Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Informatiebeveiliging bij de overheid
[0:00:00] Kamercommissie Digitale Zaken.
[0:00:02] En het is het eerste debat met onze kersverse staatssecretaris.
[0:00:06] Dus daar zijn we ongelooflijk blij mee. Welkom.
[0:00:09] En we spreken vandaag over informatiebeveiliging bij de overheid.
[0:00:14] De spreektijd per fractie vandaag is maximaal vier minuten.
[0:00:18] En ook welkom aan mijn collega's.
[0:00:20] Ik denk dat we dan gelijk van start kunnen gaan
[0:00:23] met de heer Sjiks Dijkstra van de NSC met zijn bijdrage.
[0:00:27] Ja, hartelijk dank, voorzitter.
[0:00:28] en ook vanuit mij uiteraard van harte welkom aan de nieuwe staatssecretaris.
[0:00:32] Voorzitter, de digitale incidenten van de afgelopen zomer
[0:00:35] hebben wel duidelijk gemaakt dat onze afhankelijkheid van digitale processen groot is,
[0:00:39] dat de samenhang van systemen complex is
[0:00:41] en dat storingen een behoorlijk grote impact op de samenleving kunnen hebben.
[0:00:45] En daar zullen we de komende tijd nog wel vaker het debat over voeren.
[0:00:48] De vorige staatssecretaris heeft in juni vorig jaar een rapport gedeeld met de Kamer
[0:00:53] over de beveiliging van gegevens, documenten en registraties
[0:00:57] van nationaal belang.
[0:00:58] Dit rapport bevat best een hoop nuttige en haalbare aanbevelingen,
[0:01:02] wat mij verstandig lijkt als daar nu op doorgepakt wordt.
[0:01:04] Dus mijn eerste vraag aan de staatssecretaris is
[0:01:07] wat is er tot nu toe met het rapport gedaan
[0:01:08] en wat zal er in de toekomst mee gebeuren?
[0:01:10] Het zou natuurlijk zonde zijn als deze ergens in een lade verdwijnt.
[0:01:13] Is de staatssecretaris bereid om de aanbevelingen in het rapport op te volgen
[0:01:16] en de voortgang daarvan aan de Kamer terug te rapporteren?
[0:01:20] Ik wil één specifieke aanbeveling uit het rapport uitlichten
[0:01:23] en dat is de volgende.
[0:01:24] Voor toezicht op gegevens, documenten en registraties van nationaal belang
[0:01:27] zou toezicht kunnen worden ingericht vergelijkbaar met de toezicht
[0:01:31] op de beveiliging van gerubriceerde informatie van de EU en NAVO.
[0:01:35] Dat lijkt mij zelf een heel goede aanbeveling.
[0:01:37] We wijken af van ongeveer heel Europa in het feit
[0:01:40] dat we dit niet al ingeregeld hebben met nationaal toezicht.
[0:01:42] En het gaat hier nogal ergens om.
[0:01:44] Zeker in het licht van de staatsgeheim informatie die bij de NCTV gestolen is.
[0:01:48] Ik ben mij ervan bewust dat er momenteel ook twee onderzoeken hiernaar lopen.
[0:01:51] Maar hoe kijkt de staatssecretaris in z'n algemeenheid aan
[0:01:54] tegen hoe deze zogeheten NSA-taak invulling krijgt?
[0:01:58] Dan kan de staatssecretaris ook verder toelichten
[0:02:00] hoe hij zijn mandaat wil oppakken wat betreft het grote, veelomvattende
[0:02:04] en helaas vaak ook knellende vraagstuk van overheidsdigitalisering in den brede,
[0:02:09] maar waar informatiebeveiliging een belangrijk onderdeel van is.
[0:02:12] Is hij bereid om in zijn termijn prioriteit te geven
[0:02:15] aan de aanbevelingen van de Algemene Rekenkamer
[0:02:17] en ervoor te zorgen dat ten eerste hij zijn mandaat inzet op het zetten van
[0:02:23] overheidsbrede standaarden, dat hij die ruimer pakt dan zijn voorganger.
[0:02:27] En ten tweede dat er duidelijk inzicht verkregen wordt in hoe de systemen die
[0:02:30] binnen de hele overheid gebruikt worden er zijn en hoe deze van elkaar
[0:02:35] onderling afhankelijk zijn. Dan laatste punt.
[0:02:41] Eerder dit jaar is het NCSC door een Duitse journalist op de hoogte gebracht
[0:02:46] van softwarekwetsbaarheden die gevonden zijn in de Cisco Webex-dienst,
[0:02:51] waarmee metagegevens van vergaderingen
[0:02:53] van de Nederlandse Rijksoverheid konden worden achterhaald.
[0:02:56] De Rijksoverheid is niet rechtstreeks
[0:02:58] door de leverancier geïnformeerd over de kwetsbaarheden,
[0:03:01] maar dat moest via de journalist.
[0:03:04] En deze week zijn de antwoorden op de Kamervragen van de heer Valieze,
[0:03:07] van de VVD en van mijzelf, naar de Kamer toegestuurd.
[0:03:10] Ik heb over de beantwoording van die vragen nog enkele vervolgvragen.
[0:03:14] Ten eerste, de staatssecretaris geeft aan dat er meerdere checks zijn uitgevoerd naar
[0:03:18] dit product.
[0:03:20] Begrijp ik uit de beantwoording goed dat de voorspelbare logische volgordelijkheid in
[0:03:23] de internetadressen uit die checks niet naar voren is gekomen?
[0:03:27] Zo ja, kwam dat omdat deze kwetsbaarheid überhaupt niet aanwezig was in de specifieke versie
[0:03:31] van WebEx die de Rijksoverheid het meest gebruikt, of omdat naar dit soort kwetsbaarheden niet
[0:03:36] gekeken wordt?
[0:03:37] Ten tweede, in welke mate heeft de staatssecretaris zicht op, of in de praktijk, enkel informatie
[0:03:43] via WebEx tot en met rubricering departementaal vertrouwelijk besproken wordt.
[0:03:48] Er is wel eens onderzocht hoe het veiligheidsbewustzijn van ambtenaren is
[0:03:51] en specifiek daar wat het betreft het gebruik van communicatieproducten.
[0:03:57] Bij de laatste twee vragen valt de staatssecretaris
[0:04:00] in zijn beantwoording specifiek terug op de aanbestedingsregels
[0:04:03] en de behoefte van individuele departementen.
[0:04:06] Maar wat wij als vraagstellers eigenlijk wilden weten, is dit.
[0:04:08] In welke mate zouden voor de staatssecretaris
[0:04:11] zou het belang van de Nederlandse digitale autonomie en ook van het
[0:04:15] borgen van de status van Nederland als crypto producerend land mee moeten wegen
[0:04:19] in de aanschaf van communicatie producten over het hele rijk heen.
[0:04:23] Dank u wel, voorzitter.
[0:04:25] Dank u wel en dat is mooi binnen de tijd. U had nog twee seconden.
[0:04:30] Ik zie geen interrupties. Dan is het woord aan de heer Valise van de PVV.
[0:04:35] Ja, voorzitter, dank voor het woord.
[0:04:37] Een heel hartelijk welkom ook aan de staatssecretaris.
[0:04:39] Uw eerste debat in onze commissie.
[0:04:41] Welkom in ons gezellige clubje en we gaan er samen wat moois van maken.
[0:04:45] Vier minuten, het is kort, maar ik doe mijn best.
[0:04:47] Voorzitter, er zijn de afgelopen drie maanden wat incidenten geweest die tot nodige onrust hebben geleid.
[0:04:52] De gemelde kwetsbaarheden van de Cisco WebEx-vergadevoorziening,
[0:04:55] het debacle rondom CrowdStrike en de navinstoring.
[0:05:00] CrowdStrike betekende geen goed begin van de vakantie voor vele miljoenen mensen wereldwijd.
[0:05:03] In dit geval veroorzaakt door menselijk falen.
[0:05:06] Niets waar de overheid direct invloed op heeft, maar we kunnen er wel van leren.
[0:05:09] Een papieren backup, een stand-alone-systeem, maar je kunt ook als organisatie of bedrijf
[0:05:13] heroverwegen of outsourcing wel zo verstandig is.
[0:05:16] Maar dat is weer een andere discussie in een andere setting en gaat dan ook aan bod komen
[0:05:20] bij het commissiedebat online veiligheid en cybersecurity, direct na het kerstreces.
[0:05:25] En NAVIN zal vanzelfsprekend bij het debat over digitale infrastructuur terugkeren in
[0:05:29] december.
[0:05:30] Punt dat ik wilde maken, we zijn gewoon ongelooflijk afhankelijk geworden van IT.
[0:05:34] Voorzitter, dan nu de informatiebeveiliging bij de overheid.
[0:05:37] Negen brieven, ik zal er enkele belichten.
[0:05:39] Voor wat betreft de offensieve cyberagenda.
[0:05:41] De moties van de leden Rijkoski van VVD en van Van Weerdenburg van de PVV.
[0:05:45] Hiervan wil de PVV graag weten
[0:05:47] wat de grootste obstakels zijn bij het weren van technologie uit landen met een offensieve cyberagenda
[0:05:52] en of daar een plan voor uiteengezet is.
[0:05:55] Vanuit de Vereniging Nederlandse Gemeenten komt het sterke signaal
[0:05:57] dat er op het ogenblik een scala aan handreikingen en eisensets bestaan
[0:06:00] maar dat er geen induidig beleid en regie is.
[0:06:03] Daar kom ik aan het einde van mijn betoog nog even op terug.
[0:06:05] Ook hebben we nog de brief over de aanbestemingsregels.
[0:06:08] Die verwijzen onder andere baseline informatiebeveiliging overheid en de inkoopeis de cybersecurity
[0:06:13] overheid als standaarden en instrumenten om informatiebeveiliging te borgen in aanbestedingen.
[0:06:18] Hoe wordt geborgd dat deze standaarden en instrumenten adequaat worden opgevolgd en
[0:06:22] welke consequenties eraan hangen indien dat niet het geval is?
[0:06:25] Voorzitter, Google Workspace.
[0:06:27] We lezen dat overheidsorganisaties deze kunnen gebruiken, mits ze specifiek aanvullende maatregelen
[0:06:32] afwegen afhankelijk van hun situatie.
[0:06:34] De PVV wil dan graag weten welke risico's er nog steeds bestaan, om welke maatregelen
[0:06:39] het gaat en of dit voor alle overheidsorganisaties gelijk is.
[0:06:43] De openbaarmaking van de broncode van DigiDai, hier is een zorgvuldig procedure gevolg waarbij
[0:06:47] een externe onderzoek is uitgevoerd naar de beveiligingsaspecten van de meest kritieke
[0:06:51] onderdelen van de broncode.
[0:06:53] Fragmenten die een beveiligingsrisico vormen zijn aangepast in de gepubliceerde versie.
[0:06:57] PVV wil hiervan graag weten waarom gekozen is voor deze oplossing.
[0:07:00] Kan de inzet van AI niet alsnog tegewijzigde code corrigeren en vormt dat dan geen risico?
[0:07:07] Dan de brieven in zaken de softwarekwetsbaarheden in Cisco Webex.
[0:07:10] Gisteren hebben we eindelijk antwoord mogen ontvangen op vragen van NSC, VVD en PVV.
[0:07:15] Het valt op dat er geen SLA's met Cisco zijn, maar met BIS.
[0:07:18] Dus BIS draagt hier verantwoordelijkheid.
[0:07:20] Maar waarom deze constructie?
[0:07:22] En dan sluit ik me verder nog aan bij de vraag van de heer Cees Dijkstra.
[0:07:25] Voorzitter, dan nog een algemene vraag.
[0:07:27] Ik waardeer uw technische vragen en uw oprechtheid.
[0:07:31] En daarom wil ik u 30 seconden meer geven.
[0:07:33] Dan heeft u, denk ik, het gevoel dat u uw bijdrage af kan maken.
[0:07:37] Dus dan kunt u minder haast gewoon uw vragen stellen.
[0:07:42] Dank voorzitter. Als het goed is heb ik nog 24 seconden.
[0:07:45] Een algemene vraag voor de staatssecretaris.
[0:07:47] Deze brieven, maar ook vernoemde incidenten, ze wijzen allemaal in de richting van één conclusie.
[0:07:51] Er is onvoldoende regie. Deelt de staatssecretaris deze opvatting?
[0:07:55] en is hij voornemens, omgezien de achtergrond die hij heeft,
[0:07:57] inmiddels de aangewezen persoon hiervoor is,
[0:07:59] de rol van karretrekker op zich te nemen en voor binnen de factor te zijn
[0:08:02] die interdepartementaal voor elkaar gaat krijgen dat er meer regie komt.
[0:08:06] Ik zag gisteren een post op LinkedIn voorbijkomen over het e-bestuurcongres
[0:08:09] waar de staatssecretaris gesproken heeft
[0:08:11] en daarmee is al een tipje van de sluier opgelicht.
[0:08:13] Maar kan en wil de staatssecretaris hier al iets op zeggen
[0:08:15] of moeten we het regeerakkoord afwachten?
[0:08:17] We zijn erg nieuwsgierig hierover, begrijpt u?
[0:08:20] En dan nog een laatste uitsmijter binnen de tijd.
[0:08:22] De vorige staatssecretaris heeft de spreekwoordelijke stekker uit de platform TikTok getrokken,
[0:08:27] waardoor via dit platform geen burgers meer geïnformeerd worden vanuit de staat.
[0:08:31] Gaat u dit besluit heroverwegen?
[0:08:33] Immers, er maken toch behoorlijk wat mensen gebruik van dit medium.
[0:08:36] En dan sluit ik af binnen de tijd als het goed is.
[0:08:39] Dank u, voorzitter.
[0:08:40] Meneer Verlies, ik had mijn waardering al uitgesproken, maar inderdaad, u heeft nog twee seconden.
[0:08:44] Dat is perfect.
[0:08:46] Ik zie geen interrupties.
[0:08:48] Dan is het woord aan de heer Buizen van de VVD.
[0:08:51] Dank u wel, voorzitter. En ook van mijn hand welkom aan de staatssecretaris
[0:08:55] en fijn dat u erbij bent. Voorzitter, bij mijn medespeech vorige week heb ik uitgedragen
[0:08:59] dat ik zoveel mogelijk Nederlanders wil bereiken aan de keukentafel. Want Nederlanders wisselen
[0:09:04] aan de keukentafel hun zorgen uit. Enerzijds kunnen ze dan zelf handelen, maar anderzijds
[0:09:08] moet er een sterke overheid zijn die vanuit haar rol zaken veilig moet stellen. En voorzitter,
[0:09:13] het gaat vaak ook over zorgen die voortkomen uit de wereld van bits en bytes. Die zorgen
[0:09:17] zijn zichtbaar. Bijvoorbeeld onlangs nog toen er een storing was op Eindhoven Airport.
