Verslag van de vergadering van 26 mei 2015 (2014/2015 nr. 32)
Status: gecorrigeerd
Aanvang: 15.31 uur
Mevrouw Gerkens i (SP):
Voorzitter. Ik lever mijn inbreng mede namens de fractie van GroenLinks. Ook ik wil de nieuwe staatssecretaris welkom heten in de Eerste Kamer. Ik hoop dat ik met hem net zo goed kan samenwerken als met zijn voorganger, de heer Teeven.
Allereerst bedank ik de staatssecretaris voor de beantwoording van onze vragen. De fractie van de SP is blij met dit wetsvoorstel, dat in onze ogen veel te lang op zich heeft laten wachten. Die lange wachttijd heeft ons ook wat bevreemd: zo'n lastig onderwerp is het niet en voor de bescherming van de internetgebruiker is het van groot belang dat datalekken gemeld worden. Uit de beantwoording van de staatssecretaris mag ik voorzichtig concluderen dat ook hij vindt dat deze weg lang is geweest.
Toch wilde mijn fractie nog mondeling met de staatssecretaris hierover van gedachten wisselen. Het gaat in dit debat om de kwaliteit van de uitvoering van dit wetsvoorstel. Laten we daarvoor eerst eens kijken naar het waarom van dit wetsvoorstel. In 2007 werden door een lek bij Tel Sell de creditcardgegevens van ruim 30.000 klanten gestolen. Maanden later werd dit pas bekend. Het bedrijf had zijn klanten niet op de hoogte gesteld omdat het niet zijn verantwoordelijkheid was, zo vond het bedrijf. Dit was een van de eerste grote lekken die bekend werden. Eigenlijk is iedereen het erover eens dat wanneer er een lek is, dit gemeld dient te worden, maar over het hoe en wat verschilt mijn fractie van mening met dit kabinet.
De vertraging is hierom wel te begrijpen. Het wetsvoorstel moet uitvoerbaar zijn en het moet kunnen rekenen op draagvlak in de uitvoering. En laten we eerlijk zijn, het is momenteel voor geen enkele organisatie prettig om te melden dat er ingebroken is in het digitale systeem, laat staan om dan ook nog eens te vertellen dat er gegevens zijn gestolen. Er heerst bij velen nog een taboe op het gegeven dat inbraak mogelijk is.
Tijdens het afgelopen paasweekend werd er bij het opslagbedrijf Hatton Garden Safe Deposit 270 miljoen euro buitgemaakt. Dat was spectaculair, want dit stond bekend als een van de beste beveiligde bedrijven. Metersdik gestaald beton werd doorboord. Offline en online bestaat er dus niet zoiets als absolute veiligheid, maar het besef daarvan is nog altijd laag. Er zijn bedrijven die hun best doen om de beveiliging hoog te houden, maar er zijn er ook die beschamend met de veiligheid omgaan. Ik noemde in het verslag al de grote pensioenuitvoerder die de volledige pensioenoverdracht online aanbood, inclusief bsn, inkomen van deelnemer, inkomen van partner, adresgegevens en noem maar op, allemaal over een onbeveiligde lijn. Kinderdagverblijven gebruiken onlineformulieren voor de inschrijving met een bsn over een onbeveiligde lijn. Dan heb ik het nog niet eens over de informatie die van mij gevraagd wordt als ik een simpele nieuwsbrief wil ontvangen of mijn gegevens achterlaat bij een webshop of op een contactformulier. Vaak zijn dat onnodige gegevens, zoals geboortedata et cetera, met daardoor extra risico op nog meer datalekken.
Ik zie drie mindsets die gewijzigd moeten worden. Allereerst is dat de mindset van de aanbieder van de dienst op het gebied van de Wet bescherming persoonsgegevens. Deze wet is nog onvoldoende in beeld bij de aanbieders. Zeker het mkb heeft hier nog een slag te maken, maar helaas ook de grotere organisaties. Ik zou hier vele voorbeelden kunnen noemen.
Ten tweede gaat het om de mindset van dezelfde aanbieders op het gebied van veiligheid. Omdat het hier om techniek gaat, vragen aanbieders nog veel te weinig expliciet naar de beveiliging. Zij gaan er namelijk vanzelfsprekend van uit dat de websitebouwer die wel in de gaten houdt, maar dat is over het algemeen niet zo. Zelfs als dit wel gebeurt, is het voor een aanbieder lastig te bepalen of de gevraagde veiligheid ook geboden wordt. Ik maak het mee dat hosts hun software op de server niet updaten. Dan denkt de aanbieder dat hij veilig is, maar blijkt dat niet zo te zijn.
Ten derde gaat het om de mindset van de gebruiker, die moet beseffen dat een lek geen onwil is van een organisatie en dat hij altijd zijn wachtwoord dient te wijzigen bij de melding van een lek, en liefst nog wat vaker. Wanneer ik echt een dienst wil afnemen, maar de beveiliging onvoldoende is, dan mail ik het bedrijf met die opmerking. Een veilig internet is ook samenwerken.
In het verslag vertelde mijn fractie over het Heartbleed-lek van afgelopen zomer en de wijze waarop de gebruiker daarover werd geïnformeerd. Zo wist ik dat mijn e-mailadres tot de hack behoorde, maar niet waar het lek zat en of ik passende maatregelen moest nemen. Er werd mij alleen geadviseerd om mijn wachtwoorden te wijzigen. Ik heb er veel, heel veel, en zou niet eens weten of ik dan alle wachtwoorden zou hebben gehad. Deze impasse leidde ertoe dat ik niets deed, een soort Catch-22. Hier raken wij een kwetsbaar punt van de uitvoering. Mijn fractie is het met de regering eens dat er alleen gewaarschuwd dient te worden als er sprake is van mogelijke diefstal van persoonlijke gegevens, maar op welke wijze dat gebeurt en wanneer daarvan precies sprake is, is onduidelijk en wordt aan de aanbieder overgelaten. Deze moet wel altijd de hack melden bij het CBP, maar het wetsvoorstel biedt geen garantie dat de aanbieder ook op de juiste wijze zijn klanten informeert. Zo werd bij het Heartbleed-lek geen adequate waarschuwing gegeven omdat dan bekend zou worden welke websites op dat moment kwetsbaar waren, maar naar ik mag aannemen is zo'n lek snel gedicht en had men de gebruikers vervolgens alsnog kunnen waarschuwen.
Het wetsvoorstel verbetert dus wel de mogelijkheden van het CBP en in zekere mate de bewustwording bij de aanbieder, maar beschermt nog veel te weinig de eindgebruiker om wie het in dit wetsvoorstel uiteindelijk te doen is. In het verslag verwijst de staatssecretaris naar een brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal van 13 oktober 2014 inzake de Hold-casus. In die brief heeft de minister van Veiligheid en Justitie toegezegd dat voorts zal worden verkend "hoe de ervaringen uit deze casus geborgd kunnen worden in een te ontwikkelen structurele voorziening met de daarbij benodigde juridische waarborgen". Kan de staatssecretaris mij vertellen wanneer deze structurele voorziening en de daarbij behorende waarborgen worden ontwikkeld? Dit lijkt mij een welkome aanvulling op het wetsvoorstel. Zou een dergelijk voorstel voor het eind van dit jaar naar de Tweede Kamer gezonden kunnen worden? Graag krijg ik een reactie van de staatssecretaris.
Ik wil graag nog even terugkomen op de awareness. Het ECP is inderdaad volop met het mkb bezig om de digitale veiligheid daar te verbeteren. Ik ken het programma en dat is gedegen en succesvol, maar het bereik blijft klein. De gemiddelde aanbieder heeft echt geen flauw benul van de Wet bescherming persoonsgegevens. Voor aanbieders is het niet meer dan logisch dat ze voor de verzending van hun artikelen naw-gegevens nodig hebben. "Waarom zijn die nou zo privacygevoelig?", zo redeneren zij. Is de staatssecretaris bereid om eenmalig aan alle bedrijven en organisaties die bij de Kamer van Koophandel zijn ingeschreven, een brief te zenden waarin hij wijst op deze wet en op de Wet bescherming persoonsgegevens? Vervolgens kan hij in deze brief ook verwijzen naar het programma van ECP. Hiermee zouden we een enorm grote slag kunnen slaan. Graag verneem ik de reactie van de staatssecretaris.
Mij rest nog een klein vraagje. In de beantwoording zegt de staatssecretaris dat het aan de beoordeling van de aanbieder zelf is hoelang hij het overzicht van inbreuken moet bewaren. Hierop staat dezelfde boete als op het niet naleven van de meldplicht. Dat kan echt niet. Er staat een behoorlijke boete op het spel. Het bewaren van documenten loopt van twee jaar tot levenslang. Mijn fractie zou willen voorstellen dat in ieder geval het CBP aangeeft hoelang deze informatie bewaard dient te worden, zodat dat bij ingang van deze wet voor iedereen helder is. Ik kijk uit naar de beantwoording.
De beraadslaging wordt geschorst.