Kamervraag 2020Z07742

Het rapport van de Rekenkamer ‘Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol’

Ingediend 30 april 2020
Beantwoord 11 juni 2020 (na 42 dagen)
Indieners Martijn van Helvert (CDA), Chris van Dam (CDA)
Beantwoord door Ank Bijleveld (minister defensie) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
Onderwerpen economie ict internationaal organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2020Z07742.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20192020-3130.html
  • Vraag 1
    Hebt u kennisgenomen van het rapport van de Algemene Rekenkamer van 20 april 2020 «Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol»?1

    Ja.

  • Vraag 2
    Kunt u een korte schets geven van de drie IT-systemen die onderwerp van onderzoek van de Algemene Rekenkamer waren? Kunt u daarbij aangeven met wat voor soort informatie, op welke wijze en door wie deze IT-systemen gevoed worden, maar ook wat voor soort informatie en ten behoeve van wie deze IT-systemen data opleveren? Wilt u bij de beantwoording van deze vraag ook duiden onder welk privacyregime (Algemene verordening gegevensbescherming (AVG) of Wet politiegegevens (Wpg)) deze gegevens verwerkt worden?

    De Algemene Rekenkamer heeft onderzoek gedaan naar drie systemen.
    Ten eerste het systeem voor pre-assessment van personen op vluchten van buiten het Schengengebied. Persoonsgegevens van de passagiers en bemanningsleden worden door luchtvaartmaatschappijen aangeleverd en in het systeem vergeleken met politieregisters en profielen. Als het systeem aangeeft dat sprake is van een positieve vergelijking, wordt deze handmatig gevalideerd. De gegevensverwerkingen van passagiers binnen dit systeem vallen in beginsel onder de AVG. Bij een verdenking van een strafbaar feit, komen diens persoonsgegevens te vallen onder de Wpg. De gegevens uit de politieregisters vallen standaard onder de Wpg.
    Ten tweede het systeem voor controle van reisdocumenten. Dit systeem wordt in de manuele balies gebruikt en daarbij worden de politieregisters geautomatiseerd geraadpleegd. Met een sensor worden uit het reisdocument van de reiziger persoonsgegevens verzameld. Naam, geboortedatum en documentnummer worden vervolgens door het systeem getoetst aan de politieregisters. Daarnaast vindt een echtheidscontrole van het reisdocument plaats, waarbij het systeem de handmatige controle door de KMar-medewerker ondersteunt door ook (bij de meeste, modernere reisdocumenten) de elektronische chip van het document te controleren. De gegevens vallen in beginsel onder de AVG, totdat een verdenking van een strafbaar feit ontstaat of wordt geconstateerd. Dan is de Wpg van toepassing. De gegevens uit de politieregisters vallen standaard onder de Wpg.
    Ten derde het selfservicesysteem voor grenscontroles in de e-gates van Schiphol. Hiermee worden grenscontroles automatisch uitgevoerd in plaats van handmatig. Het systeem kan niet automatisch een negatieve beslissing nemen. Het systeem beslist positief of verwijst door naar de grenswachters van de KMar. In dit systeem is sprake van verwerking van nagenoeg dezelfde persoonsgegevens als bij de echtheidscontrole. Tevens wordt een live foto van de reiziger geverifieerd met de foto in het aangeboden paspoort. Het systeem kent een automatische koppeling met dezelfde politieregisters als de andere systemen. Ook hier is de AVG van toepassing op de verwerkingen van persoonsgegevens, met uitzondering van de gegevens uit de politieregisters en de gevallen waarin uit die registers een hit volgt.

  • Vraag 3
    Kunt u aangeven wie eigenaar is van de data die worden verzameld via de IT-systemen die gebruikt worden voor grenstoezicht? Is dat in het geval van het selfservicesysteem de eigenaar, te weten Schiphol N.V.? Wat is in dat verband de reden dat het eigenaarschap van het selfservicesysteem wordt overgedragen aan Schiphol N.V.?

    Voor verwerkingen in het kader van de uitoefening van de publiekrechtelijke taak van de Koninklijke Marechaussee is de Minister van Defensie de verwerkingsverantwoordelijke, zoals bepaald in artikel 4 lid 7 AVG. Dit geldt ook voor de persoonsgegevens verwerkt in de systemen voor grenstoezicht. In de Regeling AVG Defensie (art 1.3) is de Commandant van de Koninklijke Marechaussee aangewezen als AVG-beheerder; de AVG-beheerder is het diensthoofd dat namens de Minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel.
    Het Ministerie van Justitie en Veiligheid is momenteel eigenaar van het selfservicesysteem. In het najaar van 2020 is besluitvorming voorzien of het eigenaarschap van de selfservicesysteem wordt overgedragen. Zoals aangegeven in de beantwoording van vragen van de leden Bosman en Yeşilgöz-Zegerius, wordt de Tweede Kamer geïnformeerd over de redenen en de voorwaarden voor de veiligheid waaronder dit gebeurt indien besloten wordt tot overdracht van het eigenaarschap aan Schiphol. Ook indien het eigenaarschap van het selfservicesysteem wordt overgedragen, blijft de verwerkingsverantwoordelijkheid van de data overigens bij de Minister van Defensie. Ook verandert een overdracht niets aan de bestaande wettelijke verantwoordelijkheden inzake de uitvoering van het grenstoezicht.

  • Vraag 4
    Acht u het wenselijk dat er geen wettelijke beperkingen gelden voor het overdragen van IT-eigenaarschap bij vitale overheidstaken, zoals grenstoezicht, aan partijen met commerciële belangen?

    Zo’n 80% van de Nederlandse vitale processen is in handen van private partijen. In het algemeen geldt dat vitale aanbieders verantwoordelijk zijn voor de continuïteit en weerbaarheid van vitale processen. Daarbij hoort het verkrijgen van inzicht in dreigingen, kwetsbaarheden en risico’s en het ontwikkelen en onderhouden van capaciteiten waarmee de weerbaarheid van vitale processen wordt verhoogd en geborgd.2 Ook bij het overdragen van eigenaarschap is het de verantwoordelijkheid van de vitale aanbieder om de risico’s voor de nationale veiligheid in kaart te brengen en te mitigeren. Door middel van toezicht wordt gecontroleerd of vitale aanbieders hiertoe de juiste maatregelen nemen.
    Het kabinet is waakzaam op de aantasting van continuïteit van dienstverlening van vitale diensten en processen. De Minister van Justitie en Veiligheid heeft uw Kamer reeds geïnformeerd over de aanvullende maatregelen die het kabinet hiertoe neemt, zoals maatregelen ter bescherming van nationale veiligheid bij inkoop en aanbesteding en bij overnames en investeringen.3 Daarnaast bekijkt het kabinet hoe huidige wet- en regelgeving ter bescherming van nationale veiligheidsrisico’s bij private ondernemingen beter benut en aangescherpt kan worden.4

  • Vraag 5
    Op welke wijze is het proces van implementatie van het nieuwe selfservicesysteem ingericht zodat er voldoende waarborgen bestaan dat commerciële belangen niet zomaar de overhand krijgen boven de veiligheid van een dergelijk systeem?

    Zie antwoord vraag 3.

  • Vraag 6
    Welke gegevensverwerking is toegestaan ten aanzien van de verzamelde gegevens via het grenstoezicht? Mogen verzamelde gegevens ook privaat en/of commercieel gebruikt worden?

    De via het grenstoezicht verkregen persoonsgegevens worden onder de AVG slechts verwerkt ten behoeve van een deugdelijke uitvoering van het grenstoezicht. Wanneer bij grenstoezicht sprake is van een positieve vergelijking uit de politieregisters, kunnen politiegegevens onder de voorwaarden van de Wpg worden verstrekt aan de in die wet aangewezen (publiekrechtelijke) partijen. Commercieel en/of privaat gebruik van de persoonsgegevens is niet toegestaan.

  • Vraag 7
    Worden passagiersgegevens (PNR-gegevens) gebruikt voor het uitvoeren van het grenstoezicht? Mogen deze gegevens verwerkt worden door partijen met een commercieel belang in het kader van het uitvoeren van grenstoezicht?

    PNR-gegevens worden verwerkt door de Passagiersinformatie-eenheid Nederland (Pi-NL), ten behoeve van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, op grond van de PNR-wet. De Pi-NL valt onder de verantwoordelijkheid van de Minister van Justitie en Veiligheid en is ondergebracht bij de Koninklijke Marechaussee. Pi-NL kan aan bevoegde instanties op hun verzoek PNR-gegevens verstrekken, niet aan commerciële partijen.
    PNR-gegevens van luchtvaartpassagiers worden tevens gebruikt door de Douane ten behoeve van de controles in het kader van douanetoezicht op de door deze passagiers meegevoerde goederen, op grond van het Douanewetboek van de Unie en de Algemene Douanewet. De Douane valt onder de verantwoordelijkheid van het Ministerie van Financiën.

  • Vraag 8
    Wie ziet er toe op de goedkeuringsprocedure voor het IT-systeem voor de selfservice op Schiphol? Wat is de reden dat het Defensiebeveiligingsbeleid niet is doorlopen bij de goedkeuringsprocedure?

    Nadat twee keer een tijdelijke goedkeuring voor het selfservicesysteem is gegeven, is gekozen om in het vervolg slechts goedkeuring te geven wanneer de doorontwikkeling van de software gereed is. Dan kan een definitieve goedkeuring gegeven worden.
    Deze doorontwikkeling duurt langer dan voorzien. De goedkeuringsprocedure voor het selfservicesysteem is echter reeds gestart. De ministeries van Defensie, Justitie en Veiligheid en Schiphol NV hebben gezamenlijk de te treffen maatregelen geïdentificeerd en werken momenteel aan de implementatie van deze maatregelen. Dit gebeurt conform het Defensieveiligheidsbeleid. Het streven is om alle voor goedkeuring noodzakelijke maatregelen dit jaar te implementeren. Momenteel houdt het Ministerie van Justitie en Veiligheid toezicht op het doorlopen van de goedkeuringsprocedure.
    Conform de informatiebeveiligingsrichtlijnen van de rijksoverheid zijn verschillende maatregelen genomen ten behoeve van de veiligheid. Het gaat bijvoorbeeld om de fysieke beveiliging, maar ook het opzetten van een firewall. Er kunnen altijd kwetsbaarheden zijn die nog niet bekend zijn. Er worden echter continu verbeteringen doorgevoerd om de beveiliging te versterken.
    Voor het systeem voor de pre-assessment, waar u ook om vraagt, is een goedkeuring voor ingebruikname afgegeven.

  • Vraag 9
    Kunt u aangeven of van het selfservicesysteem en het IT-systeem voor de pre-assessment de veiligheid gegarandeerd kan worden nu niet de gehele goedkeuringsprocedure is doorlopen?

    Zie antwoord vraag 8.

  • Vraag 10
    Hoe kan het dat er tweemaal een tijdelijke goedkeuring is afgegeven voor het selfservicesysteem, waarvan de laatste in 2018 is afgegeven, waardoor er al twee jaar geen goedkeuring van het systeem is afgegeven?

    Zie antwoord vraag 8.

  • Vraag 11
    Welke kaders bestaan er ten aanzien van het gebruik van IT-systemen bij grenstoezicht indien deze niet (meer) zijn goedgekeurd? Hoe lang is een tijdelijke goedkeuring geldig?

    Defensie hanteert voor haar systemen een goedkeuringsproces voor ingebruikname. Afhankelijk van de inschatting van de impact van eventuele gebreken, worden afspraken gemaakt over een verbetertraject. Bij een tijdelijke goedkeuring wordt een tijdstermijn afgesproken over de noodzakelijke verbeteringen waarna een terugkoppeling moet worden gegeven over de afwikkeling van deze verbeteringen. In principe wordt maximaal een jaar aan een dergelijke goedkeuring gegeven, waarna een herbeoordeling plaatsvindt.

  • Vraag 12
    Waarom wordt er maar eens per drie jaar een beveiligingstest uitgevoerd op grote systemen? Acht u deze termijn wenselijk in de huidige tijd waar (cyber)beveiliging steeds wendbaarder moet worden om alle dreigingen het hoofd te bieden?

    In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.

  • Vraag 13
    Is het staand beleid dat de IT-systemen van grenstoezicht niet aangesloten zullen worden op de detectiecapaciteit van het Security Intelligence Operations Center (SIOC)?

    Essentiële processen en systemen voor het kunnen inzetten van militaire eenheden worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
    Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
    Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie een groot gedeelte van de risico’s bij deze systemen.

  • Vraag 14
    Volstaat het voor u dat het selfservicesysteem aangesloten zal worden op het Security Operations Center (SOC) van Schiphol N.V en niet op bijvoorbeeld het SIOC?

    De ministeries van Defensie en Justitie en Veiligheid en Schiphol NV onderzoeken hoe de eis van veiligheidsmonitoring effectief ingevuld kan worden. De verwachting is dat het SOC van Schiphol NV voldoende waarborgen biedt.

  • Vraag 15
    Welke kwetsbaarheden ziet u in de huidige systematiek waarbij grenstoezicht niet is aangesloten op het SIOC?

    De systemen voor pre-assessment documentcontrole in de manuele balie zijn ingebed op de netwerkstructuur van Defensie. Dit netwerk is alleen toegankelijk voor geautoriseerde medewerkers van Defensie. Dat wordt door het SOC gemonitord. Daarnaast heeft alleen geautoriseerd grensbewakingspersoneel via de netwerkstructuur toegang tot de genoemde systemen. Daarmee zijn de risico’s op misbruik beperkt. Omdat de systemen zelf niet worden gemonitord, is het evenwel mogelijk dat een systeemincident niet direct gedetecteerd wordt. Daarom worden de kritieke systemen op het SOC aangesloten, waarbij wordt opgemerkt dat de schaarse aansluitcapaciteit bij het SOC initieel wordt ingezet om de belangrijkste kritieke systemen aan te sluiten.

