Brief regering : Audits van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)

Nr. 137 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 maart 2026

Met deze brief informeer ik uw Kamer over het uitvoeren van audits ten aanzien van
het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). De aanleiding hiervoor
is tweeledig. Ten eerste het hanteren van een nieuwe, meer gestructureerde aanpak
van het doen van audits bij de gebruikers (zoals de politie en Bijzondere Opsporingsdiensten)
en de beheerder (Justid) van het CIOT. Ten tweede het afronden van enkele concrete
verrichte audits. In deze brief vindt u daar een verslag van. De auditrapporten zijn
als bijlage gevoegd.

Allereerst geef ik een achtergrondschets van de aard en de werking van het CIOT. Het
is een informatiesysteem dat in beheer is bij de Justitiële Informatiedienst (Justid)
en heeft een wettelijke taak1 als verdeelpunt van telecommunicatiegegevens. Telecommunicatiebedrijven zijn verplicht
om dagelijks actuele klantgegevens (zoals telefoonnummer, NAW-gegevens, e-mailadres,
IP-adres) aan het CIOT te verstrekken.

De Inlichtingen- en Veiligheidsdiensten (I&V-diensten) en een aantal opsporingsdiensten2 kunnen, met inachtneming van hun wettelijke taak en de op hen van toepassing zijnde
regelgeving, gegevens bij het CIOT opvragen. Het gaat om identificerende klantgegevens
van telecombedrijven die relevant zijn voor het uitvoeren van concrete opsporingsonderzoeken.
Dit gaat op een geautomatiseerde, gestructureerde en gestandaardiseerde manier. Het
betreft bijvoorbeeld het opvragen van namen of adressen van gebruikers van telefoonnummers
die elders in een opsporingsonderzoek naar boven gekomen zijn, bijvoorbeeld bij een
telefoontap.

Het CIOT levert gegevens die de betrokken instanties reeds op grond van bestaande
wettelijke bevoegdheden mogen ontvangen; er worden dus geen gegevens geleverd die
de bevoegde instanties zonder het bestaan van het CIOT niet zouden kunnen vorderen
of opvragen.

Op grond van artikel 8, tweede lid, van het Besluit verstrekking gegevens telecommunicatie
stelt de Minister van Justitie en Veiligheid jaarlijks een verslag op van een audit
naar de goede werking van het besluit. Dit kan een audit zijn ten aanzien van een
van de gebruikers van het CIOT, maar ook een audit van Justid als beheerder.

Meerjarenplanning en uitvoering audits

Tot 2024 was er geen duidelijke planning voor het uitvoeren van CIOT-audits bij Justid
en de bevoegde instanties. De auditdienst van de politie verricht zelf de audits en
heeft de afgelopen jaren wel elk jaar een audit uitgevoerd. De audits bij de andere
gebruikers van het CIOT (waarbij het uitgangspunt is dat zij elke twee jaar geaudit
worden) worden door een externe partij verricht, doorgaans de Auditdienst Rijk (ADR).
Deze hebben niet in alle gevallen plaatsgevonden.

Om een meer structurele aanpak van de audits te waarborgen is een meerjarenplan gemaakt.
Behalve het maken van afspraken over de jaren waarin de betrokken organisaties geaudit
worden, helpt het plan bij het standaardiseren van de audits. Zo wordt van de te auditen
organisaties verwacht dat zij zelf goed vorm geven aan het verrichten van interne
controles. De audit ziet vervolgens op de inrichting van de interne controles en op
de uitkomsten daarvan. Het normenkader voor de ADR-audits is geüniformeerd, waardoor
de audits soepeler en sneller uitgevoerd kunnen worden. Het meerjarenplan omvat naast
het CIOT ook de audits voor het Verwijzingsportaal Banken (VB) dat eveneens bij Justid
in beheer is. Over de auditing ten behoeve van het VB wordt Uw Kamer separaat geïnformeerd.

Door het opstellen van een gezamenlijke meerjarenplanning en jaarlijkse afstemming
met de ADR over de precieze planning voor het komende jaar, is ruim vooraf bekend
wanneer audits plaats zullen vinden. Op deze manier wordt de werklast bij zowel de
ADR als de te auditen instanties gespreid, terwijl alle instanties wel tijdig geaudit
worden. Door alle betrokkenen kan zo tijdig gezorgd worden voor de benodigde capaciteit.

In 2024 zijn audits verricht bij de politie en de FIOD. In 2025 zijn audits verricht
bij de politie, de Koninklijke Marechaussee, de Opsporingsdienst van de Nederlandse
Arbeidsinspectie, en bij de Rijksrecherche. De te hanteren wijze van auditen bij de
telecommunicatieaanbieders wordt op dit moment met hen besproken.

