| Ingediend | 20 december 2024 |
|---|---|
| Beantwoord | 31 januari 2025 (na 42 dagen) |
| Indieners | Songül Mutluer (PvdA), Jesse Six Dijkstra (NSC) |
| Beantwoord door | Schoof , van Weel |
| Onderwerpen | bestuur organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2024Z21925.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20242025-1187.html |
Zoals u in de kabinetsreactie heeft kunnen lezen ben ik van mening dat de NCTV en de politie een belangrijke rol spelen bij het veilig houden van ons land. Zij beschikken daartoe over een specifieke informatiepositie. Tegelijkertijd, zoals ook in de brief aan uw Kamer gemeld, onderschrijf ik de boodschap van de ADR dat de informatiebeveiliging beter kan en moet volledig en worden de aanbevelingen omarmd. Sinds de aanhoudingen zijn er binnen de NCTV en politie direct maatregelen getroffen. Het gaat dan om zowel noodmaatregelen als gelijktijdig ingezette maatregelen gericht op de lange(re) termijn. De aanbevelingen die de ADR in haar rapport heeft gedaan zijn, voor zover die nog niet waren meegenomen als onderdeel van de reeds getroffen maatregelen, weer integraal meegenomen in het continue verbeterproces.
De omvangrijke stappen die sinds de aanhoudingen en naar aanleiding van het ADR rapport zijn gezet illustreren dat de aanbevelingen door zowel de NCTV als de politie met de nodige urgentie en zorgvuldigheid zijn opgepakt en zullen blijven worden opgepakt.
Voor een gedetailleerde toelichting daarop verwijs ik naar de kabinetsreactie en bijbehorende bijlage die op 13 december aan uw Kamer is gestuurd. Zoals gemeld in deze Kamerbrief, heb ik ervaren dat de onderzochte organisaties de urgentie voelen en de aanbevelingen van de ADR adequaat hebben opgepakt.
Het toezicht op informatiebeveiliging is, in lijn met de aanbevelingen van de ADR, versterkt. Dit heeft voor het MT van de NCTV prioriteit en er zijn door de NCTV dan ook zowel ten aanzien van de digitale als fysieke verwerking van bijzondere informatie belangrijke stappen gezet. Dit heeft er onder meer toe geleid dat de NCTV sinds 8 april 2024 een accreditatie heeft ontvangen voor de duur van 1 jaar die ziet op het digitale systeem waarmee bijzondere informatie wordt verwerkt.
ok is binnen elke afdeling opnieuw bepaald welke functionaris welke rechten heeft en zijn de meest verstrekkende rechten, zoals printen, beperkt tot enkele medewerkers. Daarbij wordt scherp gecontroleerd, aan de hand van een PDCA (Plan, Do, Check, Act)-cyclus die momenteel wordt ingericht, of gestelde regels worden gevolgd, of dit ordentelijk gebeurt en of er verdere verbeteringen te treffen zijn. Om dit structureler te borgen is onder meer een afdeling in oprichting die moet gaan toezien op Risicomanagement en Compliance binnen de NCTV. Ook wordt het beveiligingscoördinator (BVC)-cluster versterkt. Tot slot is een toezichtsplan opgesteld en zal dit jaarlijks worden geüpdatet. De taken in het toezicht worden daarin meegenomen. Een jaarlijkse bespreking door het managementteam van de resultaten van dit toezicht maakt hiervan onderdeel uit. Voor een uitgebreide toelichting hierop verwijs ik naar de kabinetsreactie van 13 december 2024 en de bijbehorende bijlage.
Ik weerspreek de conclusie dat de bescherming van onze nationale veiligheid van ondergeschikt belang was voor het MT van de NCTV. Het veilig houden van ons land is juist waar de NCTV en haar medewerkers zich hard voor inzetten. Dat bestaat uit meer dan informatiebeveiliging alleen. Dat neemt niet weg dat, zoals de ADR ook concludeert, er meer aandacht voor informatiebeveiliging nodig is.
Er is, zoals aangegeven in de Kabinetsreactie van 13 december 2024, een andere aanpak en bewustzijn over de hele breedte van de omgang met bijzondere informatie bij de NCTV en de politie nodig. Daar zijn omvangrijke stappen toe gezet. Zie hiervoor ook de beantwoording van vraag 2 en de kabinetsreactie van 13 december 2024 en de bijbehorende bijlage.
De analyses van de NCTV komen op een zorgvuldige wijze tot stand, waarbij gebruik wordt gemaakt van informatie van partners, als de AIVD, MIVD, de Politie en open bronnen waaronder online en offline media en wetenschappelijke literatuur. De analyses komen tot stand volgens een validatieproces, waarbij zowel intern als extern een inhoudelijke beoordeling op kwaliteit plaatsvindt.
Gelet op de omvang van het informatieverzoek en de zorgvuldigheid waarmee dit verzoek behandeld dient te worden is het niet gelukt dit af te ronden voor het verstrijken van de termijn van de beantwoording. Uw Kamer wordt op een later moment en in ieder geval voor het debat nader geïnformeerd.
De ADR doet regulier bij het Ministerie van Justitie en Veiligheid, waar ook de NCTV onderdeel van is, audits. Dit betreft de jaarlijkse auditrapporten bij het jaarverslag van het Ministerie van Justitie en Veiligheid en onderzoeken op verzoek van de NCTV of departementale leiding. De openbaar gemaakte rapporten van de ADR over onderwerpen die vallen onder verantwoordelijkheid van het Ministerie van JenV zijn hier te vinden: ADR-rapporten ministerie van Justitie en Veiligheid | Rijksoverheid | Rijksoverheid.nl
Voor wat betreft onderzoeken op verzoek van de NCTV heeft de ADR er een groot aantal uitgevoerd in de afgelopen tien jaar, variërend van de Beleidsdoorlichting van Artikel 36.23 tot Pentesten op bijvoorbeeld websites of systemen. Vanwege de veiligheidsrisico’s zijn de ICT-onderzoeken zoals de Pentesten niet openbaar gemaakt.
Er zijn verschillende maatregelen getroffen om het toezicht op de informatiebeveiliging bij de NCTV te versterken. Deze maatregelen zijn onderdeel van een continu proces middels een PDCA-cyclus. Voor een uitgebreide toelichting op die maatregelen verwijs ik naar de kabinetsreactie en bijbehorende bijlage die op 13 december 2024 aan uw Kamer is toegezonden. Daarnaast wijs ik op het herhaalonderzoek dat door de ADR zal worden uitgevoerd. Uw Kamer wordt over de uitkomsten daarvan geïnformeerd.
Alle medewerkers van de NCTV moeten zich bij hun werkzaamheden aan de voorwaarden houden die op basis van wet- en regelgeving gelden. Het is soms noodzakelijk en daarmee dus ook binnen de geldende wet- en regelgeving mogelijk gemaakt om onder strikte voorwaarden staatsgeheime informatie buiten de NCTV (en andere overheidspartijen) te verwerken, bijvoorbeeld ten behoeve van overleggen of informatie-uitwisseling. Dat was het en dat is het nu ook. Het ADR Rapport geeft duidelijk aan dat betere voorbereiding nodig is op mogelijk misbruik van gerechtvaardigde toegang tot bijzondere informatie. Die conclusie onderschrijf ik en daartoe zijn ook maatregelen getroffen. Tegelijkertijd valt nooit volledig uit te sluiten dat iemand met beroepshalve gerechtvaardigde toegang niet goed met bijzondere informatie omgaat.
Zie antwoord vraag 8.
Zie antwoord vraag 8.
Zoals aangegeven in de Kamerbrief van 13 december 2024, had de bewuste medewerker toestemming voor het gebruik van een beperkt aantal specifieke datadragers die vanuit de werkgever waren verstrekt. Datadragers werden in het algemeen onder andere gebruikt ten behoeve van presentaties die medewerkers moesten geven, of transport van documenten, als dit niet op een andere manier kon. In die gevallen ging het doorgaans om niet-gerubriceerde informatie. Medewerkers die door de werkgever uitgegeven datadragers nodig hadden, moesten deze via een specifieke procedure aanvragen. Deze aanvraag en uitgifte werd vastgelegd. De journalist in kwestie stelde tijdens het interview echter dat er sprake zou zijn van het gebruik van een eigen harde schijf. Het gebruik van een eigen harde schijf, dus een privéschijf, zou een veiligheidsincident zijn. Dit is, op basis van de toen beschikbare informatie, zorgvuldig uitgelopen door de NCTV. Op basis daarvan is geconcludeerd dat er geen sprake was van het gebruik van een eigen harde schijf, dus een privéschijf. Uw Kamer heeft op dit onderwerp alle reeds bekende informatie ontvangen. Dat misbruik van datadragers in zijn algemeenheid nadere aandacht had verdiend, onderschrijf ik. Om deze reden worden datadragers alleen nog beperkt in noodzakelijke gevallen en onder toezicht uitgegeven en is de administratie daarvan en monitoring daarop aangescherpt.
Zoals aangegeven in de Kamerbrief van 13 december 2024, blijkt uit het rapport dat de BVA van JenV niet altijd over een (voldoende) eigenstandige informatiepositie beschikte en bepaalde beveiligingsincidenten door de eerste of tweede lijn niet als zodanig herkend en dus gemeld werden. Hierdoor kon onvoldoende invulling worden gegeven aan de toezichthoudende taak van de BVA. De BVA zal daartoe tot andersoortige toezicht komen op en samenwerking met alle onderdelen van het departement die met bijzondere informatie werken.
De BVA van JenV zal daartoe in de reguliere overleggen die periodiek worden gevoerd met alle JenV organisatieonderdelen, waaronder beveiliging van de NCTV, structureel meer aandacht besteden aan diverse onderwerpen, waaronder de omgang met bijzondere informatie. Doel daarvan is dat de BVA zelf meer informatie ophaalt bij de organisaties binnen het departement waar gewerkt wordt met bijzondere informatie en op basis daarvan aandachtspunten in de informatiebeveiliging identificeert. De versterking van de samenwerking tussen de BVA en NCTV zal prioriteit hebben, mede gelet op de te nemen stappen richting de accreditatie van de digitale verwerking van bijzondere informatie en de fysieke context waarbinnen dat gebeurt binnen de NCTV in 2025 en ten aanzien van de vertrouwensfuncties en veiligheidsonderzoeken.
Daar is de afgelopen periode reeds invulling aan gegeven. De BVA van JenV is nauw betrokken bij de maatregelen die worden ingericht om de informatiebeveiliging bij de NCTV, mede naar aanleiding van het ADR Rapport, te verbeteren. Het VIR, VIR-BI en de BIO gelden daarbij als uitgangspunt. Aan de hand daarvan wordt ook door de BVA van JenV de voortgang getoetst. De BVA heeft daarin een eigenstandige informatiepositie en adviseert ten aanzien van de invulling die wordt gegeven aan maatregelen.
De BVA van JenV is beheersmatig ondergebracht bij de directie Informatievoorziening en Inkoop. Deze directie valt onder de Hoofddirecteur bedrijfsvoering. De Beveiligingsautoriteit JenV stuurt het Bureau BVA aan Conform het Besluit BVA-stelsel Rijksdienst 2021, heeft BVA een onafhankelijke positie en rechtstreeks toegang tot de secretaris-generaal.Voor de maatregelen die zijn genomen ter versterking van het derdelijns toezicht vanuit de BVA binnen JenV verwijs ik naar de Kabinetsreactie en bijbehorende bijlage.
In het Besluit BVA-stelsel Rijksdienst 2021, zijn verder de formele positie, taken en bevoegdheden van onder andere de BVA Rijk, BVA en BVC zijn vastgelegd. Daarin is vastgelegd dat de BVA kaderstellende, adviserende en toezichthoudende rol over de integrale beveiliging van het departement. In algemene zin geldt dat de BVA’s functioneel worden aangestuurd door de BVA Rijk. De BVA kan aanwijzingen geven en/of maatregelen (laten) treffen.
Zie antwoord vraag 12.
In 2023 is vanuit het BVA-beraad gestart met de evaluatie van het BVA-stelsel. De evaluatie is nog niet afgerond door onderbezetting en personeelswisseling. BVA-rijk is verantwoordelijk voor de evaluatie van het BVA-stelsel en in 2025 wordt dit alsnog opgepakt. Toezicht op het VIR-BI (waaronder staatsgeheimen) is hier onderdeel van. Resultaten zullen zo ver als mogelijk gedeeld worden met uw Kamer door de Minister van Binnenlandse Zaken en Koninkrijksrelaties.
Daarnaast is relevant om te vermelden dat ook intensivering van het toezicht is voorgenomen. In 2025 zal dat zijn beslag krijgen. Waarbij wordt vermeld dat de belangrijkste winst bij de beveiliging van staatsgeheimen in eerste instantie te vinden is in het bieden van (betere en Rijksbrede) voorzieningen en hogere bewustwording. Aanvullend is het VIR-BI geëvalueerd om te bezien of de regelgeving aanscherping of verduidelijking behoeft. Deze actualisatie is in het eerste kwartaal van 2024 gestart en is nagenoeg gereed. Naar verwachting wordt het in april gepubliceerd.
Op basis van de Wet bescherming klokkenluiders kunnen werkenden een melding van een vermoedelijke misstand doen bij de werkgever (intern) of bij een aangewezen bevoegde autoriteit (extern; waarbij het Huis voor klokkenluiders geldt als een last resort als er geen andere bevoegde autoriteit is). In de Wet bescherming klokkenluiders zijn diverse beschermingsmaatregelen opgenomen. Zo mogen melders van een vermoeden van een misstand niet worden benadeeld door hun werkgever tijdens en na de behandeling van hun melding. Daarnaast schrijft de Wet bescherming klokkenluiders voor dat werkgevers en bevoegde autoriteiten meldingen vertrouwelijk moeten behandelen en de identiteit van de melder in beginsel geheim moeten houden.
Voor de NCTV als onderdeel van het Ministerie van Justitie en Veiligheid geldt bij vermoedens van misstanden de meldprocedure volgens de CAO Rijk (zie: 13.2 Voorzieningen bij melden vermoeden van een misstand). Voor politieambtenaren, waaronder het CTER-cluster, zijn regels over het melden van een vermoeden van een misstand opgenomen in het Besluit algemene rechtspositie politie (Barp). Binnen het klokkenluidersmeldpunt van de politie werken een aantal vertrouwenspersonen met verschillende screeningsniveaus. Hierdoor kunnen ook meldingen vanuit het werkgebied van CTER met deze functionarissen besproken worden. Voor werkzaamheden die zien op het uitvoeren van de Wet inlichtingen- en veiligheidsdiensten geldt een specifieke procedure bij de Afdeling Klachtbehandeling van de CTIVD.
Hier voeg ik aan toe dat in de initiatiefnota van het lid Omtzigt over voorstellen ter aanmoediging van het melden van misstanden en ter verbetering van de bescherming van klokkenluiders6 het voorstel is opgenomen om een apart meldkanaal op te zetten voor het melden van geheime (staats)informatie bij de Tweede Kamer of de Algemene Rekenkamer (voorstel 6). De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft toegezegd dat zij in het voorjaar van 2025 met een stand-van-zakenbrief onder meer ingaat op de voorstellen uit de initiatiefnota van het lid Omtzigt.7
Daarnaast geldt dat op grond van het VIRBI 2013 (artikel 8, lid 1) elke ambtenaar verplicht is de Beveiligingsautoriteit (BVA) onmiddellijk mededeling te doen van een inbreuk op de beveiliging die redelijkerwijs kan leiden, dan wel vermoedelijk of vaststaand heeft geleid, tot compromittering van bijzondere informatie.
Uw Kamer heeft recent de motie van het lid Van Waveren aangenomen die de regering verzoekt te onderzoeken welke aanvullende waarborgen in de Wet bescherming klokkenluiders of in de uitvoering van de wet nodig zijn om klokkenluiders bij de veiligheids- en opsporingsdiensten in het kader van de anonimiteit en de veiligheid beter te beschermen en dit te betrekken bij het wetsvoorstel aanpassing Wet bescherming klokkenluiders.8 De Minister van BZK zal de Kamer hier verder over informeren.
Zie antwoord vraag 16.
Het ADR rapport geeft aan dat onduidelijk is wat er met de uitgegeven USB-sticks is gebeurd, waar deze zich bevinden en welke informatie daarop is opgeslagen. Het ADR rapport geeft aan dat volgens de administratie circa 200 USB sticks in omloop zijn die mogelijk staatsgeheime informatie bevatten. In het ADR Rapport is tevens opgenomen dat de NCTV heeft aangegeven dat het aantal lager is dan 200. Feit blijft dat de administratie niet op orde was. Bij het uitgeven van USB’s werd dit vaak wel geregistreerd, maar bij inname is dit niet altijd het geval geweest. Daardoor ontbreken exacte getallen hoeveel van deze USB’s zijn ingeleverd en/of vernietigd, waar een aantal USB’s zich bevinden en wat er op deze dragers stond. Die onzekerheid is bij bijzondere informatie zeer onwenselijk. Het moet altijd duidelijk zijn waar bijzondere informatie op welk moment is. Ook moet altijd geborgd worden dat bijzondere informatie na gebruik weer op de juiste manier wordt opgeslagen of vernietigd. Daarom zijn maatregelen getroffen om het proces omtrent het gebruik van gegevensdragers te verbeteren.
Ter nadere context geef ik nog het volgende mee. Het gaat om USB-sticks die tot september 2021 bij de NCTV werden gebruikt om bijvoorbeeld presentaties op te slaan die ergens anders gegeven moesten worden. Het ging hierbij veelal om presentaties voor gemeenten en lokale partners om de dreiging te duiden, waarbij geen staatsgeheime informatie werd gebruikt. Een zeer beperkt aantal werd daadwerkelijk gebruikt voor staatsgeheime informatie, bijvoorbeeld om informatie over te zetten van het interdepartementale staatsgeheime netwerk dat in beheer is bij de AIVD, op het netwerk voor de staatsgeheime informatie binnen de NCTV. Dit zijn twee stand alone netwerken die niet op elkaar aangesloten zijn. Verder is het van belang om te melden dat het om USB’s gaat die beveiligd waren met een wachtwoord. Mocht een USB vermist raken, dan is de informatie dus niet zomaar voor een ieder toegankelijk. Ook passen deze USB-sticks sinds september 2021 niet meer op het staatsgeheime netwerk. De informatie die erop staat is dus niet zomaar voor een ieder toegankelijk en ze kunnen niet meer gebruikt worden om informatie van de huidige systemen af te halen.
Zoals ook eerder aan uw Kamer gemeld, zijn er geen signalen zijn die erop wijzen dat de nationale veiligheid (en/of de vitale infrastructuur) acuut gevaar loopt.
Ik begrijp de zorgen van uw Kamer. In algemene zin geldt dat op het moment dat duidelijk is dat er informatie over individuen bij een datalek betrokken zijn, er conform de wettelijke regelgeving moet worden bepaald of er maatregelen getroffen dienen te worden. Dat vereist concreet inzicht om welke informatie het dan gaat. In het voorliggende geval geldt dat niet met zekerheid vast te stellen is welke informatie naar buiten is gebracht of welke informatie waar terecht is gekomen. Dat betekent dat er niet met zekerheid is vast te stellen op basis van welke documenten een risico-inschatting gemaakt moet worden.
Er is vooralsnog bij mijn departement geen aanleiding geweest om over te gaan tot het informeren van personen in lijn met de geldende wet- en regelgeving. Daarnaast geldt vanzelfsprekend dat bij nieuwe informatie waar relevant dit opnieuw en doorlopend gewogen zal worden. Wel is er bijzondere aandacht besteed aan de gevolgen van de casus voor de (positie van) medewerkers binnen de relevante organisaties. De risico’s voor de politie zijn in kaart gebracht en waar nodig zijn maatregelen in de operatie getroffen om deze risico’s te beheersen.
Ik verwijs voor het antwoord op deze vraag ook naar het antwoord op vragen 23 en 24.
Deze vraag ziet op het strafrechtelijk onderzoek en daar kan ik niet op ingaan.
Zie antwoord vraag 19.
Het is van belang om twee onderwerpen van elkaar te scheiden, namelijk het wettelijk kader voor het verwerken van staatsgeheime informatie en de verwerking van persoonsgegevens door de NCTV. Voor een nadere toelichting op het wettelijk kader voor het verwerken van staatsgeheime informatie verwijs ik u naar de beantwoording van vraag 29, 30 en 35. Ten aanzien van het verwerken van persoonsgegevens door de NCTV geldt dat hierover op verschillende momenten met uw Kamer is gecommuniceerd.9 Dit heeft geleid tot de Wet coördinatie terrorismebestrijding en nationale veiligheid, waarin de coördinatietaak van de NCTV is afgebakend en vastgelegd.
Op het moment dat er sprake is van een datalek kan er melding worden gedaan bij de Autoriteit Persoonsgegevens. Toen de oud-medewerkers van de NCTV werden aangehouden, had de NCTV geen zicht op welke documenten precies onrechtmatig in bezit waren van betrokkenen en of deze documenten persoonsgegevens bevatten. Om die reden is er destijds geen melding van een datalek gedaan door de NCTV aan de Autoriteit Persoonsgegevens. Echter, gelet op de informatie die inmiddels is gedeeld in het openbaar, schat de NCTV op dit moment de kans reëel in dat er tussen de gegevens van de NCTV ook persoonsgegevens zitten. Om die reden is er recent alsnog een melding van een datalek gedaan. In hoeverre personen geïnformeerd moeten worden en indien nodig de wijze waarop, zal worden afgestemd met de Autoriteit Persoonsgegevens. Hierbij is van belang op te merken dat op dit moment nog niet kan worden aangegeven welke gegevens dit exact behelst. Dit is ook in de melding aangegeven.
