Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2022-2023	Aanhangsel van de Handelingen
	Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden

2897

Vragen van het lid Ellian (VVD) aan de Minister voor Rechtsbescherming over het Rapport van de ADR over eMates (ingezonden 1 mei 2023).

Antwoord van Minister Weerwind (Rechtsbescherming) (ontvangen 14 juni 2023). Zie ook Aanhangsel Handelingen, vergaderjaar 2022–2023, nr. 2660.

Vraag 1

Herinnert u zich het rapport van de Auditdienst Rijk (ADR) over «Besluitvorming over berichtenservice eMates»¹ en het verslag van het schriftelijk overleg inzake de stand van zaken over de berichtenservice van eMates?²

Antwoord 1

Ja.

Vraag 2

Kunt u alle vragen die zijn gesteld bij het genoemde schriftelijk overleg over de totstandkoming van de samenwerking tussen Dienst Justitiële Inrichtingen (DJI) en eMates en de risico’s van het gebruik van eMates die destijds niet inhoudelijk beantwoord zijn omdat enkel werd verwezen naar het onderzoek van de ADR, alsnog inhoudelijk beantwoorden nu dit onderzoek is afgerond? Zo nee, waarom niet?

Antwoord 2

Op 24 mei 2022 heb ik uw vragen over de stand van zaken met betrekking tot de berichtenservice eMates beantwoord.³ Ten tijde van deze beantwoording moest het rapport van de ADR nog worden afgewacht.

Het rapport van de ADR is op 3 februari 2023 aan uw Kamer gezonden.⁴ Voor DJI staat het belang van de bescherming en beveiliging van gegevens voorop. Het ADR-rapport heeft de zorgen die tot het onderzoek aanleiding hebben gegeven niet kunnen wegnemen. Naar aanleiding van de bevindingen van de ADR heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen.

Deze uitkomst beantwoordt de vragen waarnaar ik naar uitkomst van het ADR-rapport heb verwezen, zie voor de volledigheid ook bijlage 1.

Vraag 3

Waarom is destijds besloten contact te zoeken met eMailaprisoner, ondanks dat een motie die verzocht in contact te treden met deze partij door een ruime Kamermeerderheid werd verworpen?⁵

Antwoord 3

De motie waarnaar wordt verwezen verzoekt de regering ervoor te zorgen dat penitentiaire inrichtingen (PI’s) de mogelijkheid gaan bieden aan gedetineerden om e-mails te ontvangen via de postkamer en hiertoe in contact te treden met de service «Emailaprisoner» en eventuele andere aanbieders.

Het initiatief voor een berichtenservice ontstond vanuit een aanbod van buiten DJI en niet vanuit een interne vraag van DJI. De berichtenservice, destijds onder de naam Emailaprisoner, is geïntroduceerd als onderdeel van het programma Modernisering Gevangeniswezen (MGW) dat in de periode 2008–2012 liep. Uitgangspunt van het programma was dat iedere gedetineerde de juiste mate van beveiliging, zorg en passende dagprogramma’s kon krijgen om zo de kans te vergroten op een geslaagde terugkeer in de maatschappij en recidive te verminderen. De toentertijd moderne berichtenservice (van Emailaprisoner) sloot aan bij de doelstellingen van het programma.⁶ Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.

Vraag 4

Wat vindt u van het feit dat de ADR niet de gewenste diepgang heeft kunnen bereiken bij het uitvoeren van het onderzoek, omdat de IT-serviceprovider Unilink niet heeft voldaan aan verzoeken om benodigde documentatie aan te leveren?

Antwoord 4

De medewerking aan het onderzoek is afhankelijk geweest van de welwillendheid van eMates en haar IT-serviceprovider Unilink. Hoewel de gewenste diepgang niet is bereikt, heeft de ADR met de verstrekte informatie wel voldoende inzicht gegeven waarop DJI een besluit heeft kunnen nemen.

Vraag 5 en 6

Welk subsidiebedrag heeft eMates ontvangen sinds het opschorten van eMates, waar is dit subsidiebedrag in de begroting gedekt en kunt u juridisch advies inwinnen over de mogelijkheden voor de Staat om deze subsidie terug te vorderen, nu uit het ADR-rapport blijkt dat eMates en Unilink hebben verhinderd dat de ADR het gewenste diepgaande onderzoek kon uitvoeren?

Welke wettelijke grondslag is gebruikt voor het uitkeren van subsidie aan eMates, nu er in het geheel geen sprake was van enige dienst die was aanbesteed en er geen contractuele relatie bestond tussen DJI en eMates?

