Vastgesteld 31 juli 2013
De vaste commissie voor Financiën en de vaste commissie voor Veiligheid en Justitie hebben op 19 juni 2013 overleg gevoerd met Minister Dijsselbloem van Financiën over:
− de brief van de Minister van Financiën d.d. 16 april 2013 met de reactie op het verzoek van de heer Van Hijum over de ICT-problemen bij banken als gevolg van cyberaanvallen (Kamerstuk 28 684, nr. 379);
− de brief van de Minister van Financiën d.d. 27 mei 2013 met de reactie op het verzoek van de vaste commissie voor Financiën inzake storingen en problemen in het online betalingsverkeer (Kamerstuk 27 863, nr. 45);
− de brief van de Minister van Financiën d.d. 17 mei 2013 inzake de aanbieding van de rapportage van het Maatschappelijk Overleg Betalingsverkeer (MOB) over het jaar 2012 (Kamerstuk 27 863, nr. 44).
Van dit overleg brengt de commissie bijgaand geredigeerd woordelijk verslag uit.
De voorzitter van de vaste commissie voor Financiën, Van Nieuwenhuizen-Wijbenga
De voorzitter van de vaste commissie voor Veiligheid en Justitie, Jadnanansing
De griffier van de vaste commissie voor Financiën, Berck
Voorzitter: Van Nieuwenhuizen-Wijbenga
Griffier: Maas
Aanwezig zijn zes leden der Kamer, te weten: Tony van Dijck, Koolmees, Merkies, Nijboer, Van Nieuwenhuizen-Wijbenga en Aukje de Vries,
en Minister Dijsselbloem van Financiën, die vergezeld is van enkele ambtenaren van zijn Ministerie.
Aanvang 10.15 uur
De voorzitter: Ik heet eenieder van harte welkom bij dit algemeen overleg over online betalingsverkeer. In de eerste termijn krijgt iedere fractie een spreektijd van vijf minuten en twee onderlinge interrupties.
De heer Nijboer (PvdA): Voorzitter. Is mijn geld nog wel veilig? Kan ik nog geld overmaken als dat moet? Welk risico loop ik als ik ga tanken? Moet ik dan lopend naar huis? Geld draait om vertrouwen. Vroeger betaalde men met zilverlingen en stond tegenover een biljet een munt van goud. Nu is het edelmetaal niets meer waard. We moeten kunnen vertrouwen op de cijfers op ons beeldscherm. Dat wat daar staat, moet ook zijn wat het waard is.
De PvdA vindt geld en het betalingsverkeer een vitale publieke infrastructuur. Zonder goedwerkend betalingsverkeer valt ons land en zelfs onze economie met een harde klap stil. De PvdA vindt dat het betalingsverkeer onvoldoende beschermd en geborgd is. We hebben vastgelegd wat het maximale overstromingsrisico bij dijken is. Bij elektriciteit, ook een vitale publieke infrastructuur, hebben we maximale storingsniveaus vastgesteld en een strenge toezichthouder, de DTe, ziet daarop toe. Bij betalingsverkeer is dat onvoldoende geborgd. De Bankwet dateert uit de tijd van de gulden. De woorden «online» en «cybercriminaliteit» komen er niet eens in voor. Het toezicht op veilig betalingsverkeer, het zogenaamde oversight, vindt plaats op basis van vrijwillige arrangementen. Dat kan niet zo!
Het borgen van het vertrouwen in de betalingsinfrastructuur is een publieke taak. Er moet een norm worden gesteld. Die norm moet gericht zijn op twee doelen: veiligheid van geld en beschikbaarheid van geld. Daarnaast moet op deze norm toezicht worden gehouden. DNB heeft die mogelijkheid nu niet. Bij het rondetafelgesprek werd duidelijk dat DNB dat wel wil. Dit bleek ook uit de wetgevingsbrieven die DNB vorig jaar naar de Kamer stuurde. Is de Minister bereid om de wet aan te passen of zelfs een heel nieuwe wet op het betalingsverkeer te maken? Zo kan de veiligheid en de beschikbaarheid publiek worden geborgd.
Dat was een vraag over de toekomst. De vraag voor nu is of DNB voldoende technische kennis en ICT-kennis in huis heeft om de banken te kunnen controleren, adviseren en desnoods een norm op te leggen, om te borgen dat online betalingsverkeer veilig is en geld beschikbaar is.
Ddos-aanvallen worden vergeleken met files. De beschikbaarheid staat stil, maar de veiligheid is niet in het geding. Technische experts hebben echter bij de rondetafelbijeenkomst gezegd dat die files ook kunnen worden gebruikt om makkelijker in de auto's te kunnen inbreken. In hoeverre zijn er veiligheidsrisico's bij ddos-aanvallen?
Een andere vorm van veiligheid betreft individuele veiligheid bij aanvallen door cybercriminelen. De schade die consumenten ondervinden door fraude, phishing en malware wordt doorgaans ruimhartig vergoed door banken via hun coulancebeleid. Toch is er sprake van verschillen; soms tussen banken en soms zelfs tussen vestigingen van dezelfde bank. De consument verkeert dan in onzekerheid. De PvdA wil dat er één norm is. Het moet duidelijk zijn dat als consumenten niets te verwijten valt en zij niet ernstig nalatig zijn geweest, de schade dan altijd wordt vergoed. We hebben dit al eerder in Kamervragen aan de orde gesteld. Er is overleg over in het Maatschappelijk Overleg Betalingsverkeer (MOB) en dat loopt al een half jaar. Er lijkt sprake te zijn van «meestribbelen» van de sector. Daar moet een einde aan komen. Het moet nu worden geregeld. Het «meestribbelen» moet afgelopen zijn. Als dat niet gebeurt, zullen we een op Amerikaanse leest geschoeide wetgeving voorstellen. Consumenten moeten dan terugbetaald worden, tenzij de bank kan aantonen dat de consument nalatig is geweest. Het is dan precies andersom. Collega Koolmees had het eerder over omgekeerde bewijslast en dat is ook passend. De banken kunnen als enigen de veiligheid echt borgen. Een consument kan er nu niets aan doen, terwijl zijn geld kwetsbaar is voor malware of fraude.
De winkeliersverenigingen hechten erg aan beschikbaar betalingsverkeer. Ik snap dat heel goed. De pintransacties in België zijn anders geregeld. Door het TINA-systeem kun je ze daar opsparen. De winkeliers vragen de banken om dit ook in Nederland in te voeren. Hoe staat de Minister daar tegenover?
Hoe denkt de Minister over een schaderegeling voor ondernemers bij langdurige uitval? De PvdA-fractie richt zich vooral op het borgen van die vitale infrastructuur. Het zou dus echt een uitzondering moeten zijn. Het zou een goede prikkel kunnen zijn voor banken om hun ICT beter op orde te krijgen.
De afgelopen maanden is gebleken dat veilig betalingsverkeer een vitale publieke infrastructuur is, maar ook een infrastructuur die kwetsbaar is. Storingen zijn nooit helemaal te voorkomen, maar het is aan de politiek om een norm te stellen. Ik wil niet over een aantal jaren tegenover een aantal collega's staan in de zaal hier tegenover, die mij vragen waar ik was toen hier een financieel-economische chaos uitbrak en ik wist dat de wetten niet voldeden. Vandaag hebben we het Fyra-debat. Er moet wat veranderen. De veiligheid en de beschikbaarheid van geld moet geborgd worden.
Mevrouw Aukje de Vries (VVD): Voorzitter. In april werden we allemaal opgeschrikt door een aantal forse storingen in het betalingsverkeer. Dit waren niet alleen ddos-aanvallen maar ook gewone storingen, met name bij de ING en iDEAL. Nederland heeft een sterk ontwikkeld elektronisch betalingsverkeer en is daardoor ook kwetsbaar. De recente aanvallen hadden dan ook een grote impact op het vertrouwen in het betalingsverkeer. Mijn collega Nijboer sprak daar net ook al over. Dat laat onverlet dat banken allereerst zelf verantwoordelijk zijn voor het op orde hebben van hun netwerken en systemen. Naar aanleiding van die incidenten hebben de Minister van Financiën en de Minister van V en J afspraken met de banken gemaakt om de storingen in het betalingsverkeer tot een minimum te beperken. Het MOB maakt een analyse van de alternatieven bij storingen en bekijkt of alternatieven noodzakelijk zijn. Hoe staat het met de uitvoering van de gemaakte afspraken? Wanneer is de analyse van het MOB klaar? Zal er een terugkoppeling komen naar de Tweede Kamer? Welke aanvullende maatregelen zijn nog nodig, bovenop de gemaakte afspraken?
De VVD wil ervoor waken dat we niet doorslaan met regelgeving. De betrouwbaarheid van ons onlinebetalingsverkeer is al zeer hoog. In het rondetafelgesprek bleek echter wel dat niet duidelijk is hoe de verantwoordelijkheden en bevoegdheden liggen ten aanzien van het toezicht op het betalingsverkeer. De VVD vindt dit onbegrijpelijk. De taakomschrijving van DNB is behoorlijk abstract en beperkt. Men heeft formeel geen instrumentarium om in te grijpen. Dit wordt deels aangepakt met de Wijzigingswet financiële markten afwikkelondernemingen, maar deze gaat over betaalsystemen en niet over interbancaire betaalproducten. De gehele keten van het betalingsverkeer is afgedekt. De VVD vindt het cruciaal dat duidelijk is hoe de verantwoordelijkheden liggen wat betreft het toezicht op de totale keten. Dit moet zo snel mogelijk helder zijn. Betalingsverkeer maakt namelijk deel uit van de vitale infrastructuur. Het moet klip-en-klaar zijn wie wat mag en moet doen om storingen te voorkomen en om de duur van storingen te verkorten. De VVD vindt dat DNB het eerste aanspreekpunt is wat betreft het toezicht op de keten van het betalingsverkeer. Die taakomschrijving moet duidelijk zijn. DNB moet instrumenten hebben om in uitzonderlijke gevallen in te kunnen grijpen. Is de taakomschrijving, zoals deze nu geformuleerd is, toereikend? Hoe moet deze aangescherpt worden? Welke zaken moeten er verder nog geregeld worden?
Mijn collega, de heer Nijboer, zei net ook al dat ondernemersorganisaties pleiten voor een back-upfaciliteit voor het pinnen, zoals in België. Hier kleven echter ook nadelen aan. Mensen met onvoldoende saldo en criminelen kunnen tijdens storingen aankopen doen. In het MOB wordt al drie jaar gesproken over een oplossing. Dat is veel te lang! De Nederlandse Vereniging van Banken (NVB) heeft aangegeven er voor de zomer uit te willen zijn. De partijen moeten ook snel tot een oplossing komen. Kan de Minister voor 1 juli terugkoppelen op welke wijze dit gebeurd is?
Ondernemers pleiten ook voor het openstellen van het interbancaire systeem tijdens weekenden en feestdagen. In de huidige 24/7-economie lijkt dat wenselijk. Wie bepaalt dat en wat zijn de voor- en nadelen, bijvoorbeeld qua kosten?
Storingen bij iDEAL leverden ook veel problemen op voor klanten en ondernemers. Het MOB gaat ook naar alternatieve methodes bij storingen kijken. Een optie is dat er meer keuzemogelijkheden komen om te betalen op internet. Naast het betalen met iDEAL, kan ook het betalen met creditcard en acceptgiro mogelijk gemaakt worden. Als er dan een betaalmogelijkheid uitvalt, kun je nog anders betalen. Wanneer is het onderzoek van het MOB klaar? Ik vroeg net ook al om dat tussentijds aan ons terug te koppelen.
