Brief regering : Uitvoering van de motie van het lid Six Dijkstra c.s. over een damage and impact assessment naar welke gegevens mogelijk gelekt zijn (Kamerstuk 36600 VI-134) en van de motie van het lid Mutluer over de beveiliging waarborgen van gegevens die de NCTV gebruikt ten behoeve van de beveiliging van personen (Kamerstuk 36600-VI-135)

Nr. 18
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 25 november 2025

Tijdens het debat van 3 april 2025 over het onderzoeksrapport inzake de omgang met
bijzondere informatie bij de NCTV en de politie zijn door de leden Six Dijkstra (NSC)
en Mutluer (GL-PvdA) twee moties ingediend. Beide moties werden aangenomen op 8 april
2025. Tevens is een tweetal toezeggingen gedaan aan het lid Van der Werff (D66). Met
deze brief informeer ik uw Kamer over de opvolging van beide moties en toezeggingen.

Motie van het lid Mutluer c.s. (Kamerstuk 36 600 VI, nr. 135)

Met de motie van het lid Mutluer wordt de regering verzocht te onderzoeken of de beveiliging
van de gegevens die de NCTV gebruikt ten behoeve van de beveiliging van personen gewaarborgd
is, en daarover de Kamer op de kortst mogelijke termijn te informeren. Zoals mijn
voorganger ook tijdens zijn debat met uw Kamer heeft geschetst, gaat deze motie over
het stelsel bewaken en beveiligen. Ik ben het met het lid Mutluer eens dat het van
het grootste belang is dat de beveiliging van staatsgeheime gegevens in het kader
van het stelsel bewaken en beveiligen is geborgd. Voor dit proces wordt een separaat
systeem gebruikt waarbinnen – evenals binnen de andere staatsgeheime processen binnen
de NCTV – gecompartimenteerd wordt gewerkt. Voor dit systeem zijn de benodigde risicoanalyses
uitgevoerd en de geïdentificeerde risico’s waar mogelijk gemitigeerd. Ook gelden dezelfde
strikte procedures die zijn ingericht voor de uitwisseling van staatsgeheime informatie.
De geldende wet- en regelgeving, waaronder het Voorschrift Informatiebeveiliging Rijksdienst
– Bijzondere Informatie (VIR-BI) en de Baseline Informatiebeveiliging Overheid (BIO),
is hiervoor de basis. Het separate systeem voor de verwerking van staatsgeheime informatie
binnen het stelsel bewaken en beveiligen is geaccrediteerd per 21 oktober 2025 voor
de duur van een jaar. Hiermee ben ik van oordeel dat ik opvolging heb gegeven aan
de motie.

Motie van het lid Six Dijkstra c.s. (Kamerstuk 36 600 VI, nr. 134)

Het lid Six Dijkstra diende een motie in waarmee de regering wordt verzocht te komen
tot een volledige damage and impact assessment, waarbij in kaart gebracht wordt welke gegevens mogelijk gelekt zijn bij de NCTV
en het CTER-cluster van de politie en wat de potentiële gevolgen daarvan voor Nederland
zijn. Ook vanuit het kabinet wordt grote waarde gehecht aan een goede inschatting
van de schade door de mogelijk gelekte gegevens bij de NCTV en de politie. Niet alleen
om de mogelijke gevolgen voor Nederland in kaart te brengen, maar ook om de mogelijke
gevolgen voor personen in kaart te brengen.

Tegelijkertijd, zoals ook aangegeven in de beantwoording van de Kamervragen van het
lid Six Dijkstra, is in het voorliggende geval niet met zekerheid vast te stellen
welke informatie naar buiten is gebracht of welke informatie waar terecht is gekomen.
Dat betekent dat er niet met zekerheid is vast te stellen op basis van welke documenten
een risico-inschatting gemaakt moet worden. Zolang dit niet met zekerheid vast te
stellen is, zal het niet mogelijk zijn om tot een volledige damage and impact assessment te komen.

Door zowel de politie als de NCTV is na de aanhouding voor zover mogelijk onderzocht
welke gegevens van beide organisaties (mogelijk) zijn gelekt en wat de gevolgen daarvan
voor personen en de veiligheid van de staat zijn. Dit konden de NCTV en politie evenwel
alleen doen in de documenten die deze organisaties zelf tot hun beschikking hadden
en waarvan het vermoeden bestond dat deze onderdeel konden zijn van het lek. In het
geval van de politie zijn ook al snel documenten beschikbaar gesteld aan de politie
die in beslag waren genomen bij de verdachte, om een goede risico-inschatting te maken.
Zoals aangegeven in het ADR-rapport en de kabinetsreactie heeft de politie direct
na de aanhouding van de verdachte gekeken naar de veiligheidsrisico’s voor zowel medewerkers
als lopende onderzoeken. Hierbij is de politie uitgegaan van een worst case scenario. De politie heeft hiermee in kaart gebracht welke gegevens van de politie
mogelijk gelekt zijn en wat de potentiële gevolgen daarvan zijn. Mede naar aanleiding
van deze doorlichting heeft de politie maatregelen genomen.

Voor een zo volledig mogelijk inzicht in de gegevens die mogelijk gelekt zijn is het
ook voor de NCTV van belang inzicht te krijgen in de documenten die zijn opgenomen
in het procesdossier en in andere door de Rijksrecherche in beslag genomen gegevens.
Om die reden heeft de NCTV – binnen de waarborgen die de wet justitiële en strafvorderlijke
gegevens stelt – een verzoek gedaan aan het Openbaar Ministerie om inzage te verkrijgen
in de documenten van de NCTV die zich in het procesdossier bevinden. Op dit moment
loopt het onderzoek naar de schade van de mogelijk gelekte gegevens bij de NCTV. Ik
zal uw Kamer, voor zover dit mogelijk is vanwege het vertrouwelijke karakter van dit
onderzoek, nader informeren (al dan niet via de geëigende kanalen) als er relevante
ontwikkelingen zijn bij de uitvoering van deze motie.

Toezeggingen aan het lid Van der Werff (D66)

Tijdens het debat met uw Kamer op 3 april werden door het lid Van der Werff (D66)
vragen gesteld over de constatering van de ADR dat de registratie van de uitgifte
en inname van USB-sticks bij de NCTV niet op orde was, waardoor voor een deel van
de USB-sticks onduidelijk was waar deze zich bevonden. Mijn voorganger zegde toe nog
een keer te kijken wat hierover wel boven water te krijgen was. Zoals tijdens het
debat werd aangegeven is de administratie van USB-sticks nu goed georganiseerd. De
procedure is zodanig ingericht dat toestemming is vereist voor het verkrijgen en het
gebruiken van de gegevensdragers, en oude USB-sticks kunnen niet worden aangesloten
op het staatsgeheime netwerk. Daarnaast zijn oproepen gedaan om oude USB-sticks in
te leveren, en zijn medewerkers die nog zouden kunnen beschikken over oude USB-sticks
gericht benaderd. De NCTV blijft zich inzetten om de oude USB-sticks te achterhalen.

Mijn voorganger zegde verder toe binnen de NCTV bij toekomstig beleid niet alleen
te kijken naar maatregelen, maar ook naar gedrag en signalen. Uw Kamer is hier ook
over geïnformeerd in de Kamerbrief van 13 december 2024 (Kamerstuk 36 600 VI, nr. 123). Hoewel het enkel invoeren van maatregelen niet voldoende is, dragen maatregelen
wel bij aan het tegengaan van bepaald gedrag. Zo zijn printrechten sterk ingeperkt,
wordt bijgehouden welke documenten worden geprint en door wie, worden de loggings
gecontroleerd en is toegang tot documenten sterk beperkt. De kans op ongeoorloofd
gedrag wordt hiermee tot een minimum beperkt. Los van dergelijke concrete maatregelen
en controles wordt ook gewerkt aan een insider threat-programma en aan de verdere
opbouw van een bewustwordingsprogramma waarin juist aandacht is voor gedrag en signalen.

Tot slot

Evenals uw Kamer hecht ik grote waarde aan een veilige omgang met bijzondere informatie
bij de NCTV en de politie. Zowel de NCTV als de politie hebben daarin belangrijke
stappen gezet. Ik heb er vertrouwen in uw Kamer met deze brief voldoende te hebben
geïnformeerd over zowel de opvolging van de moties die zijn aangenomen naar aanleiding
van het debat als de toezeggingen tijdens het debat over het onderzoeksrapport inzake
de omgang met bijzondere informatie bij de NCTV en de politie.

De Minister van Justitie en Veiligheid,
F. van Oosten