Kamervraag 2023Z07767

Het Rapport van de ADR over eMates

Ingediend 1 mei 2023
Beantwoord 14 juni 2023 (na 44 dagen)
Indiener Ulysse Ellian (VVD)
Beantwoord door Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66)
Onderwerpen criminaliteit openbare orde en veiligheid organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2023Z07767.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20222023-2897.html
  • Vraag 1
    Herinnert u zich het rapport van de Auditdienst Rijk (ADR) over «Besluitvorming over berichtenservice eMates»1 en het verslag van het schriftelijk overleg inzake de stand van zaken over de berichtenservice van eMates?2

    Ja.

  • Vraag 2
    Kunt u alle vragen die zijn gesteld bij het genoemde schriftelijk overleg over de totstandkoming van de samenwerking tussen Dienst Justitiële Inrichtingen (DJI) en eMates en de risico’s van het gebruik van eMates die destijds niet inhoudelijk beantwoord zijn omdat enkel werd verwezen naar het onderzoek van de ADR, alsnog inhoudelijk beantwoorden nu dit onderzoek is afgerond? Zo nee, waarom niet?

    Op 24 mei 2022 heb ik uw vragen over de stand van zaken met betrekking tot de berichtenservice eMates beantwoord.3 Ten tijde van deze beantwoording moest het rapport van de ADR nog worden afgewacht.
    Het rapport van de ADR is op 3 februari 2023 aan uw Kamer gezonden.4 Voor DJI staat het belang van de bescherming en beveiliging van gegevens voorop. Het ADR-rapport heeft de zorgen die tot het onderzoek aanleiding hebben gegeven niet kunnen wegnemen. Naar aanleiding van de bevindingen van de ADR heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen.
    Deze uitkomst beantwoordt de vragen waarnaar ik naar uitkomst van het ADR-rapport heb verwezen, zie voor de volledigheid ook bijlage 1.

  • Vraag 3
    Waarom is destijds besloten contact te zoeken met eMailaprisoner, ondanks dat een motie die verzocht in contact te treden met deze partij door een ruime Kamermeerderheid werd verworpen?3

    De motie waarnaar wordt verwezen verzoekt de regering ervoor te zorgen dat penitentiaire inrichtingen (PI’s) de mogelijkheid gaan bieden aan gedetineerden om e-mails te ontvangen via de postkamer en hiertoe in contact te treden met de service «Emailaprisoner» en eventuele andere aanbieders.
    Het initiatief voor een berichtenservice ontstond vanuit een aanbod van buiten DJI en niet vanuit een interne vraag van DJI. De berichtenservice, destijds onder de naam Emailaprisoner, is geïntroduceerd als onderdeel van het programma Modernisering Gevangeniswezen (MGW) dat in de periode 2008–2012 liep. Uitgangspunt van het programma was dat iedere gedetineerde de juiste mate van beveiliging, zorg en passende dagprogramma’s kon krijgen om zo de kans te vergroten op een geslaagde terugkeer in de maatschappij en recidive te verminderen. De toentertijd moderne berichtenservice (van Emailaprisoner) sloot aan bij de doelstellingen van het programma.6 Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.

  • Vraag 4
    Wat vindt u van het feit dat de ADR niet de gewenste diepgang heeft kunnen bereiken bij het uitvoeren van het onderzoek, omdat de IT-serviceprovider Unilink niet heeft voldaan aan verzoeken om benodigde documentatie aan te leveren?

    De medewerking aan het onderzoek is afhankelijk geweest van de welwillendheid van eMates en haar IT-serviceprovider Unilink. Hoewel de gewenste diepgang niet is bereikt, heeft de ADR met de verstrekte informatie wel voldoende inzicht gegeven waarop DJI een besluit heeft kunnen nemen.

  • Vraag 5
    Welk subsidiebedrag heeft eMates ontvangen sinds het opschorten van eMates, waar is dit subsidiebedrag in de begroting gedekt en kunt u juridisch advies inwinnen over de mogelijkheden voor de Staat om deze subsidie terug te vorderen, nu uit het ADR-rapport blijkt dat eMates en Unilink hebben verhinderd dat de ADR het gewenste diepgaande onderzoek kon uitvoeren?

