Brief regering : Audit Verwijzingsportaal Bankgegevens 2023
35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)
Nr. 9
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 28 november 2024
Met deze brief informeer ik de Kamer over de uitkomsten van de jaarlijkse audit van
het Verwijzingsportaal Bankgegevens. Deze audit is een verplichting die volgt uit
het Besluit verwijzingsportaal bankgegevens.
Aanleiding
Het Verwijzingsportaal Bankgegevens is een technische voorziening waarmee het opvragen
van identificerende gegevens door de daartoe reeds bevoegde overheidsdiensten is gedigitaliseerd.
Met het Verwijzingsportaal is deze wettelijk verplichte verstrekking beter beveiligd
en vele malen sneller, hetgeen effectievere opsporing ten goede komt. Het Verwijzingsportaal
Bankgegevens is dus enkel een technische voorziening om wettelijke vorderingen, verzoeken en verstrekkingen te routeren. De
bevoegde diensten zijn gedefinieerd in Artikel 6 van het Besluit verwijzingsportaal
bankgegevens: de politie, het openbaar ministerie (OM), de Fiscale Inlichtingen- en
Opsporingsdienst (FIOD), de Opsporingsdienst van de Nederlandse Arbeidsinspectie (OD-NLA),
de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit
(NVWA-IOD), de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en
Transport (ILT-IOD), de Koninklijke Marechaussee (KMar, de Rijksrecherche, de Financiële
inlichtingen eenheid (FIU-Nederland) en de Belastingdienst (bevragers).
Voorheen verliepen deze bevragingen rechtstreeks, bijvoorbeeld via mailverkeer tussen
de opsporingsdienst en de bank. Er zijn met het portaal overigens geen nieuwe bevoegdheden
voor bevragingen gecreëerd, het proces van opvragen van gegevens is gedigitaliseerd.
Banken en andere betaaldienstverleners (verstrekkers) waren al wettelijk verplicht
om aan dergelijke vorderingen of bevragingen door deze diensten te voldoen. Nu zijn
zij verplicht deze gegevens via het portaal te verstrekken.
In artikel 5 lid 3 van het Besluit verwijzingsportaal bankgegevens is opgenomen dat
er tweejaarlijks een audit wordt gedaan naar de goede uitvoering van het besluit.
In lid 4 van het besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding
van het besluit de audit jaarlijks zal worden gedaan. De eerste auditrapportage van
het Verwijzingsportaal Bankgegevens is 18 januari 20241 aan uw Kamer verstuurd en betrof het gebruik van het Verwijzingsportaal Bankgegevens
over 2022.
Met deze brief bied ik u, conform het Besluit, een verslag aan van de (tweede) jaarlijkse
audit over 2023. De auditrapportages zijn bijgesloten.
Op grond van het Besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal
Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens.
In 2024 zijn er drie audits uitgevoerd: naar het de opvolging van de aanbevelingen
door Justid/Opsporing zoals beschreven in de rapportage Beheer Verwijzingsportaal
Bankgegevens van 18 april 2023, naar de bevragingen met het portaal door de Koninklijke
Marechaussee (KMar) en de Opsporingsdienst van de Nederlandse Arbeidsinspectie (OD-NLA)
in 2023 en de bevragingen met het portaal door de politie in 2023. De auditrapporten
zijn bijgevoegd.
Belangrijkste bevindingen
De Auditdienst Rijk heeft onderzoek gedaan naar de opvolging van de auditbevindingen
tijdens de eerste audit bij het beheer van het Verwijzingsportaal Bankgegevens door
Justid/Opsporing aan de hand van het normenkader dat bij de eerste audit in 2023 is
opgesteld. Aanvullend is door de Auditdienst Rijk onderzoek gedaan naar de bevragingen
met het Verwijzingsportaal Bankgegevens door de KMar en OD-NLA. De afdeling Concernaudit
van de Nationale Politie heeft aan de hand van een normenkader onderzoek gedaan naar
het gebruik van het Verwijzingsportaal Bankgegevens door de politie.
Hieronder ga ik onder 1 tot en met 3 per audit in op de belangrijkste bevindingen
en de opvolging daarvan. Vervolgens ga ik onder 4 in op het controleprogramma voor
de banken om de juistheid en volledigheid van de verstrekkingen te kunnen borgen en
onder 5 op de monitoring opvolging van de bevindingen uit de eerste audit over 2022.
1. Opvolgaudit Beheer Justid/Opsporing
Naar aanleiding van het onderzoek naar de opvolging van de ADR-bevindingen uit 2023,
heeft de ADR vastgesteld dat Justid/Opsporing veel tijd heeft gestoken in het oplossen
van de bevindingen die bij de voorgaande audit zijn gedaan. Op basis van de aanbevelingenmatrix
die door de ADR bij het voorgaande onderzoek is opgesteld, heeft Justid/Opsporing
30 van de 48 afwijkingen opgelost. Alle openstaande punten met betrekking tot het
wijzigingsbeheer en de punten met betrekking tot het waarborgen van de continuïteit
en herstelbaarheid van het VB indien zich een calamiteit voordoet, zijn naar tevredenheid
afgehandeld. De nog openstaande bevindingen zijn terug te voeren op een tweetal nog
lopende acties bij Justid/Opsporing en een aanvullende actie die door de ADR is geïdentificeerd.
Dit betreffen het verder versterken van leveranciersmanagement, de verdere invoering
van de Baseline Informatiebeveiliging Overheid (BIO) en het doorontwikkelen van het
systeem om oneigenlijk gebruik van het VB te identificeren en te rapporteren, het
Security Incident & Event Management (SIEM) systeem.
Justid/Opsporing heeft goed zicht op de activiteiten van haar leveranciers. Periodiek
ontvangt Justid/Opsporing rapportages over de status van de informatiebeveiligingsmaatregelen.
Waar nodig voert Justid/Opsporing additionele controles uit om informatiebeveiligingsprocedures
bij haar leveranciers te verifiëren. De ADR ziet mogelijkheden voor verdere versterking
van het rapportageproces over de naleving van de Baseline Informatiebeveiliging Overheid
door de belangrijkste leveranciers van Justid/Opsporing.
Justid/Opsporing heeft voor het Verwijzingsportaal Bankgegevens een systeem voor Security
Information & Event Management ingericht. Het doel van dit systeem is om verdachte
gebeurtenissen op het gebied van informatieveiligheid te identificeren, zodat gericht
en in een vroegtijdig stadium mogelijke inbreuken in de beveiliging kunnen worden
opgespoord en verholpen. Geconstateerde tekortkomingen hebben betrekking op de reikwijdte
van de verzamelde informatie en functiescheiding tussen systeembeheer en het afhandelen
van beveiligingsmeldingen. De verbeterpunten waren voorafgaand aan de audit door Justid/Opsporing
onderkend. De vereiste investeringen om de verbeteringen te realiseren zijn inmiddels
gedaan. De komende periode zal worden benut om het systeem verder uit te bouwen en
te verbeteren, zodat het systeem aan de eisen van Justid/Opsporing voldoet.
Ten aanzien van de status van de invoering van de BIO heeft Justid/Opsporing ook vorderingen
gemaakt. Verschillende documentatie- en procesvereisten zijn echter nog niet of niet
volledig geïmplementeerd. Justid/Opsporing heeft in de reactie aangegeven dat ten
aanzien van onduidelijke status van de BIO implementatie gedetailleerde informatie
beschikbaar is, deze is echter niet tijdig aan de Auditdienst Rijk overlegd. Sinds
het meetmoment door de ADR heeft Justid/Opsporing additionele vorderingen gemaakt
met de invoering van de BIO en ontvangt het bioproject de vereiste managementaandacht.
De voortgang van de lopende acties bij Justid/Opsporing en de aanvullende actie die
door de ADR is geïdentificeerd worden het komend jaar gemonitord aan de hand van voortgangsrapportages
van Justid/Opsporing. De ADR zal bij de volgende audit de stand van zaken onderzoeken
en daarover rapporteren.
2. Audit gebruik van het VB bij opsporingsdiensten
De Auditdienst Rijk heeft bij twee opsporingsdiensten een audit uitgevoerd naar het
gebruik van het VB. De resultaten naar aanleiding van de audits zijn hieronder samengevat.
Nederlandse Arbeidsinspectie (OD-NLA)
De Auditdienst Rijk constateert dat de OD-NLA de getoetste bevragingen met behulp
van het Verwijzingsportaal Bankgegevens heeft uitgevoerd in lijn met de afspraken
in het gebruiksprotocol dat voor het Verwijzingsportaal Bankgegevens is opgesteld.
