Meer documentenDisclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Cyberveiligheid en informatiebeveiliging
[0:00:01] Goedemiddag allemaal, hierbij open ik het rondetafelgesprek over cyberveiligheid en informatiebeveiliging.
[0:00:08] Dit rondetafelgesprek bestaat uit drie blokken, te beginnen met blok 1, experts, van 3 tot 4 uur smiddags.
[0:00:15] Blok 2, casussen, van 4 tot 5 uur.
[0:00:18] En als laatste, blok drie, toezicht en handhaving van vijf tot zes.
[0:00:21] En we starten zo met het eerste blok, experts.
[0:00:24] Daarvoor heet ik graag de genoogden van dit blok welkom.
[0:00:26] Dit zijn van Cyber Veilig Nederland, Lisbeth Holteman, directeur.
[0:00:31] Digitale Dolomina's, dat is mevrouw Chantal Stekelenburg, cybersecurity-expert.
[0:00:36] Van Z-cert, Wim Haffkamp, de directeur.
[0:00:39] Welkom.
[0:00:39] en van Silsvoort de heer Johan van Streun, vicepresident Solution Engineering in de publieke sector.
[0:00:45] En ook verwelkom ik graag de aanwezige Kamerleden.
[0:00:50] Nou moet ik mij... Inderdaad, de heer Vervuurt van D66, mevrouw Swinkels van het CDA, mevrouw El Bajani van D66 en als laatste mevrouw Katman van GroenLinks Partij van de Arbeid.
[0:01:02] Ieder genodigd die krijgt ongeveer twee minuten om te spreken, om zich voor te stellen en de standpunten toe te lichten
[0:01:08] En zodra alle genoogden het woord hebben gevoerd, krijgen de Kamerleden de gelegenheid om vraag te stellen aan het einde van dit blok.
[0:01:14] Dan geef ik nu heel graag het woord aan mevrouw Holteman.
[0:01:17] Gaat uw gang.
[0:01:18] Ja, dank u wel, geachte leden van de Commissie Digitale Zaken.
[0:01:23] Allereerst dank u in het adresseren van dit belangrijke onderwerp en fijn dat ik namens de cybersecurity sector een toelichting mag geven.
[0:01:30] Net zoals de dolamina's zijn wij van mening dat dataminimalisatie een onderdeel moet zijn van de basismaatregelen.
[0:01:37] Te vaak worden persoonsgegevens als iets abstract gezien, maar dat is het niet.
[0:01:42] Achter deze data gaan echte mensen schuil.
[0:01:45] Als oud-AIVD'er heb ik er altijd alles aan gedaan om mijn persoonsgegevens te beschermen.
[0:01:49] Want ja, er zijn genoeg mensen die het niet eens zijn met het werk van de inlichtingendiensten.
[0:01:54] Dat mijn gegevens door verschillende datalekken op straat zijn gekomen, zorgt voor mij voor onveiligheid.
[0:02:00] Databescherming wordt nog te weinig gezien als een zorgplicht.
[0:02:04] Dat dit nog belangrijker wordt dan nu het geval is, wil ik u toelichten aan de hand van twee ontwikkelingen.
[0:02:08] Het eerste is dat datalekken weer nieuwe datalekken uitlokken.
[0:02:12] Authenticatiegegevens worden gebruikt voor nieuwe aanvallen.
[0:02:15] Het jaar dat Ransomware vanuit de samenwerking Melissa laat dit duidelijk zien.
[0:02:20] Daar komt als tweede punt nog de komst van AI bij.
[0:02:23] Met AI is het vinden en daarmee mogelijk misbruiken van kwetsbaarheden een peulenschil, ook voor kwaadwillenden.
[0:02:30] Er is meer dan dertig jaar aan software ontwikkeld en we gaan door AI nu zien hoeveel deze kwetsbaarheden daarin zitten.
[0:02:37] In alle eerlijkheid, het ziet er niet fraai uit.
[0:02:40] De komende jaren wordt aanpoot om deze lekken te dichten.
[0:02:43] Dit vraagt om keuzes maken vanuit de risicogebaseerde benadering, snelheid van handelen en dus de noodzaak dat implementeren van deze basismaatregelen, zoals backups en het segmenteren van netwerken.
[0:02:54] Echter voor niet-cyberbeveiligingswetentiteiten is dit geen verplichting.
[0:02:59] Maar ook de overheid is aan zet.
[0:03:01] Wij zien een grote rol voor het Nationaal Cyber Security Centrum.
[0:03:04] Een taak die zij nu al goed oppakt.
[0:03:07] Niet alleen vanuit de adviestaak voor vitale en niet vitale organisaties, maar ook vanuit de nationale CSIR-taak.
[0:03:14] Hierbij pleiten we voor een nauwere samenwerking met de toezichthouders.
[0:03:18] Naast de AP, die zelf al in haar position paper aangeeft risicogestuurd preventief toezicht
[0:03:25] meer noodzakelijk te achten, wat we vanuit Cyberveilig Nederland volledig onderschrijven, zien wij hier ook een belangrijke rol in voor de toezichthouders onder de CBW.
[0:03:34] En dat is precies de kernboodschap aan u, Kamerleden.
[0:03:38] Wij zien een driehoek die nauwer kan samenwerken dan nu het geval is.
[0:03:41] Het NCSC, dat zicht heeft op kwetsbaarheden en incidenten.
[0:03:45] De AP die via datalekmeldingen weet welke maatregelen ontbreken en de CBW-toezichthouders die proactief kunnen toezien op het nemen van basismaatregelen.
[0:03:56] Cybersecurity en privacy zijn geen losse begrippen, maar versterken elkaar wanneer deze driehoek structureel informatie deelt, gezamenlijk optrekt en preventief kan handelen.
[0:04:06] Onze oproep aan u is daarom helder.
[0:04:09] Maak preventie het uitgangspunt van Nederlands cybersecuritybeleid.
[0:04:13] Dat betekent verplichte basismaatregelen voor alle organisaties die grote hoeveelheden data verwerken, ook organisaties die buiten de CBW vallen.
[0:04:22] Versterk en formaliseer de samenwerking tussen het NCSC, AP en de CBW-toezichthouders, inclusief structurele informatieuitwisseling.
[0:04:30] Onderzoek in de driehoek wetenschap, privaat en publiek naar de oorzaken van de toenaming en verschuiving van ransomware naar data lekken, om dit fenomeen beter te duiden en tot betere handelingsperspectieven te komen.
[0:04:42] Tot slot wil ik benadrukken dat ons geen afwachtende houding meer staat.
[0:04:47] Wij als cybersecuritysector staan klaar om daarin onze verantwoordelijkheid te nemen en onze kennis en ervaring in te zetten.
[0:04:54] Want uiteindelijk beschermen we met goede cybersecurity niet alleen systemen en netwerken, maar vooral de mensen achter de data.
[0:05:00] Dank u wel.
[0:05:03] Hartelijk dank, mevrouw Holteman, voor uw bijdrage.
[0:05:06] Daar wil ik nu graag het woord geven aan mevrouw Stekendeburg.
[0:05:09] Gaat uw gang.
[0:05:10] Ja, dank u wel voor de uitnodiging ten eerste en dat het heel belangrijk is dat we dit vandaag adresseren.
[0:05:18] Mijn naam is Chantal Stekelenburg en in mijn dagelijks leven werk ik als cybersecurity specialist.
[0:05:23] Ik heb een achtergrond in ethisch hacken, vulnerability management en community building.
[0:05:27] En al jaren hou ik mij bezig met de vraag hoe we digitale omgevingen veiliger kunnen maken.
[0:05:32] Niet alleen technisch, maar ook menselijk.
[0:05:35] Ik spreek hier vandaag namens de Digitale Dolomina's.
[0:05:38] Wij zijn vrouwen uit de wereld van cybersecurity, informatiebeveiliging, beleid en publieke waarde.
[0:05:45] En juist vanuit die combinatie willen wij vandaag één punt centraal stellen.
[0:05:50] Cyberveiligheid is niet neutraal.
[0:05:53] Datalekken raken niet iedereen op dezelfde manier.
[0:05:56] Voor sommige mensen is een datalek vervelend.
[0:05:58] Voor anderen is het een direct veiligheidsrisico.
[0:06:01] Denk aan vrouwen die worden gestalkt, mensen in een onveilige thuissituatie, LHBTI plus personen die risico lopen op outing of mensen met een afgeschermd adres.
[0:06:11] Voor hen zijn persoonsgegevens geen neutrale administratieve gegevens.
[0:06:15] Een gelekt adres kan leiden tot ongewenst bezoek aan de voordeur.
[0:06:20] Een gelekt telefoonnummer is een ingang voor intimidatie of controle.
[0:06:25] Onze boodschap is daarom simpel.
[0:06:27] Als organisaties weten dat zij gegevens verwerken van mensen met een verhoogd risico, en daar kunnen ze van uitgaan, dan moet dat ook het uitgangspunt zijn voor hun beveiliging, hun crisisaanpak en de nazorg.
[0:06:41] Dat betekent dataminimalisatie als harde norm, gevoelige context niet onnodig opslaan, gegevens beter segmenteren en slachtoffers eerlijk en concreet informeren als het toch misgaat.
[0:06:55] Wat ons betreft moet de Kamer cyberveiligheid nadrukkelijker benaderen als een vraagstuk van gelijke bescherming.
[0:07:02] Want een systeem dat de zwaarste gevolgen afwentelt op mensen die al kwetsbaar zijn, is niet veilig en ook niet rechtsvaardig.
[0:07:09] In onze position paper hebben wij deze punten verder uitgewerkt.
[0:07:12] En als daar vragen over zijn, ga ik daar graag nader op in.
[0:07:15] Dank u wel.
[0:07:17] Hartelijk dank, mevrouw Stekelenburg, voor uw bijdrage.
[0:07:20] Dan wil ik nu graag het woord geven aan de heer Hafkamp van Z-cert.
[0:07:24] Gaat u gang.
[0:07:25] Ja, dank u.
[0:07:26] Ook veel dank voor deze uitnodiging.
[0:07:29] Even kort nog iets over ZZ.
[0:07:32] De naam is een combinatie van een Nederlands en Engels woord.
[0:07:35] Z-voor-Zorg Computer Emergency Response Team.
[0:07:38] We zijn opgericht voor en door de zorg zo'n negen jaar geleden in 2017 met hulp van VWS om uit te groeien tot het Landelijk Expertisecentrum voor de Zorgsector op het griep van cybersecurity.
[0:07:49] Dit jaar is een jaar van verandering voor ons, want met de invoering van de Cyberbeveiligingswet krijgen wij een wettelijke taak.
[0:07:55] en worden wij, heel kort in de bocht gezegd, het NCRC voor de zorgsector.
[0:07:59] En zullen we zo'n 2000 zorgorganisaties moeten ondersteunen.
[0:08:04] En wij zijn er helemaal klaar voor.
[0:08:07] Ik heb geen position paper ingediend, maar wel aan de G4 ons meest recente cybersecuritybeeld gedeeld.
[0:08:16] Daarin staat eigenlijk waar wij vorig jaar mee te maken hebben gehad.
[0:08:21] En met stippen bovenaan staat nog steeds ransomware.
[0:08:24] eigenlijk, we noemen dat double extortion, dus ransomware, in combinatie met datadiefstal.
[0:08:28] Nou, we hebben ook vorig jaar grotere incidenten gehad.
[0:08:32] Ook recent uiteraard weer met, heet bij Chipsoft.
[0:08:36] En onze zorg zit er met name in die keten, die leveranciersketen.
[0:08:41] Beide incidenten die ik het noemde, speelden zich ook af in die keten.
[0:08:45] Is vaak in de handen van commerciële partijen.
[0:08:48] In ons beeld hebben we nog steeds niet een goed beeld waar nu die echte systeemrisico's zitten.
[0:08:55] Als je kijkt naar de zorgsector zie je dat er pak een beet tussen de 15 en 20 hele kritische processen zijn.
[0:09:03] Met een aantal belangrijke schakels in die processen.
[0:09:07] Neem bijvoorbeeld het leveren van bloedplasma aan ziekenhuizen is zo'n kritisch proces.
[0:09:11] En als je dan wat dieper inzoomt, dan zie je dat wat soms in handen is van enkele spelers.
[0:09:16] En als het daar dus misgaat, digitaal zien, heeft dat gelijk een enorme impact op een groot deel van het zorgdomein.
[0:09:23] En wat wij in Nederland doen, nu is op zichzelf niet verkeerd.
[0:09:27] We hebben een normenstelsel.
[0:09:28] Voor de zorgsector is dat de NEN 7510.
[0:09:31] Dat is eigenlijk de wereldwijde ISO-norm, ISO 27000, maar dan vertaald naar de zorgsector.
[0:09:38] Maar dat is en blijft een normenstelsel.
[0:09:40] En het gaat er natuurlijk om van hoe weerbaar ben je en heb je onder dat normenstelsel de juiste maatregelen getroffen en test je die ook met enige regelmaat.
[0:09:49] En daar zien we dat het soms wel aanschoort.
[0:09:51] Een mooi voorbeeld, en dan zal ik het woord aan mijn buurman geven, is bijvoorbeeld multifactor-authenticatie, is verplicht.
[0:09:58] Voor elke organisatie die werkt met medische gegevens.
[0:10:03] Maar wat wij sinds anderhalf jaar zien, zijn hele gerichte phishing aanvallen, waarbij die traditionele multifactor-authenticatie methodiek die app die je op je telefoon hebt, wordt omzeild.
[0:10:16] Dus je moet overschakelen naar phishing-resistant MFA.
[0:10:21] En dat doen niet alle organisaties, omdat ze het of niet weten, of de kennis niet hebben, of soms ook het geld niet hebben.
[0:10:27] Dus het gaat erom dat je continu die maatregelen aanpast tegen het nieuwe type aanvallen, en dat je je dus niet alleen laat certificeren tegen de norm, maar ook echt goede maatregelen treft, preventief, ook detectief, en dat ook met enige regelmaat laat testen.
[0:10:45] Dat was hem.
[0:10:47] Hartelijk dank meneer Hafkampen voor je bijdrage.
[0:10:49] Dan wil ik heel graag het woord geven aan de heer Van Streun.
[0:10:52] Gaat uw gang.
[0:10:53] Dank u wel.
[0:10:53] Voorzitter en leden van de commissie.
[0:10:56] Om te beginnen een hartelijke dank voor de uitnodiging om hier namens Celsus te kunnen zijn vandaag.
[0:11:02] We nemen graag deel aan dit soort gesprekken.
[0:11:05] En we waarderen ook de diepgaande aandacht die de Commissie van Digitale Zaken besteedt aan het versterken van onze nationale cyberweerbaarheid.
[0:11:12] En als wereldwijd technologieleverancier vinden we het belangrijk om mee te praten en mee te denken over dit onderwerp om effectieve toekomstbestendige beleidsvorming te realiseren.
[0:11:21] Zoals je misschien weet, ik weet niet of je Salesforce kent, maar bij ons is vertrouwen een van de kernwaardes waar het bedrijf op gebaseerd is en al meer dan 25 jaar helpen wij organisaties met technologische transformaties.
[0:11:35] Van vroeger cloud, helemaal in het begin waar Salesforce begonnen is als cloudleverancier naar mobiele platformen en nu van voorspellende AI naar de komst van autonome agentische systemen.
[0:11:45] En onze technologie ondersteunt bijna twee derde van de Ajax 25, een zeer breed segment van het Nederlands MKB en ook de maatschappelijke sector via 800 non-profit organisaties.
[0:11:57] Zodanig voelen wij daar ook een zware verantwoordelijkheid om te zorgen dat die systemen in de basis veilig zijn.
[0:12:04] Het dreigingslandschap in 2026 evalueert in een ongekend tempo.
[0:12:08] Ik denk dat we dat allemaal gezien hebben.
[0:12:09] Het meest recente
[0:12:09] Het Threat Landscape-rapport van ENISA bevestigt dat cyberaanvallen niet alleen in volume toenemen, maar ook fundamenteel complexer worden.
[0:12:18] Aanvallers opereren op grote snelheid en misbruiken AI om geavanceerde aanvallen uit te voeren.
[0:12:24] En deze dynamiek is vooruitzichtsvolgens een helder uitgangspunt essentieel.
[0:12:28] Effectieve beveiliging is een model van gedeelde verantwoordelijkheid.
[0:12:31] Wij als platformleverancier borgen de veiligheid in de fundamenten van onze technologie.
[0:12:37] Secure by design-principes.
[0:12:38] Maar de weerbaarheid van Nederland staat er valt echt bij de nauwe samenwerking tussen wetgevers, zoals u, technologiepartners en organisaties die die systemen dagelijks inrichten en vandaar dat we ook met...
[0:12:49] genoegen hier zijn.
[0:12:51] Om de nationale cyberveiligheid structureel naar een hoger niveau te tillen, leggen wij vandaag vier kernaanbevelingen voor.
[0:12:58] Vanuit ons gezien, een consistente EU-brede implementatie van NIS2.
[0:13:04] Ik denk dat de goedkeuring van de Nederlandse Cyberveiligheidswet op 15 april een cruciale mijlpaal is.
[0:13:10] Wij zouden voorstellen dat Nederland ook een voortouw neemt in het harmoniseren van toezicht en wederzijdsherkenning van certificeringen binnen Europa.
[0:13:17] Dit ook omdat schaarse middelen dan ingezet kunnen worden voor daadwerkelijk operationele hygiëne en minder op administratieve compliance werkzaamheden, zal ik maar zeggen.
[0:13:29] Punt twee is de harmonisatie rondom Agentic AI.
[0:13:33] We zien natuurlijk een sterke opkomst van Agentic aan AI-systemen.
[0:13:37] Autonome AI-systemen vragen om dynamische kades en Nederland doet er goed aan om actief aan te sluiten bij internationale initiatieven zoals die door de ENISA bijvoorbeeld worden opgezet.
[0:13:47] Het derde punt, dat is eigenlijk wat we denk ik vandaag doen, is publiek-private informatiedeling.
[0:13:52] De operationele realiteit verandert sneller dan wetgeving kan bijhouden.
[0:13:56] En een gestructureerde op vertrouwen gebaseerde dialoog, dus bijvoorbeeld NCRC, de autoriteit persoonsgegevens, cloudreferencies, verhoogt direct onze nationale veerkracht zonder dat er per se extra regeldruk ontstaat.
[0:14:09] En het vierde punt is, denk ik, heel belangrijk, is ook door het ENISA aangegeven, is dat er te kort van 300.000 ongeveer cybersecurity professionals zijn in Europa.
[0:14:20] En een wettelijk kader is eigenlijk standeloos zonder gekwalificeerde mensen.
[0:14:25] Dus overheid en markt, naar onze mening, moeten gezamenlijk investeren in grootschalige opleidingsprogramma's.
[0:14:31] Dat is mijn vierde punt.
[0:14:32] Dus we kijken uit naar een constructieve uitwisseling van gedachten en blijven graag beschikbaar om uw commissie verder te ondersteunen.
[0:14:39] Dank u wel.
[0:14:43] Ja, dank u wel, meneer Van Streun, voor uw bijdrage.
[0:14:45] Allemaal dank.
[0:14:46] Dan wil ik graag gelegenheid bieden voor vragen aan de commissie.
[0:14:51] Ik wil voorstellen dat we in ieder geval één vraag kunnen stellen met een vervolgvraag.
[0:14:55] We zitten nog goed in de tijd, maar dan kunnen we ook even goed de diepte in bij de genoogte.
[0:15:00] Dan wil ik graag beginnen bij de heer Vervuurt van D66.
[0:15:03] Gaat uw gang.
[0:15:04] Ja, voorzitter, ik ga meteen even met uw structuur breken, want ik ga mijzelf moeten verontschuldigen, want ik ga er dus vandoor.
[0:15:09] Mijn plan was dus om daar te gaan zitten, zodat ik dan heel stiekem weg kon glippen.
[0:15:13] Het zit zo, ik ben lid van de VWS-commissie en in die hoedanigheid wilde ik ook heel graag bij deze rondetafel aanwezig zijn.
[0:15:19] Maar er gaat over een kwartier een andere rondetafel beginnen waar ik voorzitter moet zijn.
[0:15:24] Dus ik moet mij daarin helaas verontschuldigen.
[0:15:27] Ik ga dit wel terugkijken.
[0:15:28] Want ik denk dat het heel erg relevant is dat niet alleen onze experts op het gebied van digitale zaken hier natuurlijk met u over in gesprek kunnen treden.
[0:15:35] En dat jullie kunnen uitwisselen, maar ook dat VWS natuurlijk hier nauw de vinger aan de pols houdt.
[0:15:41] En waar ik heel erg op zoek naar ben, en wat ik hoop te gaan zien straks als ik het mag terugkijken.
[0:15:45] is van ja goed hoe krijgen wij nou ook als overheid de vinger aan de pols, niet alleen aan de preventieve kant van zaken, maar ook op het moment dat het leed al geschiet is.
[0:15:54] We zien veel te veel denk ik dat patiënten niet weten waar ze terecht kunnen, niet weten wat er gelekt is, dat de communicatievoorziening daar en ook gewoon vanuit de partij
[0:16:04] ...die bijvoorbeeld slachtoffer is geworden van een hek... ...dat die ook beter kan.
[0:16:11] En ik denk dat wij ons allemaal centraal zouden moeten stellen... ...hoe kunnen we de mensen op het moment dat zij slachtoffer worden van een hek... ...daarin zo goed mogelijk ondersteunen.
[0:16:19] En ik vind dat dat op dit moment ondermaats gebeurt.
[0:16:23] Ik zal daar vanuit de VWS-hoeken ook strikt naar gaan kijken.
[0:16:27] Mijn collega's van Digitale Zaken zullen dat vanuit hun hoek doen.
[0:16:31] En ik zal ook met hun daarover in gesprek blijven.
[0:16:35] Mijn vraag is hoe gaan we dat oplossen?
[0:16:38] En dan ren ik snel weg.
[0:16:42] En dan even concreet, want anders krijgen we een spervuur van gewillige kandidaten, denk ik.
[0:16:46] Nee, maar het lijkt me niet handig, zeg maar, als u nu gaat reageren op mijn vragen en dat ik ervan doorga.
[0:16:50] Ik stel voor dat u gewoon doorgaat met het rondtafelgesprek en ik ga gewoon terugkijken en ongetwijfeld komt het antwoord op meerdere vragen die ik heb gesteld dan vanzelf terug.
