Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 15 december 2020
Met deze brief bied ik u conform artikel 8.2 van het Besluit verstrekking gegevens telecommunicatie het verslag aan van de audits over 2017 en 2018 naar de goede uitvoering van dit besluit door de beheerder van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), de gebruikers van het CIOT en de aanbieders van openbare telecommunicatiediensten of van openbare telecommunicatienetwerken1. Met deze brief informeer ik u tevens over twee actuele vraagstukken met betrekking tot bevragingen van het CIOT.
Aanleiding
Het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) beheert, op grond van hoofdstuk 13 van de Telecommunicatiewet en het Besluit verstrekking gegevens telecommunicatie, het CIOT-Informatiesysteem (CIS) waarmee informatieverzoeken van behoeftestellers, zijnde de (bijzondere) opsporingsdiensten en inlichtingendiensten, worden beantwoord door aanbieders van telecommunicatiediensten. Conform artikel 8.2 van het Besluit verstrekking gegevens telecommunicatie informeer ik uw Kamer over de audit naar de goede uitvoering van dit besluit door de betrokken partijen.
De Auditdienst Rijk (ADR) heeft op mijn verzoek audits uitgevoerd naar het beheer van het CIOT-informatiesysteem (CIS) over 2017 en naar de rechtmatigheid van de bevragingen door de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel en Warenautoriteit (NVWA-IOD), de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT-IOD) en de Rijksrecherche over 2018. Ook heeft de ADR een audit uitgevoerd naar maatregelen van de verstrekking van gegevens bij twee aanbieders (telecomproviders) over 2018.
Conform de afspraken in de ministerraad, zijn de rapporten en managementreactie na afronding van de audits in 2019 en 2020 openbaar gemaakt op de website van de rijksoverheid.nl. Tevens vindt u deze rapporten bijgevoegd2.
Daarnaast heeft Concernaudit Politie, de interne auditdienst van de politie, over 2017 en 2018 audits uitgevoerd naar de juiste uitvoering van het Besluit verstrekking gegevens telecommunicatie door de politie.
Inhaalslag audits
Vanwege beperkte capaciteit bij de Concernaudit Politie en ADR hebben voornoemde audits vertraging opgelopen. Daarbij komt dat de verschillende audits betrekking hebben op veel partijen en de onderlinge afstemming met hen ook enige tijd in beslag heeft genomen, waardoor ik nu pas in staat ben om alle audits tezamen te bezien en u over mijn conclusies op basis daarvan te informeren.
Om de actualiteitswaarde van de volgende audits te borgen is de ADR op mijn verzoek gestart met een inhaalslag: de audit CIOT beheer 2018–2020 en CIOT gebruikers 2019 en start op korte termijn met de audit CIOT aanbieders over 2019. Ook de Concernaudit Politie voert de audit over 2019 op dit moment uit. Dit betekent dat de vertraging wordt ingelopen en uw Kamer naar verwachting in de loop van 2021 over deze audits geïnformeerd wordt.
Het CIOT: een nadere toelichting
Als onderdeel van het Ministerie van Justitie en Veiligheid is het CIOT aangewezen om de informatieverzoeken van behoeftestellers, zijnde de (bijzondere) opsporingsdiensten en inlichtingendiensten door te geleiden naar de aanbieders van telecommunicatiediensten. Het CIOT kan worden beschouwd als een «berichtenmakelaar». Daartoe beheert het CIOT het geautomatiseerd CIOT-informatiesysteem (CIS), waarin het vraag- en antwoordverkeer van de door de behoeftestellers expliciet gevraagde gegevens wordt doorgeleid.
Het CIOT schept randvoorwaarden, zodat alle gegevens van gebruikers van telecommunicatie met de juiste zorgvuldigheid worden behandeld. Conform het Besluit verstrekking gegevens telecommunicatie moeten alle aanbieders van telecommunicatiediensten ten minste iedere 24 uur hun gegevens – naam, adres, type aansluitingen, emailadres, telefoonnummer, e.d. zie artikel 4 van het Besluit – van gebruikers en/of abonnees bij het CIS aanleveren. Het betreffen dus gegevens over de persoon en nadrukkelijk geen inhoud van communicatie of verkeers- en locatiegegevens. De door de aanbieders geleverde gegevens moeten overeenstemmen met de gegevens die de aanbieder bij zijn bedrijfsvoering gebruikt. De gegevenslevering door de aanbieder dient elke keer de volledige set van alle gebruikers van telecommunicatiediensten te bevatten.
Iedere 24 uur wordt het bestand in het CIS bij het CIOT overschreven, het CIOT beheert dus zelf geen historische gegevens. Het opvragen van gegevens bij de aanbieders van telecommunicatiediensten door middel van het CIS is gebonden aan wettelijke voorschriften. Het Wetboek van Strafrecht en het Wetboek van Strafvordering geven aan onder welke voorwaarden de informatie door de behoeftestellers kan worden opgevraagd. De behoeftestellers moeten het bevragingsproces zodanig inrichten dat gewaarborgd is dat de bevragingen voldoen aan het wettelijk kader en tevens moet dat achteraf vastgesteld kunnen worden.
Belangrijkste bevindingen
Audit beheer 2017
De ADR heeft aan de hand van een normenkader onderzoek gedaan naar de beheersmaatregelen die het CIOT heeft getroffen. Het doel van het onderzoek was hierbij het verschaffen van inzicht in de mogelijke risico’s op het gebied van de gegevensaanlevering en -verstrekking.
Uit het onderzoek is gebleken dat een significant deel van de verbeterpunten uit de vorige auditrapportage zijn gerealiseerd, zoals vastlegging en actualisering van loginformatie en het uitvoeren van back-up en recoverytesten en vastlegging en opvolging van de uitkomsten.
Het Informatiepunt Bijzondere Opsporingsonderzoeken (IBO) van de Justitiële Informatiedienst (Justid) die het CIS als opdrachtnemer onder beheer heeft, heeft de bevindingen van de ADR overgenomen en waar nodig reeds verbeteracties ingezet. Het betreft aandachtspunten zoals het vastleggen van reeds correct ingestelde beveiligingsinstellingen met betrekking tot versleuteling van verbindingen, actualiseren en periodiek evalueren van contracten met leveranciers en het opstellen van procedures voor in- en uitdiensttreding in lijn met de huidige correct uitgevoerde praktijk.
In de managementreactie, bijgevoegd bij het auditrapport, gaat Justid/IBO hier nader op in3.
Op basis van dit onderzoek ben ik van mening dat de beheersmaatregelen bij het CIOT toereikend zijn om de risico’s op inbreuken op beveiliging of integriteit van de informatie-uitwisseling te beperken.
Audit NVWA, ILT-IOD, Rijksrecherche 2018
De ADR heeft aan de hand van een normenkader getoetst of de bevragingen van het CIOT door drie (bijzondere) opsporingsdiensten NVWA, ILT-IOD en de Rijksrecherche, rechtmatig, conform wet- en regelgeving zijn uitgevoerd. De centrale vraag bij de uitvoering van de audit is in welke mate door de (bijzondere) opsporingsinstanties maatregelen zijn getroffen zodat de bevragingen in het systeem rechtmatig plaatsvinden en in welke mate deze maatregelen worden nageleefd.
Uit de audit is gebleken dat de (bijzondere) opsporingsdiensten een zeer beperkt aantal van de totale bevragingen van het CIOT doen en deze aan het overgrote deel van de normen voldoen. Een aantal procesbeschrijvingen en registraties van deze normen ontbreken echter binnen de onderzochte diensten, wat heeft geleid tot enkele adviezen voor verbetering. De belangrijkste conclusie is dat alle bevragingen zijn uitgevoerd door geautoriseerde personen en dat voorafgaand aan bevragingen een rechtmatigheidscontrole wordt uitgevoerd. Maar in 5 van de 54 gevallen kon de rechtmatigheid van de bevraging niet worden aangetoond, omdat de bevraging niet aan alle criteria van de rechtmatigheid voldeden. Dit wil echter niet zeggen dat deze bevragingen ook niet rechtmatig waren, een logischere verklaring is dat het om administratieve gebreken gaat. De procesbeschrijving en registratie van het bevragingsproces vragen dus om verbetering, waarmee achteraf ook de rechtmatigheid van de bevraging in alle gevallen beoordeeld kan worden.
