Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de Audit Wet politiegegevens bij de Douane (Kamerstuk 31934-66)

Nr. 69
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 14 april 2023

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Financiën over de brief van 18 januari 2023 over de Audit
Wet politiegegevens bij de Douane (Kamerstuk 31 934, nr. 66).

De vragen en opmerkingen zijn op 10 februari 2023 aan de Staatssecretaris van Financiën
voorgelegd. Bij brief van 11 april 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Tielen

De griffier van de commissie, Schukkink

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met veel zorg kennisgenomen van de brief van de
Staatssecretaris en hebben enkele opmerkingen en vragen.

De leden van de VVD-fractie constateren dat het verbeterrapport in april met de Kamer
zal worden gedeeld. Deze leden zijn benieuwd naar dit rapport en hoe de aanbevelingen
worden opgepakt door het kabinet en de Douane. Deze leden zullen dan uitgebreider
op deze problematiek ingaan.

Tot slot vragen de leden van de VVD-fractie waarom er niets tot nauwelijks wat met
de verbeterpunten zijn gedaan die bij de nulmeting van mei 2021 waren geconstateerd?

Vanaf maart 2019 valt de Douane met de opsporingstaken van haar buitengewone opsporingsambtenaren
(BOA’s) onder de Wet politiegegevens (Wpg). Gaandeweg het proces van implementatie
van deze wet, constateerde de Douane dat de implementatie aanvullende vragen opriep
en meer uitwerking behoefde. Onder meer voor wat betreft de vastlegging van gegevensverwerkingen.
Daarom heeft de Douane, aanvullend op al lopende acties, de Auditdienst Rijk (ADR)
gevraagd een nulmeting uit te voeren om beter inzicht te verkrijgen welke maatregelen
de Douane in het implementatietraject nog had te nemen. De Douane heeft de resultaten
van deze nulmeting ontvangen op 19 mei 2021.

Bij de nulmeting heeft de ADR gebruik gemaakt van haar eigen referentiekader, waarbij
gekeken is naar een subset van vooraf gedefinieerde belangrijkste risico's voor de
rechten van betrokkenen indien er niet aan wordt voldaan. Dit betrof de volgende hoofdgebieden:

− Algemene bepalingen (art 1–7);

− Verwerking van politiegegevens (art 8–15);

− Verstrekking van politiegegevens (art 16–24);

− Rechten van betrokkenen (art 25–31);

− Controle en toezicht (art 32–34, art 36).

De nulmeting leverde 18 aanbevelingen op, op het gebied van projectinrichting, vaste
werkwijzen voor omgang met Wpg-gegevens, aanpassing IT-systemen, inrichting van kwaliteitscontroles
op het gebruik van Wpg-gegevens, uitvoeren van een DPIA, herzien van privacybeleid,
inrichten van bewaartermijnen en interne audits en het vergroten van de bewustwording
rond de Wpg. Naar aanleiding van deze resultaten is per 30 mei 2021 een project gestart,
van waaruit de aanbevelingen uit de nulmeting zijn belegd bij de verantwoordelijke
afdelingen binnen de douaneorganisatie.

De ADR heeft in haar in december 2022 opgeleverde audit1 gekeken naar de stand van de implementatie van de aanbevelingen op de nulmeting op
31 december 2021.De peildata van de nulmeting (mei 2021) ligt dicht op de peildatum
van de recent opgeleverde audit (namelijk 31 december 2021). De eerste resultaten
van de verbeteracties uit de nulmeting zijn pas na 31 december 2021 zichtbaar geworden
en zijn dus niet allemaal opgenomen in de meest recent opgeleverde audit.

Te denken valt aan de uitvoering van de aanbeveling om een beveiligingsadvies op basis
van de Baselinetoets Informatiebeveiliging Overheid (BIO) te verkrijgen, maar ook
de aanbeveling om een bewustwordingscampagne op te starten. Het bioadvies van 29 maart
2022 en beschrijft hoe in en rond de implementatie van de Wpg in de automatiseringssystemen
omgegaan moet worden met informatiebeveiliging. De adviezen hebben betrekking op technische
en organisatorische aanvullende maatregelen op het gebied van beschikbaarheid, integriteit
en vertrouwelijkheid. Het bioadvies wordt nu meegenomen in het implementatietraject
Wpg.