Zo is elke getoetste bevraging gebaseerd op een vordering en zijn de vorderingen,
waarvoor een opsporingsambtenaar of een hulpofficier van justitie van de OD-NLA bevoegd
is, door een bevoegd persoon gedaan. Verder zijn alle bevragingen waarbij alle banken
tegelijk zijn bevraagd op dat punt gemotiveerd.
De OD-NLA heeft vanaf het derde kwartaal 2023 periodieke controles uitgevoerd van
de door de OD-NLA uitgevoerde bevragingen met het Verwijzingsportaal Bankgegevens.
Deze periodieke controles staan ook beschreven in het Gebruiksprotocol Verwijzingsportaal
Bankgegevens. De Auditdienst Rijk constateert dat aanpak van de controle van de autorisaties
tot het Verwijzingsportaal Bankgegevens dient te worden verbeterd, omdat de controle
zich beperkte tot de medewerkers die het VB daadwerkelijk hadden gebruikt, niet tot
alle actieve gebruikers van de OD-NLA. Deze controles gaven overigens aan dat alle
bevragingen zijn uitgevoerd door geautoriseerde medewerkers. De OD-NLA heeft de verbetering
inmiddels doorgevoerd.
De OD-NLA heeft in reactie op het onderzoek aangegeven zich te kunnen vinden in de
verslaglegging. De OD-NLA is gestart met het doorvoeren van de in het onderzoek genoemde
mogelijkheden voor verbetering.
Koninklijke Marechaussee (KMar)
Naar aanleiding van de bevindingen in het rapport en de informatie die ik nadien van
de KMar heb ontvangen stel ik vast dat de KMar zich op hoofdlijnen aan de afspraken
in het gebruiksprotocol heeft gehouden, maar dat ook enkele verbeteringen noodzakelijk
zijn. De Auditdienst Rijk heeft zowel opmerkingen over de controleerbaarheid van de
bevragingen als op mogelijke tekortkomingen ten aanzien van de rechtmatigheid van
de uitgevoerde bevragingen. Een deel van de opmerkingen door de Auditdienst Rijk wordt
verklaard door het niet tijdig beschikbaar kunnen stellen van het gevraagde bewijsmateriaal
over het gebruik van het Verwijzingsportaal Bankgegevens. In de selectie van de Auditdienst
Rijk hadden verschillende bevragingen betrekking op «onderzoeken onder dekmantel»
(ook aangeduid met «onderzoeken onder embargo») waarvoor aanvullende geheimhoudingscriteria
gelden. De Auditdienst Rijk is gerechtigd om onder voorwaarden deze informatie in
te zien. De interne controleprocedures binnen de KMar voorzagen echter niet in tijdige
vrijgave van de vereiste stukken, waardoor de rechtmatigheid van de bevragingen in
onderzoeken onder dekmantel niet kon worden vastgesteld.
De ADR geeft aan dat zij de bevoegdheid van de bevragers niet heeft kunnen vaststellen.
Het niet kunnen controleren van de bevoegdheden is eveneens ingegeven door het niet
tijdig door de KMar kunnen aanleveren van de vereiste informatie. Deze was wel voorhanden
en is na het onderzoek van de ADR alsnog vastgesteld. Op grond van artikel 141 WvSv
heeft een opsporingsambtenaar van de KMar dezelfde bevoegdheden als een opsporingsambtenaar
van de politie. Het controleprogramma dat de ADR hanteert, zal op dit punt worden
aangepast.
In de steekproef van de ADR bleek dat één van de geselecteerde vorderingen was ondertekend
door een medewerker die op het moment van ondertekenen van de vordering niet meer
bevoegd was. Na publicatie van het definitieve rapport is door de KMar informatie
aangereikt dat de betreffende medewerker wèl over een geldig certificaat «hulpofficier
van justitie» beschikte. Artikel 6 eerste lid van de Regeling hulpofficieren van justitie
2008 stelt dat de hulpofficier van justitie van wie de geldigheid van het certificaat
komt te vervallen binnen de termijn van drie jaar voordat hij met functioneel leeftijdsontslag
gaat, voor de bedoelde termijn van rechtswege ontheffing wordt verleend. Tenslotte
heeft de ADR opmerkingen gemaakt over de interpretatie van de vorderingsgrondslag.
Omdat het werkplan dat de ADR hanteert niet eenduidig is, zal het werkplan worden
aanpast zodat duidelijk is hoe de vorderingsgrondslag dient te worden gecontroleerd.
De KMar is na het delen van het onderzoeksrapport direct een project gestart om de
controleerbaarheid van het proces van bevragingen te verbeteren. Met de KMar zijn
door mijn ministerie aanvullende monitoringsafspraken gemaakt.
Ten behoeve van vervolgonderzoeken in 2025 en verder, zullen aanpassingen van het
werkprogramma van de ADR worden gemaakt om discussiepunten over de interpretatie van
het gebruiksprotocol zoveel mogelijk te voorkomen. Daarnaast zullen opsporingsdiensten
die van het Verwijzingsportaal Bankgegevens gebruikmaken erop worden gewezen dat ook
onderzoeken die onder dekmantel zijn uitgevoerd binnen de reikwijdte van de audit
Verwijzingsportaal vallen, om te voorkomen dat een categorie bevragingen bestaat die
niet getoetst kan worden.
3. Audit politie
De auditdienst van de politie heeft een onderzoek uitgevoerd naar de bevragingen met
het Verwijzingsportaal Bankgegevens, alsmede de opvolging van de bevindingen die bij
de voorgaande audit over bevragingen in 2022 zijn geïdentificeerd. De politie heeft
grote stappen gezet naar aanleiding van de bevindingen over 2022. Een kwartiermakend
landelijk coördinator Verwijzingsportaal Bankgegevens is benoemd. Structurele acties
zijn door de politie onderhanden, zoals een onderzoek naar het gebruik van het Verwijzingsportaal
Bankgegevens om de toegang verder te kunnen beperken tot kleinere doelgroepen. De
politie is gestart met de inrichting van een aanvullend controleproces zodat alle
nieuwe autorisaties die handmatig zijn toegekend voor het Verwijzingsportaal Bankgegevens
(buiten een regulier autorisatieprofiel) om, maximaal een jaar geldig zijn. Het betreft
hier het onderscheid tussen reguliere financiële recherche-autorisatieprofiel en overige
gebruikers die buiten het autorisatieprofiel vallen, maar op grond van de onderzoeken
die lopen tijdelijk toegang tot het Verwijzingsportaal Bankgegevens nodig hebben.
De planning van de politie is erop gericht per eind 2024 alle acties te hebben afgerond.
De auditdienst van de politie constateert nog verschillende tekortkomingen. In tegenstelling
tot de afspraken in het protocol zijn in 2023 interne controles op toegekende autorisaties
tot het Verwijzingsportaal Bankgegevens buiten een regulier autorisatieprofiel om,
niet aantoonbaar uitgevoerd. Evenmin hebben interne controles op bevragingen plaatsgevonden.
Inrichting van dit proces is voorzien. De politie is inmiddels gestart met de interne
controles over 2024. Ik blijf de voortgang hiervan monitoren.
In totaal heeft de auditdienst 62 bevragingen geselecteerd (ten opzichte van 44 bevragingen
in 2022) uit alle relevante landelijke en regionale eenheden. Uit de kwaliteitstoets
van de selectie van uitgevoerde bevragingen in 2023 heeft de auditdienst niet kunnen
vaststellen dat sprake is geweest van onterecht gebruik van het Verwijzingsportaal
Bankgegevens. De in de toets betrokken bevragers zijn allen opsporingsambtenaar en
de hulpofficieren van justitie waren bevoegd op de datum waarop zij de vordering tekenden
c.q. de datum van de uitvraag.
Bij de opsporing van internetoplichting en digitale fraude via het Landelijk Meldpunt
Internet Oplichting (LMIO) is het Verwijzingsportaal Bankgegevens een essentieel hulpmiddel.
In het proces van bulkbevraging voor LMIO is geborgd dat de vordering inhoudelijk
aan de kwaliteitseisen voldoet. Wel zijn voor de LMIO-bevragingen enkele vorderingen
aangetroffen, die waren gedateerd en ondertekend, voordat duidelijk was welke individuele
bevragingen de bulkuitvraag zou betreffen, een oplossing uit de Coronatijd om te voorkomen
dat LMIO-bevragingen onnodige vertraging zouden oplopen als gevolg van Corona-maatregelen.
Hierdoor kon in de audit niet onomstotelijk worden vastgesteld dat de bulkbevragingen
altijd door een hulpofficier zijn getoetst. Per 24 januari 2024 zijn veranderingen
in het proces doorgevoerd, waardoor toetsing door een hulpofficier voorafgaand aan
de bevraging is geborgd.
Met betrekking tot enkelvoudige bevragingen vergt invulling van kwaliteitseisen, door
correcte vastlegging, aandacht. Niet in alle gevallen was de benodigde documentatie
voor de kwaliteitstoets beschikbaar. Ik zie wel verbeteringen ten opzichte van de
audit over 2022. Het aantal ontvangen en controleerbare bevragingen is hoger, waardoor
een betere controle mogelijk is. Aan de belangrijkste kwaliteitscriteria van de toetsbare
vorderingen is voldaan.
De korpsleiding heeft aangegeven zich in de bevindingen te herkennen en de ingezette
verbeteringen naar aanleiding van de audit over bevragingen met het Verwijzingsportaal
Bankgegevens over 2022, voort te zetten. De opvolging van de bevindingen zal worden
meegenomen in de volgende audit in 2025.
4. Interne controle verstrekkers
In samenwerking met de vier grootbanken ABNAMRO, ING, Rabobank en Volksbank en de
Nederlandse Vereniging van Banken wordt gewerkt aan een auditprocedure voor alle banken,
waarbij de banken controles uitvoeren en over de uitvoering van de controle aan het
Ministerie van Justitie en Veiligheid rapporten. Naar verwachting zal de procedure
volgend jaar van kracht kunnen worden en kan ik uw Kamer hierover in de volgende brief
over de (derde) jaarlijkse audit nader informeren
Indien blijkt dat bij het vorderen van identificerende gegevens onjuiste of onvolledige
gegevens worden verstrekt, kan alleen de vorderende opsporingsdienst dit achteraf
constateren. Ik hecht daarom grote waarde aan de inspanningen die de vier banken hebben
uitgevoerd om de kwaliteit het proces van verstrekken van gegevens te onderzoeken
en daarmee invulling te geven aan artikel 5 lid 3 van het Besluit verwijzingsportaal
bankgegevens en hierover aan mijn ministerie te rapporteren.
5. Monitoring opvolging bevindingen met betrekking tot 2022
De opvolging van bevindingen in de vorige audit waarover over uw Kamer bij brief van
14 januari 2024 is geïnformeerd is de afgelopen periode gemonitord.
Justid
Ten aanzien van de status van de bevindingen bij Justid/Opsporing verwijs ik naar
bovenstaande status zoals deze door de ADR is gerapporteerd.
FIOD
Met betrekking tot de bevindingen bij de FIOD die door de ADR waren geïdentificeerd,
geldt dat de FIOD alle acties heeft afgerond die gepland en nodig waren. De FIOD heeft
het gebruiksprotocol voor het Verwijzingsportaal Bankgegevens ingevoerd en rapporteert
over de voortgang van de uitvoerde interne controles aan mijn ministerie.
Politie
De opvolging van de status van de bevindingen bij de politie die door de Concern Auditdienst
van de politie waren gerapporteerd, is hierboven beschreven.
Ten aanzien van de bevindingen bij zowel de FIOD als de politie, dat interne periodieke
controles op bevragingen en autorisaties niet zijn uitgevoerd kan ik het volgende
melden: Inmiddels zijn bij bijna alle opsporingsdiensten die van het Verwijzingsportaal
gebruikmaken periodieke controles op rechtmatigheid ingericht. De opsporingsdiensten
moeten nu tweemaal per jaar rapporteren aan mijn ministerie over de uitgevoerde interne
controles. Indien de betreffende opsporingsdienst tekortkomingen heeft vastgesteld
bij de interne controle, zijn hier verbeteracties voor gedefinieerd. Bij de rapportage
over de monitoring stel ik vast dat de opsporingsdiensten zich in diverse stadia van
volwassenheid bevinden. De uitzondering is de Belastingdienst, die het VB niet voor
opsporingsdoeleinden gebruikt, maar voor rekeningnummerverificatie en reconciliatie
(het uitzoeken bij welke openstaande belastingschuld een betaling hoort indien het
betalingskenmerk ontbreekt). Gesprekken over de monitoring bij de Belastingdienst
lopen nog.
Concluderend
Er zijn het afgelopen jaar goede stappen gezet naar een volwassen systeem van audits,
interne controles en voortgangsmonitoring. Ook het komende jaar gaan we op de dezelfde
voet verder en zal ik uw Kamer op geëigende momenten hierover informeren.
De Minister van Justitie en Veiligheid,
D.M. van Weel
Ondertekenaars
-
Eerste ondertekenaar
D.M. van Weel, minister van Justitie en Veiligheid