Voorts concludeert de ADR dat externen geen toegang hebben tot CIS en dat alle gebruikers een passende opleiding hebben gevolgd. Ook houden alle gebruikers rekening met vertrouwelijkheid bij benadering van het CIS en worden incidenten correct bijgehouden, maar mist ook hier een duidelijke procedurebeschrijving en registratie. Een goede procedurebeschrijving ontbreekt ook voor spoedbevragingen en calamiteiten. Voorts is aanwijzing van de gebruikers door het bevoegd gezag echter niet expliciet neergelegd.
Op basis het feit dat de desbetreffende diensten zich herkennen in de bevindingen en de geadviseerde verbeteringen ter hand nemen en deels al hebben gerealiseerd, ga ik er van uit dat gebruikers van het CIOT de juiste maatregelen hebben ingezet om de rechtmatigheid van bevragingen te waarborgen.
Audits politie
Aan de hand van een normenkader heeft Concernaudit Politie over 2017 en 2018 getoetst in welke mate de politie voldoet aan de regels en afspraken gesteld aan de uitvoering van de bevraging van klantgegevens van telecom- en internetbedrijven via het CIOT.
De politie gebruikt deze informatie voor opsporingshandelingen en bij noodhulpverlening door de meldkamers. De regels voor de verstrekking van gegevens van aanbieders van openbare telecommunicatienetwerken en -diensten met het oog op het strafvorderlijk onderzoek van telecommunicatie zijn vastgelegd in het Besluit verstrekking gegevens telecommunicatie.
Op basis van dit besluit zijn over de jaren 2017 en 2018 audits uitgevoerd naar de goede uitvoering van dit besluit door politie. De scope van de audits betreft het vaststellen of de bevragingen door politieambtenaren in het CIS rechtmatig hebben plaatsgevonden volgens geldende wetgeving en lopende afspraken met betrekking tot het CIOT.
In de audits komt naar voren dat op een groot aantal punten wordt voldaan aan geldende wet- en regelgeving en de vastgelegde afspraken met betrekking tot het CIOT. Op enkele punten zijn afwijkingen geconstateerd.
Audit politie 2017
Uit de auditrapportage 2017 komt naar voren dat op verschillende punten uit de audit 2016 acties zijn ondernomen, maar dat een deel van deze acties ten tijde van de audit 2017 nog niet was geëffectueerd. Op enkele onderwerpen zijn afwijkingen geconstateerd, met betrekking tot de landelijke procedure (bevragingen CIS), autoriseren, de werkwijze van I&S en de 112-centrale.
Gezien de bevindingen van de auditors is in 2018 een landelijk coördinator CIOT aangesteld. De landelijk coördinator draagt onder meer zorg voor de actualisatie van de landelijke procedure in lijn met de aanbevelingen vanuit de audit 2017. De landelijke procedure bevat daarmee:
– de werkprocessen;
– de criteria voor autorisatie voor het CIS-bevragingssysteem;
– de professionalisering van aangewezen gebruikers;
– het proces van aanwijzen en benoemen van gebruikers en beheerders;
– en de taken, verantwoordelijkheden en bevoegdheden van de landelijk coördinator in relatie tot lijnverantwoordelijken in de organisatie.
Een deel van de CIOT-werkzaamheden wordt uitgevoerd door de afdeling Interceptie & Sensing van de Landelijke eenheid van politie. Waar mogelijk worden deze werkzaamheden uitgevoerd conform de afspraken die van toepassing zijn voor alle politie-eenheden. De werkafspraken zullen echter – gezien de aard van de werkzaamheden van de betreffende afdeling – op punten afwijken van de landelijke lijn. Ook dit krijgt een plek in de landelijke procedure.
Audit politie 2018
Uit de auditrapportage 2018 blijkt dat politie op een groot aantal punten voldoet aan geldende wet- en regelgeving en de vastgelegde afspraken met het CIOT.
In de auditrapportage 2018 komt naar voren dat de nieuwe landelijke procedure bijna gereed is en in het reguliere besluitvormingsproces wordt geformaliseerd. De aanbevelingen met betrekking tot de verschillende bevragingen uit het rapport 2017 zijn wel al doorgevoerd in de opleidingen.
De auditors constateren dat een voorstel tot aanwijzing van nieuwe beheerders en bevragers door de korpschef gereed is, maar nog niet is geaccordeerd en geïmplementeerd. Inmiddels is op 1 april 2020 de nieuwe landelijke procedure goedgekeurd door de portefeuillehouder en op 19 mei 2020 is deze formeel verzonden naar de politiechefs. In de procedure zijn de rollen en taken beschreven van de nationaal coördinator CIOT, de lokaal beheerders en de bevragers. Per rol is beschreven hoe de aanwijzing in mandaat moet plaatsvinden.
