De Eerste Kamer heeft gisteren een motie van PvdA-senator De Vries aangenomen waarin de regering wordt gemaand een derde partij te laten beoordelen of zero-days moeten worden bekendgemaakt. Nu bepalen de AIVD en andere inlichtingendiensten zelf nog of het gevonden kwetsbaarheden geheim moeten worden gehouden.

De inlichtingendiensten komen geregeld kwetsbaarheden tegen in de ICT-infrastructuur van andere partijen die vervolgens kunnen worden benut om dergelijke partijen te bespioneren. Maar mocht een dergelijke kwetbaarheid "de nationale veiligheid bedreigen dan worden die gaten wel gedeeld met belangenhebbende partijen", zegt minister Plasterk. Hij haalt als voorbeeld aan een aangetroffen lek in de infrastructuur van de KLM "of bijvoorbeeld de gemeente Alkmaar".

'AIVD kan zelf bepalen wat geheim moet blijven'

Minister Plasterk vindt dat de geheime diensten zelf wel kunnen bepalen of zij een gevonden zero-day stiekem voor eigen gebruik houden of dat zij die delen met bijvoorbeeld het NCSC of bedrijven en instellingen die mogelijk zouden zijn getroffen. Maar de senaat heeft daar weinig fiducie in en eist nu van de minister dat er een derde partij wordt ingeschakeld die dat beter kan beoordelen. "Dat kan de minister zijn, een klankbordgroep, of in ieder geval een groep waarin het belang van de gebruiker vertegenwoordigd wordt", vindt senator De Vries.

Plasterk zei eerder in het debat met de Eerste Kamer dat de inlichtingendiensten gevonden zero-days gebruiken om mogelijk in een ander land een vijandelijk opererende tegenstander te bespioneren. Overigens stemde in de Eerste Kamer alleen de PVV tegen de motie van De Vries.

Een van de redenen van de motie van De Vries is de toenemende handel in zero-days en het opkopen en oppotten van de kwetsbaarheden door overheden om die te gebruiken in de digitale wereldoorlog tegen andere overheden.