Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 17 november 2016
Ik berichtte u in de antwoorden op de vragen van de leden Gesthuizen (SP) en Van Tongeren (GroenLinks) en de vragen van het lid Verhoeven (D66) dat ik de Auditdienst Rijk (ADR) opdracht heb gegeven de inhoud van het door mij gebruikte privé e-mailaccount te onderzoeken. De ADR heeft onderzocht of gerubriceerde documenten, zoals bedoeld in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIR-BI 2013), op het privé e-mailaccount stonden, welke informatie uit welke periode dat eventueel betrof en hoeveel werk gerelateerde e-mails het betrof.1 Met deze brief informeer ik u over de uitkomsten van dit onderzoek. Gelijktijdig stuur ik u de antwoorden op de vervolgvragen die over dit onderwerp zijn gesteld door het lid Verhoeven (D66).2
De ADR heeft over de gebruiksperiode van het privé e-mailaccount van 27 januari 2009 tot en met 12 mei 2016 een twintigtal documenten aangetroffen met een vertrouwelijke rubricering, waarvan één staatsgeheim. Dit document met de rubricering Staatsgeheim Zeer Geheim betreft een nota over nog te starten arbeidsvoorwaardenonderhandelingen bij een zelfstandig bestuursorgaan. De nota is als zodanig gerubriceerd om de vertrouwelijkheid voorafgaand aan de bespreking in de ministerraad te waarborgen.
Ik heb per document gevraagd aan het departement dat destijds het document heeft opgesteld, of gezien de aard en inhoud ervan vervolgacties nodig zijn vanwege mogelijke compromittering van de informatie. Dat is voor geen van de betreffende documenten het geval. Desalniettemin betreur ik dat de vertrouwelijke documenten op mijn privé e-mailaccount stonden.
Eerder heb ik u aangegeven dat bewindspersonen een nadrukkelijke verantwoordelijkheid hebben om zorgvuldig om te gaan met de gangbare normen rond cyberveiligheid.3 Ik realiseer mij dat het frequent voeren van werk gerelateerde communicatie via mijn privé e-mailaccount – hetgeen op mijn initiatief geschiedde – niet de aangewezen werkwijze was. Die werkwijze stelde mij in staat op de meest praktische wijze ’s avonds en in de weekenden mijn werk te doen, maar dit had beter anders gekund. Het heeft ertoe geleid dat gerubriceerde documenten naar het privé e-mailaccount zijn gezonden, die daar niet hadden mogen staan. Ik ben mij er onvoldoende bewust van geweest dat, gezien de aard van mijn werkzaamheden, de door mij gebruikte privé e-maildienst niet geschikt was. Zoals ik u eerder berichtte heb ik deze werkwijze beëindigd en maak ik nu voor mijn werk gerelateerde communicatie enkel gebruik van de departementale digitale faciliteiten.4
ADR-onderzoek
Op 12 mei 2016 zijn op mijn verzoek alle e-mailberichten door het Ministerie van Economische Zaken uit het door mij gebruikte privé e-mailaccount verwijderd en afzonderlijk opgeslagen. De ADR heeft vastgesteld dat er in dit door hem onderzochte bestand 23.534 e-mailberichten staan, waarvan er 11.819 werk gerelateerd zijn. De door de ADR onderzochte e-mailberichten betreffen de periode van 27 januari 2009 tot en met 12 mei 2016.
De ADR heeft alle werk gerelateerde en niet-werk gerelateerde e-mailberichten onderzocht op de vraag of zich daarin documenten bevinden met een rubricering zoals bedoeld in het VIR-BI 2013. Het gaat dan om de rubriceringen Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim, hun afkortingen of hun internationale equivalenten zoals beschreven in het VIR-BI 2013.
De ADR rapporteert één e-mailbericht aangetroffen te hebben met een bijlage met de rubricering Staatsgeheim Zeer Geheim. Het onderwerp van dit document heb ik hiervoor reeds beschreven. Daarnaast rapporteert de ADR negentien e-mailberichten te hebben aangetroffen met daarin bijlagen met de rubricering Departementaal Vertrouwelijk. Het betreft hier interne concepten, verslagen, nota’s en memo’s uit mijn periode als Commissaris voor Bonaire, Sint-Eustatius en Saba, en mijn bewindsperioden als Minister van Sociale Zaken en Werkgelegenheid en Minister van Economische Zaken.
Ik merk op dat geen van de door de ADR aangetroffen documenten afkomstig is van een internationale organisatie of een bondgenoot. Om na te gaan of de documenten informatie zouden kunnen bevatten die mogelijk interessant zou kunnen zijn voor andere landen, heb ik de documenten ter beschikking gesteld van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Zij hebben mij bericht dat naar hun oordeel de documenten informatie bevatten die zowel ten tijde van versturen als heden ten dage de interesse van buitenlandse inlichtingendiensten (hadden) kunnen hebben. De AIVD heeft verder geen vervolgonderzoek ingesteld. Ik heb daarnaast, zoals hiervoor aangegeven, de andere departementen die destijds het document hebben opgesteld, gevraagd of het ondernemen van vervolgacties vanwege mogelijke compromittering van de door hen opgestelde documenten nodig is. De betrokken departementen hebben mij aangegeven dat, gegeven de aard en inhoud van de door hen opgestelde documenten, het ondernemen van dergelijke vervolgacties niet nodig is. Dit geldt ook voor de documenten afkomstig van het Ministerie van Economische Zaken.
Ten slotte heb ik op 7 oktober 2016 een exemplaar van het Rapport van bevindingen e-mailbestand zoals opgesteld door de Auditdienst Rijk (ADR) verstrekt aan de Minister van Veiligheid en Justitie. Deze heeft advies ingewonnen bij de Procureur-Generaal bij de Hoge Raad der Nederlanden over de vraag of de bevindingen van de ADR aanleiding geven voor een in te stellen opsporingsonderzoek naar een ambtsmisdrijf. Inmiddels heeft de Minister van Veiligheid en Justitie mij bericht dat de Procureur-Generaal bij de Hoge Raad der Nederlanden hem heeft laten weten onvoldoende grond te zien voor het instellen van een nader strafrechtelijk onderzoek.
Voor een beeld van het onderzoek en de bevindingen van de ADR, leg ik voor uw Kamer het ADR-rapport vertrouwelijk ter inzage5.
Bewustwording
Naar aanleiding van de discussie over het gebruik van mijn privé e-mailaccount is binnen het Ministerie van Economische Zaken reeds aangegeven dat verwacht wordt dat ambtenaren voor gerubriceerde informatie uitsluitend gebruik maken van de door het ministerie ter beschikking gestelde veilige digitale faciliteiten. Daarbij is ook aandacht gevraagd voor de regels voor het omgaan met gerubriceerde informatie. Ik heb gevraagd om ook in de toekomst regelmatig aandacht te geven aan informatieveiligheid en de risico’s van het gebruik van privé e-mailaccounts.
Voor de medewerkers van de rijksoverheid ondersteunt de jaarlijks lopende campagne Alert Online het vergroten van de digitale weerbaarheid. Alert Online heeft als doel het vergroten van kennis en bewustwording over online veiligheid voor burgers, zelfstandige ondernemers, bedrijven en organisaties. Ook zijn structureel voor ambtenaren en hun leidinggevenden workshops en e-learningmodules beschikbaar binnen het programma «iBewustzijn Rijk». Daarnaast is er per 1 juli 2016 één rijksbrede Gedragsregeling voor de digitale werkomgeving met daarin afspraken over digitale gebruiksmogelijkheden, online gedrag en bewuste omgang met risico's. Ook van bewindspersonen is aandacht gevraagd voor deze gedragsregeling.
In het kabinet is eveneens afgesproken dat alle bewindspersonen binnen hun departementen aandacht vragen voor het bewust en zorgvuldig omgaan met gerubriceerde informatie en de risico’s van het eventuele gebruik van privé e-mailaccounts. Daarbij hoort ten minste de betekenis van de verschillende rubriceringen en welke digitale faciliteiten daarbij horen om daar op een verantwoorde wijze mee om te kunnen gaan. Ook zal het handboek aantredende bewindspersonen op dit punt worden aangescherpt.
Ten slotte zal de Rijks-BVA samen met de NCTV aantredende bewindspersonen voorlichten over integrale beveiliging, waarbij ook aandacht wordt geschonken aan de digitale weerbaarheid en de risico’s die men online loopt.
De Minister van Economische Zaken, H.G.J. Kamp