De politie heeft bij de Autoriteit Persoonsgegevens formeel melding gedaan van het datalek. Ten tijde van de melding bij de Autoriteit Persoonsgegevens was er geen zicht op welke documenten en persoonsgegevens van burgers al dan niet betrokken waren bij het datalek. Uit het gesprek met de Autoriteit Persoonsgegevens toentertijd is derhalve niet voortgevloeid dat de politie burgers moest informeren.
Zie antwoord vraag 23.
Het VIR-BI wordt op dit moment onder leiding van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geactualiseerd. De resultaten daarvan zullen met uw Kamer worden gedeeld.
De politie heeft begin 2025 haar Rubriceringsregeling geactualiseerd. De nieuwe rubriceringsregeling sluit nu beter aan bij de rubriceringsregeling van de Rijksoverheid: het VIR-BI. De politie is weliswaar geen onderdeel van de Rijksoverheid, maar op het gebied van informatiebeveiliging is nu gekozen om zoveel mogelijk aan te sluiten bij het beleid van de Rijksoverheid. Dit omdat informatie steeds meer wordt verwerkt in ketenverband en het van belang is om in de keten dezelfde terminologie te hanteren en eenzelfde mate van beveiliging toe te passen op vergelijkbare rubriceringsniveaus.
Een dergelijk overzicht is niet voorhanden. Wel merk ik op dat het Beveiligingsautoriteiten-beraad, waar de beveiligingsautoriteiten van alle departementen aan deelnemen, naar aanleiding van dit incident heeft besloten om een Rijksbreed onderzoek te starten naar de wijze waarop het beleid omtrent en toezicht op de omgang met bijzondere informatie, specifiek staatsgeheime informatie, is ingeregeld en geborgd bij de verschillende departementen. Het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie, de Council Security Rules12 van de Europese Raad (EC) en de C-M(2002)/49 van de NAVO dienen hierbij als toetsingskader.
Zie antwoord vraag 26.
Ik kan alleen ingaan op de informatiebeveiliging bij het Ministerie van Justitie en Veiligheid. Het ADR Rapport dat op 13 december 2024 aan uw Kamer is toegezonden is het meest recente onderzoek dat naar de beveiliging van bijzondere informatie bij de NCTV en politie is uitgevoerd. Zoals aangegeven is het BVA-Beraad een rijksbreed onderzoek gestart naar de wijze waarop het beleid omtrent en toezicht op de omgang met bijzondere informatie, specifiek staatsgeheime informatie, is ingeregeld en geborgd bij de verschillende departementen.
De ADR kan, vanuit haar rol als huis auditor van de Rijksoverheid, gevraagd worden door de systeemeigenaar om een audit onderzoek uit te voeren naar het stelsel van de beveiliging van het te accrediteren informatiesysteem. Het staat de systeemeigenaar echter vrij om eventueel een andere audit organisatie hiervoor te benaderen. Daarnaast heeft de ADR, vanuit haar taak inzake Comptabiliteitswet, de mogelijkheid om beheeronderzoeken uit te voeren naar financiële systemen.
De ARK hanteert eigen kaders t.a.v. van uitvoer van haar controlerende taak. Audits die zij verrichten zijn merendeel op een hoger abstractieniveau en worden vaak ook gebaseerd op uitkomsten van eerdere ADR audits.
De NSA heeft een toezichthoudende rol t.a.v. de wijze waarop de beveiliging van gerubriceerde informatie van internationale herkomst is beveiligd. Naast dat de NSA wordt geconsulteerd tijdens het accreditatieproces van dergelijke informatiesystemen, heeft de NSA een eigenstandige verantwoordelijkheid hierin.
De NSA voert, bijvoorbeeld voortkomend uit de vigerende internationale regelgeving, (periodiek) controle uit op de beveiliging indien het nieuwe systemen betreft, bij wijzigingen die raken aan de beveiliging van bestaande systemen of wanneer de NSA dit nodig acht.
De EU en NAVO inspecteren Nederland ongeveer eens per vijf tot zeven jaar. De laatste inspecties dateren (respectievelijk) uit 2013 en 2019.
De wet- en regelgeving die in elk geval van toepassing is op het Ministerie van Justitie en Veiligheid zijn:
Deze wet- en regelgeving is waar nodig uitgewerkt in nadere onderliggende (beleids)regels. Ten aanzien van EU-, NAVO-, en ESA-gerubriceerde informatie merk ik op dat hiervoor andere accreditatieregimes gelden die los staan van de nationale accreditatieregimes die in algemene zin gelden voor het Ministerie van Justitie en Veiligheid. Daar zijn aanvullende maatregelen voor nodig. Sinds de aanhoudingen is daarom het beleid binnen de NCTV dat EU en NAVO informatie in principe niet kan en mag worden verwerkt. Daar waar verwerking nodig is voor de uitvoering van wettelijke taken en/of de nationale veiligheid is de NCTV in overleg met de BVA, mede met het oog op het verkrijgen van een accreditatie voor het verwerken van deze informatie.
De politie verwerkt gegevens ter uitvoering van de politietaak op basis van de Wet politiegegevens (Wpg). Politiegegevens kunnen worden uitgewisseld met de bevoegde autoriteiten in andere lidstaten van de Europese Unie of aan organen en instanties daarvan. De Wpg eist dat er passende informatiebeveiligingsmaatregelen worden getroffen. Daar wordt o.a. invulling aan gegeven door gebruik te maken van de Rubriceringsregeling politie 2015.
Zoals vastgelegd in het VIR-BI mogen alleen personen die daartoe zijn geautoriseerd bijzondere informatie behandelen of inzien voor zover dit noodzakelijk is voor een goede uitoefening van hun taak. Wie welke informatie mag inzien is derhalve afhankelijk van de specifieke taak en daarmee niet per type informatie inzichtelijk te maken. Voor de opbouw van het toezicht op bijzondere informatie alsmede de maatregelen die zijn getroffen teneinde dit toezicht te versterken verwijs ik naar de kabinetsreactie en bijbehorende bijlage die op 13 december 2024 aan uw Kamer is toegezonden.
Er is geen overzicht voorhanden van de regimes die van toepassing zijn in de verschillende lidstaten en de wijze waarop invulling is gegeven aan relevante internationale regelgeving. Het is daarnaast niet aan mij om uitspraken te doen over de (waardering van) regimes van andere partnerlanden of instellingen in relatie tot onze eigen regimes.
Zie antwoord vraag 31.
Voor het antwoord op deze vraag verwijs ik naar de Kamerbrief van 29 juni 2023 waarin de (toenmalig) Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties – Digitalisering en Koninkrijksrelaties het rapport aan uw Kamer heeft aangeboden.
Ten aanzien van EU-, NAVO-, en ESA-gerubriceerde informatie merk ik op dat hiervoor andere accreditatieregimes gelden dan de accreditatieregimes die nationaal gelden voor het Ministerie van Justitie en Veiligheid. Sinds de aanhoudingen is daarom het beleid binnen de NCTV dat EU en NAVO informatie in principe niet kan en mag worden verwerkt. Daar waar verwerking nodig is voor de uitvoering van wettelijke taken en/of de nationale veiligheid is de NCTV in overleg met de BVA, mede met het oog op het verkrijgen van een accreditatie voor het verwerken van deze informatie.
De politie verwerkt nationaal gerubriceerde informatie. Daarnaast vindt gegevensuitwisseling plaats binnen de EU (zie ook antwoord bij vraag14.
Voor de scope van het ADR onderzoek verwijs ik naar hetgeen daarover opgenomen in het ADR rapport.
Ik verwijs voor het Ministerie van Justitie en Veiligheid naar het antwoord op vraag 29. Alle nationaal gerubriceerde informatie (stg-gerubriceerd) kan worden gedeeld met een overheidspartij, waarvan de ruimtes en de systemen die worden gebruikt voor de verwerving en verwerking van stg-informatie moeten zijn geaccrediteerd en medewerkers in het bezit moeten zijn van een verklaring van geen bezwaar (VGB). Deze accreditatie vindt plaats door de secretaris-generaal van een departement op advies van de beveiligingsautoriteit binnen dat departement.
Voor EU en NAVO-gerubriceerde informatie geldt dat deze accreditatie ook door de secretaris-generaal van een departement moet worden afgegeven op advies van de BVA van het departement, maar dat hiervoor ook een positief oordeel door de National Security Authority (NSA) moet worden afgegeven. Deze rol is voor het civiele domein belegd bij de AIVD. Periodiek wordt door zowel EU als NAVO-inspecteurs getoetst of ontvangende partijen voldoen aan geldende wet- en regelgeving.
Internationaal gerubriceerde informatie die niet valt binnen EU- of NAVO-rubricering is een afweging van de verzendende partij zelf. Die bepaalt welke partijen onder welke voorwaarden informatie mogen ontvangen en verwerken.
De politie verwerkt gegevens ter uitvoering van de politietaak op basis van de Wet politiegegevens (Wpg). Politiegegevens kunnen worden ter beschikking gesteld aan de bevoegde autoriteiten in andere lidstaten van de Europese Unie of aan organen en instanties daarvan. Bij algemene maatregel van bestuur (AMvB) worden nadere regels gesteld over de ter beschikkingstelling van politiegegevens, alsmede over de verdere verwerking en de daarbij te stellen voorwaarden aan het gebruik daarvan door ontvangstgerechtigde autoriteiten of internationale organen en instanties, en over de ontvangst van politiegegevens vanuit andere lidstaten van de Europese Unie.
De Wpg eist dat er passende informatiebeveiligingsmaatregelen worden getroffen. Daar wordt o.a. invulling aan gegeven door gebruik te maken van de Rubriceringsregeling politie 2015. Deze is in 2025 geactualiseerd en sluit nu beter aan bij de rubriceringsregeling van de Rijksoverheid: het VIR-BI. In de rubriceringsregeling is een vertaaltabel opgenomen, zodat informatie die binnen de EU wordt uitgewisseld op een vergelijkbaar niveau en met vergelijkbare maatregelen wordt behandeld door de politie.
Er wordt rekening gehouden met het feit dat alle typen gerubriceerde informatie in meer of mindere mate zijn gecompromitteerd.
De BVA van het Ministerie van Justitie en Veiligheid houdt toezicht op de NCTV en de verwerking van informatie, zoals ook geschetst in het antwoord op de vragen 12 en 14. De BVA brengt daarbij vanaf 2019 in principe ieder jaar de bevindingen van dit toezicht samen in een toezichtsnota. Dit is evenwel niet voor ieder jaar gebeurd in de afgelopen jaren. De NCTV is begin 2023 begonnen met het project digitale weerbaarheid om de informatiebeveiliging te verbeteren. Dit resulteerde er onder andere in dat het eerste geactualiseerde beleid in januari 2024 vastgesteld werd binnen de NCTV. De werking van het beleid en de maatregelen wordt vormgegeven in een PDCA (Plan-Do-Check-Act) -cyclus zoals is uiteengezet in de genoemde kabinetsreactie op het ADR-rapport van 13 december.
Bij de politie is de derdelijns toezichthoudende taak belegd bij de concern audit. Door de concern audit zijn in de afgelopen jaren aanbevelingen gedaan, maar deze zijn niet altijd opgevolgd door de politie. Zoals aangegeven in de kabinetsreactie op het ADR-rapport zal de politie de doorwerking van interne audits versterken. De korpsleiding zal toezien op de opvolging en borging van aanbevelingen die door concern audit worden gedaan. Tevens zal de politie bezien of de expertise van concern audit kan worden versterkt door politiemensen uit de operationele werkpraktijk toe te voegen aan audits op informatiebeveiliging.
Over operationele aangelegenheden van de inlichtingen- en veiligheidsdiensten kan ik in de openbaarheid geen uitspraken doen. Het is ook niet aan mij om te speculeren over de internationale reputatie.
De ADR heeft de afgelopen maanden onafhankelijk onderzoek bij de NCTV en politie uitgevoerd. Voor de komende tijd is het belangrijk de vinger aan de pols te houden. Ik heb de ADR gevraagd om een aanvullend onderzoek te doen bij de NCTV naar de opvolging van de aanbevelingen en waar nodig aanvullende aanbevelingen te doen.
De ADR heeft aangegeven hiertoe bereid te zijn en te verwachten na 12 maanden een goed beeld van te kunnen geven. De politie gaat de aanbevelingen opnemen in de interne auditcyclus en zal aan de ADR rapporteren over de voortgang. Uw Kamer zal vanzelfsprekend over de uitkomsten worden geïnformeerd.
De vragen zijn binnen de reguliere termijn beantwoord. Mede gelet op de omvangrijkheid van de set zijn daar waar opportuun vragen in samenhang beantwoord.
Op 20 december 2024 zijn door de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (GroenLinks-PvdA) Kamervragen gesteld over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop (kenmerk: 2024Z21925). Gelet op inhoud van de vragen heb ik de beantwoording van deze vragen overgedragen aan de Minister van Justitie en Veiligheid.
Hierbij deel ik u mede dat de schriftelijke vragen van de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (GroenLinks-PvdA), van uw Kamer aan de Minister van Justitie en Veiligheid over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop. (ingezonden 20 december 2024) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.