Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025	Vragen gesteld door de leden der Kamer

2024Z21925

Vragen van de leden Six Dijkstra (Nieuw Sociaal Contract) en Mutluer (GroenLinks-PvdA) aan de Minister-President en de Minister van Justitie en Veiligheid over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie van de Audit Dienst Rijk, alsmede de kabinetsreactie daarop (ingezonden 20 december 2024).

Vraag 1

Bent u de mening toegedaan dat de constatering uit uw kabinetsreactie dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de politie «hun rollen onder bijzondere omstandigheden [vervullen] waarbij alertheid en veiligheidsbewustzijn hoog in het vaandel staan»¹, strookt met de bevindingen van de Audit Dienst Rijk (ADR) in zijn rapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie²? Zo ja, kunt u dit onderbouwen aan de hand van het ADR-rapport?

Vraag 2

Wat maakte dat, zoals de ADR stelt, rapportages over het toezicht op beveiligingsmaatregelen binnen de NCTV geen impact hadden en niet door het managementteam (MT) van de NCTV werden gelezen? Wat maakte dat het MT geen baseline van beveiligingsmaatregelen liet inrichten, niet aanstuurde op compartimentering en het need-to-know-principe en geen controles op de beveiligingsmaatregelen liet uitvoeren? Wat zegt dit over het belang dat het management van de NCTV hecht aan beveiliging? Hoe kon deze werkcultuur ontstaan?

Vraag 3

Was het bij het MT van de NCTV bekend dat, naar uw kabinetsreactie, de NCTV voor het vervullen van haar rol in de bescherming van onze (nationale) veiligheid bijzondere informatie verwerkt en daarmee een interessant doelwit voor statelijke en niet-statelijke actoren is? Zo ja, wat maakte dat uit het rapport van de ADR is op te maken dat binnen het MT een volledig gebrek aan aandacht leek te zijn voor de beveiliging van die bijzondere informatie? Kunnen we hieruit opmaken dit dat de bescherming van onze (nationale) veiligheid van ondergeschikt belang was voor het MT van de NCTV? Zo nee, waar blijkt dat dan uit?

Vraag 4

Wat doet het met de geloofwaardigheid van dreigingsbeelden mede opgesteld door de NCTV, zoals het Dreigingsbeeld Statelijke Actoren 2 uit 2022, als de NCTV blijkens de bevindingen van de ADR niet handelde naar de door zichzelf hoog ingeschatte dreiging vanuit statelijke actoren en niet de benodigde basismaatregelen trof om zich tegen de inlichtingenactiviteiten daarvanuit te weren?

Vraag 5

Kunt u alle documenten aan de Kamer verstrekken over de beveiligingssituatie van de NCTV die in de afgelopen tien jaar bij de NCTV, de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de secretaris-Generaal van het Ministerie van Justitie en Veiligheid (JenV) of de Minister van JenV zijn aangeleverd?

Vraag 6

Zijn er meer rapporten door de ADR over de NCTV geschreven in de afgelopen tien jaar? Zo ja, kunt u die aan de Kamer verstrekken?

Vraag 7

Welke acties gaat u ondernemen om het toezicht op de NCTV op de lange termijn te verbeteren?

Vraag 8

Zijn er NCTV-medewerkers geweest die op basis van vertrouwen extra ruimte kregen om zich niet aan alle geldende beveiligingsmaatregelen te houden, zoals dat ze vanuit huis met staatsgeheimen mochten werken? Zo ja, welke afspraken zijn hierover gemaakt? Op welk niveau is daar toestemming voor gegeven?

Vraag 9

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in vertrouwelijke of staatsgeheime informatie van de NCTV op gegevensdragers verzamelden en mee naar huis namen?

Vraag 10

Zijn er situaties bij de NCTV geweest waarbij toegestaan of gedoogd werd dat medewerkers tegen de beveiligingsregels in een eigen schaduwadministratie bijhielden van Nederlandse personen of organisaties?

Vraag 11

Hoe beoordeelt u de uitspraak van de NCTV in 2021 dat hij zich niet herkende in het «geschetste beeld van een medewerker die een eigen harde schijf mee zou nemen» en dat het «medewerkers niet toegestaan [is] privéapparaten aan te sluiten op werkcomputers»³? Had de NCTV op dat moment inderdaad geen zicht op het gebruik van eigen gegevensdragers of apparatuur door medewerkers binnen de organisatie? Is er nog nadere informatie in deze context waarover de Kamer geïnformeerd moet worden?

Vraag 12

Hoe kijkt u aan tegen het handelen van de BVA van het Ministerie van JenV tot aan het moment dat het lek bekend werd? Hoe kon het dat de BVA in de nota uit 2022 geen opmerking maakte over de gedateerde basis van de beveiligingsmaatregelen van de NCTV, noch over het ontbreken van Stg-accreditatie? Hoe kon het daarnaast dat de BVA geen maatregelen trof wanneer NCTV-analisten geen rechtsgeldige VGB hadden? Kwam dit enkel door het gebrek van een (voldoende) eigenstandige informatiepositie van de BVA, of zijn er ook situaties geweest waarin de BVA niet of onvoldoende geacteerd heeft wanneer daar wel aanleiding toe was? Zo ja, wat vindt u daarvan?

Vraag 13

Hoe wordt de Beveiligingsautoriteit (BVA) van J&V aangestuurd en aan wie legt deze verantwoording af? In welke mate is de BVA in staat om onafhankelijk te handelen? Welke mogelijkheden had en heeft de BVA om in geval van misstanden te escaleren?

Vraag 14

Hoe kan met het oog op de in het ADR-rapport genoemde misstanden in de toekomst worden gegarandeerd dat de BVA van JenV als derdelijns toezichthouder tijdig op de hoogte is van beveiligingsfouten en deze mitigeert?

Vraag 15

Is het functioneren van het BVA-stelsel conform artikel 11 van het Besluit BVA-stelsel Rijksdienst 2021 drie jaar na inwerkingtreding (oftewel 1 januari 2024) geëvalueerd⁴? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, wilt u het stelsel op korte termijn alsnog laten evalueren, de controle op de verwerking van staatsgeheim gerubriceerde informatie hiervoor expliciet als aandachtspunt meegeven en de Kamer over de resultaten informeren?

Vraag 16

In welke mate hebben klokkenluiders binnen de NCTV en het CTER-cluster van de politie voldoende mogelijkheden om misstanden binnen de eigen organisatie op het gebied van insider threat en het ontbreken van beveiligingsmaatregelen aan te kaarten, en genieten zij genoeg bescherming?

Vraag 17

Is de klokkenluidersregeling in het domein van staatsgeheim gerubriceerde informatie voldoende ingericht? Welke mogelijkheden zijn er op dit gebied voor klokkenluiders?

Vraag 18

Van hoeveel gegevensdragers met daarop staatsgeheim gerubriceerde informatie is op dit moment nog onbekend waar deze zich bevinden? Hoe schat u de impact hiervan in op onze nationale veiligheid?

Vraag 19

Van hoeveel Nederlandse burgers (exact of naar schatting) is via dit lek persoonlijke informatie bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 20

Welke overige informatie is bij de Marokkaanse inlichtingen- en/of veiligheidsdienst terecht gekomen?

Vraag 21

Wat betekent dit lek voor de persoonlijke situatie en veiligheid van de Nederlandse burgers in kwestie? Hoe beoordeelt u de rechtspositie van deze burgers? Hoe schat u het risico in dat hun informatie door de Marokkaanse diensten als chantagemateriaal gebruikt kan worden? Kunt u dit onderbouwen?

Vraag 22

Van hoeveel van deze burgers waren de gegevens zonder geldend wettelijk kader door de NCTV verworven?

Vraag 23

Hoe gaat u ervoor zorgen dat al deze burgers conform de Algemene Verordening Gegevensbescherming (AVG) geïnformeerd worden over het feit dat hun gegevens betrokken zijn bij een datalek? Verwacht u dat burgers voor dit feit gecompenseerd moeten worden?

Vraag 24

Heeft u hierover contact gehad met de Autoriteit Persoonsgegevens? Zo ja, wat is uit de gesprekken gekomen? Zo nee, bent u bereid dit alsnog te doen en de Kamer over de uitkomst te informeren?

Vraag 25

Zijn het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI 2013) en de Rubriceringsregeling Politie 2015 ooit geëvalueerd? Zo ja, wilt u de resultaten aan de Kamer doen toekomen? Zo nee, acht u in het kader van de door de ADR onderzochte lekken van toegevoegde waarde om dit wel te doen?

Vraag 26

Kunt u een overzicht geven van waar binnen de overheid sinds de invoering van het VIRBI 2013 onderzoek is gedaan door instanties als de ADR, de Algemene Rekenkamer (ARK) of de National Security Authority (NSA)⁵ naar de verwerking van nationaal gerubriceerde informatie of internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie)?

Vraag 27

Kunt u een overzicht geven van de sinds de invoering van het VIRBI 2013 geconstateerde onvolkomenheden op het gebied van de verwerking van nationaal of internationaal gerubriceerde informatie, zoals de door de ARK geconstateerde onvolkomenheden in systemen van het Ministerie van Buitenlandse Zaken⁶?

Vraag 28

Hoe frequent worden de overheidssystemen voor de verwerking van nationaal of internationaal gerubriceerde informatie gecontroleerd door instanties als de ADR, de ARK en de NSA? Kunt u aangeven wanneer elk van de departementen die gerubriceerd materiaal verwerken voor het laatst in het kader hiervan extern zijn onderzocht?

Vraag 29

Kunt u aangeven wat de vigerende wet- en regelgeving is van elk van de typen gerubriceerde informatie die in Nederland verwerkt worden, zoals nationaal gerubriceerde informatie, informatie met een rubricering van partnerlanden, en EU-, NAVO- en ESA-gerubriceerde informatie?

Vraag 30

Kunt u voor elk van deze typen aangeven door wie en hoe hier a) toestemming/accreditatie voor wordt verleend; en b) toezicht op wordt gehouden?

Vraag 31

Hoe wijken deze regimes van toestemming/accreditatie en toezicht af van hoe EU-partnerlanden als Frankrijk en Duitsland deze hebben ingericht, zowel voor nationaal als internationaal gerubriceerde informatie?

Vraag 32

Zijn deze regimes naar uw inzicht zowel in theorie als in praktijk passend gezien o.a. door de NCTV opgestelde dreigingsbeelden? Zo ja, wat is uw onderbouwing daarvoor? Zo nee, welke verbeteringen bent u van plan door te voeren?

Vraag 33

Wat is uw reactie op de aanbeveling in het rapport «Digitale Kroonjuwelen» van Twynstra Gudde dat «centraal, nationaal toezicht noodzakelijk is om tot een adequaat en uniform niveau van beschikbaarheid, vertrouwelijkheid en integriteit van de gegevens, documenten en registraties van Nationaal Belang te komen», waarbij «het toezicht zou kunnen worden ingericht vergelijkbaar met het toezicht op de beveiliging van gerubriceerde informatie van de EU en de NAVO» en «ingezet [wordt] op een initiële accreditatie van de betreffende beveiliging bij de overheidspartijen vóóraf, aangevuld door periodieke inspecties»⁷?

Vraag 34

Naast nationaal gerubriceerde informatie, welke typen internationaal gerubriceerde informatie (zoals informatie met een rubricering van partnerlanden of EU-, NAVO- of ESA-gerubriceerde informatie) verwerken de NCTV en de politie? Waren die allemaal in scope voor het onderzoek van de ADR? Zo nee, waarom niet?

Vraag 35

Kunt u aangeven wat per type gerubriceerde informatie de onderliggende grondslag/toestemming/accreditatie is op basis waarvan de NCTV en/of de politie deze verwerkt?

Vraag 36

Welk van deze typen gerubriceerde informatie zijn mogelijk gecompromitteerd in de door de ADR onderzochte lekken?

Vraag 37

Wat is er tot het moment van onderzoek door de ADR vanuit het toezicht aan audits en inspecties geweest? Welke maatregelen hebben de NCTV en de politie over de jaren genomen op basis van die audits en inspecties?

Vraag 38

Wat is zowel in het heden als op de lange termijn de impact van de lekken op de slagkracht en internationale reputatie van Nederlandse instanties als de I&V-diensten, bijvoorbeeld doordat bronnen en partnerlanden terughoudender zijn geworden in samenwerking? Wat voor maatregelen zijn er genomen om deze impact te minimaliseren?

Vraag 39

In hoeverre bent u bereid om een onafhankelijke commissie samen te stellen die het proces van herstel en bewustwording bij de NCTV kan begeleiden?

Vraag 40

Wilt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

---

1. Kamerstuk 36 600 VI, nr. 123.↩︎

2. Bijlage bij Kamerstuk 36 600 VI, nr. 123.↩︎

3. NRC, 13 juni 2024, «Advocaat vraagt om getuigenis van Dick Schoof in zaak van NCTV-medewerker» (https://www.nrc.nl/nieuws/2024/06/13/advocaat-vraagt-om-getuigenis-van-dick-schoof-in-zaak-van-nctv-medewerker-a4856371).↩︎

4. https://wetten.overheid.nl/BWBR0044617/2021-01-01.↩︎

5. https://wetten.overheid.nl/BWBR0047897/2023-02-23.↩︎

6. Algemene Rekenkamer, 2019, «Resultaten verantwoordingsondezoek Ministerie van Buitenlandse Zaken 2018» (https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2019/05/15/resultaten-verantwoordingsonderzoek-2018-ministerie-van-buitenlandse-zaken/VO+Ministerie+van+Buitenlandse+Zaken.pdf).↩︎

7. Bijlage bij Kamerstuk 26 643, nr. 1044.↩︎