| Ingediend | 1 mei 2023 |
|---|---|
| Beantwoord | 14 juni 2023 (na 44 dagen) |
| Indiener | Ulysse Ellian (VVD) |
| Beantwoord door | Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66) |
| Onderwerpen | criminaliteit openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z07767.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-2897.html |
Ja.
Op 24 mei 2022 heb ik uw vragen over de stand van zaken met betrekking tot de berichtenservice eMates beantwoord.3 Ten tijde van deze beantwoording moest het rapport van de ADR nog worden afgewacht.
Het rapport van de ADR is op 3 februari 2023 aan uw Kamer gezonden.4 Voor DJI staat het belang van de bescherming en beveiliging van gegevens voorop. Het ADR-rapport heeft de zorgen die tot het onderzoek aanleiding hebben gegeven niet kunnen wegnemen. Naar aanleiding van de bevindingen van de ADR heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen.
Deze uitkomst beantwoordt de vragen waarnaar ik naar uitkomst van het ADR-rapport heb verwezen, zie voor de volledigheid ook bijlage 1.
De motie waarnaar wordt verwezen verzoekt de regering ervoor te zorgen dat penitentiaire inrichtingen (PI’s) de mogelijkheid gaan bieden aan gedetineerden om e-mails te ontvangen via de postkamer en hiertoe in contact te treden met de service «Emailaprisoner» en eventuele andere aanbieders.
Het initiatief voor een berichtenservice ontstond vanuit een aanbod van buiten DJI en niet vanuit een interne vraag van DJI. De berichtenservice, destijds onder de naam Emailaprisoner, is geïntroduceerd als onderdeel van het programma Modernisering Gevangeniswezen (MGW) dat in de periode 2008–2012 liep. Uitgangspunt van het programma was dat iedere gedetineerde de juiste mate van beveiliging, zorg en passende dagprogramma’s kon krijgen om zo de kans te vergroten op een geslaagde terugkeer in de maatschappij en recidive te verminderen. De toentertijd moderne berichtenservice (van Emailaprisoner) sloot aan bij de doelstellingen van het programma.6 Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
De medewerking aan het onderzoek is afhankelijk geweest van de welwillendheid van eMates en haar IT-serviceprovider Unilink. Hoewel de gewenste diepgang niet is bereikt, heeft de ADR met de verstrekte informatie wel voldoende inzicht gegeven waarop DJI een besluit heeft kunnen nemen.
In afwachting van de uitkomsten van het ADR-onderzoek en een te nemen besluit inzake het al dan niet continueren van een e-mailberichtenservice was het idee eMates een incidentele subsidie aan te bieden.7 Nu besloten is definitief te stoppen met de dienstverlening van eMates is deze subsidie niet verstrekt. Samen met eMates wordt gekeken naar een zorgvuldige afwikkeling. Daarin zal de periode van opschorting ook worden meegenomen. Een eventueel uit te keren bedrag zal binnen de begroting van DJI gedekt worden.
Zie antwoord vraag 5.
Op basis van de beschreven feitelijkheden door de ADR heeft DJI kunnen constateren dat in onvoldoende mate is voldaan aan de gestelde eisen. Mede om die reden heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen. Ik steun het besluit van DJI dat zij naar aanleiding van de bevindingen van de ADR heeft genomen.
Er zijn geen datalekken gemeld, maar ik kan ook niet uitsluiten dat bij eMates persoonsgegevens onrechtmatig zijn verwerkt. Er wordt in goed overleg met eMates bezien hoe de samenwerking op een correcte manier kan worden afgewikkeld. Bij de afwikkeling zal ook aandacht worden besteed aan de vraag of er in het verleden een inbreuk op de integriteit van de data is geweest.
Nee, eMates controleerde de berichten enkel op pornografische, erotische en gewelddadige afbeeldingen. De ontvangen digitale postberichten werden door DJI beoordeeld conform reguliere procedure. Wanneer relevante opsporingsinformatie wordt aangetroffen wordt dat doorgezet naar het Gedetineerde Recherche Informatie Punt (GRIP).
Het verkrijgen van gegevens die eMates nu nog bezit maakt onderdeel uit van de juridische afhandeling en kan daarom nu niet verder worden beantwoord.
eMates-berichten die door PI’s zijn «afgekeurd», zijn niet aan de gedetineerden uitgereikt. eMates heeft geen inzicht in welke berichten wel of niet zijn uitgereikt. De medewerkers van eMates konden in theorie alle berichten inzien. eMates geeft aan dat er door de beperkte omvang van de onderneming geen sprake was van een ingerichte functiescheiding8 en dat dit werd gecompenseerd via logging door de provider(s) die audittrails faciliteert wanneer dat nodig is.
De berichten die via eMates zijn verstuurd werden op dezelfde manier behandeld als reguliere post. Voor de Extra Beveiligde Inrichting (EBI) en Terroristenafdeling (TA) geldt dat alle berichten aan en van gedetineerden worden gecontroleerd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het Gedetineerden Recherche Informatie Punt (GRIP).9 Voor gedetineerden die niet gedetineerd zitten in de EBI en TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. In dat geval wordt er per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die destijds via eMates zijn verstuurd.10
Zoals ik ook in mijn brief aan uw Kamer van 24 maart 2022 heb gesteld is het feit dat er geen sluitende afspraken met eMates zijn gemaakt en
daarop evenmin toezicht werd gehouden onacceptabel.11 Dit is één van de redenen geweest om de medewerking aan de dienstverlening van eMates per direct te beëindigen.
Ik kan dat niet met honderd procent zekerheid stellen. Zoals aangegeven bij antwoord op vraag 11 kan ik wel zeggen dat alle berichten aan en van gedetineerden in de EBI en TA worden gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is.12 In dat geval wordt per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die via eMates zijn verstuurd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het GRIP.
Het opvragen van de gegevens maakt deel uit van de juridische afwikkeling van de medewerking aan de dienstverlening van eMates. Aangezien de onderhandelingen nog lopen kan ik daar nu geen antwoord op geven.
Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
Zoals uit het antwoord bij vraag 13 blijkt, worden alle berichten van en aan gedetineerden in de EBI en de TA door DJI gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. Dat hier verschil in zit heeft te maken met differentiatie in beveiligingsniveaus.
Tijdens de oriëntatie naar een nieuwe berichtservice worden de informatiebeveiligingseisen voor een alternatieve berichtenservice meegenomen. Een dergelijke berichtenservice dient veilig en eigentijds te zijn.
Er kan nu geen sluitend antwoord gegeven worden op de vraag aan welke specifieke informatiebeveiligingseisen een nieuwe alternatieve berichtenservice moet voldoen, omdat dat afhankelijk is van de functionele wensen. In algemene zin kan wel gezegd worden dat de alternatieve berichtenservice minimaal zal moeten voldoen aan het vigerend beleid waaraan DJI in het kader van informatiebeveiliging voldoet. De reden waarom deze eisen nooit aan Mates is opgelegd, is omdat DJI geen contract had met serviceprovider Unilink en er geen formele klant-leverancier relatie met eMates bestond. Dit soort constructies zullen in de toekomst voorkomen worden.
In mijn brief aan uw Kamer op 3 april 2023 inzake het VKC-verzoek over de voortgang op uitvoering moties van het lid Ellian (VVD) gaf ik aan dat voor de langere termijn ook zal worden gekeken naar de inzet van Artificial Intelligence (AI) om sneller en efficiënter de bulk van berichtenverkeer met gedetineerden te controleren op signalen van voortgezet crimineel handelen.13 Of een alternatieve elektronische berichtenservice in eigen beheer van DJI wenselijk is, is DJI momenteel aan het onderzoeken. Ik verwacht uw Kamer na het zomerreces hierover te kunnen infomeren.
Zie antwoord vraag 15.
Hierbij deel ik u mede dat de schriftelijke vragen van het lid Ellian (VVD), van uw Kamer aan de Minister voor Rechtsbescherming over het Rapport van de ADR over eMates (ingezonden 1 mei 2023) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.