Preview document (🔗 origineel)

---

Met deze brief informeer ik uw Kamer over het uitvoeren van audits ten aanzien van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). De aanleiding hiervoor is tweeledig. Ten eerste het hanteren van een nieuwe, meer gestructureerde aanpak van het doen van audits bij de gebruikers (zoals de politie en Bijzondere Opsporingsdiensten) en de beheerder (Justid) van het CIOT. Ten tweede het afronden van enkele concrete verrichte audits. In deze brief vindt u daar een verslag van. De auditrapporten zijn als bijlage gevoegd.

Allereerst geef ik een achtergrondschets van de aard en de werking van het CIOT. Het is een informatiesysteem dat in beheer is bij de Justitiële Informatiedienst (Justid) en heeft een wettelijke taak¹ als verdeelpunt van telecommunicatiegegevens. Telecommunicatiebedrijven zijn verplicht om dagelijks actuele klantgegevens (zoals telefoonnummer, NAW-gegevens, e-mailadres, IP-adres) aan het CIOT te verstrekken.

De Inlichtingen- en Veiligheidsdiensten (I&V-diensten) en een aantal opsporingsdiensten² kunnen, met inachtneming van hun wettelijke taak en de op hen van toepassing zijnde regelgeving, gegevens bij het CIOT opvragen. Het gaat om identificerende klantgegevens van telecombedrijven die relevant zijn voor het uitvoeren van concrete opsporingsonderzoeken. Dit gaat op een geautomatiseerde, gestructureerde en gestandaardiseerde manier. Het betreft bijvoorbeeld het opvragen van namen of adressen van gebruikers van telefoonnummers die elders in een opsporingsonderzoek naar boven gekomen zijn, bijvoorbeeld bij een telefoontap.

Het CIOT levert gegevens die de betrokken instanties reeds op grond van bestaande wettelijke bevoegdheden mogen ontvangen; er worden dus geen gegevens geleverd die de bevoegde instanties zonder het bestaan van het CIOT niet zouden kunnen vorderen of opvragen.

Op grond van artikel 8, tweede lid, van het Besluit verstrekking gegevens telecommunicatie stelt de minister van Justitie en Veiligheid jaarlijks een verslag op van een audit naar de goede werking van het besluit. Dit kan een audit zijn ten aanzien van een van de gebruikers van het CIOT, maar ook een audit van Justid als beheerder.

Meerjarenplanning en uitvoering audits

Tot 2024 was er geen duidelijke planning voor het uitvoeren van CIOT-audits bij Justid en de bevoegde instanties. De auditdienst van de politie verricht zelf de audits en heeft de afgelopen jaren wel elk jaar een audit uitgevoerd. De audits bij de andere gebruikers van het CIOT (waarbij het uitgangspunt is dat zij elke twee jaar geaudit worden) worden door een externe partij verricht, doorgaans de Auditdienst Rijk (ADR). Deze hebben niet in alle gevallen plaatsgevonden.

Om een meer structurele aanpak van de audits te waarborgen is een meerjarenplan gemaakt. Behalve het maken van afspraken over de jaren waarin de betrokken organisaties geaudit worden, helpt het plan bij het standaardiseren van de audits. Zo wordt van de te auditen organisaties verwacht dat zij zelf goed vorm geven aan het verrichten van interne controles. De audit ziet vervolgens op de inrichting van de interne controles en op de uitkomsten daarvan. Het normenkader voor de ADR-audits is geüniformeerd, waardoor de audits soepeler en sneller uitgevoerd kunnen worden. Het meerjarenplan omvat naast het CIOT ook de audits voor het Verwijzingsportaal Banken (VB) dat eveneens bij Justid in beheer is. Over de auditing ten behoeve van het VB wordt Uw Kamer separaat geïnformeerd.

Door het opstellen van een gezamenlijke meerjarenplanning en jaarlijkse afstemming met de ADR over de precieze planning voor het komende jaar, is ruim vooraf bekend wanneer audits plaats zullen vinden. Op deze manier wordt de werklast bij zowel de ADR als de te auditen instanties gespreid, terwijl alle instanties wel tijdig geaudit worden. Door alle betrokkenen kan zo tijdig gezorgd worden voor de benodigde capaciteit.

In 2024 zijn audits verricht bij de politie en de FIOD. In 2025 zijn audits verricht bij de politie, de Koninklijke Marechaussee, de Opsporingsdienst van de Nederlandse Arbeidsinspectie, en bij de Rijksrecherche. De te hanteren wijze van auditen bij de telecommunicatieaanbieders wordt op dit moment met hen besproken.

