Brief regering : Uitkomsten onderzoek Privacy Company naar datalekken nieuwe werkplek SSC-ICT (DWR 2.0)

26 643
Informatie- en communicatietechnologie (ICT)

Nr. 399
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 27 maart 2026

Inleiding

Veilig digitaal werken is randvoorwaardelijk voor een goed functionerende rijksoverheid.
Door de overheids-ICT-dienstverlener SSC-ICT (Shared Service Center ICT) worden voorbereidingen
getroffen voor de vervanging c.q. modernisering van de huidige digitale werkplek (DWR
Next). De huidige werkplek zal op korte termijn het einde van de technische en economische
levensduur hebben bereikt en worden vervangen door een nieuwe digitale werkplek (DWR2.0).
Deze werkplek (oud en nieuw) wordt geleverd aan diverse ministeries en uitvoerende
organisaties.

De Tweede Kamer volgt de ontwikkelingen nauwgezet, dit onder andere in het kader van
de huidige discussie over (cloud) afhankelijkheid van (Amerikaanse) Big Tech en het
tegengaan van de mogelijkheid van ongewenst delen van informatie met andere partijen.

De nieuwe werkplek (DWR 2.0) speelt hierop in; data en e-mail blijven in eigen beheer
binnen het eigen overheidsdatacenter (ODC)1. Bovendien zorgt de nieuwe werkplek voor aanzienlijke verbeteringen op het gebied
van veiligheid en privacy, wat gezien het grote aantal cyberaanvallen van de afgelopen
tijd een steeds belangrijker aspect wordt, zeker voor de rijksoverheid.

Verzoek vanuit de Vaste Commissie voor Digitale Zaken

Tijdens de procedurevergadering van de vaste commissie voor Digitale Zaken van 26 maart
2025 is verzocht om in de pilot van DWR 2.0 ook te onderzoeken of en hoeveel data
er lekt naar externen middels een onderzoek vergelijkbaar met het onderzoek dat in
2020 is uitgevoerd door de Privacy Company op verzoek van het Ministerie van Justitie
en Veiligheid. In mijn brief aan de Tweede Kamer d.d. 12 mei 2025 heeft mijn voorganger
laten weten met dit verzoek in te stemmen.

Uitkomst onderzoek door de Privacy Company

Het onderzoek is inmiddels afgerond en de rapportage treft u bijgaand aan.

Onderzocht is of SSC-ICT de afspraken voor privacyveilige instellingen goed heeft
nageleefd. Hiernaast is onderzocht of en hoe gevoelige gegevens onbedoeld naar buiten
kunnen lekken – zoals naar welke externe partijen data stroomt, hoe vaak dat gebeurt,
wie die partijen zijn en of dit risico’s oplevert voor de privacy van ambtenaren en
burgers.

Uitkomst is dat er geen ongewenste datastromen zijn geconstateerd, alleen noodzakelijke
stromen om de diensten goed werkend en up-to-date te houden. Dat is goed nieuws. Dit
alles dankzij een strakke configuratie en privacy-vriendelijke configuratie. Alle
aanbevelingen (die technisch mogelijk zijn) uit het onderzoek zijn overgenomen en
geïmplementeerd. Daarmee voldoet de nieuwe werkplek (DWR 2.0) aan de eisen die op
het gebied van privacy van toepassing zijn.

Naast de bijgevoegde rapportage waarin sommige gegevens (die vanwege hun aard vertrouwelijk
zijn) gelakt zijn, ben ik uiteraard bereid uw Kamer tijdens een besloten technische
briefing nader te laten informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
E. van der Burg