[0:09:22] Deze storing bleek niet het gevolg te zijn van een cyberaanval, maar toch legt het onze
[0:09:27] kwetsbaarheid bij een storing bloot. Tegelijkertijd zijn er ook risico's die de keukentafel niet
[0:09:32] halen, gelukkig maar. Zo onthulde de MIVD 6 februari ongsleden een werkwijze voor Chinese
[0:09:38] spionage in Nederland. Ze trof malware aan bij de krijgsmacht op een losstaand computernetwerk.
[0:09:44] We willen niet weten wat de gevolgen kunnen zijn.
[0:09:47] Ook in de agenda van deze commissievergadering
[0:09:49] kwamen kwetsbaarheden voor de informatiebeveiliging terug,
[0:09:52] zoals bij Cisco WebEx en Google Workspace.
[0:09:55] Al deze voorbeelden lijken slechts het topje van de ijsberg
[0:09:58] van wat nog komen gaat.
[0:09:59] Het doel van de VVD is om te komen tot een breedgedragen bewustzijn
[0:10:02] over de risico's en potentieel impact van onze nationale veiligheid,
[0:10:06] waar Nederlander met een tegen Nederland gekeerde cyberagenda
[0:10:09] echt zouden doorpakken.
[0:10:10] We willen bijvoorbeeld dat, vanwege de toegenomen cyberdreiging
[0:10:13] vanuit Rusland en China de overheidsscenario's voorbereid,
[0:10:17] zodat we beter voorbereid zijn bij grootschalige cyberaanvallen of storingen.
[0:10:22] Daarnaast willen we de aanwezigheid afbouwen van digitale apparatuur,
[0:10:25] programmatuur en cryptografie van organisaties uit landen
[0:10:29] met een tegen Nederland gerichte cyberagenda.
[0:10:32] En we willen dat de overheid samenwerkt met ethische hackers
[0:10:35] binnen de bestaande juridische kaders om kwetsbaarheden eerder in beeld te krijgen.
[0:10:40] Als het gaat over de afbakening van de hiervoor genoemde doel,
[0:10:43] dan betreft dat de Rijksoverheid inclusief de vitale processen van de Rijksoverheid,
[0:10:48] zoals telecommunicatie, transport, defensie of de openbare orde en veiligheid.
[0:10:52] De beantwoording van de staatssecretaris op de twee moties die Rajkowski in 2022 heeft ingediend,
[0:10:58] toont aan dat de Rijksoverheid werkt aan dat beurszijn en intensivering van haar processen en procedures.
[0:11:04] Zo is de aanbestedingsprocedure aangepast met het oog op het weren van apparatuur en programmatuur van organisaties uit landen
[0:11:11] met een tegen Nederland gerichte cyberagenda.
[0:11:14] Dat geeft vertrouwen, echter.
[0:11:16] De moties zijn nog niet volledig uitgevoerd
[0:11:18] en zijn wat ons betreft nog niet afgedaan.
[0:11:20] Met de moties werd namelijk verwezen
[0:11:22] naar de risico's in de vitale processen
[0:11:24] van de Rijksoverheid en het maken van een scan
[0:11:26] om er een actueel beeld bij te hebben.
[0:11:28] De scan hebben we nog niet tot ons kunnen nemen
[0:11:30] terwijl wij graag deze oefening zouden willen doen
[0:11:32] of er kennis van zouden willen nemen.
[0:11:34] Wij willen weten waar en in welke mate
[0:11:36] er risico's zijn voor het gebruik
[0:11:38] van apparatuur, programmatuur en cryptografie
[0:11:40] dat gebruikt wordt voor onze vitale infrastructuur.
[0:11:44] Dat voorbeeld, het voorbeeld van een bevinding van de MIVD en de storing bij Defensie
[0:11:48] laat al voldoende zien wat de maatschappelijke impact kan zijn.
[0:11:52] Ik wil de staatssecretaris daarom de volgende vragen stellen.
[0:11:55] Klopt het dat deze brieven, de brieven over de moties van Rajkowski een update zijn
[0:12:02] en dat de moties nog een vervolg krijgen?
[0:12:05] Heeft u momenteel een actueel en volledig zicht op de software, apparatuur en cryptografie?
[0:12:10] die gebruikt wordt voor onze vitale processen.
[0:12:13] Heeft u bij dit overzicht ook inzicht of er organisaties bij betrokken zijn uit landen
[0:12:18] die tegen een Nederland gekeerde cyberagenda voeren?
[0:12:22] Kan de Kamer kennis nemen van dit overzicht, eventueel onder geheimhouding?
[0:12:27] Is de staatssecretaris bereid om in de toekomst afspraken te maken met en tussen departementen
[0:12:33] die bijdragen aan het stapsgewijs wegnemen van cyberrisico's van de vitale processen?
[0:12:38] Dank u wel.
[0:12:41] Dank u wel. U heeft een interruptie van de heer Sjiks Dijkstra van NEC.
[0:12:45] Dank u wel, voorzitter. En ik dank de heer Buijs ook voor zijn bijdrage.
[0:12:47] Ik heb eigenlijk niks gehoord waar ik fundamenteel mee oneens ben.
[0:12:51] Ik had wel een verduidelijkingsvraag.
[0:12:52] Op een gegeven moment vertelde hij dat de defensiecasus van afgelopen februari,
[0:12:57] van de MIVD-systemen, dat die casus aanleiding zou geven om nog even tegen het licht te houden
[0:13:03] op onze afhankelijkheid van cryptografie en systemen van landen met officieel cyberprogramma,
[0:13:08] Ik neem aan dat hij op China doelt, afgebouwd moest worden.
[0:13:11] Maar ik meen dat dat wel systemen waren die uit Amerika kwamen.
[0:13:14] Dus hoe ziet hij de samenhang daartussen?
[0:13:17] En wat zou hij hierop willen voorstellen?
[0:13:23] Nou, ik doel in dit voorbeeld niet specifiek op landen.
[0:13:27] Ik doel met name meer op de kwetsbaarheid die we hebben voor storingen, incidenten,
[0:13:34] maar ook voor malware, bijvoorbeeld die geïnstalleerd wordt door derden.
[0:13:39] Ik wil nog niet verwijzen, en volgens mij deed ik dat ook niet.
[0:13:42] Ja, het is een werkwijze voor Chinese spionage in Nederland.
[0:13:44] Dus dat haal ik wel uit het bericht terug.
[0:13:48] Maar dat weten we niet honderd procent zeker, hè.
[0:13:53] De heer Sjiks-Dijkstra, nog een interview?
[0:13:55] Ja, dank.
[0:13:56] Mijn vraag is dan specifiek van...
[0:13:59] Ik ben het me eens dat we ons beter moeten wapenen tegen landen als China.
[0:14:03] Maar wat zou de heer Buijzen in dit geval dan concreet voorstellen?
[0:14:06] Wat zijn de dingen die dan geëvalueerd zouden moeten worden...
[0:14:08] om bij dit soort casussen waar gebruik is gemaakt van apparatuur die niet uit China komt,
[0:14:13] maar die wel kwetsbaar bleek, in dit geval hetgeen is wat binnen het aanvalsoppervlak van de Chinese actoren lag.
[0:14:22] Nou, ik vond het sowieso interessant om bij uw beide inspraakmogelijkheden te horen,
[0:14:28] dat u beiden ook zoekt naar regie.
[0:14:31] Regie op afhankelijkheden interdepartementaal om de veiligheid te waardborgen.
[0:14:37] En in die regie lukt het ons op dit moment blijkbaar niet om risico's weg te nemen.
[0:14:44] En de twee voorbeelden die ik gaf, zou ik er eigenlijk bij willen streven om juist wel naar regie te gaan.
[0:14:52] En dat is ook de vraag die ik ook bij u eigenlijk ook terug hoor.
[0:14:57] Van hoe kunnen we nou de staatssecretaris in positie brengen om tot echte afspraken te komen om incidenten zoals
[0:15:04] het plaatsen van malware die schade zou kunnen geven, of die situatie zoals
[0:15:11] gebeurde met Defensie en Airport Eindhoven, om die te voorkomen.
[0:15:16] En wat ons betreft, om dat te voorkomen,
[0:15:19] moeten we echt de handen ineens slaan om tot interdepartementale afspraken te
[0:15:23] komen. En daaraan aanvullend, als dat kan,
[0:15:28] zou ik ook graag, zoals ik ook vooropteerde, duidelijker in beeld willen
[0:15:33] hebben welke apparatuur, software en cryptografie er eigenlijk is.
[0:15:38] Want aan onze kant van de tafel, aan de kant van de Tweede Kamerleden, weten wij
[0:15:42] op dit moment helemaal niks. Dus we kunnen ook niet zeggen of en hoe er risico's zijn.
[0:15:49] Dus ja, dat zou ik graag over een gesprek willen met de staatssecretaris om daar het
[0:15:53] gezamenlijke bewustzijn over te vergroten. Dat is het doel van onze fractie.
[0:15:58] Een interruptie van de heer Van Leesen van de PVV.
[0:16:00] Ja, voorzitter, dank voor het woord en dank ook voor uw inbreng.
[0:16:03] Maar ik zat al te denken, want als we het hebben over die storing bij het vliegveld Eindhoven
[0:16:07] en de defensie en dergelijke, dat was navindend.
[0:16:09] Dat valt onder de digitale infrastructuur, waar we dan nog direct na het in december over terug gaan komen.
[0:16:17] En met betrekking tot malware en dergelijke, ja, veiligheid en cybersecurity,
[0:16:21] daar krijgen we ook nog een debat over, meteen na het kerstreces.
[0:16:24] Dus in welke samenhang ziet u dat bij de informatiebeveiliging,
[0:16:30] bij de overheid, wat we nu op de agenda hebben staan?
[0:16:34] De samenhang zit hem in de moties van Ruikovsky,
[0:16:37] die in 2022 zijn aangenomen.
[0:16:41] Daar komt u wat ons betreft samen.
[0:16:43] En ik deel uw visie op van, ja, waarom moet dit hier?
[0:16:47] En in latere debatten, ik heb daar overigens ook een mening over,
[0:16:50] want ik vind het lastig om de staatssecretaris
[0:16:55] echt in goede positie te brengen,
[0:16:57] dat er ook eigenlijk nog een fragmentatie is
[0:16:59] in de opzet van onze eigen commissiestructuur.
[0:17:02] Even een praktisch voorbeeld.
[0:17:04] Ik ben nu hier voor mijn eerste commissiedebat.
[0:17:07] Mijn voorgangsteur was Kwimi Rajkowski.
[0:17:11] Toen zij voor haar eerste keer sprak,
[0:17:13] was digitale zaken een heel klein onderdeeltje.
[0:17:17] Als je kijkt naar hoeveel digitale zaken in omvang is gegroeid
[0:17:22] en hoe steeds meer wij komen te weten als Tweede Kamer
[0:17:25] over digitale zaken in de breedste zin des woords.
[0:17:29] En als ik dat vertaal vanuit mijn behoefte
[0:17:31] om dat naar de keukentafel terug te vertalen,
[0:17:33] wat het voor inwoners voor relevantie heeft,
[0:17:36] dan vraag ik me af, is dat wel eerlijk toebedeeld
[0:17:39] binnen het geheel van de Tweede Kamer?
[0:17:43] En ik kan het antwoord nu niet geven, ik weet het ook niet.
[0:17:46] Maar ik wil het daar wel over hebben, want mijn gevoel zegt, maar misschien kunt u daar ook een reflectie op geven,
[0:17:51] mijn gevoel zegt dat digitale zaken te gefragmenteerd is, verdeeld over departementen,
[0:17:57] en dat we daardoor risico's niet goed beet hebben.
[0:18:01] Ja, en ik zou de staatssecretaris graag in de positie helpen dat we dat voor Nederland in het nationaal belang,
[0:18:08] zeker voor onze vitale processen, juist goed gaan doen.
[0:18:13] Dank u wel. Ik zie geen interrupties meer.
[0:18:16] Dan vraag ik de heer Sjiks-Dijkstra om even de voorzittersrol over te nemen,
[0:18:22] zodat het lid Katman van GroenLinks Partij van de Arbeid haar bijdrage kan doen.
[0:18:26] Dank. Ik geef het woord aan het lid Katman van de fractie van GroenLinks Partij van de Arbeid.
[0:18:32] Dank u wel, voorzitter.
[0:18:34] Onze samenleving en overheid zijn verregaand gedigitaliseerd en afhankelijk van digitale processen.
[0:18:39] Van dgd tot e-mail, van videoconferenties tot de toetscijfers van mijn kinderen.
[0:18:43] We kunnen gewoon niet meer zonder digitale middelen.
[0:18:46] En dat wordt bij elke storing keer op keer pijnlijk duidelijk.
[0:18:49] Bij zowel de storing veroorzaakt door Navin als het Crowdstrike-incident lijkt het er gelukkig
[0:18:54] op dat er geen sprake was van een cyberaanval.
[0:18:57] Maar het moet wel onze ogen openen.
[0:18:59] De samenleving en de overheid zijn compleet afhankelijk van digitale processen.
[0:19:04] Voorzitter, ik wil de heer Tsabo van harte welkom heten en hem ten eerste heel veel succes
[0:19:08] wensen met zijn komende periode als staatssecretaris voor Digitale Zaken, maar ik wil hem ook iets
[0:19:13] meegeven.
[0:19:14] Zijn collega, de minister van Justitie, sprak de inmiddels beruchte woorden get used to
[0:19:19] it, wén er maar aan, dat er storingen en problemen zullen plaatsvinden bij digitale
[0:19:23] processen.
[0:19:24] Hij sprak ze uit op het moment dat zowel de oorzaak als de impact volstrekt onduidelijk
[0:19:28] waren van de storing.
[0:19:29] Wel was duidelijk dat de kustwacht in de problemen zat en de DGD niet functioneerde.
[0:19:34] De uitspraak was dan ook geen steun in de rug, maar een klap in het gezicht van alle
[0:19:40] cybersecurity-specialisten die keihard aan het werk waren om oorzaken te achterhalen,
[0:19:44] impact te minimaliseren en problemen op te lossen en dus onze nationale weerbaarheid
[0:19:49] te vergroten.
[0:19:51] Ja, er zullen zeker cyberaanvallen en storingen gaan plaatsvinden.
[0:19:54] 100% veilig en 100% uptime, dat bestaat niet.
[0:19:58] En ik zal ook de allerlaatste zijn die dit kabinet en deze staatssecretaris in het bijzonder
[0:20:02] aan onmogelijke standaarden zou houden.
[0:20:05] Maar ik wil de staatssecretaris wel vragen om er niet met de pet naar te gooien en onze
[0:20:09] nationale weerbaarheid te vergroten.
[0:20:11] Ik verwacht van hem dat hij zijn uiterste best gaat doen om ons land zo cyberveilig mogelijk
[0:20:15] te houden, om plannen te ontwikkelen voor de momenten dat er digitale incidenten optreden,
[0:20:20] om deze zo snel mogelijk te verhelpen en om de samenleving zo goed mogelijk draaiende
[0:20:24] te houden.
[0:20:24] En dat, voorzitter, brengt mij tot de volgende vragen.
[0:20:28] Kan de staatssecretaris aangeven wat zijn visie is op het cyberveilighouden van Nederland?
[0:20:34] GroenLinks Partij van de Arbeid wil eigenlijk het allerliefst dat die woorden get used to
[0:20:39] it worden teruggenomen of minimaal worden vervangen door get ready.
[0:20:43] En mijn vraag is eigenlijk, vindt de staatssecretaris dat ook?
[0:20:47] 100% uptime en veiligheid bestaat niet en incidenten zullen voorkomen.
[0:20:51] Wat is voor de staatssecretaris een acceptabele downtime ten aanzien van de digitale dienstverlening
[0:20:56] van de overheid?
[0:20:58] Welke response time van dienstverleners zoals de partijen die betrokken zijn bij Navin verwachten
[0:21:03] staatssecretaris?
[0:21:04] Voorzitter, tijdens de Crowdstrike-storing waren er ziekenhuizen die alle operaties stil
[0:21:08] moesten leggen, maar er waren ook ziekenhuizen die door konden draaien en die hadden ook
[0:21:12] last van de storing.
[0:21:14] Dat betekent dus dat sommige vitale delen van onze infrastructuur gewoon beter voorbereid
[0:21:18] zijn dan andere.
[0:21:19] Is de staatssecretaris met mij eens dat alle overheids- en vitale organisaties niet alleen
[0:21:24] plannen moeten hebben om storingen zo snel mogelijk te verhelpen, maar ook plannen om
[0:21:28] ondanks uitgevallen systemen de dienstverlening doorgang te laten vinden?
[0:21:32] Ziet de staatssecretaris mogelijkheden om dit soort plannen af te dwingen en te controleren
[0:21:37] of deze plannen voldoen?
[0:21:40] Voorzitter, de incidenten met Webex, Crowdstrike en Navin staan los van elkaar, maar de problemen
[0:21:44] kunnen wel in samenhang worden bezien.
[0:21:46] Daarom wil ik het volgende van de staatssecretaris weten.
[0:21:49] Volstaat volgens de staatssecretaris de huidige Nederlandse cybersecurity-strategie om dit
[0:21:54] soort incidenten bij de overheid te voorkomen?
[0:21:56] Welke wijzigingen gaat de staatssecretaris in de strategie aanbrengen om Nederland cyberweerbaarder
[0:22:01] te krijgen?
[0:22:02] Na elk incident wordt er onderzoek gedaan en daarvoor hulde, en toch rijdt het een beetje
[0:22:07] ook naar brandjesblussen.
[0:22:08] Kan de staatssecretaris aangeven of hij reden ziet om een onderzoek te doen naar de vraag
[0:22:12] of er diepere problemen zijn in de manier hoe we bij de overheid de IT hebben ingericht,
[0:22:16] waardoor incidenten vaker dan nodig kunnen voorkomen.
[0:22:20] Is volgens de staatssecretaris dus meer onderzoek gewoon nodig?
[0:22:24] Nu ga ik afronden. We hebben het hier niet alleen te maken...
[0:22:27] met de staatssecretaris van Digitale Zaken, maar ook van Koninkrijk Relaties.
[0:22:31] En mijn vraag eigenlijk gaat over deze combinatie.
[0:22:34] Kan de staatssecretaris aangeven of de nieuwe cybersecuritywet...
[0:22:37] ook van toepassing is voor Caribisch Nederland?
[0:22:39] En zo nee, wat vindt de staatssecretaris daar dan van?
[0:22:42] En wat is eigenlijk zijn visie over het cyberveiligheiden van het hele koninkrijk en
[0:22:47] hoe dat het beste bereikt kan worden?
[0:22:48] Dank u wel.
[0:22:50] Dank u wel, mevrouw Katman.
[0:22:51] Dan geef ik de voorzittershamer weer terug aan u.
[0:22:54] Dank u wel, voorzitter.
[0:22:56] Dan zijn alle bijdragen gedaan en dan kijk ik even naar rechts hoeveel tijd de
[0:23:02] staatssecretaris Trenk nodig te hebben voor de beantwoording.
[0:23:06] Twintig minuten, dus dan schorsen we 25 minuten en dan gaan we naar de beantwoording.
[0:49:26] We gaan verder met de vergadering van de Commissie Digitale Zaken.
[0:49:32] Het woord is aan de staatssecretaris voor de beantwoording.
[0:49:38] Voorzitter, dank u wel.
[0:49:40] Voordat ik kom bij de inhoud waar we vandaag over spreken, wil ik ook graag even stil zijn
[0:49:45] bij het feit dat dit de eerste keer is dat ik vanop deze positie met de Tweede Kamer spreek,
[0:49:52] wat een hele eer is.
[0:49:55] Vroeger zat ik aan de andere kant van deze tafel.
[0:49:58] Zelfde tafel, maar die kant op.
[0:50:01] Maar het is inmiddels al zo'n 18 jaar geleden.
[0:50:03] En we zitten inmiddels in een nieuw gebouw.
[0:50:05] Een nieuw opgezette commissie.
[0:50:07] Waar ik echt ontzettend blij mee ben.
[0:50:08] Daar hebben wij het vroeger in debatten ook al over gehad.
[0:50:11] Van mag niet van stakken worden aangestuurd.
[0:50:13] Maar dat gebeurt nu zeker.
[0:50:14] En ook vanuit de VVD heb ik begrepen dat dingen dusdanig snel gaan.
[0:50:17] Bij uw inbreng.
[0:50:18] Dat het ook goed is dat deze structuur er nu ligt.
[0:50:23] Dus ik kijk ernaar uit om met u samen te werken.
[0:50:27] En u weet, net zoals ik, dat digitalisering grote kansen biedt op het gebied van maatschappelijke
[0:50:32] vraagstukken, de arbeidsmarkt en de dienstverlening vanuit de overheid.
[0:50:36] En het mes snijdt aan twee kanten.
[0:50:38] Wat gebeurt er als onze systemen plat liggen?
[0:50:40] Daar gaan we het vandaag ook over hebben.
[0:50:42] We zagen het onlangs nog met grote storingen.
[0:50:45] Ik zit hier twee maanden, maar ik heb er inmiddels drie gehad.
[0:50:48] Of tweeënhalf, laat ik het zo formuleren.
[0:50:49] En hoe beschermen we ons persoonlijke gegevens en hoe zorgen we ervoor dat iedereen digitaal meekomt, ook een hele belangrijke.
[0:50:57] En ik kijk ernaar uit om nu in deze functie aan de slag te gaan met deze uitdagende en veel ontvattende portefeuille.
[0:51:04] En dat kan ik niet alleen, daar heb ik uw hulp ook voor nodig.
[0:51:08] En even voor de nature, ik heb allemaal kennis gemaakt met u, dus ik was heel blij ook met die eerste gesprekken.
[0:51:17] en ik zie hier in ieder geval allemaal mensen tegenover mij die heel bevlogen zijn ook op dit dossier en dat vind ik heel goed.
[0:51:23] Ik wil echt wel vragen om kritisch te zijn op mij, mee te denken en oplossingen aan te bieden voor de verschillende vraagstukken
[0:51:30] waarover we de komende jaren zullen gaan spreken met elkaar.
[0:51:34] Ik geloof heel sterk in dat gezamenlijk optrekken bij deze grote digitaliseringsopgave belangrijk is
[0:51:41] En dat doe ik niet alleen met u, maar ook met gemeenten, provincies, waterschappen en uitvoerders.
[0:51:47] Ik spreek ook met bedrijfsleven en ook met wetenschap,
[0:51:50] want ik denk dat we alleen samen grote problemen kunnen oplossen.
[0:51:54] Dus laten we bouwen aan een stevig fundament van waaruit we kunnen werken.
[0:51:58] Uniform voor allen, waardoor de burger weet wat hij aan ons heeft
[0:52:03] en hoe hij ons kan vertrouwen in het kader van de dienstverlening van de overheid.
[0:52:09] Voordat ik verder ga met de beantwoording van de vragen,
[0:52:11] er is al een beetje op ingegaan dat ik aan het nadenken ben hoe we met dit dossier verder moeten gaan.
[0:52:17] Ik kan u vertellen dat ik van plan ben, omdat we eigenlijk heel veel onderwerpen,
[0:52:22] dat is hier ook aan de orde gekomen vandaag, behandelen, om toch te kijken waar we moeten gaan prioriteren.
[0:52:28] En ik denk dat in ieder geval het onderwerp voor vandaag,
[0:52:31] Dus de informatiebeveiliging van de overheden, die ook hoog op het lijstje zou moeten staan,
[0:52:38] ook als het gaat om hoe we dat beter gaan coördineren en ook regisseren in de toekomst.
[0:52:44] Dus ja, ik ga de komende tijd, wat ik ook aangaf, met u en ook andere betrokkenen,
[0:52:50] ook mede-overheden aan de slag om die prioriteiten samen op papier te zetten.
[0:52:55] Dat even als korte inleiding.
[0:52:59] Dan met betrekking tot het beantwoorden van de vragen.
[0:53:01] Ik heb eigenlijk drie pakketjes waarvan ik denk dat ik het ga aanlopen.
[0:53:06] Dat is informatiebeveiliging en digitale weerbaarheid, dat is de eerste.
[0:53:10] Dat is incidentele storingen, de incidenten, en een overige.
[0:53:15] Als ik daarna nog wat zaken niet heb behandeld, dan hoor ik dat later weer aan.
[0:53:20] Dan gaan we eerst over op het eerste pakketje, informatiebeveiliging en digitale weerbaarheid.
[0:53:27] Vraag vanuit de heer Dijkstra van NEC.
[0:53:32] Wat is er nu te gebeuren met het rapport Nationaal Belang?
[0:53:35] Wat is daarmee gedaan aan bevelingen, et cetera, et cetera?
[0:53:38] Daar ben ik op dit moment mee aan de slag met het rapport, bijvoorbeeld bij het vormen van
[0:53:44] de overheidsspecifieke regels onder de Cyberbeveiligingswet, die onder coördinatie van justitie en veiligheid
[0:53:50] door departementen wordt uitgewerkt.
[0:53:52] Een aanzienlijk deel van de adviezen kan ik opvolgen, maar niet allemaal.
[0:53:55] Ik verken momenteel welke aanbevelingen ik kan overnemen en dit vergt een zorgvuldige afweging
[0:54:01] met oog op ongewenste neveneffecten. Er staan goede suggesties in het rapport,
[0:54:05] zoals het bezien van de basenregistraties, maar er staan ook aanbevelingen in die niet
[0:54:09] kunnen worden ingezet, zoals het gebruik van DigiD voor ambtenaren is niet wenselijk omdat
[0:54:14] de burgerservicenummer voor identificatie binnen de werksituatie niet wenselijk is.
[0:54:23] Dank voorzitter en dank aan de minister voor zijn beantwoording.
[0:54:26] Kunnen wij als Kamer nog op de hoogte gesteld worden van de aanbevelingen die de staatssecretaris
[0:54:31] wel gaat opvolgen en indien hij bepaalde aanbevelingen niet gaat opvolgen, dat wij daar dan ook
[0:54:36] vervolgens een argumentatie bij krijgen?
[0:54:38] De antwoord is ja en ik zeg u ook toe dat in het tweede kwartaal van 2025 de Kamer te
[0:54:43] informeren over de verdere voortgang in de opvolging.
[0:54:46] En daar zal ook in staan welke we wel en niet zullen oppakken.
[0:54:51] Dus dat is het antwoord.
[0:54:54] Dan nog een vraag van NSC.
[0:54:57] Hoe kijkt de staatssecretaris aan tegen hoe deze NSA-taak invulling krijgt?
[0:55:03] Het is goed om te onderzoeken hoe de National Cyber Security Authority,
[0:55:07] dus de NSA, taak invulling krijgt en of er behoefte is aan doorontwikkeling.
[0:55:11] Daarover zal de minister van BZK graag met uw Kamer van gedachte wisselen.
[0:55:15] Er gaat in ieder geval toezicht op informatiebeveiliging bij de overheid komen vanwege de komst van
[0:55:21] de cyberbeveiligingswet waar ik het daarnet over had.
[0:55:24] Dit toezicht gaat uitgevoerd worden door de Rijksinspectie Digitale Infrastructuur, de
[0:55:28] RDI.
[0:55:31] Dan nog een vraag van NEC.
[0:55:34] Hoe kan het dat de overheid achterloopt met de implementatie van onder andere openveiligheidsstandaarden
[0:55:38] voor websites en e-mails?
[0:55:41] Het klopt dat nog niet alle overheden de open standaarden hebben toegepast op de voorgeschreven
[0:55:46] manier of adequaat uitleggen waarom zij dit achterwege laten.
[0:55:51] In het overheidsbreed beleidsoverleg Digitale Overheid, de OBDO, zijn er ook afspraken gemaakt
[0:55:58] over de implementatie van deze informatieveiligheidsstandaarden met de medere overheden die daar vertegenwoordig
[0:56:03] zijn.
[0:56:04] Dit is een continu proces.
[0:56:06] Overigens loopt de overheid niet achter met de implementatie als we dit vergelijken met
[0:56:10] andere branches of omliggende landen.
[0:56:12] Uit de meest recente meting namelijk, in 2024, blijkt dat bij 64% van de gemeten internetdomijnen
[0:56:19] van de overheid de verplichting websites, internetveiligheidsstandaarden correct zijn
[0:56:24] toegepast.
[0:56:26] Dan nog een vraag van de heer Siks-Dijkstra over een onderzoek hoe de veiligheidsbewustzijn
[0:56:33] bij ambtenaren is, van mij natuurlijk ook een hele belangrijke vanuit mijn functie.
[0:56:37] Bewustwording, veilig gedrag en zo weerbare medewerkers is een pijler
[0:56:43] waarop informatiebeveiliging rust. Ondanks is een rijksbreed beleid
[0:56:49] vastgesteld waarin verplicht wordt dat alle medewerkers een training moeten
[0:56:53] doorlopen en dit jaarlijk zullen herhalen. De rijksoverheid ontwikkelt naast de
[0:56:58] voorzieningen die de departementen en organisaties zelf hebben een basis
[0:57:02] opleiding digitale weerbaarheid en deze is gebaseerd op de verplichte
[0:57:06] gedragsregels voor de digitale werkomgeving.
[0:57:08] En de planning is dat eind dit jaar die klaar zal zijn.
[0:57:12] Diverse departementen zijn nog verder.
[0:57:14] Ze hebben zelfs al een training op dit gebied.
[0:57:16] Ook besteden ze zelfs op diverse manieren aandacht aan dit onderwerp.
[0:57:20] En hierin worden ze ook ondersteund door de NCSC, het CIP, de VNG, of het vreselijk voorzitter,
[0:57:26] dat ik die moet oplessen zo, IBD, SURF en het NBV, die materiaal hiervoor maakt.
[0:57:33] En hierachter heb ik een afkortinglijstje liggen.
[0:57:35] Die had ik eigenlijk hier moeten liggen.
[0:57:37] Maar de volgende keer wil ik graag dat dit allemaal gewoon uitgeschreven is.
[0:57:41] Dan gaat de vergadering wel wat langer duren.
[0:57:45] De heer Sienks-Dijkstra, u weet dat we nu aan het maximum van het aantal afkortingen zijn.
[0:57:50] Ja, voorzitter, zeker.
[0:57:51] Ik zal de staatssecretaris ook zijn kennis van afkortingen niet aanrekenen.
[0:57:56] Als dat enigszins in gebreken is. Ik kon ze ook niet allemaal volgen.
[0:58:00] Nee, dank voor de beantwoording.
[0:58:01] Als het gaat om het veiligheidsbewustzijn van rijksambtenaren,
[0:58:05] was ik nog benieuwd als het toespitsen van hier ging het om de WebEx-casus en dan trekken we hem even
[0:58:09] breder naar videobelverbindingen of misschien belverbindingen in de brede. Ik kan mij zo
[0:58:17] voorstellen dat als ambtenaar het soms onduidelijk is wat je al dan niet over welke verbinding mag
[0:58:23] zeggen. Zeker omdat er ook bij zo'n grijs gebied zit als het gaat om gerubriceerde informatie. Wat
[0:58:28] is nog departementaal vertrouwelijk, wat is ongerubriceerd, vanaf waar wordt het staatsgeheim.
[0:58:35] Als ambtenaren intern of extern met mensen bellen en gerubriceerd materiaal bespreken,
[0:58:43] komen de signalen ook daadwerkelijk binnen bij de minister, bij het departement,
[0:58:48] wanneer blijkt dat er toch dingen besproken zijn die niet aan het rubriceringsniveau voldoen.
[0:58:53] Dus behalve de trainingen is er ook een tussentijdse evaluatie en worden die signalen serieus genomen.
[0:59:04] Ik zit er net twee maanden, ik heb het nog niet binnengekregen, maar ik heb begrepen dat het wel degelijk zo is.
[0:59:09] En daarnaast heb ik ook, ik kom uit het bedrijfsleven zoals u weet, waar we allemaal mandatory trainingen hadden.
[0:59:16] En ik heb er ook heel veel zelf gedaan, daarnaast heb ik ook met mijn ambtenaren erover gesproken.
[0:59:20] En ook gekeken, ook binnen mijn eigen ministerie, wat voor trainingen men nou krijgt.
[0:59:24] En ik heb ook aangegeven dat we echt disciplinair hier heel goed mee moeten omgaan.
[0:59:27] Want veel fouten of ongelukken die er gebeuren op het gebied van digitalisering
[0:59:32] komt ook door menselijke fouten.
[0:59:36] Dus als je een keer de software niet fout kan geven,
[0:59:38] dan is het de andere keer toch wel dat een mens iets niet goed heeft gedaan.
[0:59:41] Dus daar ga ik ook heel erg op letten.
[0:59:43] Want de tijd van vrijblijvendheid is voorbij, voorzitter.
[0:59:49] Oké.
[0:59:50] En u heeft nog een interruptie van de heer Buijsen.
[0:59:55] Ja, aanvullend op de vraag van de heer Dijkstra is
[0:59:57] dat in de afbakeningen, wat mij betreft niet alleen per se over de ambtenaren hoeft te gaan,
[1:00:04] maar dat het eigenlijk ook over ons gaat als Tweede Kamerleden en ook de organisatie van de Tweede
[1:00:08] Kamer. Dus mijn pleidooi om dat ook mee te nemen in de afbakening, want het is ook voor ons een
[1:00:13] verantwoordelijkheid als Tweede Kamerlid. Staatssecretaris. Als het goed is,
[1:00:18] heeft u uw eigen organisatie ondersteuning, ook op het gebied van ICT. En ik denk dat u in eerste
[1:00:27] Maar ik denk dat het heel goed is dat ook binnen dit gebouw dezelfde urgentie is.
[1:00:35] Ja.
[1:00:36] En dan het onderwerp inkoop en weren van landen met een offensief cyberagenda.
[1:00:42] Daar heb ik de vraag gekregen.
[1:00:45] Wat zijn de grootste obstakels bij het weren van technologie uit landen met een offensief
[1:00:48] cyberagenda in de inkoop- en aanbestedingsbeleid?
[1:00:51] En is hiervoor een plan uitgezet?
[1:00:53] Het antwoord, volgens mij kwam deze van u, ja, van de heer Valise.
[1:00:59] Ja, dat stond hier niet bij, maar ik heb het goed ontdekt.
[1:01:03] Door technologieafkomstigheid landen met een offensief cyberprogramma per definitie
[1:01:07] uit te sluiten, schieten we ons doel voorbij.
[1:01:09] Aan het gebruik van technologie zitten altijd risico's, ongeacht de leverancier.
[1:01:13] Het huidige beleid gaat uit van het in kaart brengen van mogelijke risico's en hier
[1:01:18] proportionele en effectieve maatregelen voor treffen.
[1:01:21] In het uiterste geval kan weren of uitfaseren wel aan de orde komen.
[1:01:26] Of een opdracht een risicovorm voor de nationale veiligheid hangt sterk af van de sector, het
[1:01:31] type product of dienst dat geleverd wordt, de opdrachtgever, afnemer en het bedrijf dat
[1:01:36] de opdracht wordt gegund.
[1:01:38] Ter ondersteuning is instrumentarium ontwikkeld dat handvaten biedt hierbij.
[1:01:45] We moeten hier denken aan de TVI, de toolbox veilig inkopen.
[1:01:51] Daarnaast wordt gewerkt aan de ontwikkeling van een Algemene Beveiligingseisen
[1:01:55] Overheidsopdrachten, ABRO.
[1:01:58] Daarnaast wordt ook door mijn collega minister van EZ in Europees verband ingezet op het aanpassen van
[1:02:04] de aanbestedingsrichtlijnen, zodat de regels makkelijker en beter inzetbaar zijn om de
[1:02:09] veiligheidsrisico's te beheersen.
[1:02:12] Dan nog een vraag van de heer Falize.
[1:02:14] Hoe wordt geborgd dat standaarden en instrumenten zoals de Baseline Informatiebeveiliging Overheid,
[1:02:21] de BIO en de Inkoopseisen Cybersecurity Overheid, de CIO, worden gevolgd en welke
[1:02:27] consequenties hangen eraan als dit niet gebeurt?
[1:02:31] Overheidsorganisaties hebben zichzelf via verplichtende zelfregulering de Baseline
[1:02:35] Informatiebeveiliging Overheid en de Inkoopseisen Cybersecurity Overheid opgelegd.
[1:02:40] In de nadere regelgeving van de Cyberbeveiligingswet, waar we het eerder over hebben gehad,
[1:02:45] voor de overheid worden de BO en de CEO verplicht.
[1:02:50] De Rijksdienst voor de Digitale Infrastructuur, de RDI, ziet als systeemtoezichtshouder toe
[1:02:58] op toepassing van de Cyberbeveiligingswet voor de overheid en daarmee op de verplichte BO en CEO.
[1:03:06] De RDI kan ook gebruik maken van verschillende handhavingsinstrumenten
[1:03:10] wanneer een overheidsorganisatie niet voldoet aan de standaarden of instrumenten.
[1:03:15] En even tussendoor, in totaal, in de stukken die ik heb ontvangen,
[1:03:19] zaten 70 afkortingen.
[1:03:22] Die was ik even vergeten te melden daarnet.
[1:03:24] Dan nog een vraag van de heer Falize.
[1:03:27] Het valt op dat er geen SLA's met Cisco zijn, maar met BIS.
[1:03:32] Dus BIS draagt de verantwoordelijkheid. Waarom niet met Cisco?
[1:03:36] Deze constructie is direct afkomstig uit de aanbesteding
[1:03:39] een audio-video van de Belastingdienst.
[1:03:42] Uit deze aanbesteding is BIS voortgekomen als leverancier en contractpartner voor de
[1:03:47] levering van de producten binnen de scoop van die aanbesteding, dus inclusief die van Cisco.
[1:03:53] Nog een vraag van de heer Van Liesen.
[1:03:55] Deelt de staatssecretaris het beeld dat er onvoldoende regie is op de digitale weerbaarheid?
[1:04:00] En ziet hij zichzelf een aangewezen persoon om te zorgen voor interdepartementale verbinding en regie?
[1:04:06] De digitale veiligheid is een aangelegenheid van ons allen.
[1:04:09] Dat betekent dat iedereen zijn rol daarin moet pakken.
[1:04:12] Als coördinerend staatssecretaris op digitalisering en stels verantwoordelijk voor de informatiebeveiliging
[1:04:17] bij de overheid, werk ik vanuit het uitgangspunt dat we als één overheid moeten handelen.
[1:04:23] Onder de regie van de minister van Justitie en Veiligheid wordt gewerkt aan de digitale weerbaarheid.
[1:04:27] Elk departement heeft op zijn beurt te maken met zijn eigen verantwoordelijkheid en organisaties
[1:04:32] die soms ook een andere aanpak vragen.
[1:04:34] Ik wil vanuit mijn verantwoordelijkheid, samen met de Rijksoverheid en mede-overheden,
[1:04:40] gemeenten, waardschappen en provincies, bouwen aan een stevig fundament
[1:04:43] van waaruit we kunnen werken uniform voor allen.
[1:04:48] Zo werken we aan een betrouwbare overheid waarin de burger en de samenleving centraal staat.
[1:04:53] Dus wat ik hier aangeef, is dat ik in principe voormeel coördinerend ben op dit dossier voor het Rijk,
[1:05:02] ...maar natuurlijk ook de handschoenoppak op dit soort belangrijke onderwerpen...
[1:05:06] ...ook met onze mede-overheden te bespreken.
[1:05:10] Dan de vraag van de heer Buijzen van de VVD, de vragen van de heer Buijzen.
[1:05:16] Bent u het ermee eens dat de motie van leden Rajkovski en Van Weerdenburg...
[1:05:21] ...en het lid Rajkovski-CS nog niet zijn afgedaan?
[1:05:25] De motie van de leden Rajkovski van de VVD en ook van Van Weerdenburg van de PVV...
[1:05:30] ...vraagt om een scan op de aanwezigheid van apparatuur van organisaties...
[1:05:34] ...een tegen Nederland gericht offensief cyberagenda in de vitale infrastructuur.
[1:05:40] Deze motie is op dit moment nog in behandeling...
[1:05:42] ...door mijn collega, de minister van Justitie en Veiligheid.
[1:05:45] De gevraagde scan is zeer complex en omvangrijk...
[1:05:49] ...en hiervoor is er in 2023 door TNO...
[1:05:52] ...in opdracht van de minister van JNV, een onderzoek gestart.
[1:05:56] De eerste bevindingen van dit onderzoek zijn onlangs opgeleverd.
[1:06:00] Momenteel wordt bezien hoe het onderzoek kan worden afgerond...
[1:06:03] en inzichten kunnen worden meegenomen.
[1:06:05] De minister van JNV zal uw Kamer hierover begin 2025 informeren.
[1:06:11] De tweede motie van de lid Rijkhofsky, CS, van Weerdenburg, vraagt te onderzoeken hoe apparatuur
[1:06:17] en programmatuur van organisaties uit landen met een tegen Nederland gericht offensieve
[1:06:22] cyberagenda geweerd kunnen worden uit aanbestedingen van de Rijksoverheid.
[1:06:27] In de Kamerbrief is als reactie hierop aangegeven dat we, in tegenstelling tot waar de motie
[1:06:33] niet bij voorbaat categorisch partijen uitsluiten, maar altijd een risicoafweging maken.
[1:06:41] Er worden daarom verschillende initiatieven benoemd, waaraan is en wordt gewerkt,
[1:06:47] zodat er veilig wordt ingekocht door de Rijksoverheid.
[1:06:50] Denk aan de algemene beveiligingseisen Rijksoverheidsopdrachten,
[1:06:55] Toolbox Veilig Inkopen, die eerder al is teruggekomen,
[1:06:59] en inkoopseisen Cybersecurity Overheid.
[1:07:04] Uw Kamer is over de aanpak en de voortgang ten aanzien van veilig inkopen
[1:07:07] bovendien geïnformeerd in het technische briefing veilig inkopen die voor de zomer is gehouden.
[1:07:12] U heeft een interruptie van de heer Sjeks Dijkstra van NSC.
[1:07:15] Dank voorzitter. Ik heb eigenlijk een vraag over de uitvoering van de eerste motie als het gaat
[1:07:19] om een scan van apparatuur binnen de overheid. De staatssecretaris geeft aan dat is best een
[1:07:25] omvangrijke klus, vang ik het even in mijn eigen woorden samen. Tegelijkertijd natuurlijk iets waar
[1:07:30] waar wij als Commissie Digitale Zaken vaker tegenaan zijn gelopen,
[1:07:33] is dat we heel slecht inzicht hebben in überhaupt de apparatuur
[1:07:36] die zich op verschillende plekken binnen de overheid bevindt.
[1:07:39] Dat hebben we niet alleen over Chinese en Russische apparatuur,
[1:07:41] maar in zijn algemeenheid.