Ik constateer dat de politie een stevige kwaliteitsverbetering heeft ingezet ten aanzien van het juiste gebruik en administratieve proces rondom bevragingen van het CIOT-CIS. Uit voorgaande audits bleken vrij grote onvolkomenheden, die nu verholpen zijn. Ik blijf met de politie in gesprek om te borgen dat de ambitie van deze verbeterlijn behouden blijft.
De volledige auditrapportages zijn als bijlagen toegevoegd4.
Audit Aanbieders 2018
Door de ADR is voor het eerst ook onderzoek gedaan naar de maatregelen van de verstrekking van telecommunicatiegegevens door twee aanbieders (telecomproviders). Het onderzoek geeft inzicht in de kwaliteit van de maatregelen die de aanbieders getroffen hebben, zodat deze kan voldoen aan de wetgeving en de met Justid overeengekomen afspraken. Geconstateerd wordt dat het merendeel van de maatregelen goed wordt uitgevoerd. De bevindingen van de ADR zijn met de aanbieders en de Commissie van Advies van het CIOT, waarin een delegatie van aanbieders zitting heeft, besproken. De verantwoordelijkheid voor de opvolging daarvan ligt bij de aanbieders.
Bevragingen ten behoeve van noodhulp
In de brief van 26 juli 20185 heb ik uw Kamer geïnformeerd over bevragingen van het CIOT-CIS ten behoeve van noodhulp. Aangezien de politie rechtmatig mag beschikken over de NAWP gegevens voor het doel van noodhulpverlening en misbruikbestrijding en het feit dat de rechtstreekse aanlevering nog niet volledig was geoperationaliseerd, heb ik aangegeven dat in noodzakelijke gevallen een CIOT bevraging wordt uitgevoerd.6 Hoewel deze zomer het nieuwe platform 1-1-2 in gebruik is genomen, is gebleken dat de rechtstreekse aanlevering via dit platform niet in alle gevallen de NAWP gegevens oplevert. Daarom wordt er voor noodhulpverlening of misbruikbestrijding nog steeds een CIOT bevraging uitgevoerd, wanneer dit noodzakelijk is.
De politie werkt met de betrokken partijen aan de verbetering van de betrouwbaarheid van de gegevens, zodat begin 2021 rechtstreekse aanlevering van NAWP-gegevens via het 1-1-2-platform mogelijk is.
Bevragingen ten aanzien van de Wet verplichte GGZ
Met ingang van 1 januari 2020 is de Wet verplichte GGZ (Wvggz) van kracht. Deze wet voorziet in een bevoegdheid om met een machtiging van de rechter-commissaris NAWP-gegevens te vorderen van de telecomaanbieder ter opsporing van personen die zich onttrekken aan de opgelegde verplichte zorg, in die gevallen dat er het ernstige vermoeden bestaat dat betrokkene in levensgevaar verkeert of een ernstig misdrijf zal plegen. Gelet op het belang om deze personen zo snel mogelijk te traceren, is het onwenselijk dat de gegevens bij de telecomaanbieders zelf moeten worden opgevraagd. Er is bij de totstandkoming van de Wvggz geen specifieke wettelijke grondslag gecreëerd om het CIOT te bevragen in het kader van die wet. Aangezien de politie echter rechtmatig mag beschikken over de NAWP gegevens ter lokalisering van deze personen, wordt er in noodzakelijke gevallen toch een CIOT-bevraging uitgevoerd. Ik zie het ontbreken van de grondslag om voor dit doel het CIOT te bevragen als een omissie in de regelgeving die ik op korte termijn wil herstellen. Daarbij betrek ik zowel de Minister van Economische Zaken en Klimaat als de Minister van Volksgezondheid, Welzijn en Sport.
Publicatie jaarcijfers
Het CIOT publiceert, conform de wettelijke verplichting, jaarlijks cijfers over het aantal afgehandelde informatieverzoeken. Dit gebeurt door publicatie van een rapport van de cijfers via de website www.rijksoverheid.nl. Sinds 2015 worden deze cijfers met het verschijnen van het jaarverslag van het Ministerie van Justitie en Veiligheid gepubliceerd.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus