Brief regering : Verslag door Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) van de audits over 2017 en 2018

Nr. 90 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 december 2020

Met deze brief bied ik u conform artikel 8.2 van het Besluit verstrekking gegevens
telecommunicatie het verslag aan van de audits over 2017 en 2018 naar de goede uitvoering
van dit besluit door de beheerder van het Centraal Informatiepunt Onderzoek Telecommunicatie
(CIOT), de gebruikers van het CIOT en de aanbieders van openbare telecommunicatiediensten
of van openbare telecommunicatienetwerken1. Met deze brief informeer ik u tevens over twee actuele vraagstukken met betrekking
tot bevragingen van het CIOT.

Aanleiding

Het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) beheert, op grond van
hoofdstuk 13 van de Telecommunicatiewet en het Besluit verstrekking gegevens telecommunicatie,
het CIOT-Informatiesysteem (CIS) waarmee informatieverzoeken van behoeftestellers,
zijnde de (bijzondere) opsporingsdiensten en inlichtingendiensten, worden beantwoord
door aanbieders van telecommunicatiediensten. Conform artikel 8.2 van het Besluit
verstrekking gegevens telecommunicatie informeer ik uw Kamer over de audit naar de
goede uitvoering van dit besluit door de betrokken partijen.

De Auditdienst Rijk (ADR) heeft op mijn verzoek audits uitgevoerd naar het beheer
van het CIOT-informatiesysteem (CIS) over 2017 en naar de rechtmatigheid van de bevragingen
door de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel en Warenautoriteit
(NVWA-IOD), de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en
Transport (ILT-IOD) en de Rijksrecherche over 2018. Ook heeft de ADR een audit uitgevoerd
naar maatregelen van de verstrekking van gegevens bij twee aanbieders (telecomproviders)
over 2018.

Conform de afspraken in de ministerraad, zijn de rapporten en managementreactie na
afronding van de audits in 2019 en 2020 openbaar gemaakt op de website van de rijksoverheid.nl.
Tevens vindt u deze rapporten bijgevoegd2.

Daarnaast heeft Concernaudit Politie, de interne auditdienst van de politie, over
2017 en 2018 audits uitgevoerd naar de juiste uitvoering van het Besluit verstrekking
gegevens telecommunicatie door de politie.

Inhaalslag audits

Vanwege beperkte capaciteit bij de Concernaudit Politie en ADR hebben voornoemde audits
vertraging opgelopen. Daarbij komt dat de verschillende audits betrekking hebben op
veel partijen en de onderlinge afstemming met hen ook enige tijd in beslag heeft genomen,
waardoor ik nu pas in staat ben om alle audits tezamen te bezien en u over mijn conclusies
op basis daarvan te informeren.

Om de actualiteitswaarde van de volgende audits te borgen is de ADR op mijn verzoek
gestart met een inhaalslag: de audit CIOT beheer 2018–2020 en CIOT gebruikers 2019
en start op korte termijn met de audit CIOT aanbieders over 2019. Ook de Concernaudit
Politie voert de audit over 2019 op dit moment uit. Dit betekent dat de vertraging
wordt ingelopen en uw Kamer naar verwachting in de loop van 2021 over deze audits
geïnformeerd wordt.

Het CIOT: een nadere toelichting

Als onderdeel van het Ministerie van Justitie en Veiligheid is het CIOT aangewezen
om de informatieverzoeken van behoeftestellers, zijnde de (bijzondere) opsporingsdiensten
en inlichtingendiensten door te geleiden naar de aanbieders van telecommunicatiediensten.
Het CIOT kan worden beschouwd als een «berichtenmakelaar». Daartoe beheert het CIOT
het geautomatiseerd CIOT-informatiesysteem (CIS), waarin het vraag- en antwoordverkeer
van de door de behoeftestellers expliciet gevraagde gegevens wordt doorgeleid.

Het CIOT schept randvoorwaarden, zodat alle gegevens van gebruikers van telecommunicatie
met de juiste zorgvuldigheid worden behandeld. Conform het Besluit verstrekking gegevens
telecommunicatie moeten alle aanbieders van telecommunicatiediensten ten minste iedere
24 uur hun gegevens – naam, adres, type aansluitingen, emailadres, telefoonnummer,
e.d. zie artikel 4 van het Besluit – van gebruikers en/of abonnees bij het CIS aanleveren.
Het betreffen dus gegevens over de persoon en nadrukkelijk geen inhoud van communicatie
of verkeers- en locatiegegevens. De door de aanbieders geleverde gegevens moeten overeenstemmen
met de gegevens die de aanbieder bij zijn bedrijfsvoering gebruikt. De gegevenslevering
door de aanbieder dient elke keer de volledige set van alle gebruikers van telecommunicatiediensten
te bevatten.

Iedere 24 uur wordt het bestand in het CIS bij het CIOT overschreven, het CIOT beheert
dus zelf geen historische gegevens. Het opvragen van gegevens bij de aanbieders van
telecommunicatiediensten door middel van het CIS is gebonden aan wettelijke voorschriften.
Het Wetboek van Strafrecht en het Wetboek van Strafvordering geven aan onder welke
voorwaarden de informatie door de behoeftestellers kan worden opgevraagd. De behoeftestellers
moeten het bevragingsproces zodanig inrichten dat gewaarborgd is dat de bevragingen
voldoen aan het wettelijk kader en tevens moet dat achteraf vastgesteld kunnen worden.

Belangrijkste bevindingen

Audit beheer 2017

De ADR heeft aan de hand van een normenkader onderzoek gedaan naar de beheersmaatregelen
die het CIOT heeft getroffen. Het doel van het onderzoek was hierbij het verschaffen
van inzicht in de mogelijke risico’s op het gebied van de gegevensaanlevering en -verstrekking.

Uit het onderzoek is gebleken dat een significant deel van de verbeterpunten uit de
vorige auditrapportage zijn gerealiseerd, zoals vastlegging en actualisering van loginformatie
en het uitvoeren van back-up en recoverytesten en vastlegging en opvolging van de
uitkomsten.

Het Informatiepunt Bijzondere Opsporingsonderzoeken (IBO) van de Justitiële Informatiedienst
(Justid) die het CIS als opdrachtnemer onder beheer heeft, heeft de bevindingen van
de ADR overgenomen en waar nodig reeds verbeteracties ingezet. Het betreft aandachtspunten
zoals het vastleggen van reeds correct ingestelde beveiligingsinstellingen met betrekking
tot versleuteling van verbindingen, actualiseren en periodiek evalueren van contracten
met leveranciers en het opstellen van procedures voor in- en uitdiensttreding in lijn
met de huidige correct uitgevoerde praktijk.

In de managementreactie, bijgevoegd bij het auditrapport, gaat Justid/IBO hier nader
op in3.

Op basis van dit onderzoek ben ik van mening dat de beheersmaatregelen bij het CIOT
toereikend zijn om de risico’s op inbreuken op beveiliging of integriteit van de informatie-uitwisseling
te beperken.

Audit NVWA, ILT-IOD, Rijksrecherche 2018

De ADR heeft aan de hand van een normenkader getoetst of de bevragingen van het CIOT
door drie (bijzondere) opsporingsdiensten NVWA, ILT-IOD en de Rijksrecherche, rechtmatig,
conform wet- en regelgeving zijn uitgevoerd. De centrale vraag bij de uitvoering van
de audit is in welke mate door de (bijzondere) opsporingsinstanties maatregelen zijn
getroffen zodat de bevragingen in het systeem rechtmatig plaatsvinden en in welke
mate deze maatregelen worden nageleefd.

Uit de audit is gebleken dat de (bijzondere) opsporingsdiensten een zeer beperkt aantal
van de totale bevragingen van het CIOT doen en deze aan het overgrote deel van de
normen voldoen. Een aantal procesbeschrijvingen en registraties van deze normen ontbreken
echter binnen de onderzochte diensten, wat heeft geleid tot enkele adviezen voor verbetering.
De belangrijkste conclusie is dat alle bevragingen zijn uitgevoerd door geautoriseerde
personen en dat voorafgaand aan bevragingen een rechtmatigheidscontrole wordt uitgevoerd.
Maar in 5 van de 54 gevallen kon de rechtmatigheid van de bevraging niet worden aangetoond,
omdat de bevraging niet aan alle criteria van de rechtmatigheid voldeden. Dit wil
echter niet zeggen dat deze bevragingen ook niet rechtmatig waren, een logischere
verklaring is dat het om administratieve gebreken gaat. De procesbeschrijving en registratie
van het bevragingsproces vragen dus om verbetering, waarmee achteraf ook de rechtmatigheid
van de bevraging in alle gevallen beoordeeld kan worden.

Voorts concludeert de ADR dat externen geen toegang hebben tot CIS en dat alle gebruikers
een passende opleiding hebben gevolgd. Ook houden alle gebruikers rekening met vertrouwelijkheid
bij benadering van het CIS en worden incidenten correct bijgehouden, maar mist ook
hier een duidelijke procedurebeschrijving en registratie. Een goede procedurebeschrijving
ontbreekt ook voor spoedbevragingen en calamiteiten. Voorts is aanwijzing van de gebruikers
door het bevoegd gezag echter niet expliciet neergelegd.

Op basis het feit dat de desbetreffende diensten zich herkennen in de bevindingen
en de geadviseerde verbeteringen ter hand nemen en deels al hebben gerealiseerd, ga
ik er van uit dat gebruikers van het CIOT de juiste maatregelen hebben ingezet om
de rechtmatigheid van bevragingen te waarborgen.

Audits politie

Aan de hand van een normenkader heeft Concernaudit Politie over 2017 en 2018 getoetst
in welke mate de politie voldoet aan de regels en afspraken gesteld aan de uitvoering
van de bevraging van klantgegevens van telecom- en internetbedrijven via het CIOT.

De politie gebruikt deze informatie voor opsporingshandelingen en bij noodhulpverlening
door de meldkamers. De regels voor de verstrekking van gegevens van aanbieders van
openbare telecommunicatienetwerken en -diensten met het oog op het strafvorderlijk
onderzoek van telecommunicatie zijn vastgelegd in het Besluit verstrekking gegevens
telecommunicatie.

Op basis van dit besluit zijn over de jaren 2017 en 2018 audits uitgevoerd naar de
goede uitvoering van dit besluit door politie. De scope van de audits betreft het
vaststellen of de bevragingen door politieambtenaren in het CIS rechtmatig hebben
plaatsgevonden volgens geldende wetgeving en lopende afspraken met betrekking tot
het CIOT.

In de audits komt naar voren dat op een groot aantal punten wordt voldaan aan geldende
wet- en regelgeving en de vastgelegde afspraken met betrekking tot het CIOT. Op enkele
punten zijn afwijkingen geconstateerd.

Audit politie 2017

Uit de auditrapportage 2017 komt naar voren dat op verschillende punten uit de audit
2016 acties zijn ondernomen, maar dat een deel van deze acties ten tijde van de audit
2017 nog niet was geëffectueerd. Op enkele onderwerpen zijn afwijkingen geconstateerd,
met betrekking tot de landelijke procedure (bevragingen CIS), autoriseren, de werkwijze
van I&S en de 112-centrale.

Gezien de bevindingen van de auditors is in 2018 een landelijk coördinator CIOT aangesteld.
De landelijk coördinator draagt onder meer zorg voor de actualisatie van de landelijke
procedure in lijn met de aanbevelingen vanuit de audit 2017. De landelijke procedure
bevat daarmee:

– de werkprocessen;

– de criteria voor autorisatie voor het CIS-bevragingssysteem;

– de professionalisering van aangewezen gebruikers;

– het proces van aanwijzen en benoemen van gebruikers en beheerders;

– en de taken, verantwoordelijkheden en bevoegdheden van de landelijk coördinator in
relatie tot lijnverantwoordelijken in de organisatie.

Een deel van de CIOT-werkzaamheden wordt uitgevoerd door de afdeling Interceptie &
Sensing van de Landelijke eenheid van politie. Waar mogelijk worden deze werkzaamheden
uitgevoerd conform de afspraken die van toepassing zijn voor alle politie-eenheden.
De werkafspraken zullen echter – gezien de aard van de werkzaamheden van de betreffende
afdeling – op punten afwijken van de landelijke lijn. Ook dit krijgt een plek in de
landelijke procedure.

Audit politie 2018

Uit de auditrapportage 2018 blijkt dat politie op een groot aantal punten voldoet
aan geldende wet- en regelgeving en de vastgelegde afspraken met het CIOT.

In de auditrapportage 2018 komt naar voren dat de nieuwe landelijke procedure bijna
gereed is en in het reguliere besluitvormingsproces wordt geformaliseerd. De aanbevelingen
met betrekking tot de verschillende bevragingen uit het rapport 2017 zijn wel al doorgevoerd
in de opleidingen.

De auditors constateren dat een voorstel tot aanwijzing van nieuwe beheerders en bevragers
door de korpschef gereed is, maar nog niet is geaccordeerd en geïmplementeerd. Inmiddels
is op 1 april 2020 de nieuwe landelijke procedure goedgekeurd door de portefeuillehouder
en op 19 mei 2020 is deze formeel verzonden naar de politiechefs. In de procedure
zijn de rollen en taken beschreven van de nationaal coördinator CIOT, de lokaal beheerders
en de bevragers. Per rol is beschreven hoe de aanwijzing in mandaat moet plaatsvinden.

Ik constateer dat de politie een stevige kwaliteitsverbetering heeft ingezet ten aanzien
van het juiste gebruik en administratieve proces rondom bevragingen van het CIOT-CIS.
Uit voorgaande audits bleken vrij grote onvolkomenheden, die nu verholpen zijn. Ik
blijf met de politie in gesprek om te borgen dat de ambitie van deze verbeterlijn
behouden blijft.

De volledige auditrapportages zijn als bijlagen toegevoegd4.

Audit Aanbieders 2018

Door de ADR is voor het eerst ook onderzoek gedaan naar de maatregelen van de verstrekking
van telecommunicatiegegevens door twee aanbieders (telecomproviders). Het onderzoek
geeft inzicht in de kwaliteit van de maatregelen die de aanbieders getroffen hebben,
zodat deze kan voldoen aan de wetgeving en de met Justid overeengekomen afspraken.
Geconstateerd wordt dat het merendeel van de maatregelen goed wordt uitgevoerd. De
bevindingen van de ADR zijn met de aanbieders en de Commissie van Advies van het CIOT,
waarin een delegatie van aanbieders zitting heeft, besproken. De verantwoordelijkheid
voor de opvolging daarvan ligt bij de aanbieders.

Bevragingen ten behoeve van noodhulp

In de brief van 26 juli 20185 heb ik uw Kamer geïnformeerd over bevragingen van het CIOT-CIS ten behoeve van noodhulp.
Aangezien de politie rechtmatig mag beschikken over de NAWP gegevens voor het doel
van noodhulpverlening en misbruikbestrijding en het feit dat de rechtstreekse aanlevering
nog niet volledig was geoperationaliseerd, heb ik aangegeven dat in noodzakelijke
gevallen een CIOT bevraging wordt uitgevoerd.6 Hoewel deze zomer het nieuwe platform 1-1-2 in gebruik is genomen, is gebleken dat
de rechtstreekse aanlevering via dit platform niet in alle gevallen de NAWP gegevens
oplevert. Daarom wordt er voor noodhulpverlening of misbruikbestrijding nog steeds
een CIOT bevraging uitgevoerd, wanneer dit noodzakelijk is.

De politie werkt met de betrokken partijen aan de verbetering van de betrouwbaarheid
van de gegevens, zodat begin 2021 rechtstreekse aanlevering van NAWP-gegevens via
het 1-1-2-platform mogelijk is.

Bevragingen ten aanzien van de Wet verplichte GGZ

Met ingang van 1 januari 2020 is de Wet verplichte GGZ (Wvggz) van kracht. Deze wet
voorziet in een bevoegdheid om met een machtiging van de rechter-commissaris NAWP-gegevens
te vorderen van de telecomaanbieder ter opsporing van personen die zich onttrekken
aan de opgelegde verplichte zorg, in die gevallen dat er het ernstige vermoeden bestaat
dat betrokkene in levensgevaar verkeert of een ernstig misdrijf zal plegen. Gelet
op het belang om deze personen zo snel mogelijk te traceren, is het onwenselijk dat
de gegevens bij de telecomaanbieders zelf moeten worden opgevraagd. Er is bij de totstandkoming
van de Wvggz geen specifieke wettelijke grondslag gecreëerd om het CIOT te bevragen
in het kader van die wet. Aangezien de politie echter rechtmatig mag beschikken over
de NAWP gegevens ter lokalisering van deze personen, wordt er in noodzakelijke gevallen
toch een CIOT-bevraging uitgevoerd. Ik zie het ontbreken van de grondslag om voor
dit doel het CIOT te bevragen als een omissie in de regelgeving die ik op korte termijn
wil herstellen. Daarbij betrek ik zowel de Minister van Economische Zaken en Klimaat
als de Minister van Volksgezondheid, Welzijn en Sport.

Publicatie jaarcijfers

Het CIOT publiceert, conform de wettelijke verplichting, jaarlijks cijfers over het
aantal afgehandelde informatieverzoeken. Dit gebeurt door publicatie van een rapport
van de cijfers via de website www.rijksoverheid.nl. Sinds 2015 worden deze cijfers met het verschijnen van het jaarverslag van het Ministerie
van Justitie en Veiligheid gepubliceerd.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus