Kamervraag 2021Z23371

Digitale veiligheid

Ingediend 14 december 2021
Beantwoord 10 februari 2022 (na 58 dagen)
Indiener Renske Leijten
Beantwoord door Ferdinand Grapperhaus (CDA), Raymond Knops (CDA), Kajsa Ollongren (minister defensie) (D66)
Onderwerpen bestuur economie ict openbare orde en veiligheid organisatie en beleid rijksoverheid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2021Z23371.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20212022-1641.html
  • Vraag 1
    Kunt u een stand van zaken geven over de ontwikkeling van een Europese digitale identiteit en de Nederlandse inzet daaromtrent?1

    De Europese Commissie heeft op 3 juni 2021 een wetsvoorstel ingediend voor een «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet. De Commissie deed ook een aanbeveling voor een met de lidstaten te ontwikkelen «Toolbox».2
    De Minister van Buitenlandse Zaken informeerde Uw Kamer op 9 juli 2021 over de positie van het kabinet in dit dossier in het BNC-fiche.3 De kern van dit fiche is dat het voorstel van de Commissie inhoudelijk aansluit op het Nederlandse beleid voor elektronische identificatie en uitwisseling van gegevens. Het Nederlandse beleid heeft tot doel dat alle ingezetenen en bedrijven in Nederland en in andere Europese landen op een veilige, betrouwbare, toegankelijke en gebruiksvriendelijke manier digitaal transacties kunnen verrichten in het publieke en in het private domein. Een verdere toelichting op het Europese digitale identiteit raamwerk is eerder gegeven in de Kamerbrief voortgangsrapportage domein toegang.4

  • Vraag 2
    Kunt u een stand van zaken geven over de ontwikkeling van Nederlandse digitale identiteiten, zoals de eID?

    Op 12 oktober 2021 is uw Kamer uitgebreid geïnformeerd over de voortgang op het domein digitale toegang.5 In deze brief wordt uitgebreid ingegaan op het gehele domein van de digitale toegang waar zowel de doorontwikkeling van DigiD, het publieke inlogmiddel voor burgers, als eHerkenning, het private stelsel van inlogmiddelen voor bedrijven) onder valt. Het domein Toegang heeft in de kern twee doelen. Allereerst (persoonlijke) toegang verlenen tot een goede, efficiënte digitale dienstverlening voor burgers en bedrijven. En ten tweede de betrouwbaarheid van de private en publieke inlogmiddelen garanderen, zodat persoonsgegevens zo goed mogelijk beschermd zijn.
    In de genoemde brief over het domein toegang zijn eveneens de ontwikkelingen op het domein digitale identiteit meegenomen. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.6 Hierin wordt uitgebreid ingegaan op de taken en verantwoordelijkheden die de overheid invult met betrekking tot de digitale identiteit en de digitale infrastructuur.

  • Vraag 3
    Kunt u helder uiteenzetten in welke mate en hoe de data die gekoppeld is aan een eID decentraal wordt opgeslagen en in welke mate en hoe dit centraal wordt opgeslagen? Zo nee, waarom niet?

    Bij de inrichting van het eID-stelsel worden om in te loggen bij overheden geen andere attributen (persoonsgegevens) verwerkt dan het burgerservicenummer; dat wil zeggen niet op andere plekken dan waar dit nu reeds plaatsvindt. Bij de implementatie van eID is overigens een centrale, maar ook een decentrale opzet, of een combinatie van beide mogelijk. In alle situaties is de kern dat er een adequate privacybescherming wordt gerealiseerd. Daarbij dienen alle beginselen uit de AVG worden meegenomen.

  • Vraag 4
    Begrijpt u de kritiek van experts, die aangeven dat hoewel mensen eigenaar lijken te zijn van hun eigen data, maar dat dit principe ondermijnd wordt door verdienmodellen van verschillende deelnemers en aanbieders van digitale identiteiten? Zo nee, waarom niet? Zo ja, wat zijn de waarborgen waardoor deze prikkels worden weggenomen?

    Ik deel de achterliggende zorg. Ik ben het met de experts eens dat persoonsgegevens van burgers geen handelswaar zijn en dat verdienmodellen van aanbieders daarop ook niet gebaseerd mogen zijn. Ik ben van mening dat daarvoor ook afdoende waarborgen getroffen zijn en worden. Zowel in de revisie van de bestaande eIDAS verordening tot vorming van een Europees digitale identiteit raamwerk, als in de voorstellen voor de Wet Digitale Overheid, is opgenomen dat gebruiks- en gebruikersgegevens en eventuele andere categorieën persoonsgegevens niet gebruikt mogen worden voor andere doeleinden dan de veilige uitgifte van inlogmiddelen en het inloggen met deze middelen.7 De data van mensen dienen dus niet het verdienmodel van een aanbieder van een digitaal identiteitsmiddel, omdat dit onder de voorgestelde wetgeving niet wordt toegestaan.

  • Vraag 5
    Waarom is er bij de ontwikkeling van de eID/SSI (Self-Sovereign Identity) gekozen voor blockchaintechnologie? Begrijpt u de kritiek van wetenschappers dat dit kwetsbaar en kostbaar is, onder andere omdat data, ook als deze niet juist is, niet verwijderd kan worden? Kunt u uw antwoord toelichten?

    Het artikel waaraan u refereert beschrijft één experiment en geen breed maatschappelijk geïmplementeerde toepassing. De genoemde pilot wordt momenteel niet aan burgers aangeboden. Het Nederlandse eID voor burgers is DigiD. Hierbij wordt de door u genoemde technologie niet gebruikt.
    De mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt staat nog niet vast. Ik kijk hier zeer kritisch naar, niet alleen vanuit het oogpunt van privacy, maar ook vanuit duurzaamheid. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie. De overheid blijft graag in open dialoog en onderzoekt diverse technologische initiatieven die kunnen bijdragen aan een betrouwbare digitale identiteit infrastructuur, zeker waar het gaat om het borgen van de autonomie en privacy van Nederlandse burgers. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties tracht hierbij zo min mogelijk voorbarige conclusies te trekken, maar probeert te leren door te experimenteren.

  • Vraag 6
    Kunt u ingaan op de zorgen over hoe de gekozen techniek mensen ernstig kan benadelen, omdat zij aan een systeem vastzitten en daar alleen afstand van kunnen nemen met grote persoonlijke consequenties? Hoe denkt u dit te voorkomen?

    Ik ben bekend met deze technologie en de kritiek hierop. We onderzoeken, bijvoorbeeld in het kader van het European Blockchain Partnership, diverse mogelijkheden om distributed ledgers (blockchains) te gebruiken zonder daarop persoonsgegevens op te slaan. Dit heeft mijn voorkeur. Zoals in het antwoord op de vorige vraag is aangegeven, staat de mate waarin distributed ledger technologie (blockchain) in de toekomstige Europese en Nederlandse digitale identiteit infrastructuur gebruikt wordt, nog niet vast. Het maatschappelijke doel staat in het Nederlandse beleid voorop, niet de ondersteunende technologie.

  • Vraag 7
    Hoeveel lobbycontacten zijn er geweest tussen de overheid en het platform ID2020? Kunt u een overzicht verstrekken?

    In het opstellen van de Nederlandse lijn in het werken aan het Europese digitale identiteit raamwerk zijn geen contacten geweest met medewerkers van het platform ID2020.

  • Vraag 8
    Kunt u ingaan op de zorgen van wetenschappers dat de coronapandemie door bedrijven en politici wordt gebruikt of misbruikt om een digitale identiteitskaart(ID) in te voeren? Kunt u uw antwoord toelichten?

    De Nederlandse digitale identiteitskaart bestaat op dit moment niet. De wet op de identificatieplicht laat dit niet toe. Voor een visie op dit domein verwijs ik naar de visiebrief digitale identiteit die in februari 2021 naar uw Kamer is gestuurd.8

  • Vraag 9
    In hoeverre vindt u het ethisch verantwoord dat bedrijven of beleidsmakers een gezondheidscrisis gebruiken om een digitale identiteit aan te prijzen, waardoor zij meer winst kunnen maken of meer invloed kunnen vergaren door dataverzameling?

    Er is door de overheid geen gezondheidscrisis gebruikt om meer winst te maken of invloed te vergaren door datavergaring. De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen stappen vergt. In de visiebrief digitale identiteit (feb 2021) heb ik nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen.9 Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. De kern is dat ik wil bouwen aan vertrouwen in de digitale wereld door een betrouwbare digitale identiteit infrastructuur in te richten. Winst van private partijen zal hierbij geen doel zijn. Invloed vergaren door middel van dataverzameling bij het gebruik van digitale identiteitsmiddelen is voor zowel overheden als private partijen volgens de voorgestelde wetgeving niet toegestaan. Zie het antwoord op vraag 4.

  • Vraag 10
    Op welke manier zijn de ethische aspecten meegewogen in het beleid rond de Europese en Nederlandse digitale identiteit? Kunt u uw antwoord toelichten?

    De verdere doorontwikkeling van onze digitale identiteit infrastructuur zal altijd een maatschappelijk vraagstuk zijn dat weloverwogen en ethisch verantwoorde stappen vergt. In de visiebrief digitale identiteit (feb 2021) is nadrukkelijk stil gestaan bij de diverse publieke waarden die hierbij meespelen. Denk hierbij aan publieke waarden als de cyberveiligheid van ons land, de autonomie van de burger, de privacy van de burger, economische kansen en vermindering van administratieve lasten voor de burger. Ook worden in deze brief enkele uitgangspunten voor de toekomstige digitale identiteit infrastructuur aangegeven.10 Om een gedragen en betrouwbare inrichting van de Nederlandse en Europese digitale identiteit infrastructuur te bewerkstelligen zal ik hierover in de toekomst met uw Kamer en met diverse maatschappelijke experts, waaronder ethici, in gesprek gaan.

  • Vraag 11
    Kunt u reflecteren op de wenselijkheid van de invloed van onder andere Microsoft, maar ook andere multinationals of big techbedrijven, in de oproep aan overheden tot het ontwikkelen van een zogenoemde coronapas? Zo nee, waarom niet?

    De inrichting van het «raamwerk voor een Europese Digitale Identiteit», dat de huidige eIDAS-verordening herziet, wordt onafhankelijk van het eerder ontwikkelde EU digitale Corona Certificaat ontwikkeld. Voor de ontwikkeling van de onder vraag 1 genoemde toolbox zal ook de kennis en ervaring vanuit het bedrijfsleven betrokken worden. Dit doen we op een open wijze met een gelijk speelveld voor de betrokken partijen.

  • Vraag 12
    In hoeverre vindt u het afhankelijk worden van een digitale identiteit wenselijk als er tegelijkertijd nog altijd grote beveiligingsrisico’s zijn voor mensen als het gaat om het gijzelen van data en persoonsgegevens?2

    Op het terrein van informatieveiligheid binnen en buiten de overheid is veel werk te doen. Het kabinet zet zich permanent in voor het vergroten van de digitale veiligheid in de samenleving; ik verwijs naar de Kamerbrief met de Beleidsreactie Cybersecuritybeeld Nederland 2021 (CSBN2021) en de voortgangsrapportage Nederlandse Cybersecurity Agenda (NCSA).12 De digitale dreiging is immers groeiende en alle overheden en organisaties wereldwijd kampen met dit vraagstuk. Het is een brede maatschappelijke opgave voor publieke en private partijen. Digitale veiligheid is dan ook een essentiële randvoorwaarde voor het slagen van de digitale transitie. Daarom dient deze veiligheid in de basis geborgd te worden zodat dit geen beletsel vormt voor de toekomstbestendigheid van de Europese en Nederlandse digitale identiteit infrastructuur.

  • Vraag 13
    Kunt u aangeven wat u onderneemt om deze kwetsbaarheid, en het oplossen van die kwetsbaarheden, zo veel mogelijk onder de aandacht te brengen van (overheids)instellingen en bedrijven?

    Vanuit de driehoek BZK, JenV en EZK wordt nauw samengewerkt om de digitale weerbaarheid in de publieke en private sectoren in Nederland te verhogen. Een goed voorbeeld hiervan is de recente aanpak van Apache Log4j kwetsbaarheid waarbij binnen de rijksoverheid, onder operationele coördinatie door het NCSC, organisaties vanuit de eigen rollen en taken nauw hebben samengewerkt. Een speciaal georganiseerd online-webinar, georganiseerd door het Digital Trust Center (DTC), NCSC en CSIRT-DSP, werd door 4000 IT- en cyberspecialisten bezocht waardoor kennis snel gedeeld kon worden met partijen die aan de knoppen zitten. Uw Kamer is hier op 17 december jl. over geïnformeerd.13

  • Vraag 14
    Kunt u aangeven hoe bedrijven en (overheids)instellingen en getroffen burgers worden ondersteund bij eventuele schade van dit veiligheidslek?

    Leveranciers van software zijn allereerst verantwoordelijk om bij kwetsbaarheden actie te nemen en zo te zorgen dat hun producten veilig zijn. Door de stichting Apache zijn in deze casus ook updates beschikbaar gesteld om de kwetsbaarheden te dichten.14 Bedrijven en organisaties in Nederland zijn primair zelf verantwoordelijk voor de beveiliging van hun IT en dienen de patch, waar dat kan, dan ook zo snel mogelijk uit te voeren.
    Het NCSC heeft daarnaast krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak om vitale aanbieders en Rijksoverheidsorganisaties in het geval van dreigingen of incidenten met betrekking tot hun netwerk- en informatiesystemen, zowel desgevraagd als proactief, te informeren, adviseren en overige bijstand te verlenen. Digitale dienstverleners (clouddiensten, online marktplaatsen, zoekmachines) die onder de Wbni vallen kunnen desgewenst bijstand verkrijgen van het nationale Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP).15 Het DTC ondersteunt het MKB hierin met algemene en specifieke dreigingsinformatie, advies, handelingsperspectieven en tools. Ook stimuleert het sectorale en regionale samenwerkingsverbanden van bedrijven die tot doel hebben de cyberweerbaarheid van hun deelnemers te verhogen.
    Het is aan alle partijen om zich goed voor te bereiden op eventuele compromittering van hun netwerk- en informatiesystemen, zoals dat ook bij inbraak en diefstal het geval is in de analoge situaties. Wanneer onverhoopt burgers slachtoffer worden van een dergelijk incident, dan zal per geval bekeken moeten worden of er partijen aansprakelijk gesteld kunnen worden. Wanneer burgers of instellingen als gevolg van een dergelijk incident te maken krijgen met cybercrime, dan kunnen zij hiervan aangifte doen bij de politie.