[0:16:57] Ik dank jullie in ieder geval allemaal voor jullie komst en ik verontschuldig mij nogmaals.
[0:17:01] Heel veel succes.
[0:17:02] Ja, dank u wel.
[0:17:03] Natuurlijk alle begrip voor heer Verbuurt, zeker als je voorzitter moet zijn.
[0:17:07] Dus dat is heel herkenbaar.
[0:17:09] Ik wil graag het woord geven aan mevrouw Swinkels van het CDA en graag ook een gerichte vraag met naam aan wie die gericht is.
[0:17:16] Ja, dank u wel, voorzitter.
[0:17:18] En dan zou ik mijn vraag willen richten aan de heer Van Streun, die net op het eind nog aan het woord kwam.
[0:17:22] Want inmiddels zijn we denk ik allemaal wel experten aan de behandeling van de Cyberbeveiligingswet en de NIS2.
[0:17:29] En ik was wel heel erg benieuwd naar die AI-gedreven aanvallen.
[0:17:33] Er werd al iets over gezegd dat het dreigselandschap laat zien dat dat wel echt een hele grote uitdaging is.
[0:17:39] En ik zit een beetje naar te zoeken.
[0:17:41] We hebben afgelopen tijd natuurlijk al heel veel wetgeving.
[0:17:43] Er komt nog wetgeving aan.
[0:17:44] Europese wetgeving die we aan het vertalen en aan het harmoniseren zijn.
[0:17:48] Maar ja, hoe voorkomen we eigenlijk dat we tot een soort van papieren beveiliging aan het optuigen zijn met elkaar, terwijl de reële beveiliging nog totaal niet op orde is in de praktijk?
[0:17:58] Dus wat kunnen bedrijven en organisaties zoals die ervan...
[0:18:03] streun doen om ook echt die veiligheid tegenover die AI-gedreven cyberaanvallen te verbeteren?
[0:18:14] Hartstikke veel dank.
[0:18:16] De heer van Streun gaat erover.
[0:18:17] Dank u wel voor de vraag.
[0:18:20] Misschien een aantal punten die bij mij naar boven komen.
[0:18:23] Als we kijken naar wat is AI-gedreven aanvallen, dan hebben we het
[0:18:27] intern daar ook voorbeelden en trainingen op, waarbij het op dit moment eigenlijk van heel simpel phishing e-mails, zou ik maar zeggen, naar sophisticated aanvallen wordt via stemnabootsing, zelfs videonabootsing, waarbij mensen
[0:18:44] bekenden van de aangevallenen imiteren en op die manier gegevens ontvutselen die ze niet zouden moeten geven.
[0:18:53] Ik denk dat dat ook een stuk bewustwording is.
[0:18:55] Ik ben geen wetgever, maar ik kan me voorstellen dat het op een gegeven moment de helder moet zijn wanneer iets door AI gegenereerd is.
[0:19:04] Dan zal een hacker zich daar misschien wel van aantrekken.
[0:19:07] In beginsel denk ik dat we het onderscheid tussen wat AI is en wat reëel is zichtbarer zouden moeten maken in de maatschappij, als algemeenstatement.
[0:19:15] Vanuit technologieprovider, en mijn buurman noemde dat ook al bij, het beste wat wij kunnen doen is onze
[0:19:23] beveiligingsmaatregelen verder aanscherpen en ook nieuwe technologieën introduceren om dat te voorkomen.
[0:19:29] Bijvoorbeeld het voorbeeld werd al genoemd rondom de multifactor authentication is om die phishing proof te maken is dat het niet mogelijk is voor iemand fysiek onmogelijk om zeg maar de authenticatie te doen vanaf een andere locatie dan het device waarop je bent ingelogd.
[0:19:44] Nou dat
[0:19:44] Dat zijn technologieën die we bij de ministerie van Social Services ook verder ontwikkelen en uitrollen.
[0:19:50] Ik denk dat er toch een heel stuk in digitale veerbaarheid zit om mensen voorbeelden te geven, misschien voorlichting over voorbeelden van hoe zoiets eruit kan zien en waar ze alert op moeten zijn.
[0:20:04] En daarnaast, vanuit de technologiekant,
[0:20:08] Benen voorbij en proberen we de markt in te halen en ervoor te zijn waar mogelijk.
[0:20:15] Dat is, denk ik, het beste antwoord dat ik daarop kan geven.
[0:20:20] Dank u wel, meneer Van Streun.
[0:20:21] Wellicht als ik hem ook mag recappen, maar volgens mij was de vraag ook van mevrouw Swinkels van net.
[0:20:27] Wetgeving is enerzijds en wordt het ook echt, is het ook praktisch in de praktijk, maar heeft zeker nog gelegenheid voor een vervolg, graag.
[0:20:35] Gaat uw gang.
[0:20:36] Ja, dat klopt voorzitter.
[0:20:37] Dank voor het antwoord.
[0:20:38] Dat helpt al enorm, maar ik ben inderdaad een beetje op zoek naar wat is er dan ook nodig.
[0:20:43] Ik heb gevraagd wat kunt u doen vanuit de organisatie en bedrijven.
[0:20:48] Ik ben ook benieuwd wat zou dan de overheid nog moeten doen?
[0:20:53] Is er dan nog meer wetgeving nodig?
[0:20:54] U heeft daar deels antwoord op gegeven.
[0:20:56] Maar ik zit daar nog wel...
[0:20:57] Ik heb bijvoorbeeld laatst een motie over ketensamenwerking ingediend.
[0:21:00] Die is ook aangenomen aan de meerderheid van de Kamer om ervoor te zorgen dat ook bedrijven veel meer in die ketens met die leveranciers ook gaan samenwerken en samen ook weerbaar zijn.
[0:21:09] Maar wat zouden wij als Kamer nog meer kunnen doen in dit kader?
[0:21:16] Mag ik daar misschien nog op reageren?
[0:21:17] Ja, zeker.
[0:21:17] Weer afkomen.
[0:21:18] Ja, gaat de gang.
[0:21:19] Ik heb het al eerder in mijn inleiding gezegd.
[0:21:22] Ik vind dat op het gebied van testen, en dan bedoel ik ook echt testen, dat daar soms wel een tandje meer aan gedaan mag worden.
[0:21:30] Dat staat ook, denk ik, onvoldoende geadresseerd in de wetgeving, ook in de NIS2-wetgeving.
[0:21:36] Ik heb lang in de bankensector gewerkt.
[0:21:38] Daar is jaren geleden een zogenoemde Red Team-programma opgehecht.
[0:21:42] Hele geavanceerde testen, die duren vaak vier tot zes maanden.
[0:21:46] En elke systeembank in Nederland is verplicht
[0:21:49] door de Nederlandse bank als centrale bank om die test één keer in de twee jaar te doorlopen en de gegevens te delen.
[0:21:55] Niet alleen richting de centrale bank, maar ook met de andere banken, zodat zij daar ook van kunnen leren.
[0:22:02] Dat soort elementen vind je niet terug in de wet.
[0:22:05] Dus dat is op basis van vrijwilligheid gebeurt dat dus.
[0:22:09] Dat is erg jammer, want we hebben een aantal van die systeemknooppunten eigenlijk in alle sectoren.
[0:22:14] Dus daar zou je als overheid iets meer op kunnen sturen.
[0:22:18] En om toch nog even aan te vullen op de bedoeling van de heer Van Streun.
[0:22:26] Ik denk dat je soms ook anders naar beveiliging of zelfs naar aanvallen moet kijken.
[0:22:34] Wat al enkele jaar gemeen goed is, is dat sommige bedrijven het zogenoemde Zero Trust model hanteert.
[0:22:39] Dus ga er maar vanuit dat ze al binnen zitten.
[0:22:42] En wat kan je dan nog doen om die effecten zo minimaal mogelijk te maken?
[0:22:45] Dus op een andere manier kijken naar aanvallers.
[0:22:48] dan de traditionele muur om je bedrijf heen te bouwen.
[0:22:53] Want AI gaat a, de boel versnellen en het gaat er ook voor zorgen dat het nog echter gaat lijken.
[0:23:02] Dus wat wij zien, is dat aanvallers gebruik maken van AI-middelen om snel het hele internet te scrapen, af te gaan van waar zitten die kwetsbaarheden.
[0:23:13] En voorheen duurde dat soms dagen of weken en nu is het een kwestie van, nou, binnen tien minuten hebben ze dat overzicht.
[0:23:18] En ja, zoals mijn buurman ook al zei, het wordt ook veel persoonlijker, omdat door dat scrapen kunnen ze ook alle informatie vergaderen.
[0:23:28] Van LinkedIn, van allerlei media wordt het heel persoonlijk gemaakt.
[0:23:32] Dus ook daar sta je al bijna op achterstand, want het komt wel heel erg echt over, zo'n phishingmail.
[0:23:39] Ja, dat is een fact of life.
[0:23:40] Je kunt natuurlijk zelf ook AI's inzetten om die slide ook te realiseren in de verdediging.
[0:23:45] Dus dat helpt soms ook een beetje.
[0:23:47] Maar ik denk dat je anders moet gaan kijken naar de verdediging van je organisatie op het gebied van Zuider.
[0:23:54] Dank u wel meneer Hafkamp.
[0:23:56] Dan ga ik nog het woord geven aan mevrouw.
[0:23:58] Holterman, excuus, want volgens mij wilde u ook reactie geven.
[0:24:01] Dat zag volgens mij goed.
[0:24:02] Ja, dank u wel.
[0:24:03] Ja, nou, ik denk dat het ook vooral belangrijk is om de basismaatregelen, zoals die al in de Zuiderbeveiligingswet zijn, in artikel 21 lid 2 van de NIS 2 genoemd staan, dat we gewoon eigenlijk
[0:24:17] gaan zorgen dat die eerst echt gewoon goed geïmplementeerd worden.
[0:24:21] En ja, AI verandert veel, maar het gaat vooral ook heel erg om de snelheid van handelen.
[0:24:26] Dus de risicogebaseerde benadering waar je voorheen misschien vijf kwetsbaarheden, heb je er opeens twintig.
[0:24:33] Dus je moet veel meer gaan nadenken.
[0:24:35] Waar zit nou echt mijn kritische systemen?
[0:24:37] Waar zit ook mijn afhankelijkheden in de keten van die kritische systemen?
[0:24:40] Dus ja, het vraagt een andere manier van denken, maar in de basis namelijk het zorgen dat de basismaatregelen
[0:24:47] goed geïmplementeerd worden en dat die bestuur er ook aan zet is om mee te denken van waar liggen nou de risico's in organisaties?
[0:24:55] Welke zijn acceptabel voor ons?
[0:24:57] Welke zijn acceptabel voor anderen?
[0:24:59] Daar moet wel een denken in komen, maar we moeten ook AI niet per se iets zien als iets... Ja, het is wel nieuw, maar uiteindelijk, als we zorgen dat we in de basis de goede dingen doen, dan kunnen we ook al heel erg veel zorgen om die AI buiten de deur te houden.
[0:25:18] Dank u wel, mevrouw Holterman.
[0:25:20] Dan wil ik graag het woord geven aan mevrouw El-Boujani van D66.
[0:25:23] Gaat uw gang.
[0:25:25] Ja, dank u wel, voorzitter.
[0:25:26] En dank ook voor uw komst.
[0:25:28] En ik zou een vraag willen stellen aan mevrouw Stekelenburg van de Digitale Dolomina's.
[0:25:35] En eigenlijk gaat mijn vraag ook over wat u eerder zei, over dat...
[0:25:40] De datalekken die de afgelopen periode ook zijn gebeurd, ik kijk vooral naar het bevolkingsonderzoek van vorig jaar, ja, vrouwen worden daarin hard geraakt ook en soms ook eigenlijk kwetsbare vrouwen die misschien wel ergens in een blijf van mijn huis, blijf van mijn
[0:25:57] lijfhuis zitten en juist ondergedoken, waarvan dan in één keer hun adres toch op straat ligt.
[0:26:04] Hartstikke eng.
[0:26:05] En wij hebben het daar hier in de Kamer ook wel eens eerder over gehad, in het kader van Odido ook, omdat er toen ook bleek dat er echt hele gevoelige informatie tussen zat van vrouwen.
[0:26:16] Toen kreeg ik gelukkig ook de kans om daar mondelingen vragen over te stellen tijdens het Vragenuur.
[0:26:21] En eigenlijk waar ik toen ook naar op zoek was, is van, hebben wij ook een soort van handelingsperspectief te bieden, juist aan die hele kwetsbare groep?
[0:26:29] En tegelijkertijd is die kwetsbare groep ook best wel moeilijk om daarmee in contact te komen, juist ook vanwege hun veiligheid.
[0:26:36] Maar mijn vraag is eigenlijk, heeft u daar misschien ook door het netwerk waar u in zit, ook meer zicht op over wat wij daar ook meer in kunnen betekenen voor die groep?
[0:26:49] Dank je wel voor de vraag.
[0:26:53] Ja, dat is een lastige kwestie, want het zijn inderdaad kwetsbare groepen die misschien, ja, dat zijn ook niet de grootste groepen van Nederland natuurlijk, dus die zijn ook wat lastiger te bereiken.
[0:27:03] Wat wij zien gebeuren is als er dit soort lekken zijn, dat
[0:27:09] alle gegevens van alle personen eigenlijk gelijk behandeld worden.
[0:27:13] En wat we de afgelopen tijd, zeker in de afgelopen twee jaar denk ik, hebben gezien is dat er is iets meer aandacht voor gekomen dat er dus ook kwetsbare groepen in die data zitten.
[0:27:25] Ik denk dat we dat allemaal inmiddels wel weten, maar toch worden ze allemaal gelijk behandeld.
[0:27:30] Dus iedereen krijgt hetzelfde standaard mailtje van, let op, je kan een phishing mailtje verwachten.
[0:27:35] Maar dat is niet het risico voor al die mensen.
[0:27:38] Nou zijn er instanties die hier wel de goede informatie voor hebben, maar bedrijven of organisaties die worden getroffen door zo'n data-lack,
[0:27:47] Waarom nemen zij die informatie niet over?
[0:27:49] Waarom kijken zij niet naar de info die ze hebben over mensen en of daar kwetsbare groepen in zitten en doen daar ook informatie voor geven?
[0:28:00] Nou, moet ik zeggen, ik weet even niet meer welk bedrijf het was.
[0:28:03] Het is in de afgelopen maanden bij een datalag wel gebeurd dat die informatie gewoon op de website stond.
[0:28:10] Dus mocht je gevaar lopen omdat je gegevens gelekt zijn, dan kan je hier en hier terecht.
[0:28:16] Dat stond er toen op.
[0:28:17] Maar deze bedrijven weten dat ze deze informatie hebben.
[0:28:21] Als je kijkt naar Audido, die informatie stond allemaal.
[0:28:25] in dat lek.
[0:28:26] Dus ze weten dat zij deze kwetsbare groepen, dat ze daar informatie over hebben en dat dat nu op straat komt.
[0:28:32] Dus laten we alsjeblieft ook de nazorg en dus de mailtjes die eruit worden gestuurd, de informatiepagina's die worden opgetuigd, zo compleet mogelijk maken.
[0:28:43] Je kan er als organisatie eigenlijk wel van uitgaan dat er personen met
[0:28:50] kwetsbare personen in die data zitten.
[0:28:53] Dan is het misschien niet iemand die in een blij van mijn lijf huis woont, maar het kan ook politici, ambtenaren, mensen die een beroep doen waarbij het niet gewenst is dat hun adres of hun telefoonnummer bijvoorbeeld openbaar wordt.
[0:29:06] Elk bedrijf heeft die informatie.
[0:29:09] Dus daar staan wij heel erg voor.
[0:29:14] We hebben in Nederland Off-Limits, die enorm goed is in kwetsbare groepen helpen en beschermen.
[0:29:25] Laten we die meer steunen, zou ik zeggen.
[0:29:29] Dank u wel, mevrouw Stekelenburg.
[0:29:31] Dan kijk ik nog naar mevrouw Elboujani voor een vervolgvraag.
[0:29:35] U bent oké?
[0:29:36] Hartstikke fijn.
[0:29:37] Goed beantwoord, dank u wel.
[0:29:38] Dan wil ik graag het woord geven aan mevrouw Katman van GroenLinks Partij van de Arbeid.
[0:29:41] Gaat uw gang.
[0:29:41] Ja, dank u, voorzitter, en superfijn dat u er bent.
[0:29:46] En inmiddels ben ik wel zelf echt op een zoektocht naar een soort digitale delta werken.
[0:29:54] En eigenlijk zeggen heel veel mensen dan hier altijd, ja, maar ja, er moet eerst een watersnoodramp zijn.
[0:29:59] En dan zeggen eigenlijk unaniem alle experts zoals u, ja, maar die hebben we nu al 36 keer gehad.
[0:30:05] Nu denk ik dat in de afgelopen maanden dat voor heel veel mensen zo voelt, dat die watersnoodramp is geweest, maar dat ook heel veel mensen het zo voelen van ja, en nu?
[0:30:15] Nu is het gebeurd en ik heb niks.
[0:30:20] En ik ben het helemaal eens als er gezegd wordt van we moeten in ieder geval eerst gaan zorgen dat we al die basisregels die we nu al hebben, dat die overal supergoed
[0:30:27] geïmplementeerd gaan worden, maar is dat genoeg voor die digitale deltawerken?
[0:30:34] Dus als we die gaan bouwen, wat moet daar dan nog bij?
[0:30:37] Dat zou ik gewoon heel graag van u willen weten.
[0:30:42] Dank u wel.
[0:30:43] Het is een open vraag als ik het goed begrijp.
[0:30:47] Wie wil?
[0:30:50] Mevrouw Holteman, gaat u er aan.
[0:30:52] Ik maak de aanzet en dan mag de rest...
[0:30:55] Ik doe de voorzet en dan mag de rest me intrappen.
[0:30:59] Het is een hele grote vraag die u stelt.
[0:31:04] En ik denk dat er geen eenduidig antwoord op is.
[0:31:07] Ook omdat het anders dan de fysieke wereld valt het zich wat moeilijk af te kaderen.
[0:31:13] En er zijn elke keer weer dingen die ontstaan waar we eigenlijk niet over nagedacht.
[0:31:18] En ja, ik heb al mijn pleidooi gehouden over de basismaatregelen.
[0:31:22] Naast mij is ook al een pleidooi gehouden, gelukkig, over maak nou inzichtelijk waar die kwetsbare groepen zijn.
[0:31:28] Maar als je het echt vraagt, is heel veel informatie en heel veel dingen zijn al aanwezig.
[0:31:34] Het NCSC, later nog aan het woord, die hebben gewoon heel veel informatie over kwetsbaarheden die al heel veel gedeeld worden.
[0:31:44] Hoe kunnen we zorgen dat die informatie ook echt bij iedereen terechtkomt?
[0:31:47] Nou, daar is onder andere bijvoorbeeld een goede samenwerking met de ICT-sector, waar heel veel afhankelijkheden ook zitten.
[0:31:53] Heel veel MKB-bedrijven zijn afhankelijk van hun ICT-leverancier.
[0:31:57] Zorg ook dat zij goed geëquipeerd zijn.
[0:32:00] En zo kan ik, denk ik, nog wel heel lang doorgaan.
[0:32:03] Maar waar het, denk ik, heel belangrijk is, is A, die zorgplicht van organisaties te veel.
[0:32:11] Wat we nu zien gebeuren, is dat er datalekken of andere cyberincidenten ontstaan.
[0:32:16] En we gaan weer door naar het normale.
[0:32:21] Het is ook heel lastig, want uiteindelijk zijn het natuurlijk gewoon slachtoffers.
[0:32:23] Die bedrijven vragen er ook niet om, om door een crimineel aangevallen te worden en hun data gestolen, maar...
[0:32:31] Het stukje zorgplicht bij individuele organisaties, daar vind ik nog wel wat in te veranderen en hopelijk dat die cyberbeveiligingswet daar wel een rol in gaat spelen, want eigenlijk voor het eerst dat die bestuurder nu echt moet gaan leveren, waar ze voorheen het veel meer als een IT-probleem weg konden zetten.
[0:32:52] Ik kan echt hier nog wel uren over doorbomen, dat ga ik niet doen.
[0:32:57] Dus ik laat het even aan anderen en dan ga ik weer even mijn gedachten verder gaan.
[0:33:00] Dus voor nu even, dank u wel.
[0:33:04] Dank u wel.
[0:33:05] Nou, mevrouw Stekelenburg nog.
[0:33:06] Als we met z'n allen gaan, dan zou ik meer zeggen als nog een aanvulling op mevrouw Holteman.
[0:33:11] Waar gaat u dan?
[0:33:12] Ik heb inderdaad een aanvulling.
[0:33:14] Ik ben het ermee eens inderdaad met wat mevrouw Hotteman zegt over dat er heel veel informatie beschikbaar is, ook hoe je dingen moet aanpakken binnen een bedrijf, wat de regeltjes zijn natuurlijk waar je aan moet voldoen.
[0:33:27] Daar is heel veel informatie over, maar
[0:33:30] Het is wel heel vrijblijvend en zoals bijvoorbeeld het zinnetje neemt passende maatregelen.
[0:33:37] Maar wat zijn dan passende maatregelen?
[0:33:39] Ik denk dat we concreter moeten zijn.
[0:33:41] We moeten concreetere handvatten geven en er moet sterkere handhaving op.
[0:33:47] Dat is wat ik wilde toevoegen.
[0:33:49] Dank u wel, mevrouw Stekelenburg.
[0:33:51] Dan meneer Hafkamp.
[0:33:52] Ja, misschien een aanvulling nog.
[0:33:54] Ik heb er al iets over gezegd.
[0:33:56] Ik zou, om toch maar even op dat woord digitale deltawerken in te gaan, ik zou echt willen focussen op de meest kritische processen.
[0:34:09] We hebben in Nederland, kennen dat niet,
[0:34:12] volgens mij geen enkele sector, maar goed, ik heb misschien niet het totale plaatje, een mechanisme waarin we per subsector of per sector zeg maar de meest belangrijke processen in kaart hebben gebracht en ook aan hebben gegeven van daar zitten de vitale knooppunten binnen, die processen.
[0:34:30] En als je dat doet, dan kan je ook veel gerichter zo'n bouwwerk gaan neerzetten en kan je daar ook gericht toezicht op houden, kan je eisen dat daar
[0:34:38] regelmatig goede testen op worden losgelaten en dat er ook opvoeding wordt gegeven aan die testen.
[0:34:44] Maar om nou een digitaal deltawerk voor alle processen, alle bedrijven in Nederland...
[0:34:50] Ik ben het eens, zorg dat die basis op orde is, maar dat is wat anders dan een digitaal deltawerk, denk ik, want dat is supersonisch, groot, duur, complex.
[0:34:59] Doe dat dan alleen voor die omgeving waar het echt nodig is, want we hebben natuurlijk gezien, en dat heeft mij ook verbaasd bij de heks van de afgelopen jaren,
[0:35:07] wat voor een enorme impact dat soms heeft.
[0:35:10] En dat ligt echt aan het type bedrijf.
[0:35:12] Nu gaat het om clinical diagnosis.
[0:35:13] Honderdduizenden cliënten hadden zij.
[0:35:18] Odido ook, maar ook bij Chipsoft.
[0:35:21] Als je ziet, 80 procent van de ziekenhuizen maakt er gebruik van.
[0:35:24] En als je dat kan vertalen naar aantal patiënten, dan gaat het om hele grote aantallen.
[0:35:29] Focus daar dan vooral op, zou ik zeggen.
[0:35:34] Kortom, welke sluizen hebben we het eigenlijk over, meneer Van Streun?
[0:35:37] Ja, heel kort, want ik denk dat heel veel al gezegd is, maar ik denk, technologie,
[0:35:44] Het kan heel ver gaan al vandaag.
[0:35:47] Dus de technologie is soms het probleem, maar lang niet altijd het probleem, zou ik haast willen zeggen.
[0:35:54] Ik denk dat een heel stuk kennis binnen bedrijven, zowel groot als klein, soms ontbreekt of dat er te makkelijk over gedacht wordt.
[0:36:03] Van, nou ja, we verzamelen data.
[0:36:05] Het zal wel goed zitten.
[0:36:08] Het idee wat bij mij opkomt, wij vragen natuurlijk aan bedrijven als ze een ja-rekening presenteren dat dat gecheckt is door een accountant.
[0:36:18] Uiteindelijk zou je ook willen dat bedrijven hun beveiligingssystemen toetsen en wellicht ook door een derde partij laten nakijken dat het daadwerkelijk ook voldoet aan de normen die we daarvan verwachten.
[0:36:34] Een idee wellicht ter kennisgeving.
[0:36:39] Dank u wel allemaal voor de toelichting.
[0:36:41] Dan kijk ik toch naar mevrouw Katman of u nog een tweede vraag heeft.
[0:36:44] Nee?
[0:36:45] Dan wil ik zelf nog wel de gelegenheid nemen voor een vraag.
[0:36:47] Mijn naam is Daniel van den Berg van JA21, maar ook uw voorzitter vandaag.
[0:36:52] Ik wilde eigenlijk vragen hoe het nou zit met die zorgplicht vanuit de AVG.
[0:36:57] Is het nou eigenlijk wel concreet en duidelijk genoeg welke gegevens er nou wel of niet echt verwerkt mogen worden?
[0:37:04] Nu lekken er enorm veel gegevens uit waarvan je achteraf misschien wel kan bedenken... had dat bedrijf dat nou echt in handen moeten hebben?
[0:37:12] Kortom, zit het probleem niet echt in de AVG dat die veel duidelijker moet?
[0:37:16] En dan specifiek nog aan meneer Van Streun.
[0:37:20] Als je dan kijkt naar het handhaven van die wetten en van die systemen...
[0:37:28] Denkt u dan een bepaald normenkaart of een soort van NEN-norm waaraan we gaan handhaven of gaan normeren?
[0:37:35] Hoe zou dat er dan in de praktijk uit moeten zien dat je ook kan checken van hoe zit het eigenlijk met jullie cybersecurity?
[0:37:44] De eerste deel van de vraag wat ik inmiddels even kwijt neem ik wel uit.
[0:37:48] Hoe het zit met de AVG en de zorgplicht.
[0:37:51] Dus is het duidelijk genoeg voor de bedrijven?
[0:37:53] Wat mag je nou wel en niet verwerken en verwerken we niet teveel?
[0:37:57] Ik laat me de vraag beantwoorden van mijn eigen ervaring, want ik voer heel veel gesprekken buiten Nederland rondom dit soort dingen, beveiliging, GDPR, AVG.
[0:38:09] En ik denk, naar mijn mening, dat de AVG best wel duidelijk is.
[0:38:15] Dus daar zit niet heel veel licht in wat je mag doen, welke data, de wettelijke kaders die daarvoor moeten bestaan, de houdbaarheid van de data en ook de dataminimalisatie en anonimisatie, wanneer dat gewenst is.
[0:38:29] Ik, naar mijn mening, is dat best wel helder.
[0:38:34] Wat ik wel merk, is dat de...
[0:38:36] kennis bij organisaties daar vaak toch over ontbreekt of tekort ziet, laat ik het zo zeggen.
[0:38:44] Iedereen realiseert zich, denk ik wel, dus bedrijven die persoonsgegevens verwerken, dat ze daar voorzichtig mee moeten zijn.
[0:38:51] Maar wat dat dan concreet betekent en hoe ze bijvoorbeeld met dataretentie moeten omgaan, hoe lang mag je specifieke data wel of niet bewaren,
[0:39:02] Hoe zorg ik dat mijn medewerkers alleen toegang hebben tot de data waar ze daadwerkelijk toegang voor moeten hebben om hun functie uit te voeren.
[0:39:12] Ik zie toch in het stuk educatie, boetes hebben we al natuurlijk, maar dat werkt waarschijnlijk nog niet voldoende, omdat het nog niet voldoende geïmplementeerd wordt.
[0:39:25] Dus, ja, rapportages en wellicht, ik noem het een auditrapport op de jaarrekening, zoiets dergelijks zou je misschien ook moeten bedenken over de cyberveiligheid van zeker organisaties die op grote hoeveelheden persoonsgegevens verwerken.
[0:39:40] Dus naar mijn mening is de wet duidelijk genoeg, voor mij wel tenminste.
[0:39:46] Oké, helder.
[0:39:46] Dank u wel.
[0:39:48] Ik kijk nog even naar de rest van het anders en dan kijk ik ook even naar de Kamerleden of ik dan nog een tweede vraag mag stellen.
[0:39:54] Ja?
[0:39:55] We moeten het in samenwerking doen.
[0:39:57] Ik hoorde net meneer Hafkamp spreken over de stresstesten.
[0:40:02] Ik denk dat dat best interessant is, zowel voor de overheid als bedrijven, maar juist in het kader van de Zuiderbeveiligingswet en de Wet Weerbereid Kritieke Entiteiten, dat komt voort uit Europese regelgeving.
[0:40:16] Ziet u het voor zich dat we dat soort stresstesten dan ook in de wet zouden moeten verwerken?
[0:40:20] En zo ja?
[0:40:21] Dat betekent dan wel dat we nationale koppen krijgen ten opzichte van Europa.
[0:40:26] En als dat dan een bezwaar is, moeten we dat dan niet Europees regelen.
[0:40:30] Ik hoop dat u de vraag kunt volgen, maar kortom, we willen gelijk speelveld.
[0:40:33] Dus in hoeverre moeten we het wettelijk regelen?
[0:40:36] Ja, dat is een politiek vraagstuk.
[0:40:40] Daar ga ik natuurlijk niet over, maar toch het voorbeeld vanuit de financiële sector.
[0:40:44] Daar heeft de Nederlandse bank met de drie grootbanken, ik denk een jaar of zes, zeven geleden, dat was nog voor corona, voortouw ingenomen.
[0:40:52] Toen was er ook geen wet.
[0:40:54] Dat hebben ze gedaan op eigen initiatief.
[0:40:57] Dat werd een de facto standaard.
[0:40:59] Die is inmiddels overgenomen door de Europese Centrale Bank en zie je dat die uitwerking uiteindelijk langzamerhand ook richting Europa uitstraalt.
[0:41:06] Dus het hoeft niet altijd bij wet geregeld te worden.
[0:41:12] Alle grootbanken stonden volop achter dit initiatief en zeiden dit is belangrijk.
[0:41:17] Wij staan aan de lat voor betalingsverkeer in Nederland en dat moet gewoon honderd procent veilig zijn.
[0:41:23] Dus dit hoort daar gewoon bij.
[0:41:25] Dat is een stukje vrijwillig commitment niet gedragen door wetgeving.
[0:41:30] Ik weet natuurlijk niet helemaal zeker of dat voor alle sectoren zo geldt, maar ik zou me wel kunnen voorstellen dat als toezichthouders daar ook een stap vooruit zetten, samen met de politiek, dat er best wel een wil is om die kant op te gaan, ook al is er geen Europese regering.
[0:41:48] Heel helder, dank u wel.
[0:41:50] We zitten nog goed in de tijd, dus ik kijk nog even naar mijn linkerzijde of er nog vervolgvragen zijn door... Ja, door mevrouw Swinkels van het CDA.
[0:41:58] Gaat u lang.
[0:42:01] Ja, dank u wel, voorzitter.
[0:42:02] Ik had nog een vraag aan mevrouw Holterman.
[0:42:05] Het sprak me heel erg aan dat u aangaf van zorg er nou voor dat die baas op orde is en ook wel een andere mindset van misschien zitten de hackers ook al binnen en moet je juist je data gaan segmenteren, die backups maken.
[0:42:19] Ik was wel heel erg benieuwd.
[0:42:22] Er zijn ook wel wat problemen met uitwisseling, begrijp ik, van informatie tussen organisaties.
[0:42:27] Het gaat ook om snelheid, hoorde ik u allen eigenlijk ook wel zeggen, van hoe snel je nou op reageert.
[0:42:31] En ik was wel benieuwd, als een organisatie nou nog niet zo up to speed is, wat zouden jullie adviezen zijn aan dat soort bedrijven of andere organisaties, hoe ze met dit soort type maatregelen zouden moeten kunnen beginnen?
[0:42:48] Mevrouw Olteman.
[0:42:48] Ja, dank u wel.
[0:42:50] De heer Van Avondvoort die gaat strakjes nog spreken in het derde blok, maar ik zou in ieder geval elke organisatie alvast aangeven dat ze naar het NCSC-portaal zich moeten gaan aanmelden, mijnncsc.nl.
[0:43:05] Voor entiteiten onder de CBW wordt die verplicht.
[0:43:08] Maar je kan ook daar als niet-CBW-entiteit jezelf aanmelden.
[0:43:12] En daar komt dus al heel veel informatie over kwetsbaarheden en ook handelingsperspectief komt daarin te voorschijn.
[0:43:19] Je kan daar ook je IP-adres achterlaten.
[0:43:21] Dus als jouw IP-adressen op de een of andere manier terechtkomen op het darkweb, dan kan je daar ook voor genotificeerd worden.
[0:43:28] Dus dat is eigenlijk alvast een best wel praktische stap die ik aanmoedig voor elke organisatie om te doen.
[0:43:37] En...
[0:43:38] Ja, ik blijf eigenlijk een beetje mezelf in een langspielplaat herhalen, want het begint inderdaad, wat ook andere hebben gezegd, het begint bij wat zijn mijn eigen kritische processen en wat zijn mijn afhankelijkheden?
[0:43:51] En op het moment dat je dat helder hebt, dan kan je daar ook
[0:43:56] Ik kan al een van de SEALS-praatjes houden, maar daar kan je het of zelf of met behulp van cybersecuritybedrijven kan je daarin passende maatregelen gaan nemen.
[0:44:05] En waarschijnlijk is 80 procent van die passende maatregelen komt ongeveer...
[0:44:10] Tenminste, is voor het gros van de bedrijven dezelfde.
[0:44:13] En op een aantal aspecten zal die misschien aangepast moeten worden omdat je heel veel data hebt, omdat je in een OT-omgeving werkt of op een andere manier.
[0:44:24] Maar nogmaals...
[0:44:26] Ik hou mijn vuurige pleidooi om niet te veel toeters en bellen aan al die kerstbomen te hangen.
[0:44:33] Maar echt te blijven bij de ballen die we nu hebben.
[0:44:36] Zorgen dat we die echt mooi gaan vinden.
[0:44:40] En dat ze allemaal goed werken.
[0:44:42] En dan kunnen we Dana wel weer mooier gaan maken.
[0:44:48] Ik blijf sorry bij mijn woorden.
[0:44:54] Dank u wel, mevrouw Swinkelschattiger.
[0:44:56] Ja, nou daar hoort geen verontschuldiging bij hoor.
[0:44:58] Ik was erg blij met het antwoord, dus dank daarvoor.
[0:45:02] Fijn.
[0:45:04] Mevrouw Elboujani van D66.
[0:45:08] Ja, dank u wel.
[0:45:09] Mijn vraag is voor de heer Halkamp, als ik het even goed zeg ook.
[0:45:14] Ik hoorde u er straks al benoemen, het data-lack dat is geweest bij Chipsoft en dat zij eigenlijk 80% van de markt bediende.
[0:45:28] Dus dat klinkt best wel risicovol, dat we afhankelijk zijn van één partij voor zo'n groot deel.
[0:45:39] Dus zou het dan toch helpen dat op alle vlakken juist meer diversiteit is, juist ook om dit soort grote...
[0:45:47] datalekken en hacks op grote schaal toch de schade wat te kunnen minimaliseren op het moment dat dit dus ook gebeurt?
[0:45:57] Of ja, ik ben benieuwd hoe u daarnaar kijkt.
[0:46:00] Ja, dat is een heldere vraag.
[0:46:01] Dat is het vraagstuk centralisatie, decentralisatie in het kader van je nationale veiligheidsstrategie.
[0:46:10] Ik kijk er wat genuanceerder naar.
[0:46:12] We hebben vele voorbeelden van centralisatie van data.
[0:46:16] We zitten voor een belangrijk deel bij de overheid, neem de Belastingdienst.
[0:46:19] Al onze gegevens zitten bij één partij.
[0:46:24] Ik denk dat je dat goed kan beveiligen.
[0:46:28] Ik ga niet met dood doen dat er 100% beveiliging bestaat, want dat is natuurlijk waar.
[0:46:33] Maar als je dat echt goed doet en daar ook goed zicht op houdt en dat met enige regelmaat test, dan is dat in mijn ogen soms beter dan dat je het maar aan de markt overlaat en dat via een soort normatief stelsel probeert daar een veiligheidsgevoel te creëren.
[0:46:56] Want dat is wat er nu gebeurt.
[0:46:57] En ik weet het niet honderd procent zeker, maar volgens mij was Chipsoft ook gecertificeerd.
[0:47:05] Dus die hadden een keurmerk en toch zijn ze gehackt.
[0:47:08] En dat is precies mijn punt.
[0:47:10] En ik kan er niet verder op ingaan, want wij zijn ook betrokken geweest bij de coördinatie.
[0:47:15] Maar het is niet zo, dat idee wil ik echt wegnemen, dat je door maar te decentraliseren alle problemen voorbij zet.
[0:47:22] Want dan krijg je waarschijnlijk heel veel snippereffectjes en heel veel
[0:47:26] incidentjes die een relatief kleine impact hebben, in plaats van honderdduizenden, misschien tienduizenden gegevens die dan gelekt worden.
[0:47:34] Maar dat zijn er opgeteld nog steeds heel veel.
[0:47:37] Te veel.
[0:47:39] Dank u wel, meneer Hafkamp.
[0:47:41] Uw vraag is bij antwoord?
[0:47:45] Oké, aan mijn excuus.
[0:47:46] Dank u wel, mevrouw Stekelenburg.
[0:47:49] Ik wilde nog wat toevallig inderdaad over die normen.
[0:47:53] Chipsoft was gecertificeerd, maar certificering hoeft niet per se te zeggen dat alles veilig is.
[0:48:01] Dus eigenlijk wil ik ook een pleidooi doen voor toezichthouders dat die in de preventie ook gaan kijken van oké, je bent gecertificeerd, maar zit het wel echt goed in elkaar?
[0:48:12] En achteraf natuurlijk, als er iets gebeurd is, vind ik ook dat die certificaten weer ingetrokken moeten worden en dat ze gewoon opnieuw moeten beginnen.
[0:48:24] Ja, mevrouw Holteman, gaat uw gang.
[0:48:26] Als aanvulling hierop, nu kan het eigenlijk nog gebeuren, je bent 27001 of NEN 7510 of op een andere manier gesetuceerd en je laat een pentest doen en uit die pentest komt dat er enorm veel kwetsbaarheden zijn.
[0:48:40] Met de huidige wet is dat heel lastig voor toezichthouders om vervolgens dat pentestrapport, om daar handelingen op te verrichten, omdat het eigenlijk niet eens het
[0:48:50] Je hoeft het niet eens, het Penthouse-rapport, te overhandigen aan de toezichthouders.
[0:48:54] Dus met die cyberveiligingswet is natuurlijk wel de hoop dat dat gaat veranderen.
[0:49:00] Maar wat de heer Hafkamp al eerder zei, je hebt het bestaan, je hebt een 27001 of iets anders, en je hebt de werking.
[0:49:10] Namelijk, hetgeen wat je op papier hebt staan, is dat ook daadwerkelijk, ja,
[0:49:15] werkt het?
[0:49:16] En dat doe je door redteaming, door pentesten, door op andere manieren te gaan kijken.
[0:49:20] En daar gaat denk ik wel de crux ook zitten straks met de cyberbeveiligingswet en ook in het voorkomen van datalekken waarvoor we hier zitten.
[0:49:28] Hoe gaan we zorgen dat het op papier er allemaal goed uitziet, maar dat we ook in de praktijk gaan testen dat het werkt en dat er ook wordt gekeken of er invulling wordt gegeven aan hetgeen wat er uit die testen komt.
[0:49:43] Dank u wel.
[0:49:46] Kortom, meer evalueren.
[0:49:49] Mevrouw Katman.
[0:49:51] Ja, dank, voorzitter.
[0:49:53] Ja, voordat ik trouwens me vraag, zou ik wel gezegd hebben, ik vond het goed dat iemand net zei, we hebben het hier wel echt over cyberhufters en criminelen die zo bizar te werk gaan, op steeds grotere schaal.
[0:50:05] En die bedrijven die het treft, die zijn natuurlijk ook gewoon slachtoffer.
[0:50:08] Alleen, ondertussen zitten we ook nog in de situatie dat de basis heel vaak niet op orde is.
[0:50:14] En zeker als het gaat
[0:50:15] Tegenwoordig is de hele organisatie ingericht op data-honger, omdat je daar ongelooflijk veel geld mee kan verdienen.
[0:50:24] Je kan mensen ook niet kwalijk nemen.
[0:50:25] Het zijn fantastische businesscases.
[0:50:28] Er wordt ook vaak gewoon geroepen, knal gewoon die boetes omhoog.
[0:50:32] Dat het gewoon echt heel veel pijn doet als je die normen gewoon overschrijdt.
[0:50:37] En dat moet gewoon eigenlijk meer pijn doen... dan dat je kan verdienen aan de data-honger.
[0:50:44] Ik vind het soms dus lastig, met de inleiding die ik ook gaf... van er zijn gewoon heel veel bedrijven... die ook gewoon misschien te weinig kennis in huis hebben... die het graag goed willen doen, noem het allemaal op.
[0:50:53] Maar zou dat helpen om die basis sneller op orde te krijgen... en ook om iets te doen aan die bedrijven... die gewoon ingericht zijn op data-honger... en misschien ook wel soms voor lief nemen... ja, ik kan er wel heel veel cent aan verdienen...
[0:51:05] dan doe ik het maar even zo en dan kijk ik wel of ik daarop gepakt word.
[0:51:11] Moeten we die boetes gewoon keihard omhoog knallen of moeten we daarvoor echt eerst nog mensen meer tijd gunnen om zich aan te passen aan al die regels die we eigenlijk pas recentelijk hebben uitgerold?
[0:51:26] Mevrouw Holteman, gaat u gang.
[0:51:29] Daar ga ik niet over, maar dan wil ik wel graag een vurig pleidooi houden dat op het moment dat je een boete moet betalen, dat daar ook een gedeelte van die boete aangewend moet worden om te zorgen dat het niet nog een keer gebeurt.
[0:51:43] Dus dat je maatregelen moet nemen met een gedeelte van die boete om te zorgen dat je het wel beter gaat dichtzetten, betere maatregelen gaat nemen, et cetera.
[0:51:53] Dus dan heb je misschien implicit ook al een klein beetje mijn antwoord.
[0:51:59] Dank u wel, mevrouw Stekelberg.
[0:52:02] Laten we even eerlijk zijn.
[0:52:03] Odido is niet natuurlijk een kleine speler, geen MKB'ertje die niet genoeg kennis in huis had kunnen hebben.
[0:52:12] Zij hebben genoeg kennis in huis.
[0:52:14] Zij moeten dit weten.
[0:52:15] En toch hebben ze superveel informatie verzameld en te lang bewaard.
[0:52:23] Ik denk oprecht dat de boetes hoger moeten, zeker in dit soort instanties waar gewoon aantoonbaar is dat ze zich niet aan de regels hebben gehouden en daar zeker wel de middelen voor hadden.
[0:52:38] Dank u wel, meneer Hafkamp.
[0:52:40] Misschien een hele korte aanvulling.
[0:52:41] Ik ben absoluut voorstander van dataminimalisatie.
[0:52:46] Zeker in klant-leveranciersrelaties zien we dat dat soms niet altijd goed gaat.
[0:52:53] Maar ik heb ook de indruk dat dat niet altijd bewust gebeurt.
[0:52:57] Dat er soms ook onbewust teveel informatie wordt verstrekt aan leveranciers.
[0:53:04] En ja, hoe dat dan komt is onbekendheid.
[0:53:08] bij de klant en misschien ook wel bij de leverancier, waardoor er dus toch teveel informatie, denk aan telefoonnummers of bepaalde andere NAW-gegevens, worden weggegeven.
[0:53:21] En als het dan misgaat, ja, dan is die data natuurlijk ook foetie.
[0:53:26] Dus het zou ook wel helpen om daar wat meer kaders in te geven en misschien dat ook een beetje sectoraal te doen, samen met de diverse belangenverenigingen, om daar gewoon wat richtlijnen voor op te stellen.
[0:53:39] Wat is nou in de praktijk datamanalisatie en hoe kan je dat realiseren in een klant-referentierelatie?
[0:53:47] Dank u wel, meneer Hafkamp.
[0:53:48] Nee, u heeft geen vraag.
[0:53:50] Dan kijk ik nog naar mevrouw Kaltman, voor alle zekerheid.
[0:53:54] Die zit druk te pennen.
[0:53:59] Zal ik anders eerst nog mijn vragen?
[0:54:01] Misschien beantwoordt die van u.
[0:54:04] Dan had ik hem hier staan.
[0:54:05] Even kijken.
[0:54:05] O ja, dat was aan mevrouw... Nou, misschien wel Holteman, maar ik gooi hem toch wel even open.
[0:54:11] Wat zou de Kamer nou concreet kunnen regelen om eigenlijk misschien wel kleinere zorgaanbieders of andere publieke organisaties dus niet met onuitvoerbare verplichtingen op te zalen?
[0:54:23] Regelgrijping is natuurlijk...
[0:54:25] Het beoogt iets moois.
[0:54:27] Maar is het ook uitvoerbaar en werkt het ook?
[0:54:29] Dat hoorde ik ook een beetje bij mevrouw Holteman, van of die regels in de praktijk ook echt effect hebben.
[0:54:40] Ja, wederom die langspilplaats.
[0:54:42] De basismaatregelen zijn in principe gewoon goed uitvoerbaar voor iedereen.
[0:54:46] En natuurlijk, hoe complexer de organisatie, hoe complexer wel die maatregelen zijn om te implementeren, maar ze zijn eigenlijk in principe gewoon voor iedereen
[0:54:55] goed doen, dus dat is denk ik eigenlijk ook mijn antwoord op de vraag, want dan gaat het over twee-factor-authenticatie, dan gaat het over netwerksegmentering, dan gaat het over nadenken over de risico, dan gaat het over het monitoren van de data, en ik zeg niet dat het allemaal makkelijk en zomaar te regelen is, maar het zijn wel echt de essentiële maatregelen die je moet nemen op het moment dat je je in een digitale landschap beweegt.
[0:55:21] Net zoals we in het fysieke landschap ook bepaalde eisen stellen om je daarin te bewegen, doen we dat eigenlijk niet in het digitale landschap.
[0:55:28] Dat is best wel vreemd, ook omdat de gevolgen niet alleen maar voor jezelf zullen zijn, maar juist ook voor anderen, wat Chipsoft en Audido en bevolkingsonderzoek laten zien.
[0:55:40] De slachtoffers zijn de organisatie zelf, maar zijn ook weer de mensen achter.
[0:55:45] die data.
[0:55:46] Dus het zomaar van ja, wij zijn klein dus we kunnen er ook niet zoveel aan doen.
[0:55:52] Op het moment dat je een internetverbinding aansluit, omdat je je wil begeven in het digitale landschap, dan horen daar een aantal maatregelen bij die je moet nemen.
[0:56:02] Dank u wel, heel helder.
[0:56:03] Meneer Hafkamp.
[0:56:05] Want ik zie wel wat voorbeelden om in ieder geval die administratieve lasten minder te maken of niet groter te maken binnen de zorg.
[0:56:13] Een mooi voorbeeld is de NN7510, verplichte regelgeving, dat heb ik al eerder aangegeven.
[0:56:18] Maar die wordt ook verplicht onder de CBW voor het zorgdomein.
[0:56:22] Dus bij een militaire regeling wordt de NN7510 aangewezen als zijnde de maatregelen die je moet treffen in het kader van de zorgplicht van de CBW.
[0:56:31] een bestaande regelgeving gekoppeld aan een nieuwe regelgeving.
[0:56:34] Dat is heel mooi.
[0:56:36] Ik hoor wel veel klachten uit mijn achterban, onze achterban, over de meldplicht.
[0:56:42] En dat komt, wat vaak gezegd wordt, er komt dus een meldplicht onder de CBW.
[0:56:47] Dat is nieuw voor de zorg.
[0:56:50] Maar er is ook al een meldplicht onder de AVG.
[0:56:53] En wat je vaak ziet is bij cyberincidenten dat er ook sprake is van een datalek en moeten dus ook gemeld worden aan de AP.
[0:57:00] Volgens mij is in het derde blok de AP aanwezig.
[0:57:03] Maar dat kan niet via één en hetzelfde portaal.
[0:57:05] Dus er komt een apart portaal bij het NCSC voor de CBW-zaken en er is een ander portaal waar je een melding moet maken richting de AP.
[0:57:15] En er is een paar keer een oproep gedaan, combineer dat nu, want dat vermindert daadwerkelijk de administratieve last bij een melding, maar tot op heden gebeurt dat niet.
[0:57:27] Dus er is nog wel iets te winnen.
[0:57:30] Dank u wel.
[0:57:31] Volgens mij een boodschap die wij met z'n allen herkennen vanuit de wetsbehandeling.
[0:57:36] Er ligt nog een laatste vraag vanuit mevrouw Kapman en dan denk ik dat het goed is dat we doorgaan naar het volgende blokje.
[0:57:41] Die is wat kleiner dan deze, dus vandaar dat ik daar ook iets meer gelegenheid voor wil geven.
[0:57:45] Mevrouw Kapman.
[0:57:46] Volgens mij is de hulp nabij wat betreft het meldloket.
[0:57:50] Ja, dat gaat volgens mij goed komen.
[0:57:53] Ja, ik heb nog een vraag aan mevrouw Stekelenburg, want wat ik heel graag zou willen is eigenlijk een nazorgplicht in de wet.
[0:58:02] En eigenlijk komt dat door uw werk, moet ik eerlijk zeggen, omdat zeker na het lek bij het onderzoek naar baarmoederhalskanker, daar was het echt verschrikkelijk hoeveel mensen gewoon beëcht in de stress waren en ook gewoon gelijk gingen zeggen, ik ga nooit meer een onderzoek doen.
[0:58:25] En dat is gewoon gevaarlijk.
[0:58:26] Ik bedoel, het is gewoon gevaarlijk voor mensen hun gezondheid.
[0:58:30] En eigenlijk op dat moment
[0:58:32] Ben ik dat gaan volgen, over welke informatie krijgen mensen nou?
[0:58:35] Hoe zit dat nou?
[0:58:35] Nou, de Kamer heeft ook meerdere debatten daarover gevoerd.
[0:58:39] Toen zijn er nog meer brieven gestuurd.
[0:58:40] Die hebben het eigenlijk nog verwarrender gemaakt.
[0:58:42] En de enige plek waar de informatie te vinden was, die mensen begrepen, dus eigenlijk gewoon...
[0:58:47] cyberinformatie die al ingewikkeld is, dat was eigenlijk via jullie site.
[0:58:54] En ik vind eigenlijk dat de overheid een soort rol daarin zou moeten spelen als het gaat over die informatievoorziening.
[0:59:04] En ze hebben nu ook toegezegd dat ze met jullie in gesprek zouden gaan.
[0:59:08] Dat is al best wel lang geleden over hoe je dat doet.
[0:59:10] Dus A, wil ik weten of dat gesprek is geweest.
[0:59:13] En B, als we die nazorgplicht in de wet willen regelen,
[0:59:16] Wat zou daar in ieder geval in moeten, wat u betreft?
[0:59:21] Dank u wel, mevrouw Stekelenburg.
[0:59:24] Ik moet snel antwoorden.
[0:59:25] Dat gesprek is geweest.
[0:59:28] Dat is ook best een lang gesprek geweest.
[0:59:32] Er is uiteindelijk alleen niet iets met onze adviezen gedaan.
[0:59:36] Dus dat wilde ik in ieder geval eventjes melden.
[0:59:39] Nee, wij zagen dat met Bevolkingsonderzoek Nederland en dat barmoedehalskankeronderzoeklek enorm misgaan, omdat het niet eerlijke en informatieve informatie was.
[0:59:52] Het was niet de communicatie die je zou verwachten bij een lek wat zo sensitief is.
[0:59:57] Dus wat wij wilden doen met de digitale dolomina's is laten zien
[1:00:03] Er werd ook niet eerlijk verteld welke informatie er nou gelekt was, zeker in de eerste periode.
[1:00:09] Dus snelle en duidelijke communicatie is hierin gewoon heel, heel, heel belangrijk.
[1:00:18] En dan ook gewoon compleet.
[1:00:22] Communicatie die aansluit op concrete risico's, dus niet alleen op de juridische meldplichten, gewoon echt de concrete risico's van deze data.
[1:00:32] En wij pleiten als Digitale Domina's enorm voor specifieke escalatie en hulpstructuren voor mensen in risicovolle situaties.
[1:00:41] Want als die er staan, daar heeft iedereen baat bij.
[1:00:44] Want je weet soms niet of je in een risicovolle situatie zit.
[1:00:49] Wij pleiten ook absoluut voor een betere samenwerking tussen getroffen organisaties, toezichthouders en instanties die bijvoorbeeld expertise hebben op bijvoorbeeld risicovolle situaties.
[1:01:01] Ik heb off-limits al genoemd, maar dat is gewoon een bron van informatie die je kan gebruiken en je kan ze ook gewoon bellen.
[1:01:13] Ik denk, het is allemaal niet zo heel ingewikkeld wat wij eigenlijk vragen.
[1:01:17] Het is snelle, duidelijke communicatie en concreet zijn en niet vaag houden.
[1:01:26] Mevrouw Holteman gaat terug.
[1:01:28] Ja, en ik wil ook graag nog een vuur bedoel in een nazorgplicht, want ik vind dat een heel terecht iets, dat organisaties die getroffen zijn geen onwaarheden moeten verkondigen.
[1:01:39] De afgelopen periode zijn er een aantal datalekken geweest waarin door de getroffen organisaties werd aangegeven dat de data op een ordentelijke manier werd verwijderd en waarin werd aangegeven dat iedereen rustig kon slapen omdat de criminelen er niks mee gingen doen.
[1:01:56] Dat is gewoon pertinent niet waar.
[1:01:58] Er wordt op die manier onveiligheid richting onwetende afgegeven en ik vind dat er... Sprookjes hoor ik inderdaad hier naast me.
[1:02:07] Dus in die nazorgplicht hoort ook een eerlijke communicatie wat er nou eindelijk is gebeurd met die data.
[1:02:17] Dank u wel, mevrouw Holterman.
[1:02:19] Dan wil ik voorstellen om dit blok af te gaan ronden.
[1:02:22] Ik maak het nogmaals een rondje.
[1:02:23] Mevrouw Holterman, heel erg dank voor uw komst en uw bijdrage.
[1:02:25] Mevrouw Stekelberg, de heer Hafkamp en meneer Van Streun, heel erg veel dank.
[1:02:31] Dan wil ik graag de genodigde van blok 2 hier aan tafel uitnodigen en dat is mevrouw Elsa den Hertog en de heer Fred Hoekstra van Bevolkingsonderzoek Nederland en de GGD Nederland.
[1:04:00] Dank u wel, ook aan de commissie, voor het netjes verwelkomen van onze nieuwe gasten.
[1:04:05] Mevrouw Elsa den Hertog van Bevolkingsonderzoek Nederland, voorzitter van de Raad van Bestuur, welkom.
[1:04:11] En meneer Fred Hoekstra van GGD-GHOR Nederland en de Chief Information Officer, beide welkom.
[1:04:17] En dan wil ik eerst het woord geven aan mevrouw den Hertog voor het doen van haar bijdrage.
[1:04:22] Gaat uw gang.
[1:04:25] En als je nog een microfoon zou kunnen aanzetten dan heel graag, dankjewel.
[1:04:30] Mijn naam is Elsa den Hertog, ik ben bestuurder bij Bevolkingsonderzoek Nederland.
[1:04:36] Ik ben hier ook om wat te vertellen over de casus data lek bij het Bevolkingsonderzoek Baarmoedhalskanker wat in augustus van vorig jaar heeft plaatsgevonden.
[1:04:45] Ook wel mooi dat deel 1 van deze rondetafel ook eindigde met ons bevolkingsonderzoek en ook de communicatie daarin heel belangrijk werd gevonden.
[1:04:58] Om daarop in te haken voordat ik even mijn betoog start, vind ik wel belangrijk
[1:05:02] Want ik denk dat we daarin wel dezelfde visie hebben en dat we met name bij bevolkingsonderzoek hebben gehandeld omdat we hebben gezien dat tijd heel belangrijk is.
[1:05:12] Wij in hek met deze omvang hebben gekozen om snel te communiceren met dat wat we op dat moment ook wisten.
[1:05:18] En toen wisten we niet precies welke gegevens waren gelekt.
[1:05:22] Dat wilden we uitzoeken, maar wel alvast de cliënten waarschuwen.
[1:05:26] Daar is ook een kritische nood bij geplaatst, die ik heel goed begrijp, maar ik sta wel achter de keuze van dat moment om snel naar buiten te treden, cliënten te waarschuwen en ze te vertellen dat we op een later moment ook nog meer specifieke informatie zouden geven.
[1:05:42] En als een datalag plaatsvindt, in ons geval bij een samenwerkingspartner, het was een laboratorium waarmee wij samenwerkten, speelt tijd een belangrijke rol.
[1:05:51] Processen moeten helder zijn, isoleren, analyseren, melden en communiceren.
[1:05:57] In de praktijk blijkt dat organisaties soms onvoldoende zijn voorbereid op een incident zoals wij hebben meegemaakt.
[1:06:05] Burgers verwachten terecht snelle, duidelijke en ook menselijke communicatie.
[1:06:11] Niet alleen dat hun gegevens zijn gestolen of gelekt, maar ook concreet wat dat voor hen betekent.
[1:06:17] Het moet snel, feitelijk, transparant en empathisch zijn.
[1:06:21] Belangrijk richting cliënten is wat er gebeurt, welke gegevens zijn betrokken en wat zijn mogelijke risico's.
[1:06:29] Welke maatregelen hebben wij als organisatie genomen en wat kunnen zij zelf doen.
[1:06:34] Slechte, trage of onvolledige communicatie veroorzaakt vaak meer reputatieschade dan het incident zelf.
[1:06:42] Bij Bevolkingsonderzoek Nederland weten we dat restschade van een data-riefstal, of dat nu bij een derde partij is of bij jezelf, vaak grote gevolgen heeft voor cliënten, maar ook voor ons als organisatie.
[1:06:57] Preventie is ontzettend belangrijk.
[1:06:59] Het scheiden van netwerken, de segmentatie, en het vastleggen en controleren van bewaartermijnen van data helpen bij het voorkomen van een alles-of-niets-aanval.
[1:07:09] Tegelijkertijd willen we onze cliënten zo goed mogelijk een service en zorg verlenen.
[1:07:15] En daarom is toegang tot cliëntdata voor een brede groep professionals ook belangrijk.
[1:07:20] Die toegang moet zo minimaal mogelijk vormgegeven zijn.
[1:07:24] En omdat die toegang wel nodig is,
[1:07:26] ...introduceren wij continue monitoring... ...zodat afwijkend gedrag zo snel mogelijk kan worden erkend... ...en kan worden stopgezet.
[1:07:36] Dat houdt in dat je vastlegt dat het minimaal nodig is... ...voor de serviceverlening die je wil... ...en dat je ook controleert of die op de juiste wijze wordt uitgevoerd.
[1:07:46] Ons managementteam is en wordt geschoold om security en privacyrisico's te kunnen herkennen.
[1:07:53] Bij design werken we eraan om risico's zo klein mogelijk te maken en wordt zo min mogelijk data gedeeld.
[1:07:58] En als bestuurder herken ik dat dat ook echt een bestuurlijke verantwoordelijkheid is.
[1:08:04] De continuïteit van onze dienstverlening is gebaat bij een veilige en stabiele IT-omgeving.
[1:08:09] We hebben geleerd dat snelle en adequate respons op calamiteiten goed ingericht en ook geoefend moet zijn.
[1:08:15] We hebben daarom vastgelegd hoe te reageren bij een calamiteit en het plan daarvoor wordt ook regelmatig geëvalueerd en ook verbeterd.
[1:08:24] Afspraken hoe om te gaan bij een grote hek zijn beschreven en natuurlijk ook geoefend.
[1:08:29] We pakken ook regie over de keten van onze samenwerkingspartners.
[1:08:33] die medische data verwerken.
[1:08:35] Cliënten vertrouwen op goede omgang van hun data en daar zijn veel investeringen en inspanningen voor nodig.
[1:08:41] En dat is initial de verantwoordelijkheid van de organisatie zelf.
[1:08:45] Wij weten als organisatie dat het echt nodig is om goede afspraken te hebben met referenties en partners en ook om die afspraken te valideren.
[1:08:54] Dank u wel.
[1:08:56] Dank u wel, mevrouw Den Hertog.
[1:08:57] Hartstikke fijn.
[1:08:58] Dan wil ik graag het woord geven aan meneer Hoekstra.
[1:09:01] Gaat uw gang.
[1:09:02] Dank u wel, voorzitter.
[1:09:03] Allereerst hartelijk dank aan deze commissie voor de uitnodiging om hier te mogen zijn.
[1:09:08] GGD en de Gorst vormen de basis van publieke gezondheid en wij beschermen en bevorderen, bewaken de gezondheid van mensen in Nederland.
[1:09:15] En een basis om dat te kunnen doen is data.
[1:09:18] En dat betekent eigenlijk dat zonder data kunnen wij gewoon geen publieke gezondheidszorg op een goede manier inrichten.
[1:09:23] Voor ons is het echt fundamenteel.
[1:09:25] Wat wij tegelijkertijd zien, is dat cyberrisico's en privacyvraagstukken die hebben in toenemende mate voor ons grote maatschappelijke impact.
[1:09:31] Dat zien we overal om ons heen gebeuren.
[1:09:34] En dat beïnvloedt het collectief vertrouwen in instituten en organisaties waar we op moeten kunnen bouwen en vertrouwen.
[1:09:38] En dat geldt, net als bij bevolkingsonderzoek, ook voor ons.
[1:09:42] Op het moment dat er geen vertrouwen is in het delen van informatie, wordt vaccineren wordt mogelijk een vraagstuk.
[1:09:46] En er ontstaan allemaal vraagstukken die daarbij horen.
[1:09:50] En daar kun je dus denken aan identiteitsfraute, misbruik van data, van kwetsbare personen, uitval vitale infrastructuur, maar ook uitval van zorgsystemen.
[1:09:58] Dat is allemaal van toepassing.
[1:10:00] Dus wat ons betreft een breed maatschappelijk vraagstuk en dat vraagt om maximale samenwerking en waarbij wij inzetten met elkaar op voorkomen en het beperken van impact.
[1:10:10] En ik denk dat een belangrijke basis daarin is de cultuur waarin we dat doen.
[1:10:14] Het is al een aantal keren genoemd zo net,
[1:10:16] Het gaat om het bewustzijn vanaf de bestuurlijke laag, vanaf de toezichthouders, vanaf de wetgevers tot aan de medewerkers in de organisatie.
[1:10:23] Die moeten allemaal begrijpen dat dataminimalisatie cruciaal is, begrijpen dat segmentatie belangrijk is, dat we daar met hele gevoelige informatie om gaan waar we zoveel mogelijk mee om horen te gaan.
[1:10:36] Dat betekent dus ook dat ik zou willen pleiten voor hele passende regelgeving en normenkades.
[1:10:40] Ik maak daar bewust geen sterkere regelgeving of meer regelgeving, maar passend, want het moet passen op datgene wat je met elkaar te organiseren hebt en te doen hebt.
[1:10:49] Ik denk ook dat het belangrijk is dat er krachtige samenwerking in ketens en kennisontwikkeling plaatsvindt, dus dat je met elkaar optrekt.
[1:10:55] Als je dat per organisatie los moet doen, is het een ongelooflijk moeilijk terrein om te bestieren.
[1:11:01] En ja, de basis kun je natuurlijk op orde brengen, maar de vraag is elke keer, is dat nou genoeg?
[1:11:05] en wat zou je met elkaar kunnen bereiken als je die volgende stap maakt.
[1:11:09] En wij denken dus ook dat je in gezamenlijkheid zou kunnen toewerken naar meer veiligheid in de infrastructuur die we daarin gebruiken met elkaar.
[1:11:16] Ik weet niet of dat een deltaplan is, maar het is in ieder geval wel een gedachte waar je over zou kunnen nadenken.
[1:11:21] En het belangrijkste daarin is dat cruciale informatie van de inwoners van Nederland gewoon beschermd blijft.
[1:11:27] Niet alleen wordt, maar blijft.
[1:11:28] En alleen door die samenwerking, dat is ook ons betoog, kunnen we ervoor zorgen dat cruciale informatie dus beschermd blijft en het Nederland weerbaarder wordt tegen digitale dreigingen van binnen en van buiten, door welke actor dat ook is of welke organisatie dat is of wie dat ook voor ogen heeft.
[1:11:43] Dank u wel.
[1:11:46] Dank u wel, meneer Hoekstra.
[1:11:49] Dan ga ik naar de commissie kijken.
[1:11:50] Mevrouw Swinkels van het CDA heeft u een vraag.
[1:11:53] Jazeker, dank u wel voorzitter en dank voor de toelichting.
[1:11:56] Fijn dat u ons zo meeneemt in uw praktijk en ik kan me ook voorstellen dat daar inderdaad allerlei dilemma's ook op hele hete momenten gesteld worden.
[1:12:10] Ik was me wel benieuwd naar die samenwerking toch ook en die samenwerkingspartners.
[1:12:15] We hebben het vanmiddag al vaak gehad over het ook informatie delen.
[1:12:18] Dat het juist ook heel goed kan zijn, die kennisuitwisseling, om gezamenlijk die weerbaarheid te vergroten.
[1:12:24] En tegelijkertijd zijn er natuurlijk waarschijnlijk allerlei regels ook weer aan het delen van kennis en informatie.
[1:12:32] Ik was heel erg benieuwd, kunt u ons wat meenemen, zijn er nog knelpunten om tot een goede samenwerking te komen op cyberveiligheid?
[1:12:43] Waar loopt u tegenaan?
[1:12:45] Meneer Hoekstra.
[1:12:46] Ja, als ik mag reageren, dank u wel.
[1:12:48] Ja, hele mooie vraag.
[1:12:49] Ik denk dat als ik kijk naar samenwerking, dan zitten daar verschillende lagen in.
[1:12:54] En die vragen zitten er eigenlijk in.
[1:12:56] Dat kan gaan over wet- en regelgeving, waarin bepaalde informatie misschien niet of wel gedeeld kan worden.
[1:13:01] Als je puur praat over kennis, denk ik niet dat er heel veel barrières zijn in Nederland om met elkaar kennis te delen op dit gebied.
[1:13:07] Ik denk wel dat je moet nadenken over de vorm waarin je dat het meest effectief tot stand kunt laten komen.
[1:13:13] Dus als ik kijk naar een zorgcert, hoe dat ooit tot stand is gekomen, dat was uit een behoefte omdat kleine zorgenorganisaties wisten dat ze in hun eentje dit gewoon niet voor elkaar gingen krijgen en die hadden behoefte dat er een partij was die daarop insprong.
[1:13:25] Dat heeft ongelooflijk veel waarde gekregen de afgelopen jaren.
[1:13:28] En ik denk dat er een aantal gebieden zijn waar je dat met elkaar beter zou kunnen beetpakken.
[1:13:32] Dus zijn er barrières?
[1:13:34] Dat denk ik niet direct.
[1:13:36] Maar ik denk wel dat het nodig is dat je met elkaar de handschoenen oppakt.
[1:13:38] En dat is nog best wel een moeilijk vraagstuk, omdat dat niet heel natuurlijk gebeurt.
[1:13:44] Dat doen we wel in het klein, maar de vraag is of dat groot genoeg is en of dat snel genoeg gaat.
[1:13:53] Dank u wel.
[1:13:54] En ik zie inderdaad dat mevrouw Swinkels nog een vervolgvraag heeft.
[1:13:57] Ja, dank voor het antwoord en in vervolg daarop ben ik wel benieuwd.
[1:14:03] Er werd al net gerefereerd naar een eerder vragenuur en daarin hebben we ook als partijen de minister bevraagd op welke mogelijkheden er zijn om vanuit de Rijksoverheid ook bij te springen als organisatie.
[1:14:15] Dus opeens te maken krijgen met een data-lack en daar ook nazorg op moeten doen richting mensen.
[1:14:23] Mensen goed moeten informeren op een inderdaad een transparante, empathische en snelle manier.
[1:14:27] Is er op dat vlak een rolweg gelegd?
[1:14:33] Ik ben er echt naar op zoek.
[1:14:34] Wat zouden wij kunnen doen vanuit de Rijksoverheid om daarin bij zeker ook grote data lekken, waar het heel veel mensen betreft, om daarbij te springen in een goede communicatie?
[1:14:48] Nou kijk het nou mevrouw Den Heertog.
[1:14:51] Ja, daar wil ik graag op reageren.
[1:14:53] Dank voor de vraag.
[1:14:53] Bij de eerste brief die wij hebben gestuurd, waar net ook al wat over werd gezegd, dat die onvolledig was en ook niet voorzag in de behoeften, hebben wij verwezen naar een link van de overheid, omdat we toen hadden getaxeerd dat dat hele goede en goed onderbouwde en complete informatie was.
[1:15:12] En tegelijkertijd wilden onze cliënten, de deelnemers aan het onderzoek, die ook getroffen waren, specifieker van ons horen waar zij dan op moesten letten.
[1:15:23] Dus in de vervolgbrief, waarin we ook meer informatie konden delen, omdat we ook meer wisten op dat moment, werd dat meer gewaardeerd, omdat het beter werd aangereikt, directer werd aangereikt.
[1:15:36] En daar heb ik wel het inzicht op gedaan dat het fijn is om het ook passend bij hun eigen situatie te horen.
[1:15:43] Dus ik denk dat veel informatie ook beschikbaar is en dat het in ons geval ook goed was om zelf na te denken hoe wij verwijzen naar informatie en welke informatie we ook rechtstreeks delen, omdat dat voorzag in de behoefte.
[1:15:59] Dank u wel, mevrouw Neertog.
[1:16:00] Meneer Hoekstra.
[1:16:01] Als ik daar nog een toevoeging op mag doen, dan denk ik ook dat het goed is om daarbij na te denken over wat is het gevolg in het gevoels, in het sentiment in het land.
[1:16:10] Dus wat gebeurt er nu eigenlijk hiermee en hoe wordt dat in verbinding gebracht met andere data lekken of andere hacks of andere situaties?
[1:16:16] En daarin zou ik me goed kunnen voorstellen dat een ministerie daar een voortouw neemt om die communicatie in een neutraliseerde, effectieve, objectiverende toon te kunnen duiden.
[1:16:28] Omdat je dat natuurlijk als organisatie, als je zo'n lek hebt, ben je verantwoordelijk voor dat lek en de afhandeling en de communicatie erover.
[1:16:34] Dat hoor je gewoon zoveel mogelijk te doen.
[1:16:35] Er zijn afspraken over hoe je dat doet.
[1:16:37] Maar dat wil nog niet zeggen dat je daarmee het hele sentiment in het land te pakken hebt.
[1:16:40] Misschien is daar wel iets extra's nodig.
[1:16:43] Ik denk dat het in ieder geval te overwegen zou zijn om daarnaar te kijken of je dat op een andere manier zou kunnen vormgeven.
[1:16:53] Dank u wel, meneer Hoekstra.
[1:16:56] Mooie vraag, mevrouw El-Boudjani van D66.
[1:17:00] Ja, dank u wel.
[1:17:02] En fijn ook dat u ons hier vandaag te woord staat.
[1:17:07] Ja, ik heb een vraag voor mevrouw Den Hertog.
[1:17:11] Want ik kan me zo voorstellen, u noemde het eigenlijk zelf ook al, dat u naar aanleiding van wat er allemaal is gebeurd nu ook echt wel een heel calamiteitenproces hebt ingericht.
[1:17:22] Ik denk dat dat ook heel goed is.
[1:17:24] En tegelijkertijd vraag ik me dan dus ook af van, u heeft er vast ook heel veel andere geleerde lessen uitgehaald, worden die ook gedeeld met andere organisaties?
[1:17:33] Dat men dus ook zichzelf preventief dan ook kan voorbereiden op andere plekken.
[1:17:40] Ja, mevrouw Rijnhertog, dank u wel.
[1:17:42] Zeker, dank voor de vraag.
[1:17:45] We hebben veel vragen gekregen over de communicatie, dus de aanpak na zo'n incident.
[1:17:53] En ook de aandacht in preventieve zin.
[1:17:57] En ik vond het mooi uit het eerste blok, ook heel herkenbaar, dat er veel informatie is over de verantwoordelijkheid die je hebt als organisatie om de data te beschermen.
[1:18:06] En daar hebben we ook ruimschoots naar verwezen.
[1:18:10] En ik heb ook wel teruggehoord dat het bij veel organisaties hoog op de agenda stond en daardoor een belangrijke les dat ontzettend veel urgentiebesef is ontstaan voor de aandacht en ook de bestuurlijke verantwoordelijkheid voor informatieveiligheid.
[1:18:30] Ja, zeker.
[1:18:30] Gaat uw gang.
[1:18:33] Ja, dat is heel fijn om te horen ook.
[1:18:35] En u gaf ook aan dat u ook meer regie neemt op de keten waarin u zit.
[1:18:42] Maar hoe staat dat dan in verhouding met clinical diagnostics eigenlijk, die ook in die keten zit?
[1:18:47] Zij zijn natuurlijk eigenlijk degenen geweest die dan gehackt zijn, zeg maar.
[1:18:55] Dus hoe neemt u die regie nu dan eigenlijk over die keten?
[1:19:00] Die regie nemen wij door informatiebeveiliging heel nadrukkelijk in het contractmanagement op te nemen.
[1:19:09] Dus vaste items goed checken in audits op het gebied van informatiebeveiliging.
[1:19:14] Dit hek hadden we wellicht niet kunnen voorkomen met de aanpak die ik vind dat passend is als contractpartij of als regiehouder op zo'n contract.
[1:19:27] Maar dat is wezenlijk, dat je goed weet wat de afspraken zijn, dat die afspraken die je hebt gemaakt over informatieveiligheid met contractpartijen adequaat zijn en je daar ook echt op toeziet in het contractmanagement door middel van audits op informatiebeveiliging.
[1:19:47] Dank u wel.
[1:19:48] Dan kijk ik naar mevrouw Kapman van GroenLinks Partij van de Arbeid.
[1:19:51] Ja, dank u wel, voorzitter.
[1:19:52] En ik wil u allebei heel erg bedanken dat u er bent, want ja, wat u heeft meegemaakt is al breed uitgemeten, is ook heel vaak hier besproken.
[1:20:02] En ik denk dat het goed is om te benadrukken.
[1:20:04] Wij nodigen partijen uit, maar die kunnen ook gewoon zeggen nou, volgens mij hebben we dit al zo vaak besproken.
[1:20:09] Alles is bekend, dus wij zien hier eventjes vanaf.
[1:20:13] En u kiest ervoor om gewoon hier te zijn.
[1:20:15] En dat vinden wij superfijn, omdat we heel erg op zoek zijn naar lessen die we moeten leren.
[1:20:21] Wat kunnen we als overheid... Waar moeten we de overheid op aanzetten om dingen beter te doen?
[1:20:25] Dus dat wil ik nog echt even tegen u gezegd hebben.
[1:20:29] Mijn vraag gaat eigenlijk ook over die keten.
[1:20:33] Er was ook een keer een zaak bij een van de grote pensioenfondsen.
[1:20:40] Er kwam iemand met heel veel moed, nieuwe baan, en die ging eigenlijk gelijk vragen, is het eigenlijk nou wel cyberveilig hier?
[1:20:46] Onderzoek laten doen, alles ondersteboven gekeerd en wat bleek?
[1:20:49] Nee, eigenlijk waren onze pensioenen daar helemaal niet zo veilig.
[1:20:53] Maar wat was nou de eerste reflex?
[1:20:54] Oké, dan moeten we heel snel allemaal specialisten van buiten gaan inroepen en dan gaan we onze cyberveiligheid outsourcen.
[1:21:01] In hoeverre heeft u ook gekeken hiernaar van moeten we niet veel meer in huis gaan organiseren?
[1:21:07] Dus eigenlijk als het gaat over de informatie die wij moeten beveiligen, de data die wij onder ons hebben, is het dan niet handiger dat je dat zo veel mogelijk eigenlijk bij jezelf organiseert en die keten zo kort mogelijk maakt?
[1:21:22] Ik ben heel erg benieuwd of daar naar gekeken is.
[1:21:26] Mevrouw de heer Toch.
[1:21:27] Ja, daar wil ik graag op reageren.
[1:21:29] Ja, mijn visie daarop is dat de juiste deskundigheid in je eigen organisatie op niveau moet zijn.
[1:21:35] Het vorige blok is ook een betoog gedaan voor risicogericht kijken naar kritische processen en dan ook weten hoe je daar goede maatregelen op treft.
[1:21:43] En dat moet je als organisatie echt zelf begrijpen, zelf weten
[1:21:46] overzicht hebben over je IT-landschap en dan passende maatregelen treffen.
[1:21:50] En vervolg daarop ook bij je ketenpartners goed weten hoe het daar zit en weten welke maatregelen dan nodig zijn.
[1:21:57] En die deskundigheid moet je echt binnen je eigen organisatie opbouwen en om die op te bouwen kun je hulp van buiten vragen, maar een basis daarvan vind ik heel belangrijk in onze eigen organisatie om daarvoor te hebben.
[1:22:13] Dank u wel.
[1:22:14] Meneer Hoekstra.
[1:22:14] Ja, als ik daar nog wat mag toevoegen, want ik ben het daar helemaal mee eens met wat Elsa zegt, dat gaat wel ook verder dan alleen contract management.
[1:22:22] Het is heel vaak toch een gevoel van ach, als ik dan een paar IT'ers of mensen die eraan verbonden zijn dit maar laat doen, dan komt het wel goed.
[1:22:28] Dit gaat ook over ben je nou als toezichthouder of als bestuurder in staat om hier goede vragen over te stellen.
[1:22:33] Ben je in staat om hierop door te vragen.
[1:22:35] Weet je dat zeker of ben je tevreden met dat antwoord van nou ik ben gecertificeerd, het is goed genoeg.
[1:22:40] Dus de vraag is niet alleen heb je de basis staan, maar heb je ook een
[1:22:44] proces gaan in de organisatie, waar je continu aan het kijken bent, kan dit nou beter, ben ik hier iets vergeten?
[1:22:49] Dus je hebt een vorm van alertheid nodig in de organisatie en dat gaat verder dan het instrumenteel werken in de structuren, maar dat gaat ook over de cultuur die je daarin met elkaar borgt.
[1:22:59] En dat betekent dus ook dat je wat mij betreft in die ketens moet kijken of de partners die daarop aansluiten ook passend zijn in die denklijn.
[1:23:06] En als dat niet zo is, moet je zelf de vraag stellen van kan ik daarmee nog borgen dat dit werkelijk goed geregeld gaat worden voor onze cliënten.
[1:23:18] Dank u wel, meneer Hoekstra.
[1:23:20] Ja, toch een extra vraag?
[1:23:22] Ja, mevrouw Kaltman gaat erover.
[1:23:23] Ja, dus in principe heeft u er beide echt voor gezorgd dat er veel meer kennis in huis is op dit gebied en dat er betere vragen gesteld kunnen worden vanuit de toezichthouders, bestuurders en noem het maar op.
[1:23:38] Maar heeft u er ook gewoon echt aan gedacht om gewoon te denken wij gaan dit gewoon zelf helemaal doen.
[1:23:43] Dat kan natuurlijk ook niet zonder slag of stoot, maar wij zien dit eigenlijk als een van onze kerntaken en niet iets wat we kunnen outsourcen.
[1:23:51] Dit hoort gewoon bij onze basis taak.
[1:23:55] Meneer Hoekstra, de bel is trouwens niet voor u.
[1:23:58] Dat is hier goed gebruikt, dat betekent dat er stemmingen zijn of een andere vergadering begint.
[1:24:03] Gewoon stoïcijns doorheen spreken.
[1:24:05] Ik praat gewoon stoïcijns doorheen.
[1:24:07] Nou ben ik even de vraag kwijt, die is me ontschoten.
[1:24:10] Volgens mij vroeg mevrouw... Oh, maar even via de voorzitter.
[1:24:16] Als ik hem dan goed verwoord, volgens mij vroeg mevrouw Kapman of de keten niet helemaal in huis gehaald moet worden, zodat je op die manier echt onafhankelijk bent van die externe invloeden.
[1:24:25] Ik denk dat het helemaal in huis halen van de volledige keten, dat is denk ik niet zo effectief.
[1:24:31] Ik denk het zorgen dat de keten in zich heel effectief goed ingericht is, is dat wel.
[1:24:36] Als ik even kijk naar GG de Goor Nederland en waar we allemaal mee samenwerken, dan zou het binnenhalen van de keten bijvoorbeeld betekenen dat ik stukken van het RIVM binnen zou moeten halen.
[1:24:45] Ja, dat zou een hele rare situatie worden.
[1:24:47] Dat kan ook helemaal niet.
[1:24:49] Dus dat betekent dat je daar op een iets andere manier, denk ik, naar zou kunnen kijken.
[1:24:54] Maar het betekent niet dat je de vraag uit de weg moet gaan.
[1:24:56] En ik denk dat je daar vooral heel kritisch op zou moeten zijn.
[1:25:00] Maar alles naar binnen trekken is denk ik niet de oplossing.
[1:25:04] maar de kennis in huis hebben om dat te kunnen beoordelen, dat moet je wel hebben.
[1:25:11] Dank u wel.
[1:25:12] Dan heb ik daar zelf ook nog wel een vraag bij en ik denk dat mevrouw Kapman echt de perfecte voorzet heeft te geven, want volgens mij zegt de Cyberveiligingswet ook dat ook besturen van organisaties ook voldoende cyberkennis moeten hebben om dus inderdaad die afweging goed te kunnen maken.
[1:25:26] Dus ik denk dat dat al een hele goede stap is.
[1:25:28] En waar mevrouw Katman vooral vroeg van kunnen wij de keten niet korter maken, vraag ik me eigenlijk af van hoe zit het met de, ik noem het de digitale rundgescan van het proces.
[1:25:40] En daar zit dus inderdaad het RIVM in, maar dus ook een apotheker.
[1:25:43] Dat kunnen allerlei onderaannemers zijn, misschien wel zes zp'ers.
[1:25:47] Hoe zorg je er nou voor dat je als organisatie
[1:25:50] waar je contracten afsluit met andere organisaties, dat je er goed grip op houdt dat die bedrijven ook voldoen aan je eigen eisen.
[1:25:58] Bijvoorbeeld met, als ik het goed zeg, een data protection impact assessment.
[1:26:03] Zeker dus als het gaat om bijzondere persoonschrijvers.
[1:26:06] Die zag ik aan beiden.
[1:26:09] Zal ik daarop reageren?
[1:26:11] Ja, dat is bij ons echt wel de standaardprocedure bij de start van een samenwerking.
[1:26:16] En dat is belangrijk om de voorkant goed te toetsen en hele duidelijke afspraken over te maken en ook goede afspraken te maken over hoe dat tijdens het lopen van het contract wordt getoetst.
[1:26:28] Dus voortdurend daar zicht op houden, er vragen over stellen en ook ter plaatse gaan kijken over hoe dat dan vorm krijgt.
[1:26:34] Dus dat is een continu proces.
[1:26:38] Ja, dat geldt bij ons ook.
[1:26:40] En dan voeren we tussentijds ook nog wel controles uit in de vorm van penetratietesten.
[1:26:44] Kijken van is de zaak echt wel veilig.
[1:26:47] We kijken ook naar los als dat nodig is.
[1:26:48] We komen ons uit.
[1:26:49] Dus het gaat echt wel een paar stapjes verder dan alleen maar in een contract zitten.
[1:26:53] Dan wij doen precies hetzelfde.
[1:26:55] Dus een dpi is niet genoeg.
[1:26:56] Je moet echt de stappen daarna moet je ook nog gaan invullen.
[1:27:00] Dank u wel.
[1:27:01] En als ik dan een korte volvraag daarop stel, heel goed dat dat gebeurt, maar hoe doe je dat in hemelsnaam?
[1:27:08] Want er zijn soms zoveel onderaannemers die soms ook weer onderaannemers hebben, zeker ook als het gaat om zzp'ers.
[1:27:17] Hoeveel tijd neemt zoiets in beslag?
[1:27:18] Is dat überhaupt operationeel wel uitvoerbaar?
[1:27:21] Ik kan me echt voorstellen dat dat heel ingewikkeld is, maar ik ben benieuwd naar jullie reflectie daarop.
[1:27:28] Wij kijken allereerst kritisch naar met welke partijen we echt data moeten uitwisselen.
[1:27:34] Dat proberen we ook te beperken.
[1:27:37] Ook goed te kijken naar hoe we die processen ontwerpen om dataminimalisatie toe te kunnen passen.
[1:27:42] En dan kijken we risicogestuurd naar waar we in welke omvang ook die bezoeken en die audits uitvoeren.
[1:27:54] Meneer Hoogsta?
[1:27:55] Ja, nog een toevoeging droppen.
[1:27:56] Daarin is het niet alleen van belang te kijken of er data is en welke datum, maar ook wat is de klassificatie van je data.
[1:28:04] Ik neem wel eens het voorbeeld van als je bron- en contactonderzoek hebt van iemand die in een pandemie bron- en contactonderzoek heeft gehad.
[1:28:11] En je zou dat weten van een minister, dan weet je daarmee ook wie mogelijk mensen daar heel nauw aan verbonden zijn.
[1:28:16] Dat is hele waardevolle informatie, dus dat betekent dat het niet alleen gaat over gatetieren, over persoonsgebonden informatie, medische informatie, of wat gaat ook over van is het potentieel nog andersoortige informatie.
[1:28:26] Je moet heel goed oog hebben in de risicoafweging van welk soort van data gaat dit nou eigenlijk over.
[1:28:32] En dat betekent ook dat je wel je dataclassificatie in de manier waarop je daarnaar kijkt heel goed scherp moet hebben, ook bij alle partners waarmee je die data deelt.
[1:28:42] Dank u wel.
[1:28:42] Eigenlijk dus de metadata waar je ook weer verbanden uit kan trekken.
[1:28:47] We hebben al heel veel mooie vragen gesteld, maar ik kijk toch nog even naar links.
[1:28:51] Mevrouw Swinkels, mevrouw Obojani of Krapman nog een nabranner.
[1:28:59] Ja, gaat uw gang.
[1:29:00] Voor de heer Hoekstra.
[1:29:04] U had het daar straks ook over, krachtige samenwerking in de keten, dat dat heel belangrijk is.
[1:29:10] Zou u misschien daar nog wat dieper op in kunnen gaan, wat u daar dan precies mee bedoelt?
[1:29:16] Meneer Hoekstra.
[1:29:18] Wat ik daarmee bedoel, want die heb ik geduid, ook in het kader van cultuur en samenwerking, dat als je met elkaar slagvaardig je informatieveiligheid over de keten en je weerbaarheid sterk wil maken,
[1:29:29] dan moet je met elkaar de gesprekken voeren over hoe je dat doet.
[1:29:32] En dat betekent dat je dat niet in je eentje doet.
[1:29:35] Dus het is niet zo dat GGD Goor Nederland of de GGD'en of de Goors individueel dat doen.
[1:29:41] Je moet continu kijken hoe zit ik hier nu met mijn partners aan tafel en hoe kunnen we hier samen optrekken en van elkaar leren.
[1:29:46] En ik denk dat het sterke van de samenwerking is dat je daardoor veel sneller kunt gaan, want iets wat al bedacht is van bijvoorbeeld de veiligheidsregio's,
[1:29:55] waarom zou je dat niet kunnen gebruiken in een zorgdomein?
[1:29:58] Dus daar zitten allemaal verbindingen in van kennis en kunde die je prima met elkaar kunt verwerken en op kunt zetten.
[1:30:04] Dus die samenwerking gaat voor mij echt over de energie erin zetten, om dat ook echt te willen.
[1:30:09] En dan denk ik dat het altijd goed is dat je kijkt, en dat werd zo net ook al genoemd, van wat zijn de hoogste risicogebieden?
[1:30:14] Hoe werk je daar dan op samen?
[1:30:16] Dus niet als een dolle stier overal op gaan werken, maar dat je ook wel kijkt van waar heeft dit nu echt relevantie en toegevoegde waarde?
[1:30:22] En de spin-off daarvan is meestal dat in de zijpaden je daar ook meteen voordelen uithaalt.
[1:30:27] Dat is hoe ik daar naar kijk.
[1:30:31] Dank u wel, meneer Hoekstra.
[1:30:32] Mooie vraag ook.
[1:30:34] Mevrouw Kaltman, nog een nabrander.
[1:30:38] Ik dacht ik moet een andere metafoor zoeken want ik hoor mezelf nu voor de vierde keer volgens mij deze week dezelfde metafoor gebruiken.
[1:30:45] Maar toen ik nog in de politiek zat in Rotterdam had je natuurlijk veel werkbezoeken in de Rotterdamse haven en daar heb je gewoon heel veel bedrijven, daar is zeg maar safety first.
[1:30:56] Dus ook al ben je in de kantooromgeving, je moet je helm op, je veiligheidsschoenen aan, gewoon omdat ze het door de hele organisatie willen doorleven, omdat er delen van het bedrijf is waar het gewoon gevaarlijk is als je daar niet aan houdt, zodat het personeel ook helemaal klaar staat voor, oh ja, we moeten daar de hele dag aan denken, want het is belangrijk.
[1:31:14] Ik kan me voorstellen, als je slachtoffer bent van zo'n data-lack, dat er dan ook een soort omslag in die organisatie moet plaatsvinden, dat eigenlijk binnen de hele organisatie iedereen snapt, oh ja, safety first, zeg maar.
[1:31:31] Hoe heeft u dat aangepakt om eigenlijk binnen de hele organisatie die cyberbeveiliging op een hoger plan te krijgen?
[1:31:39] Ook bij gewoon medewerkers die misschien als eerste wel een manier denken, dat is mijn verantwoordelijkheid.
[1:31:47] Meneer Hoekstra.
[1:31:48] Misschien is het het hele lelijke statement.
[1:31:51] Soms is er een incident nodig om iets in beweging te brengen.
[1:31:54] Dus wat wij heel erg doen, het is wel leuk dat de bel weer gaat, is dat zodra er een incident is, wordt dat gewoon echt uitvergroot besproken en kijken wat betekent dit nu eigenlijk en wat heb je hier nu mee te doen.
[1:32:06] En dat betekent dat daar leerpunten uitkomen, die leerpunten moet je weer borgen in je organisatie.
[1:32:11] Dus elk incident wat je hebt, hoe vervelend dat ook is, hoe erg het is, hoe groot of hoe klein, heeft tot gevolg dat je daarvan leert en dat je daar dus een volgende stap in moet maken.
[1:32:19] Dat is de manier waarop we dat doen.
[1:32:21] En met dat je dat doet en met dat je dat terugrecht op de bestuurstafels en bespreekbaar maakt met collega's, CISO's in het land,
[1:32:28] dan wordt op een gegeven moment de awareness en de groei van dit soort van vraagstukken, die neemt toe.
[1:32:33] En daarmee ontstaat er een verandering in je organisatie.
[1:32:36] Maar het is niet zo simpel dat je kunt zeggen, we vinden nu informatieveiligheid en vinden wij superbelangrijk, dus vanaf nu gaan we dat allemaal doen.
[1:32:45] Want dan zit het niet in het systeem.
[1:32:46] Dus dat is veranderkundig iets wat je gewoon echt moet laden in de organisatie en ook moet bijhouden om te zorgen dat dat gebeurt.
[1:32:52] Daarom ben ik ook zo blij met de verplichte trainingen die nu in bestuur en toezichthouders komen, dat ik denk van ja, dat is ontzettend belangrijk, want er zijn toch nog best wel veel bestuurders en toezichthouders die nog op wat afstand staan van dit soort van vraagstukken en die ook nog de gedachte hebben, dat is gewoon een IT-vraagstuk en dat moet je daar oplossen.
[1:33:10] Maar dat is het niet, het is een organisatie-vraagstuk.
[1:33:13] En dat betekent dat je op die manier naar moet kijken.
[1:33:15] Dus ik denk dat met druk continu voor uitduwen op die verandering, dat dat de best werkende strategie is, tenminste zoals ik hem nu zie.
[1:33:26] Heel heldig.
[1:33:28] Dank u wel.
[1:33:29] Ik moet zeggen dat ik ook helemaal op de hoogte ben gebracht door jullie deskundige antwoorden.
[1:33:35] Dank daarvoor.
[1:33:36] Ik heb zelf ook geen vragen meer.
[1:33:37] Ik zou willen voorstellen dat we naar het laatste blok gaan.
[1:33:41] Dan wil ik nogmaals mevrouw Den Hertog en meneer Hoekstra van harte danken voor uw aanwezigheid.
[1:33:46] En dan nodig ik de laatste gast uit.
[1:33:47] Dank u wel.
[1:35:29] Ondertussen hebben onze nieuwe gasten een plekje kunnen vinden en de bouwers zorgen voor koffie, dank u wel.
[1:35:36] Dan wil ik graag van harte welkom heten Alijt Wolfsen van de autoriteitspersoonsschepens, van harte welkom.
[1:35:43] De heer Matthijs van Amersfoort, directeur van Nationaal Cyber Security Centrum en mevrouw Jeanette Helder, plaatsvangend inspecteur-generaal van de Inspectie Gezondheidszorg en Jeugd, van harte welkom.
[1:35:54] Ik wil eerst het woord geven aan meneer Aleid Holsen, voorzitter van Autoriteit Persoons- en Schrijfschattigang.
[1:36:01] Dank u wel, voorzitter, en dank u voor de voortvarendheid en de snelheid dat we aan het woord mogen komen nu al voordat we officieel gepland waren.
[1:36:08] Dank daarvoor.
[1:36:09] En nog meer dank voor het feit dat u ons hebt uitgenodigd, want we vinden het hartstikke mooi dat u weer aandacht geeft in dit onderwerp.
[1:36:15] En ik heb het hier zelfs opgeschreven aan de broodnodige verbeteringen van cyberveiligheid in Nederland.
[1:36:22] Het woord broodnodige zegt al eigenlijk
[1:36:24] Dat geeft de kern van mijn bijdrage vandaag alweer.
[1:36:26] We hebben nu een paper toegestuurd van tevoren, dus dat zal ik niet helemaal herhalen, maar ik zal daar de kernpunten een beetje uitpakken.
[1:36:34] Wij zien namelijk dat impactvolle cyberincidenten aan de orde van de dag zijn.
[1:36:38] Dat zien wij namelijk ook terug in ons toezicht.
[1:36:40] Onderdeel van het toezicht is namelijk die meldplicht datalekken.
[1:36:43] Er is al eerder aan gerefereerd, die zal bij u allemaal bekend zijn.
[1:36:46] En we hebben ongeveer, om nog even de cijfers te herhalen, 44.000 datalekken gekregen vorig jaar.
[1:36:52] In 2024 waren dat er nog maar 38.000, dus dat neemt sterk toe, maar dat spoort met de bevindingen van de eerdere ronde.
[1:37:00] Het zijn soms hele kleine datalekken, verkeerd verbezorgde brieven, maar ook hele nare.
[1:37:04] hacker- en ransomwareaanvallen, cyberaanvallen, hele nare grote aanvallen.
[1:37:10] De meldplicht is al eerder gemeld, dat is ook bij u bekend.
[1:37:12] Dat zal ik hier nog even herhalen.
[1:37:14] Impactvol wil ik nog toelichten, maar er zijn ook mooie voorbeelden gegeven in de eerste ronde.
[1:37:18] Wordt vaak gedraagd van je, als het om gevoelige gegevens gaat, is het impactvol.
[1:37:22] Nee, het kan ook gaan om een adres van een vrouw in een blijvarm lijfhuis.
[1:37:26] Dat is heel goed om dat nog even hier te herhalen, wat in de eerdere rondes ook al is gezegd.
[1:37:31] Dan ons toezicht, wat doen we?
[1:37:33] Voor de grote hoeveelheid meldingen moet de AP natuurlijk keuzes maken.
[1:37:36] We houden een risicogestuurd toezicht in de praktijk.
[1:37:40] In alle eerlijkheid moet ik erbij zeggen, dat is over het algemeen een reactief toezicht, omdat we te weinig capaciteit hebben voor het beroodnodige preventieve toezicht.
[1:37:48] Maar als we dat doen, dan doen we dat op de meest impactvolle kwesties die aan ons worden voorgelegd.
[1:37:54] We doen dat aan de hand van een wettelijk kader in de AVG en in de richtlijn gegevensbescherming voor rechtsstandhaving.
[1:37:59] Dat is alles wat met politie en justitie te maken heeft.
[1:38:02] Dat vinden helaas ook af en toe nare heksplaats, een tijdje geleden, bij het Openbaar Ministerie en bij de politie.
[1:38:07] Dat valt onder die richtlijn en ook daar zijn wij de toezichthouder op.
[1:38:11] Wat doen we dan in het algemeen?
[1:38:14] Drie steekwoorden.
[1:38:15] Eén, direct ingrijpen bij impactvolle heks.
[1:38:18] Wat ik eerder al zei, dat hoeft niet altijd alleen om hele gevoelige gegevens te gaan.
[1:38:23] En dan letten we er met name op dat die slachtoffers goed worden geïnformeerd.
[1:38:27] Het is best nog wel een verrassing dat we echt af en toe organisaties moeten zeggen, dat moet u nu heel snel doen.
[1:38:31] Bedrijven zijn vaak gericht op continuïteit van het bedrijf, wat ook logisch is, maar die slachtoffers moeten snel geïnformeerd worden als er bijvoorbeeld wachtwoorden zijn gelekt.
[1:38:39] Ja, sms'jes kunnen krijgen, dat is heel belangrijk, en zeker als het kwetsbare groepen betreft.
[1:38:45] Dat zien we dus ook toe.
[1:38:47] Het tweede wat we doen, is doorlopend toezicht op patronen en trends die we zien.
[1:38:52] Dat komt ook terug in onze jaarrapportages, die krijgt u denk ik ook al toegestuurd.
[1:38:56] En het derde wat we doen, is formeel onderzoek bij ernstige overtredingen.
[1:39:00] En de preventieve, afschrikwekkende werking van het opleggen van boetes is een belangrijk onderdeel van ons werk.
[1:39:07] Het gaat niet de boetes om de boetes, maar dat je af en toe een streep in het zand strekt en zegt dit is ernstig, dit had u kunnen voorkomen.
[1:39:14] Als we een boete opleggen, gaat het altijd om incidenten die heel eenvoudig hadden kunnen worden voorkomen.
[1:39:20] Heel veel data, daar zal ik straks iets meer over zeggen, kunnen best wel worden voorkomen als er iets meer alertheid is.
[1:39:26] Dan kom ik al bij de verbeteringen die ik u zou willen voorleggen.
[1:39:30] Verbeteringen op het griep van cyberveiligheid in Nederland.
[1:39:32] We hebben best een mooi, breed, goed overzicht door die verplichte meldplicht.
[1:39:36] Ik denk dat wij het meest complete overzicht wel in Nederland hebben, omdat die meldingen verplicht zijn.
[1:39:40] Die maken we nooit openbaar.
[1:39:42] Maar die meldingen moeten allemaal bij ons worden gedaan.
[1:39:45] En dan zien we ook uit de hele scala aan meldingen dat verbeteringen echt broodnodig zijn.
[1:39:50] Ik doe drie aanbevelingen, want je hebt er, geloof ik, ook om gevraagd.
[1:39:53] En noem eens wat.
[1:39:54] Als eerste, een beetje een open deur, omdat die al vaker is voorgekomen, maar toch belangrijk, zorg voor een hoog beveiligingsniveau in algemene zin.
[1:40:02] We hebben dat genoemd in ons paper, een solide basis.
[1:40:05] En het algemene beveiligingsniveau van bedrijven, organisaties, ICT-leveranciers, blijft echt al jaren in algemene zin te laag.
[1:40:14] Deze organisaties moeten zelf in actie komen uiteraard, ze zijn zelf verantwoordelijk.
[1:40:18] Dat begint bij het in kaart brengen van de risico's, van de beveiligingsmaatregelen, om die af te stemmen, kritisch na te denken over het verwerken en bewaren van gegevens.
[1:40:26] Ook moeten organisaties verantwoordelijkheid en controle pakken voor de staatsbeveiligheid en het niet op de bordjes leggen van de individuele medewerkers, afschuiven aan de IT-afdeling.
[1:40:35] Maar het moet centraal geborgd zijn en hoog op de agenda staan van de bestuurders en toezichthouders bij bedrijven en bij de leiding
[1:40:42] van overheidsorganisaties.
[1:40:46] En het is echt, cyberveiligheid is sjefzakken.
[1:40:52] Dat zeggen, het is sjefzakken, maar sjefzakken, dat is niet zo, maar het moet het zijn.
[1:40:58] En dat is helaas in de praktijk toch te vaak niet het geval.
[1:41:01] En als de leiding het al niet belangrijk vindt, waarom zou een medewerker dat dan wel belangrijk vinden?
[1:41:05] Vaak zien we het nog wel in mooie woorden bij bedrijven en de leiding van bedrijven, onze mensen hebben heel veel
[1:41:11] Ik ga in dit geval toch de bel aangrijpen om u te vragen om langzamerhand tot een afronding te komen.
[1:41:18] Ja, dank u wel.
[1:41:19] Ik heb nog één ander punt inderdaad.
[1:41:21] Dat is echt ontzettend belangrijk.
[1:41:24] Dan de twee andere punten die we zouden willen meegeven voor de afronding.
[1:41:27] Ja, beperk alle gevolgen van een data-lack natuurlijk.
[1:41:30] Die kun je van tevoren beperken.
[1:41:31] Dataminimalisatie is al voorgekomen.
[1:41:33] Naleving van de bewaartermijnen.
[1:41:34] Adequate informatie aan slachtoffers geven.
[1:41:37] Allemaal natuurlijk naast encryptie, compartimentering of segmentering, zoals het eerder werd genoemd, of die multifactor.
[1:41:43] Authenticatie.
[1:41:46] Al die dingen moet je natuurlijk intern gaan doorvoeren en er moet goed op worden toegezien.
[1:41:49] Maar dataminimalisatie en die bewaartermijnen, bij alle heks zien we vaak dat er te veel data aanwezig is, dat het te lang wordt bewaard.
[1:41:57] En afrondend, voorzitter.
[1:41:58] Ja, het is een beetje een preek voor eigen perrochie, maar adequaat toezicht is ook in de eerdere rondes al voorbijgekomen.
[1:42:05] Dat kan echt sterker en wij willen graag meer preventief toezicht kunnen doen.
[1:42:10] Niet om te beboeten, zeker niet, maar gewoon bij bedrijven langsgaan, handen op de rug, kijken of de boel op orde is en dan helpt dat.
[1:42:16] Want de wetgeving afrondend, voorzitter, is vaak wel op orde.
[1:42:20] Inmiddels trouwens, met die nieuwe cybersurgerywet ook.
[1:42:23] De normen zijn vaak wel helder.
[1:42:25] Maar de naleving is te vaak echt onder de maat, soms onbewust, maar vaak ook door achterloosheid, onnadenkendheid en gebrek aan prioritering.
[1:42:34] Dat heeft te maken met de cultuur in organisaties.
[1:42:37] Die moet echt beter, voorzitter.
[1:42:41] Dank u wel, meneer Wolfsen.
[1:42:44] Volgens mij is het de aard van het beestje.
[1:42:46] Ik heb uw cv gelezen, dus dat is mooi om terug te zien.
[1:42:50] En dank voor je betogen ook, heel duidelijk.
[1:42:52] U bedoelt oud-Kamerleden veel spreken, bedoelt u?
[1:42:56] Ik wilde dat niet zeggen, maar u stapt erin.
[1:42:58] En voor de luisteraars, de precision paper van de autoriteit, persoonsschrijvers, die is ook te lezen op de website, waar deze drie punten ook in staan.
[1:43:05] Daar wil ik graag het woord geven aan meneer Mathijs van Amersfoort, directeur van het National Cyber Security Center.
[1:43:11] Gaat uw gang.
[1:43:11] Hartelijk dank, voorzitter en leden van de vaste Kamercommissie voor Digitale Zaken, voor de uitnodiging.
[1:43:17] Geen oud-Kamerlid, dus ik ga proberen binnen twee minuten te houden.
[1:43:23] Maar goed, een belangrijk onderwerp.
[1:43:26] Dus heel blij dat ik de uitnodiging heb gekregen en dat ik in dit blok mag zitten, ook al ben ik geen toezichthouder of handhaver.
[1:43:33] Nederland is natuurlijk sterk gedigitaliseerd en heeft een sterke digitale economie.
[1:43:40] Deze positie maakt ons krachtig, maar zeker ook kwetsbaar.
[1:43:44] Technologische ontwikkelingen volgen zich snel op.
[1:43:47] AI is al een paar keer genoemd, ook in het eerste blok.
[1:43:50] En versnellen van innovatie, maar ook de risico's vanzelfsprekend.
[1:43:55] Digitale aanvallen vinden dagelijks plaats en kunnen grote maatschappelijk impact en onrust veroorzaken.
[1:44:00] En voor een sterk gedigitaliseerd land als Nederland is de cyberweerbaarheid daarom ook superbelangrijk.
[1:44:06] En eigenlijk dus een hoofdzaak, een strategische noodzaak.
[1:44:11] De urgentie is groot en mag dus ook niet langer vrijblijvend zijn of organisaties cybermaatregelen nemen überhaupt.
[1:44:20] Dat moet gewoon en dat vergt permanente aandacht van de bestuurders en van bedrijfseigenaren.
[1:44:26] De missie van het NCSC is om Nederland digitaal weerbaar en daarmee ook veilig te maken.
[1:44:31] en om dat te bereiken moet vooral de basis op orde zijn.
[1:44:33] Het is al in het eerste blok een paar keer genoemd en ik ga waarschijnlijk die langspeelplaat ook voortzetten straks bij de vragen, maar ook nu wel.
[1:44:43] Het Nationaal Cybersecurity Centrum is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland en hierbij is het belangrijk om te benadrukken, dus wat ik net al aangaf, dat het NCC dus geen toezichthoudende of handhavende taak heeft.
[1:44:56] Maar het NCSC ondersteunt wel alle bedrijven en organisaties in Nederland met het versterken van de digitale weerbaarheid door invulling te geven aan vier essentiële rollen.
[1:45:06] Dat zijn die van uitvoeringscoördinator op het cybersecuritystelsel, het nationaal CSIRT, het sectoraal CSIRT voor deel van de cyberbeveiligingswet en natuurlijk het kennis- en adviescentrum.
[1:45:17] De cyberbeveiligingswet en de wet bevordering digitale weerbaarheid van bedrijven die zorgen gezamenlijk voor de wettelijke kader voor onze taken.
[1:45:25] Zodoende biedt het NCC organisatie actief ondersteuning bij preventie, crisisbeheersing en nazorg, ook bij cyberincidenten met een datalek als gevolg.
[1:45:35] Het NCC werkt hiervoor binnen het cyberweerbaarheidsnetwerk nauw samen met publieke en private partners om de digitale weerbaarheid van heel Nederland dus te versterken.
[1:45:48] Het belang van adequate beveiligingsmaatregelen valt niet te onderschatten en dus ook niet vaak genoeg te herhalen.
[1:45:55] En het NCC hanteert hierbij vijf basisprincipes die de organisaties helpen om de basisbeveiliging te verhogen.
[1:46:03] Die vijf zijn breng risico's in kaart voor de veilig gedrag, beschermen systemen en apparaten, weer toegang tot data en de laatste, net zo belangrijk, bereid je dus ook voor op incidenten.
[1:46:16] En indien een incident toch plaatsvindt, is het belangrijk voor organisaties om ook snel te handelen en transparant te opereren en zeker in het geval van een datalek duidelijk te communiceren richting klanten.
[1:46:29] Ook is het van belang dat cyberincidenten, ook vrijwillig, gemeld worden bij het NCCC.
[1:46:34] Het NCCC roept dan ook organisaties op om dat te doen.
[1:46:38] Het NCCC kan deze informatie verrijken en breder binnen het stelsel delen, om zodoende de kans op herhaling te verkleinen.
[1:46:44] En wat ik altijd bij zeg, is dat de detectie bij de een is de preventie voor de ander.
[1:46:48] En daarom is het ook zo belangrijk dat die informatie tot ons komt.
[1:46:52] En tot slot zou ik u willen bedanken nogmaals voor de uitnodiging en kijk ernaar uit om vragen te beantwoorden.
[1:46:59] Hartstikke fijn.
[1:47:00] Dank u wel, meneer Van Amersfoort.
[1:47:02] Dan wil ik als laatst het woord geven aan mevrouw Jeanette Helder, de plaatsvervangend inspecteur-generaal van de Inspectie Gezondheidszorg en Jeugd.
[1:47:08] Dank u wel.
[1:47:08] Ook namens het IGJ veel dank voor de uitnodiging, want wij vinden het natuurlijk ontzettend belangrijk om dit onderwerp goed te kunnen toelichten.
[1:47:16] Wij zijn een toezichthouder die toezicht houdt op de kwaliteit en de veiligheid van zorg.
[1:47:21] En mijn missie vandaag is toch ook een beetje om ons allemaal duidelijk te maken dat onderdeel daarvan gegevensbescherming is.
[1:47:29] De heer Wolfs heeft net al verteld over gegevensbescherming door de AP.
[1:47:35] Gegevens in de zorg, dat gaat wat mij betreft nog een stapje verder, behalve gegevensbescherming.
[1:47:40] Dat heeft namelijk ook te maken met continuïteit van zorg.
[1:47:45] Op het moment dat jouw gegevens niet beschikbaar zijn vanwege een hek of wat dan ook, dan betekent dat dat je operatie uitgesteld moet worden.
[1:47:52] Of dat betekent dat je in een acute situatie niet geholpen kan worden.
[1:47:56] Dus nog maar even benadrukken hoe belangrijk die gegevensbescherming met name in de zorg ook is.
[1:48:01] Misschien ook een beetje vanuit de IgJ-gedacht dat het vreselijk belangrijk is, maar we komen dit allemaal tegen, denk ik.
[1:48:08] Wat doen we als IgJ?
[1:48:10] We hebben een toezichthoudende rol als het gaat om gegevensbescherming.
[1:48:14] En daarbij, het kwam vandaag al een paar keer voorbij, hanteren we de wettelijke regels rond gegevensbescherming.
[1:48:21] En dat is met name de NEN7510.
[1:48:24] Nou zijn er mensen die zeggen, ja,
[1:48:25] Dan zet je vinkjes en dan ben je daarheen, dat helpt allemaal niet zoveel.
[1:48:29] Dat is zeker niet het geval, want de NEN7510 gaat eruit van een goed kwaliteitssysteem als het gaat om gegevensbescherming.
[1:48:39] Je bent er niet met een vinkje zetten, je bent er niet met één keer iets regelen.
[1:48:43] Nee, je bent er met een systeem wat je telkens update, waar je telkens kijkt naar de risico's en telkens nieuwe maatregelen neemt.
[1:48:50] Nou, dat moet heel erg helpen bij de gegevensbescherming.
[1:48:55] We zien, dat is geen vrolijk verhaal, dat daar nog vreselijk veel te doen valt in de zorg.
[1:48:59] En dat is absoluut geen onwil, want iedereen die in de zorg werkt, 1,6 miljoen mensen trouwens in Nederland, staat niet ochtends op en denkt, nou, ik ga het eens even lekker verpesten, maar allemaal ongelooflijk gedreven mensen, waarbij gegevensbescherming niet het allereerste is waar je aan denkt.
[1:49:18] Dat is dus absoluut nogmaals geen onwil,
[1:49:21] We hebben natuurlijk wel echt de stappen met elkaar te maken naar... ook gegevensbescherming moet onderdeel zijn van het primair proces van de zorg.
[1:49:29] En wij denken dat de cyberbeveiligingswet erg gaat helpen daarbij.
[1:49:35] Ik hoorde in de vorige sessie al een paar keer iemand zeggen... de basis moet op orde, ik ben het daar van harte mee eens.
[1:49:40] Die basis moet onze aandacht hebben.
[1:49:42] Laten we nog even wachten met kerstballen, werd het geloof ik genoemd.
[1:49:46] En die basis kan ook beter op orde komen door de cyberbeveiligingswet.
[1:49:52] Ik stop, want ik wil daar graag zometeen nog wat meer over zeggen.
[1:49:57] Dank u wel, mevrouw Helder.
[1:49:58] Dat is een mooie gelegenheid voor vragen.
[1:50:00] Dan begin ik bij mevrouw... O, dank u wel.
[1:50:04] Uw microfoon nog, mevrouw Helder.
[1:50:06] Altijd fijne ondersteuning.
[1:50:07] En mevrouw Katman heeft nog een punt van orde.
[1:50:09] Ja, voorzitter.
[1:50:09] Ik moet mij helaas excuseren.
[1:50:11] Ik moet naar een debat in Groningen.
[1:50:13] Dus dat gaat nog even duren voordat ik daar ben.
[1:50:15] Maar ik ga sowieso meeluisteren meteen nu.
[1:50:19] Hartstikke goed.
[1:50:20] Dan wil ik ook mevrouw Katman danken voor de gestelde vragen en de aanwezigheid.
[1:50:24] Goeie reis.
[1:50:24] En dan wil ik mevrouw Swinkels van het CDA het woord geven voor het stellen van vragen.
[1:50:29] Ja, dank voorzitter en een goede reis gewenst aan mevrouw Katman.
[1:50:34] Ja, ik was wel benieuwd.
[1:50:35] We hebben inderdaad, dit is de derde ronde, dus het ligt ook mooi in het verlengde van wat we hiervoor hebben gehoord.
[1:50:41] De autoriteiten en persoonsgegevens hebben natuurlijk ook eerder hier gesproken in een technische briefing.
[1:50:45] Dus ja, misschien kans dat het een herhaling van zetten wordt, maar ik ben wel heel erg benieuwd ten aanzien van die preventieve werking, want daar hebben eigenlijk alle drie de sprekers het over gehad.
[1:50:56] En daar hebben we het ook eerder over gehad, maar ik ben echt heel erg benieuwd hoe we nou voor kunnen zorgen dat we ook in preventie meer gaan doen en dat dat ook bijdrage aan die baas op orde brengt.
[1:51:07] Dus bij de een is detectie de preventie voor de ander.
[1:51:13] Ik vind het ook heel erg belangrijk dat we bijvoorbeeld taboes er ook af gaan halen, dat organisaties ook niet in zichzelf gekeerd blijven op dit soort onderwerpen als ze juist kwetsbaarheden ontdekken of verwachten.
[1:51:27] Dus ja, toch even aan alle drie de sprekers dan.
[1:51:30] Hoe kunnen we ook organisaties
[1:51:32] eigenlijk uitnodigen om preventief te toetsen of ze compliant zijn aan wetgeving, of ze die basis op orde hebben, of ze nog inderdaad een kritiek proces hebben waar ze misschien niet helemaal een goede analyse al op hebben.
[1:51:53] Dat ze ook die ondersteuning of in ieder geval hun antwoord gereikt.
[1:51:59] Ik ben daar wel heel erg benieuwd naar.
[1:52:00] Ik heb al wat concreet ideeën daarop gehoord.
[1:52:04] Maar ja, daar zou ik nog iets meer over willen weten.
[1:52:08] Dank u wel.
[1:52:09] Dan kijk ik als eerst naar de heer Wolfsen van de AP.
[1:52:12] Gaat uw gang.
[1:52:14] Ja, waar te beginnen?
[1:52:15] Inderdaad, want ik heb eerder onderzoek meegeluisterd en bij iedereen komt en bij ons ook eigenlijk weer van de basis op orde en eigenlijk
[1:52:24] Er werd in eerdere rondes ook bevestigd, wat ik ook zie, dat die wetgeving nu, ook met die nieuwe NIS 2 en de implementatie ervan, dan zie je het hele normenkader is eigenlijk best wel goed.
[1:52:33] De wetgeving is... U doet uw werk goed, zeg maar, als het gaat om wetgeving.
[1:52:37] Dus die normen zijn wel helder.
[1:52:39] Dus hier dan wel wat... Misschien wel onduidelijkheid, want die kaders overlappen elkaar soms, hè.
[1:52:43] Dat zag ik in een van de papers waar er wat over geklaagd is, een groot woord, maar wel dat is opgemerkt van die...
[1:52:47] Dat klopt.
[1:52:49] Dus dan kunnen wij nog wat meer uitleg geven samen met andere toezichthouders.
[1:52:52] Hoe leggen wij die normen uit?
[1:52:54] Maar heel veel zit toch wel, even een stapje hoger op basis van onze inbrengen, wel in de cultuur van organisaties.
[1:53:04] Je hebt wat huiselijk gezegd, als de baas iets niet belangrijk vindt in een organisatie of de hoogste ambtenaar op een departement of een bewindspersoon, waarom zouden medewerkers dat dan wel belangrijk vinden?
[1:53:14] En dat is nog vaak wel in woorden vaak nog wel goed, zeg maar.
[1:53:20] En in papier soms ook nog wel, hè, met certificering.
[1:53:22] Maar als je er gewoon in een organisatie gaat kijken, dan is het te vaak gewoon echt niet op orde.
[1:53:29] En dat is niet altijd bewust, maar ook soms heel onschuldigheid of onbekendheid of gebrek aan opleiding of gewoon onnozelheid, onnadenkendheid.
[1:53:39] Niet de prioriteit, een bedrijf moet natuurlijk omzet maken, winst maken, niks mis, het is heel goed, daar leven we allemaal plezierig van.
[1:53:47] En wat mevrouw Helder zei, dat dacht ik ook, in de zorg is het niet, of in het onderwijs, dat denkt iemand niet, een onderwijzer of een zorgverlener, van ik moet die zaalbeveiliging hebben, daar sta je soms niet meer op, maar je staat op met het belang van je patiënt of met je scholier, met je leerlingen en dat soort dingen.
[1:54:02] Maar het is wel, onderdeel van goede zorg is ook goede beveiliging.
[1:54:08] Dus die hele cultuur.
[1:54:09] Ik denk dat u ook... Voor u is dat misschien taak voor de ministers erop aanspreken.
[1:54:13] Als er ergens buiten-hoorzittingen zijn geweest, geen genoeg nemen met een techneut, maar de hoogste baas aanspreken.
[1:54:19] Hoe zit dat bij jullie?
[1:54:21] Wij zien gewoon in de praktijk heel vaak dat er wordt afgeschoven naar de IT-afdelingen, althans we worden onze mensen.
[1:54:28] Dat moeten we over de hele linie versterken.
[1:54:30] Ik denk dan toch, en daar sluit ik mee af, dat helpt dan toch,
[1:54:33] dat wij ook vaker zouden moeten kunnen gaan kijken in zijn organisatie.
[1:54:39] En niet om boetes of zo, maar om uitleg te geven, om guidance te geven en te zeggen, nu gaat u het echt veranderen en anders hebt u wel een probleem met ons.
[1:54:49] En zoals de Duitsers dan zeggen, dan spreekt ze hier om en dan gaan mensen erover spreken.
[1:54:52] De AP is op bezoek geweest.
[1:54:54] En een nare datalijk, wat in een eerdere ronde ook aan de orde kwam, helpt soms ook even voor een schok in de sector of in de zorg als er een nare datalijk is geweest, dat er opeens ook overal op de agenda staat.
[1:55:05] Dus het zit meer in cultuur en in uitvoering en in naleven dan in wettelijke kaarten.
[1:55:09] Dat is het lastigste.
[1:55:11] Cultuur is het meest moeilijke om te veranderen.
[1:55:15] Dank u wel, meneer Wolsje.
[1:55:17] De heer Van Amelsfoort.
[1:55:20] Ja, preventie eigenlijk, de basismaatregelen zoals ik ze net ook genoemd heb, dat zijn eigenlijk ook heel veel preventieve maatregelen natuurlijk om die basis op orde te krijgen en dus te zorgen dat je geen slachtoffer wordt.
[1:55:31] En de vijfde maatregel, als het wel zo is, hoe heb je je dan voorbereid?
[1:55:35] Wat zijn je plannen en wat ga je dan precies doen?
[1:55:37] En een klein voorbeeld, als je al je contactgegevens op de computer hebt staan, maar die is door een ransomware aanval op slot, dan kom je er dus ook niet bij.
[1:55:45] Dus wat heb je dan voor maatregelen?
[1:55:47] Wat zijn je plannen?
[1:55:48] Hoe ga je daar dan mee om?
[1:55:50] Dus ik nodig dan ook zeker alle organisaties uit, voor zover ze het NCC nog niet kennen en de website niet kennen, om vooral daar naartoe te gaan.
[1:55:58] Want we hebben echt heel veel informatie per adviesprincipe wat we hebben staan, helemaal uitgewerkt, ook de stappenplan en het handelingsperspectief, hoe je dat kan doen.
[1:56:09] Dus als het gaat over breng je risico's in kaart, wat bedoelen we daar dan precies mee?
[1:56:13] En hoe doe je dat?
[1:56:14] Dus waar begin je dan ook?
[1:56:15] Dus ik denk dat er daar best heel veel informatie te vinden is om daarmee aan de gang te gaan.
[1:56:20] En we zien helaas ook in de praktijk dat als het misgaat, dan zit het ook op een van die principes waar het niet op orde was.
[1:56:27] Dus vandaar ook dat we er ook zo op blijven hameren.
[1:56:29] En volgens mij bleek dat ook in het rapport van het AP onlangs.
[1:56:33] En als we het dan toch over het rapport hebben, de bedrijven monitor weerbaarheid vanuit het ministerie van Economische Zaken.
[1:56:40] Die gaf ook aan dat 51 procent van de bedrijven aangeeft geen voorzorgsmaatregelen te hebben genomen om de weerbaarheid te verhogen.
[1:56:47] of bedrijfscontinuïteitsplannen te hebben.
[1:56:50] Ja, dat zijn echt zaken die kunnen we vandaag de dag eigenlijk gewoon niet meer accepteren.
[1:56:54] En ik denk als eigenaar, maar ook als bestuurder, ja, dat kan eigenlijk echt niet meer.
[1:57:01] Dus ja, je moet hiermee aan de gang.
[1:57:02] We hebben ook over AI gehad en ik ben het er ook echt mee eens.
[1:57:06] Je kan je er alleen daartegen wapenen als je ook weer die basis op orde hebt.
[1:57:12] Dank u wel, meneer van Amersfoort.
[1:57:13] Mevrouw Helder gaat terug.
[1:57:14] Als je kijkt naar wat helpt in de preventie, dat klinkt een beetje als spreken voor eigen parochie, maar dat is toezicht.
[1:57:24] Wij hebben natuurlijk een preventieve rol.
[1:57:28] Wij komen van tevoren kijken hoe het gaat met de gegevensbescherming.
[1:57:31] En we hebben eigenlijk als IGJ nauwelijks een rol aan de achterkant, om het zomaar zo uit te drukken.
[1:57:36] Even heel concreet, toen wij in 22, 23, 74 ziekenhuizen, het zijn ongeveer 80, 90 ziekenhuizen in Nederland, hebben bekeken hoe gaat het met de gegevensbescherming, toen voldeed het gros niet aan de NEN 7510.
[1:57:51] En dat zegt genoeg, want dat betekent dat je de boel gewoon niet op orde hebt.
[1:57:55] Nogmaals, dat was absoluut geen onwil, want iedereen wilde het graag goed doen.
[1:57:59] En wat zien we nu?
[1:58:00] Eind 25, begin 26, bijna alle ziekenhuizen zijn op orde.
[1:58:03] Ik geloof dat er nog maar één is die niet voldoet.
[1:58:06] Dat vond ik heel geruststellend en ook heel prettig om te horen, want dat bewijst dat deze organisaties het wel graag willen.
[1:58:14] Nou, we kijken bij verschillende sectoren binnen de zorg, GGZ, verpleging en verzorging, ziekenhuizen, wat ik al zei.
[1:58:23] Maar we zien eigenlijk over de hele linie dit fenomeen wel.
[1:58:27] Dus als er iemand van buiten komt die zegt, en wij zijn dat dan omdat we de toezichthouder zijn, die zegt, goh, je voldoet niet aan de eisen, dat moet je wel gaan doen, want oh, wat is het belangrijk?
[1:58:35] Dat helpt.
[1:58:36] Het tweede wat helpt is inderdaad de incidenten.
[1:58:38] Het is heel naar, maar op het moment dat er een groot incident is, dan is iedereen zich buiten gewoon bewust van,
[1:58:45] het feit dat er iets moet gebeuren.
[1:58:47] Het derde is, als toezichthouder sta je altijd een beetje in de derde linie.
[1:58:53] De eerste linie is degene die verantwoordelijk is binnen de organisatie, directeur, bestuurder.
[1:58:58] De tweede linie is de raad van toezicht, ik vind dat nog wel eens vergeten woord, of raad van commissarissen, maar dat hebben organisaties natuurlijk.
[1:59:05] We moeten ons, denk ik, niet alleen richten op die verantwoordelijken binnen de organisaties, maar ook heel erg op de interne toezicht houden.
[1:59:13] En als derde heb je natuurlijk pas de externe toezichthouders.
[1:59:16] Dat zou de volgorde moeten zijn, wat ons betreft.
[1:59:19] Nou, daar valt nog wel wat te doen.
[1:59:22] De heer Amersfoort noemde al verder wat zaken.
[1:59:27] We zien handelingsverlegenheid, noemen we dat dan, maar dat betekent eigenlijk gewoon dat de organisaties niet weten wat ze moeten doen.
[1:59:33] inderdaad bestuurders geen kennis hebben.
[1:59:36] Kortom, al die zaken spelen mee.
[1:59:39] Het is dan ook heel prettig om te zien dat in de cyberbeveiligingswet hier het een en ander aan gedaan wordt, ook in de ondersteunende zinnen.
[1:59:46] Want nog één ding daarover als het mag, voorzitter.
[1:59:49] We hebben in de zorg natuurlijk ook hele kleine zorgaanbieders.
[1:59:53] Ik sprak pas met de
[1:59:55] die gaat over de huisartsen of de branchevereniging van de huisartsen.
[1:59:59] Ja, dan hebben we het er ook over van hoe kan je als eenpitter voldoen aan allerlei ingewikkelde eisen.
[2:00:05] Nou, dat kan doordat je samenwerking moet zoeken.
[2:00:08] De huisartsen zijn hartstikke goed georganiseerd en regionale verbanden.
[2:00:12] Dat moet je ook echt wel gaan doen, want in je eentje kan je het niet.
[2:00:15] Dus die samenwerking binnen sectoren, branches en regio's, dat is ongelooflijk belangrijk.
[2:00:24] Dank u wel, mevrouw Helder.
[2:00:25] Jazeker, de meneer Wolfsen.
[2:00:26] Ja, u kunt nogal naar... Ja, maar één aanvulling wat mevrouw Helder inspireert me daartoe, over wat u zegt over de raden van toezicht, hebben we laatst ook een heel brochure over uitgedacht hoe raden van toezicht zich kunnen agenderen, want heel veel raden van toezicht is het gewoon geen onderwerp van gesprek.
[2:00:39] Dat is verrassend, maar dat is helaas zo.
[2:00:42] En als de Raad van Toezicht het al niet belangrijk vindt, ja, dan gaat een bestuurder, die doet nu ook toch wat al mee wat zijn toezichthouder belangrijk vindt.
[2:00:48] Nou gaat de NIS 2 daar wel iets in veranderen, want er zit een soort persoonlijke aansprakelijkheid, komt er ook in voor bestuurders, dat verandert natuurlijk wel wat.
[2:00:55] Maar als het zou nog een idee voor de wetgever kunnen zijn,
[2:00:58] Even hard opdenkend, dat je misschien in de wetgeving op de toezichten, stichtingen, bv's, nv's, dat je dan opneemt dat voorradige commissarissen op bepaalde dingen verplicht op de agenda moeten komen.
[2:01:12] En dan kun je ook zien, als dat niet nageleverd wordt, dat dat misschien ook consequenties moet gaan hebben.
[2:01:16] Want ik zei wel, cultuur is het moeilijkste wat er is, en incidenten kunnen tot verandering leiden, maar we hebben ook de concrete situatie wel meegemaakt, dat bij een best serieus incident,
[2:01:25] We gingen kijken, er werd er heel adequaat op gereageerd.
[2:01:29] Dat was de indruk.
[2:01:31] Toen dacht ik, dan zijn wij ook niet de beroerdste.
[2:01:32] We zijn natuurlijk redelijke mensen.
[2:01:33] Als iedereen goed reageert, doen we niks.
[2:01:35] Maar als je een half jaar later ging bekijken, niks veranderd.
[2:01:39] Het incident opgelost, maar niks veranderd.
[2:01:40] En dan helaas, hebben we toen gezegd, ja, dan gaan we de boete niet voor het incident doen, maar voor het feit dat de zaak nu niet op orde is.
[2:01:46] En dan helpt zo'n boete weer als trigger.
[2:01:48] En dan zie je wel opeens dat het effect krijgt.
[2:01:50] Het is heel vervelend dat het zo werkt, maar kennelijk is dat nodig om ook intern soms de cultuur te veranderen, omdat men zegt, ja, anders krijgen we een boete.
[2:01:57] Je moet intrinsiek van binnenuit gemotiveerd zijn, vanzelfsprekend, maar daar waar zo'n boete kan helpen, dan moet het dan maar.
[2:02:06] Dank u wel, meneer Wolfsen.
[2:02:11] Heel kort dan.
[2:02:11] Ja, zeker.
[2:02:13] Ja, dank voor het uitgebreide antwoord.
[2:02:16] Toch weer nieuwe dingen gehoord, dus ik ben blij dat ik de vragen wel gesteld heb.
[2:02:20] Laatste vraag is dan nog, wat zouden wij dan nog vanuit de overheid hier aan kunnen bijdragen?
[2:02:24] Ik begrijp heel duidelijk dat het gaat om cultuur, maar zou het bijvoorbeeld helpen als er een confinant komt met honderd CFO's die zich daaraan committeren?
[2:02:35] Kan een stukje campagne of voorlichting richting medewerkers nog iets doen?
[2:02:41] Is er nog iets of richting, nou, die raden van toezicht?
[2:02:45] Dat zou ik dan nog willen weten.
[2:02:46] Dank u wel.
[2:02:48] Belicht toch even, omdat we anders, denk ik, een brede reflectie hierop krijgen.
[2:02:54] Wilt u ze van alle drie of van één specifiek?
[2:02:57] Laten we ons per tot één spreken.
[2:02:59] Degene die zich daartoe het meest goed voelt.
[2:03:03] Nou, dank u.
[2:03:05] Als idee... Geen handelingsangst.
[2:03:07] Gaat uw gang.
[2:03:08] Als congregnant en dat soort dingen,
[2:03:11] Ik geloof er nooit zo heel veel in in de zin van... Natuurlijk voor de goede mensen, maar die zijn toch al goed bezig.
[2:03:20] Dat wordt gemaakt meer voor nette mensen die toch al van plan waren.
[2:03:24] Maar dat helpt in cultuur niet zo heel veel.
[2:03:27] Wat concreet zou kunnen helpen is dat u als Kamer...
[2:03:31] Dat is hier in Amerika ook weleens gebeurd.
[2:03:32] Als er gewoon serieuze incidenten zijn en dat u wat breder de bazen van die instellingen is uitnodigd en niet genoegen neemt met een techneut of iemand.
[2:03:42] Nee, gewoon de bazen van serieuze instellingen hier vragen.
[2:03:45] Hoe zit dat bij jullie?
[2:03:46] Wat doen jullie eraan?
[2:03:48] Kunnen we ergens wat mee helpen?
[2:03:50] Laat men maar vertellen, ook aan de Kamer, waar het schort of waar het niet schort.
[2:03:54] Dat zou denk ik al helpen, want dan bereik je voor en dan komt het op de agenda.
[2:03:58] Dus dat zou enorm helpen als tip.
[2:04:01] En u kunt het bij alles wat met de overheid te maken heeft, want u zegt steeds wat kan de overheid eraan doen, maar u bent alles, bijna alle overheidsinstanties, behalve van toezichthouders zoals wij, vallen onder politieke verantwoordelijkheid van een minister.
[2:04:14] Ga maar een keer een middagje zitten met zo'n minister of met een staatssecretaris.
[2:04:17] Zit er bij die grote uitvoeringsclubs allemaal en vraag er maar eens op door.
[2:04:22] En dan niet genoegen nemen met, ja, er komt een deskundige.
[2:04:24] Nee, hoe heb je dat zelf doorleefd?
[2:04:30] Dank u wel, meneer Wolffsen.
[2:04:32] Dan kijk ik nog naar mevrouw Elboujani van D66.
[2:04:36] Dank u wel dat u ons te woord wil staan vandaag.
[2:04:40] Ik word getriggerd door het feit dat er kennis mist in raden van toezicht, maar ook in bepaalde bestuursorganen en lagen in een organisatie.
[2:04:55] En ik moet heel eerlijk zeggen dat ik dat ook wel herken vanuit mijn tijd ook toen ik nog als ambtenaar werkte.
[2:05:04] Dus ik vraag me eigenlijk ook af, hoe u daar tegenaan kijkt als we ook eens zouden gaan kijken of het inderdaad niet verplicht zou moeten zijn dat mensen die in bestuursraden zitten of in raden van toezicht dat er minimaal één persoon echt een
[2:05:24] achtergrond moeten hebben van kennis in IT of digitalisering, in ieder geval in die richting.
[2:05:31] Hoe kijkt u daar tegenaan?
[2:05:34] Dat zou ik een vertreffelijk idee vinden.
[2:05:38] Als je in een financiële instelling kijkt, zit er altijd iemand in de Raad van Toezicht die verstand heeft van financiën.
[2:05:43] Trouwens, in elke bestuur bijna wel, elke Raad van Toezicht, standaard, zit er ook altijd iemand in die kennis van zaken heeft, van de zorg.
[2:05:49] En als er heel veel data omgaan, zit er niet standaard iemand in die verstand heeft van alles waar wij vandaag over spreken.
[2:05:57] Ja, dat is in de huidige tijd eigenlijk onverantwoord.
[2:06:03] En dat gebeurt wel meer, we zitten bij letteren een beetje op, dus gebeurt wel iets meer, maar het is bepaald niet standaard.
[2:06:12] Dus als je dat een tijdje zou verplichten, ja, het zou een enorme stap vooruit zijn.
[2:06:18] Dus ik vind het een briljantismissie overdreven, maar zit er niet ver van af.
[2:06:25] Dank u wel, meneer Bols.
[2:06:25] Eigenlijk Cyber Libra sluitpost, toch?
[2:06:29] Geen vraag meer?
[2:06:31] Oh, toch wel?
[2:06:31] Ja, ik kap u zo af, hoor.
[2:06:33] Bent u... Ja, toch nog eentje.
[2:06:36] Nou, voor de reserve.
[2:06:37] Gaat uw gang.
[2:06:38] Nou, dat zit dus denk ik wel in het verlengde, want ik hoor dus heel vaak terug ook van u alle de bedrijfscultuur.
[2:06:44] Dus het zit hem ook in de bedrijfscultuur, de kennis die aanwezig is, maar ook hoe men denkt over, denk ik, de risico's ook die er zijn binnen een organisatie.
[2:06:54] Maar ik vraag me dan dus af, hoe kunnen we er dan voor zorgen dat die bedrijfscultuur echt daadwerkelijk verandert?
[2:07:03] Dus we kunnen het hebben natuurlijk over trainingen, maar één keer een training is denk ik ook niet voldoende.
[2:07:08] Dus hoe zou de organisatie en de bedrijf, hoe zouden die daarmee om moeten gaan, zodat dat echt in de kern gaat zitten van de medewerkers, dus ook alle medewerkers?
[2:07:22] Meneer Van Amersfoort.
[2:07:24] Dankjewel, goede vraag.
[2:07:25] Het begint er inderdaad omheen, het is ook eerder gezegd vandaag dat het geen IT probleem is, maar het is echt een key business risk geworden tegenwoordig en dat moet je als bestuurder snappen.
[2:07:42] De vorige vraag ging er ook over, in de wet zit het ook, je moet cybersecurity ook snappen, dat is een van de zorgplichten die daar ook in zitten.
[2:07:50] Daar hopen we ook zeker mee dat het dus automatisch op die agenda komt van die bestuurder.
[2:07:56] Dan hebben we het natuurlijk wel over de organisaties die vallen onder de cyberbeveiligingswet, maar dit geldt natuurlijk ook voor de ZZP'er en de MKB'er, want daar loop je ook net zo goed risico's en die moeten dit ook snappen.
[2:08:10] Ja, beseffen dat als je wat koopt en je hangt het aan het internet, dat daar risico aan verbonden is.
[2:08:15] En dan moet je dat natuurlijk ook snappen.
[2:08:18] Maar het begint daarmee.
[2:08:19] Dus het is gewoon een zeer groot bedrijfsrisico.
[2:08:24] In het vorige blok werd ook gesproken over hoge boetes.
[2:08:26] Maar het is natuurlijk ook op het moment dat je slachtoffer wordt, dan loopt je bedrijf ook direct in risico.
[2:08:31] Want je kan failliet gaan als jouw bedrijf niet meer werkt.
[2:08:34] En dat heeft natuurlijk ook super grote gevolgen.
[2:08:40] Ik hoor in mijn linkeroor dat mijn vrouw heel bizar een vraag wil stellen, dus gaat er hangen.
[2:08:45] Ja, en dat is dan toch...
[2:08:47] Want de heer Van Amelsfoort, die triggert mij ook wel met zijn antwoord.
[2:08:51] En dat is dus...
[2:08:52] We hebben het ook nog niet heel erg gehad eigenlijk over de cybercriminelen zelf.
[2:08:57] Want dat is natuurlijk ook een kant.
[2:08:59] En dan is de vraag misschien ook wel aan u.
[2:09:04] van hoe kunnen we dan juist ook ervoor zorgen dat we die cybercriminelen ook te pakken krijgen.
[2:09:10] Dus ik ben het er helemaal mee eens dat bedrijven ook echt verantwoordelijkheid hebben hierin om gegevens te beschermen en om ervoor te zorgen dat als het gebeurt de schade ook zo klein mogelijk is.
[2:09:21] Maar het zijn natuurlijk ook gewoon cybercriminelen die dit doen.
[2:09:26] En ja, hoe zit dat eigenlijk?
[2:09:28] Worden zij vaak opgesport?
[2:09:31] Krijgen we ze vaak te pakken?
[2:09:33] En ja, hoe moeilijk is dat?
[2:09:36] Of hoe makkelijk?
[2:09:39] Meneer Van Amersfoort.
[2:09:41] Cybercriminelen hebben natuurlijk ook statelijke actoren die zich ook in dit speelveld bevinden.
[2:09:48] Dus het is ook wat dat betreft een veelkoppig monster.
[2:09:51] Dus je weet ook niet direct.
[2:09:52] Het is de eerste vraag die gesteld wordt.
[2:09:54] Wie zit hier achter?
[2:09:55] Maar dat is meestal ook de moeilijkste vraag om te beantwoorden.
[2:09:59] En natuurlijk vergt het een hele nauwe samenwerking tussen het NCC met
[2:10:03] De politie met de veiligheidsdiensten, maar ook met alle publieke en private partners met name.
[2:10:08] Dus het vergt ook, en dat is ook wel heel succesvol, dat we die samenwerkingsverbanden hebben.
[2:10:15] En daarbij is het ook cruciaal dat we in staat zijn om informatie bij elkaar te delen en dat we informatie snel kunnen delen met elkaar.
[2:10:20] Want we hebben het hier over de zorg, maar een hacker richt zich meestal niet alleen op iemand in de zorg, maar die kijkt naar systemen die kwetsbaar zijn.
[2:10:28] En daarom is ook die rol van het NCC als nationaal C-cert ook zo belangrijk, dat we dus in contact staan met een Z-cert.
[2:10:34] Als daar een incident is, dat we kunnen kijken, maar wat is dan het gevolg voor de rest van Nederland?
[2:10:37] Dus dat we dat daar ook kunnen doen.
[2:10:41] Het oppakken en vervolgen, dat was mijn vorige pet toen ik nog bij de politie werkte.
[2:10:45] Dus dat is natuurlijk echt aan de politie om die opsporing en vervolging te doen.
[2:10:49] Maar het kan ook zijn dat we informatie hebben vanuit het NCSC die we kunnen delen zodat daar een onderzoek verder naar gedaan kan worden.
[2:10:57] Daar heb ik het niet over gegeven, maar meer iets wat we zien in de trend van meer edge devices, dus de randen van het internet die vaak als eerste worden aangevallen als er daar kwetsbaarheden in zitten of andere zaken.
[2:11:07] Dus we hebben een hele nauwe samenwerking met deze diensten en dat is eigenlijk ook wel cruciaal.
[2:11:13] En dat geldt natuurlijk ook voor internationale samenwerking.
[2:11:16] Dus dat is ook die nationale CSIRT-rol die we hebben.
[2:11:18] Dus ook samenwerking met ENISA, vandaar een paar keer genoemd.
[2:11:21] Maar ook met CISA in Amerika en allerlei andere instanties over de wereld die zich bezighouden met cybersecurity.
[2:11:30] Dank u wel meneer van Amersfoort.
[2:11:31] Dan pak ik zelf ook nog even de gelegenheid.
[2:11:34] Ik moest toch wel denken aan een metafoor of eigenlijk aan een vergelijking van... met iemand die ik een gesprek voerde hierover.
[2:11:41] En die zei dat bij de digitale wereld eerder zo is dat er een onzichtbare vijand is.
[2:11:47] En diegene was dan zelf gevangenisbewaarder bij de DJI.
[2:11:51] Die zei van mijn werk is eigenlijk nog makkelijk omdat ik gewoon een fysieke vijand of dreiging voor mij heb.
[2:11:56] En juist die onzichtbaarheid die maakt het ook zo ontasbaar en wellicht ook wel is dat de oorzaak van dat er
[2:12:02] nog niet serieus genoeg naar gekeken wordt.
[2:12:05] En daarom is eigenlijk ook mijn vraag, en om dan te voorkomen dat het een lang speelplaat wordt, maar wat is volgens de heer Van Amersfoort nou de grote of de grootste blinde vlek in dit hele ronde tafelgesprek?
[2:12:17] Wat hebben we nog niet besproken?
[2:12:24] Dat is een goede vraag.
[2:12:26] Een blinde vlek.
[2:12:29] Ik heb er denk ik net wel iets over gezegd.
[2:12:31] Er zijn een aantal dingen en dat is dat tijd steeds crucialer wordt.
[2:12:34] Het gaat over AI.
[2:12:35] Dus de tijd die we hadden tussen het bekend worden van de kwetsbaarheid en het patchen, die gaat bijna terug tot nul.
[2:12:44] En daarvoor blijft die samenwerking en die mogelijkheid tot het uitwisselen van informatie echt cruciaal.
[2:12:53] En als we daarin merken dat de AP soms informatie niet zou kunnen delen omdat dat niet goed geregeld is, dat we daar expliciet naar gaan kijken van hoe maken we dat dan wel mogelijk?
[2:13:03] En dat geldt natuurlijk ook voor publieke en private partners met name.
[2:13:07] Hoe kunnen wij die informatie goed bij elkaar brengen?
[2:13:10] We hebben een aantal projecten lopen, zoals Cyclotron, waarbij we data-uitwisseling doen.
[2:13:15] Maar ik denk dat we vooral moeten gaan identificeren wat zijn eventuele hobbels waar we dan nog tegenaan lopen, om te kijken of we die dan ook weg kunnen nemen, zodat we die snelheid in die processen ook kunnen wegnemen.
[2:13:27] Maar dat is dus inderdaad ook hoe die samenwerking misschien dus ook nog beter kan.
[2:13:35] En ik denk het realisatie dat honderd procent veiligheid bestaat niet.
[2:13:40] En op het moment dat je iets aan internet hangt, dan loop je in een risico.
[2:13:44] En dat is dus ook echt die voorbereiding.
[2:13:47] Als het gebeurt, wat ga je dan precies doen?
[2:13:50] En dat is, denk ik, net zo cruciaal.
[2:13:52] Want dat zijn de twee kanten van weerbaarheid.
[2:13:54] Eén, zorgen dat je niet slachtoffer wordt.
[2:13:55] Twee, als je het wel wordt, wat is je respons?
[2:14:02] Fijn, dank u wel.
[2:14:05] Dan heb ik toch nog als laatste wellicht wel een hele specifieke vraag.
[2:14:08] En ik denk dat die eigenlijk voor de heer Wolfsen...
[2:14:11] of misschien wel eigenlijk alle drie zou kunnen zijn, maar meer als iemand heel concreet kan antwoorden.
[2:14:16] We weten heel erg veel over dat er dreigingen zijn, dat we niet voldoende beveiligd zijn, dat we het niet serieus genoeg nemen, dat de normen strenger moeten of dat onze apparatuur beter moet worden uitgerust enzovoort.
[2:14:29] Maar in de praktijk, waar zitten nou de grootste kwetsbaarheden?
[2:14:33] Waar komen de grootste aanvallen vandaan?
[2:14:35] Dus moet ik dan denken aan systemen die niet gepatcht zijn?
[2:14:40] Is het antivirus niet goed ingedekt?
[2:14:44] Reageren we te veel met elkaar op phishingmails?
[2:14:47] Wat zijn nou de meest voorkomende gevallen van wat concreet echt misgaat bij organisaties?
[2:14:56] Even hardop...
[2:14:58] Over de hele linie is ze van alles mis.
[2:15:00] Het is heel lastig om dat te pinpointen.
[2:15:03] Daar gaat het het snelst mis.
[2:15:05] In een van de vorige sessies werd wel gezegd van e-mailtjes die je krijgt, sms'jes, dat er heel veel data lekker zijn en er heel veel persoonlijke informatie van mensen bekend is en er heel veel wordt gescraped op het internet.
[2:15:15] Kun je heel gericht...
[2:15:17] Iemand kan u een e-mailtje sturen waarbij je denkt, ja, dat is mijn buurman of dat is mijn oom of mijn tante.
[2:15:21] Die weten zoveel van me en dat ziet er zo mooi en zo echt uit.
[2:15:25] Dan klik je.
[2:15:26] Ik heb mensen gesproken die goed opgeleid en alert en heel bewust hierop zijn.
[2:15:29] Ik heb er toch een keer op geklikt, omdat het zo persoonlijk was.
[2:15:33] Dus dat is dat in het kleine en in het grote.
[2:15:35] Er zit volgens mij, maar misschien weet jij er iets meer van nog, er zit ook veel toeval in en wie slachtoffer wordt.
[2:15:41] Want dat gaat gewoon at random.
[2:15:43] En waar bedrijven of waar hackers een kwetsbaarheid zien, daar kom je binnen.
[2:15:48] En we zien wel soms dat het meer gericht is op knooppunten, want in de vorige sessies kwam dat ook terug.
[2:15:53] Als er heel veel knooppunten zijn, bijvoorbeeld in de zorgen, dat men wel daar gericht op let, dat is ook wel een kwetsbaarheid.
[2:16:02] Maar het zit eigenlijk over de hele linie en dat maakt het ook zo akelig.
[2:16:07] En wat u eerder zei, dat sluit ook bij aan met de bewustwording.
[2:16:10] Dan maak ik dat punt ook nog, dat u zei dat het zo onzichtbaar is.
[2:16:14] Dat maakt soms ook dat die urgentie er niet altijd is.
[2:16:17] Het is onzichtbare criminaliteit ook.
[2:16:19] Die worden heel vaak niet gepakt, helaas, omdat ze ook in landen zitten als Wit-Rusland of noem maar op.
[2:16:24] Die moeten pakbaar zijn.
[2:16:25] Ik mocht laatst bij de presentatie zijn van het jaarverslag van het OM.
[2:16:28] Je ziet wel dat de politie en het OM zich daar nu meer op richten.
[2:16:31] Maar bloed, dat gaat toch vaak voor dat het zo zichtbaar is.
[2:16:34] Ik sprak afrondend een keer een van uw collega's bij de politie, die nu op dit vlak actief was.
[2:16:41] Die zei dat bij de politie nu voorkomt dat mensen die soms nazorg nodig hebben, omdat ze toevallig een hoef onder de tap hebben, en die iemand aan het oplichten is, en dan zien ze onder hun ogen, althans horen dat er heel veel geld in secondenwerk weglekt.
[2:16:56] En die agenten zelfs nazorg nodig hebben, zoals ook iemand die met een ernstig misdrijf nazorg nodig heeft.
[2:17:02] Dus die onzichtbaarheid maakt soms ook...
[2:17:07] dat die urgentie bij ons, niet bij u natuurlijk, maar bij de buitenwereld onvoldoende op een netvlies zit.
[2:17:15] Daardoor is over de hele linie kan het echt beter en strakker.
[2:17:21] Dank u wel.
[2:17:22] Meneer Van Amersfoort.
[2:17:23] Ja.
[2:17:25] Kort, wat we heel veel zien, zijn die edge devices die vaak een groot aanvalfactor zijn.
[2:17:30] Dat hebben we gezien in zo'n Citrix-casus en andere.
[2:17:33] Dat zijn de systemen die veel gebruikt worden.
[2:17:36] En dan is vaak ook het risico dus groter op het moment dat daar een kwetsbaarheid in zit.
[2:17:42] En dan heb je ook meerdere slachtoffers.
[2:17:44] Edge devices, modems, routers, systemen die vergeten worden.
[2:17:49] Die niet meer gepatcht worden.
[2:17:51] Dus die je eigenlijk uit je netwerk zou moeten willen halen.
[2:17:54] En dan heb je dus ook niet in kaart wat je risico's zijn.
[2:17:56] Een klein voorbeeld, camera systemen.
[2:17:58] Die gaan meestal langer mee dan dat patches beschikbaar zijn.
[2:18:02] Dat zijn wat van die vergeten systemen.
[2:18:06] Inderdaad, phishing.
[2:18:09] Er wordt me weleens verweten dat er iemand in is getrapt, omdat het een negatieve annotatie heeft.
[2:18:15] Maar het is letterlijk een val die wordt uitgezet waar je letterlijk intrapt.
[2:18:20] Dat beseffen ze niet meer, want dan zeggen we dat iemand op de phishinglink heeft geklikt.
[2:18:24] Maar met alle lekken die er inmiddels zijn, kan je zo'n compleet realistisch beeld maken van iemand, dat je dus ook hele realistische aanvallen gaat krijgen.
[2:18:34] Dat wordt alleen maar beter en beter, dus het wordt ook steeds lastiger om dat te identificeren.
[2:18:38] Ik denk goed om te melden dat we daarvoor ook het anti-phishing shield nu als pilot hebben.
[2:18:42] Dus op het moment dat er een phishing site bekend is bij ons, dan delen we dat met een aantal deelnemende service providers.
[2:18:48] Dan kan je meedoen als burger en ook als organisatie dat je zegt van ik wil beschermd worden hier tegen en dan kom je dus niet op die site uit.
[2:18:55] Dus dat zijn kleine maatregelen die we wel proberen te treffen om te zorgen dat die phishing aanvallen dus ook niet slagen.
[2:19:01] Dus daar zijn we gelukkig ook druk mee bezig, ook nogmaals in publieke en private samenwerking.
[2:19:07] Maar wat we ook nog steeds zien, die segmentatie die paar keer niet is genoemd.
[2:19:11] Dus als je eenmaal binnen bent en je hebt één wachtwoord, dat je daarna het hele netwerk tot je beschikking hebt.
[2:19:17] En een medewerker die hoeft niet toegang tot alle systemen.
[2:19:20] Dus hoe zit dat geregeld met je toegang als je eenmaal in je netwerk bent?
[2:19:26] Dat in combinatie met alle informatie die gelekt wordt, hergebruik van wachtwoorden, dat soort zaken.
[2:19:31] Ik denk dat ik hier nog wel een uur langer over door kan praten, maar uiteindelijk komt het nog steeds neer op die basismaatregelen en vaak is daar één onderdeel van waar het op misgaat.
[2:19:43] Dank, heel verrassend.
[2:19:45] Mevrouw Helder?
[2:19:46] Ik was iets te vroeg, hè?
[2:19:49] Ja, sorry.
[2:19:49] Nee, zeker niet.
[2:19:50] Nee, maar ik was oprecht even... Laat ik mij even mijn afdronk eraan geven.
[2:19:54] Het is vooral ook heel veel menselijk gedrag, wat natuurlijk ook misgaat.
[2:19:59] Ja, mijn verhaal helder.
[2:20:02] Vanuit de zorg even een heel ander voorbeeld ter aanvulling hebben.
[2:20:05] Ik kan natuurlijk niet zeggen waar het precies misgaat, maar je kunt natuurlijk wel een aantal factoren noemen die het risico vergroten.
[2:20:13] En als we kijken naar de zorg, dan is er best veel afhankelijkheid van leveranciers.
[2:20:18] Er is best veel afhankelijkheid van leveranciers die iets leveren wat gewoon iedereen in de zorg nodig heeft, zeker als het gaat om epd's, et cetera.
[2:20:29] Dus dat brengt wel met zich mee dat als het fout gaat, dat het dan ook heel erg fout gaat.
[2:20:34] En dat is, ja, ik vind het een heel ingewikkeld vraagstuk, want je wilt natuurlijk ook wel dat er goede gegevensuitwisseling plaatsvindt, dat het op een nette manier gebeurt, dat het, nou ja, ook wel volgens formats gebeurt, dat je daar ook allemaal bij aangesloten bent.
[2:20:48] En tegelijkertijd wil je ook... Nou, dat heeft, geloof ik, zonieren en je wil zorgen dat je gegevens niet allemaal aan elkaar gekoppeld zijn.
[2:20:55] Nou, die twee dingen, dat brengt een vraagstuk met zich mee.
[2:20:58] Dat hebben we bij Chipsoft natuurlijk ook gezien.
[2:21:06] Oké.
[2:21:07] Dank u wel ook, mevrouw Helder.
[2:21:10] Volgens mij, als ik het goed zie, dan gaan we het tot een afronding brengen.
[2:21:16] We zijn toegekomen aan het einde van het rondetafelgesprek.
[2:21:18] De informatie uit dit gesprek kan betrokken worden bij het commissiedebat bescherming persoonsgegevens en grote datalekken.
[2:21:24] Dat vindt plaats op woensdag 25 juni om 10 uur in de Groen van Prinsenzaal.
[2:21:29] Ik wil jullie hartelijk danken voor jullie aanwezigheid, ook de deelnemers van de eerste twee blokken en natuurlijk ook de deelnemers van onze Kamer, mevrouw Obadjani en mevrouw Swinkels, natuurlijk mevrouw Katman ook.
[2:21:39] En dank aan alle geïnteresseerden, ook voor de mensen die digitaal meekijken.
[2:21:43] Dan rond ik hem af en dan wens ik u allen nog een hele fijne avond.