Maar ook de bewustwordingscampagne is na 31 december 2021 gestart en wel in juli 2022.
De Douane is toen begonnen met een meerjarige trapsgewijze bewustwordingscampagne
met algemene brede communicatie via de organisatie brede kanalen richting de gehele
organisatie. Het doel is om in de periode tot en met 2023 de verplichtingen van de
Wpg bekend te maken bij alle medewerkers die hier mee te maken zouden kunnen hebben,
zodanig dat medewerkers zich bewust zijn van hun eigen rol en taak. Er is een gerichte
aanpak gemaakt met interne communicatie via presentaties in overleggen, berichten
op het intranet, flyers en beschikbare informatie op de mobiele werktelefoon. Ook
is een landelijk netwerk van Wpg-contactpersonen in de verschillende Douaneregio’s
opgezet. In 2023 wordt deze campagne verder uitgebreid en meer gedetailleerd uitgevoerd
met specifieke en gerichte communicatie richting de regio’s en de verschillende, specialistische
teams.

Bij de recente audit is overigens ook het Norea-normenkader Wpg geïntroduceerd door
de ADR2. De Norea, de beroepsorganisatie van IT-auditors, geeft hierin de bandbreedte aan
waarbinnen de IT-auditor de werkzaamheden verricht en beschrijft het object, scope
en aspecten van onderzoek ten behoeve van de interne en externe auditaanpak. Conform
deze richtlijn voor IT-auditoren is door de ADR een volledige toetsing op dit normenkader
uitgevoerd en is ter ondersteuning van de uitvoering en de weging van de audit voor
elke norm een aantal sub-normen gedefinieerd. Met dit normenkader werd veel explicieter
waar de Douane aan heeft te voldoen voor wat betreft de implementatie van de Wpg.

Kortom, doordat er relatief weinig tijd zat tussen de peildata van de twee ADR-audits
(7 maanden), de eerste resultaten van de verbeteracties uit de nulmeting pas na de
peildatum van 31 december 2021 zichtbaar zijn geworden en het normenkader van de ADR
explicieter werd in de tweede audit, is er beperkt verbetering te constateren tussen
de twee audits.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met belangstelling kennisgenomen van het Assurancerapport
Privacy audit Wet Politiegegevens Douane 2021. Deze leden hebben nog enkele vragen
hierover.

De Auditdienst Rijk (ADR) is in de audit tot het oordeel gekomen dat de Douane in
2021 in belangrijke mate niet voldeed aan de Wet politiegegevens (Wpg). De leden van
de D66-fractie vragen de Staatssecretaris om toe te lichten hoe het heeft kunnen ontstaan
dat de Douane in strijd met de Wpg heeft gehandeld.

In aanvulling op de beantwoording van de vragen van de leden van de VVD-fractie kan
het volgende worden opgemerkt. In aanloop naar het van toepassing worden van deze
nieuwe wetgeving in 2019 was de breed gedragen juridische mening dat vooral automatiseringstechnisch
gewerkt moest worden aan de afscherming van persoonsgegevens die BOA's binnen de onderdelen
van de Douane verwerken voor hun taken. De complexiteit van de wetgeving, het aanpassen
van bestaande systemen en nadere uitwerking van de algemene wetgevingstekst in gedetailleerde
normen (Norea-kader) en die op de Douane passend krijgen, maakte dat meer tijd nodig
bleek dan aanvankelijk is ingeschat. Zo werken de BOA’s van de Douane voornamelijk
binnen het toezicht; waar nodig vindt de overgang naar het strafrecht plaats. Een
BOA werkt daarmee dus onder twee regimes; de automatisering moet op deze twee regimes
worden aangepast met bijbehorende bewaartermijnen en verschillende autorisaties. Tegelijkertijd
moet in procedures en werkinstructies uitgewerkt worden hoe de twee regimes op elkaar
aansluiten en wat de verschillende eisen zijn waaraan dan moet worden voldaan.

Een aantal aanbevelingen uit de recente audit van de ADR zijn inmiddels afgerond.
Zo is de lijst van bevoegd functionarissen geactualiseerd en is de discussie over
aanvullende screening afgerond. Ook is de belangrijkste procesbeschrijving en werkinstructie
voor omgang met politiegegevens afgerond, waarmee deze nu verder kunnen worden geïmplementeerd
binnen de organisatie. De Douane pakt met de uitwerking van het verbeterrapport de
geconstateerde tekortkomingen en aanbevelingen met urgentie op. Het verbeterrapport
is als bijlage bij deze beantwoording gevoegd en geeft aan welke verbeteracties ten
aanzien van de aanbevelingen wanneer worden afgerond.

Deze leden vragen waarom en in welke gevallen de Douane te maken had met de Wpg.

Bij de Douane werken ongeveer 2600 BOA’s. Sinds 2019 vallen de verwerkingen van de
BOA’s3, wanneer zij hun taak verrichten in het kader van de opsporing, onder de Wpg. Dit
is onder meer wanneer de ambtenaren van de Douane een beboetbare onregelmatigheid
constateren. Denk daarbij aan een controle waarbij de Douane andere goederen aantreft
dan aangegeven. Het doen van een onjuiste aangifte is een overtreding en dus is de
Wpg-regelgeving van kracht op de desbetreffende persoonsgegevens. Deze werkzaamheden
kunnen een groot deel (bijvoorbeeld bij surveillance of sanctiewetgeving), of een
klein deel (bijvoorbeeld bij klantmanagement) van de dagelijkse werkzaamheden betreffen.
Dit is afhankelijk van de verschillende type werkzaamheden per BOA.

Op welke manier is in maart 2019 stilgestaan bij de uitvoerbaarheid van de Wpg voor
de Douane?

De Douane heeft in 2019 de Wpg geanalyseerd en geoordeeld dat de impact beperkt was.
Zoals in het antwoord op de eerste vraag van de leden van de D66-fractie is opgenomen,
was de breed gedragen juridische mening toen dat vooral automatiserings-technisch
gewerkt moest worden aan de afscherming van persoonsgegevens die BOA's binnen de onderdelen
van de dienst verwerken voor hun taken. De Douane is vanuit deze analyse gestart met
de implementatie. De implementatie bleek in de praktijk aanzienlijker complexer dan
bij de aanvankelijke analyse werd voorzien. Dit komt dus onder andere door de nadere
uitwerking van de algemene wetgevingstekst in gedetailleerde normen (Norea-kader).

Welke lessen zijn hieruit te trekken voor toekomstige implementaties bij de Douane
of voor de implementatie van de Wpg bij andere organisaties?

De Douane heeft het proces van uitvoeringstoetsen de afgelopen periode verder geprofessionaliseerd.
Daarmee kan in een vroegtijdig stadium zo duidelijk mogelijk in kaart worden gebracht
waar mogelijk aandachtspunten zitten ten aanzien van uitvoerbaarheid en handhaafbaarheid
van nieuwe (wets)voorstellen.

In het geval van de Wpg is in 2019 geen formele uitvoeringstoets opgesteld omdat de
impact gering leek. Tegenwoordig voert de Douane ook bij een verwachte geringe impact
standaard uitvoeringstoetsen uit. Dat is een les die geleerd is.

De leden van de D66-fractie lezen dat er tekortkomingen zijn in de interne beheersing,
met betrekking tot automatiseringssystemen. Ook zijn er geen geschreven processen
en werkinstructies van de groepen die met Wpg-gegevens werken. De leden van de D66-fractie
vragen de Staatssecretaris om nader toe te lichten welke (negatieve) materiële en
immateriële gevolgen er zijn opgetreden van het niet voldoen aan de Wpg door de Douane.

De Douane heeft geen signalen dat tekortkomingen (negatieve) gevolgen hebben (gehad)
voor burgers en bedrijven. In het geval de Douane hier alsnog signalen over ontvangt,
zullen deze op dat moment natuurlijk worden geanalyseerd. De inzet is er op gericht
de implementatie van de Wpg conform de planning zoals opgenomen in het verbeterrapport
op orde te krijgen.

De leden van de D66-fractie hebben vaker kennisgenomen van de grote druk waaronder
de (IV-)organisatie van de Douane zich bevindt. Kan de Staatssecretaris toelichten
wat de gevolgen van het rapport van de ADR zijn op het IVportfolio van de Douane?

Het klopt dat er grote druk staat op het IV-portfolio van de Douane. De implementatie
van de Wpg is daarbinnen geprioriteerd. Toekomstige aanvullingen om de aanbevelingen
te implementeren zullen ook geprioriteerd moeten worden ten opzichte van, en mogelijk
ten koste van, andere activiteiten binnen het IV-portfolio.

Betekent dit een verstoring in de opvolging van de geplande prioriteiten van de Douane
zoals gesteld in het jaarplan?

Het doorvoeren van de wijzigingen van de Wpg is een geprioriteerd werkpakket binnen
het IV-portfolio van Douane. De verbeteringen naar aanleiding van de ADR-audit zijn
nog niet allemaal opgenomen in dit huidige Wpg-werkpakket, dit kan nog tot uitbreidingen
leiden. Dit zal meegenomen worden in het proces van herprioritering van het IV-portfolio
dat eens per kwartaal plaatsvindt. De meeste wijzigingen worden in de huidige systemen
doorgevoerd. Uitzondering is de huidige applicatie voor het afhandelen van onregelmatigheden
(DFB), omdat deze in het kader van rationalisatie vervangen wordt.

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de «Audit Wet politiegegevens
bij de Douane» (Wpg) en hebben hier nog enkele vragen over.

De leden van de PVV-fractie verzoeken de Staatssecretaris om vanaf 2019 in kaart te
brengen welke gevolgen het niet voldoen aan de Wpg heeft gehad voor burgers en bedrijven?

Zoals in het antwoord op de vragen van de leden van de D66-fractie is opgenomen heeft
de Douane geen signalen dat tekortkomingen (negatieve) gevolgen hebben (gehad) voor
burgers en bedrijven. In het geval de Douane hier alsnog signalen over ontvangt, zullen
deze op dat moment nader worden geanalyseerd. De inzet is er op gericht de implementatie
van de Wpg conform de planning zoals opgenomen in het verbeterrapport op orde te krijgen.

De leden van de PVV-fractie verzoeken de Staatssecretaris om aan te geven of deze
in de veronderstelling was dat de Douane wel voldeed aan de Wpg. Kan de Staatssecretaris
het antwoord nader toelichten?

Het is mij bekend dat de Douane bezig is met de implementatie van de Wpg binnen haar
organisatie. Uit het rapport van de door de Douane aangevraagde nulmeting door de
ADR bleek dat de Douane voor een groot aantal bepalingen uit de Wpg een passend stelsel
van verbetermaatregelen moest nemen. Het auditrapport van de ADR van afgelopen december
laat zien dat de Douane nog flinke stappen te zetten heeft om deze implementatie op
orde te krijgen. Het is een goede zaak dat de Douane dit soort onderzoeken laat uitvoeren
naar de implementatie van de Wpg. In het verbeterrapport dat ik u tegelijk met deze
beantwoording toestuur is aangegeven welke acties de Douane binnen welke termijn oppakt.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven op welk moment bekend
werd dat Douane niet voldeed aan «alle van materieel belang zijnde aspecten en daarmee
niet effectief is in opzet, bestaan en werking»?

De Douane was daarvan op de hoogte op het moment van de vaststelling van het rapport
van de nulmeting op 19 mei 2021.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven waarom er vanaf de
nulmeting in mei 2021 nauwelijks vorderingen zijn gemaakt in het doorvoeren van destijds
reeds geconstateerde verbetermogelijkheden?

Zoals in het antwoord op de vragen van de leden van de VVD-fractie is opgenomen, heeft
de Douane de resultaten van de nulmeting ontvangen op 19 mei 2021. Naar aanleiding
van deze resultaten is per 30 mei 2021 een project gestart, waarmee de aanbevelingen
uit de nulmeting zijn opgepakt. De ADR heeft in haar recente audit geoordeeld over
de stand van de implementatie op 31 december 2021. Daarbij is gekeken naar de verbeteracties
die waren gerealiseerd vóór 31 december 2021. De resultaten van een aantal verbeteracties
uit de nulmeting zijn pas na 31 december 2021 zichtbaar geworden. Zoals in de beantwoording
van de vragen van de leden van de VVD-fractie is aangegeven valt hierbij te denken
aan de uitvoering van de aanbeveling om een beveiligingsadvies op basis van de Baselinetoets
Informatiebeveiliging Overheid (BIO) te verkrijgen, maar ook de aanbeveling om een
bewustwordingscampagne op te starten.

Kortom, doordat er relatief weinig tijd zat tussen de peildata van de twee ADR-audits
(7 maanden), de eerste resultaten van de verbeteracties uit de nulmeting pas na de
peildatum van 31 december 2021 zichtbaar zijn geworden en het normenkader van de ADR
explicieter werd in de tweede audit, is er beperkt verbetering te constateren tussen
de twee audits.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven of er vanaf 2019
interne of externe signalen zijn ontvangen, dat er onzorgvuldig werd omgesprongen
met de verwerking van gevoelige persoonsgegevens?

Zoals in het antwoord op de vragen van de leden van de D66-fractie is opgenomen, heeft
de Douane, naast de door de Douane aangevraagde nulmeting en het auditrapport van
de ADR, geen interne of externe signalen ontvangen waaruit blijkt dat er onzorgvuldig
werd omgesprongen met de verwerking van gevoelige persoonsgegevens.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven welke verbeteringen
reeds zijn doorgevoerd en geïmplementeerd in aanloop naar de oplevering van het «verbeterrapport»?

Van de aanbevelingen uit de actuele audit van de ADR zijn de volgende zaken reeds
afgerond:

• De lijst met bevoegd functionarissen is geactualiseerd;

• De discussie over aanvullende screening bij BOA’s is afgerond. De Wpg biedt namelijk
de mogelijkheid om bepaalde categorieën administratieve medewerkers zonder BOA-akte
te laten werken met Wpg-informatie in het kader van hun werkzaamheden. Daartoe moest
eerst een alternatieve vorm van screening voor deze categorieën medewerkers worden
geregeld. Voor deze functies is inmiddels borging gevonden in de Regeling aanwijzing
functies VOG politiegegevens.

De leden van de PVV-fractie verzoeken de Staatssecretaris om aan te geven aangeven
binnen welke termijn de Douane wel voldoet aan de Wpg.

Ik vind het belangrijk dat de Douane uiterlijk in maart 2024 geheel aan de Wpg voldoet.
Het verbeterrapport, dat ik u met de beantwoording van deze vragen toestuur, bevat
daartoe de planning. Die planning geeft aan dat afronding van de benodigde activiteiten
uiterlijk in maart 2024 plaats vindt. Een hercontrole van de ADR zal binnen een jaar
na het vaststellen van het auditrapport plaatsvinden. Bij deze hercontrole in december
2023 kunnen dus nog niet de verbeteracties die ingepland staan voor afronding in Q1
2024 worden meegenomen.

Heeft de Staatssecretaris een reactie gevraagd aan de Inspectie belastingen, toeslagen
en douane?

Nee, de door de ADR uitgevoerde audit geeft de Douane een duidelijk beeld van de op
te volgen aanbevelingen. Zoals in de Regeling IBTD is opgenomen zal de Douane uiteraard
medewerking verlenen, zoals gegevens en informatie verstrekken, in het geval de ITBD
over dit onderwerp vragen stelt of een onderzoek instelt.

Vragen en opmerkingen van de leden van de GroenLinksfractie

De leden van de GroenLinks-fractie bedanken de Staatssecretaris voor haar brief en
hebben enkele vragen. Deze leden hebben met enige bezorgdheid het rapport van de Auditdienst
Rijk gelezen. Daarbij valt hen vooral op dat de Douane aan slechts één van de 37 genoemde
normen volledig voldoet.

Deze leden vragen de Staatssecretaris dan ook hoe zij het verbeterplan van de Douane
gaat toetsen.

Het verbeterrapport stuur ik uw Kamer met de beantwoording van deze vragen toe. Een
hercontrole van de ADR hierop zal binnen een jaar na het vaststellen van het auditrapport
plaatsvinden.

Welke doelstelling is hier wat haar betreft gepast?

In het verbeterrapport adresseert de Douane alle bevindingen uit het auditrapport.
Er wordt aangegeven welke acties worden opgepakt en wanneer deze zijn afgerond. De
Douane zal deze acties conform het verbeterrapport uitvoeren, zodat daarmee aan de
eisen van de Wpg wordt voldaan.

Kan de Staatssecretaris uitleggen wanneer zij tevreden is met het verbeterplan?

In het verbeterrapport wordt aangegeven welke acties worden opgepakt en wanneer deze
zijn afgerond. Als de hercontrole door de ADR aangeeft dat de activiteiten uit het
verbeterrapport zijn gerealiseerd dan wel conform planning lopen, ben ik tevreden.
Het doel van de hercontrole is immers dat de Douane aantoont dat zij de vereisten
en doelen uit de Wpg heeft geborgd in haar organisatie.

Kan zij daarnaast aangeven wanneer de Douane wat haar betreft uiterlijk aan alle normen
moet voldoen?

Ik vind het belangrijk dat de Douane met urgentie de acties oppakt. In het verbeterrapport
wordt aangegeven welke acties worden opgepakt en wanneer deze zijn afgerond. Die planning
geeft aan dat afronding van de benodigde activiteiten uiterlijk in maart 2024 plaats
vindt.

Zijn er normen die voor wat haar betreft belangrijker zijn (meer prioriteit hebben)
dan andere? Zo ja, welke zijn dat?

Voorop staat dat de Douane voldoet aan alle eisen uit de Wpg. De ADR benoemt in het
auditrapport enkele belangrijke zaken, die door de Douane met voorrang worden opgepakt.
Hierbij gaat het bijvoorbeeld om de inrichting van logging en monitoring op alle systemen
die zijn opgezet voor 6 mei 2016 en die gereed moet zijn voor 6 mei 2023, maar ook
de autorisatie en toegang tot politiegegevens. Met deze prioritering is rekening gehouden
bij het opstellen van het verbeterrapport.