Antwoord 5 en 6

In afwachting van de uitkomsten van het ADR-onderzoek en een te nemen besluit inzake het al dan niet continueren van een e-mailberichtenservice was het idee eMates een incidentele subsidie aan te bieden.⁷ Nu besloten is definitief te stoppen met de dienstverlening van eMates is deze subsidie niet verstrekt. Samen met eMates wordt gekeken naar een zorgvuldige afwikkeling. Daarin zal de periode van opschorting ook worden meegenomen. Een eventueel uit te keren bedrag zal binnen de begroting van DJI gedekt worden.

Vraag 7

Hoe beoordeelt u de constatering van de ADR dat er geen bestaansbewijs ontvangen is van Unilink over informatiebeveiligingsmaatregelen en ook geen bestaansbewijs is ontvangen over de opslag en verwerking van (klant)gegevens?

Antwoord 7

Op basis van de beschreven feitelijkheden door de ADR heeft DJI kunnen constateren dat in onvoldoende mate is voldaan aan de gestelde eisen. Mede om die reden heeft DJI besloten de medewerking aan de berichtenservice definitief te beëindigen. Ik steun het besluit van DJI dat zij naar aanleiding van de bevindingen van de ADR heeft genomen.

Vraag 8

Kunt u op grond van het ADR-onderzoek uitsluiten dat persoonsgegevens op enigerlei wijze bij eMates onrechtmatig zijn verwerkt? Zo nee, welke acties gaat u dan hierop nemen?

Antwoord 8

Er zijn geen datalekken gemeld, maar ik kan ook niet uitsluiten dat bij eMates persoonsgegevens onrechtmatig zijn verwerkt. Er wordt in goed overleg met eMates bezien hoe de samenwerking op een correcte manier kan worden afgewikkeld. Bij de afwikkeling zal ook aandacht worden besteed aan de vraag of er in het verleden een inbreuk op de integriteit van de data is geweest.

Vraag 9

Klopt het dat een deel van de berichten die door eMates zijn afgekeurd en alleen bij eMates beschikbaar zijn of waren, voor de opsporing van zeer ernstige strafbare feiten relevante informatie kon bevatten en die niet konden worden opgevraagd?

Antwoord 9

Nee, eMates controleerde de berichten enkel op pornografische, erotische en gewelddadige afbeeldingen. De ontvangen digitale postberichten werden door DJI beoordeeld conform reguliere procedure. Wanneer relevante opsporingsinformatie wordt aangetroffen wordt dat doorgezet naar het Gedetineerde Recherche Informatie Punt (GRIP).

Het verkrijgen van gegevens die eMates nu nog bezit maakt onderdeel uit van de juridische afhandeling en kan daarom nu niet verder worden beantwoord.

Vraag 10

Wat is er feitelijk is gebeurd met eMates-berichten die door Penitentiaire Inrichtingen (PI) zijn «afgekeurd»? Wie bij eMates en Unilink konden deze afgekeurde berichten inzien en vond hier logging plaats, zodat later kon worden vastgesteld wie deze berichten had ingezien?

Antwoord 10

eMates-berichten die door PI’s zijn «afgekeurd», zijn niet aan de gedetineerden uitgereikt. eMates heeft geen inzicht in welke berichten wel of niet zijn uitgereikt. De medewerkers van eMates konden in theorie alle berichten inzien. eMates geeft aan dat er door de beperkte omvang van de onderneming geen sprake was van een ingerichte functiescheiding⁸ en dat dit werd gecompenseerd via logging door de provider(s) die audittrails faciliteert wanneer dat nodig is.

Vraag 11

Waarom werden er in de ene PI veel meer berichten afgekeurd dan in een andere PI en waarom was er over eMates in het algemeen en het afkeuren van berichten in het bijzonder geen uniform beleidskader vastgesteld?

Antwoord 11

De berichten die via eMates zijn verstuurd werden op dezelfde manier behandeld als reguliere post. Voor de Extra Beveiligde Inrichting (EBI) en Terroristenafdeling (TA) geldt dat alle berichten aan en van gedetineerden worden gecontroleerd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het Gedetineerden Recherche Informatie Punt (GRIP).⁹ Voor gedetineerden die niet gedetineerd zitten in de EBI en TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. In dat geval wordt er per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die destijds via eMates zijn verstuurd.¹⁰

Vraag 12

Wat vindt u ervan dat in de managementreactie op het ADR-rapport namens u wordt geconcludeerd dat er vanuit DJI onvoldoende zicht is op de bescherming en de beveiliging van gegevens?

Antwoord 12

Zoals ik ook in mijn brief aan uw Kamer van 24 maart 2022 heb gesteld is het feit dat er geen sluitende afspraken met eMates zijn gemaakt en

daarop evenmin toezicht werd gehouden onacceptabel.¹¹ Dit is één van de redenen geweest om de medewerking aan de dienstverlening van eMates per direct te beëindigen.

Vraag 13

In hoeverre kunt u stellen dat controle van het berichtenverkeer met gedetineerden op signalen van voortgezet crimineel handelen in detentie niet heeft geleden onder het gebrek aan zicht op bescherming en beveiliging van gegevens?

Antwoord 13

Ik kan dat niet met honderd procent zekerheid stellen. Zoals aangegeven bij antwoord op vraag 11 kan ik wel zeggen dat alle berichten aan en van gedetineerden in de EBI en TA worden gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is.¹² In dat geval wordt per gedetineerde een toezichtsmaatregel opgelegd. Deze controlesystematiek geldt zowel voor reguliere post, als voor berichten die via eMates zijn verstuurd. De berichten vanuit of naar gedetineerden in de EBI worden bovendien standaard doorgestuurd aan het GRIP.

Vraag 14

Als er uit opsporingsinformatie blijkt dat er in berichten die via eMates zijn verstuurd of geprobeerd zijn te versturen relevante signalen bevatten van voortgezet crimineel handelen in detentie, kunnen deze gegevens dan alsnog worden opgevraagd bij eMates? Zo nee, waarom niet?

Antwoord 14

Het opvragen van de gegevens maakt deel uit van de juridische afwikkeling van de medewerking aan de dienstverlening van eMates. Aangezien de onderhandelingen nog lopen kan ik daar nu geen antwoord op geven.

Vraag 15 en 16

Kunt u verklaren waarom de mate van controle van eMates-berichten per PI zeer verschillend was, zoals de ADR constateerde, en wat betekent deze constatering voor het onderzoek van DJI naar het opzetten van een mogelijke alternatieve berichtenservice in eigen beheer?

Aan welke specifieke informatiebeveiligingseisen moet een nieuwe alternatieve berichtenservice voldoen en waarom zijn deze eisen nooit aan eMates opgelegd?

Antwoord 15 en 16

Terugkijkend was het verlenen van medewerking in het tijdsgewricht van toen (2014) een verklaarbare keuze. De berichtenservice bood aanvullend op post extra mogelijkheden aan gedetineerden om contact met het thuisfront te hebben, wat kan bijdragen aan een goede re-integratie na detentie. De strijd tegen voortgezet crimineel handelen was destijds minder dominant aanwezig dan nu het geval is. En ook de risico’s en eisen met betrekking tot informatiebeveiliging worden nu zwaarder gewogen.

Zoals uit het antwoord bij vraag 13 blijkt, worden alle berichten van en aan gedetineerden in de EBI en de TA door DJI gecontroleerd. Voor gedetineerden die niet gedetineerd zitten in de EBI en de TA geldt dat berichten alleen worden gecontroleerd indien daar een concrete aanleiding toe is. Dat hier verschil in zit heeft te maken met differentiatie in beveiligingsniveaus.

Tijdens de oriëntatie naar een nieuwe berichtservice worden de informatiebeveiligingseisen voor een alternatieve berichtenservice meegenomen. Een dergelijke berichtenservice dient veilig en eigentijds te zijn.

Er kan nu geen sluitend antwoord gegeven worden op de vraag aan welke specifieke informatiebeveiligingseisen een nieuwe alternatieve berichtenservice moet voldoen, omdat dat afhankelijk is van de functionele wensen. In algemene zin kan wel gezegd worden dat de alternatieve berichtenservice minimaal zal moeten voldoen aan het vigerend beleid waaraan DJI in het kader van informatiebeveiliging voldoet. De reden waarom deze eisen nooit aan Mates is opgelegd, is omdat DJI geen contract had met serviceprovider Unilink en er geen formele klant-leverancier relatie met eMates bestond. Dit soort constructies zullen in de toekomst voorkomen worden.

In mijn brief aan uw Kamer op 3 april 2023 inzake het VKC-verzoek over de voortgang op uitvoering moties van het lid Ellian (VVD) gaf ik aan dat voor de langere termijn ook zal worden gekeken naar de inzet van Artificial Intelligence (AI) om sneller en efficiënter de bulk van berichtenverkeer met gedetineerden te controleren op signalen van voortgezet crimineel handelen.¹³ Of een alternatieve elektronische berichtenservice in eigen beheer van DJI wenselijk is, is DJI momenteel aan het onderzoeken. Ik verwacht uw Kamer na het zomerreces hierover te kunnen infomeren.

Bijlage – vragen uit het schriftelijk overleg over de totstandkoming van de samenwerking tussen Dienst Justitiële Inrichtingen (DJI) en eMates en de risico’s van het gebruik van eMates

Kan de Minister voorts toelichten op welke wijze in de aanloop naar het besluit tot gebruikmaking van eMates risico’s ten aanzien van bescherming en beveiliging van de gegevens in kaart zijn gebracht en zijn onderkend? Het lijkt de leden van de VVD-fractie logisch dat bij een risicovolle groep zoals gedetineerden, de veiligheid van de samenleving en de veiligheid van medewerkers en gedetineerden in penitentiaire inrichtingen altijd voorop staat. Daar hoort wat deze leden betreft bij, dat vooraf wordt onderzocht of er op een veilige manier met een dienst als eMates kan worden gewerkt. Derhalve vragen voornoemde leden specifiek hoe de risico’s, die de Minister nu kent naar aanleiding van het bericht van het OM, zijn meegewogen bij het oorspronkelijke besluit om eMates in gebruik te nemen en bij de keuze van de aanbieder. Daarnaast hebben deze leden de vraag of is overwogen eerst uitgebreid onderzoek te verrichten naar de risico’s van een berichtendienst en de aanbieder daarvan.

Antwoord (juni 2023)

Deze vragen, die zien op de totstandkoming van de samenwerking tussen DJI met eMates en de risico’s van het gebruik van het systeem, zijn door de auditdienst Rijk (ADR) onderzocht. In hoofdstuk vier van het ADR-onderzoek is een chronologisch feitenrelaas opgenomen waarin beschreven wordt hoe de huidige situatie is ontstaan.

De leden van de VVD-fractie willen een aantal vragen stellen over de veiligheid van het gebruik van eMates. Kon het bedrijf eMates, technisch gezien, kennisnemen van de inhoud van de correspondentie die gedetineerden en de buitenwereld via dit bedrijf voerden en van de namen van verzenders en geadresseerden van deze correspondentie? Zo ja, vindt de Minister dit uit het oogpunt van veiligheid van de samenleving en de veiligheid in de inrichtingen aanvaardbaar?

Antwoord (juni 2023)

Uit het onderzoek van de ADR blijkt dat eMates, technisch gezien, toegang had tot de inhoud van de correspondentie. Dit is een van de redenen geweest om de samenwerking met de berichtenservice van eMates te beëindigen.

Is de Minister bekend met het feit dat Gevangenenzorg Nederland ook gebruik maakt van eMates en dat het stopzetten van eMates op allerlei vlakken onhandig is en voor meer bureaucratie zal zorgen in de verlening van zorg voor gedetineerden? Begrijpt de Minister dat het stopzetten van eMates ervoor zorgt dat alle communicatie tussen Gevangenenzorg Nederland en gedetineerden weer per brief zal moeten gaan, wat meer handelingen vergt en langere doorlooptijden tot gevolg zal hebben? Waarom is de communicatie met Gevangenenzorg Nederland niet uitgesloten van de stop? Ziet de Minister mogelijkheden om in de nabije toekomst alsnog tot een regeling te komen waarbij, bijvoorbeeld Gevangenenzorg Nederland alsnog gebruik kan maken van eMates?

Antwoord (juni 2023)

In verband met de bevindingen van de ADR heeft DJI besloten de samenwerking met de berichtenservice van eMates te beëindigen. Omdat er onvoldoende zicht is op een veilig gebruik kan er ook niet een groep worden uitgesloten. DJI erkent de waarde van een veilige en eigentijdse berichtenservice, naast de in art. 36 van de Penitentiaire beginselenwet (Pbw) genoemde mogelijkheden voor gedetineerden tot contact met de buitenwereld. DJI onderzoekt op dit moment de mogelijkheden hiertoe, waarbij de optie om het beheer ervan binnen de eigen organisatie onder te brengen als uitgangspunt geldt.¹⁴

---

1. Kamerstuk 24 587, nr. 882.↩︎

2. Kamerstuk 24 587, nr. 834.↩︎

3. Kamerstuk 24 587 nr. 834.↩︎

4. Kamerstuk 24 587, nr. 882.↩︎

5. Kamerstuk 33 177, nr. 4.↩︎

6. Auditdienst Rijk. Rapport van bevindingen. Feitenonderzoek eMates, 26 januari 2023.↩︎

7. Kamerstuk 24 587, nr. 862.↩︎

8. Functiescheiding heeft tot doel om taken en verantwoordelijkheden te scheiden, zoals bewaren en controleren, om misbruik te voorkomen.↩︎

9. Het GRIP is een team van de Nationale Politie, wat fungeert als intermediair tussen de Dienst Justitiële Inrichtingen (DJI), de Nationale Politie en het Openbaar Ministerie (OM).↩︎

10. Communicatie met geheimhouders, zoals advocaten, is hierop uitgezonderd.↩︎

11. Kamerstuk 24 587, nr. 828.↩︎

12. Voor de Afdeling Intensief Toezicht (AIT) geldt nu nog dat maatregelen door de directeur worden opgelegd. Zodra de Pbw is aangepast geldt hier ook een regimair beleid en wordt alles standaard gecontroleerd, zoals bij de EBI en TA.↩︎

13. Kamerstuk 24 587 nr. 894.↩︎

14. Kamerstuk 24 587, nr. 882.↩︎