[1:07:44] Ziet de staatssecretaris nog mogelijkheden
[1:07:46] dat de methodiek die gebruikt wordt om een scan als deze uit te voeren,
[1:07:51] dat die ook nog ten goede kan komen van het beeld
[1:07:53] wat wij als Tweede Kamer kunnen krijgen
[1:07:55] van de programmatuur en apparatuur en systemen
[1:07:59] die binnen de overheid überhaupt gebruikt worden?
[1:08:07] Kunt u die vraag nog één keer stellen?
[1:08:09] Ik zit even te kijken naar welke antwoord ik moet geven.
[1:08:11] Met name die laatste twee zinnen.
[1:08:13] U mag er ook in de tweede termijn op terugkomen, hoor, maar...
[1:08:17] Mijn vraag is eigenlijk van...
[1:08:19] Wat deze scan vraagt, is in kaart brengen welke software van landen
[1:08:22] met een offensief cyberprogramma of hardware
[1:08:26] binnen de Rijksoverheid plaatsvindt.
[1:08:27] En een groter probleem wat wij als Commissie Digitale Zaken
[1:08:30] waar we tegenaan lopen, is het feit dat er
[1:08:32] in zijn algemeenheid weinig inzicht is over de software, hardware,
[1:08:37] andere systemen die binnen de overheid gebruikt worden.
[1:08:40] Dus mijn vraag is, als er scans uitgevoerd worden
[1:08:43] waar geselecteerd wordt op land van herkomst,
[1:08:45] kan diezelfde methodiek niet ook gebruikt worden
[1:08:47] om de Tweede Kamer een beter beeld te geven
[1:08:49] van wat er binnen de overheid allemaal aanwezig is?
[1:08:55] Ik was even aan het overleggen, maar het is een dusdanig belangrijke vraag
[1:08:58] dat ik in tweede termijn hier op terugkom.
[1:09:02] Dan door naar de volgende vraag, ook van de VVD, van de heer Buizen.
[1:09:09] Is de staatssecretaris bereid om in de toekomst afspraken te maken met en tussen departementen
[1:09:14] die bijdragen aan het stapsgewijs meenemen van cyberrisico's aan de vitale processen?
[1:09:20] Antwoord. Onder coördinatie van de minister van Justitie en Veiligheid is er binnen de aanpak vitaal
[1:09:25] en de brede cybersecurityaanpak doorlopend contact tussen departementen, het Nationaal
[1:09:31] cybersecuritycentrum, de NCSC dus, en het bedrijfsleven.
[1:09:35] Er zijn nog veel afspraken en initiatieven over het wegnemen van
[1:09:37] cyberrisico's in vitale processen.
[1:09:40] Veel vitale aanbieders zijn hier ook wettelijk toe verplicht op grond van de
[1:09:44] Wet Beveiliging Netwerk- en Informatiesystemen, de WBNI.
[1:09:48] En ook overheden krijgen deze verplichting als gevolg van de
[1:09:51] Cyberbeveiligingswet, die al een aantal maal is langsgekomen.
[1:09:54] Vanuit mijn verantwoordelijkheid kijk ik uit naar het wegnemen van risico's voor
[1:09:58] de vitale processen bij de digitale overheid.
[1:10:01] Ze worden regelmatig via departementen, instrumenten en handreikingen bij vitale
[1:10:07] aanbieders onder de aandacht gebracht, zoals de toolbox veilig inkopen van daarnet en de
[1:10:11] cybercheck over supply chain risico's.
[1:10:16] Dan een vraag van mevrouw Katman.
[1:10:22] Hier staat P van de A GroenLinks, maar volgens mij moet dat GroenLinks P van de A zijn.
[1:10:26] Welke is het?
[1:10:27] GroenLinks Partij van de Arktische Staat.
[1:10:31] Kan de staatssecretaris aangeven wat zijn visie is op het cyberveilighouden van Nederland?
[1:10:39] Wat is zijn afweging tussen zo hoog mogelijk inzetten op veiligheid versus het gegeven dat
[1:10:45] honderd procent veiligheid niet bestaat?
[1:10:48] Als staatssecretaris Digitalisering en Contextrelaties onderstreep ik dat een veilige overheid essentieel
[1:10:54] is voor de digitale veilige samenleving.
[1:10:56] Daarbij vervul ik de stels verantwoordelijkheid voor informatiebeveiliging van de overheid
[1:11:01] en is de minister van Justitie en Veiligheid, JNV, verantwoordelijk voor de brede cybersecurity
[1:11:06] stelsel van de Nederlandse samenleving.
[1:11:09] In lijn met de aanstaande cyberbeveiligingswet moet de overheid nu al een risicogestuurde
[1:11:15] aanpak hanteren.
[1:11:16] Daarbij wordt steeds de balans gezocht in streven naar de optimale veiligheid.
[1:11:21] Het gaat om de afweging welke risico's acceptabel zijn en welke maatregelen proportioneel en
[1:11:27] effectief zijn in het licht van die risico's.
[1:11:30] Dat kan je niet alleen, onze overheid moet daarbij opereren als één overheid waarbij
[1:11:34] de Rijksoverheid, provincies, gemeenten en waterschappen moeten samenwerken om de digitale
[1:11:38] weerbaarheid te waarborgen.
[1:11:42] Dan naar de volgende vraag van mevrouw Katman van hier wel GroenLinks, Partij van de Arbeid.
[1:11:48] Wat is voor de staatssecretaris een acceptabele downtime ten aanzien van de digitale dienstverlening
[1:11:53] van de overheid?
[1:11:54] Welke responstijd van dienstverleners, zoals de partijen die betrokken zijn bij de NAVIN,
[1:11:59] verwacht de staatssecretaris?
[1:12:01] Het is van groot belang dat er goed nagedacht wordt over wat een acceptabele downtime kan
[1:12:06] zijn, maar hier is geen generieke algemeen antwoord op te geven.
[1:12:12] Wat in deze actie acceptabel is, zal per dienst verschillend zijn en is afhankelijk van de
[1:12:17] beschikbaarheidseisen die aan het dienst gesteld worden door de betrokken partijen.
[1:12:22] Aan het dienst als DigiD of communicatiesystemen in de veiligheidssector worden hoge eisen gesteld
[1:12:28] en zijn de maatregelen om een zo hoog mogelijk beschikbaarheid te realiseren uitgebreid.
[1:12:34] Bij sommige cruciale diensten, bijvoorbeeld bij basisregistraties, is beschikbaarheid niet het
[1:12:41] grootste goed, maar daar is de integriteit van de gegevens weer veel belangrijker.
[1:12:46] Dit kan in de loop der tijd verschuiven, waardoor het ook van belang is dat de beschikbaarheidseisen,
[1:12:51] evenals overige eisen, regelmatig beoordeeld en aangepast worden als dat nodig is,
[1:12:56] zodat zeker gesteld kan worden dat deze actueel volledig en juist zijn.
[1:13:05] GroenLinks, PvdA, mevrouw Katman.
[1:13:07] Is de nieuwe cyberbeveiligingswet ook van toepassing voor Caribisch-Nederland?
[1:13:12] Zo nee.
[1:13:13] Wat vindt de staatssecretaris daarvan en wat is zijn visie over de cyberveiligheid,
[1:13:19] cyberveiliger maken van de gehele koninkrijk?
[1:13:22] De cyberbeveiligingswet, implementatie van NIS2-richtlijn, is niet van toepassing op Caribisch-Nederland.
[1:13:29] Dit komt omdat de richtlijn alleen van toepassing is op het Europese deel van de Europese Unie.
[1:13:35] Niettemin vind ik het van groot belang om de digitale weerbaarheid van het gehele Koninkrijk
[1:13:39] te versterken.
[1:13:40] Het verkennen welke stappen nodig zijn om de digitale weerbaarheid van de vitale infrastructuur
[1:13:44] van het Caribisch deel van het Koninkrijk te verhogen, is ook een actie in het actieplan
[1:13:48] van de Nederlandse cybersecuritystrategie.
[1:13:51] Het versterken van de digitale samenleving in het Caribisch gebied van de Koninkrijk
[1:13:54] van Nederland als volwaardig onderdeel van het gehele Koninkrijk, zie ik ook uit mijn
[1:14:00] verantwoordelijkheid als een belangrijke opgave.
[1:14:03] Vanuit de gedachte van één overheid moeten we gezamenlijk zorgen
[1:14:06] voor het verhogen van de digitale weerbaarheid
[1:14:09] in het Caribisch deel van het koninkrijk.
[1:14:11] En ik kan daarover melden, ik heb mijn eerste bezoeken gepleegd,
[1:14:16] beneden Winst, over twee weken ga ik boven Winst.
[1:14:20] En mijn voorgangster had dit ook als een van haar prioriteiten.
[1:14:24] En die neem ik ook over.
[1:14:25] En ik heb ook veel vragen gehad over weerbaarheid,
[1:14:28] maar ook over de digitalisering van dienstverlening,
[1:14:31] ...want ze zijn er zelf ook bezig met het verbeteren van de uitvoeringsprocessen...
[1:14:35] ...in het kader van dienstverlening naar burgers en bedrijven.
[1:14:37] En ik heb ook aangegeven dat de plannen die ik de komende maanden...
[1:14:41] ...waarmee ik begon bij mijn inleiding, op tafel wil leggen...
[1:14:45] ...dat ik die ook zeker ook ga delen met het Caribisch gebied...
[1:14:50] ...om hen ook verder te helpen om een dienstverlening aan burgers en bedrijven te verbeteren.
[1:14:54] Dus die toezegging, die heb ik zeker gedaan daar.
[1:14:57] Dan de actuele overzicht software.
[1:15:02] Nog een vraag van de VVD.
[1:15:04] Heeft u momenteel een actueel en volledig zicht op de software, apparatuur en cryptografie
[1:15:09] die gebruikt wordt voor onze vitale processen?
[1:15:12] Heeft u bij dit overzicht ook inzichtelijk of er organisaties bij betrokken zijn uit landen
[1:15:17] die een tegen-Nederlands-gekeerd cyberagenda voeren?
[1:15:22] Kan de Kamer kennisnemen van dit overzicht, eventueel onder geheimhouding?
[1:15:27] Informatie over specifieke software, apparatuur en cryptografie binnen alle vitale processen
[1:15:33] wordt niet in één centraal overzicht bijgehouden.
[1:15:37] Het is de verantwoordelijkheid van de vitale aanbieder om zelf zicht te hebben op de apparatuur
[1:15:41] die wordt gebruikt en welke risico's daar kleven.
[1:15:45] Een vitale aanbieder moet zelf op basis van de risicoanalyse passende maatregelen treffen
[1:15:50] om ervoor te zorgen dat de continuïteit van de vitale processen zo goed mogelijk beschermd
[1:15:54] is en daar horen ook eventuele risico's uit toeverleveringsketens bij.
[1:16:01] Wel hecht het kabinet aan goede ondersteuning van vitale aanbieders door het verhogen van de
[1:16:06] bewustwording en bij het toepassen van economische veiligheidsinstrumenten, zoals
[1:16:11] inkoop- en aanbestedingstoolboxen.
[1:16:14] Er bestaat geen centraal overzicht van de herkomst van de software, apparatuur en cryptografie die
[1:16:21] gebruikt wordt in de verschillende vitale processen in Nederland.
[1:16:25] Dat waren mijn antwoorden op de vragen, voorzitter.
[1:16:29] Zodat ik er geen een gemist heb.
[1:16:31] Zijn er nog leden die vragen hebben gemist?
[1:16:34] Ja?
[1:16:35] De heer Buijsen?
[1:16:35] Nee?
[1:16:36] U wil een vraagzaam antwoord?
[1:16:37] Ja?
[1:16:37] Heer Sjik-Zijksra.
[1:16:41] Ja, voorzitter.
[1:16:42] Ik heb, me en ik, nog op drie vragen geen antwoord gehad.
[1:16:47] Eentje was over het mandaat dat de staatssecretaris in zijn termijn wil gaan oppakken.
[1:16:55] en zeker als het gaat om het verkrijgen van inzicht van systemen binnen de hele overheid.
[1:17:00] Het raakt ook naar de interruptie die ik net had.
[1:17:03] En ik had nog vervolgvragen op Cisco WebEx,
[1:17:09] die volgens mij allemaal nog niet beantwoord zijn.
[1:17:11] Ik kan ze herhalen, maar als de staatssecretaris ze daar nog heeft,
[1:17:14] dan bespaart het mij ook weer de moeite.
[1:17:19] Meneer Van Iessen.
[1:17:21] Ja, voorzitter, dank voor het woord.
[1:17:23] Ik heb nog geen antwoord gehoord op de vraag in zaken Google Workspace
[1:17:27] voor welke risico's we nog steeds...
[1:17:28] Deze heb ik gedaan.
[1:17:30] Eén moment, heer Verliesen.
[1:17:32] Sorry, voorzitter, ik ben niet nieuw. Ik heb twee maps even links aan het liggen.
[1:17:36] Oh, kijk.
[1:17:39] Links.
[1:17:39] Dit was gewoon een cliffhanger.
[1:17:42] Dus geen zorgen.
[1:17:43] De staatssecretaris gaat verder met de beantwoording van de vraag.
[1:17:47] Ja.
[1:17:49] Dan hoop ik wel dat alle antwoorden erin staan.
[1:17:52] Een vraag van GroenLinks PvdA.
[1:17:55] Volgens de staatssecretaris de huidige Nederlandse cybersecuritystrategie om incidenten als bij de
[1:18:02] Navin en Crowdstrike te voorkomen, zijn er wijzigingen in de strategie nodig vanwege actuele ontwikkelingen.
[1:18:08] Antwoord daarop is dat dit kabinet ambities uit de Nederlandse cybersecuritystrategie onverminderd
[1:18:14] voortzet om Nederland weerbaar te maken en de incidenten te voorkomen.
[1:18:18] Tegelijkertijd moeten we ons beseffen dat systemen alsnog kunnen uitvallen.
[1:18:21] Een dienst kan ontregeld worden door menselijke fout of andere oorzaken.
[1:18:27] Daarom is het van belang dat alle, de zaak is rijks, overheidsorganisaties naast het
[1:18:33] nemen van maatregelen ook plannen maken voor wanneer systemen toch uitvallen.
[1:18:38] Overheidsorganisaties moeten voorbereid zijn op de uitval en ook veel oefenen.
[1:18:44] De NLCS wordt elk jaar hereikt op nieuwe dreigingen en ontwikkelingen.
[1:18:49] De minister van Justitie en Veiligheid zal u dit najaar informeren over de voortgang van
[1:18:53] de Nederlandse cybersecuritystrategie en daarbij ook ingaan op eventuele wijzigingen in het
[1:18:58] actieplan.
[1:19:00] Deze recente incidenten worden daar uiteraard bij betrokken.
[1:19:22] De vraag was of de Stas geeft aan dat er meerdere checks zijn uitgevoerd naar WebEx.
[1:19:35] Begrijp ik, was de vraag van NSC, dan ook goed dat de voorspelbare logische volgordelijkheid
[1:19:43] uit de checks niet naar voren is gekomen.
[1:19:45] Zo ja, kwam dat omdat deze kwetsbaarheid überhaupt niet aanwezig was in de specifieke versie van WebEx,
[1:19:51] die de Rijksoverheid het meest gebruikt, omdat naar dit soort kwetsbaarheden niet gekeken wordt.
[1:20:01] Ten tweede, in welke mate heeft de Stas zich op of in de praktijk enkel informatie via WebEx
[1:20:09] tot en met de rubricering departementaal vertrouwelijk besproken wordt?
[1:20:16] Er wordt regelmatig getoetst of er kwetsbaarheden zijn ontstaan in de producten.
[1:20:23] Nu is dit via de Duitse journalist, als ik het goed heb van die site, bij het NCCC aan het licht gekomen.
[1:20:30] Deze kwetsbaarheden zijn toen verholpen.
[1:20:32] Met Cisco is overeengekomen dat de Rijksoverheid aanvullend onderzoek kan doen vanwege het belang
[1:20:39] van de eerder geconstateerde latersignalering door Cisco zelf.
[1:20:44] Tijdens dit aanvullend diepgaande beveiligingsonderzoek zijn er extra kwetsbaarheden aan het licht gekomen.
[1:20:50] Ook deze kwetsbaarheden zijn inmiddels verholpen.
[1:20:54] Ambtenaren zijn zelfverantwoordelijk om enkel informatie tot en met departmentaal vertrouwelijk
[1:21:01] te bespreken middels Webex. Zij worden wel regelmatig gewezen op deze
[1:21:06] verantwoordelijkheden. U heeft een interruptie van de heer Siks-Dijkstra
[1:21:10] van NEC. Dank voorzitter en die gaat nog over mijn
[1:21:14] mijn eerste vraag. Daarbij vroeg ik eigenlijk door op
[1:21:18] de beantwoording van de minister op de schriftelijke vragen van de heer Van
[1:21:21] Liessen, de VVD en van mij, waarin de minister in zijn
[1:21:25] beantwoording aangaf dat er onder andere een BSPA en een DPA
[1:21:28] uitgevoerd is voordat Webex in werking trad binnen
[1:21:33] de Rijksoverheid en mijn vraag was eigenlijk uit de beantwoording is mij
[1:21:39] onduidelijk of de kwetsbaarheid een voorspelbare logische
[1:21:43] volgordelijkheid in unieke internetadressen van websites of die
[1:21:48] niet bij zo'n DPIA of een BSPA naar boven had moeten komen
[1:21:53] voordat zo'n systeem in werking treedt aangezien het gaat natuurlijk om
[1:21:57] webadressen die heel logisch elkaar opvolgen waardoor je als het ware kan
[1:22:01] voorspellen wat de volgende meeting voor URL zal hebben.
[1:22:07] Dat lijkt mij iets wat bij zo'n check wel naar boven had kunnen komen.
[1:22:09] Dus mijn vraag is dat naar boven gekomen?
[1:22:11] Zo nee, had dat wel naar boven moeten komen of is het überhaupt niet naar gekeken?
[1:22:14] Ja, de staatssecretaris.
[1:22:16] Ik heb hier, ik heb hier mijn ideeën over.
[1:22:19] Ik ga hem nog even in de tweede ronde terugbrengen.
[1:22:23] Ja, oké.
[1:22:26] Dan is er reden, GroenLinks Partij van de Arbeid is er reden om te zoeken naar patronen
[1:22:31] die wijzen op structurele digitale kwetsbaarheden bij de overheid.
[1:22:39] Ook ik ben verrast bij mijn aantreden in dit kabinet
[1:22:42] dat het lijkt alsof er iedere maand wel een incident opduikt.
[1:22:45] Ik heb ook eerder aangegeven, ik zit hier twee maanden en 2,5 à 3 incidenten
[1:22:49] en ik hoop niet dat dit structureel is.
[1:22:51] Ik heb deze week, maar dat was mogelijk wat te kort voor dit debat,
[1:22:57] uw kamer per brief geïnformeerd over de recente incidenten
[1:23:02] waarin ik het volgende heb gesteld.
[1:23:04] Er is geen indicatie dat de incidenten van de afgelopen drie maanden
[1:23:08] op enigelei wijze aan elkaar gerelateerd zijn.
[1:23:11] Wel maken de diverse incidenten de afhankelijkheid van de Rijksoverheid,
[1:23:15] van netwerken en informatiesystemen zichtbaar
[1:23:18] en de impact op de dienstverlening van de Rijksoverheid
[1:23:21] wanneer deze systemen tijdelijk uitvallen.
[1:23:24] Deze afhankelijkheid is onvermijdelijk.
[1:23:27] Daarom is het van belang dat alle rijksoverheidsorganisaties maatregelen nemen
[1:23:32] en deze testen, zoals bijvoorbeeld met de TIBER-RIJK-methode,
[1:23:36] maar ook plannen maken voor wanneer systemen toch uitvallen.
[1:23:40] Overheidsorganisaties moeten voorbereid zijn op uitval en ook veel oefenen.
[1:23:48] En het kabinet blijft daarom inzetten op de Nederlandse cybersecurity-strategie
[1:23:51] 2022-2028 en de acties uit het actieplan.
[1:23:56] TIBER-RIJK, voor de mensen die niet weten wat het is,
[1:23:59] ...is de voor Rijksoverheid schikmaken aanpak die de Nederlandse Bank ontwikkelde...
[1:24:05] ...voor de financiële sector onder de e-strategie Rijk en NLCS...
[1:24:09] ...is deze uitgevoerd en bekostigd.
[1:24:11] En ik wil er wel een extra opmerking bij maken bij deze vraag.
[1:24:16] Wat dit ook impliceert, is dat we best wel bezig zijn...
[1:24:20] ...met een complexe infrastructuur binnen de overheid...
[1:24:23] ...zowel Rijk als geredenteerd aan mede-overheden.
[1:24:28] Mijn mening is dat we de laatste 25 jaar iets meer hadden moeten kijken
[1:24:35] naar de kwetsbaarheden.
[1:24:38] Dat betekent dat, wat mij betreft, dit onderwerp ook hoog op de agenda
[1:24:44] komt te staan de komende jaren.
[1:24:47] En daar wil ik nog een laatste opmerking bij maken.
[1:24:49] Vaak wordt ICT, digitalisering, ingezet in de zin van...
[1:24:53] Kijk, we kunnen besparen als we ICT inzetten,
[1:24:56] bijvoorbeeld minder personeel of weet ik veel wat,
[1:24:59] maar we moeten ook nagaan denken vanaf nu,
[1:25:02] van als we het hebben over zaken als weerbaarheid
[1:25:04] en aankomen van nieuwe technologieën die we implementeren rond cloud of AI,
[1:25:09] wat gaat dat kosten?
[1:25:11] Want het laatste wat ik wil, is als wij met goede plannen komen samen,
[1:25:15] dat aan het eind van de dag we pas over financiën gaan praten
[1:25:19] en erachter komen dat de plannen die we hebben niet gerealiseerd kunnen worden.
[1:25:24] Dat is mijn lijn.
[1:25:28] Dan de volgende vraag van GroenLinks, Partij van de Arbeid.
[1:25:32] Wat is de visie van de staatssecretaris op het hebben van plannen op het moment dat er een
[1:25:36] digitaal incident plaatsvindt, plannen om de storing zo snel mogelijk te verhelpen, maar ook
[1:25:40] plannen om de dienstverlening doorgang te laten vinden op het moment dat systemen nog uitgevallen
[1:25:46] zijn. Het hebben van crisisplannen is vanzelfsprekend van groot belang. De Nederlandse
[1:25:54] cybersecurity-strategie benadrukt het belang van snel en adequaat reageren op cyberincidenten
[1:26:00] en crisis. Zo is het landelijke crisisplan Digitaal, dat de gezamenlijke aanpak beschrijft,
[1:26:06] bij een grootschalig digitale crisis aanwezig. Daarnaast is het conform de Baseline Informatie
[1:26:13] beveiliging overheid, de BIO, voor individuele organisaties binnen de overheid van belang om
[1:26:19] te beschikken over redundante systemen ten behoeve van continuïteit van de systemen en procedures
[1:26:25] voor back-up en restore.
[1:26:27] De BIO gaat ervan uit dat het organisaties bedrijfscontinuïteitsrisico's beheerst.
[1:26:34] Voor vitale aanbieders is het tevens verplicht om de nodige maatregelen te treffen om de continuïteit
[1:26:41] van hun diensten zoveel mogelijk te waarborgen.
[1:26:44] Verschillende sectoren hebben daarnaast aanvullende verplichtingen om de continuïteit te waarborgen,
[1:26:50] via bijvoorbeeld de drinkwaterwet of de telecommunicatiewet.
[1:26:55] De toezichthouders controleren of vitale aanbieders algemene en sectorale wetgeving naleven.
[1:27:01] Dat geldt dus zeker voor het kunnen waarborgen van de continuïteit.
[1:27:05] Het is belangrijk dat er ook goed geoefend wordt om ervoor te zorgen dat men weet hoe
[1:27:10] moeten handelen in een crisissituatie.
[1:27:13] En als laatste het Nationaal Cyber Security Centrum
[1:27:16] en Nationaal Coördinator Terrorismebestrijding en Veiligheid
[1:27:19] organiseren bijvoorbeeld ook op nationaal niveau de cyberoefening Isidor
[1:27:25] om het landelijk crisisplan digitaal te beoefenen.
[1:27:31] En als ik het wel heb, heeft niet zo lang geleden de laatste Isidor plaatsgevonden.
[1:27:38] Dan een vraag van GroenLinksP van de A over Get Used To It.
[1:27:46] Het klinkt bijna als een applicatie.
[1:27:49] Sorry?
[1:27:50] Het klinkt als een applicatie.
[1:27:53] Excuses, zeker als voorzitter mag ik niet buiten de microfoon praten.
[1:27:56] Ik zei het klinkt bijna als een applicatie.
[1:27:58] Ja, get used to it.
[1:28:00] Ja, even kijken.
[1:28:05] Ik ga eerst oplezen wat hier staat.
[1:28:07] De boodschap die de minister JNV tijdens het incident heeft gecommuniceerd,
[1:28:10] ...is dat in het digitale tijdperk het cruciaal is...
[1:28:13] ...dat IT-systemen vaak kunnen uitvallen door storingen.
[1:28:17] Zo waren er dit jaar de verstoringen die 28 augustus plaatsvonden in de Navi-netwerk...
[1:28:21] ...en ook de storing op 19 juli in de software van het bedrijf CrowdStrike...
[1:28:27] ...waardoor onder andere de luchthaven Schiphol werd ontregeld.
[1:28:31] Het is erg dat deze storingen plaatsvinden...
[1:28:33] ...en vanuit de overheid zetten we in op meer weerbaarheid en redundantie in processen.
[1:28:37] Dat doen we onder meer via wetgeving, zoals cyberbeveiligingswet,
[1:28:43] door acties uit te voeren uit het Nederlands Cyber Security Strategy
[1:28:47] en de aanpak VITAAL.
[1:28:49] Deze initiatieven worden gecoördineerd vanuit de minister van JNV.
[1:28:54] Voorzitter, ik heb dat ook gehoord, get used to it,
[1:28:59] ik heb ook iemand in een lezing gehoord die aangaf van, doe er wat aan.
[1:29:06] En voor mij betekent get used to it ook doe er wat aan.
[1:29:11] We moeten er...
[1:29:12] To get used, als ik het goed zeg in het Engels,
[1:29:15] en dat hebben we ook eerder aangegeven, ook mijn voorganger,
[1:29:18] en ook de premier heeft aangegeven, dat incidenten...
[1:29:20] En volgens mij bent u het er ook mee eens, incidenten kunnen altijd plaatsvinden.
[1:29:24] Maar dat doe er wat aan, dat is het belangrijkste.
[1:29:27] En ik denk dat deze incidenten, met name omdat er 2,5 of 3 waren in twee maanden,
[1:29:33] een wake-up call zijn voor ons allen om ook dit dossier serieus aan te blijven vliegen.
[1:29:41] Dat was het tweede blokje.
[1:29:45] De heer Sjiks Dijkstra van NSC heeft een vraag.
[1:29:49] Dank voorzitter en ook dank aan de staatssecretaris
[1:29:52] voor de uitgebreide toelichting van Get used to it
[1:29:54] en alles wat daarbij komt kijken.
[1:29:58] Ik ben blij dat hij het ook als wake-up call ziet.
[1:30:01] Waar ik zelf al van opkeek tijdens het incident in Kwestie, toen we het over Crowdstrike hadden,
[1:30:08] is dat het effect van een digitale storing breder is dan digitale systemen.
[1:30:14] De bussen vallen uit, de vliegtuigen vallen uit, kassas doen het niet meer,
[1:30:19] spoedeisende hulpen vallen uit.
[1:30:21] Zaken waarvan je zou zeggen, daar zou ook een backup voor moeten zijn,
[1:30:25] dat als de systemen het niet doen, dat ze alsnog wel hun dienstverlening kunnen regelen.
[1:30:30] Is het ook iets wat op het netvlies van de staatssecretaris staat?
[1:30:33] En hoe ziet hij dit binnen de plannen van weerbaarheid en redundantie?
[1:30:38] U komt eigenlijk een beetje terug op de opmerking die ik een paar minuten geleden op tafel heb gelegd.
[1:30:45] Dat we echt heel goed moeten kijken hoe we onze infrastructuur hebben ingericht en al wat daarmee samenhangt.
[1:30:51] En dat heeft te maken met die systemen goed inrichten, voldoende applicaties hebben.
[1:30:56] maar ook voldoende capaciteit, menscapaciteit, om dat allemaal te kunnen beheren.
[1:31:02] Wat de overheid betreft, een van de dingen waar ik ook serieus in naar ga kijken,
[1:31:06] is die vakmanschap, hebben wij de juiste mensen op ieder geval onze IT te onderhouden,
[1:31:12] maar ook goed kunnen nadenken over dit soort vraagstukken.
[1:31:16] En als laatste, ook in dat kader, en dan ben ik wel blij dat u deze opmerking maakt,
[1:31:21] ook dit gaat geld kosten.
[1:31:25] Dus daar waar IT, in mijn tijd toen ik Kamerlid was, zo'n 18 jaar geleden werd gezien van
[1:31:30] oh ja, m'n word doet het niet, dus ik bel de systeembeheerder, zitten we nu in een hele
[1:31:34] andere tijd.
[1:31:35] En dat heeft ook zijn consequenties en daar ga ik graag ook met u de komende tijd over
[1:31:40] in gesprekken.
[1:31:44] Dan het spooroverige.
[1:31:47] Hoe kijkt de staatssecretaris aan tegen het beperken van onze digitale strategische afhankelijkheid?
[1:31:54] Digitale afhankelijkheden zijn niet te voorkomen en horen bij het openbaar handelssysteem.
[1:31:59] Sommige strategische afhankelijkheden zijn echt ongewenst.
[1:32:03] Dit gebeurt als er risico's vormen voor de borging van onze publieke belangen en nationale veiligheid.
[1:32:11] Op 17 oktober 2023 is uw Kamer geïnformeerd over de agenda Digitaal Open Strategische Autonomie,
[1:32:17] ...de DOSA, waarin het kabinetsaanpak voor de omgang met strategische afhankelijkheid...
[1:32:24] ...in de digitale termijn is uitgewerkt.
[1:32:26] En hierachter staat het woord najaar. Ik kijk even naar mijn handenaar.
[1:32:30] En dan komt er een voortgangsrapportage?
[1:32:33] In het najaar komt er een voortgangsrapportage.
[1:32:36] Dat is een belangrijke toevoeging. Dank u wel.
[1:32:41] Dan een vraag over de broncode DGD.
[1:32:44] Fragmenten die een beveiligingsrisico vormen...
[1:32:47] Aangepast in de gepubliceerde versie, de PVV, daar kwam de vraag van, van de heer Van Liesen.
[1:32:55] Hij wil hierover graag weten waarom gekozen is voor deze oplossing.
[1:32:58] Het uitgangspunt was dat de broncode zo transparant mogelijk zou worden gepubliceerd.
[1:33:03] Door alleen deze fragmenten te vervangen door een S, security, en mogelijke privacy-vervoerlijke
[1:33:10] delen door een P, privacy, kon de overige broncode integraal vrijgegeven worden.
[1:33:15] Dan nog een vraag met betrekking tot DigiD.
[1:33:20] Fragmenten die een beveiligingsrisico vormen,
[1:33:23] zijn aangepast in de gepubliceerde versie.
[1:33:26] Kan de inzet van AI, Artificial Intelligence,
[1:33:29] niet alsnog de gewijzigde code corrigeren?
[1:33:33] En vormt dit dan geen risico?
[1:33:35] Antwoord hierop is, de meeste fragmenten die zijn weggehaald,
[1:33:39] bevatten geen broncode, maar data zoals sleutelmateriaal voor testomgevingen.
[1:33:43] Dit is unieke data die niet door AI kan worden gereconstrueerd.
[1:33:49] AI is alleen goed voor het corrigeren van code die min of meer logisch voortkomt in
[1:33:54] andere code die het model heeft gebruikt om te trainen.
[1:33:58] Dat is hier niet van toepassing omdat de gegevens die in de gepubliceerde code zijn aangepast
[1:34:04] nergens anders voorkomen.
[1:34:05] Nog een vraag met betrekking dan tot Google Workspace van de heer Valise van de PVV.
[1:34:14] Voor wat betreft Google Workspace, agenda punt 2 en 8 voor vandaag, dit bleek niet in
[1:34:20] lijn met de AVG, maar daartoe zijn maatregelen genomen om alsnog daaraan te voldoen.
[1:34:26] We lezen dat overheidsorganisaties Google Workspace kunnen gebruiken, mits ze specifiek aanvullende
[1:34:30] maatregelen afwegen afhankelijk van de situatie.
[1:34:34] PVV wil graag weten welke risico's nog steeds bestaan en om welke maatregelen het gaat
[1:34:38] en of dit voor alle overheidsorganisaties gelijk is.
[1:34:42] Dat is de vraag en dan is hier het antwoord.
[1:34:44] Naar aanleiding van het onderzoek door Strategisch Defensief Management, SLM,
[1:34:49] Microsoft, Google, Cloud en AWS, zijn er geen resterende AVG-risico's geïdentificeerd
[1:34:56] als de aanbevolen maatregelen in acht worden genomen.
[1:34:59] Echter, SLM kan niet in alle scenario's voorzien voor het gebruik van Google's Workspace
[1:35:06] door de Rijksoverheidsorganisaties en welke inhoudelijke data daarmee gemoeid is.
[1:35:12] Daarom dient elke overheidsorganisatie voor zijn specifiek gebruikerscontext
[1:35:16] af te wegen of het gebruik van Google Workspace verantwoord is.
[1:35:21] Eventuele aanvullende benodigde maatregelen hangen af van de specifieke context.
[1:35:26] Daarnaast geldt dat de overheidsorganisaties op grond van de wet zelf verantwoordelijk zijn
[1:35:32] voor het voldoen aan de AVG en daarom altijd zelf moeten vaststellen of met het gebruik
[1:35:39] van Google Workspace aan de AVG kan worden voldaan.
[1:35:43] Uiteraard kan daarbij gesteund worden op de onderzoeken dat SLM heeft uitgevoerd.
[1:35:49] Dan nog een vraag van de heer Falize over TikTok.
[1:35:52] De vorige staatssecretaris heeft de stekker uit TikTok getrokken.
[1:35:58] Geen burgers informeren, gaat de Stas dit heroverwegen?
[1:36:04] En dan stond de vraagteken verkeerd.
[1:36:06] Het gebruik van TikTok is voor rijksamtenaren ontraden.
[1:36:11] Het gebruik daarvan op mobiele devices, uitgegeven door de rijksoverheid, is technisch onmogelijk
[1:36:16] gemaakt en op privédevices kunnen burgers en rijksamtenaren zelf afwegen of
[1:36:23] of zij gebruik willen maken van dergelijke applicaties.
[1:36:28] Punt. Ik zit even na te denken, voorzitter, maar ik krijg al een vraag.
[1:36:34] De heer Van Liessen.
[1:36:35] Ja, voorzitter, dank voor het woord.
[1:36:36] Dus dat betekent dat er dus geen informatievoorziening vanuit de overheid
[1:36:40] richting de gebruikers van TikTok gaat?
[1:36:50] Ja, vanuit het ministerie van Algemene Zaken is dat als advies meegegeven.
[1:36:58] Oké. Nog een vraag over de cyberverveiligingswet.
[1:37:03] Volgens mij heb ik die al gehad.
[1:37:06] Deze heb ik al gehad.
[1:37:07] Ja, die heb ik al gehad.
[1:37:09] Het ging weer over het Caribisch Nederland.
[1:37:13] Dan was er nog één vraag, als het goed is, voorzitter,
[1:37:17] die we niet hebben beantwoord, of niet?
[1:37:20] Heb jij de antwoord, meisje?
[1:37:21] Zullen we de tweede termijn pakken?
[1:37:23] Of zullen we die in de tweede termijn pakken? Ja.
[1:37:28] Ja, dus de rest, nog een vraag van de heer Sijks-Dijkstra.
[1:37:34] Die komt in de tweede termijn.
[1:37:35] Zijn verder alle vragen beantwoord van iedereen?
[1:37:38] Ja, alles is beantwoord, dank aan de staatssecretaris.
[1:37:43] dan brengt dat ons bij de tweede termijn.
[1:37:46] Ik kijk even naar links.
[1:37:47] Ja, er is behoefte aan een tweede termijn.
[1:37:49] Daar staat anderhalve minuut voor volgens mij.
[1:37:52] En dan begin ik bij de heer Sjiks Dijkstra van NSC.
[1:37:56] Dank voorzitter en ook dank aan de staatssecretaris voor dit debat.
[1:38:01] Een vraag waar de staatssecretaris al even aan raakte,
[1:38:03] maar mijn inzicht is nog niet voldoende antwoord op heeft gegeven,
[1:38:07] is dat ik ook wel benieuwd ben van hoe gaat hij zijn mandaat de komende tijd invullen?
[1:38:12] En dat zit hem niet alleen op informatiebeveiliging, maar überhaupt op systemen.
[1:38:17] Want als het gaat om digitale systemen is binnen de overheid niet alleen zo dat de linkerhand niet weet wat de rechterhand doet.
[1:38:22] Vaak weet de linkerhand niet wat de linkerhand doet.
[1:38:24] En wij als Kamer zijn vaak zeer beperkt geïnformeerd over de systemen die er draaien.
[1:38:29] En ook over de licenties die worden afgenomen.
[1:38:31] Dat zijn mevrouw Katman en ik ook wel tegenaan gelopen in het cloud dossier.
[1:38:34] Dat we werkelijk geen flauw idee hebben hoeveel overheidsinstanties over zijn gegaan op de cloud.
[1:38:39] En welke providers ze hebben.
[1:38:40] Maar dat gaat eigenlijk om een breder probleem.
[1:38:43] Ik denk dat er een hoop nieuw inzicht nodig is in de systemen die de overheid gebruikt
[1:38:49] en hoe die onderling samenhangen.
[1:38:51] Is de staatssecretaris dat met mij eens?
[1:38:53] Is hij voornemens om zijn termijn te gebruiken om daar verbeterslag in aan te nemen, ook
[1:38:57] in lijn met de aanbeveling van de Algemene Rekenkamer en wat kunnen wij daarvan verwachten?
[1:39:02] Tot slot, voorzitter, zie ik uit naar de beantwoording van de resterende vragen en zou ik ook graag
[1:39:06] een twee minuten debat willen aanvragen voor eventuele moties.
[1:39:11] Dank u wel.
[1:39:12] Dank u wel. Dan gaan we naar de heer Valise van de PVV.
[1:39:16] Ja, voorzitter, dank voor het woord en dank allen ook voor de uitgebreide
[1:39:20] vragen en staatssecretaris voor de beantwoording daarvan.
[1:39:24] Ja, ik had een vraag gesteld met betrekking tot die post die op LinkedIn
[1:39:28] voorbij kwam over het e-bestuurproces, of je al een tipje van de sluier zou
[1:39:32] kunnen oplichten of dan moeten we wachten tot een regeerakkoord.
[1:39:35] Maar ik denk wel dat we uit de beantwoording en de reacties hebben kunnen vernemen
[1:39:39] dat de staatssecretaris van harte ondersteunt wat wij allemaal hier wel vinden,
[1:39:44] namelijk dat er een centrale regie moet komen.
[1:39:47] En ja, verder heb ik geen verdere vragen, maar ja, dank.
[1:39:54] Dank u wel. Dan de heer Buizen van de VVD.
[1:39:57] Dank je wel, voorzitter.
[1:39:58] Ik heb drie vragen over weerbaarheid, de scan en de regie.
[1:40:03] Als het gaat over weerbaarheid heb ik vernomen dat er crisisoefeningen plaatsvinden.
[1:40:13] U verwees naar de Isodorus oefening bijvoorbeeld.
[1:40:17] Ik was er onbekend mee dat dit soort oefeningen plaatsvinden.
[1:40:20] Ik ben ook wel blij dat het gebeurt.
[1:40:23] En ook bij fysieke crisisoefeningen zoals wij dat als politici wel eens gedaan hebben,
[1:40:29] ik als wethouder in ieder geval heel veel,
[1:40:32] moet je ook proberen daar lessen uit te trekken.
[1:40:34] En ik zou eigenlijk aan de staatssecretaris willen vragen of wij kennis kunnen nemen als Kamer van de crisisoefeningen die plaatsvinden
[1:40:42] en de lessen die geleerd worden, zodat wij daar ook gezamenlijk leering uit kunnen halen.
[1:40:48] En niet alleen bij de oefenende instanties, want ik wil graag meeleren als dat zou kunnen.
[1:40:53] Dus graag een reactie van de staatssecretaris daarop.
[1:40:56] Als tweede punten de scan. U informeerde ons van ja, de scan is in uitvoering, daar ben ik echt heel blij mee om dat te vernemen, dus dank.
[1:41:07] U zegt van ja, we gaan de Kamer hierover begin 2025 informeren. Nou, ook goed om te vernemen.
[1:41:14] Maar ik vind wel dat wij als Commissie Digitale Zaken ook misschien wat toegang mogen hebben tot de gesprek met de uitvoerders van deze scan.
[1:41:24] want ik ben ontzettend nieuwsgierig van hoe gaat dat nou, die scan?
[1:41:28] Want de staatssecretaris informeert ons dat het moeilijk is en dat het lastig is.
[1:41:32] Omvangrijk, complex, alle begrip daarvoor.
[1:41:35] Dus ik zou graag in een technische briefing...
[1:41:39] in een van de mogelijkheden die er bestaan...
[1:41:40] zou ik graag daar in mondeling over in gesprekken willen.
[1:41:44] Gewoon puur ook weer om van te leren.
[1:41:46] En het derde punt wat ik wilde vragen, gaat over de regie.
[1:41:51] Ook wel aansluitend op het mandaatvraag van mijn voorgaanspreker Siksdeistra.
[1:41:58] Ja, ik ben gewoon niet tevreden eigenlijk, uiteindelijk, dat we het accepteren dat het...
[1:42:05] Ja, nee, we accepteren het niet, want we zijn er eigenlijk allemaal wel over eens.
[1:42:08] Maar het is nu zo dat heel veel departementen hun eigen bevoegdheden hebben
[1:42:13] over hun eigen systemen en software en de risico's daarvan.
[1:42:17] Ik zie daar toch een kwetsbaarheid in, uiteindelijk.
[1:42:19] En ik wil de staatssecretaris echt helpen om hem daar in positie te brengen.
[1:42:24] En de instrumenten die wij hebben vanuit onze rol als Tweede Kamerlid,
[1:42:28] kunnen bijvoorbeeld zijn het indienen van een gezamenlijke motie.
[1:42:32] En dan zetten we het kabinet op die manier onder druk
[1:42:34] om de staatssecretaris meer mandaat te geven.
[1:42:38] Maar ik weet niet of dat een politiek wijze zet is.
[1:42:40] Dus ik vraag me ook af van hoe kunnen we u nou het beste helpen
[1:42:44] om u beter in het zadel te krijgen om die regie te pakken,
[1:42:48] zoals we eigenlijk allemaal wel willen.
[1:42:51] Dus graag reactie van de staats daarop. Dank u wel.
[1:42:54] JOURNALISTE DANK U WEL.
[1:42:56] Meneer Buijs, ik wil u even meegeven dat uw vraag om de technische sessie...
[1:43:00] ...die is niet aan de staatssecretaris om die te beantwoorden.
[1:43:04] Uw voorzitter wordt er bijvoorbeeld heel enthousiast van.
[1:43:06] Dus als u dat voorlegt in een procedurevergadering aan uw collega's...
[1:43:10] ...dan kunnen we dat via de procedurevergadering...
[1:43:13] ...ja, als daar meerderheid voor is, dan wordt zo'n technische sessie...
[1:43:17] met degenen die de scan uitvoeren, wordt ingepland.
[1:43:23] Jouwer.
[1:43:24] Nee, alle begrip daarvoor.
[1:43:25] Maar toch zou ik ook van de staatssecretaris wel willen weten of de mogelijkheid bestaat
[1:43:29] om de informatie voor zo'n technische briefing aan te bieden.
[1:43:33] Want ja, als het allemaal geheim is en weet je, even de randvoorwaardelijkheid
[1:43:36] vanuit het ministerie zou ik wel graag willen meenemen bij zo'n verzoek.
[1:43:40] En we kunnen ook een vertrouwelijke technische briefing inplannen.
[1:43:44] Dus wat dat betreft kunt u goed bediend worden, denk ik.
[1:43:48] Dan vraag ik even aan de heer Sjiks-Dijkstra of hij het voorzitterschap kan overnemen.
[1:43:53] Zeker, voorzitter.
[1:43:55] Dan geef ik bij deze het woord aan mevrouw Katman van de fractie van GroenLinks, PvdA.
[1:43:59] Ja, dank u wel, voorzitter.
[1:44:01] En ik wil ook de staatssecretaris bedanken voor de heldere beantwoording van de vragen.
[1:44:08] Ik heb vandaag ook geprobeerd om mijn woorden in de mond te leggen via de voorzitter en normaal
[1:44:13] zou ik daar mijn excuses voor aanbieden en ik vind het al helemaal niet prettig als mensen
[1:44:17] Maar vandaag vind ik het toch jammer dat het niet is gelukt.
[1:44:20] Ik had graag gezien dat we na vandaag plaats hadden gemaakt,
[1:44:24] althans dat we get used with niet meer gebruiken en dat we get ready
[1:44:29] met een uitroepteken gaan hanteren in deze commissie.
[1:44:35] Dan had ik nog wel een vraag over de downtime.
[1:44:38] De staatssecretaris die zei van ja, eigenlijk ligt het eraan per dienst
[1:44:41] wat een acceptabele downtime is.
[1:44:44] En dan is nog wel mijn vraag van is er dan voor elke dienst
[1:44:46] zo'n downtime gedefinieerd. En als dat niet zo is, zou dat dan wel een goed plan zijn.
[1:44:52] En dan is er ook nog een vraag eigenlijk over die weerbaarheid. Want ik snap heel goed en ben ik het
[1:44:56] ook helemaal mee eens dat we moeten trainen en we moeten van alles en nog wat. Maar we hebben
[1:45:00] handreikingen en we zijn aan het verkennen en in gesprek. Maar ik heb ook heel concreet gevraagd
[1:45:05] van wat zijn nou de mogelijkheden om bepaalde zaken ook gewoon af te gaan dwingen? Want de
[1:45:10] staatssecretaris zei zelf ook de tijd van vrijblijvendheid is voorbij. En welke mogelijkheden
[1:45:15] zijn er nou gewoon in het hele proces van eigenlijk inkoop tot implementatie,
[1:45:20] tot gebruik, tot updates, noem het maar op,
[1:45:25] om bepaalde dingen in vitale onderdelen van onze maatschappij af te dwingen?
[1:45:31] Dank u wel, mevrouw Katman.
[1:45:32] Dan geef ik de voorzittershammer weer terug aan u.
[1:45:35] Ja, dank u wel, voorzitter.
[1:45:37] En dan kijk ik even naar rechts.
[1:45:38] Hoeveel tijd de staatssecretaris nodig
[1:45:40] te hebben voor de beantwoording van de vragen? Twintig seconden.
[1:45:43] Dan schorsen we voor twintig seconden en dan gaan we over naar de beantwoording.
[1:47:24] Dan gaan we over naar de beantwoording van de staatssecretaris.
[1:47:28] Dank u wel, voorzitter.
[1:47:31] Allereerst over WebEx van de heer Siks-Dijkstra.
[1:47:35] De kwetsbaarheid gaat over opeenvolgende ID-meetings en niet over IP-adressen, heb ik hier doorgekregen.
[1:47:42] Dit kan in een BSPA, een Baseline Security Product Assessment, of een DPA, is daar niet
[1:47:51] aan de orde gekomen.
[1:47:53] Wel uit aanvullende security testen, die regelmatig gedaan worden.
[1:47:58] Mijn vraag blijft daarom waarom Cisco dit zelf niet geconstateerd heeft.
[1:48:02] Het is een onderwerp van gesprek dat ik op dit moment voerhoud met Cisco.
[1:48:11] Ik refereer aan de tekst die in de beantwoording van de brief stond.
[1:48:14] Er werd internetadres gezegd, maar natuurlijk geen IP-adres.
[1:48:17] In dit geval ging het om urls.
[1:48:21] Dan is in elk geval duidelijk dat in de checks die gedaan worden dit soort dingen niet geconstateerd
[1:48:26] worden.
[1:48:26] Maar is de staatssecretaris het niet met mij eens dat dit soort quick wins eigenlijk wel
[1:48:32] aan de voorkant gepakt zouden moeten worden?
[1:48:34] dat als je dit soort kwetsbaarheden hebt en dat je in vertrouwelijke meetings
[1:48:38] de metadata naar boven kan halen omdat het zo voorspelbaar is,
[1:48:42] dat misschien dat dat wel zo bazaal is, dat het überhaupt niet in zo'n check naar voren komt,
[1:48:45] maar dat dat eigenlijk ook, als de producent het zelf niet ziet,
[1:48:49] wel door de afnemer geconstateerd zou moeten worden?
[1:48:52] De staatssecretaris.
[1:48:53] Het antwoord is daar natuurlijk ja op.
[1:48:57] We zijn ook verder gegaan met Cisco, zoals u weet.
[1:49:00] En ook hier leren we weer van met Salle.
[1:49:02] Dus als het gaat om dossieropbouw voor toekomstige mogelijke problemen,
[1:49:06] die hoop ik niet komen.
[1:49:08] Dan met betrekking tot de vraag over systemen van de heer Siks-Dijkstra.
[1:49:15] Die vind ik even iets te ingewikkeld om nu hier af te doen met één of twee zinnen.
[1:49:20] Ik wil hier echt even met mijn ambtenaren verder over praten.
[1:49:24] En dan beloof ik ook een brief binnenkort hierover naar u toe te zenden.
[1:49:29] De heer Siks-Dijkstra.
[1:49:31] Ik zie daarnaar uit.
[1:49:32] Kan de staatssecretaris ook een termijn geven voor die brief,
[1:49:34] dat we die kunnen vastleggen als officiële toezegging?
[1:49:38] Drie weken of zo? Nee, drie.
[1:49:41] GELACH
[1:49:43] Ja, vier weken.
[1:49:44] Vier weken.
[1:49:48] Mijn ambtenaren dachten dat ik één week zei,
[1:49:50] dus ze schrokken al over mijn nieuwe aanpak,
[1:49:53] maar ik geef ze wat meer tijd.
[1:49:56] Dan met betrekking tot Isidor.
[1:49:58] Daar is al inmiddels een evaluatie toegezonden naar de Kamer,
[1:50:01] Dus als het goed is, ligt hij ook bij u ergens op het bureau.
[1:50:07] Met betrekking tot de scan.
[1:50:08] Ja, we kunnen altijd een technische briefing toezeggen, ook samen met JNV in deze.
[1:50:13] Dus we moeten even kijken hoe we dat onderwerp verder oppakken.
[1:50:19] Mij in positie brengen.
[1:50:22] Ja, dat vind ik misschien wel de meest interessante vraag voor de komende vier jaar.
[1:50:27] Ja, het liefst had ik mezelf ook iets meer in positie gebracht zien worden
[1:50:30] ...tijdens de onderhandelingen en het verdelen van de posten.
[1:50:33] Maar ik zit hier als staatssecretaris formeel verantwoordelijk voor coördinatie binnen het Rijk.
[1:50:39] Maar u ziet, hoop ik, en ook vanuit mijn optreden gisteren...
[1:50:43] ...dat ik toch wel de grenzen probeer op te zoeken.
[1:50:45] En dat doe ik niet voor lol, want de lagere overheden vragen ook aan mij...
[1:50:49] ...van hoe staat het met de regie.
[1:50:51] Dus ik denk dat het toch wel na 25 jaar praten over dit onderwerp...
[1:50:55] ...steeds maar tussen de oren van bestuurders komt te zitten...
[1:50:58] dat de regiefunctie belangrijk is op digitalisering,
[1:51:03] want ja, digitalisering is niks anders dan het bloed dat door onze aderen stroomt.
[1:51:07] Dus geen klein dingetje. Als je dat niet hebt, dan hou je op te bestaan.
[1:51:12] Dus we moeten even samen kijken hoe we dit verder oppakken.
[1:51:15] Ik sta in ieder geval in de stand,
[1:51:18] ondanks dat ik weet wat mijn mandaat is, om verder te kijken.
[1:51:22] En eigenlijk misschien ook al voor m'n opvolger of opvolgster
[1:51:25] van hoe we dit allemaal beter kunnen inrichten.
[1:51:27] ...en daar komen allerlei onderwerpen aan de orde, waaronder ook die we vandaag hebben besproken.
[1:51:31] Dus ik ga... Moet ik het netjes zeggen?
[1:51:34] Nee, laat ik het zo maar zeggen. Ik ga er vol in om dit nog beter gestructureerd te krijgen.
[1:51:39] Eh, dan... Ja, get ready.
[1:51:42] Nou, ik ben u al tegemoetgekomen aan de hand van een lezing die ik heb gehoord...
[1:51:47] ...van een paar dagen geleden, van... Doe er wat aan.
[1:51:51] Dus ik zit... Ik hou toch Nederlands, want we hebben al zoveel afkortingen.
[1:51:54] We hebben er 70 voor vandaag en als we ook nog Engels gaan praten,
[1:51:58] dan hoop ik dat u toch een beetje met mij meebuigt om doen we wat aan als de nieuwe uitspraak te forceren.
[1:52:06] En wat betreft het onderwerp rond het gebruik van software, afdwingen en dat soort zaken.
[1:52:14] We zijn aan de slag gegaan, ook kijkend naar hoe het allemaal nu loopt,
[1:52:20] naar een IT-sourcing document. Die heb ik gevraagd van mijn CIO Rijk.
[1:52:28] Ik denk dat we die in 2025 gaan afscheiden, want we moeten dat echt heel erg goed ingaan kleuren.
[1:52:34] Dat gaat ook over leveranciersmanagement en dat soort zaken.
[1:52:39] Dus ook dit is een onderwerp die we gewoon strak moeten trekken met z'n allen.
[1:52:42] En die komt er dus aan, kan ik toezeggen.
[1:52:46] Dat was hem van mijn kant, voorzitter.
[1:52:48] Dank u wel. Dan kijk ik even naar links.
[1:52:51] Ja, dat is zo.
[1:52:53] Dan gaan we naar de toezeggingen.
[1:52:56] Ik heb er, als het goed is, vier.
[1:53:00] De eerste toezegging is dat in het tweede kwartaal 2025 de Kamer een brief ontvangt over de opvolging
[1:53:06] van de aanbevelingen naar aanleiding van het rapport Digitale kroonjuwelen.
[1:53:11] Dit is naar aanleiding van een vraag van de heer Siks-Dijkstra.
[1:53:14] Dan wordt de Kamer begin 2025 nadig geïnformeerd over de uitvoering van de motie Rijkhofsky en
[1:53:20] van Weerdenburg over de scanapparatuur-overheid.
[1:53:23] Dit was naar aanleiding van een vraag van de heer Buissen.
[1:53:27] De derde toezegging is dat in het najaar van 2024 de Kamer de voortgangsrapportage DOSA ontvangt.
[1:53:35] De vierde toezegging is dat binnen vier weken de Kamer een brief krijgt naar aanleiding van de vraag
[1:53:41] van de heer Sjiks-Dijkstra met betrekking tot de methodiek voor de scan van alle systemen.
[1:53:47] Er is een twee-minuten-debat aangevraagd door de heer Sjiks-Dijkstra en dat wordt ingepland.
[1:53:54] Er is een verzoek voor een technische sessie en dat moeten we via de procedurevergadering doen.
[1:53:59] Dan sluit ik dit commissiedebat over informatievoorziening bij de overheid.
[1:54:04] Ik dank de staatssecretaris, die nog even zijn vinger opsteekt.
[1:54:10] Doza, dat zal door de minister van EZK gerapporteerd worden, begrijp ik, maar dat noemen wij EZ.
[1:54:18] Perfect, dank aan de staatssecretaris voor deze toevoeging en dank ook voor de beantwoording
[1:54:27] en dank voor dit allereerste commissiedebat in uw functie als staatssecretaris en we gaan
[1:54:36] volgende keer een poging wagen om minder jargon en afkortingen te gebruiken en dan verwijs
[1:54:41] iedereen ook naar het cyber woordenboek. Volgens mij is dat gewoon cyberwoordenboek.nl en dan wil de
[1:54:47] heer Siksdijkstra ook nog iets zeggen ter afsluiting. Voorzitter, ik wil ook u bedanken, want klopt het
[1:54:52] dat dit uw laatste commissiedebat is dat u voorzit in deze rol als voorzitter? Ik denk onofficieel wel,
[1:55:00] maar we moeten nog natuurlijk officieel is het onze taak als Kamerleden om de nieuwe voorzitter
[1:55:06] en ondervoorzitters nog om daarmee in te stemmen.
[1:55:10] Het is volgens mij goed gebruikt dat dat zonder problemen zal verlopen,
[1:55:13] daar ga ik dan maar even van uit.
[1:55:14] En dan is dit inderdaad mijn laatste commissiedebat als voorzitter.
[1:55:19] Nou, alle procedures ten spijt.
[1:55:21] Het laat onverlet dat ik u heel hartelijk wil bedanken
[1:55:24] voor uw goede werk de afgelopen maanden dat ik u heb meegemaakt.