  • Vraag 15
    Vindt u het wenselijk dat zoveel bedrijven en instellingen afhankelijk zijn van het veiligheidsbeleid van één bedrijf? Zo nee, wat is hiervoor volgens u een oplossing?

    Als een (digitale) toepassing door heel veel bedrijven en instellingen wordt gebruikt dan zal de economische of maatschappelijke schade bij incidenten veelal groter zijn dan wanneer er weinig gebruikers zijn. Organisaties zijn zelf primair verantwoordelijk voor hun eigen digitale weerbaarheid en het bepalen van welke producten of diensten ze daartoe afnemen. Voor verschillende organisaties geldt wel dat ze wel onder meer op grond van de Wbni een zorgplicht hebben en dus passende en evenredige beveiligingsmaatregelen moeten treffen. Ook vindt er toezicht op de naleving hiervan plaats.16
    Daarnaast is het kabinet in dit verband positief over het commissievoorstel voor de herziening van de NIB-richtlijn. Dat voorstel bevat onder andere bepalingen over het inrichten van een proces voor gecoördineerde risicoanalyses voor kritieke ICT-systemen, -producten of diensten. Ook regelt het voorstel dat de entiteiten die zullen vallen onder de herziene NIB-richtlijn adequate beveiligingsmaatregelen moeten treffen, waarbij ook rekening moet worden gehouden met de beveiliging van hun toeleveringsketens. Zie ook het antwoord op vraag 16.

  • Vraag 16
    Kunt u aangeven of er een melding moet worden gedaan van digitale aanvallen en beveiligingslekken waardoor er preventief kan worden opgetreden om verdere onveiligheden op te lossen? Kunt u uw antwoord toelichten?

    Het doel van het kabinetsbeleid ten aanzien van digitale aanvallen en beveiligingslekken is om slachtoffers en schade te voorkomen, het aanvalsproces te verstoren en daders op te sporen. Voor verschillende organisaties geldt er onder meer krachtens de Wbni reeds een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening. Op dit moment wordt er in de EU onderhandeld over de herziening van de NIB-richtlijn, die in Nederland is geïmplementeerd via de Wbni. Met de herziening van de NIB-richtlijn zal het aantal sectoren en organisaties die onder de herziene richtlijn komen te vallen en dus onder meer moeten voldoen aan een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening behoorlijk worden uitgebreid. Tevens stimuleert het NCSC het inrichten van een beleid voor Coordinated Vulnerability Disclosure (CVD), waarbij gebruikers melding kunnen maken van kwetsbaarheden bij de eigenaars of producenten van software en systemen. Het NCSC kan bemiddelen indien een leverancier of eigenaar niet of niet goed reageert op een dergelijke melding.
    Daarnaast staan het NCSC, het CSIRT voor digitale diensten en het DTC met elkaar in contact om zo veel als mogelijk te adviseren over welke beveiligingsmaatregelen organisaties kunnen nemen en zij waarschuwen bij geconstateerde kwetsbaarheden hun onderscheidenlijke doelgroepen om onder meer het bewustzijn te vergroten. Ook bieden ze hulpmiddelen voor het treffen van maatregelen aan ter verhoging van de cyberweerbaarheid.

  • Mededeling - 6 januari 2022

    Hiermee deel ik u mee dat de aan mij gestelde vragen van het lid Leijten (SP) over digitale veiligheid (ingezonden 14 december 2021, onder kenmerk 2021Z23371) niet binnen de gebruikelijke termijn kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig vanwege interdepartementale afstemming. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.


Kamervraag document nummer: kv-tk-2021Z23371
Volledige titel: Digitale veiligheid
Kamerantwoord document nummer: ah-tk-20212022-1641
Volledige titel: Antwoord op vragen van het lid Leijten over digitale veiligheid