| Ingediend | 30 april 2020 |
|---|---|
| Beantwoord | 11 juni 2020 (na 42 dagen) |
| Indieners | Chris van Dam (CDA), Martijn van Helvert (CDA) |
| Beantwoord door | Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Ank Bijleveld (minister defensie) (CDA) |
| Onderwerpen | economie ict internationaal organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2020Z07742.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20192020-3130.html |
Ja.
De Algemene Rekenkamer heeft onderzoek gedaan naar drie systemen.
Ten eerste het systeem voor pre-assessment van personen op vluchten van buiten het Schengengebied. Persoonsgegevens van de passagiers en bemanningsleden worden door luchtvaartmaatschappijen aangeleverd en in het systeem vergeleken met politieregisters en profielen. Als het systeem aangeeft dat sprake is van een positieve vergelijking, wordt deze handmatig gevalideerd. De gegevensverwerkingen van passagiers binnen dit systeem vallen in beginsel onder de AVG. Bij een verdenking van een strafbaar feit, komen diens persoonsgegevens te vallen onder de Wpg. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten tweede het systeem voor controle van reisdocumenten. Dit systeem wordt in de manuele balies gebruikt en daarbij worden de politieregisters geautomatiseerd geraadpleegd. Met een sensor worden uit het reisdocument van de reiziger persoonsgegevens verzameld. Naam, geboortedatum en documentnummer worden vervolgens door het systeem getoetst aan de politieregisters. Daarnaast vindt een echtheidscontrole van het reisdocument plaats, waarbij het systeem de handmatige controle door de KMar-medewerker ondersteunt door ook (bij de meeste, modernere reisdocumenten) de elektronische chip van het document te controleren. De gegevens vallen in beginsel onder de AVG, totdat een verdenking van een strafbaar feit ontstaat of wordt geconstateerd. Dan is de Wpg van toepassing. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten derde het selfservicesysteem voor grenscontroles in de e-gates van Schiphol. Hiermee worden grenscontroles automatisch uitgevoerd in plaats van handmatig. Het systeem kan niet automatisch een negatieve beslissing nemen. Het systeem beslist positief of verwijst door naar de grenswachters van de KMar. In dit systeem is sprake van verwerking van nagenoeg dezelfde persoonsgegevens als bij de echtheidscontrole. Tevens wordt een live foto van de reiziger geverifieerd met de foto in het aangeboden paspoort. Het systeem kent een automatische koppeling met dezelfde politieregisters als de andere systemen. Ook hier is de AVG van toepassing op de verwerkingen van persoonsgegevens, met uitzondering van de gegevens uit de politieregisters en de gevallen waarin uit die registers een hit volgt.
Voor verwerkingen in het kader van de uitoefening van de publiekrechtelijke taak van de Koninklijke Marechaussee is de Minister van Defensie de verwerkingsverantwoordelijke, zoals bepaald in artikel 4 lid 7 AVG. Dit geldt ook voor de persoonsgegevens verwerkt in de systemen voor grenstoezicht. In de Regeling AVG Defensie (art 1.3) is de Commandant van de Koninklijke Marechaussee aangewezen als AVG-beheerder; de AVG-beheerder is het diensthoofd dat namens de Minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel.
Het Ministerie van Justitie en Veiligheid is momenteel eigenaar van het selfservicesysteem. In het najaar van 2020 is besluitvorming voorzien of het eigenaarschap van de selfservicesysteem wordt overgedragen. Zoals aangegeven in de beantwoording van vragen van de leden Bosman en Yeşilgöz-Zegerius, wordt de Tweede Kamer geïnformeerd over de redenen en de voorwaarden voor de veiligheid waaronder dit gebeurt indien besloten wordt tot overdracht van het eigenaarschap aan Schiphol. Ook indien het eigenaarschap van het selfservicesysteem wordt overgedragen, blijft de verwerkingsverantwoordelijkheid van de data overigens bij de Minister van Defensie. Ook verandert een overdracht niets aan de bestaande wettelijke verantwoordelijkheden inzake de uitvoering van het grenstoezicht.