Single Euro Payments Area (SEPA) gaat een langer IBAN-rekeningnummer invoeren. Uit het MOB-jaarverslag van 2012 blijkt dat het mkb nog niet op schema ligt. We zijn inmiddels een half jaar verder. Wat is de stand van zaken? Hoe wordt ervoor gezorgd dat iedereen voor 1 februari 2014 klaar is? Wat zijn de risico's als niet iedereen klaar is? Krijgen we dan een soort millenniumbug? Dat is toen ook goed afgelopen.
De heftige reacties bij de verkoop van pingegevens door Equens laten zien hoe belangrijk mensen privacy vinden. Er komt een herziening van de Europese richtlijn betaaldiensten aan. Hoe zit het daar met de privacy? We hebben begrepen dat er mogelijk een optie wordt geboden voor toegang tot betaalrekeningen door derden. Dat heeft ook gevolgen voor de privacy.
Het aantal geldautomaten daalt sinds 2008 gestaag. Wij hebben in Nederland veel minder pinautomaten per aantal inwoners dan in veel andere West-Europese landen. Welke afspraken zijn hierover gemaakt in het MOB?
De heer Koolmees (D66): Voorzitter. 100% veiligheid bestaat niet op het internet en in de IT. Iedereen die dat belooft liegt. Alles is te kraken en alles kan kapot; dat leer ik ook van mijn zoon. Je kunt wel de beveiliging op een acceptabel niveau brengen. Het gaat alleen goed als de opbrengsten van innovatie, de verantwoordelijkheid voor de veiligheid en de eventuele schade in één hand liggen, zodat daar gecombineerd naar gekeken wordt. Op die manier kan ingeschat worden hoeveel de beveiliging van een dienst waard is en hoe zwaar het vertrouwen in een nieuwe service weegt. Via deze methodiek kun je het succes van internetbankieren verklaren. Problemen met de integriteit, zoals onverklaarbare afschrijvingen en internetroven, komen voor rekening van de bank. De bank is verantwoordelijk. Als de bank minder incidenten wil, kan hij de veiligheid vergroten. Daarmee wordt direct het vertrouwen van de consument vergroot. De bank profiteert volop van de voordelen van de overstap naar internetbankieren, want er worden flinke efficiëntiewinsten geboekt. Veel dienstverlening kan via internet worden gedaan en kantoren kunnen worden gesloten. Vandaag zei de heer Buijink van de NVB in De Telegraaf dat banken bereidwilliger zijn om schade te vergoeden. Ik denk dat de heer Nijboer daarop doelde toen hij het had over «meestribbelen». Ik ben ook benieuwd naar de reactie van de Minister daarop. Ik benadruk echter dat de consument ook verantwoordelijkheden heeft. Het is zoeken naar het evenwicht tussen die twee elementen. Het omkeren van bewijslast is namelijk een moeilijke discussie, omdat consumenten ook verantwoordelijkheid hebben voor veiligheid.
De voorzitter: Dat was uitlokking, daarom geef ik het woord aan de heer Nijboer.
De heer Nijboer (PvdA): Ik deel die redenering. Ik snap het eerste deel van de redenering van de heer Koolmees heel goed. Als je de prikkels maar op de goede plek legt, zullen banken investeren zodat het minder gebeurt. Consumenten lopen echter het risico dat hun hele bankrekening leeggeroofd wordt. Vroeger verloor je je portemonnee en was je 100 gulden kwijt. Nu kan bij een malware-aanval of een phishingmail € 14.000 gestolen worden of nog meer; het gemiddelde is € 4.600. Hoe kijkt de Minister aan tegen de verhouding tussen de beschermingsconstructie en een keer geen virusscanner installeren?
De heer Koolmees (D66): Dat is precies het punt. De heer Nijboer is ook econoom en is eveneens bekend met moral hazard. Als je continu zegt dat iemand anders sowieso opdraait voor kosten van internetroof, dan heb je geen prikkel om voorzichtig te zijn met je pincodes of inlogcodes. Dat zou een gevaarlijk precedent zijn. Tegelijkertijd ben ik het volledig eens met de heer Nijboer en de heer Buijink – ik las vanmorgen hierover in De Telegraaf – dat banken een heel grote verantwoordelijkheid hebben om de beveiliging goed op orde te brengen. Banken moeten ook aan de lat staan als door hun verkeerde systemen de rekeningen worden leeggeroofd. We zijn het grotendeels met elkaar eens, maar ik zou oppassen met het overgaan van de principiële brug dat alle verantwoordelijkheid bij één partij komt te liggen. Hiermee creëer je moral hazard. Ik denk dat de heer Nijboer het daar helemaal mee eens is.
De heer Nijboer (PvdA): Het is mooi dat we een debat hebben. We kunnen het erover eens worden dat de verantwoordelijkheden helder moeten worden belegd. Het moet duidelijk zijn wat van consumenten en bankiers verwacht mag worden. Je kunt verschillend denken over welke verantwoordelijkheden dat zijn. Ik neig ernaar om de verantwoordelijkheden voor consumenten heel beperkt te laten zijn: alleen bij opzet, grove schuld en ernstige nalatigheid. Als je je pinpas aan een Hawaïaanse barman geeft met de pincode erbij, moet je niet zeuren dat je geld weg is. Dat is iets anders dan wanneer je je virusscanner niet hebt geïnstalleerd of niet hebt geüpdatet. 90% van de bevolking doet dat namelijk niet. Daar zoeken we naar. Die helderheid moet er komen en die is er nu nog niet.
De heer Koolmees (D66): De heer Nijboer en ik zijn het geheel met elkaar eens.
Bij ddos-aanvallen was het anders, want niet de integriteit van de betaalwijze was daar in het geding, maar de beschikbaarheid. In tegenstelling tot wat ik net beschreef voor de interruptie van de heer Nijboer – namelijk dat alle verantwoordelijkheden en schade in één hand zijn – sloegen de nadelen hier vooral neer bij de consument en de winkelier. Het vergoeden van schade is dan een optie. Misschien moet dat ook wel. Het echte gevoel van veiligheid is daarmee wel weg. Mensen riepen al dat zij noodpakketten maakten en bankbiljetten in huis te haalden en deze onder het matras verstopten, omdat het betalingsverkeer in het geding was. Het is belangrijk om te weten dat de bank alles heeft gedaan om dit te voorkomen en dat is nou juist onbekend. Wat hebben de banken gedaan om die aanval te voorkomen? Hoe groot was die aanval? Hoe sterk was de verdediging van de bank? Mijn fractie vindt het van belang om precies te weten wat daar gebeurd is. Zo kunnen we het gevoel van veiligheid weer vergroten richting de consument en de winkelier. Het is daarom goed dat er gesprekken over de storing hebben plaatsgevonden in het MOB. Ik wil graag meer weten over de veiligheid en de risico's. Heeft de Minister via zijn gesprekken met de banken kunnen achterhalen waarom de banken niet beschikken over afdoende extra capaciteit, over filters en over een dienst voor een aanvullende scheiding van benaderingen? Ik ben niet voor extra echtscheidingen, dat is niet de bedoeling. Mevrouw Schouten is er niet, want dan had ze daar vast op gereageerd. Scheiden van benaderingen betreft het benaderen van de website. De vraag is of je dat aanvullend kunt scheiden. Er wordt geknikt aan die kant van de tafel. Ik neem dit punt ook over van de heer Verhoeven, mijn collega die verantwoordelijk is voor internetveiligheid. We zitten allemaal een beetje hol te kijken. Kan de Minister duidelijkheid geven over de omvang van de aanval die heeft plaatsgevonden? Zo nee, deelt hij dan de mening van mijn fractie dat meer duidelijkheid en transparantie van de banken op dit punt wenselijk is?
Afgelopen weekend heb ik een plannetje gelanceerd. Bij innovaties moet goed worden nagedacht over de vraag waar de risico's terechtkomen. Er moet niet zomaar tot IT-projecten worden besloten, maar sommige ideeën zijn «no regret». Zo vindt mijn fractie het achterhaald dat in het weekend geen geld kan worden overgemaakt. Dat kan wel binnen een bank, maar niet tussen banken. Uiteraard is dat iets wat bij de markt ligt, maar diverse oproepen van brancheorganisaties van winkeliers hebben hier nog niet kunnen helpen. De Kamer kan dit signaal versterken. Gaat de Minister het gesprek aan met de banken of met Equens over het aanstaan van het systeem van Equens in het weekend en 's avonds? De bakker en de visboer kunnen dan ook op zaterdag direct de gepinde bedragen op hun rekening ontvangen. Banken kunnen dan ook in het weekend gewoon bedragen overboeken tussen de banken.
Ik sluit me aan bij de vraag van de heer Nijboer over de oproep van DNB om te komen tot één wet voor betalingsverkeer. Wat vindt de Minister daarvan?
Mijn fractie blijft van mening dat nummerportabiliteit zo snel mogelijk geregeld moet zijn.
De heer Merkies (SP): Voorzitter. Begin april schrokken een heleboel rekeninghouders bij de ING zich een ongeluk. Twitter en Facebook stroomden vol met berichten over saldo's die niet klopten en over mensen die geld kwijt waren of juist geld erbij hadden gekregen. Heel lang kwam er geen reactie van de ING en daarna volgden tegenstrijdige berichten. Er zou sprake zijn van vertraagde verwerking van transacties, maar de saldo's zouden nog wel kloppen. Tegelijkertijd stroomden er berichten binnen dat saldo's niet klopten. Later bleek ook dat mensen ten onrechte rood stonden. Het bericht werd later dat het saldo mogelijk niet correct werd weergegeven. Achteraf bleek dat er iets misgegaan was met de verwerking van de betalingen. De betalingen worden allemaal in één batch verwerkt, maar die was ergens halverwege vastgelopen. Vanwege Pasen werd een batch een dag later gedraaid, terwijl op datzelfde systeem ook tests gedraaid werden. Dat was te veel op die dag. Het is echter tot op de dag van vandaag onduidelijk hoe klanten van de ING geconfronteerd konden worden met verkeerde saldi en verkeerde bij- en afschrijvingen als gevolg van deze storing. Bij het uitvoeren van een batch met transacties kan altijd iets mislopen, maar de gouden regel is dat het dan volledig wordt teruggedraaid. Als de batch halverwege stopt, moet deze worden afgemaakt of volledig teruggedraaid. Het lijkt alsof de ING zich niet aan deze gouden regel gehouden heeft.
Het valt ook op dat de ING dit jaar een aantal malen getroffen is door langdurige en grootschalige verstoringen. Op vrijdag 5 april werden veel Nederlandse banken getroffen door een één uur durende ddos-aanval. De meeste banken herstelden zich echter snel na deze aanval, maar bij de ING duurde het nog het hele weekend voordat de dienstverlening weer op orde was. Ook zeer recentelijk was het iDEAL-verkeer bij de ING langdurig verstoord; in het weekend van 8 en 9 juni. Dat geeft toch te denken. De ING lijkt niet in staat de oorzaak van de technische problemen snel op te sporen en te verhelpen. Die bank kampt met technische storingen die in één keer grote delen van de elektronische dienstverlening kunnen lamleggen.
De ING slaagt er niet in om in het geval van ernstige storingen uit te wijken met zijn IT-systemen. Dat is opmerkelijk, omdat de bank op basis van bestaande regelgeving het beleid heeft om bij ernstige storingen binnen vier uur de ICT-dienstverlening weer te kunnen hervatten in een ander datacentrum. Hoe ziet DNB erop toe dat dit soort zaken niet kan voorkomen? Ziet DNB erop toe dat de ICT-infrastructuur van banken voldoende robuust en geïsoleerd van opzet is, zodat een technische storing niet gelijk tot een verlamming van de elektronische dienstverlening leidt? In die zin sluit ik me aan bij de heer Nijboer. Hoe zit het met de IT-kennis bij DNB? Controleert DNB of de tijdslimieten voor uitwijk worden gehaald? Als deze niet worden gehaald, kan DNB dan sancties opleggen? Zou het in dit kader aan te bevelen zijn om, net als in België, banken te verplichten om één keer per jaar gedurende minimaal één week met hun productiesystemen op een uitwijklocatie te draaien?
Als zich een storing voordoet, dienen banken in ieder geval transparant te zijn over de oorzaak. Banken blijken nogal eens te wachten met het melden van storingen. In een enkel geval duurde het zelfs 41 dagen voordat de bank er melding van deed. Dat kan natuurlijk niet. Ik pleit er daarom voor dat banken verplicht worden om storingen te melden bij de toezichthouder en bij hun klanten. De Minister zegt dat dat is afgesproken met de banken, maar hoe vrijblijvend is die afspraak? Op welke manier wordt afgedwongen dat banken storingen op de kortst mogelijke termijn melden?
Veel banken eisen van consumenten dat zij eens in de zoveel tijd hun saldi en afschrijvingen controleren. Doen ze dat niet, dan kan de bank ze verantwoordelijk houden bij onterechte overschrijvingen. Ik vind dat een irreële eis. Vindt de Minister dat ook? Kun je van mensen verwachten dat ze op vakantie hun rekening checken en dat ze zelf moeten bijleggen als er sprake is geweest van een fout bij de bank door een onterechte overboeking? Op een terrasje met gratis wifi mag je natuurlijk niet je saldi checken. Is de Minister bereid om de voorwaarden van de banken eens nader onder de loep te nemen? Banken kunnen wel zeggen dat ze er coulant mee omgaan, maar dat geeft de rekeninghouder weinig zekerheid. Zulke voorwaarden zouden toch eigenlijk niet in het contract mogen staan?
De voorzitter: Ik moet er wel om lachen, want ik krijg tijdens dit AO een phishingmail binnen onder de titel «uw internetbankieren op slot». Dat is grappig actueel.
De heer Tony van Dijck (PVV): Voorzitter. Ik krijg ze ook dagelijks op mijn mail. Wat dat betreft is er nog weinig verbeterd.
Online betalen krijgt een steeds prominentere plaats in Nederland. Vorig jaar werd meer dan 100 miljoen keer met iDEAL betaald. Nederland is ook steeds meer aan het pinnen geslagen. In 2012 werd maar liefst 2,5 miljard keer aan de kassa gepind voor in totaal 84 miljard euro. Dat is bijna twee keer zoveel als het aantal keren dat er contant werd afgerekend. Het is steeds belangrijker dat het onlinebetalingsverkeer klopt als een bus. In april zagen we dat Nederland onder vuur ligt. In de afgelopen maand hebben 25 ddos-aanvallen plaatsgehad, waarvan er 8 succesvol waren. Ik kan het rijtje wel opnoemen, maar de Minister kent dat ook. Het ging om Rabobank, ING, SNS, DigiD, KLM, de rijksoverheid en de Belastingdienst. Allemaal waren ze aan de beurt. We halen nu opgelucht adem, want we zijn met de schrik vrijgekomen. De cruciale vraag is natuurlijk: wat heeft de Minister eraan gedaan om ervoor te zorgen dat dit niet meer kan gebeuren? De Minister is ook met de schrik vrijgekomen. In de hoorzitting hebben we gehoord dat het morgen weer kan gebeuren. Sterker nog, het kan gebeuren terwijl we hier zitten te praten. De ddos-aanvallen gaan gewoon door. De consument merkt het niet, maar elke dag krijgen alle banken en alle cruciale instellingen ddos-aanvallen op hun dak. De Minister zet in op genezen en afwenden in plaats van op voorkomen. Hoe gaat hij deze aanvallen voorkomen? Waarom hebben we zo weinig inzicht in de vraag wie die ddos-aanvallers überhaupt zijn? Waar komen ze vandaan en wat zijn hun motieven? ddos-aanvallen – dat is het ontregelen van systemen – zijn misschien een voorproefje en gaat men straks over op hacken. De stap van aanvallen naar het binnendringen, hacken en het manipuleren van gegevens is niet zo groot. Straks kloppen de saldi niet meer. Ik mis de coördinatie en het toezicht op zoiets vitaals als het betalingsverkeer. De PVV is van mening dat DNB onvoldoende tools heeft om echt toezicht te houden en in te grijpen. Andere woordvoerders hebben er ook al over gesproken.
Banken zijn zelf verantwoordelijk voor de beveiliging van hun netwerken en systemen. Banken zijn echter uiteindelijk niet aansprakelijk voor de opgelopen schade als het betalingsverkeer niet functioneert. Als we de banken meer aansprakelijk zouden stellen bij storingen, dan zouden ze er wellicht hogere prioriteit aan geven. Ook is onduidelijk wat de criteria zijn voor de toegankelijkheid van het betalingsverkeer en wie hier precies toezicht op houdt. Wie houdt toezicht op de technische infrastructuur en de serviceproviders? Alles is nu gefocust op de banken, maar heel veel aanvallen kunnen bij de serviceproviders al worden voorkomen. Zo heeft DNB geen toezicht op iDEAL of MasterCard, want dit zijn geen banken. Het zijn echter wel cruciale schakels in het betalingsverkeer.
Hoe gaat de Minister ervoor zorgen dat het interbancaire systeem ook opengesteld is tijdens weekenden en feestdagen? De heer Koolmees heeft dit ook al gevraagd. Waarom kunnen we dat in Nederland niet regelen? Waarom wacht de Minister weer op Europese besluitvorming? Daar hebben we het weer: hoe gaat de Minister dit Europees agenderen? We weten allemaal dat België back-upsysteem TINA heeft, waardoor 24/7 online kan worden betaald. Waarom kunnen de Belgen dat wel en de Nederlanders niet?
De fraude in het betalingsverkeer bedroeg in 2012 82 miljoen euro. Fraude met internetbankieren bedroeg 35 miljoen euro. De schade door het bekende phishing en door skimming bedroeg 30 miljoen euro. Wie draagt deze kosten? Vroeger, bij het pinnen, waren dit alleen de banken. Het is misschien meer iets voor de Minister van Veiligheid en Justitie, maar een prominent punt bij de rondetafelbijeenkomst was dat er te weinig capaciteit zou zijn bij de politie en het Openbaar Ministerie om fraude bij internetbankieren aan te pakken. De sector levert panklare resultaten aan, maar het ontbreekt aan capaciteit voor de follow-up. Kan de Minister ons briefen?
De PVV maakt zich grote zorgen over de kosten van de pinbetalingen. We lezen dat men blij is dat deze kosten met 9% zijn gedaald in de periode 2002–2009. De deal om de kosten te drukken in het kader van SEPA, loopt echter volgend jaar af. We zagen het groenboek voorbij komen met daarin het voorstel om de interchange fees te harmoniseren vanuit de Europese Commissie. Hoe gaat de Minister ervoor zorgen dat de kosten voor het pinnen voor de consument laag blijven?
De vergadering wordt van 10.45 uur tot 10.55 uur geschorst.
Minister Dijsselbloem: Voorzitter. Ik bedank de leden van de Kamer voor hun inbreng. In het debat en in de inbreng van de Kamer lopen een aantal dingen door elkaar. Het gaat over ddos-aanvallen, de wijze waarop wordt omgegaan met fraude en over de vraag wie de verantwoordelijkheid daarvoor draagt en of de verantwoordelijkheden op het punt van toezicht voldoende helder zijn. In mijn antwoorden lopen deze punten ook een beetje door elkaar, maar ik zal proberen het onderscheid tussen de verschillende onderwerpen te bewaken.
Ik begin met de vraag hoe het nu geregeld is en of DNB voldoende bevoegdheden heeft. Eén kritische opmerking vooraf: ik ben zelf altijd alert wanneer degenen die verantwoordelijk zijn voor het toezicht en de handhaving, bij calamiteiten of incidenten onmiddellijk zeggen dat ze niet genoeg bevoegdheden hebben. Ik maak deze opmerking in algemene zin. Immers, niet elke calamiteit of ieder incident moet leiden tot een verzoek om uitbreiding van bevoegdheden of meer geld en mankracht. Dit zijn zeer begrijpelijke wensen, die vaak al heel lang bestaan. Het incident wordt dan aangegrepen om dat punt er nog maar eens in te gooien. Dat doet echter niets af aan het feit dat de bevoegdheden helder in de wet staan. Er is tevens ruimschoots mankracht beschikbaar om toezicht te houden op het betalingsverkeer. Ik begrijp best dat de aanval soms de beste verdediging is, maar dat toezicht moet gewoon op orde zijn. Dit alles gezegd hebbende, ben ik natuurlijk bereid om te kijken of de wet nog beter moet.
Het is nu zeer redelijk op orde. Toch zullen we voorstellen doen om een aantal dingen nog verder te verbeteren. Het toezicht op het betalingsverkeer en op de betaalketen is voor een belangrijk deel geregeld op basis van verplicht toezicht. In de Wet op het financieel toezicht staat dat banken en betaaldienstverleners onder dat verplichte toezicht staan. In een wetsvoorstel dat nu bij de Kamer ligt, voegen wij er nog toezicht op afwikkelondernemingen aan toe. Een extra schakel van de keten wordt daarmee expliciet onder het toezicht gebracht. Daarnaast zijn wij van plan om de bepaling in de wet die daarover gaat, nog te verbreden. De kwaliteit van de inrichting kan een bedreiging vormen voor de hele keten. Die bepaling formuleren we daarom nog breder. Ik zal de tekst, die hier ergens in mijn stapel zit, straks overhandigen. Dit is echter niet het antwoord op ddos-aanvallen, want die worden daardoor niet voorkomen. In de toekomst zullen zich ook problemen voordoen met de technische infrastructuur, waardoor het betalingsverkeer, hopelijk voor korte tijd, wordt gestremd. Desalniettemin vinden we het zinvol om de wettelijke bepalingen op dit punt nog te verbreden.
De heer Tony van Dijck (PVV): DNB gaf tijdens de rondetafelbijeenkomst aan dat men geen maatregelen kan afdwingen bij iDEAL en MasterCard. Wordt dat gerepareerd met die verbreding in de Wft afwikkelondernemingen?
Minister Dijsselbloem: Dat kan nu ook al, zij het indirect. Dat kan heel effectief zijn. DNB kan de organisaties in de betaalketen die wel onder het toezicht vallen, voorschrijven dat zij bepaalde systemen niet mogen gebruiken omdat die niet goed zijn. DNB kan daarmee indirect tegen iDEAL zeggen dat men het systeem moet aanpassen. Je hoeft niet in alle bedrijven die direct of indirect betrokken zijn, te kunnen kijken wat voor diensten zij ontwikkelen. Je kunt tegen de belangrijkste spelers in de keten zeggen dat zij hun systeem niet op orde hebben of dat zij een zwakke plek hebben, omdat zij dit product of systeem inschakelen.
De heer Tony van Dijck (PVV): Er werd met name gesproken over het feit dat DNB geen boetes kan opleggen aan iDEAL en MasterCard. DNB kan wel zeggen dat zij de systemen anders moeten inrichten, maar als zij dat niet doen, dan zijn er geen sanctiemechanismen.
Minister Dijsselbloem: DNB kan echter wel sancties opleggen aan de banken, afwikkelondernemingen en betaaldienstverleners die er gebruik van maken. Het is daarom zeer effectief. Ik ben nog hierover in gesprek met DNB. Deze week heb ik met de president van DNB afgesproken dat we de argumenten nog verder gaan wisselen. Wij zijn op zoek naar argumenten waaruit blijkt wat dit oplevert, naast meer regelgeving en meer bevoegdheden. We zoeken voorbeelden die onderbouwen waarom dat echt nodig is. Ik ben er niet bij voorbaat tegen, want als het echt zinvol is, dan moeten we het doen. Stel mij in staat om dat gesprek met DNB op korte termijn af te ronden, dan kom ik na de zomer, in september, met een brief in meer concluderende zin. Op een aantal andere punten zal ik hetzelfde aan de Kamer voorstellen. Een aantal dingen wordt nu onderzocht of verder besproken en uitgewerkt in het kader van het MOB. We zetten er een tijdsklem op. De uitkomsten zullen landen in een brief die eind september de kant van de Kamer op komt. We kunnen dan conclusies trekken. Ik ben er niet van overtuigd dat DNB onvoldoende bevoegdheden heeft bij banken, betaaldienstverleners en afwikkelondernemingen. DNB kan tegen banken zeggen dat zij systemen waar twijfels over zijn, aan moeten passen. Dat werkt dan door op achterliggende ondernemingen die diensten, producten of systemen daarvoor aanleveren. Mijn voorlopige standpunt is dat je ze niet allemaal onder het rechtstreekse toezicht hoeft te brengen.
De heer Nijboer (PvdA): De toezichthouder zegt op een rondetafelbijeenkomst tegen de Kamer dat de bevoegdheden ontbreken. DNB stuurt een brief waarin staat dat oversight bij gebrek aan een specifiek wettelijk instrumentarium momenteel vooral gebaseerd is op vrijwillige oversight-arrangementen. De publieke infrastructuur is echter cruciaal. In mijn betoog heb ik het vergeleken met de energiesector en met overstromingsrisico's. Dat zijn vitale dingen die we wettelijk hebben geregeld. Kan de Minister toelichten waarom dit een onjuiste stellingname van DNB is?
Minister Dijsselbloem: De stelling of suggestie dat dit niet wettelijk geregeld zou zijn, is onjuist. Ik heb de wet nu niet bij de hand, maar misschien kunnen we een volgende keer de Wft erbij pakken om te zien wat er allemaal al in is geregeld. Het toezicht is niet vrijwillig; het is verplicht. Je kunt een debat met elkaar voeren over de vraag of de scope van de spelers in de keten wel breed genoeg is. Naar aanleiding van onze analyse gaan we de afwikkelondernemingen daar nu ook onder brengen. We verbreden ook nog eens hetgeen waarop DNB mag interveniëren. DNB mag zich richten op alles wat maar enigszins de stabiliteit van het systeem in gevaar zou kunnen brengen.
De heer Nijboer vraagt of we een nieuwe wet maken of dat we de wet aanpassen. Het heeft onze voorkeur om de wet aan te passen en op deze punten verder te versterken. We zijn nog met DNB in gesprek over de vraag of we iDEAL onder de wet moeten brengen. Ik vind het beeld dat DNB geen bevoegdheden heeft en daarom de handen in de lucht steekt, pertinent onjuist. Ik vraag me af waarom DNB de bevoegdheden die in de wet staan niet gewoon ter hand neemt. Ik raak daar licht geprikkeld van. Ik verzet me tegen het feit dat de toezichthouder bij elke calamiteit meer bevoegdheden wil hebben. Die calamiteiten zullen er zijn, ook als we de wet nog verder verbreden of als we een heel nieuwe wet maken. Dat is dus niet de goede insteek.
De heer Nijboer (PvdA): Ik begrijp de lichte geprikkeldheid goed. De Minister van Financiën en de toezichthouder moeten samen ervoor zorgen dat deze vitale publieke infrastructuur geborgd is. Mij bekruipt wel het gevoel van lichte bezorgdheid omdat zij nog niet op één lijn zitten. Ik vind het prima dat de Minister na de zomer met een uitwerking van de discussie komt en voorstellen daaromtrent. De PvdA-fractie hecht er wel aan dat er een norm wordt gesteld. Het moet ook duidelijk zijn hoe het toezicht geregeld is en de toezichthouder moet er ook zelf van overtuigd zijn dat goed toezicht gehouden wordt. We hebben anders wel een probleem.
Minister Dijsselbloem: Ik ben dat zeer met de heer Nijboer eens. Ik heb daarom maandag met de president van DNB afgesproken dat we dit gesprek gaan uitdiepen en dat we echt op de argumenten ingaan. Als de argumenten goed zijn, dan ben ik onmiddellijk bereid om de wet aan te passen. We moeten overigens niet te spastisch doen wanneer het Ministerie en de toezichthouder discussiëren over de wijze waarop het geregeld is en over de vraag of het beter kan. We hebben afgesproken dat we dat gesprek versneld gaan voeren. Net werd de suggestie gewekt dat het toezicht niet goed geregeld is, dat er niets in de wet staat en dat het niet verplicht is. Dat is onjuist. DNB heeft 265 fte voor het toezicht op het betalingsverkeer. Wat doen die mensen dan? Ik neem DNB serieus en dat moet men zelf ook doen. DNB voert het toezicht op het betalingsverkeer uit. Daarvoor heeft men een uitgebreid instrumentarium, wet- en regelgeving en de uitgebreide capaciteit van 265 fte. Dan nog kunnen we het gesprek voeren over de vraag of het op onderdelen beter zou moeten.
Mevrouw De Vries (VVD): Als het goed geregeld is, dan is dat prima. We moeten niet allerlei nieuwe regels verzinnen. We moeten daar niet naartoe. Kan de Minister in de brief van september ingaan op de bevoegdheden, verantwoordelijkheden en instrumenten die aan de orde zijn? Het zou prettig zijn als er ook overeenstemming is met DNB, zodat we niet heel veel verschillende geluiden te horen krijgen. Er zit wel heel veel licht tussen hetgeen de Minister zegt en hetgeen DNB aangeeft. De keten van verschillende instellingen die zich bezighouden met betalingsverkeer, is voor mijn partij cruciaal. Kan de Minister in de brief van september nader ingaan op de keten van het betalingsverkeer en de vraag of dat voldoende geborgd is?
Minister Dijsselbloem: Ik ga nu een beetje tegenleunen. Het heeft geen zin om nog eens uit te schrijven hoe het nu geregeld is, want het is gewoon geregeld in de wet. Bij de wet zit een memorie van toelichting, waarin staat wat de bedoeling is van de verschillende artikelen en waarom we het hebben opgenomen. Daarnaast legt DNB verslag en geeft men inzage in de werkzaamheden op het punt van toezicht op het betalingsverkeer. We kunnen het allemaal opnieuw opschrijven, maar dat is niet de crux. De crux is dat een paar punten misschien ook onder de wet zouden kunnen worden gebracht. Het meest concreet is het voorbeeld van de heer Van Dijck. Ik zal in de brief ingaan op de stelling dat het toezicht niet genoeg dwingende instrumenten in handen heeft. Ik geef de Kamer echter in overweging om eens te bladeren in de wet en de artikelen in ogenschouw te nemen. Ik snap niet dat DNB de suggestie wekt dat DNB geen bevoegdheden en middelen heeft om toezicht te houden op het betalingsverkeer. Ik vind het ook onverstandig, omdat het een onzekerheid schept die helemaal niet nodig is. Die bevoegdheden zijn er wel en dat toezicht is er ook. Het betalingsverkeer in Nederland verloopt eigenlijk buitengewoon goed. Dan nog kijken we of het nog beter kan. Dat zou veel meer de toon en de inzet moeten zijn. Overigens verbreden we in het wetsvoorstel, dat nu bij de Kamer ligt, de bevoegdheden nog verder. Ik heb er nog één toezegging bij gelegd. Het betreft artikel 3:17 van de Wet op het financieel toezicht. Ik wou de Kamer deze informatie niet onthouden.
We zijn met DNB in gesprek over de vraag of er een nieuwe wet moet komen. Dit zou een groot beslag leggen op de capaciteit van het Ministerie in termen van wetgeving. We hebben heel veel wetgeving in voorbereiding op het punt van financiële markten. We hebben regelmatig debatten over allerlei aspecten op het punt van financiële markten, financiële sectoren en risico’s. Dat leidt terecht tot allerlei aanvullende regelgeving. Dat heeft voor mij prioriteit boven het opnieuw herschikken van wetgeving. De artikelen die DNB tot zijn beschikking heeft, staan nu verspreid over de Bankwet en de Wft. Ik bestrijd niet dat het goed is om dit bij elkaar te brengen, maar het is een hele operatie om een nieuwe wet te schrijven. Ik vraag begrip van de Kamer voor het feit dat dit niet mijn prioriteit heeft. Als het nodig is om wetten te verbeteren, dan doe ik dat onmiddellijk.
Het MOB kijkt onder meer naar meer keuzemogelijkheden bij betalen op internet. Het betreft het gebruik van creditcards of acceptgiro’s naast het gebruik van iDEAL. Als één betaalwijze uitvalt, kun je nog op een andere manier betalen. Mevrouw De Vries vraagt wanneer het onderzoek gereed is en wanneer ik de resultaten zal terugkoppelen. Volgens mijn informatie legt het MOB, in het onderzoek naar de robuustheid van het elektronisch betalingsverkeer, de focus op alternatieve betalingsmethoden in het geval van storingen. De resultaten van het onderzoek worden deze zomer verwacht. Ik kan de resultaten meenemen in de brief van september. We kunnen dan kijken of dat wat uit het onderzoek komt, voldoende is.
De heer Nijboer heeft gevraagd naar een eventuele compensatieregeling voor de gebruikers van betalingsinfrastructuur na storingen. De vergelijking is gemaakt met de beschikbaarheid van het elektriciteitsnetwerk. Tevens werd een vergelijking met telecom gemaakt, waar nu blijkbaar wordt gewerkt aan een compensatieregeling. Banken zijn zeer gemotiveerd om hun zaken op orde te brengen. Ze worden daartoe ook geprikkeld, want er is sprake van een open markt en van concurrentie tussen banken en tussen betaalmethodes. Klanten die ontevreden zijn, kunnen overstappen. Het is wel een hoop gedoe – de heer Koolmees vindt dat het soepeler moet – maar het is wel mogelijk. Banken investeren zeer veel in de beveiliging van hun internetsystemen. Ik heb ook niet de indruk dat er onvoldoende prikkels zijn. Bij een monopolie op de infrastructuur zou die prikkel ontbreken. Waarom zou je je best doen, als iedereen toch van jouw netwerk gebruik moet maken? In Nederland is dat in de financiële sector niet aan de hand. Hebben banken wel een extra prikkel nodig? Ik denk dat het belangrijker is dat die alternatieven er zijn. Het onderzoek van het MOB ging ook over de alternatieven in het geval van een storing. Dit vormt een prikkel voor degenen die hun zaken niet op orde hebben. Dit heeft mijn voorkeur boven een compensatieregeling.
De heer Nijboer (PvdA): Deelt de Minister de mening van de PvdA-fractie dat geld en online bankieren een vitale publieke infrastructuur is? Er is concurrentie op de markt, maar als bij de ene bank het betalingsverkeer uitvalt dan heeft de andere bank ook een probleem. Als ABN AMRO er een week uitligt, dan kan de ING ook niet meer functioneren. Er zit dus een vitaal publiek element in. Dat kan een rechtvaardiging zijn voor het stellen van een norm, voor het toezichthouden op die norm en om te straffen als die norm niet wordt gehaald.
Minister Dijsselbloem: Voor het grootste deel zeg ik «ja», maar voor één onderdeel zeg ik «nee». Het is geen publieke infrastructuur; het is private infrastructuur. Het is wel vitale infrastructuur in de zin dat er ontregeling plaatsvindt van ons economisch verkeer en dus van ons maatschappelijk verkeer. Hoe langer en hoe breder de storing is, des te groter zijn de problemen. We hebben het toezicht geregeld in de wet, omdat het vitaal is. Er is uitgebreid toezicht op het betalingsverkeer in Nederland. Ik noemde net al het aantal mensen dat daar alleen al bij DNB mee bezig is. Een compensatieregeling zou een extra prikkel zijn. Is het een zinvolle extra prikkel? Zijn er op dit moment voldoende prikkels voor banken om hierin te investeren? Hebben we het toezicht al voldoende scherp? We hebben net gesproken over dat eerste. We gaan nog een aantal dingen uitbreiden in de wet en we gaan nog in gesprek om eventueel nog verder te gaan. Op een aantal punten moeten banken meer doen. Dat is nog in beweging en er zijn ook al afspraken over gemaakt. Nederlandse banken lopen voorop met hun systemen en zij investeren daar zeer veel in. Ze zijn zich zeer bewust van de kwetsbaarheid en de concurrentie onderling. Als de ING voortdurend storingen heeft, dan zijn er andere banken die het beter doen. Dat is dan niet goed voor de ING en zo krijg je gezonde concurrentie. Alle banken zijn zich daar zeer van bewust.
Op basis van een grove schatting kan ik zeggen dat banken 70 miljoen euro tot 100 miljoen euro per jaar uitgeven aan de beveiliging van de IT-infrastructuur voor hun betalingsverkeer. De banken en Equens hebben geïnvesteerd in back-upsystemen, zodat die blijven draaien op het moment dat er een storing is in het primaire netwerk. Het MOB analyseert wat er kan en moet gebeuren om het betalingsverkeer en de systemen robuuster te maken. Ik kom op dat punt terug als het MOB de analyse heeft afgerond. Mevrouw De Vries vroeg ook al naar die analyse. We nemen dit mee in de brief van september. Als de Kamer deze meer procedurele lijn steunt, dan zal ik na dit AO een brief sturen aan de partijen die in het MOB vertegenwoordigd zijn. Ik zal de aandachtspunten van de Kamer en mijzelf aan hen voorleggen en erop aandringen dat we in september meer concluderend verder praten. We moeten een gezamenlijk tijdpad afspreken.
Ik sluit me aan bij het debatje dat zich ontspon tussen de heer Koolmees en de heer Nijboer over fraude en de vraag wie bij fraude verantwoordelijk is. We moeten vaststellen dat een groot deel van de verantwoordelijkheid bij banken ligt. Er moet echter ook verantwoordelijkheid blijven liggen bij burgers. Mevrouw De Vries zei dat ook al. Consumenten moeten hun hardware en software op orde hebben en zij moeten geen onverstandige dingen doen met hun pincodes. Het zwaartepunt van de verantwoordelijkheid ligt echter bij banken. Dat is nu al zo en dat zal ook zo blijven. In principe vergoeden banken de schade die ontstaat door fraude met internetbankieren. Alleen bij opzet, grove schuld of ernstige nalatigheid kan de consument aansprakelijk worden gesteld. Je kunt dat niet helemaal dichtschroeien, zeg ik in de richting van de heer Nijboer. Je kunt van tevoren niet 100% helder maken wat de norm is en wanneer de consument verantwoordelijk wordt gesteld. Er is een oneindig aantal voorbeelden en casussen te bedenken, maar de hoofdlijn is dat banken de verantwoordelijkheid en de schade dragen. Banken dragen zelfs de schade als zij niet verantwoordelijk zijn. Alleen als er echt sprake is van aantoonbare ernstige nalatigheid, dan schuift de verantwoordelijkheid naar de consument toe. Banken gaan daar wel verschillend mee om. Ons bereiken voorbeelden waaruit blijkt dat er opvallende verschillen zijn tussen banken. Er vindt nu overleg plaats om dat op elkaar af te stemmen. We komen nog terug op de resultaten daarvan. Je kunt niet een absolute norm formuleren zodat elke consument precies weet dat als hij dit doet, dat hij dan goed zit en als hij dat doet, dat hij dan fout zit. Het zal altijd een zekere discretionaire beweging zijn. In de eerste plaats is het aan de bank. Als de consument het daar niet mee eens is, dan staan daar procedures voor open. Dat is de enige praktische manier om dat vorm te geven.
De heer Merkies (SP): In die discretionaire bevoegdheid zit juist het probleem. Ik kwam zelf met het voorbeeld van mensen die eens per week of per twee weken hun rekening moeten checken, zelfs op vakantie. Misschien komt de Minister daar nog op.
Minister Dijsselbloem: Daar kom ik nog op.
De heer Merkies (SP): Banken stellen dat namelijk als een van de voorwaarden. Als consumenten alleen bij grove nalatigheid zelf moeten betalen, dan is dat strijdig met wat er in die contracten staat. Ik begrijp dat banken dat op elkaar afstemmen. Ik hoop dat de Minister ernaar zal kijken en tegen de banken zal zeggen dat ze een aantal zaken in de contracten hebben laten staan die elk weldenkend mens onredelijk vindt.
Minister Dijsselbloem: In het MOB vindt overleg plaats over de verschillen tussen banken. De uitkomsten zullen aan ons gemeld worden. Het is privaatrechtelijk en daarom gaan we dat niet verder publiekrechtelijk specificeren. Ik zal DNB wel vragen om mee te kijken. Als DNB de indruk heeft dat het tot onvoldoende resultaten leidt, dan zullen we er op die manier druk op zetten. Dit punt kunnen we op de agenda zetten van september.
Kun je verwachten dat mensen hun bankafschriften checken? Ik ben iets strenger dan de heer Merkies. Zelfs als je twee maanden op vakantie bent, is het verstandig om tussentijds te checken hoe het met je bankrekening staat. Ik beveel dat consumenten aan.
Stel dat je pas laat ontdekt dat een bedrag onterecht is afgeschreven? Voor gewone incasso's geldt een termijn van acht weken, bij onterechte incasso's is de termijn zelfs één jaar. Dit geldt voor het hele Nederlandse betalingsverkeer. Dit lijken mij ruime termijnen. Enige eigen verantwoordelijkheid is wel van belang!
De heer Merkies (SP): Ik denk dat het niet heel gemakkelijk is op vakantie. De meeste mensen gebruiken gratis wifi tijdens hun vakantie. Het is dus niet zo gemakkelijk als de Minister denkt. De banken zetten heel strenge voorwaarden in hun contracten en op basis van coulance komen ze klanten tegemoet. Ik hoop dat we van dat model afstappen. Er moeten redelijke voorwaarden in de contracten komen te staan, waarin redelijke eisen aan klanten worden gesteld.
Minister Dijsselbloem: Ik ben het ermee eens dat er redelijke eisen moeten worden gesteld. Vindt de heer Merkies de eerder genoemde termijnen onredelijk? Misschien is het aan de orde als mensen op een onbewoond eiland zitten. Er zijn situaties denkbaar waarbij de bank niet kan zien of een incasso onterecht is. Een consument zal dan zelf zijn vinger op moeten steken. Bij onterechte incasso's is de termijn een jaar. Je mag toch wel van consumenten verwachten dat ze één keer per jaar naar hun bankrekening kijken en zich melden als er gekke dingen gebeurd zijn? Het lijkt mij niet onredelijk, maar misschien vergis ik me.
Mevrouw De Vries vroeg naar de invoering van IBAN-SEPA en dan met name door de mkb'ers. Wat is het risico als niet iedereen op tijd klaar is? Ons beeld is dat de grotere mkb'ers over het algemeen volop gestart zijn met de voorbereidingen. Mevrouw De Vries heeft gelijk dat kleinere bedrijven vaak nog niet gestart zijn. Bij deze bedrijven valt de impact vaak mee. Zij gebruiken internetbankieren en worden grotendeels door hun bank omgezet. DNB zal wel extra aandacht aan kleinere mkb'ers besteden en hen wijzen op wat moet gebeuren. Volgens onze inschatting kost het deze bedrijven minder tijd om te doen wat er moet gebeuren. De einddatum is nog steeds haalbaar. Het risico bestaat dat bedrijven bestanden met betaal- en incasso-opdrachten in oude formats bij banken blijven aanleveren, terwijl banken deze niet meer mogen verwerken. Dat is één van de aandachtspunten. Bedrijven kunnen hun toevlucht zoeken tot conversiediensten. Ze moeten daarvoor betalen, maar dan wordt het voor hen omgezet. Ze kunnen ook overgaan op het handmatig invoeren van betaalopdrachten of op andere betaalmethoden. Er zijn altijd noodpaden open.
Mevrouw De Vries vroeg of er afspraken gemaakt zijn over het verdwijnen van geldautomaten. Zij vraagt zich af of pinautomaten voldoende bereikbaar blijven. Er zijn een paar trends te zien. Er zijn inderdaad minder geldautomaten. In 2008 waren het er nog ruim 8.600 en in 2013 7.600. Er zijn dus 1.000 geldautomaten verdwenen in vijf jaar tijd. Er zijn overigens wel geldautomaten in supermarkten bij gekomen en deze worden zeer intensief gebruikt. De geldautomaat in het dorp, aan het einde van de winkelstraat, rechtsachter aan de zijmuur van de bank, is misschien weg, maar dan wordt de geldautomaat in de supermarkt intensief gebruikt. Indien in de praktijk echt een probleem ontstaat, dan kan dit worden gemeld bij de NVB. De NVB spreekt banken dan aan. Als het een breder probleem is, dan stelt men dit aan de orde in het MOB. Consumentenorganisaties kunnen het daar ook aan de orde stellen. In overleg met de banken kan gezocht worden naar specifieke oplossingen. Ik heb op basis van dit beeld geen aanleiding om groot alarm te slaan of er van mijn kant aandacht voor te vragen.
De volgorde is niet helemaal samenhangend.
De heer Merkies vroeg naar de plicht van banken om storingen te melden. Er zijn twee antwoorden mogelijk. Het eerste antwoord is dat het wetsvoorstel security breach notification wordt voorbereid door de Minister van Veiligheid en Justitie. Middels dit wetsvoorstel worden banken en andere instellingen verplicht dit te melden bij het Nationaal Cyber Security Centrum (NCSC). Alle inbreuken op de veiligheid of de integriteit van informatiesystemen moeten daar meteen worden gemeld, zodat er snel tegen kan worden opgetreden. Dat wetsvoorstel bevindt zich nu in de afrondende fase en komt dan naar de Kamer toe. Het tweede antwoord is dat de consumenten, middenstanders en bedrijven het gelijk willen weten als problemen zich voordoen. Dat is bij die ddos-aanvallen in het begin niet goed gegaan. Er werd onduidelijk of niet gecommuniceerd. Daar zijn de nodige lessen uit getrokken en we hebben afspraken gemaakt over hoe dat voortaan moet. Er is afgesproken wie op welke wijze wordt geïnformeerd en wie het voortouw neemt. Het belangrijkst is dat mensen worden gewaarschuwd als systemen niet functioneren, zodat zij er rekening mee kunnen houden. Er zijn allerlei moderne communicatiemethoden om consumenten te informeren. Er moet ook informatie worden verstrekt aan overheidsdiensten, toezichthouders en het NCSC. Dat is opnieuw afgesproken, want dat is toen niet goed gegaan. Er was veel verwarring en onduidelijkheid.
De heer Merkies (SP): Het eerste antwoord, over het deel waar de Minister van Veiligheid en Justitie over gaat, betreft inbreuk op de veiligheid. Dat is iets anders dan alle storingen. Dat is breder. Bij het eerste incident bij de ING was geen sprake van inbreuk op de veiligheid, maar je wilt wel graag op de hoogte gehouden worden. Wat zijn daar de normen voor? Kan de Minister daar ook op ingaan in zijn brief van na de zomer?
Minister Dijsselbloem: Het is praktischer om te verwijzen naar het wetsvoorstel dat nog komt. In dat wetsvoorstel staat in welke gevallen moet worden gemeld, welke normen er zijn en waarom die er zijn. Het lijkt me niet zinvol dat ik dat aan de Kamer schrijf en dat de Minister van Veiligheid en Justitie dat ook doet. Het gaat overigens over veiligheid of integriteit van informatiesystemen. Die scheiding is niet 100% te maken en zeker niet bij voorbaat. Sommige woordvoerders hebben er al op gewezen dat een ddos-aanval het creëren van een file is. Als die file vervolgens gebruikt wordt om in te breken, dan heb je uiteindelijk toch een veiligheidsbreach. Dat is overigens niet gebeurd. De ddos-aanvallen hebben wel tot grote problemen geleid met de toegankelijkheid en beschikbaarheid van systemen. Op die manier hebben de aanvallen het betalingsverkeer deels ontregeld. Ondanks de file heeft men niet in kunnen breken. Voor de vragen over wat dit wetsvoorstel gaat betekenen, voor wie en in welke gevallen, verwijs ik naar het wetsvoorstel dat nu wordt afgerond.
De heer Merkies (SP): Geldt dat wetsvoorstel ook voor niet-veiligheidsgerelateerde storingen? Ik noemde net het voorbeeld van een bank die pas na 41 dagen melding maakte. Ik hoop dat we dat hiermee uitbannen. Kan de Minister dat toezeggen?
Minister Dijsselbloem: Vooruitlopend op de wet, hebben we al afgesproken dat alles wat een risico kan zijn voor de integriteit en veiligheid van het betalingssysteem, aanvallen en storingen, voortaan moet worden gemeld. Dit regelen we vervolgens ook wettelijk. In de wet komt te staan wie wanneer wat moet doen. Ik begrijp de vraag en deze is volstrekt legitiem, maar de heer Merkies kan dat straks beoordelen aan de hand van het wetsvoorstel. We hebben nu al de afspraak dat ddos-aanvallen direct worden gemeld bij het NCSC en de toezichthouders en dat op een open manier wordt gecommuniceerd met consumenten en bedrijven, zodat zij daar rekening mee kunnen houden.
De heer Van Dijck zegt dat we de symptomen aan het bestrijden zijn, terwijl we de oorzaken moeten aanpakken. Dat is een verstandige redenering, maar we zullen er niet aan ontkomen om beide te doen. Het uitbannen van dit type aanvallen via het open internet, lijkt iets te hoog gegrepen. Desalniettemin doen we er wel veel aan. Er is al een apart team voor gecompliceerde high tech crime binnen de politie. De opsporingscapaciteit van het genoemde team is in 2012 al uitgebreid met 33 fte en in 2013 komt er een extra uitbreiding van 30 fte. Dat team wordt in hoog tempo uitgebreid, zodat er voldoende capaciteit aanwezig is. Bij de banken was begrijpelijke frustratie, omdat de bron van het kwaad niet wordt aangepakt. Daar gaan we meer capaciteit op zetten. Dit vraagt wel dat banken een incident melden zodra het zich voordoet. Als je het snel weet, dan kun je de bron proberen uit te schakelen terwijl de aanval nog bezig is. Dat vergt heel snelle meldingen. Het grote voordeel van zo'n apart team is dat je voldoende technische kennis en expertise in huis hebt.
Hoe werkt het? Wat kun je doen? Dat is volop in ontwikkeling.
Wanneer is het onderzoek naar de ddos-aanvallen afgerond? Wat is er bekend over de daders? Het onderzoek van de politie loopt. Ik kan er op dit moment niet meer over zeggen. Ik weet ook niet meer. Dat maakt het wel gemakkelijk. Als ik het wel zou weten, dan zou ik het waarschijnlijk niet zeggen om het onderzoek niet in gevaar te brengen.
De heer Van Dijck heeft een vraag gesteld over de kosten van pinbetalingen. Naar ik heb begrepen, vinden tussen de partijen van het convenant, detailhandel en banken, besprekingen plaats over dit punt. Ik kan de Kamer informeren over de uitkomsten, maar het is aan de partijen zelf om afspraken te maken. Overigens is het Nederlandse betalingsverkeer het meest efficiënte van Europa. Dat zijn ook mooie slotwoorden.
De heer Nijboer (PvdA): Voorzitter. Ik heb in mijn eerste termijn en in mijn interruptie betoogt dat het betalingsverkeer een vitale infrastructuur is. Het maakt me niet uit wie het uitvoert, publiek of privaat, maar het is voor zowel de economie als de samenleving een vitale infrastructuur. Er moet een norm worden gesteld. De veiligheid moet worden geborgd. De beschikbaarheid moet worden geborgd. Het moet duidelijk zijn wie verantwoordelijk is voor het toezicht, wie de norm stelt, wat die norm is en wie die norm handhaaft. Dat is mij, ook na de eerste termijn, niet volstrekt helder. Sterker nog, we hebben een brief van DNB waarin men zegt bevoegdheden te missen. De Minister geeft aan dat hij daarover in discussie wil en dat we in september daarover een brief krijgen. Dat lijkt me wijs. Ik wil echter wel graag antwoorden op die vragen. Ik vind het fundamentele vragen, want als die infrastructuur uitvalt, dan valt het hele land stil. Ik ben niet helemaal gerustgesteld door de antwoorden in de eerste termijn.
Ik heb met de heer Koolmees een interruptiedebatje gevoerd over de verantwoordelijkheid van consumenten. Helderheid is niet altijd te geven, want het is altijd een open norm. Het is voor consumenten wel van groot belang dat zij weten wat van hen wordt verwacht. Dat is nu niet altijd even duidelijk. De PvdA-fractie verzet zich tegen het feit dat bepaalde eisen worden opgenomen in de algemene voorwaarden, zoals de eis dat consumenten een virusscanner moeten hebben die ze elke drie maanden moeten updaten. Als ze dat niet doen, kunnen ze hun geld kwijt zijn. We moeten niet die richting op. 90% van de mensen doet dat nu ook niet. Ik vind het ontzettend ongelukkig dat de ene bank iets wel vergoedt en de andere bank, onder dezelfde omstandigheden, niet. Het is zo'n vitaal publiek goed. Je moet weten dat je geld veilig is als je netjes bent, als je niet grof nalatig bent en niet opzettelijk iets doet. Er moet geen geschuif met de norm zijn! Zegt de Minister toe dat dit niet het geval is en dat dit niet gaat gebeuren? Dit is de inzet van de PvdA. Ik wil graag dat dat de uitkomst van dit algemeen overleg is. Als dat niet het geval is, komen we met een motie.
Mevrouw De Vries (VVD): Voorzitter. Ik bedank de Minister voor zijn antwoorden. Ik ben blij dat we in september nog een brief krijgen. Hopelijk worden daarin veel meer dingen duidelijk en wordt het beeld weggenomen dat DNB en het Ministerie van Financiën het niet met elkaar eens zijn.
Het krijgen van een wet betalingsverkeer is geen doel op zich. Zaken die eventueel nog ontbreken, kunnen we ook opnemen in bestaande regelgeving. De insteek die de Minister daarbij kiest is prima.
Ik ga ervan uit dat in de brief van september ook ingegaan wordt op de back-upfaciliteit voor het pinnen. Er is nu namelijk discussie over tussen de NVB en een aantal ondernemersorganisaties. Na drie jaar steggelen, zou men daar in het MOB voor de zomer uit zijn. Wij vinden het belangrijk dat daar duidelijkheid over komt.
Er zijn nog twee dingen blijven liggen in de eerste termijn. D66 en de PVV hebben daar ook naar gevraagd. Het betreft het openen van interbancaire systemen tijdens weekenden en feestdagen. Ondernemers hebben er last van dat dat nu niet mogelijk is. Wij vinden het belangrijk dat die mogelijkheid er komt. Hoe zit dat?
Ik had ook nog gevraagd naar de herziening van de Richtlijn Betaaldiensten, de Payment Services Directive (PSD), en de privacyaspecten daarvan. Wij hebben signalen ontvangen dat daar wat haken en ogen aan zitten. We moeten vroegtijdig in de discussie met Europa inbrengen dat we voldoende waarborgen moeten inbouwen voor de privacy.
De heer Koolmees (D66): Voorzitter. Ik bedank de Minister voor de beantwoording in eerste termijn. Zoals de heer Nijboer zegt, is betalingsverkeer vitale infrastructuur. Er is concurrentie, maar dat geldt met name voor de klanten van de banken. Er zit ook een andere kant aan, want de winkelier kiest niet voor de bank van de klant. Als een klant niet kan betalen omdat de bank van de klant een storing heeft, dan is er wel sprake van concurrentie maar niet van een waarborg voor efficiënt werkend betalingsverkeer. Neemt de Minister dit mee in het MOB? Hier schuurt namelijk het punt van de heer Nijboer met de reactie van de Minister. Ik ben zeer voor concurrentie en ik ben er ook voorstander van dat de klant kan overstappen. De Minister weet dat. Hier zit een raakvlak met publieke infrastructuur.
Ik maak me ook zorgen over de discussie tussen DNB en de Minister van Financiën. Uit de brieven die wij van DNB hebben gekregen, blijkt dat het wetsvoorstel inzake de afwikkelondernemingen nog steeds niet het gehele betalingsverkeer onder toezicht stelt. Ik ga ervan uit dat er een goed gesprek komt, dat goede argumenten worden gewisseld en dat er een goede oplossing komt voor dit probleem. We wachten daarbij september af.
Ik heb geen antwoord gekregen op mijn vraag over Equens en het betalingsverkeer in het weekend. Gaat de Minister dit regelen? De heer Nijboer dreigt met moties en ik ga daarin met hem mee. Ik hoop dat de Minister dit op kan pakken en dat dit opgelost kan worden. Hier is verbetering van de dienstverlening aan de klant mogelijk.
Ik vroeg naar de informatievoorziening van de banken, de intensiteit van de ddos-aanvallen en of de banken voldoende hebben gedaan om aan extra capaciteit te komen. Ik vroeg ook naar filters en het aanvullend scheiden van benaderingen. Daar heb ik nog geen antwoord op gekregen. Als ik geen antwoord krijg, dan vraag ik het gewoon nog een keer. Ik weet waar het over gaat, want ik heb hier allerlei voetnoten.
De heer Merkies (SP): Voorzitter. Ik bedank ook de Minister voor de antwoorden in eerste termijn. Op een paar vragen zijn geen antwoorden gekomen. Er geldt een algemene regel dat banken bij ernstige verstoringen moeten kunnen uitwijken naar een schaduwsysteem. Binnen vier uur moet men op een ander datacentrum kunnen draaien. Controleert DNB of die tijdslimieten worden gehaald? Het is dit jaar een aantal keren misgegaan, met name bij de ING. Zou DNB in dat geval sancties kunnen opleggen?
Ik heb ook nog een vraag gesteld over de manier waarop het in België gaat. Banken worden daar verplicht één keer per jaar gedurende ten minste één week met hun productiesystemen uit te wijken naar een andere locatie. Ze gaan dan van hun bekende productiesysteem naar een schaduwsysteem. Je ziet dat het werkt als men dat één keer per jaar moet doen.
De Minister zei dat je niets kunt doen aan ddos-aanvallen. Ik heb daar een paar kanttekeningen bij. Het klopt dat je niets kunt doen om ze te voorkomen. Banken gaan er echter heel verschillend mee om. Sommige banken zijn veel succesvoller in het afslaan. Dat zou als best practice voor andere banken kunnen dienen. Ik ben nog niet overtuigd door het antwoord van de Minister over de wet van Veiligheid en Justitie. Gaat dit alleen maar om meldingen op het punt van veiligheid? Wij willen namelijk meer. Het moet ook om het melden van storingen gaan. Dat is toch echt wat anders. Ik zou me kunnen voorstellen dat Veiligheid en Justitie het alleen maar over ddos-aanvallen heeft, terwijl wij ook direct in kennis willen worden gesteld van een interne storing bij een bank.
De heer Tony van Dijck (PVV): Voorzitter. Het is jammer dat we vandaag spreken over online betalingsverkeer. Online betalingsverkeer is natuurlijk een belangrijk issue, maar de aanleiding voor dit debat werd gevormd door de ddos-aanvallen in april. Die aanvallen troffen ook de Belastingdienst, de rijksoverheid, KLM en DigiD. Dat zijn allemaal zaken die het online betalingsverkeer niet raken. Wat heeft het kabinet gedaan om te voorkomen dat ddos-aanvallen, zoals in april, niet meer kunnen gebeuren? Het was namelijk nogal wat.
We hoorden tijdens de hoorzitting dat Israël 750 miljoen dollar investeert in technische infrastructuur. Wat investeert Nederland in de technische infrastructuur om zich klaar te maken voor deze nieuwe tijd van cybercrime en ddos-aanvallen? De Verenigde Staten investeren miljarden dollars per jaar en Nederland komt op 4 à 5 miljoen euro per jaar. Zien de Minister en dit kabinet de ddos-aanvallen, zoals ze in april hebben plaatsgevonden, inderdaad als een wake-upcall? Zien ze hoe kwetsbaar Nederland eigenlijk is voor dit soort aanvallen? Ik mis een beetje de sense of urgency bij deze Minister. Ik mis bij de Minister het gevoel van: we zitten er bovenop en dit gaat ons nooit meer gebeuren; de technische infrastructuur van Nederland moet een hoge prioriteit krijgen en de keten moet worden beschermd. Dat is een gemiste kans, want het kan ons morgen weer gebeuren. Iedereen lijkt zich daarbij neer te leggen. Misschien was het slechts een voorproefje van die criminelen in april. Misschien denken ze dat Nederland lekker kwetsbaar is en gaan ze in juli echt een keer aan de slag met de betalingssystemen, met DigiD en de Belastingdienst. Misschien laten ze Nederland dan zien waartoe ze in staat zijn. Ik mis de bescherming voor die systemen.
In de eerste termijn stelde ik een vraag over het systeem TINA, zoals dat in België is geïntroduceerd. Waarom kan dat niet in Nederland? We zouden het betalingsverkeer kunnen continueren via het Belgische back-upsysteem.
Verder wacht ik de brief van de Minister in september af. Ik blijf hopen en bidden dat ons niets gebeurt in de tussentijd.
Minister Dijsselbloem: Voorzitter. Wat het laatste punt betreft, pleit ik voor enig realisme. Zelfs als we dit type aanvallen onder controle hebben, zullen er nieuwe typen aanvallen komen. Daar moeten we rekening mee houden. We moeten ons voortdurend prepareren en dat vergt voortdurend aanpassingen in systemen, in beveiliging, in protocollen van samenwerking, in wetgeving en bij de toezichthouder. Hier moeten we ons op instellen. Dat betekent niet dat je je erbij neerlegt. In de bewoording van de heer Van Dijck sluipt iets van: we moeten het voorkomen en het mag niet meer gebeuren. Het realistische antwoord daarop luidt dat het gaat gebeuren. Het is net zoiets als zeggen dat inbraken niet meer mogen gebeuren. Inbraken zullen gebeuren. De vraag is echter of je voldoende organisatiekracht hebt en voldoende effectief bent om ertegen op te treden. We zullen ons voortdurend moeten aanpassen. Vandaar dat het team bij de politie dat hierin gespecialiseerd is, heel snel wordt uitgebreid. Vandaar dat de Minister van Veiligheid en Justitie met nieuwe wetgeving op dit punt komt. Vandaar dat we de Wft op twee punten aanpassen en verbreden. Vandaar dat we het gesprek met DNB aangaan over de vraag of het nog verder moet worden verbreed naar nog meer organisaties die direct of indirect betrokken zijn. Als dat nodig is, dan gaan we dat doen. Ik zit daar heel nuchter in. Dat moet de toon zijn. We moeten met elkaar kijken wat zinvol is en wat er nog meer moet gebeuren.
De heer Tony van Dijck (PVV): Dit kwam natuurlijk ook in de hoorzitting naar voren. Toen werd de vergelijking gemaakt met 100.000 mensen op een perron. Als 100.000 mensen op een perron staan, dan heb je een probleem, want dan loopt de zaak vast. Je ziet echter wel die 100.000 mensen naar het station lopen. Dit kun je vergelijken met de files. De Minister zegt dat er altijd files zullen zijn en dat we ons er maar bij neer hebben te leggen. Je kunt echter files ook voorkomen door bredere wegen aan te leggen en te anticiperen bij de serviceproviders. Als een serviceprovider honderdduizenden berichten ziet afkomen op een ABN AMRO, dan kun je ervan uitgaan dat de ABN AMRO uit de lucht gaat. Die serviceprovider zou iets moeten verzinnen, bijvoorbeeld het stoppen van de berichtenstroom ter voorkoming van die file, ter voorkoming van die 100.000 mensen op dat perron.
Minister Dijsselbloem: In de vraag zit de aanname besloten dat dit soort technische mogelijkheden en verbeteringen niet worden benut en ingezet. Natuurlijk gebeurt dat. Op allerlei plekken vinden aanpassingen plaats. Er wordt verder geïnvesteerd in schaduwsystemen en manieren om dit soort aanvallen tegen te gaan. Om de vergelijking met de file maar eens te trekken: natuurlijk helpt het als je extra wegen aanlegt en wegen verbreedt tegen de file, maar dan nog kan er zo nu en dan een ongeluk gebeuren. Als iemand moedwillig zijn auto dwars op de weg zet, dan heb je een file. Je kunt bouwen en investeren in systemen wat je wilt, maar dan heb je een file. De vraag is of je er vervolgens goed mee omgaat en de schade beperkt. Dat zou mijn enige waarschuwing zijn. Er moet voortdurend geïnvesteerd worden. Dat gebeurt ook. We moeten de druk erop houden zodat het sneller gebeurt. Heb niet de illusie dat dit gestopt kan worden en kan worden afgewend! Het is een continue wedloop waarin we mee moeten.
Een aantal vragen is blijven liggen. Die had ik meteen moeten beantwoorden. Eén vraag ging over het betalingsverkeer in het weekend. Ik zeg de heer Koolmees toe dat ik met de banken en DNB overleg waarom dat niet mogelijk is en op welke wijze en hoe snel dit mogelijk gemaakt zou kunnen worden. Ik heb hier veel teksten over de problemen die daaraan vastzitten, deels ook Europees. Dat laat ik nu maar even zo, want het punt is helder. We gaan kijken wat kan en hoe snel dat zou kunnen. Als het antwoord zou zijn dat het heel ingewikkeld is of dat Europa het vergt, dan krijgt de Kamer het antwoord ook, maar dan in de brief van september.
Mevrouw De Vries vroeg naar de back-upfaciliteit voor het pinnen. Ook daarvan zegt de NVB dat er allerlei complicaties aan zitten. Tegelijkertijd wordt er gewerkt aan een oplossing. Ik zal de gang van zaken melden in september.
Naar aanleiding van de calamiteiten in de laatste maanden, is er heel veel in gang gezet. Allerlei overleggen zijn gestart en allerlei zaken zijn ter hand genomen. In september kan ik de Kamer meer melden over waar we staan. We kunnen dan beoordelen of het voldoende is. Misschien moet er meer gebeuren op het punt van wet- en regelgeving. Dat geldt dus ook op het punt van het coulancebeleid van de banken. De heer Nijboer zei dat je gewoon moet weten dat je geld veilig is als je je netjes hebt gedragen. Dat lijkt me de bottomline. Als je je gedraagt zoals je van een consument mag verwachten, in termen van niet je pincode achter je voorruit plakken, dan komt de verantwoordelijkheid primair bij de banken te liggen. Die verantwoordelijkheid gaan we niet helemaal bij de consumenten weghalen, maar dat heeft de heer Nijboer ook helemaal niet bepleit. Die hoofdlijn moet wel duidelijk zijn. Het belangrijkste winstpunt is het verhelderen van de gelijke spelregels die banken hanteren. Dat moet niet op het strengste niveau, maar op een redelijk niveau gebeuren. De wijze waarop individuele banken ermee omgaan, moet veel meer gelijkgetrokken worden. Er moet gecoördineerd worden, zodat er geen ongelijke behandeling van gelijke gevallen ontstaat. Vervolgens zullen de Kamer, DNB en ik beoordelen of dat op een redelijk niveau is of dat de eisen aan de consumenten veel te ver gaan. Dat is de beste weg.
Mevrouw De Vries vroeg naar privacy en Equens. Mijn verwachting is dat in de komende herziening van de Richtlijn Betaaldiensten inderdaad een bepaling zal worden opgenomen over de toegang tot de betaalrekening door derden. Deze activiteiten hebben in sommige landen al een hoge vlucht genomen. De inzet van Nederland is dat het in beginsel goed is om deze activiteiten onder toezicht te stellen. Onze randvoorwaarde is dat de veiligheid van het betalingsverkeer hierdoor niet in het geding mag komen. Banken, cliënten van banken en derden moeten afspraken maken over de voorwaarden waaronder toegang tot betaalrekeningen door derden mogelijk is. Die discussie gaat gevoerd worden in het kader van die aankomende herziening van de Richtlijn Betaaldiensten. Aan de hand van het BNC-fiche dat het kabinet zal uitbrengen over die herziening, zal de Kamer hierover geïnformeerd worden.
De heer Merkies vroeg wat er gebeurd is naar aanleiding van de cyberaanvallen. Een deel van die vragen zal worden beslecht in het wetsvoorstel van Veiligheid en Justitie. Een deel van de afspraken is al gemaakt. Het gaat dus verder dan alleen maar criminele aanvallen, want er zijn ook afspraken gemaakt over verstoringen van de systemen. Die storingen moeten altijd gemeld worden bij DNB en zullen publiekelijk worden gemaakt, zodat consumenten en bedrijven daar rekening mee kunnen houden. De NVB heeft iemand geplaatst bij het NCSC om te zorgen dat de communicatie tussen dat centrum en de banken optimaal wordt. Die samenwerking is gericht op voorkomen en vervolgen.
Ik heb al toegezegd dat we in september terugkomen op de analyse van het MOB.
Hebben we nog antwoorden op de schaduwsystemen in België?
De voorzitter: TINA
Minister Dijsselbloem: TINA?
De voorzitter: Dat systeem heeft de naam TINA. Daar was ook nog een vraag over blijven liggen.
De heer Koolmees (D66): Ik heb in eerste en tweede termijn de vraag gesteld over een aanvullende scheiding van benaderingen. Het sluit aan bij de vraag van de heer Van Dijck. Files kun je nooit voorkomen, want als iemand zijn auto dwars op de weg zet, dan heb je een file. We weten dat. Het blijkt echter dat er allerlei technische oplossingen zijn. We kunnen bij wijze van spreken met een opblaasbare brug over die auto heen rijden. Dat heeft te maken met die extra capaciteit, de filters en die aanvullende scheiding van benaderingen, want je wordt dan omgeleid over een andere weg. Daar zitten allerlei technische oplossingen voor het probleem. Misschien is het praktisch om dit punt mee te nemen in het MOB-overleg en in de brief van september. Mijn fractie is heel erg geïnteresseerd in technische oplossingen die voorkomen dat files ontstaan en die voorkomen dat veiligheidsproblemen ontstaan.
Minister Dijsselbloem: Naar aanleiding van de ddos-aanvallen is de capaciteit bij de banken om het dataverkeer om te leiden al uitgebreid. De banken zijn nu veel beter geprepareerd. We hebben dat ook al kunnen zien, want de aanvallen zijn niet gestopt na die eerste keer. De heer Van Dijck noemde de aantallen net al. Er zijn veel aanvallen geweest en het gaat maar door. De banken zijn in korte tijd veel beter geworden in het omleiden van dataverkeer en daarmee in het voorkomen van datafiles en het afweren van grote aanvallen. De resultaten zijn nu al zichtbaar.
Ik kan geen reactie geven op de techniek die de heer Koolmees uit de voetnoten opdiept. Als de heer Koolmees echt op dat niveau antwoorden wil hebben en wil weten of het goed is of dat het anders moet, dan zullen we die antwoorden leveren, want dat is onze basishouding. Ik weet niet of de heer Koolmees echt op detailniveau wil weten wat er gebeurt en hoe het gebeurt.
De heer Koolmees (D66): Mijn collega's, de heer Verhoeven en de heer Schouw, hebben een aantal keren dit punt vanuit de techniek aangevlogen bij uw collega van Veiligheid en Justitie. Het ging toen om extra capaciteit voor cybersecurity en opsporing en om extra capaciteit in de techniek. We hebben een aantal keren dat punt gemaakt en we zullen dat ook blijven doen. Ik zal de Minister straks de voetnoten meegeven voor het gesprek met het MOB.
De heer Merkies (SP): Er zijn afspraken gemaakt over storingen. Ik heb echter begrepen dat het melden van storingen vrijwillig is. Een belangrijke vraag over de mogelijkheid om met je productiesysteem uit te wijken naar een uitwijklocatie, is blijven liggen. Het is de bedoeling dat een bank dat binnen vier uur doet. Dat gebeurt regelmatig niet. In België moet men dat verplicht een week per jaar doen. Ik heb de vraag nu twee keer gesteld. Mocht de Minister geen antwoord kunnen geven, dan kan dat mee in de brief.
Minister Dijsselbloem: Ik neem deze vraag mee in de brief. Banken hebben uitwijklocaties waar alternatieve systemen beschikbaar zijn.
Het klopt dat de afspraak over het melden van storingen op vrijwillige basis is. Als banken, DNB en het NCSC afspreken dat zij voortaan alle bedreigingen voor de veiligheid of de integriteit van de betalingssystemen melden, dan ga ik ervan uit dat men zich daaraan houdt. Dat is ook in het belang van banken. Banken hebben er geen belang bij om het NCSC erbuiten te houden. Sterker nog: de banken dringen erop aan dat er meer actie ondernomen wordt en dat er meer capaciteit op gezet wordt. Dat gebeurt ook. Banken hebben er geen belang bij om het niet te melden. Banken hebben ook afspraken gemaakt met DNB. DNB heeft een formele rol als toezichthouder. Banken zullen voortaan directer communiceren over storingen en bedreigingen naar consumenten en bedrijven. We hoeven niet alles in de wet te zetten. Als blijkt dat het allemaal niet werkt omdat men zich niet aan afspraken houdt, dan kunnen we het in de wet opnemen. Ik mag ervan uitgaan dat deze partijen gezamenlijke belangen hebben om deze afspraken na te komen en dit probleem te tackelen.
De heer Merkies (SP): Misschien dat dat dan goed gemonitord kan worden, zodat we kunnen zien of ze zich aan de afspraken houden ten aanzien van het melden van alle storingen. Ik weet dat banken die uitwijkmogelijkheid hebben, maar het is de vraag of ze daar ook gebruik van maken. Gaan ze binnen die vier uur naar de uitwijkmogelijkheid toe? Dat is dit jaar een aantal keren misgegaan, met name bij de ING. Wordt daar strenger op toegezien en worden er mogelijk zelfs sancties opgelegd?
Minister Dijsselbloem: Laten we dat punt ook meenemen in de brief. Ik weet dat er uitwijkmogelijkheden bestaan. De infrastructuur is dus beschikbaar. De vragen of dat voldoende gebeurt en of daar meer druk op moet worden gezet, zullen we aan DNB stellen.
De heer Tony van Dijck (PVV): Ik vind het raar dat de Minister niet ingaat op het Belgische systeem. Dat werd namelijk nadrukkelijk genoemd tijdens de hoorzitting. In België kun je wel gewoon 24/7 betalen. Als het systeem uit de lucht is, dan sparen ze die transacties op in een soort back-up. Als het systeem weer werkt, dan worden die opdrachten verwerkt. Dat kan ook een dag later zijn. In België werkt dat prima. In april hebben we gezien dat winkels en pompstations gigantische problemen hadden. Mensen die al getankt hebben, kun je moeilijk zeggen dat ze die 50 liter benzine weer uit hun tank moeten halen. Het systeem in België om de continuïteit van betalen op gang te houden, is toch mooi? We moeten kijken naar België en dit meenemen in het overleg met het MOB.
Minister Dijsselbloem: Het MOB kijkt naar dit thema. Het komt nog terug in de brief van september. Het lijkt me het verstandigst dat we in de brief de vraag beantwoorden of het Belgische systeem het antwoord is.
De heer Nijboer (PvdA): Ik heb in eerste en in tweede termijn gevraagd naar de vitale infrastructuur en de wijze waarop de veiligheid en beschikbaarheid worden geborgd. Op welke wijze wordt daar in de brief van september op ingegaan? Hoe borgen we de veiligheid? Wie houdt het toezicht? Hoe is het geregeld? Wie is er verantwoordelijk? Ik vind dit echt majeure punten en het is me nog niet helemaal helder hoe dat in de brief van de Minister terugkomt. Ik vond het een goede redenering van de heer Koolmees dat consumenten een bank kiezen, maar dat winkeliers daar ook afhankelijk van zijn. Dat deel van de vitale infrastructuur heb ik nog niet in de beantwoording gehoord. Het is van belang om te borgen dat winkeliers hun geld krijgen als een bank niet functioneert. Dit is echt een publieke verantwoordelijkheid. Hoe staat de Minister daar tegenover en hoe gaat hij daar in de brief op in?
Minister Dijsselbloem: Ik heb in de eerste termijn al gezegd dat we in de brief helemaal kunnen uitschrijven hoe het in elkaar zit. In de hoorzitting is de suggestie gewekt dat het niet geregeld is, dat er geen effectief toezicht is, dat het te vrijblijvend of te vrijwillig zou zijn en dat er geen dwingende mogelijkheden en instrumenten voor de toezichthouder zijn om op te treden. Ik verzet me tegen die suggestie. Er is gewoon uitgebreid toezicht, wettelijk en in personele zin, op het betalingsverkeer in Nederland. Het betalingsverkeer functioneert buitengewoon goed. Dan nog gaan er dingen mis en hebben we gesprekken over aanvullende bevoegdheden in de wet. Vindt de Kamer het zinvol dat ik in de brief helemaal uitschrijf wat er in de wet staat? De Kamer is medewetgever; het spijt me zeer. Ik mag aannemen dat de Kamer kennis heeft genomen van wat zij zelf in de wet heeft geregeld in het verleden. In de twee wetten die ik heb genoemd, is geregeld welke bevoegdheden er zijn. Op een paar punten zullen we die verbreden. Eén van de voorstellen ligt al bij de Kamer. Op één aanvullend punt zijn we nog in gesprek met DNB. Ik ben nog niet overtuigd van de meerwaarde, maar ik sta er oprecht voor open. We zetten het gesprek met DNB voort.
Dan blijft de oude wens van DNB over om een aparte wet voor het betalingsverkeer te hebben. De huidige calamiteiten worden aangegrepen om die oude wens weer op tafel te leggen. Ik begrijp dat, maar het vergt veel werk en inzet van wetgevingscapaciteit. Ik zet die capaciteit nu liever in op andere prioritaire thema's ten aanzien van de financiële sector. De PvdA-fractie dringt bijvoorbeeld zeer aan op wetgeving met betrekking tot het beloningsbeleid van banken en het toezicht daarop. Met die wetgeving zijn we nu bezig. Ik verzet me tegen het beeld dat er geen toezicht is op het betalingsverkeer, dat het niet geregeld is, dat het niet dwingend is en dat het niet helder is wie welke verantwoordelijkheid heeft. DNB heeft in Nederland de verantwoordelijkheid voor het toezicht op het betalingsverkeer. DNB heeft er 265 man voor, heeft er budget voor en heeft er bevoegdheden voor. Op onderdelen kijken we of die bevoegdheden iets ruimer moeten zijn.
De heer Nijboer (PvdA): Als medewetgever moeten we precies snappen wat er aan de hand is. Wat is de norm? Wat accepteert DNB als toezichthouder, als het geregeld is, aan storingspercentages? Wat zijn de maatschappelijke kosten die daar tegenover staan? Dat is me in dit debat niet helder geworden. Ik wil dat graag in de brief van september zien.
Minister Dijsselbloem: Ik ben daar zeer toe bereid. Ik zit hier niet koppig te wezen. Deze elementen noemt de heer Nijboer nu voor het eerst in dit debat. Welk storingspercentage accepteert DNB? Hoe treedt DNB op als dat wordt overschreden? Dat zijn relevante, concrete vragen. Ik kan daar op ingaan in de brief. Als de heer Nijboer in algemene zin wil weten wie er verantwoordelijk is voor het betalingsverkeer, want dat was tot nu toe zijn betoog, dan zeg ik dat het in de wet staat en dat dat DNB is. Ik kan aanwijzen in welke artikelen staat hoe het geregeld is. We hoeven elkaar niet eindeloos bezig te houden. In de brief kunnen we ingaan op de normen van DNB, bijvoorbeeld op het gebied van storingspercentages. We kunnen dan met elkaar bespreken of die normen helder en streng genoeg zijn.
De voorzitter: Ik kijk naar de heer Nijboer om te zien of hij nog behoefte heeft aan het VAO waarop hij net zinspeelde.
De heer Nijboer (PvdA): Ik vind de laatste toezegging op zichzelf wel helder. Er zijn echter veel vragen gesteld in dit algemeen overleg. Ik kijk ook even naar mijn collega's. Ik heb zelf de term «meestribbelen» gebruikt voor de sector in dit dossier. We wachten nu weer tot september. We hebben niet voor niets vandaag dit algemeen overleg. We hebben een boel verschoven naar die tijd. Ik wil echt helderheid hebben over een paar punten. Ik denk dat het goed is dat de Kamer daar een uitspraak over doet. Ik vraag bij dezen een VAO aan.
De voorzitter: Dan nemen we daar kennis van en kunnen we dat aanmelden. Wij kunnen alvast rekening houden met een volgend debat als de uitgebreide brief in september gaat verschijnen. Ik dank iedereen voor de inbreng.
Sluitingstijd: 12.10 uur