    In afwachting van de uitkomsten van het ADR-onderzoek en een te nemen besluit inzake het al dan niet continueren van een e-mailberichtenservice was het idee eMates een incidentele subsidie aan te bieden.7 Nu besloten is definitief te stoppen met de dienstverlening van eMates is deze subsidie niet verstrekt. Samen met eMates wordt gekeken naar een zorgvuldige afwikkeling. Daarin zal de periode van opschorting ook worden meegenomen. Een eventueel uit te keren bedrag zal binnen de begroting van DJI gedekt worden.

  • Vraag 6
    Welke wettelijke grondslag is gebruikt voor het uitkeren van subsidie aan eMates, nu er in het geheel geen sprake was van enige dienst die was aanbesteed en er geen contractuele relatie bestond tussen DJI en eMates?

    Zie antwoord vraag 5.

  • Vraag 7
    Hoe beoordeelt u de constatering van de ADR dat er geen bestaansbewijs ontvangen is van Unilink over informatiebeveiligingsmaatregelen en ook geen bestaansbewijs is ontvangen over de opslag en verwerking van (klant)gegevens?

    Op basis van de beschreven feitelijkheden door de ADR heeft DJI kunnen constateren dat in onvoldoende mate is voldaan aan de gestelde eisen. Mede om die reden heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen. Ik steun het besluit van DJI dat zij naar aanleiding van de bevindingen van de ADR heeft genomen.

  • Vraag 8
    Kunt u op grond van het ADR-onderzoek uitsluiten dat persoonsgegevens op enigerlei wijze bij eMates onrechtmatig zijn verwerkt? Zo nee, welke acties gaat u dan hierop nemen?

    Er zijn geen datalekken gemeld, maar ik kan ook niet uitsluiten dat bij eMates persoonsgegevens onrechtmatig zijn verwerkt. Er wordt in goed overleg met eMates bezien hoe de samenwerking op een correcte manier kan worden afgewikkeld. Bij de afwikkeling zal ook aandacht worden besteed aan de vraag of er in het verleden een inbreuk op de integriteit van de data is geweest.

  • Vraag 9
    Klopt het dat een deel van de berichten die door eMates zijn afgekeurd en alleen bij eMates beschikbaar zijn of waren, voor de opsporing van zeer ernstige strafbare feiten relevante informatie kon bevatten en die niet konden worden opgevraagd?

    Nee, eMates controleerde de berichten enkel op pornografische, erotische en gewelddadige afbeeldingen. De ontvangen digitale postberichten werden door DJI beoordeeld conform reguliere procedure. Wanneer relevante opsporingsinformatie wordt aangetroffen wordt dat doorgezet naar het Gedetineerde Recherche Informatie Punt (GRIP).
    Het verkrijgen van gegevens die eMates nu nog bezit maakt onderdeel uit van de juridische afhandeling en kan daarom nu niet verder worden beantwoord.

  • Vraag 10
    Wat is er feitelijk is gebeurd met eMates-berichten die door Penitentiaire Inrichtingen (PI) zijn «afgekeurd»? Wie bij eMates en Unilink konden deze afgekeurde berichten inzien en vond hier logging plaats, zodat later kon worden vastgesteld wie deze berichten had ingezien?

    eMates-berichten die door PI’s zijn «afgekeurd», zijn niet aan de gedetineerden uitgereikt. eMates heeft geen inzicht in welke berichten wel of niet zijn uitgereikt. De medewerkers van eMates konden in theorie alle berichten inzien. eMates geeft aan dat er door de beperkte omvang van de onderneming geen sprake was van een ingerichte functiescheiding8 en dat dit werd gecompenseerd via logging door de provider(s) die audittrails faciliteert wanneer dat nodig is.

  • Vraag 11
    Waarom werden er in de ene PI veel meer berichten afgekeurd dan in een andere PI en waarom was er over eMates in het algemeen en het afkeuren van berichten in het bijzonder geen uniform beleidskader vastgesteld?

    De berichten die via eMates zijn verstuurd werden op dezelfde manier behandeld als reguliere post. Voor de Extra Beveiligde Inrichting (EBI) en Terroristenafdeling (TA) geldt dat alle berichten aan en van gedetineerden worden gecontroleerd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het Gedetineerden Recherche Informatie Punt (GRIP).9 Voor gedetineerden die niet gedetineerd zitten in de EBI en TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. In dat geval wordt er per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die destijds via eMates zijn verstuurd.10

  • Vraag 12
    Wat vindt u ervan dat in de managementreactie op het ADR-rapport namens u wordt geconcludeerd dat er vanuit DJI onvoldoende zicht is op de bescherming en de beveiliging van gegevens?

    Zoals ik ook in mijn brief aan uw Kamer van 24 maart 2022 heb gesteld is het feit dat er geen sluitende afspraken met eMates zijn gemaakt en
    daarop evenmin toezicht werd gehouden onacceptabel.11 Dit is één van de redenen geweest om de medewerking aan de dienstverlening van eMates per direct te beëindigen.

  • Vraag 13
    In hoeverre kunt u stellen dat controle van het berichtenverkeer met gedetineerden op signalen van voortgezet crimineel handelen in detentie niet heeft geleden onder het gebrek aan zicht op bescherming en beveiliging van gegevens?

    Ik kan dat niet met honderd procent zekerheid stellen. Zoals aangegeven bij antwoord op vraag 11 kan ik wel zeggen dat alle berichten aan en van gedetineerden in de EBI en TA worden gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is.12 In dat geval wordt per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die via eMates zijn verstuurd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het GRIP.

  • Vraag 14
    Als er uit opsporingsinformatie blijkt dat er in berichten die via eMates zijn verstuurd of geprobeerd zijn te versturen relevante signalen bevatten van voortgezet crimineel handelen in detentie, kunnen deze gegevens dan alsnog worden opgevraagd bij eMates? Zo nee, waarom niet?

    Het opvragen van de gegevens maakt deel uit van de juridische afwikkeling van de medewerking aan de dienstverlening van eMates. Aangezien de onderhandelingen nog lopen kan ik daar nu geen antwoord op geven.

  • Vraag 15
    Kunt u verklaren waarom de mate van controle van eMates-berichten per PI zeer verschillend was, zoals de ADR constateerde, en wat betekent deze constatering voor het onderzoek van DJI naar het opzetten van een mogelijke alternatieve berichtenservice in eigen beheer?

    Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
    Zoals uit het antwoord bij vraag 13 blijkt, worden alle berichten van en aan gedetineerden in de EBI en de TA door DJI gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. Dat hier verschil in zit heeft te maken met differentiatie in beveiligingsniveaus.
    Tijdens de oriëntatie naar een nieuwe berichtservice worden de informatiebeveiligingseisen voor een alternatieve berichtenservice meegenomen. Een dergelijke berichtenservice dient veilig en eigentijds te zijn.
    Er kan nu geen sluitend antwoord gegeven worden op de vraag aan welke specifieke informatiebeveiligingseisen een nieuwe alternatieve berichtenservice moet voldoen, omdat dat afhankelijk is van de functionele wensen. In algemene zin kan wel gezegd worden dat de alternatieve berichtenservice minimaal zal moeten voldoen aan het vigerend beleid waaraan DJI in het kader van informatiebeveiliging voldoet. De reden waarom deze eisen nooit aan Mates is opgelegd, is omdat DJI geen contract had met serviceprovider Unilink en er geen formele klant-leverancier relatie met eMates bestond. Dit soort constructies zullen in de toekomst voorkomen worden.
    In mijn brief aan uw Kamer op 3 april 2023 inzake het VKC-verzoek over de voortgang op uitvoering moties van het lid Ellian (VVD) gaf ik aan dat voor de langere termijn ook zal worden gekeken naar de inzet van Artificial Intelligence (AI) om sneller en efficiënter de bulk van berichtenverkeer met gedetineerden te controleren op signalen van voortgezet crimineel handelen.13 Of een alternatieve elektronische berichtenservice in eigen beheer van DJI wenselijk is, is DJI momenteel aan het onderzoeken. Ik verwacht uw Kamer na het zomerreces hierover te kunnen infomeren.

  • Vraag 16
    Aan welke specifieke informatiebeveiligingseisen moet een nieuwe alternatieve berichtenservice voldoen en waarom zijn deze eisen nooit aan eMates opgelegd?

    Zie antwoord vraag 15.

  • Mededeling - 22 mei 2023

    Hierbij deel ik u mede dat de schriftelijke vragen van het lid Ellian (VVD), van uw Kamer aan de Minister voor Rechtsbescherming over het Rapport van de ADR over eMates (ingezonden 1 mei 2023) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.


Kamervraag document nummer: kv-tk-2023Z07767
Volledige titel: Het Rapport van de ADR over eMates
Kamerantwoord document nummer: ah-tk-20222023-2897
Volledige titel: Antwoord op vragen van het lid Ellian over het rapport van de ADR over eMates.