Oorspronkelijk stond voor het najaar van 2025 ook een CIOT-audit gepland bij Justid. Deze is uitgesteld tot de tweede helft van 2026. Hiermee wordt Justid in staat gesteld om verbeterde maatregelen rond interne controles te implementeren en in gebruik te nemen. Met een audit in het najaar van 2026 kan de werking van die verbeterde maatregelen direct getoetst worden.

In de bijlage bij deze brief zijn de auditrapportages van de politie uit 2022 en 2023 (vastgesteld in respectievelijk 2023 en 2024) toegevoegd, de rapportage over de audit bij de FIOD van 2024, en de drie genoemde audits die in 2025 zijn verricht.

Bevindingen audits

Politie 2023, 2024 en 2025

De audit van 2023 (uitgevoerd over het jaar 2022) is anders dan die van voorgaande jaren. Er is voor het eerst gebruik gemaakt van de interne controles die de lokale beheerders in de eenheden zelf uitvoerden. Het beeld dat voortkomt uit de audit is, wat betreft het aantal afwijkingen, vergelijkbaar met dat van vorige jaren. Wel zijn er meer verschillende soorten afwijkingen. Het betreft bijvoorbeeld het niet kunnen koppelen van enkele aanvragen aan de antwoorden, het ontbreken van verplichte documenten in het dossier, of het niet noemen van de wettelijke bepaling van het misdrijf. Bij zes aanvragen gaf het antwoord meer informatie dan was aangevraagd. Geadviseerd is om het proces van landelijke monitoring op de interne controles te versterken en daarbij oorzaakanalyses te betrekken. Daarnaast is geadviseerd om vervolgacties te nemen om de fouten te reduceren, bijvoorbeeld door in de opleiding aandacht te besteden aan dit onderwerp. De adviezen zijn overgenomen en de acties zijn in gang gezet.

De audit van 2024 (uitgevoerd over 2023) geeft een vergelijkbaar resultaat. Er is wederom gebruik gemaakt van de interne controles van de eenheden. Het aantal afwijkingen is, bij een gelijkblijvend aantal onderzochte dossiers, iets gedaald: van 39 naar 36. Wel zijn wederom meer verschillende soorten afwijkingen geconstateerd. Het aantal dossiers waarin meer informatie is ontvangen dan is aangevraagd, is gedaald van zes naar twee. Bij één aanvraag heeft een opsporingsambtenaar een bevoegdheid gebruikt die is voorbehouden aan de officier van justitie. Bij drie aanvragen was sprake van een niet-bevoegde opsporingsambtenaar.

In het kader van bevragingen over urgente persoonsvermissingen is bij één aanvraag een rechtmatigheidsfout aangetroffen, namelijk het niet kunnen koppelen van de aanvraag aan het antwoord. Ten opzichte van het jaar ervoor zijn dezelfde adviezen gegeven, aangevuld met het advies om het proces rondom de urgente vermissingen beter in kaart te brengen. In de managementreactie is aangegeven dat, door de verscheidenheid aan soorten afwijkingen, het lastig is om aanvullende gerichte actie te ondernemen. Wel is er een uniforme werkwijze ingericht voor het doen van steekproeven bij de lokale beheerders, zodat uitkomsten beter vergeleken kunnen worden. Daarnaast wordt ingezet op directere sturing door leidinggevenden, alsmede een verdere automatisering van het proces, waarmee menselijke fouten gereduceerd worden.

De audit van 2025 (uitgevoerd over 2024) is op een vergelijkbare wijze uitgevoerd. Er zijn minder rechtmatigheidsfouten geconstateerd dan in het jaar daarvoor. Bij tien aanvragen was de grondslag (wet en of artikel) van het misdrijf niet benoemd. Bij twee aanvragen komt het antwoord niet overeen met de vraag. Bij zes posten kon geen conclusie worden getrokken omdat onderliggende documenten ontbraken.

Wat betreft de bevragingen over urgente persoonsvermissingen zijn in 2024 in totaal 36 CIOT-bevragingen uitgevoerd. Inmiddels is het interne proces met betrekking tot deze bevragingen ingericht, maar nog niet formeel vastgelegd in de CIOT procedures.

De afdeling Concernaudit van de politie heeft periodiek overleg met betrokkenen uit de CIOT-organisatie en monitort op eerdere aanbevelingen uit de vorige jaren. Spoedbevragingen buiten kantoortijd blijven een aandachtspunt, evenals de eenduidige vastlegging van procedures. In de managementreactie is aangegeven dat deze bevindingen worden herkend en inmiddels worden opgepakt. De verbeteringen kunnen naar verwachting op korte termijn worden afgerond.

FIOD 2024

Er zijn bij de audit geen onrechtmatigheden geconstateerd. De geconstateerde verbeterpunten zijn vooral procedureel van aard, bijvoorbeeld over de wijze van inrichting van de interne controles.

Het normenkader dat de ADR hanteert voor de audits bevat een focus op autorisaties. Zo is er scherp gekeken naar de vraag of binnen de FIOD gecontroleerd wordt of de vragende opsporingsambtenaar op het moment van bevraging daadwerkelijk bevoegd is. Binnen de FIOD wordt niet per geval gecontroleerd; de bevoegdheid vloeit voort uit een algemenere systematiek. In de onderzochte dossiers is bij de audit geconstateerd dat de bevragende opsporingsambtenaren allemaal bevoegd waren. Verbetermogelijkheden zijn administratief van aard. De FIOD is reeds gestart met een aantal verbeteringen.

Koninklijke Marechaussee, OD-NLA en Rijksrecherche 2025

Deze audits zijn alle in de eerste helft van 2025 verricht en hebben vergelijkbare aanbevelingen opgeleverd. Er zijn geen noemenswaardige onrechtmatigheden geconstateerd. Er is in enkele incidentele en van elkaar losstaande gevallen sprake van bijvoorbeeld een ontbrekende handtekening of een zaaknummer dat niet overeenkomt met het nummer van de vordering.

De aanbevelingen zijn hoofdzakelijk procesmatig van aard. Het verbeteren van werkinstructies over het doen van interne controles op de bevragingen, alsmede de rapportage over die interne controle, speelt in alle drie de rapporten een kleinere of grotere rol. Deze aanbevelingen worden door de betreffende organisaties herkend en overgenomen.

Er is één breder aandachtspunt, en dat betreft de autorisaties van de opsporingsambtenaren. Zij ondertekenen een vordering voor een CIOT-bevraging, die vervolgens door een infodesk-medewerker feitelijk wordt uitgevoerd. De ADR kijkt in haar onderzoek of de infodesk-medewerker controleert of de opsporingsambtenaar geautoriseerd is. Dat gebeurt niet bij alle organisaties, zoals ik hierboven bij het FIOD-rapport al heb opgemerkt. De bevoegdheid van opsporingsambtenaren vloeit voort uit een algemenere systematiek en is naar het oordeel van enkele organisaties daarmee een gegeven. Ik zal dit punt in algemene zin nader bestuderen met de betreffende organisaties en vervolgens met de ADR bespreken.

Appreciatie

Ik constateer dat het proces rondom de audits flink verbeterd is. Het maken van een planning en de afstemming daarvan met de ADR zorgt ervoor dat er duidelijkheid is rond de periode van uitvoering van de audits, en dat de betrokkenen tijdig capaciteit vrij kunnen maken. Het geven van randvoorwaarden aan de audits, met name in de vorm van goede interne controles, en het uniformeren van het toetsingskader zorgen er voor dat de audits soepeler verlopen. Dit is bij de drie audits van 2025 al goed zichtbaar geweest. Met deze aanpak worden er op regelmatige basis audits verricht, en worden de betrokken organisaties in staat gesteld om hun processen te verbeteren. Door de kortere tussenpozen wordt de kans verkleind dat er nieuwe fouten ontstaan en raken de organisaties beter gewend aan de auditing.

Bij sommige audits is sprake van incidentele, kleine rechtmatigheidsfouten, zoals het ontbreken van een handtekening onder een vordering. Ik acht het van belang dat er prioriteit gegeven wordt aan het oplossen en voorkomen van dergelijke fouten. Daarnaast is er sprake van administratieve fouten of onvolkomenheden in processen. Voor al deze zaken constateer ik dat de aanbevelingen allemaal overgenomen zijn, en dat er direct gestart is met verbeteringen. Voor een optimaal proces van bevragingen is dat essentieel.

Het uitvoeren van het meerjarenplan en de betrokkenheid van de ADR daarbij is nog vrij recent. De ingeslagen weg is mijns inziens de juiste, en de komende jaren zullen uitwijzen hoe het uitvoeren van de audits, de uitkomsten daarvan, alsmede het uitvoeren van verbeterslagen, zich zullen ontwikkelen.

De Minister van Justitie en Veiligheid,

D.M. van Weel

---

1. Besluit verstrekking gegevens telecommunicatie.↩︎

2. Het gaat om de politie, de rijksrecherche, de Koninklijke Marechaussee, de Fiscale Inlichtingen- en Opsporingsdienst, de Opsporingsdienst van de Nederlandse Arbeidsinspectie, de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport, de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit en de Inspectie Gezondheidszorg en Jeugd. De I&V-diensten AIVD en MIVD kunnen ook bevragingen doen aan het CIOT, maar het toezicht- en controlesysteem dat op hen van toepassing is, is wettelijk anders dan bij de andere diensten. Deze diensten worden daarom verder buiten beschouwing gelaten.↩︎