Oorspronkelijk stond voor het najaar van 2025 ook een CIOT-audit gepland bij Justid.
Deze is uitgesteld tot de tweede helft van 2026. Hiermee wordt Justid in staat gesteld
om verbeterde maatregelen rond interne controles te implementeren en in gebruik te
nemen. Met een audit in het najaar van 2026 kan de werking van die verbeterde maatregelen
direct getoetst worden.

In de bijlage bij deze brief zijn de auditrapportages van de politie uit 2022 en 2023
(vastgesteld in respectievelijk 2023 en 2024) toegevoegd, de rapportage over de audit
bij de FIOD van 2024, en de drie genoemde audits die in 2025 zijn verricht.

Bevindingen audits

Politie 2023, 2024 en 2025

De audit van 2023 (uitgevoerd over het jaar 2022) is anders dan die van voorgaande
jaren. Er is voor het eerst gebruik gemaakt van de interne controles die de lokale
beheerders in de eenheden zelf uitvoerden. Het beeld dat voortkomt uit de audit is,
wat betreft het aantal afwijkingen, vergelijkbaar met dat van vorige jaren. Wel zijn
er meer verschillende soorten afwijkingen. Het betreft bijvoorbeeld het niet kunnen
koppelen van enkele aanvragen aan de antwoorden, het ontbreken van verplichte documenten
in het dossier, of het niet noemen van de wettelijke bepaling van het misdrijf. Bij
zes aanvragen gaf het antwoord meer informatie dan was aangevraagd. Geadviseerd is
om het proces van landelijke monitoring op de interne controles te versterken en daarbij
oorzaakanalyses te betrekken. Daarnaast is geadviseerd om vervolgacties te nemen om
de fouten te reduceren, bijvoorbeeld door in de opleiding aandacht te besteden aan
dit onderwerp. De adviezen zijn overgenomen en de acties zijn in gang gezet.

De audit van 2024 (uitgevoerd over 2023) geeft een vergelijkbaar resultaat. Er is
wederom gebruik gemaakt van de interne controles van de eenheden. Het aantal afwijkingen
is, bij een gelijkblijvend aantal onderzochte dossiers, iets gedaald: van 39 naar
36. Wel zijn wederom meer verschillende soorten afwijkingen geconstateerd. Het aantal
dossiers waarin meer informatie is ontvangen dan is aangevraagd, is gedaald van zes
naar twee. Bij één aanvraag heeft een opsporingsambtenaar een bevoegdheid gebruikt
die is voorbehouden aan de officier van justitie. Bij drie aanvragen was sprake van
een niet-bevoegde opsporingsambtenaar.

In het kader van bevragingen over urgente persoonsvermissingen is bij één aanvraag
een rechtmatigheidsfout aangetroffen, namelijk het niet kunnen koppelen van de aanvraag
aan het antwoord. Ten opzichte van het jaar ervoor zijn dezelfde adviezen gegeven,
aangevuld met het advies om het proces rondom de urgente vermissingen beter in kaart
te brengen. In de managementreactie is aangegeven dat, door de verscheidenheid aan
soorten afwijkingen, het lastig is om aanvullende gerichte actie te ondernemen. Wel
is er een uniforme werkwijze ingericht voor het doen van steekproeven bij de lokale
beheerders, zodat uitkomsten beter vergeleken kunnen worden. Daarnaast wordt ingezet
op directere sturing door leidinggevenden, alsmede een verdere automatisering van
het proces, waarmee menselijke fouten gereduceerd worden.

De audit van 2025 (uitgevoerd over 2024) is op een vergelijkbare wijze uitgevoerd.
Er zijn minder rechtmatigheidsfouten geconstateerd dan in het jaar daarvoor. Bij tien
aanvragen was de grondslag (wet en of artikel) van het misdrijf niet benoemd. Bij
twee aanvragen komt het antwoord niet overeen met de vraag. Bij zes posten kon geen
conclusie worden getrokken omdat onderliggende documenten ontbraken.

Wat betreft de bevragingen over urgente persoonsvermissingen zijn in 2024 in totaal
36 CIOT-bevragingen uitgevoerd. Inmiddels is het interne proces met betrekking tot
deze bevragingen ingericht, maar nog niet formeel vastgelegd in de CIOT procedures.

De afdeling Concernaudit van de politie heeft periodiek overleg met betrokkenen uit
de CIOT-organisatie en monitort op eerdere aanbevelingen uit de vorige jaren. Spoedbevragingen
buiten kantoortijd blijven een aandachtspunt, evenals de eenduidige vastlegging van
procedures. In de managementreactie is aangegeven dat deze bevindingen worden herkend
en inmiddels worden opgepakt. De verbeteringen kunnen naar verwachting op korte termijn
worden afgerond.

