Antwoord schriftelijke vragen : Antwoord op vragen van het lid Ellian over het rapport van de ADR over eMates.
Vragen van het lid Ellian (VVD) aan de Minister voor Rechtsbescherming over het Rapport van de ADR over eMates (ingezonden 1 mei 2023).
Antwoord van Minister Weerwind (Rechtsbescherming) (ontvangen 14 juni 2023). Zie ook
Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 2660.
Vraag 1
Herinnert u zich het rapport van de Auditdienst Rijk (ADR) over «Besluitvorming over
berichtenservice eMates»1 en het verslag van het schriftelijk overleg inzake de stand van zaken over de berichtenservice
van eMates?2
Antwoord 1
Ja.
Vraag 2
Kunt u alle vragen die zijn gesteld bij het genoemde schriftelijk overleg over de
totstandkoming van de samenwerking tussen Dienst Justitiële Inrichtingen (DJI) en
eMates en de risico’s van het gebruik van eMates die destijds niet inhoudelijk beantwoord
zijn omdat enkel werd verwezen naar het onderzoek van de ADR, alsnog inhoudelijk beantwoorden
nu dit onderzoek is afgerond? Zo nee, waarom niet?
Antwoord 2
Op 24 mei 2022 heb ik uw vragen over de stand van zaken met betrekking tot de berichtenservice
eMates beantwoord.3 Ten tijde van deze beantwoording moest het rapport van de ADR nog worden afgewacht.
Het rapport van de ADR is op 3 februari 2023 aan uw Kamer gezonden.4 Voor DJI staat het belang van de bescherming en beveiliging van gegevens voorop.
Het ADR-rapport heeft de zorgen die tot het onderzoek aanleiding hebben gegeven niet
kunnen wegnemen. Naar aanleiding van de bevindingen van de ADR heeft DJI besloten
de medewerking aan de berichtenservice definitief te beëindigen.
Deze uitkomst beantwoordt de vragen waarnaar ik naar uitkomst van het ADR-rapport
heb verwezen, zie voor de volledigheid ook bijlage 1.
Vraag 3
Waarom is destijds besloten contact te zoeken met eMailaprisoner, ondanks dat een
motie die verzocht in contact te treden met deze partij door een ruime Kamermeerderheid
werd verworpen?5
Antwoord 3
De motie waarnaar wordt verwezen verzoekt de regering ervoor te zorgen dat penitentiaire
inrichtingen (PI’s) de mogelijkheid gaan bieden aan gedetineerden om e-mails te ontvangen
via de postkamer en hiertoe in contact te treden met de service «Emailaprisoner» en
eventuele andere aanbieders.
Het initiatief voor een berichtenservice ontstond vanuit een aanbod van buiten DJI
en niet vanuit een interne vraag van DJI. De berichtenservice, destijds onder de naam
Emailaprisoner, is geïntroduceerd als onderdeel van het programma Modernisering Gevangeniswezen
(MGW) dat in de periode 2008–2012 liep. Uitgangspunt van het programma was dat iedere
gedetineerde de juiste mate van beveiliging, zorg en passende dagprogramma’s kon krijgen
om zo de kans te vergroten op een geslaagde terugkeer in de maatschappij en recidive
te verminderen. De toentertijd moderne berichtenservice (van Emailaprisoner) sloot
aan bij de doelstellingen van het programma.6 Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014)
een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden
aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een
goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was
destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen
met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
Vraag 4
Wat vindt u van het feit dat de ADR niet de gewenste diepgang heeft kunnen bereiken
bij het uitvoeren van het onderzoek, omdat de IT-serviceprovider Unilink niet heeft
voldaan aan verzoeken om benodigde documentatie aan te leveren?
Antwoord 4
De medewerking aan het onderzoek is afhankelijk geweest van de welwillendheid van
eMates en haar IT-serviceprovider Unilink. Hoewel de gewenste diepgang niet is bereikt,
heeft de ADR met de verstrekte informatie wel voldoende inzicht gegeven waarop DJI
een besluit heeft kunnen nemen.
Vraag 5 en 6
Welk subsidiebedrag heeft eMates ontvangen sinds het opschorten van eMates, waar is
dit subsidiebedrag in de begroting gedekt en kunt u juridisch advies inwinnen over
de mogelijkheden voor de Staat om deze subsidie terug te vorderen, nu uit het ADR-rapport
blijkt dat eMates en Unilink hebben verhinderd dat de ADR het gewenste diepgaande
onderzoek kon uitvoeren?
Welke wettelijke grondslag is gebruikt voor het uitkeren van subsidie aan eMates,
nu er in het geheel geen sprake was van enige dienst die was aanbesteed en er geen
contractuele relatie bestond tussen DJI en eMates?
Antwoord 5 en 6
In afwachting van de uitkomsten van het ADR-onderzoek en een te nemen besluit inzake
het al dan niet continueren van een e-mailberichtenservice was het idee eMates een
incidentele subsidie aan te bieden.7 Nu besloten is definitief te stoppen met de dienstverlening van eMates is deze subsidie
niet verstrekt. Samen met eMates wordt gekeken naar een zorgvuldige afwikkeling. Daarin
zal de periode van opschorting ook worden meegenomen. Een eventueel uit te keren bedrag
zal binnen de begroting van DJI gedekt worden.
Vraag 7
Hoe beoordeelt u de constatering van de ADR dat er geen bestaansbewijs ontvangen is
van Unilink over informatiebeveiligingsmaatregelen en ook geen bestaansbewijs is ontvangen
over de opslag en verwerking van (klant)gegevens?
Antwoord 7
Op basis van de beschreven feitelijkheden door de ADR heeft DJI kunnen constateren
dat in onvoldoende mate is voldaan aan de gestelde eisen. Mede om die reden heeft
DJI besloten de medewerking aan de berichtenservice definitief te beëindigen. Ik steun
het besluit van DJI dat zij naar aanleiding van de bevindingen van de ADR heeft genomen.
Vraag 8
Kunt u op grond van het ADR-onderzoek uitsluiten dat persoonsgegevens op enigerlei
wijze bij eMates onrechtmatig zijn verwerkt? Zo nee, welke acties gaat u dan hierop
nemen?
Antwoord 8
Er zijn geen datalekken gemeld, maar ik kan ook niet uitsluiten dat bij eMates persoonsgegevens
onrechtmatig zijn verwerkt. Er wordt in goed overleg met eMates bezien hoe de samenwerking
op een correcte manier kan worden afgewikkeld. Bij de afwikkeling zal ook aandacht
worden besteed aan de vraag of er in het verleden een inbreuk op de integriteit van
de data is geweest.
Vraag 9
Klopt het dat een deel van de berichten die door eMates zijn afgekeurd en alleen bij
eMates beschikbaar zijn of waren, voor de opsporing van zeer ernstige strafbare feiten
relevante informatie kon bevatten en die niet konden worden opgevraagd?
Antwoord 9
Nee, eMates controleerde de berichten enkel op pornografische, erotische en gewelddadige
afbeeldingen. De ontvangen digitale postberichten werden door DJI beoordeeld conform
reguliere procedure. Wanneer relevante opsporingsinformatie wordt aangetroffen wordt
dat doorgezet naar het Gedetineerde Recherche Informatie Punt (GRIP).
Het verkrijgen van gegevens die eMates nu nog bezit maakt onderdeel uit van de juridische
afhandeling en kan daarom nu niet verder worden beantwoord.
Vraag 10
Wat is er feitelijk is gebeurd met eMates-berichten die door Penitentiaire Inrichtingen
(PI) zijn «afgekeurd»? Wie bij eMates en Unilink konden deze afgekeurde berichten
inzien en vond hier logging plaats, zodat later kon worden vastgesteld wie deze berichten
had ingezien?
Antwoord 10
eMates-berichten die door PI’s zijn «afgekeurd», zijn niet aan de gedetineerden uitgereikt.
eMates heeft geen inzicht in welke berichten wel of niet zijn uitgereikt. De medewerkers
van eMates konden in theorie alle berichten inzien. eMates geeft aan dat er door de
beperkte omvang van de onderneming geen sprake was van een ingerichte functiescheiding8 en dat dit werd gecompenseerd via logging door de provider(s) die audittrails faciliteert
wanneer dat nodig is.
Vraag 11
Waarom werden er in de ene PI veel meer berichten afgekeurd dan in een andere PI en
waarom was er over eMates in het algemeen en het afkeuren van berichten in het bijzonder
geen uniform beleidskader vastgesteld?
Antwoord 11
De berichten die via eMates zijn verstuurd werden op dezelfde manier behandeld als
reguliere post. Voor de Extra Beveiligde Inrichting (EBI) en Terroristenafdeling (TA)
geldt dat alle berichten aan en van gedetineerden worden gecontroleerd. De berichten
vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan
het Gedetineerden Recherche Informatie Punt (GRIP).9 Voor gedetineerden die niet gedetineerd zitten in de EBI en TA geldt dat berichten
alleen worden gecontroleerd indien daar een concrete aanleiding toe is. In dat geval
wordt er per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek
geldt zowel voor reguliere post, als voor berichten die destijds via eMates zijn verstuurd.10
Vraag 12
Wat vindt u ervan dat in de managementreactie op het ADR-rapport namens u wordt geconcludeerd
dat er vanuit DJI onvoldoende zicht is op de bescherming en de beveiliging van gegevens?
Antwoord 12
Zoals ik ook in mijn brief aan uw Kamer van 24 maart 2022 heb gesteld is het feit
dat er geen sluitende afspraken met eMates zijn gemaakt en
daarop evenmin toezicht werd gehouden onacceptabel.11 Dit is één van de redenen geweest om de medewerking aan de dienstverlening van eMates
per direct te beëindigen.
Vraag 13
In hoeverre kunt u stellen dat controle van het berichtenverkeer met gedetineerden
op signalen van voortgezet crimineel handelen in detentie niet heeft geleden onder
het gebrek aan zicht op bescherming en beveiliging van gegevens?
Antwoord 13
Ik kan dat niet met honderd procent zekerheid stellen. Zoals aangegeven bij antwoord
op vraag 11 kan ik wel zeggen dat alle berichten aan en van gedetineerden in de EBI
en TA worden gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI
en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete
aanleiding toe is.12 In dat geval wordt per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek
geldt zowel voor reguliere post, als voor berichten die via eMates zijn verstuurd.
De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd
aan het GRIP.
Vraag 14
Als er uit opsporingsinformatie blijkt dat er in berichten die via eMates zijn verstuurd
of geprobeerd zijn te versturen relevante signalen bevatten van voortgezet crimineel
handelen in detentie, kunnen deze gegevens dan alsnog worden opgevraagd bij eMates?
Zo nee, waarom niet?
Antwoord 14
Het opvragen van de gegevens maakt deel uit van de juridische afwikkeling van de medewerking
aan de dienstverlening van eMates. Aangezien de onderhandelingen nog lopen kan ik
daar nu geen antwoord op geven.
Vraag 15 en 16
Kunt u verklaren waarom de mate van controle van eMates-berichten per PI zeer verschillend
was, zoals de ADR constateerde, en wat betekent deze constatering voor het onderzoek
van DJI naar het opzetten van een mogelijke alternatieve berichtenservice in eigen
beheer?
Aan welke specifieke informatiebeveiligingseisen moet een nieuwe alternatieve berichtenservice
voldoen en waarom zijn deze eisen nooit aan eMates opgelegd?
Antwoord 15 en 16
Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014)
een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden
aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een
goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was
destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen
met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
Zoals uit het antwoord bij vraag 13 blijkt, worden alle berichten van en aan gedetineerden
in de EBI en de TA door DJI gecontroleerd. Voor gedetineerden die niet gedetineerd
zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar
een concrete aanleiding toe is. Dat hier verschil in zit heeft te maken met differentiatie
in beveiligingsniveaus.
Tijdens de oriëntatie naar een nieuwe berichtservice worden de informatiebeveiligingseisen
voor een alternatieve berichtenservice meegenomen. Een dergelijke berichtenservice
dient veilig en eigentijds te zijn.
Er kan nu geen sluitend antwoord gegeven worden op de vraag aan welke specifieke informatiebeveiligingseisen
een nieuwe alternatieve berichtenservice moet voldoen, omdat dat afhankelijk is van
de functionele wensen. In algemene zin kan wel gezegd worden dat de alternatieve berichtenservice
minimaal zal moeten voldoen aan het vigerend beleid waaraan DJI in het kader van informatiebeveiliging
voldoet. De reden waarom deze eisen nooit aan Mates is opgelegd, is omdat DJI geen
contract had met serviceprovider Unilink en er geen formele klant-leverancier relatie
met eMates bestond. Dit soort constructies zullen in de toekomst voorkomen worden.
In mijn brief aan uw Kamer op 3 april 2023 inzake het VKC-verzoek over de voortgang
op uitvoering moties van het lid Ellian (VVD) gaf ik aan dat voor de langere termijn
ook zal worden gekeken naar de inzet van Artificial Intelligence (AI) om sneller en
efficiënter de bulk van berichtenverkeer met gedetineerden te controleren op signalen
van voortgezet crimineel handelen.13 Of een alternatieve elektronische berichtenservice in eigen beheer van DJI wenselijk
is, is DJI momenteel aan het onderzoeken. Ik verwacht uw Kamer na het zomerreces hierover
te kunnen infomeren.
Bijlage 1 – vragen uit het schriftelijk overleg over de totstandkoming van de samenwerking
tussen Dienst Justitiële Inrichtingen (DJI) en eMates en de risico’s van het gebruik
van eMates
Kan de Minister voorts toelichten op welke wijze in de aanloop naar het besluit tot
gebruikmaking van eMates risico’s ten aanzien van bescherming en beveiliging van de
gegevens in kaart zijn gebracht en zijn onderkend? Het lijkt de leden van de VVD-fractie
logisch dat bij een risicovolle groep zoals gedetineerden, de veiligheid van de samenleving
en de veiligheid van medewerkers en gedetineerden in penitentiaire inrichtingen altijd
voorop staat. Daar hoort wat deze leden betreft bij, dat vooraf wordt onderzocht of
er op een veilige manier met een dienst als eMates kan worden gewerkt. Derhalve vragen
voornoemde leden specifiek hoe de risico’s, die de Minister nu kent naar aanleiding
van het bericht van het OM, zijn meegewogen bij het oorspronkelijke besluit om eMates
in gebruik te nemen en bij de keuze van de aanbieder. Daarnaast hebben deze leden
de vraag of is overwogen eerst uitgebreid onderzoek te verrichten naar de risico’s
van een berichtendienst en de aanbieder daarvan.
Antwoord (juni 2023)
Deze vragen, die zien op de totstandkoming van de samenwerking tussen DJI met eMates
en de risico’s van het gebruik van het systeem, zijn door de auditdienst Rijk (ADR)
onderzocht. In hoofdstuk vier van het ADR-onderzoek is een chronologisch feitenrelaas
opgenomen waarin beschreven wordt hoe de huidige situatie is ontstaan.
De leden van de VVD-fractie willen een aantal vragen stellen over de veiligheid van
het gebruik van eMates. Kon het bedrijf eMates, technisch gezien, kennisnemen van
de inhoud van de correspondentie die gedetineerden en de buitenwereld via dit bedrijf
voerden en van de namen van verzenders en geadresseerden van deze correspondentie?
Zo ja, vindt de Minister dit uit het oogpunt van veiligheid van de samenleving en
de veiligheid in de inrichtingen aanvaardbaar?
Antwoord (juni 2023)
Uit het onderzoek van de ADR blijkt dat eMates, technisch gezien, toegang had tot
de inhoud van de correspondentie. Dit is een van de redenen geweest om de samenwerking
met de berichtenservice van eMates te beëindigen.
Is de Minister bekend met het feit dat Gevangenenzorg Nederland ook gebruik maakt
van eMates en dat het stopzetten van eMates op allerlei vlakken onhandig is en voor
meer bureaucratie zal zorgen in de verlening van zorg voor gedetineerden? Begrijpt
de Minister dat het stopzetten van eMates ervoor zorgt dat alle communicatie tussen
Gevangenenzorg Nederland en gedetineerden weer per brief zal moeten gaan, wat meer
handelingen vergt en langere doorlooptijden tot gevolg zal hebben? Waarom is de communicatie
met Gevangenenzorg Nederland niet uitgesloten van de stop? Ziet de Minister mogelijkheden
om in de nabije toekomst alsnog tot een regeling te komen waarbij, bijvoorbeeld Gevangenenzorg
Nederland alsnog gebruik kan maken van eMates?
Antwoord (juni 2023)
In verband met de bevindingen van de ADR heeft DJI besloten de samenwerking met de
berichtenservice van eMates te beëindigen. Omdat er onvoldoende zicht is op een veilig
gebruik kan er ook niet een groep worden uitgesloten. DJI erkent de waarde van een
veilige en eigentijdse berichtenservice, naast de in art. 36 van de Penitentiaire
beginselenwet (Pbw) genoemde mogelijkheden voor gedetineerden tot contact met de buitenwereld.
DJI onderzoekt op dit moment de mogelijkheden hiertoe, waarbij de optie om het beheer
ervan binnen de eigen organisatie onder te brengen als uitgangspunt geldt.14
Ondertekenaars
-
Eerste ondertekenaar
F.M. Weerwind, minister voor Rechtsbescherming
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.