Rapport Auditdienst Rijk over 'Besluitvorming over berichtenservice eMates'
Justitiële Inrichtingen
Brief regering
Nummer: 2023D04366, datum: 2023-02-03, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-24587-882).
Gerelateerde personen:- Eerste ondertekenaar: F.M. Weerwind, minister voor Rechtsbescherming
- Beslisnota bij Kamerbrief inzake Rapport Auditdienst Rijk over 'Besluitvorming over berichtenservice eMates'
- Rapport van bevindingen Feitenonderzoek eMates
Onderdeel van kamerstukdossier 24587 -882 Justitiële Inrichtingen.
Onderdeel van zaak 2023Z01861:
- Indiener: F.M. Weerwind, minister voor Rechtsbescherming
- Volgcommissie: vaste commissie voor Digitale Zaken
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2023-02-08 10:00: Gevangeniswezen en tbs (Commissiedebat), vaste commissie voor Justitie en Veiligheid
- 2023-02-08 12:30: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2023-02-22 14:45: Procedurevergadering (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2023-04-06 14:30: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2022-2023 |
24 587 Justitiële Inrichtingen
Nr. 882 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 3 februari 2023
Begin maart 2022 ontving de Dienst Justitiële Inrichtingen (DJI) een brief van het Openbaar Ministerie (OM) waarin zij haar zorgen uitte over de digitale berichtenservice eMates (hierna de berichtenservice).1 De zorgen zien, kortgezegd, op:
– de kans dat via de berichtenservice voortgezet crimineel wordt gehandeld.
– het gebrek aan contractuele afspraken tussen DJI en eMates;
– het aantal berichten dat wordt verstuurd via de berichtenservice, waardoor het toezicht hierop onder druk staat;
Naar aanleiding van het bovenstaande is besloten om een onafhankelijke partij onderzoek te laten verrichten en hangende dat onderzoek de medewerking van DJI aan de berichtenservice op te schorten. Uw Kamer is hierover geïnformeerd per brief van 24 maart 2022.2 Het aangekondigde onderzoek is in de afgelopen maanden uitgevoerd door de Auditdienst Rijk (ADR) en onlangs afgerond. Ik bied uw Kamer hierbij het rapport aan.
Bevindingen ADR
De ADR heeft twee onderzoeksvragen gehanteerd in haar onderzoek:
– Welke beheersmaatregelen zijn door DJI en de dienstverlener getroffen voor het inrichten en beheersen van de informatiebeveiliging van de berichtenservice conform een door DJI geselecteerd aantal normen uit de baseline informatiebeveiliging overheid (BIO)?
– Op welke wijze is de berichtenservice ingevoerd en in gebruik genomen bij de verschillende penitentiaire inrichtingen, en wat was de betrokkenheid van de beleidsdirecties van het Ministerie van Justitie en Veiligheid en uitvoeringsorganisatie DJI hierbij?
Ten aanzien van de eerste onderzoeksvraag heeft de ADR de inrichting en beheersing van de informatiebeveiliging van de berichtenservice getoetst aan de geselecteerde voorschriften uit de zogeheten Baseline Informatiebeveiliging Overheid (BIO). Deze baseline beschrijft het normenkader voor informatiebeveiliging binnen alle overheidslagen.
De ADR heeft echter maar beperkt inzage kunnen krijgen in vertrouwelijke stukken en diverse door de ADR wel ontvangen bewijsstukken waren niet voorzien van aanvullende informatie die naar het oordeel van de ADR benodigd was om die stukken te kunnen duiden. De ADR heeft daardoor slechts gedeeltelijk onderzoek kunnen uitvoeren naar de getroffen beheersmaatregelen en kon voor meerdere beheersmaatregelen geen of beperkt feitelijke bevindingen rapporteren. Dat de bionormen goed zijn geborgd heeft de ADR dus niet kunnen vaststellen.
Voor wat betreft de tweede onderzoeksvraag komt uit het rapport (ook) naar voren dat met betrekking tot (het toestaan van) de ingebruikname en verdere uitrol van de berichtenservice – en de voorwaarden waaronder – het, in het verleden, van de zijde van DJI, ontbroken heeft aan het voeren van regie. De ADR spreekt in dat verband over het ontbreken van eigenaarschap.
Besluit DJI
Naar aanleiding van de bevindingen van de ADR heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen. De directie van eMates is op 30 januari jl. in een gesprek over dit besluit geïnformeerd.
Voor DJI stond daarbij het belang van de bescherming en beveiliging van gegevens voorop. Het ADR-rapport heeft de zorgen die tot het onderzoek aanleiding hebben gegeven niet kunnen wegnemen. In het huidige tijdsgewricht worden de veiligheidsrisico’s anders gewogen dan ten tijde van de introductie van de berichtenservice.
Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.
DJI ziet hierbij onder ogen dat zij een aandeel heeft gehad in de ontstane situatie waarin onvoldoende verantwoordelijkheid werd gevoeld voor de werking en de mogelijke informatiebeveiligingseffecten van de berichtenservice. Er wordt tegen deze achtergrond in goed overleg met eMates bezien hoe de samenwerking op een correcte manier kan worden afgewikkeld. Bij de afwikkeling zal ook aandacht worden besteed aan de vraag of er in het verleden een inbreuk op de integriteit van de data is geweest en hoe die integriteit naar de toekomst wordt geborgd.
DJI erkent de waarde van een veilige en eigentijdse berichtenservice, naast de in art. 36 van de Penitentiaire beginselenwet (Pbw) genoemde mogelijkheden voor gedetineerden tot contact met de buitenwereld. Zij zal de mogelijkheden hiertoe dan ook onderzoeken, waarbij de optie om het beheer ervan binnen de eigen organisatie onder te brengen als uitgangspunt geldt.
Tot slot
Samen met DJI betreur ik de hierdoor ontstane situatie. Ik begrijp ook dat het besluit van DJI met teleurstelling is ontvangen door eMates. Tegelijkertijd steun ik het besluit van DJI dat zij naar aanleiding van de bevindingen van de ADR heeft genomen.
Zoals hierboven geschetst is DJI in gesprek met eMates over hoe dit op een juiste manier kan worden afgewikkeld. Tevens onderzoekt DJI of en hoe een alternatieve elektronische berichtenservice in eigen beheer eruit kan zien. Voor de langere termijn zal ook worden gekeken naar de inzet van Artificial Intelligence (AI) om sneller en efficiënter de bulk aan berichtenverkeer met gedetineerden te controleren op signalen van voortgezet crimineel handelen, conform de motie van de leden Knops en Ellian3. Ik verwacht uw Kamer hierover na het zomerreces te kunnen informeren.
De Minister voor Rechtsbescherming,
F.M. Weerwind