Verslag van de vergadering van 23 september 2014 (2014/2015 nr. 1)
Status: gecorrigeerd
Aanvang: 15.17 uur
Mevrouw Duthler i (VVD):
Voorzitter. Op diverse momenten hebben we reeds stilgestaan bij het tragische verlies van onze zeer gewaardeerde collega Willem Witteveen. Andere collega's zijn mij daarin voorgegaan. Ook vandaag is zo'n moment dat we daar aan worden herinnerd. Hij was immers een van de initiatiefnemers van dit debat. Ook nam hij aan de commissie deel die dit debat, onder meer met een openbare deskundigenbijeenkomst, heeft voorbereid. De VVD-fractie is dankbaar voor zijn sterk inhoudelijke, bijdragen, ook aan andere debatten. Het gemis doet zich op een dag als vandaag extra sterk voelen. Voordat ik de inbreng van de VVD-fractie verwoord, wilde ik dit gezegd hebben.
De inbreng van de VVD-fractie is langs drie lijnen opgebouwd. De maatschappelijke betekenis van cyberintelligence en bestrijding van cybercrime, de economische betekenis en de juridische vraagstukken.
Ik begin met de maatschappelijke betekenis. Het is inmiddels alweer meer dan een jaar geleden dat Snowden met zijn onthullingen over de NSA-afluisterpraktijken wereldwijde aandacht trok voor de praktijk van cyberintelligence, het belang van dataprotectie of privacybescherming en daarmee inherent het belang van informatiebeveiliging. In het afgelopen jaar, en met name in de afgelopen maanden, is er in de wereld veel veranderd. MH17 heeft ons diep geraakt en bracht de oorlog in de Oekraïne dichtbij. Ook op andere plekken in de wereld breidden brandhaarden zich uit. Het Midden-Oosten, Noord-Afrika en Oekraïne zijn oorlogsgebieden. Grote vluchtelingenstromen komen op gang. Europa wordt omringd door een gordel van toenemende instabiliteit, een instabiliteit die volgens alle analyses voor langere duur zal zijn.
Deze veranderende geopolitieke omstandigheden dwingen ons tot aanpassingen. De vraag of wij daartoe in staat zijn, is niet aan de orde. Wij zijn daartoe in staat. De vraag is aan de orde welke rol cyberintelligence daarbij kan of moet spelen, onder welke randvoorwaarden dat moet gebeuren en welke rol de wetgever daar dan in heeft. Hoe gaan wij om met de bescherming van de persoonlijke levenssfeer van onze burgers? Hoe zorgen we ervoor dat de informatiebeveiliging, die onlosmakelijk verbonden is met privacybescherming alsook met cyberintelligence, op een adequaat niveau wordt gebracht? De kernwaarden van de democratische rechtsstaat vormen voor mijn fractie de toetssteen waaraan antwoorden op deze vragen beoordeeld zullen moeten worden.
Ik ga nu eerst terug naar de onthullingen van Snowden. Een belangrijke vraag die mijn fractie bezighoudt, is wat we daar nu eigenlijk mee zijn opgeschoten. Er was een hoop verontwaardiging. Het mobieltje van Merkel was onderwerp van gesprek. De persoonsgegevens van miljoenen niet-verdachte burgers werden zonder dat zij dat wisten afgetapt, gekopieerd of anderszins onderschept door Amerikaanse inlichtingen- en veiligheidsdiensten. Dat worden zij nog steeds. Er werden werkgroepen ingesteld in Europees verband die van alles moesten uitzoeken en de onderhandelingen over het vrijhandelsakkoord kwamen op scherp te staan. De grote vraag van mijn fractie is wat wij ermee zijn opgeschoten. Welke acties heeft de regering ondernomen? Is de rechtsbescherming van de burger inmiddels verbeterd? Ik kom straks toe aan concretere vragen die ik aan de regering wil voorleggen, maar ik vraag haar om hier eens op te reflecteren.
Voordat ik nader inga op cyberintelligence, wil ik eerst iets zeggen over de bestrijding van cybercrime. Van groot belang voor de bestrijding van cybercrime is de cyberbeveiliging. De regering is betrokken bij vele initiatieven om een hoger beveiligingsbewustzijn bij bedrijven en instellingen te creëren, zodat ze het tot in hun haarvaten normaal gaan vinden dat ze hun systemen, bedrijfsinformatie en persoonsgegevens beschermen tegen aanvallen van buiten en tegen diefstal. In de praktijk gaat het nogal eens mis. In de afgelopen zomer was de spoedeisende hulp van een academisch ziekenhuis een hele dag dicht vanwege een computerstoring. Artsen konden niet bij patiëntgegevens. Russische hackers verzamelden meer dan 1,2 miljard username-passwordcombinaties en meer dan 500 miljoen e-mailadressen. Het securitybedrijf dat dit ontdekte, verkocht deze data terug aan de betrokkenen, zonder blikken of blozen.
De VVD-fractie is blij met initiatieven als The Hague Security Delta en het Nationaal Cyber Security Centrum (NCSC), waar overheid en bedrijfsleven nauw met elkaar samenwerken. Behalve programma's die het bewustzijn van het belang van een adequate beveiliging bevorderen, kan ook wetgeving een belangrijke stok achter de deur zijn om beveiliging op orde te krijgen. De Wet computercriminaliteit III, althans het wetsvoorstel daartoe, en het wetsvoorstel Meldplicht datalekken zijn belangrijke voorbeelden daarvan. Kan de regering aangeven wat de status is van deze wetsvoorstellen? Dit zijn voorbeelden van spelregels waarop ik zonet doelde.
Het wetsvoorstel Computercriminaliteit III is inmiddels geaccordeerd door de ministerraad, zo heb ik op de site van het ministerie van V en J gelezen. De internetconsultatie was reeds op 1 juli 2013 afgesloten. Wanneer verwacht de minister dat het wetsvoorstel kan worden aangeboden aan de Tweede Kamer? Het CBP heeft in een mededeling van februari dit jaar de regering geadviseerd, het wetsvoorstel niet aldus in te dienen. Hackbevoegdheden van politie en opsporingsdiensten zijn naar de mening van het CBP te ruim geformuleerd. Een te grote groep kan bij een te grote hoeveelheid data. Niet alleen huidige gegevens, maar ook historische en toekomstige gegevens. Niet alleen van verdachten, maar ook van grote groepen tot wie een verdenking zich niet richt. De dringende noodzaak hiertoe is door de regering onvoldoende onderbouwd. Heeft de regering het wetsvoorstel nog aangepast aan het advies van het CBP?
Kan de regering daarnaast nog iets zeggen over de status van het wetsvoorstel Meldplicht datalekken, de voorgestelde Europese privacyverordening, waarin het recht op vergeten is geïncorporeerd — dat zeg ik met een blik naar de heer Van Boxtel — en de implementatie van de NIB-richtlijn? In mijn eigen dagelijkse praktijk — zoals bekend maken privacybescherming en informatiebeveiliging daarvan deel uit — kom ik nogal eens information security officers tegen die nog steeds moeite hebben om het belang van de informatiebeveiliging bij hun bestuurders onder de aandacht te brengen. Zij geven mij aan dat dergelijke wetgeving hen enorm zou helpen. Daarnaast merk ik zelf bij bestuurders dat een aanstaande wettelijke meldplicht en vooral de hoogte van boetes — ik ben toe aan de handhaving — een belangrijke stok achter de deur kunnen zijn om informatiebeveiliging en privacybescherming heel serieus te nemen. Dit onderstreept voor mij nog eens de rol die wetgeving kan spelen bij het op orde krijgen van beveiliging en het vergroten van het bewustzijn. Ik hoor zoals gezegd graag van de regering wat de status is.
Ik kom toe aan de economische betekenis van cyberintelligence en bestrijding van cybercrime. De jaarlijkse economische schade als gevolg van cybercrime is voor het United Kingdom berekend op 27 miljard pond in 2011. Bij mijn weten zijn voor Nederland geen vergelijkbare cijfers bekend. Wel zijn cijfers bekend over schade als gevolg van identiteitsfraude. ID-fraude kost het Nederlandse bedrijfsleven miljarden euro's per jaar, terwijl de pakkans nog geen 5% is. De Nederlandse overheid zit bepaald niet stil. Dat mag ook wel eens gezegd worden. Nederland speelt in Europa een voortrekkersrol als het gaat om cybersecurity en de aanpak van cybercrime. De bestrijding van identiteitsfraude kan echter beter. Met behulp van DigiD, waarvoor de minister van BZK verantwoordelijk is, kunnen veel burgers hun identiteit bewijzen om gebruik te kunnen maken van overheidsdiensten. Ook aanbieders van kritieke infrastructuren, zoals ziekenhuizen, maken steeds meer gebruik van DigiD. DigiD ligt er echter nogal eens uit en de betrouwbaarheid schiet nog wel eens te kort. Wat gaat de regering hieraan doen? En hoe gebruikt ze de resultaten van de onderzoeken die uitgevoerd zijn naar de DigiNotar-zaak? Wordt de werking van beveiligingsmaatregelen daadwerkelijk betrokken bij de jaarlijkse auditonderzoeken? En neemt de regering geen genoegen met een goedkeuringsverklaring over de opzet en bestaan? Beveiligingsbeleid en beveiligingsplannen zijn prachtig, maar hoe weten we zeker dat ze ook worden nageleefd?
Mijn fractie begrijpt verder dat de minister van BZK overweegt om het rijbewijs geschikt te maken als elektronisch identificatiemiddel. Waarom niet gebruikmaken van de identificatiemiddelen van banken? Bijna alle Nederlanders hebben er één. De betrouwbaarheid is hoog. De gebruiksvriendelijkheid goed. Op die manier kunnen de banken ook wat terug geven aan burgers en bedrijven die hen overeind hebben gehouden.
Dit was de defensieve kant van cybercrime. Nederland is niet alleen het land van de dominee, maar ook het land van de koopman. Nederland is in staat bedreigingen om te buigen naar kansen. Kansen om veiligheid, vrijheid en maatschappelijke groei op het hoogste niveau samen te laten gaan. Nederland zou bijvoorbeeld een voortrekkersrol kunnen spelen als het gaat om bestrijding van cybercrime. The Hague Security Delta zou een mooi platform kunnen zijn om zo'n voortrekkersrol in te vullen. Maar ook daarbuiten zou Nederland zich kunnen profileren als land waar je gegevens veilig zijn. Nederland als aantrekkelijk land waar buitenlandse bedrijven graag investeren. Dat levert economische bedrijvigheid op en daarmee economische groei. Dan is het wel nodig dat de Nederlandse overheid streng optreedt tegen bedrijven die hun beveiliging niet op orde hebben; dat zij streng optreedt tegen bedrijven die persoonsgegevens uitwisselen met derde landen terwijl zij niet voldoen aan de wettelijke randvoorwaarden die daaraan worden gesteld; en dat de Nederlandse overheid streng optreedt tegen bedrijven die te gemakkelijk persoonsgegevens aan derden verstrekken terwijl een juridische grondslag daarvoor ontbreekt. Is de Nederlandse regering voornemens dan wel bereid om dergelijk optreden te versterken? En deelt de regering de gedachte dat Nederland zich zou moeten profileren als land waar gegevens veilig staan, en zo ja, is zij bereid deze gedachte nader uit te werken en internationaal uit te dragen?
In dit verband wenst mijn fractie de regering vragen te stellen over de Patriot Act. Veel bedrijven en instellingen zijn een beetje de weg kwijt als het gaat om de toepassing van de Patriot Act. Er is veel onduidelijkheid over de mogelijkheden en kansen dat Amerikaanse overheden met een beroep op de Patriot Act gevoelige gegevens opvragen bij deze bedrijven en instellingen. Als dat inderdaad mogelijk is, hoe groot zijn de kansen hier dan op?
Ik kom toe aan de juridische betekenis. We hebben in de aanloop naar dit debat een expertmeeting georganiseerd en diverse deskundigen gehoord. Een aantal onderwerpen en vragen is opengebleven. Enkele vragen wenst mijn fractie de regering voor te leggen. Om te beginnen toegang tot de kabel door onze inlichtingendiensten. De Wet op de inlichtingen- en veiligheidsdiensten (Wiv) legt in tegenstelling tot communicatieverkeer via de ether beperkingen op om toegang te krijgen tot verkeer dat via de kabel loopt. Alleen gerichte interceptie is mogelijk, met toestemming van de minister. Ongerichte interceptie op de kabel is niet toegestaan. Het meeste gegevensverkeer, 90%, loopt echter via glasvezelkabels. Onze inlichtingendiensten hebben zo beperkter zicht op cyberbedreigingen, bedrijfsspionage en terroristische activiteiten dan volgens mijn fractie gewenst is.
Aanpassing van de Wiv lijkt dan ook nodig. De commissie-Dessens, die een evaluatieonderzoek uitvoerde naar de Wiv 2002, was van mening "dat een verruiming van bevoegdheden gepaard zal moeten gaan met een kwalitatief hoogstaand systeem van waarborgen om disproportionele aantasting van democratische beginselen en grondrechten te voorkomen." De commissie vervolgt: "De diensten moeten bij de inzet van deze bevoegdheden gebonden zijn aan een helder juridisch kader dat meer inzicht geeft in de voorwaarden waaronder en de manieren waarop deze bevoegdheden ingezet mogen worden. Naarmate de inbreuk op de grondrechten van privacy en communicatiegeheim indringender is, moeten de toestemmingsprocedure en het toezicht ook sterker ingebed zijn."
Hoe kijkt de regering aan tegen deze aanbevelingen? Heeft zij inmiddels een begin gemaakt met de uitwerking daarvan? Als we het controlemechanisme willen versterken, hoe kan dat in de praktijk worden geoperationaliseerd? Welke ideeën heeft de regering daarover?
Ten aanzien van het toestemmingsvereiste heb ik nog twee vragen. Om invulling te geven aan het toestemmingsvereiste moeten de diensten inzicht geven in de gemaakte afwegingen omtrent noodzakelijkheid, proportionaliteit en subsidiariteit. Worden de diensten hierin getraind? Hoe toetst de minister de gemaakte afwegingen?
Ik ga nog even terug naar de Wiv. De Wiv is alleen in Nederland van toepassing. Voor militair optreden in het buitenland geldt het criterium dat dit zo veel mogelijk in overeenstemming moet zijn met de Wiv. Maar hoe zit het met elektronische oorlogsvoering? Valt die ook onder de Wiv? Het gaat dan over het afluisteren van gesprekken, het aftappen van data en het verstoren van signalen. Hoe zit het met de opslag van die gegevens? In onze globaliserende samenleving worden gegevens lang niet altijd meer opgeslagen op servers op Nederlands grondgebied. Gegevens van inlichtingendiensten kunnen ook op servers in bijvoorbeeld Pakistan of India staan. Daar geldt niet onze Wiv, maar de Wiv van de betreffende landen. Dat betekent dat de lokale inlichtingen- en veiligheidsdiensten van die landen bij de gegevens kunnen. Kan de regering aangeven of er een kans is dat gegevens van inlichtingendiensten op servers worden opgeslagen die zich niet op Nederlandse grondgebied bevinden? Hoe beoordeelt de regering het uitgangspunt dat gegevens van inlichtingendiensten altijd op Nederlandse servers en op Nederlands grondgebied zouden moeten staan?
Dan het toezicht op de inlichtingendiensten door de CTIVD. De CTIVD toetst de activiteiten van de inlichtingendiensten alleen op rechtmatigheid en niet op doelmatigheid.
De heer Van Boxtel i (D66):
Mevrouw Duthler heeft het over de gegevens van Nederlandse veiligheidsdiensten die in Nederlandse centra op Nederlandse bodem worden opgeslagen, maar ze formuleerde dit niet direct als een vraag. Heeft zij aanleiding om te veronderstellen dat deze gegevens niet in Nederland worden opgeslagen?
Mevrouw Duthler (VVD):
Ja, die aanleiding heb ik.
De heer Van Boxtel (D66):
Dus dan maken we de vraag aan het kabinet scherper om zekerheid te krijgen over het feit dat het zo is.
Mevrouw Duthler (VVD):
Ja, mijn laatste zin was geformuleerd als een vraag, maar het is goed dat de heer Van Boxtel het nog eens onderstreept. Het is een heel concrete vraag aan het kabinet.
Ik was bij de doelmatigheid gebleven. Nu de inlichtingendiensten zo veel toegang krijgen tot zo veel gegevens, is de verleiding groot om te gaan grasduinen in de grote hoeveelheden gegevens. Het zou goed zijn als de commissie niet alleen toezicht houdt op de rechtmatigheid, maar ook op de doelmatigheid van de uitoefening van hun bevoegdheden. Hoe denkt het kabinet hierover? Overweegt het kabinet om de taken en bevoegdheden van de CTIVD hiertoe uit te breiden? Moet de samenstelling van de CTIVD worden aangepast omdat hiervoor andere kennis en competenties nodig zijn? In dit verband is het relevant om te wijzen op de onrechtmatigheid van de Europese dataretentierichtlijn. De heer Franken noemde deze al. De richtlijn is door het Europese Hof van Justitie in Luxemburg onrechtmatig verklaard. Is het kabinet voornemens om de Wet bewaarplicht telecommunicatiegegevens, die daarop is gebaseerd, in te trekken dan wel aan te passen?
Bij het toezicht op de inlichtingendiensten door de CTIVD hoort ook het toezicht door de zogenaamde commissie-stiekem van de Tweede Kamer. Voor de vragen over dit onderwerp sluit ik aan bij de vragen van de PvdA-fractie om te voorkomen dat ik bijna hetzelfde ga zeggen in andere bewoordingen. Dat bespaart weer tijd.
Ik kom bij het onderwerp rechtsbescherming. Rechtsbescherming van de burger houdt onder meer in dat hij het recht heeft op inzage in de gegevens die de AIVD of MIVD over hem of haar verwerkt, alsook het recht op verbetering of vernietiging van deze gegevens. De huidige Wiv biedt burgers de mogelijkheid om eigen gegevens of die van een overleden direct familielid in te zien als deze gegevens ouder zijn dan vijf jaar, of als ze onderdeel hebben uitgemaakt van een onderzoek dat langer dan vijf jaar geleden is afgerond. Burgers hebben echter geen mogelijkheid om hun gegevens te corrigeren of te vernietigen. In de praktijk blijkt dat de diensten formalistisch, terughoudend en inconsistent reageren op inzageverzoeken. De commissie-Dessens beveelt daarom aan om een leidraad op te stellen, waarin duidelijk wordt aangegeven hoe een verzoekschrift moet worden geformuleerd om op een effectieve manier de gewenste gegevens te kunnen opvragen en op basis van welke criteria inzageverzoeken getoetst worden. Dan kan ook tegemoetgekomen worden aan de kritiek dat er niet altijd een duidelijke lijn ontwaard kan worden in de inzagebeslissingen. Tevens beveelt de commissie-Dessens aan om in de Wiv te regelen dat personen die inzage hebben gekregen, gemotiveerd moeten kunnen verzoeken om herstel, aanvulling, verwijdering of vernietiging van de gegevens. De leden van de VVD-fractie onderschrijven deze aanbevelingen van harte. Is het kabinet voornemens om ze op te volgen?
Gegevens van de inlichtingendiensten worden soms gebruikt in zaken die niet direct de staatsveiligheid raken, maar wel grote consequenties kunnen hebben voor de betrokkenen. Ik refereer aan het voorbeeld van een korpschef in Zeeland, die moest vertrekken op grond van informatie van de AIVD, maar zelf niet kon verifiëren op grond van welke informatie dat precies was. Vijf jaar wachten op het mogen inzien van je dossier duurt echt te lang. Daar heeft de betrokkene niets meer aan. Is de regering bereid om het inzagerecht te differentiëren naar gevallen waarin sprake is van directe of aantoonbare risico's voor de staatsveiligheid, en gevallen waarin daar geen sprake van is, en voor de laatste categorieën het inzagerecht in beginsel toe te staan?
Ik kom aan het slot van mijn betoog. Er is zo veel te zeggen over cyberintelligence, privacybescherming en cybercrime. De belangrijkste onderwerpen en vragen heb ik benoemd en gesteld namens mijn fractie. Mijn fractie wacht nu eerst met belangstelling een reactie van het kabinet af.