Verslag van de vergadering van 30 september 2014 (2014/2015 nr. 2)
Status: gecorrigeerd
Aanvang: 14.16 uur
Mevrouw Duthler i (VVD):
Mevrouw de voorzitter. De wetgever heeft een lange aanloop genomen om tot de plenaire behandeling van het wetsvoorstel van vandaag te komen. Al in juni 2011 is het wetsvoorstel in de Tweede Kamer aangenomen. In oktober 2011 lag het voorlopig verslag van onze vaste commissie voor Veiligheid en Justitie er. De regering heeft ruim een jaar genomen om te komen tot een memorie van antwoord en anderhalf jaar voor een nadere memorie van antwoord. Ongetwijfeld zijn daar goede redenen voor. Die verneemt mijn fractie graag.
Met dit wetsvoorstel wordt het mogelijk aangifte van overlijden, huwelijk en geboorte te doen, de hierop betrekking hebbende akten elektronisch in te dienen en op te maken en afschriften daarvan elektronisch te verstrekken. De elektronische overheid komt hiermee weer een stukje dichterbij. De gemeenten zijn nu zelf aan zet, zo geeft de minister in zijn brief van 10 juli 2014 aan, om op basis van de randvoorwaarden die zijn vastgesteld nader invulling te geven aan de inrichting van de elektronische dienstverlening. In het wetsvoorstel zelf zitten nog wat onduidelijkheden, die naar de mening van mijn fractie van invloed zijn op die randvoorwaarden. Ook is het wetsvoorstel gebaseerd op aannames die vatbaar zijn voor discussie, te beginnen met de aanname van de betrouwbaarheid van DigiD.
Aangiftes van overlijden, huwelijk en geboorte worden ondertekend met DigiD, althans daar gaat het wetsvoorstel vanuit. Wij weten dat de betrouwbaarheid daarvan sterk te wensen overlaat. DigiD is fraudegevoelig. De identiteit van gebruikers wordt bijvoorbeeld gebaseerd op het bsn. De gebruiker heeft echter niet de uitsluitende controle over het bsn. Over de betrouwbaarheid van DigiD zegt de staatssecretaris — ik heb hetzelfde citaat als collega Hoekstra uit de brief gehaald —: "Het feit dat DigiD het afgelopen jaar ruim 100 miljoen keer is gebruikt en dat ruim 11 miljoen mensen over een DigiD beschikken, toont aan dat DigiD een afdoende betrouwbaar systeem is voor de meeste elektronische dienstverlening." Ik noem dat het Icesave-argument: iedereen doet het, dus zal het wel goed zijn. Nee, een dergelijke onderbouwing is vanzelfsprekend niet voldoende.
Het moet mij van het hart: op 5 oktober 2012 schrijft de staatssecretaris dat wordt verkend of DigiD met een hoger betrouwbaarheidsniveau moet worden uitgebreid. Naar verwachting zal, aldus de memorie van antwoord, in 2012 bekend worden welke rol de elektronische identiteitskaart daarin zal kunnen vervullen. Dan gaan we naar 2014. In de nadere memorie van antwoord van maart 2014 schrijft de staatssecretaris bijna letterlijk dezelfde zinnen op. Ik herhaal deze hier niet. Wat is er gebeurd dat in anderhalf jaar tijd geen vooruitgang is geboekt? Het kan toch niet zo zijn dat als mijn fractie over anderhalf jaar dezelfde vraag zou stellen, wij weer hetzelfde antwoord krijgen? Het vertrouwen dat de regering echt wat gaat doen, wordt op deze manier bepaald niet vergroot.
Vorige week heeft mijn fractie een motie ingediend met daarin het verzoek aan de regering, tempo te maken met het verbeteren van de betrouwbaarheid van DigiD of het zoeken naar alternatieven. Volgende week gaan wij stemmen over die motie, maar ook bij de behandeling van dit wetsvoorstel blijkt dat een verbetering van DigiD of een alternatief daarvoor hoognodig is.
Dan de digitale akten. Het streven is om afschriften en uittreksels aan burgers beschikbaar te stellen via de berichtenbox van MijnOverheid.nl. Maar de vraag of gekozen gaat worden voor een centrale elektronische opslag van de akten zelf en hoe de verhouding wordt tussen de burgerlijke stand en de Basisregistratie Personen is nog niet beantwoord. De digitale opmaak en opslag van akten zal dan ook niet al in 2015 ingevoerd worden. Daartoe zal pas uiterlijk medio 2018 besloten worden. Het normatieve kader wordt straks gevormd door het herziene Boek 1 van het BW, in samenhang met het aangepaste Besluit Burgerlijke Stand, schrijft de regering in haar brieven van 10 juli en 26 september van dit jaar. Strikt genomen is het niet nodig voor het mogelijk maken van het doen van een elektronische aangifte van overlijden, huwelijk en geboorte en het verstrekken van afschriften om te wachten op het antwoord op de vraag hoe we omgaan met beheer en opslag van digitale akten. Eerlijk gezegd vraagt mijn fractie zich wel af waarom nu al Boek 1 van het BW zou moeten worden aangepast om elektronische aangiftes en afschriften van akten mogelijk te maken, terwijl de opslag en het beheer van digitale akten een onmiskenbaar onderdeel vormt van de dienstverlening door de gemeenten aan de burger. Het mogelijk maken van het doen van elektronische aangiften is een eerste stap in het primaire proces van een burgerlijke stand. De kern, beheer en opslag van digitale akten, is nog niet geregeld. Het verlenen van afschriften van die akten is daar weer een uitvloeisel daarvan.
Het wetsvoorstel is verder niet duidelijk over de ondertekening van de akten zelf. Het uittreksel of het afschrift wordt gewaarmerkt door een geavanceerde elektronische handtekening van de ambtenaar van de burgerlijke stand, aldus het voorgestelde artikel 23b. Het voorgestelde artikel 18a, lid 4, regelt alleen dat de ambtenaar van de burgerlijke stand de akte in elektronische vorm kan opmaken, niet of hij hem ook elektronisch moet ondertekenen en hoe, en of de aangever deze mede elektronisch moet ondertekenen. Moet het nou een geavanceerde elektronische handtekening zijn in de zin van artikel 15a BW, die via de Wet op het elektronisch bestuurlijk verkeer ook van toepassing is verklaard op het elektronisch verkeer tussen overheid en burgers of is een elektronische handtekening met een lager betrouwbaarheidsniveau voldoende? Ik denk dat het belangrijk is dat er voordat we gaan besluiten over dit wetsvoorstel, duidelijkheid is. Wil de regering deze duidelijkheid bieden?
Dan wil ik het nu nog hebben over de beveiliging van de systemen. In de brief van 10 juli 2014 kondigt de staatssecretaris een algemene maatregel van bestuur aan, waarin een aantal technische standaarden verankerd zullen worden. Het gaat dan om verplichtstelling van standaarden voor de ICT-beveiliging, de langetermijnarchivering van documenten alsook de uitwisseling en bevraging van basisgegevens die behoren tot de wettelijke vastgestelde basisregistraties. In zijn brief van afgelopen vrijdag geeft de minister aan dat "de inhoud van de AMvB in essentie al in de memorie van antwoord van oktober 2012 is aangegeven". Eerlijk gezegd ziet mijn fractie de inhoud in essentie daar niet staan. Het is een herhaling van de woorden die de staatssecretaris in zijn brief van 26 september heeft opgeschreven, met daaraan toegevoegd dat de te gebruiken systemen moeten voldoen aan hoge en algemeen aanvaarde eisen voor informatiebeveiliging. Een mantra waardoor wij gerustgesteld moeten worden. Maar ja, dit is weinig concreet. Kan de staatssecretaris aangeven of op korte termijn de aangekondigde AMvB zal worden voorgehangen?
In diezelfde memorie van antwoord van oktober 2012 verwijst de staatssecretaris naar een debat dat in oktober 2011 is gevoerd naar aanleiding van de DigiNotar-zaak. Mevrouw Gerkens verwees daar ook al naar. Toen, dus in 2011, is gewezen op het feit dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, moeten toetsen op basis van een ICT-beveiligingsassessment. Dat heeft de staatssecretaris in zijn nadere memorie van antwoord van maart 2014 nog eens herhaald. Kan hij aangeven hoeveel gemeenten daadwerkelijk zo'n assessment uitvoeren en wat de gemiddelde uitkomsten zijn? Inmiddels is er een uitspraak van de rechtbank Amsterdam van 30 juli 2014, die in zijn overwegingen aangeeft — en ik zeg het in mijn eigen woorden — dat het hebben van beveiligingsbeleid en beveiligingsplannen mooi is, maar dat het controleren van de werking van beide essentieel en een verantwoordelijkheid van bestuurders is. Met andere woorden: het uitvoeren van een assessment is niet voldoende. Gemeenten moeten ook echt controleren. Gaat de staatssecretaris gemeenten hiertoe bewegen, en zo ja, hoe? Graag een antwoord van de staatssecretaris.
Verder is mijn fractie nog benieuwd naar de uitkomsten van het driesporenbeleid, zoals uitgelegd in de memorie van antwoord van 2012. Het driesporenbeleid dat inhield 1) het vergroten van de weerbaarheid tegen inbreuken, 2) het vergroten van het herstelvermogen bij geslaagde inbreuken en 3) structurele systeemverbeteringen op mondiaal niveau. Kan de staatssecretaris aangeven hoe succesvol dit ingezette beleid is? De minister mag dat overigens ook doen.
Bij de voorbereiding van deze behandeling bekroop mij aan de ene kant het gevoel dat wij nu vast het wettelijk kader regelen, terwijl veel van het voorbereidend werk nog niet is afgerond en de AMvB nog niet bekend is. Met zoveel woorden eindigt daar de brief van 26 september ook mee. Aan de andere kant zal het wetsvoorstel niet wezenlijk worden gewijzigd als het voorbereidend werk wél zou zijn afgerond en de AMvB wél bekend zou zijn. Het is wat onbevredigend om nu een wetsvoorstel te aanvaarden, dat pas medio 2018 echt nodig is. Mijn fractie wacht dan ook eerst de beantwoording van de vragen af, alvorens tot een eindoordeel te komen. Waarbij mijn fractie echt de staatssecretaris wil vragen in te gaan op mijn vraag waarom er vier jaar nodig waren om dit wetsvoorstel hier behandeld te krijgen. Hoe serieus is de verwachting dat medio 2018, dus over vier jaar, digitale akten zullen worden opgemaakt en zijn we nu niet voorbarig met het op orde brengen van het wettelijk kader?