| Ingediend | 21 juni 2023 |
|---|---|
| Beantwoord | 26 juli 2023 (na 35 dagen) |
| Indieners | Hawre Rahimi (VVD), Ulysse Ellian (VVD) |
| Beantwoord door | Franc Weerwind (minister zonder portefeuille justitie en veiligheid) (D66), Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66) |
| Onderwerpen | bestuur organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2023Z11481.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20222023-3306.html |
Ja.
De betreffende ambtenaar voerde zijn taken uit in dienst van Justis. De vervalsing van rapporten maakte daar vanzelfsprekend geen onderdeel van uit.
Voor het betreffende proces binnen Justis werd tot maart 2023 geen gebruik gemaakt van het vierogenprincipe. De invoering van het vierogenprincipe is wel één van de verbeteracties die naar aanleiding van dit incident is doorgevoerd.
Nee.
Er is naar aanleiding van het uitgevoerde digitaal forensisch onderzoek geen reden om aan te nemen dat bij andere ministeries of uitvoeringsorganisaties dergelijke praktijken plaatsvinden of hebben gevonden. Zie voor de volledigheid ook het antwoord op vraag 6.
Op dit moment is het zo dat organisaties bij het gebruik van DigiD jaarlijks moeten aantonen dat zij aan 21 informatieveiligheidseisen voldoen. Sinds 1 januari 2023 vindt digitale ondertekening plaats op de elektronisch ingediende assessments door de onafhankelijke auditor. Zonder deze digitale ondertekening neemt Logius de assessments niet in behandeling. Elke vorm van bewerking in het digitale document, nadat er is getekend, zorgt ervoor dat de geldigheid van de digitale handtekening komt te vervallen. In de afgelopen assessmentronde werd 98% van de assessments digitaal ingediend. Vanaf 1 januari 2024 kunnen assessments uitsluitend digitaal worden ingediend. Hiermee wordt manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk gemaakt. Na de constatering van de manipulatie is bij Justis het auditproces verbeterd en aangescherpt, zo is bijvoorbeeld het vierogenprincipe ingevoerd (zie ook de beantwoording van de vragen 3 en 10).
In de aangepaste versies zijn meerdere bevindingen van de Suwinet-auditrapportages afgezwakt of weggelaten. Hierbij zijn sommige negatieve bevindingen aangepast zodat deze positiever overkomen of zijn deze bevindingen volledig weggelaten. Voor meer specifieke informatie verwijs ik naar de managementsamenvatting van het forensisch digitaal onderzoek van Fox-IT, dat ik uw Kamer eerder toestuurde.2 De vraag waarom deze wijzigingen op de originele auditrapportage van de ADR zijn gemaakt, is geen onderdeel geweest van het digitaal forensisch onderzoek van Fox-IT.
In de rapporten zijn oordelen van de ADR dat de toepassing van een beveiligingsnorm «niet voldoet» aangepast naar «voldoet». Op dit moment zijn er geen signalen die wijzen op concreet gevaar voor de informatieveiligheid of het lekken van gegevens. In de tweede fase van het onderzoek wordt een risico-inschatting gemaakt naar aanleiding van de gemaakte wijzigingen in de DigiD-auditrapportages. Na het afronden van deze fase zal naar verwachting meer duidelijk zijn over de risico’s die op het gebied van informatieveiligheid hebben bestaan.
Voor de beantwoording van deze vraag interpreteer ik de term «exploited audit» als «het (frauduleus) aanpassen van de bedoelde rapportages». In die context kan ik bevestigen dat de bedoelde persoon inderdaad was betrokken. Zoals ook uit het onderzoek van Fox-IT blijkt, zijn er echter geen sporen aangetroffen die aantonen dat anderen op de hoogte zijn geweest van de aanpassingen of betrokken zijn geweest bij het aanpassen of namaken van de rapporten. Bij de implementatie en reparatie zijn dus geen medewerkers betrokken die ook betrokken waren bij de aanpassing of het namaken van rapporten.
De vervolgacties zien op het aanscherpen en verbeteren van het auditproces binnen Justis, om manipulatie van assessments, of rapporten daarover, zo goed als onmogelijk te maken (zie ook mijn antwoorden op vragen 3 en 6).
Er vinden op dit moment nog twee onderzoeken plaats: het onderzoek naar risico’s zoals benoemd in het antwoord op vraag 8 en een onderzoek naar hoe dit heeft kunnen gebeuren. Het is mijn verwachting dat ook hieruit concrete aanbevelingen komen voor verdere verbeteringen om soortgelijke situaties in de toekomst te voorkomen.
Voor de beantwoording van deze vraag interpreteer ik de term «exploits» als «het (frauduleus) aanpassen van rapportages». In die context kan ik u melden dat uit het digitaal forensisch onderzoek niet is gebleken dat dit het geval is.
Voor de beantwoording van deze vraag interpreteer ik de term «deze medewerkers» als «alle medewerkers van Justis behalve betrokkene». Tijdens het onderzoek van Fox-IT zijn geen sporen aangetroffen die erop wijzen dat anderen dan betrokkene op de hoogte waren van de aanpassingen in de rapporten, of betrokken waren bij het aanpassen of namaken van de rapporten.
Hierbij deel ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, mede dat de schriftelijke vragen van de leden Rahimi en Ellian (beiden VVD), van uw Kamer aan de Minister voor Rechtsbescherming over het bericht «Ambtenaar vervalste meerdere rapporten over beveiliging DigiD-aansluiting» (ingezonden 21 juni 2023) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.