  • Vraag 16
    Kunt u inzichtelijk maken welke stappen er worden doorlopen op het moment dat gesignaleerd wordt door het Ministerie van Defensie en/of het SIOC dat er een digitale aanval op het grenstoezicht plaatsvindt?

    Indien het SOC (onderdeel van het Defensie Cyber Security Centrum (DCSC)) een digitale aanval signaleert, start het DCSC het incident responseproces op. Daartoe beschikt het DCSC over een incidentcoördinator die met een team van cyberspecialisten het zogenaamde triageproces uitvoert. Tijdens de triage worden de aard en oorzaak van het incident geanalyseerd en de te nemen maatregelen vastgesteld. Daarvoor beschikt het DCSC ook over forensisch onderzoekscapaciteit. In nauw overleg met de lokale commandant en de lokale IT-beheerorganisatie worden de maatregelen uitgevoerd om de schade voor de eenheid zoveel mogelijk te voorkomen dan wel te beperken. Daarbij adviseert het DCSC de beheerorganisatie op welke wijze zij herhaling van het cyberincident kunnen voorkomen. In algemene zin geldt verder dat bij een mogelijk strafbaar feit de KMar wordt geïnformeerd en bij de betrokkenheid van een statelijke actor de MIVD wordt ingelicht. Als dat vanuit veiligheidsoverwegingen mogelijk is, worden ook andere organisaties (zoals het NCSC, NATO, EU) geïnformeerd over de cyberaanval.

  • Vraag 17
    Zijn er evaluatierapporten uitgebracht door het Defensie Computer Emergency Response Team (DefCERT) ten aanzien van de cyberveiligheid van de IT-systemen voor het grenstoezicht op Schiphol? Kunt u de resultaten van gedane beveiligingstesten delen met de Kamer?

    Het DefCERT (onderdeel van het Defensie Cyber Security Centrum (DCSC)) heeft op beide KMar-systemen een cybersecurityonderzoek uitgevoerd; op het baliesysteem in 2016 in opdracht van de KMar en op het pre-assessmentsysteem in 2019 op verzoek van de Algemene Rekenkamer. De onderzoeksresultaten van het baliesysteem zijn gerubriceerd en kunnen daarom niet gedeeld worden. De resultaten van het onderzoek naar het pre-assessmentsysteem door de Algemene Rekenkamer zijn tevens gerubriceerd. De bevindingen die zijn opgelost zijn opgenomen in het ARK-rapport. Verder is het DCSC op dit moment betrokken bij het cybersecurityonderzoek van het systeem waarmee automatische grenscontroles worden uitgevoerd in opdracht van het Ministerie van Justitie en Veiligheid. Dit onderzoek is nog niet afgerond.

  • Vraag 18
    Bestaat er een risicoanalyse of een cybercriminaliteitsbeeldanalyse ten aanzien van vitale ICT-systemen op en rond Schiphol, in het bijzonder daar waar het gaat om veiligheid en grenstoezicht? In welke mate wordt er aan dit onderwerp aandacht besteed in het kader van Beveiliging en Publieke Veiligheid Schiphol (BPVS)? Wat zijn in BPVS-verband de meest recente ontwikkelingen op het vlak van cyberveiligheid, inclusief de preparatie op hack- en andere cyberdreigingen?

    In BPVS-verband is op structurele basis aandacht voor het thema cybersecurity. Tussen de luchtvaartpartijen op en rond Schiphol en in verschillende samenwerkingsverbanden worden op reguliere basis actuele ontwikkelingen en trends gedeeld. Hierbij wordt specifiek aandacht besteed aan actuele dreigingsbeelden en het inzichtelijk maken van risico’s voor de luchtvaartsector. Ook toepasselijke nationale- en internationale cyber security wet- en regelgeving komen hier aan de orde. Gelet op de vertrouwelijkheid van de informatie kan ik inhoudelijk niet ingaan op de specifieke ontwikkelingen en concrete ondernomen acties rondom cyberveiligheid.

  • Mededeling - 22 mei 2020

    Hierbij deel ik u mede namens de Minister van Defensie dat de schriftelijke vragen van de leden Van Dam en Van Helvert (beiden CDA), van uw Kamer aan de Minister van Justitie en Veiligheid over het rapport van de Algemene Rekenkamer «Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol» (ingezonden 30 april 2020) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.


Kamervraag document nummer: kv-tk-2020Z07742
Volledige titel: Het rapport van de Rekenkamer ‘Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol’
Kamerantwoord document nummer: ah-tk-20192020-3130
Volledige titel: Antwoord op vragen van de leden Van Dam en Van Helvert over het rapport van de Algemene Rekenkamer 'Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol'