat dat de Studiegroep Informatiesamenleving en Overheid werkt aan een aanbeveling voor een aantal zaken. Ik ga het riedeltje niet opnieuw opnoemen. Die studiegroep bereidt voor dat dit onderwerp structureel geregeld wordt bij de volgende kabinetsformatie. Wanneer kunnen we de aanbeveling van de Studiegroep Informatiesamenleving en Overheid verwachten?
Minister Plasterk:
Die is op tijd klaar voor de start van de volgende formatie. Dat zal zo eind maart zijn. Men realiseert zich dat die deadline absoluut gehaald moet worden.
De heer Van Raak begon met een wat relativerende opmerking. Volgens hem gaan grote automatiseringsprojecten bij de overheid altijd mis. Ik ken die reputatie. Ik beheer deze portefeuille nu vierenhalf jaar en ik merk dat er twee beelden tegelijkertijd bestaan, die misschien wel allebei waar zijn. Aan de ene kant is niks zo betrouwbaar als je paspoort, je identiteitskaart of je rijbewijs. Dat is de «Bank of England»-norm en daarin hebben mensen groot vertrouwen. Je kunt met nog zo veel pasjes wapperen, maar op je paspoort of rijbewijs staat het kwaliteitsstempel van de overheid en daarin heeft men vertrouwen. Aan de andere kant heeft de commissie-Elias veel lessen getrokken uit grote projecten die in het verleden niet goed zijn gegaan. Beide werkelijkheden bevatten onderdelen die waar zijn en beide reputaties bestaan. We kunnen niet anders dan proberen om in goede samenspraak besluiten te nemen. Behalve het water is alleen de digitale overheid belegd bij een aparte rijkscommissaris, met wie we goed samenwerken. We voeren hierover regelmatig debatten en we rapporteren daarover aan de Kamer met als doel ervoor te zorgen dat het eerste beeld, het beeld dat de informatie van de digitale overheid van dezelfde kwaliteit is als het rijbewijs en het paspoort en dat zij echt deugt, uiteindelijk het terechte beeld zal blijken te zijn.
Ik heb al in het algemene deel gezegd dat ik het eens ben met de conclusie van de Autoriteit Persoonsgegevens, namelijk dat de DigiD in haar huidige incarnatie niet meer aan alle eisen voldoet. Vandaar dat we verschillende stappen zetten om zowel de DigiD te upgraden als om andere stelsels te bekijken.
Ten slotte werd het een en ander gezegd over de banken. In de uitspraak van de heer Van Raak zat al kritiek. Ik ga daar ook op oefenen. Ik blijf buiten de activiteiten van banken op het private domein, maar als ze hun middelen op het bsn-domein willen inzetten – we hebben die keuze besproken in de Kamer – dan kan dat, mits ze voldoen aan de uniforme set van eisen. Het kan voor een burger handig zijn om een bankmiddel te hebben waarmee hij bij de gemeente kan inloggen om een afspraak te maken en waarmee hij kan bewijzen dat hij ook daadwerkelijk degene is die hij zegt te zijn, alhoewel dit wellicht een verkeerd voorbeeld is. Er moet vervolgens worden bekeken of het middel voldoet aan de uniforme set van eisen en of de toepassing voldoende beveiliging oplevert, zodat er geen massaal misbruik uit kan voortvloeien. Dat is de opzet van het huidige stelsel.
De voorzitter:
Ik heb daar een vraag over namens de SP. De Autoriteit Persoonsgegevens heeft niet alleen kritiek op de DigiD, maar ook op de ontwikkeling van het eID-stelsel. De Autoriteit Persoonsgegevens uit die kritiek nadat er pilots zijn geweest. Die kritiek is fundamenteel en gaat onder andere over de privacyaspecten, over de beveiliging en over de stand van zaken van de technologische ontwikkelingen. Die fundamentele kritiek is vooraf geuit door de Algemene Rekenkamer en achteraf, na de pilots, door de Autoriteit Persoonsgegevens.
Minister Plasterk:
Als de voorzitter spreekt, is het natuurlijk altijd waar, maar volgens mijn informatie dateert de brief van de Algemene Rekenkamer en de Autoriteit Persoonsgegevens van de periode voor de pilots. Dit is een van de punten die wij meenemen als wij de uitkomsten van de pilots stap voor stap bekijken. Hoe dan ook, daarmee is het laatste woord nog niet gezegd. In de toekomst zal men de kat de bel wel aanbinden en erop wijzen dat dit of dat aspect nog moet worden beveiligd. Daar is men ook voor. Wij zijn voortdurend met elkaar in gesprek en dat zullen wij ook blijven.
De voorzitter:
De Minister zegt dat het allemaal goed komt, maar ik constateer dat daar wel een groot voorbehoud is. Een ander punt is dat de Minister hoog opgeeft over het paspoort. Dat ben ik in grote mate met hem eens, maar wij laten het paspoort ook niet door banken uitgeven. Waarom moet de identificatie van een burger bij de overheid via een commercieel bedrijf verlopen? Ik zeg «banken» op een bepaalde manier, omdat de top van de banken niet deugt. Die deugt nog steeds niet. Ik snap niet waarom wij zo slecht zijn in het trekken van lessen nu wij dit soort organisaties betrekken bij zoiets privacy- en identiteitsgevoelig als de communicatie van de burger met de overheid.
Minister Plasterk:
Ik heb volgens mij niet gezegd dat het allemaal goed komt, maar dat kunnen wij in het verslag teruglezen. Dat is ook niet mijn houding. Ik denk dat wij bij iedere nieuwe stap het oog op de bal moeten houden en bij iedere stap opnieuw moeten bekijken of het wel goed komt. Nu wordt er gevraagd naar de privacy, maar dit geldt voor alle dingen die ik in mijn inleiding heb genoemd: de gebruikersvriendelijkheid, of het allemaal correct is, of het niet kan worden gehackt, of het toegankelijk is voor mensen met een beperking of mensen die niet kunnen wennen aan elektronische middelen. Dit is een grote verantwoordelijkheid voor mij in de komende maanden en voor anderen daarna. Het komt niet vanzelf allemaal goed. Wij moeten daar allen, in samenwerking met diverse partijen, ook de marktpartijen, bovenop zitten.
Het paspoort wordt nu ook voor een deel vervaardigd door private partijen. Overigens hebben wij daarover ook eerder debatten gevoerd, onder andere over vragen als: waar gaat de informatie naartoe en voldoet het aan alle eisen? Niettemin zijn wij het er kennelijk over eens dat dit de norm is voor grote kwaliteit.
Het is niet waar dat wij hebben gezegd dat wij dit door de banken laten doen. Wij hebben gezegd – en dat is ook een van de uitgangspunten – dat er voor iedere toegang tot het bsn-domein ook een publiek middel zal zijn of komen op het juiste beveiligingsniveau. Alleen kunnen burgers zeggen dat zij voor deze functie ook een ander pasje kunnen gebruiken waarvoor zij misschien een tientje hebben betaald of jaarlijks op een of andere manier betalen, en de vraag stellen waarom dat niet kan worden gebruikt. Daarom hebben wij gezegd dat wij dit middel niet willen uitsluiten als dat voldoet aan de uniforme set van eisen die is vastgesteld. Wij zien dat daar veel vraag naar is. Ik blijf bij het morele oordeel over het bankwezen weg. Dat is mijn portefeuille niet en ik pieker er niet over om daarover iets te zeggen. De banken krijgen echter wel zaken georganiseerd; het zijn professionals op het gebied van financiële transacties en het organiseren daarvan, en zij hebben er ook belang bij dat mensen zijn wie zij zeggen dat zij zijn en dat dit fraudevrij gebeurt. Daar zit veel expertise en de overheid wil en kan zich niet veroorloven om op dit terrein op geen enkele manier contact met de banken te hebben of samen te werken waar dat nodig is. Dit staat los van het morele oordeel van de SP-fractie; dat laat ik bij haar.
Mevrouw Oosenbrug (PvdA):
Ik wil dan nog één keer helder uit de mond van de Minister horen dat de burger altijd de mogelijkheid heeft om voor een publiek middel te kiezen. De burger wordt nooit gedwongen om over te stappen naar een privaat middel. Heb ik dat helder en juist? De Partij van de Arbeid heeft hier vanaf het begin op ingezet.
Minister Plasterk:
Helder en juist.
De voorzitter:
Ik dank de Minister voor de beantwoording. Er is nog tijd voor een korte tweede termijn.
Mevrouw Oosenbrug (PvdA):
Voorzitter. Ik heb veel vragen gesteld en volgens mij zijn die ook alle beantwoord. Ik ben zeer content met de antwoorden van de Minister op mijn vragen. De beveiliging van overheidswebsites is natuurlijk een belangrijk onderwerp. Nu kan het zomaar voorkomen dat je op een site komt waar je geen data hoeft uit te wisselen die via een technische weg zijn omgeleid. Je denkt dat je met de overheid te maken hebt, maar je zit op een site die helemaal niets met de overheid te maken heeft. Ik ben daarom blij dat de Minister nu klip-en-klaar heeft gezegd dat hij dat niet wil en dat hij dit gaat regelen, ook al gaat hij daar niet 100% over. Ik ben daar heel blij mee. Ik heb hier lang op gehamerd.
Hier zit dus een tevreden mens, maar ik voeg hier wel aan toe dat het hier niet moet ophouden. Ik heb al een volgende set vragen ingediend over de websites van de ziekenhuizen. Deze knieval van de Minister ... Dat klinkt misschien te negatief, want hij legt uit dat het ongelooflijk belangrijk is dat de basisbeveiliging op orde is, juist in deze tijd waarin voortdurend wordt gesproken over hacking en gehackt worden.
Daarom veel dank aan de Minister. Ik zie hem graag in de nieuwe GDI, dat wil zeggen: de Generieke Digitale Infrastructuur.
Mevrouw De Caluwé (VVD):
Voorzitter. Ook van mijn kant dank voor het beantwoorden van alle vragen die ik aan de Minister heb gesteld. Ik vraag nog aandacht voor een paar punten. Ik begin met de uniforme set van eisen. Ik ben blij van de Minister te horen dat hij op 31 maart iedereen de gelegenheid geeft om input te leveren tijdens de consultatie en dat hij daarna de dialoog wil aangaan en samen met de aanbieders wil zoeken naar oplossingen voor eventuele knelpunten. Ik heb er ook enkele genoemd.
De vraag is nu wanneer daarna het moment van go/no go is aangebroken. Immers, er moet nog worden getoetst of de verschillende middelen voldoen aan de uniforme set van eisen. Hoe zal de Minister de opmerkingen meenemen van de Autoriteit Persoonsgegevens die voor een deel al zijn geadresseerd, zoals de heer Van Raak ook al opmerkte? Wat doet hij met de opmerkingen van de commissie-Kuipers, die na de pilots nog een aantal zaken heeft aangedragen die ook geadresseerd moesten worden? Worden die meegenomen?
Ik heb nog wel een probleem met de financiering. De Minister schrijft in zijn brief dat hij bij de Voorjaarsnota zal komen met informatie over de algemene financiering van het traject. Dit zou dus ook gelden voor de financiering van onder andere de publieke en private middelen. In het tweede kwartaal zal DigiD substantieel worden uitgerold terwijl de pilots nog doorlopen met andere middelen. Er is dus nog geen duidelijkheid over de financiering; die komt pas in september bij de Prinsjesdagstukken. Dat is wel heel erg laat. Ook de doorbelasting door de aanbieders en de gevolgen voor hun businesscase zijn dan nog niet duidelijk. Verder is niet duidelijk hoeveel de overheid betaalt voor het gebruik van die middelen op niveau substantieel en niveau hoog. Hoe moeten aanbieders dan hun businesscase maken? Waarom zegt de Minister nu dat dit bij de begroting 2018 komt, terwijl hij eerder zei dat het bij de Voorjaarsnota zou komen?
Ik heb nog twee korte punten. De Minister zegt dat NotarisID eventueel medio 2017 in een pilot kan starten. Het hele traject moet voor oktober 2017 zijn afgerond, omdat wij dan gaan uitrollen. Dan zou er parallel nog met een tweede tranche pilots worden begonnen. Dat maakt het wel ingewikkeld en het BIT (Bureau ICT-toetsing) heeft niet onterecht gezegd: hou het simpel en maak het niet zo complex. Hoe kan dit iets minder complex worden ingepast?
Dan als laatste punt de Android-toestellen, die met zich brengen dat een publiek middel niet voor iedereen beschikbaar is. De nieuwe iPhones hebben wel een NFC-lezer, maar die zijn alleen voor Apple Pay. Met de huidige stand van de technologie moet er toch een mogelijkheid zijn om met alle soorten telefoons te werken? Ik kan bijna alles met deze telefoon, maar het mag naar mijn mening niet voorkomen dat ik niet kan inloggen bij de overheid. De helft van Nederland kan dan niet inloggen.
De heer Amhaouch (CDA):
Voorzitter. Ik dank de Minister voor zijn antwoord op de vragen. Ik ben blij met zijn toezegging dat de risicoparagraaf zo snel mogelijk beschikbaar komt zodat wij samen kunnen optrekken.
De monitor komt halverwege het volgende jaar. Heb ik dat goed begrepen? Met het rapport van een jaar oud dat wij nu hebben, kunnen wij niets doen.
De Wet GDI komt eraan. De Minister heeft in eerste termijn goed uitgelegd welke punten hem zullen helpen. Dit geldt bijvoorbeeld voor een mandaat in de richting van de decentrale overheden. Dat is goed. Ik heb echter geen antwoord gekregen op de vraag waar de bottleneck zit. Wat kunnen wij in dit eID-traject niet doen als die wet er nog niet is?
Ik zal niet ingaan op de waardering en de 0,3%, maar ik ben wel van mening dat de Minister geen ambitie uitstraalt. Het gaat niet om het aantal producten. Als wij de waardering van de burgers willen vergroten, moeten wij niet alleen aandacht hebben voor het aantal diensten dat wordt aangeboden maar vooral ook voor de vraag hoe snel wij daarop reageren. Je kunt via de elektronische snelweg heel snel iets indienen, maar de vraag is of daar adequaat op wordt gereageerd. Het is belangrijk dat wij ons ambitieniveau opschroeven om de waardering nog groter te maken.
Ik heb geen antwoord gekregen op de vraag over de uitrol. De banken hebben veiligheidsniveau hoog, waarbij iedereen met een bankpasje kan werken. Voor de overheid komt waarschijnlijk begin volgend jaar een functionaliteit beschikbaar; dan zijn wij al een jaar verder. Verder zijn wij nog afhankelijk van de middelen die daarbij horen: de ID-kaarten of de rijbewijzen. Het gaat dus nog jaren duren voordat een groot deel van de burgers gebruik kan maken van veiligheidsniveau hoog. Ik spreek nogmaals mijn zorg uit dat wij door de tijd worden ingehaald. Ik krijg een déjà vu van Philips, die met zijn Video 2000 werd ingehaald door VHS. Tegenwoordig zit iedereen op Netflix. Dadelijk hebben wij allemaal «hoog» nodig maar heeft de overheid geen hoog beschikbaar, alleen de functionaliteit. Zijn er geen creatieve oplossingen om dat niveau hoog voor een groot deel van de burgers in onze samenleving naar voren te halen?
Ik heb tijdens de begrotingsbehandeling gesproken over de Cyber Security Raad, die een rapport heeft uitgebracht onder de titel Nederland digitaal droge voeten. De Minister heeft toen gezegd dat er een kabinetsreactie zou komen waarbij hij zou aansluiten. Hij sprak in eerste instantie over de veiligheid. Welke aanbevelingen neemt de Minister uit het rapport over en hoe zal hij die toepassen voor het deel van de digitale overheid van het Ministerie van BZK waarvoor hij verantwoordelijk is? Ik wil voorkomen dat dit rapport in een la verdwijnt.
De voorzitter:
De Minister is in staat en bereid om direct te antwoorden.
Minister Plasterk:
Ik ben er in ieder geval toe bereid en of ik daartoe in staat ben, laat ik aan uw oordeel over.
Voorzitter. Ik dank mevrouw Oosenbrug. Het is waar dat zij de afgelopen jaren heeft aangedrongen op de beveiliging van overheidswebsites. Dit is een beetje een onderwerp waarvan mensen denken: dat is mij te ingewikkeld en te technisch. Maar als er dan wellicht vanuit Rusland overheidswebsites zijn gehackt die met de verkiezingen in Amerika te maken hebben, wordt dat opeens de opening van alle kranten. Het is dus goed om hierop aan te dringen. Dat geldt sowieso voor dit hele thema. Dat zien wij hier nu ook. Er zijn vijftien fracties in de Kamer, maar zij besteden niet alle een hele middag aan dit onderwerp. Toch heeft het onderwerp dat wij nu bespreken misschien grotere consequenties voor de burger dan menig ander onderwerp waaraan plenaire debatten worden gewijd. Dit moet gebeuren, ook in het publieke domein. Dan is het goed dat er parlementaire sturing op zit die effect heeft, zo blijkt ook uit het voorbeeld. De dank is dus wederzijds.
Dit geldt ook voor mevrouw De Caluwé, die erbovenop zat en zit dat de invoering van de digitale informatievoorziening goed verloopt. Mede op haar aandringen is hieraan toegevoegd dat wij niet alleen de uniforme set van eisen in bespreking brengen, maar dat daarover ook een dialoog wordt gevoerd. Ik wijs erop dat wij over die dialoog zullen rapporten; daardoor is een en ander transparant. Als wij uit die dialoog input krijgen waarvan wij zeggen «wij snappen het maar doen het niet», kunnen wij ons in de Kamer verantwoorden over de vraag waarom een andere keuze is gemaakt. Dat moet uiteindelijk gebeuren.
Dat is naar mijn smaak ook het moment van go/no go. Ik meen dat je dit niet moet verabsoluteren naar één knop die wij dan helemaal op go zetten. Wij moeten ons stapje voor stapje bij alles wat wij doen, iedere keer verantwoorden bij de Kamer en zeggen: wij denken dat dit nu kan en moet gebeuren en dat het op een verstandige en zorgvuldige manier kan gebeuren. Als onderdeel van dit proces kan de Kamer dan toekijken en aangeven of zij daardoor overtuigd is of niet. Dat proces zal zich voortzetten.
Misschien heb ik het niet goed gezegd toen ik sprak over de financiering. Die komt bij de Voorjaarsnota aan de orde en daarmee wordt vooruitgelopen op de begroting voor 2018. Uiteindelijk moet het worden verwerkt in de Miljoenennota. Het is inderdaad een complex politiek proces omdat wij natuurlijk uitgaan van de continuïteit van het regeringsbeleid terwijl straks aan de formatietafel met grote bedragen zal worden geschoven. Ik spreek nu maar uit het oogpunt van continuïteit. De regering stelt dit in de Voorjaarsnota aan de orde met het voornemen dat het vervolgens in de Miljoenennota zal worden verwerkt. Laat ik nog toezeggen, want ik begrijp de zorg ook, dat we op ieder moment de informatie en de stand van zaken met private partijen zullen delen, voor zover dat kan, opdat men zo goed mogelijk is aangesloten bij datgene wat wij op dat moment weten. Maar zolang er geen parlementaire knopen zijn doorgehakt, bijvoorbeeld bij het vaststellen van de Miljoenennota, is dat alleen nog maar een intentie en zullen we dat voorbehoud moeten maken.
Mevrouw De Caluwé (VVD):
Ik ben heel blij dat het in de Voorjaarsnota aan de orde komt – dat heb ik dus goed gelezen in de brief – en dat we niet tot september hoeven te wachten. Mag ik dan ook het volgende voorstel doen? De Minister heeft zo aardig gezegd: dan gaan we ook de dialoog aan over de uniforme set van eisen. Ik stel voor dat in die dialoog ook dit wordt meegenomen en dat we dus gaan bekijken, met de partijen die aan de pilots deelnemen of nog gaan deelnemen, hoe we het gaan doen naar oktober toe en wat de voorwaarden zijn. Dan kun je ook het stappenplan iedere keer weer stapsgewijs invullen. Als je beide aspecten meeneemt zodra de informatie beschikbaar is, ook in de dialoog, kun je gezamenlijk naar oktober toewerken.
Minister Plasterk:
Ik ben het ermee eens dat we het daar bespreken; dat hoort ook bij de dialoog, waarin eenieder aan de orde kan stellen wat hij op dat moment belangrijk vindt. Dit zal daarin zeker aan de orde komen. De private partijen doen natuurlijk wel hun eigen zaken. Daar hebben ze onze instemming niet voor nodig. We kunnen ze dus zo goed mogelijk informeren en bijpraten en ervoor zorgen dat er geen informatie in de mouw wordt gehouden, maar uiteindelijk ligt het ondernemersrisico bij de ondernemers. Die moeten op dat moment taxeren of ze erin stappen. Dat risico willen we ook niet naar ons toe halen; dat moet daar blijven. Het omgekeerde is ook waar: zij hoeven natuurlijk niet aan ons uit te leggen wat ze privaat aan het doen zijn.
Mevrouw De Caluwé (VVD):
Dat hebben we inderdaad al eerder gewisseld. Dat is hun risico. Het gaat er meer om dat ze de input krijgen die ze nodig hebben om die businesscase te kunnen maken. Op het moment dat er iets in de Voorjaarsnota wordt gepresenteerd, is het zaak dat het dusdanig duidelijk is dat iedereen aan de hand daarvan zijn eigen businesscase kan maken. Het is niet aan de Minister om ervoor te zorgen dat de businesscase van private partijen sluitend is; laten we daar duidelijk over zijn.
Minister Plasterk:
Ja, en nogmaals: ik kan alleen maar de informatie verschaffen die we op dit moment hebben. Ik kan me daarbij realiseren dat we geen dingen nodeloos in de mouw moeten houden waardoor private partijen hun begroting moeilijker kunnen maken, maar dat is wel de volgorde. Ik moet ook aan alle andere publieke partners kunnen verantwoorden dat wij aan onze kant een businessplan hebben, en dan kunnen wij die informatie delen. Maar goed, dit zal nadrukkelijk een van de onderwerpen zijn in de dialoog.
Ten slotte kom ik op de andere telefoons dan Android-telefoons. Dan hebben we het met name over de iPhone van Apple. Ik moet hier niet allemaal merken gaan noemen, maar dit is huis-tuin-en-keukeninformatie. Die bedrijven maken hun producten natuurlijk zonder veel rekening te houden met wat er op de Nederlandse markt aan identificatiemiddelen wordt ontwikkeld. Ik heb al heel lang zo'n ding, maar als mensen daarmee dingen niet meer kunnen doen die ze met een ander merk wel kunnen doen, gaan mensen op een gegeven moment met hun voeten stemmen. Dan kopen ze liever een andere telefoon als het daarmee wel kan. Ik kan niet van overheidskant die producten beïnvloeden, maar als ergens massaal gebruik van gaat worden gemaakt en het niet werkt met een bepaald merk, verliest dat merk een stukje markt in de wereld. Ik kan me dus voorstellen dat men op enig moment ook zal willen meedenken over de toepassing. Ik zou dat ook wensen.
Mevrouw De Caluwé (VVD):
We moeten niet de illusie hebben dat we de macht van Apple kunnen breken met het publieke inlogmiddel DigiD. Dat gaat echt niet lukken. Ik denk dat het meer aan de overheid is om na te denken over het middel dat zij gaat presenteren en de manier waarop mensen daar gebruik van kunnen maken, ongeacht de telefoon die ze hebben. En ja, daar moet je natuurlijk onderhandelingen over voeren met een aanbieder, maar zijn er alternatieven? Kan ik het dan wel doen via mijn computer, vooropgesteld dat dat geen MacBook Pro is? Het is aan de overheid om te bedenken hoe zij dingen kan aanbieden. De redenatie moet niet zijn: we bieden het aan voor één systeem en dan moeten klanten maar een ander systeem kiezen, omdat we daarmee de macht van een bepaalde aanbieder breken. Ik denk dat dat gaat lukken.
Minister Plasterk:
Maar we moeten nu oppassen voor de wereld op zijn kop. Wij proberen iets aan te bieden wat voor het publieke domein in Nederland van belang is. Dat kan voor een deel ook gebruikt worden met mobieltjes, die mensen allemaal op zak hebben. Dat zou ook ideaal zijn. Sommige mobieltjes lenen zich daarvoor en met andere is dat nu niet mogelijk en wordt het ook niet zomaar mogelijk gemaakt door de aanbieders ervan, zelfs niet voor de nieuwe generatie. Wij kunnen hen erop attenderen. Misschien zijn er wel meer landen die behoefte hebben aan elektronische identificatie; ik zou me dat zomaar kunnen voorstellen. Ik heb wellicht niet het vertrouwen in het kapitalisme dat mevrouw De Caluwé heeft, maar ik denk dat er toch marktdruk ontstaat, waardoor men op enig moment zal zeggen: dit is toch een veel gewenste toepassing, dus laten we wat meebewegen. Dat zullen bedrijven niet doen omdat ze met mij onderhandelen, maar gewoon omdat consumenten stemmen met hun voeten en zij dit een aantrekkelijk aspect van een gadget vinden. Wij staan in de stand dat we een multimiddelenstrategie ontwikkelen waarmee we zo min mogelijk afhankelijk zijn van één bottleneck.
Mevrouw De Caluwé vroeg en passant of er ook alternatieven zijn. Je kunt natuurlijk een kaartlezertje kopen. Dat zal misschien € 10 of € 15 gaan kosten. Dat is onhandig, want dat zijn weer extra kosten, die je liever niet hebt. Je wilt liever hetzelfde kunnen doen op een telefoon die je toch al hebt. Laten we dus hopen dat men hierop meebeweegt, zonder de indruk te hebben dat wij als enige land een wereldproducent kunnen beïnvloeden in het maken van zijn producten. Volgens mij zijn we het eens over de wenselijkheid, hoor.
De voorzitter:
Dit onderwerp valt zeker binnen de orde van het debat, maar het is ook een beetje een zijweg. Ook is het tegen drieën. Ik wil niet door dit onderwerp uit de tijd gaan lopen, dus ik vraag u om korte vragen te stellen en korte antwoorden te geven.
Mevrouw De Caluwé (VVD):
Ik heb een heel korte vervolgopmerking. In België is er net een wet aangenomen om ook via een mobiel te kunnen inloggen bij de overheid. Ik vraag de Minister om ook eens bij de collega's te informeren en dan gezamenlijk een vuist te maken. Wellicht bespoedigt dat de zaak.
Minister Plasterk:
Ik zeg dat toe. Als de Belgen én de Nederlanders zich gaan verzetten tegen Apple, moet je eens zien!
Mevrouw De Caluwé (VVD):
En nog een paar meer.
Minister Plasterk:
Ja. Wij zijn met meer, zeggen we dan.
De heer Amhaouch (CDA):
Ik steun de Minister hierin. Volgens mij kunnen die Apple-jongens heel creatief iets bedenken waarmee ze toch luisteren naar de Minister van Binnenlandse Zaken.
Mevrouw Oosenbrug (PvdA):
Ik wil het toch groter maken en naar Europa gaan, want dit gaat over open standaarden, waaraan uiteindelijk ook Apple zich zal moeten gaan houden. Volgens mij kunnen we daar dus best een beetje op drukken. Ik ben zelf onderdeel van de Benelux-Raad, waarin we altijd heel mooie dingen doen, maar Europa kan een nog grotere vuist maken. Dus kom op, Minister, we sturen u op pad!
Minister Plasterk:
Ik kan u nu wel toevertrouwen dat ik ooit winnaar ben geweest van de Apple Award, maar dat was wel twintig jaar geleden. Toen had je nog geen iPhones.
Ik kom nog even terug op een punt van de heer Amhaouch, dat ik niet wil laten hangen. Er werd gezegd dat de banken nu al middelen aanbieden op beveiligingsniveau hoog. Dat is niet zo. Dat is beveiligingsniveau substantieel. De enige twee producten op beveiligingsniveau hoog zijn van de twee leveranciers KPN en Digidentity. Die heb ik ook in mijn eerdere bijdrage genoemd. Maar goed, zij doen het wel.
Wat is de bottleneck? Wat kunnen we niet als die wet er niet is? Ik heb zonet al een positieve opsomming gegeven, van wat we allemaal kunnen als die wet er wel is. Als de wet er niet zou zijn, kunnen we bijvoorbeeld semioverheden niet verplichten om erkende middelen te accepteren. Daar hebben de klanten dan last van. Dan moeten we het via overreding doen en kunnen we niet zeggen: jullie moeten dat doen volgens de wet. Met een wettelijke grondslag kunnen we ook met een grotere vanzelfsprekendheid een erkenningenstelsel uitrollen ten behoeve van de middelen. Ook om het toezicht te regelen moeten we een wettelijke grondslag hebben. Ik wil dus echt aandringen op die wet en me daar hard voor maken.
Ik ga nog even in op de waardering. Ik wilde niks afdoen aan het feit dat we natuurlijk streven naar een zo hoog mogelijke waardering voor de producten. Ik wilde alleen zeggen dat een hoge waardering alleen niet voldoende is. We hebben namelijk wel degelijk ook een kwantitatieve doelstelling. De doelstelling uit het regeerakkoord was kwantitatief, namelijk: alle producten, digitale diensten en interacties met de overheid beschikbaar maken. Dan meet je dus aantallen. Daarnaast moeten die aspecten inderdaad ook gewaardeerd worden op de criteria die ik zojuist noemde. Beide dingen zijn dus tegelijk waar.
Het tempo zou nog omhoog kunnen, werd er gezegd. Ja, maar we moeten wel aanbesteden voor bijvoorbeeld rijbewijs en NIK (Nederlandse Identiteitskaart). Dat kost tijd. Binnen die grenzen doen we het zo snel als het kan.
Ik denk dat ik daarmee door de beantwoording heen ben, voorzitter.
De voorzitter:
De Minister heeft een aantal toezeggingen gedaan.
– In de Wet Generieke Digitale Infrastructuur zal via een algemene maatregel van bestuur worden voorzien in garanties voor de beveiliging van websites.
– De indiening van het wetsvoorstel is voorzien voor de tweede helft van 2017.
– Deze maand nog ontvangt de Kamer de resultaten van de evaluatie in de zorgsector.
In maart volgt een brief over de risicoparagraaf.
– In het voorjaar van 2017 ontvangt de Kamer een voortgangsrapportage met de resultaten van het privacy impact assessment en de bandbreedte van de risico's.
– De notificatie zal worden geregeld via een wijziging van de Algemene wet bestuursrecht. Het wetsvoorstel zal medio 2017 naar de Tweede Kamer worden gestuurd.
– In februari volgt een brief over de motie over de inzage van gegevens.
Kunnen we daar allemaal mee leven? Dat is het geval. Dan zijn dat de toezeggingen. Ik dank hartelijk de Minister en zijn gevolg, de deelnemers en iedereen die fysiek of digitaal heeft meegekeken. Sluiting 14.52 uur.
Bron: Tweede Kamer : https://zoek.officielebekendmakingen.nl/dossier/26643/kst-26643-443?resultIndex=3&sorttype=1&sortorder=4
Zie ook de rubriek op deze site/ DIGID : https://emls.webnode.nl/search/?text=digid&type=2
Zie ook de rubriek op deze site/ Digitaal procederen een historische vergissing : https://emls.webnode.nl/search/?text=digitaal+procederen&type=2
================================
EMLS
Utrecht / Haaksbergen, 7 febriar. 2017