FIOD 2024

Er zijn bij de audit geen onrechtmatigheden geconstateerd. De geconstateerde verbeterpunten
zijn vooral procedureel van aard, bijvoorbeeld over de wijze van inrichting van de
interne controles.

Het normenkader dat de ADR hanteert voor de audits bevat een focus op autorisaties.
Zo is er scherp gekeken naar de vraag of binnen de FIOD gecontroleerd wordt of de
vragende opsporingsambtenaar op het moment van bevraging daadwerkelijk bevoegd is.
Binnen de FIOD wordt niet per geval gecontroleerd; de bevoegdheid vloeit voort uit
een algemenere systematiek. In de onderzochte dossiers is bij de audit geconstateerd
dat de bevragende opsporingsambtenaren allemaal bevoegd waren. Verbetermogelijkheden
zijn administratief van aard. De FIOD is reeds gestart met een aantal verbeteringen.

Koninklijke Marechaussee, OD-NLA en Rijksrecherche 2025

Deze audits zijn alle in de eerste helft van 2025 verricht en hebben vergelijkbare
aanbevelingen opgeleverd. Er zijn geen noemenswaardige onrechtmatigheden geconstateerd.
Er is in enkele incidentele en van elkaar losstaande gevallen sprake van bijvoorbeeld
een ontbrekende handtekening of een zaaknummer dat niet overeenkomt met het nummer
van de vordering.

De aanbevelingen zijn hoofdzakelijk procesmatig van aard. Het verbeteren van werkinstructies
over het doen van interne controles op de bevragingen, alsmede de rapportage over
die interne controle, speelt in alle drie de rapporten een kleinere of grotere rol.
Deze aanbevelingen worden door de betreffende organisaties herkend en overgenomen.

Er is één breder aandachtspunt, en dat betreft de autorisaties van de opsporingsambtenaren.
Zij ondertekenen een vordering voor een CIOT-bevraging, die vervolgens door een infodesk-medewerker
feitelijk wordt uitgevoerd. De ADR kijkt in haar onderzoek of de infodesk-medewerker
controleert of de opsporingsambtenaar geautoriseerd is. Dat gebeurt niet bij alle
organisaties, zoals ik hierboven bij het FIOD-rapport al heb opgemerkt. De bevoegdheid
van opsporingsambtenaren vloeit voort uit een algemenere systematiek en is naar het
oordeel van enkele organisaties daarmee een gegeven. Ik zal dit punt in algemene zin
nader bestuderen met de betreffende organisaties en vervolgens met de ADR bespreken.

Appreciatie

Ik constateer dat het proces rondom de audits flink verbeterd is. Het maken van een
planning en de afstemming daarvan met de ADR zorgt ervoor dat er duidelijkheid is
rond de periode van uitvoering van de audits, en dat de betrokkenen tijdig capaciteit
vrij kunnen maken. Het geven van randvoorwaarden aan de audits, met name in de vorm
van goede interne controles, en het uniformeren van het toetsingskader zorgen er voor
dat de audits soepeler verlopen. Dit is bij de drie audits van 2025 al goed zichtbaar
geweest. Met deze aanpak worden er op regelmatige basis audits verricht, en worden
de betrokken organisaties in staat gesteld om hun processen te verbeteren. Door de
kortere tussenpozen wordt de kans verkleind dat er nieuwe fouten ontstaan en raken
de organisaties beter gewend aan de auditing.

Bij sommige audits is sprake van incidentele, kleine rechtmatigheidsfouten, zoals
het ontbreken van een handtekening onder een vordering. Ik acht het van belang dat
er prioriteit gegeven wordt aan het oplossen en voorkomen van dergelijke fouten. Daarnaast
is er sprake van administratieve fouten of onvolkomenheden in processen. Voor al deze
zaken constateer ik dat de aanbevelingen allemaal overgenomen zijn, en dat er direct
gestart is met verbeteringen. Voor een optimaal proces van bevragingen is dat essentieel.

Het uitvoeren van het meerjarenplan en de betrokkenheid van de ADR daarbij is nog
vrij recent. De ingeslagen weg is mijns inziens de juiste, en de komende jaren zullen
uitwijzen hoe het uitvoeren van de audits, de uitkomsten daarvan, alsmede het uitvoeren
van verbeterslagen, zich zullen ontwikkelen.

De Minister van Justitie en Veiligheid, D.M. van Weel