Vastgesteld 8 oktober 2021
De vaste commissie voor Digitale Zaken, belast met het voorbereidend onderzoek van bovenstaand wetsvoorstel, heeft de eer als volgt verslag uit te brengen van haar bevindingen.
Onder het voorbehoud dat de regering op de gestelde vragen tijdig en genoegzaam zal hebben geantwoord, acht de commissie de openbare beraadslaging over dit wetsvoorstel voldoende voorbereid.
INLEIDING
Inleiding
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel Wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur. Het betreft hier een zogenaamde novelle. Graag willen deze leden de regering een aantal vragen stellen.
Wordt als het gaat om privacy by design, verhandelverbod en open source in het onderhavige wetsvoorstel iets anders geregeld dan in het wetsvoorstel dat in de Tweede Kamer is aanvaard en nu in de Eerste Kamer ligt1? Of wordt alleen voorgesteld om deze punten bij wet te regelen in plaats van bij algemene maatregel van bestuur (AMvB)? Daarnaast vragen deze leden de regering inzicht te geven in de uitvoeringstoetsen. Welke uitvoeringstoetsen met betrekking tot de Wet digitale overheid zijn tot op heden gedaan? Wat waren de uitkomsten? Wat is de betrokkenheid van de Vereniging van Nederlandse Gemeenten (VNG)? Graag krijgen deze leden een reactie van de regering.
De leden van de D66-fractie hebben kennisgenomen van de wijziging van het voorstel Wet digitale overheid. Voor deze leden zijn basisprincipes van privacy by design, open source en het verhandelverbod belangrijke kernpunten voor een goed functionerende digitale overheid, echter hebben de aan het woord zijnde leden nog enkele vragen.
Deze leden zien dat de regering in de wijziging van het voorstel meerdere keren kiest voor delegatie bepaling door middel van AMvB’s. Deze leden erkennen dat dit nodig kan zijn om wetgeving aan te laten sluiten bij snel veranderende digitale standaarden, maar sluiten zich aan bij het advies van de Raad van State dat te abstracte wetten leidt tot onzekerheid over de gevolgen van de hoofdelementen van de desbetreffende wetten. Zo is er op het gebied van de transitietermijn of het voldoen aan een open source licentie niets opgenomen in de wijziging van het voorstel. Acht de regering het niet wenselijk dat begrippen zoals «voldoende gebruik» van open source heldere criteria vereisen in het voorstel zelf? Deze leden horen graag van de regering welke gevolgen voorzien worden op de wijziging van het voorstel met de aankondiging van een herziening van de eIDAS-verordening door de Europese Commissie. Voorziet de regering problemen of oneerlijke concurrentie als er voor Nederlandse aanbieders andere eisen bestaan op het gebied van open source dan andere Europese aanbieders die toegang krijgen tot de Nederlandse markt?
De leden van de CDA-fractie hebben met belangstelling kennisgenomen van onderhavig wetsvoorstel. Deze leden menen dat een voortvarende behandeling van belang is. Wel hebben zij nog een enkele vraag over het wetsvoorstel. Deze leden vragen de regering waarom er niet meer techniek-afhankelijke bepalingen in het wetsvoorstel zijn opgenomen, zoals de Afdeling advisering van de Raad van State heeft geadviseerd. De leden van deze fractie vragen voorts naar de uitwerking van de motie-Van der Molen2. Deze motie is gericht op het herstellen van een weeffout die is ontstaan in de aanloop van het gehele wetstraject en de Kamer is geïnformeerd over de uitvoering van de motie. De uitwerking zal op zijn vroegst geregeld worden bij de tweede tranche van de Wet digitale overheid. Deze leden vragen waarom dit niet nu al via deze novelle geregeld kan worden.
De leden van de SP-fractie hebben kennisgenomen van de wijziging van de Wet digitale overheid en hebben hierover nog verscheidende vragen en opmerkingen. Genoemde leden hebben al eerder tijdens de behandeling van dit wetsvoorstel hun kritiek geuit. Die kritiek zag met name op de verhouding tussen publieke en private middelen en de ernstige tekortkomingen in de wet omdat veel voorstellen niet voldoende waren uitgewerkt. De leden hebben daarom destijds ook niet ingestemd met de Wet digitale overheid. Genoemde leden vinden het dan ook terecht dat de wet wordt aangepast na verschillende zorgen vanuit de Eerste Kamer. Genoemde leden zien echter nog niet voldoende verbetering in de voorgestelde wijziging. Genoemde leden vragen naar de motivering van de regering om de wet niet verder uit te breiden met meer waarborgen rondom digitalisering. In een wet die de titel «Wet digitale overheid» draagt zou dat volgens genoemde leden passend zijn. In het rapport «Digitalisering in wetgeving en bestuursrechtspraak» doet de Raad van State zes aanbevelingen3. Deze zien onder andere op de gevolgen van automatisering voor burgers. Zo adviseert de Raad onder andere om «goede en inzichtelijke afspraken te maken over onderwerpen als verantwoordelijkheid, datagebruik, eigendom van data en techniek, onderhoud en knowhow.». Ziet de regering ook mogelijkheden om in deze wet ruimte te vinden voor de aanbevelingen van de Raad en hierover met een visie te komen? De leden van deze fractie lezen dat het in algemene zin reguleren van alle vormen van commerciële uitnutting van persoonsgegevens buiten de werkingssfeer van dit wetsvoorstel valt. Waarom is hier voor gekozen? Waarom is er niet gekozen voor een ruimere definitie elke vorm van commerciële uitnutting van persoonsgegevens wordt uitgesloten?
De leden lezen dat er nog steeds zorgen leven over de delegatiebepalingen in de wet. Daar hebben deze leden ook aandacht voor gevraagd bij de behandeling van de wet. Zij lezen dat de Raad van State en de regering hierover nog altijd van inzicht verschillen, in zoverre dat de wet zelf meer substantie zou kunnen gebruiken. Dit ziet onder andere op de techniekonafhankelijke formuleringen. Kan de regering nader ingaan op de kritiek van de Raad van State? De Raad van State adviseerde om begrippen als MijnOverheid en het BSN-Koppelregister in de wet zelf op te nemen. De regering geeft aan het advies te hebben opgevolgd maar genoemde leden zien dit nergens terug. Waarom denkt de regering dat er wel aan het advies is voldaan?
De leden van de GroenLinks-fractie hebben kennisgenomen van de wijziging van het voorstel van wet houdende algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid). De leden hebben nog enkele vragen. De voornoemde leden merken immers op dat de adviezen van de Raad van State niet in de volledigheid zijn meegenomen betreffende de techniekonafhankelijkheid. De uitwerking hiervan wordt nog steeds aan lagere overheden overgelaten. De voornoemde leden zien geen belemmering om het wetsvoorstel te concretiseren in plaats van in abstracties te blijven. Immers bestaat er al de mogelijkheid om de regering tijdelijk de mogelijkheid te geven om op onderdelen van de wet af te wijken om ruimte te geven aan innovatie. Blijft de regering bij het standpunt dat het onnodig is om in de wet de voorzieningen met een door de techniek ingegeven benaming aan te duiden? Wat is de verwachte omlooptijd waarin dezelfde technieken worden gebruikt? Tevens merken de voornoemde leden op dat uit antwoorden van de regering blijkt dat verschillende zaken in de Wet digitale overheid moeten worden gehandhaafd. Denkt de regering dat voor handhaving voldoende middelen zijn? Waar baseert de regering zich op?
De leden van de Volt-fractie hebben met belangstelling kennisgenomen van het gewijzigde wetsvoorstel. Zij hebben hierover nog enkele vragen. De eerste vraag, betreft een algemene vraag ten aanzien van de noodzakelijkheid van de voorgestelde Wet digitale overheid. De eIDAS-verordening bevat zelfstandige regels omtrent het aanbieden van (elektronische) authenticatiemiddelen bij overheidsinstellingen. De eIDAS-verordening is als EU-verordening rechtstreeks van toepassing in de EU-lidstaten. Verschillende lidstaten hebben inmiddels al wetgeving geïmplementeerd op grond waarvan het mogelijk is voor (private) partijen om elektronische identificatiemiddelen voor overheidsinstellingen aan te bieden. Daarvoor gebruiken zij verschillende soorten wetgeving. De leden van deze fractie vragen de regering op welke manier zij kennis heeft genomen van hoe andere Europese lidstaten de toelating van private middelen als identificatiemiddelen (wettelijk) hebben geregeld. Heeft de regering kennisgenomen van de wijze van implementatie van andere Europese lidstaten van de eIDAS-verordening voor de toelating van private middelen als identificatiemiddelen voor overheidsinstellingen? Zo ja, op welke manier? Voor zover de regering heeft gekozen voor een andere implementatiemethode dan andere Europese lidstaten, wat is daar voor de onderbouwing? Welke afweging is daarbij gemaakt ten aanzien van bepalingen in de voorliggende Wet digitale overheid tot al bestaande bepalingen in de eIDAS-verordening? Hoe beoordeelt de regering de proportionaliteit en subsidiariteit in dit kader?
Het lid van de BBB-fractie heeft kennisgenomen van het voorliggende wetsvoorstel. In het wetsvoorstel Wet digitale overheid is opgenomen dat de provincies het interbestuurlijk toezicht uitoefenen in het kader van deze wet op gemeenten en indien van toepassing op gemeenschappelijke regelingen. De provincies geven aan op zichzelf bereid te zijn om deze taak op zich te nemen, maar zij wensen op korte termijn duidelijkheid over de reikwijdte van het toezicht, welke eisen aan de taakuitvoering door gemeenten mogen worden gesteld, en de compensatie die het Rijk de provincies zal verschaffen voor deze nieuwe taak. Extra taken zonder budget is namelijk een resultaat voor mislukking. Op 18 augustus 2021 heeft Bureau Berenschot een kritisch rapport uitgebracht over de uitvoering van de Wdo4. Eén van de eindconclusies luidt: «De specifieke toezichtstaak (artikel 17 lid 3) voor provincies op de naleving van de Wdo is nu niet uitvoerbaar. Er is wat ons betreft nog niet voldoende duidelijk wat van provincies wordt verwacht en het lijkt niet voldoende doordacht hoe deze taak zich verhoudt tot de generieke toezichtstaak van provincies». Kan de regering aangeven hoe zij deze eindconclusies weegt en hoe zij de compensatie voor extra taken vorm gaat geven?
Privacy by design
De leden van de D66-fractie merken op dat de regering aangeeft dat voor het gebruik van privacy by design de actuele stand van processen en technieken leidend zal zijn. Welke eisen voldoen hier momenteel aan? Wanneer zijn gegevens volgens de regering onvoldoende beschermd en dus reden tot het weigeren van toelating? In hoeverre verschilt dit of is dit aanvullend aan de General Data Protection Regulation (GDPR)?
De leden van de Volt-fractie onderschrijven het belang van privacy by design en privacy by default uit de Algemene Verordening Gegevensbescherming (AVG). De leden lezen dat de wijzigingen in het gewijzigde voorstel ervoor moeten zorgen dat partijen nieuwe methoden en technieken (kunnen) toepassen, zonder dat daarbij de rechtszekerheid in het geding komt. Daarbij stellen zij de vraag wiens rechtszekerheid daarbij gediend is: die van de partijen die nieuwe methoden en technieken toepassen en reeds een erkenning hebben gekregen? Of de rechtszekerheid van de gebruikers van de door die partijen aangeboden elektronische identificatiemethoden (burgers)? Welke afweging is gemaakt tussen de belangen van beide partijen? Welk beoordelingskader houdt de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan bij het beslissen of de erkenning van de reeds erkende partijen in stand wordt gehouden of wordt gewijzigd, geschorst of ingetrokken?
Open source
De leden van de VVD-fractie merken op dat een erkenning geweigerd wordt als bij de voor de werking van het identificatiemiddel of de ontsluitende dienst noodzakelijke processen naar het oordeel van de Minister onvoldoende gebruik wordt gemaakt van software die onder een open source licentie is gepubliceerd. Het komt de leden voor dat er al snel een verschil van mening kan ontstaan over de vraag of er voldoende gebruik van open source wordt gemaakt. Daar komt dan het veiligheidsaspect ook nog bij; er moet immers veilig kunnen worden ingelogd. Wanneer is er sprake van het onvoldoende gebruik maken van open source? De leden van deze fractie vragen de regering hier nader op in te gaan. Waarom is er voor gekozen om erkenning te weigeren als onvoldoende gebruik wordt gemaakt van software die onder een open source is gepubliceerd? Hoe is dit geregeld in het wetsvoorstel Wet digitale overheid dat nu in de Eerste Kamer ligt. Graag krijgen de leden een reactie van de regering. Deelt de regering de mening van de leden van deze fractie dat het allerbelangrijkste is dat technische oplossingen aan de veiligheidseisen en -waarborgen voldoen, dat open source niet per definitie de veiligste optie is en dat closed source oplossingen niet uitgesloten mogen worden? Zo nee, waarom niet?
De leden van de D66-fractie zouden graag een nadere toelichting ontvangen over verschillende aspecten op het gebied van open source. Op welke termijn zal de transitie richting open source gelden? Geldt dezelfde termijn voor Digid? Hoeveel aanbieders van open source software acht de regering voldoende? Zit hier een limiet aan? De leden horen graag waarom de regering open source niet heeft verankerd in de wet in plaats van met een wegingsfactor. Wat zijn de criteria op basis waarvan een weging kan worden gemaakt over het wel of niet verplicht gebruiken van open source? Voor de onderdelen waar gebruik van open source niet gewenst is, bestaat daar wel de mogelijkheid van het stimuleren van open standaarden, bijvoorbeeld ter bevordering van interoperabiliteit? Op welke manier wordt het gebruik van open source gehandhaafd? De leden zien graag in een tijdslijn uiteengezet wat de novelle betekent voor de verdere behandeling en uitvoering van de Wet Digitale Overheid
De leden van de Volt-fractie merken op dat de regering aangeeft bij de aanvraag om erkenning gebruik te maken van de standaard «Open Source, tenzij», waarbij bij beoordeling van de aanvraag voor erkenning telkens zal worden bezien of open source redelijkerwijs mogelijk is, waarbij het geheel van de door de aanvrager te nemen maatregelen wordt beoordeeld op veiligheid en proportionaliteit. De leden onderstrepen het uitgangspunt dat de regering aanhoudt, waarbij open source de standaard is. De toelichting bij de Wet digitale overheid, zoals hierboven omschreven, bevat nog wel veel interpretatieruimte. In dit licht vragen deze leden op welke manier de regering er zorg voor zal dragen dat open source bij de aanvraag voor erkenningen daadwerkelijk de standaard zal zijn en dat de proportionaliteitstoets die wordt gehanteerd voor het, al dan niet verplichten van open source door aanbieders, niet te ruimhartig wordt uitgevoerd.
De fungerend voorzitter van de commissie, Leijten
De griffier van de commissie, Boeve