Zo’n 80% van de Nederlandse vitale processen is in handen van private partijen. In het algemeen geldt dat vitale aanbieders verantwoordelijk zijn voor de continuïteit en weerbaarheid van vitale processen. Daarbij hoort het verkrijgen van inzicht in dreigingen, kwetsbaarheden en risico’s en het ontwikkelen en onderhouden van capaciteiten waarmee de weerbaarheid van vitale processen wordt verhoogd en geborgd.2 Ook bij het overdragen van eigenaarschap is het de verantwoordelijkheid van de vitale aanbieder om de risico’s voor de nationale veiligheid in kaart te brengen en te mitigeren. Door middel van toezicht wordt gecontroleerd of vitale aanbieders hiertoe de juiste maatregelen nemen.
Het kabinet is waakzaam op de aantasting van continuïteit van dienstverlening van vitale diensten en processen. De Minister van Justitie en Veiligheid heeft uw Kamer reeds geïnformeerd over de aanvullende maatregelen die het kabinet hiertoe neemt, zoals maatregelen ter bescherming van nationale veiligheid bij inkoop en aanbesteding en bij overnames en investeringen.3 Daarnaast bekijkt het kabinet hoe huidige wet- en regelgeving ter bescherming van nationale veiligheidsrisico’s bij private ondernemingen beter benut en aangescherpt kan worden.4
Zie antwoord vraag 3.
De via het grenstoezicht verkregen persoonsgegevens worden onder de AVG slechts verwerkt ten behoeve van een deugdelijke uitvoering van het grenstoezicht. Wanneer bij grenstoezicht sprake is van een positieve vergelijking uit de politieregisters, kunnen politiegegevens onder de voorwaarden van de Wpg worden verstrekt aan de in die wet aangewezen (publiekrechtelijke) partijen. Commercieel en/of privaat gebruik van de persoonsgegevens is niet toegestaan.
PNR-gegevens worden verwerkt door de Passagiersinformatie-eenheid Nederland (Pi-NL), ten behoeve van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, op grond van de PNR-wet. De Pi-NL valt onder de verantwoordelijkheid van de Minister van Justitie en Veiligheid en is ondergebracht bij de Koninklijke Marechaussee. Pi-NL kan aan bevoegde instanties op hun verzoek PNR-gegevens verstrekken, niet aan commerciële partijen.
PNR-gegevens van luchtvaartpassagiers worden tevens gebruikt door de Douane ten behoeve van de controles in het kader van douanetoezicht op de door deze passagiers meegevoerde goederen, op grond van het Douanewetboek van de Unie en de Algemene Douanewet. De Douane valt onder de verantwoordelijkheid van het Ministerie van Financiën.
Nadat twee keer een tijdelijke goedkeuring voor het selfservicesysteem is gegeven, is gekozen om in het vervolg slechts goedkeuring te geven wanneer de doorontwikkeling van de software gereed is. Dan kan een definitieve goedkeuring gegeven worden.
Deze doorontwikkeling duurt langer dan voorzien. De goedkeuringsprocedure voor het selfservicesysteem is echter reeds gestart. De ministeries van Defensie, Justitie en Veiligheid en Schiphol NV hebben gezamenlijk de te treffen maatregelen geïdentificeerd en werken momenteel aan de implementatie van deze maatregelen. Dit gebeurt conform het Defensieveiligheidsbeleid. Het streven is om alle voor goedkeuring noodzakelijke maatregelen dit jaar te implementeren. Momenteel houdt het Ministerie van Justitie en Veiligheid toezicht op het doorlopen van de goedkeuringsprocedure.
Conform de informatiebeveiligingsrichtlijnen van de rijksoverheid zijn verschillende maatregelen genomen ten behoeve van de veiligheid. Het gaat bijvoorbeeld om de fysieke beveiliging, maar ook het opzetten van een firewall. Er kunnen altijd kwetsbaarheden zijn die nog niet bekend zijn. Er worden echter continu verbeteringen doorgevoerd om de beveiliging te versterken.
Voor het systeem voor de pre-assessment, waar u ook om vraagt, is een goedkeuring voor ingebruikname afgegeven.
Zie antwoord vraag 8.
Zie antwoord vraag 8.
Defensie hanteert voor haar systemen een goedkeuringsproces voor ingebruikname. Afhankelijk van de inschatting van de impact van eventuele gebreken, worden afspraken gemaakt over een verbetertraject. Bij een tijdelijke goedkeuring wordt een tijdstermijn afgesproken over de noodzakelijke verbeteringen waarna een terugkoppeling moet worden gegeven over de afwikkeling van deze verbeteringen. In principe wordt maximaal een jaar aan een dergelijke goedkeuring gegeven, waarna een herbeoordeling plaatsvindt.
In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.
Essentiële processen en systemen voor het kunnen inzetten van militaire eenheden worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie een groot gedeelte van de risico’s bij deze systemen.
De ministeries van Defensie en Justitie en Veiligheid en Schiphol NV onderzoeken hoe de eis van veiligheidsmonitoring effectief ingevuld kan worden. De verwachting is dat het SOC van Schiphol NV voldoende waarborgen biedt.
De systemen voor pre-assessment documentcontrole in de manuele balie zijn ingebed op de netwerkstructuur van Defensie. Dit netwerk is alleen toegankelijk voor geautoriseerde medewerkers van Defensie. Dat wordt door het SOC gemonitord. Daarnaast heeft alleen geautoriseerd grensbewakingspersoneel via de netwerkstructuur toegang tot de genoemde systemen. Daarmee zijn de risico’s op misbruik beperkt. Omdat de systemen zelf niet worden gemonitord, is het evenwel mogelijk dat een systeemincident niet direct gedetecteerd wordt. Daarom worden de kritieke systemen op het SOC aangesloten, waarbij wordt opgemerkt dat de schaarse aansluitcapaciteit bij het SOC initieel wordt ingezet om de belangrijkste kritieke systemen aan te sluiten.
Indien het SOC (onderdeel van het Defensie Cyber Security Centrum (DCSC)) een digitale aanval signaleert, start het DCSC het incident responseproces op. Daartoe beschikt het DCSC over een incidentcoördinator die met een team van cyberspecialisten het zogenaamde triageproces uitvoert. Tijdens de triage worden de aard en oorzaak van het incident geanalyseerd en de te nemen maatregelen vastgesteld. Daarvoor beschikt het DCSC ook over forensisch onderzoekscapaciteit. In nauw overleg met de lokale commandant en de lokale IT-beheerorganisatie worden de maatregelen uitgevoerd om de schade voor de eenheid zoveel mogelijk te voorkomen dan wel te beperken. Daarbij adviseert het DCSC de beheerorganisatie op welke wijze zij herhaling van het cyberincident kunnen voorkomen. In algemene zin geldt verder dat bij een mogelijk strafbaar feit de KMar wordt geïnformeerd en bij de betrokkenheid van een statelijke actor de MIVD wordt ingelicht. Als dat vanuit veiligheidsoverwegingen mogelijk is, worden ook andere organisaties (zoals het NCSC, NATO, EU) geïnformeerd over de cyberaanval.
Het DefCERT (onderdeel van het Defensie Cyber Security Centrum (DCSC)) heeft op beide KMar-systemen een cybersecurityonderzoek uitgevoerd; op het baliesysteem in 2016 in opdracht van de KMar en op het pre-assessmentsysteem in 2019 op verzoek van de Algemene Rekenkamer. De onderzoeksresultaten van het baliesysteem zijn gerubriceerd en kunnen daarom niet gedeeld worden. De resultaten van het onderzoek naar het pre-assessmentsysteem door de Algemene Rekenkamer zijn tevens gerubriceerd. De bevindingen die zijn opgelost zijn opgenomen in het ARK-rapport. Verder is het DCSC op dit moment betrokken bij het cybersecurityonderzoek van het systeem waarmee automatische grenscontroles worden uitgevoerd in opdracht van het Ministerie van Justitie en Veiligheid. Dit onderzoek is nog niet afgerond.
In BPVS-verband is op structurele basis aandacht voor het thema cybersecurity. Tussen de luchtvaartpartijen op en rond Schiphol en in verschillende samenwerkingsverbanden worden op reguliere basis actuele ontwikkelingen en trends gedeeld. Hierbij wordt specifiek aandacht besteed aan actuele dreigingsbeelden en het inzichtelijk maken van risico’s voor de luchtvaartsector. Ook toepasselijke nationale- en internationale cyber security wet- en regelgeving komen hier aan de orde. Gelet op de vertrouwelijkheid van de informatie kan ik inhoudelijk niet ingaan op de specifieke ontwikkelingen en concrete ondernomen acties rondom cyberveiligheid.
Hierbij deel ik u mede namens de Minister van Defensie dat de schriftelijke vragen van de leden Van Dam en Van Helvert (beiden CDA), van uw Kamer aan de Minister van Justitie en Veiligheid over het rapport van de Algemene Rekenkamer «Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol» (ingezonden 30 april 2020) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.