Open Kamerbeta

Kamervraag 2024Z21925

Het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop.

Ingediend 20 december 2024
Beantwoord 3 maart 2025 (na 73 dagen)
Indieners Songül Mutluer (PvdA), Jesse Six Dijkstra (NSC)
Beantwoord door van Weel , Schoof
Onderwerpen bestuur organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2024Z21925.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20242025-1498.html
1. Kamerstuk 36 600 VI, nr. 123.
2. Bijlage bij Kamerstuk 36 600 VI, nr. 123.
3. NRC, 13 juni 2024, «Advocaat vraagt om getuigenis van Dick Schoof in …
4. https://wetten.overheid.nl/BWBR0044617/2021-01-01.
5. https://wetten.overheid.nl/BWBR0047897/2023-02-23.
6. Algemene Rekenkamer, 2019, «Resultaten verantwoordingsondezoek Minist…
7. Bijlage bij Kamerstuk 26 643, nr. 1044.
  • Vraag 1
    Bent u de mening toegedaan dat de constatering uit uw kabinetsreactie dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de politie «hun rollen onder bijzondere omstandigheden [vervullen] waarbij alertheid en veiligheidsbewustzijn hoog in het vaandel staan»1, strookt met de bevindingen van de Audit Dienst Rijk (ADR) in zijn rapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie2? Zo ja, kunt u dit onderbouwen aan de hand van het ADR-rapport?
  • Vraag 2
    Wat maakte dat, zoals de ADR stelt, rapportages over het toezicht op beveiligingsmaatregelen binnen de NCTV geen impact hadden en niet door het managementteam (MT) van de NCTV werden gelezen? Wat maakte dat het MT geen baseline van beveiligingsmaatregelen liet inrichten, niet aanstuurde op compartimentering en het need-to-know-principe en geen controles op de beveiligingsmaatregelen liet uitvoeren? Wat zegt dit over het belang dat het management van de NCTV hecht aan beveiliging? Hoe kon deze werkcultuur ontstaan?
  • Vraag 3
    Was het bij het MT van de NCTV bekend dat, naar uw kabinetsreactie, de NCTV voor het vervullen van haar rol in de bescherming van onze (nationale) veiligheid bijzondere informatie verwerkt en daarmee een interessant doelwit voor statelijke en niet-statelijke actoren is? Zo ja, wat maakte dat uit het rapport van de ADR is op te maken dat binnen het MT een volledig gebrek aan aandacht leek te zijn voor de beveiliging van die bijzondere informatie? Kunnen we hieruit opmaken dit dat de bescherming van onze (nationale) veiligheid van ondergeschikt belang was voor het MT van de NCTV? Zo nee, waar blijkt dat dan uit?
  • Vraag 4
    Wat doet het met de geloofwaardigheid van dreigingsbeelden mede opgesteld door de NCTV, zoals het Dreigingsbeeld Statelijke Actoren 2 uit 2022, als de NCTV blijkens de bevindingen van de ADR niet handelde naar de door zichzelf hoog ingeschatte dreiging vanuit statelijke actoren en niet de benodigde basismaatregelen trof om zich tegen de inlichtingenactiviteiten daarvanuit te weren?
  • Vraag 5
    Kunt u alle documenten aan de Kamer verstrekken over de beveiligingssituatie van de NCTV die in de afgelopen tien jaar bij de NCTV, de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de secretaris-Generaal van het Ministerie van Justitie en Veiligheid (JenV) of de Minister van JenV zijn aangeleverd?
  • Vraag 6
    Zijn er meer rapporten door de ADR over de NCTV geschreven in de afgelopen tien jaar? Zo ja, kunt u die aan de Kamer verstrekken?
  • Vraag 7
    Welke acties gaat u ondernemen om het toezicht op de NCTV op de lange termijn te verbeteren?
  • Vraag 8
    Zijn er NCTV-medewerkers geweest die op basis van vertrouwen extra ruimte kregen om zich niet aan alle geldende beveiligingsmaatregelen te houden, zoals dat ze vanuit huis met staatsgeheimen mochten werken? Zo ja, welke afspraken zijn hierover gemaakt? Op welk niveau is daar toestemming voor gegeven?
  • Vraag 9
    Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in vertrouwelijke of staatsgeheime informatie van de NCTV op gegevensdragers verzamelden en mee naar huis namen?
  • Vraag 10
    Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in een eigen schaduwadministratie bijhielden van Nederlandse personen of organisaties?
  • Vraag 11
    Hoe beoordeelt u de uitspraak van de NCTV in 2021 dat hij zich niet herkende in het «geschetste beeld van een medewerker die een eigen harde schijf mee zou nemen» en dat het «medewerkers niet toegestaan [is] privéapparaten aan te sluiten op werkcomputers»3? Had de NCTV op dat moment inderdaad geen zicht op het gebruik van eigen gegevensdragers of apparatuur door medewerkers binnen de organisatie? Is er nog nadere informatie in deze context waarover de Kamer geïnformeerd moet worden?
  • Vraag 12
    Hoe kijkt u aan tegen het handelen van de BVA van het Ministerie van JenV tot aan het moment dat het lek bekend werd? Hoe kon het dat de BVA in de nota uit 2022 geen opmerking maakte over de gedateerde basis van de beveiligingsmaatregelen van de NCTV, noch over het ontbreken van Stg-accreditatie? Hoe kon het daarnaast dat de BVA geen maatregelen trof wanneer NCTV-analisten geen rechtsgeldige VGB hadden? Kwam dit enkel door het gebrek van een (voldoende) eigenstandige informatiepositie van de BVA, of zijn er ook situaties geweest waarin de BVA niet of onvoldoende geacteerd heeft wanneer daar wel aanleiding toe was? Zo ja, wat vindt u daarvan?
  • Vraag 13
    Hoe wordt de Beveiligingsautoriteit (BVA) van J&V aangestuurd en aan wie legt deze verantwoording af? In welke mate is de BVA in staat om onafhankelijk te handelen? Welke mogelijkheden had en heeft de BVA om in geval van misstanden te escaleren?
  • Vraag 14
    Hoe kan met het oog op de in het ADR-rapport genoemde misstanden in de toekomst worden gegarandeerd dat de BVA van JenV als derdelijns toezichthouder tijdig op de hoogte is van beveiligingsfouten en deze mitigeert?
  • Vraag 15
    Is het functioneren van het BVA-stelsel conform artikel 11 van het Besluit BVA-stelsel Rijksdienst 2021 drie jaar na inwerkingtreding (oftewel 1 januari 2024) geëvalueerd4? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, wilt u het stelsel op korte termijn alsnog laten evalueren, de controle op de verwerking van staatsgeheim gerubriceerde informatie hiervoor expliciet als aandachtspunt meegeven en de Kamer over de resultaten informeren?
  • Vraag 16
    In welke mate hebben klokkenluiders binnen de NCTV en het CTER-cluster van de politie voldoende mogelijkheden om misstanden binnen de eigen organisatie op het gebied van insider threat en het ontbreken van beveiligingsmaatregelen aan te kaarten, en genieten zij genoeg bescherming?
  • Vraag 17
    Is de klokkenluidersregeling in het domein van staatsgeheim gerubriceerde informatie voldoende ingericht? Welke mogelijkheden zijn er op dit gebied voor klokkenluiders?
  • Vraag 18
    Van hoeveel gegevensdragers met daarop staatsgeheim gerubriceerde informatie is op dit moment nog onbekend waar deze zich bevinden? Hoe schat u de impact hiervan in op onze nationale veiligheid?
  • Vraag 19
    Van hoeveel Nederlandse burgers (exact of naar schatting) is via dit lek persoonlijke informatie bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?
  • Vraag 20
    Welke overige informatie is bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?
  • Vraag 21
    Wat betekent dit lek voor de persoonlijke situatie en veiligheid van de Nederlandse burgers in kwestie? Hoe beoordeelt u de rechtspositie van deze burgers? Hoe schat u het risico in dat hun informatie door de Marokkaanse diensten als chantagemateriaal gebruikt kan worden? Kunt u dit onderbouwen?
  • Vraag 22
    Van hoeveel van deze burgers waren de gegevens zonder geldend wettelijk kader door de NCTV verworven?
  • Vraag 23
    Hoe gaat u ervoor zorgen dat al deze burgers conform de Algemene Verordening Gegevensbescherming (AVG) geïnformeerd worden over het feit dat hun gegevens betrokken zijn bij een datalek? Verwacht u dat burgers voor dit feit gecompenseerd moeten worden?
  • Vraag 24
    Heeft u hierover contact gehad met de Autoriteit Persoonsgegevens? Zo ja, wat is uit de gesprekken gekomen? Zo nee, bent u bereid dit alsnog te doen en de Kamer over de uitkomst te informeren?
  • Vraag 25
    Zijn het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI 2013) en de Rubriceringsregeling Politie 2015 ooit geëvalueerd? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, acht u in het kader van de door de ADR onderzochte lekken van toegevoegde waarde om dit wel te doen?
  • Vraag 26
    Kunt u een overzicht geven van waar binnen de overheid sinds de invoering van het VIRBI 2013 onderzoek is gedaan door instanties als de ADR, de Algemene Rekenkamer (ARK) of de National Security Authority (NSA)5 naar de verwerking van nationaal gerubriceerde informatie of internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie)?
  • Vraag 27
    Kunt u een overzicht geven van de sinds de invoering van het VIRBI 2013 geconstateerde onvolkomenheden op het gebied van de verwerking van nationaal of internationaal gerubriceerde informatie, zoals de door de ARK geconstateerde onvolkomenheden in systemen van het Ministerie van Buitenlandse Zaken6?
  • Vraag 28
    Hoe frequent worden de overheidssystemen voor de verwerking van nationaal of internationaal gerubriceerde informatie gecontroleerd door instanties als de ADR, de ARK en de NSA? Kunt u aangeven wanneer elk van de departementen die gerubriceerd materiaal verwerken voor het laatst in het kader hiervan extern zijn onderzocht?
  • Vraag 29
    Kunt u aangeven wat de vigerende wet- en regelgeving is van elk van de typen gerubriceerde informatie die in Nederland verwerkt worden, zoals nationaal gerubriceerde informatie, informatie met een rubricering van partnerlanden, en EU-, NAVO- en ESA-gerubriceerde informatie?
  • Vraag 30
    Kunt u voor elk van deze typen aangeven door wie en hoe hier a) toestemming/accreditatie voor wordt verleend; en b) toezicht op wordt gehouden?
  • Vraag 31
    Hoe wijken deze regimes van toestemming/accreditatie en toezicht af van hoe EU-partnerlanden als Frankrijk en Duitsland deze hebben ingericht, zowel voor nationaal als internationaal gerubriceerde informatie?
  • Vraag 32
    Zijn deze regimes naar uw inzicht zowel in theorie als in praktijk passend gezien o.a. door de NCTV opgestelde dreigingsbeelden? Zo ja, wat is uw onderbouwing daarvoor? Zo nee, welke verbeteringen bent u van plan door te voeren?
  • Vraag 33
    Wat is uw reactie op de aanbeveling in het rapport «Digitale Kroonjuwelen» van Twynstra Gudde dat «centraal, nationaal toezicht noodzakelijk is om tot een adequaat en uniform niveau van beschikbaarheid, vertrouwelijkheid en integriteit van de gegevens, documenten en registraties van Nationaal Belang te komen», waarbij «het toezicht zou kunnen worden ingericht vergelijkbaar met het toezicht op de beveiliging van gerubriceerde informatie van de EU en de NAVO» en «ingezet [wordt] op een initiële accreditatie van de betreffende beveiliging bij de overheidspartijen vóóraf, aangevuld door periodieke inspecties»7?
  • Vraag 34
    Naast nationaal gerubriceerde informatie, welke typen internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie) verwerken de NCTV en de politie? Waren die allemaal in scope voor het onderzoek van de ADR? Zo nee, waarom niet?
  • Vraag 35
    Kunt u aangeven wat per type gerubriceerde informatie de onderliggende grondslag/toestemming/accreditatie is op basis waarvan de NCTV en/of de politie deze verwerkt?
  • Vraag 36
    Welk van deze typen gerubriceerde informatie zijn mogelijk gecompromitteerd in de door de ADR onderzochte lekken?
  • Vraag 37
    Wat is er tot het moment van onderzoek door de ADR vanuit het toezicht aan audits en inspecties geweest? Welke maatregelen hebben de NCTV en de politie over de jaren genomen op basis van die audits en inspecties?
  • Vraag 38
    Wat is zowel in het heden als op de lange termijn de impact van de lekken op de slagkracht en internationale reputatie van Nederlandse instanties als de I&V-diensten, bijvoorbeeld doordat bronnen en partnerlanden terughoudender zijn geworden in samenwerking? Wat voor maatregelen zijn er genomen om deze impact te minimaliseren?
  • Vraag 39
    In hoeverre bent u bereid om een onafhankelijke commissie samen te stellen die het proces van herstel en bewustwording bij de NCTV kan begeleiden?
  • Vraag 40
    Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?
  • Mededeling - 13 januari 2025

    Op 20 december 2024 zijn door de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (GroenLinks-PvdA) Kamervragen gesteld over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop (kenmerk: 2024Z21925). Gelet op inhoud van de vragen heb ik de beantwoording van deze vragen overgedragen aan de Minister van Justitie en Veiligheid.

  • Mededeling - 15 januari 2025

    Hierbij deel ik u mede dat de schriftelijke vragen van de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (GroenLinks-PvdA), van uw Kamer aan de Minister van Justitie en Veiligheid over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop. (ingezonden 20 december 2024) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.

Kamervraag document nummer: kv-tk-2024Z21925
Volledige titel: Het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop.
Kamerantwoord document nummer: ah-tk-20242025-1498
Volledige titel: Nader antwoord op vragen van de leden Six Dijkstra en Mutluer over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop (antwoord op vraag 5)