Preview document (🔗 origineel)

---

35 238 Wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd ontsluiten van identificerende gegevens alsmede enkele andere gegevens door banken en andere betaaldienstverleners (Wet verwijzingsportaal bankgegevens)

Nr. 9 Brief van de minister van Justitie en Veiligheid

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 november 2024

Met deze brief informeer ik de Kamer over de uitkomsten van de jaarlijkse audit van het Verwijzingsportaal Bankgegevens. Deze audit is een verplichting die volgt uit het Besluit verwijzingsportaal bankgegevens.

Aanleiding

Het Verwijzingsportaal Bankgegevens is een technische voorziening waarmee het opvragen van identificerende gegevens door de daartoe reeds bevoegde overheidsdiensten is gedigitaliseerd. Met het Verwijzingsportaal is deze wettelijk verplichte verstrekking beter beveiligd en vele malen sneller, hetgeen effectievere opsporing ten goede komt. Het Verwijzingsportaal Bankgegevens is dus enkel een technische voorziening om wettelijke vorderingen, verzoeken en verstrekkingen te routeren. De bevoegde diensten zijn gedefinieerd in Artikel 6 van het Besluit verwijzingsportaal bankgegevens: de politie, het openbaar ministerie (OM), de Fiscale Inlichtingen- en Opsporingsdienst (FIOD), de Opsporingsdienst van de Nederlandse Arbeidsinspectie (OD-NLA), de Inlichtingen- en Opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit (NVWA-IOD), de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT-IOD), de Koninklijke Marechaussee (KMar, de Rijksrecherche, de Financiële inlichtingen eenheid (FIU-Nederland) en de Belastingdienst (bevragers).

Voorheen verliepen deze bevragingen rechtstreeks, bijvoorbeeld via mailverkeer tussen de opsporingsdienst en de bank. Er zijn met het portaal overigens geen nieuwe bevoegdheden voor bevragingen gecreëerd, het proces van opvragen van gegevens is gedigitaliseerd. Banken en andere betaaldienstverleners (verstrekkers) waren al wettelijk verplicht om aan dergelijke vorderingen of bevragingen door deze diensten te voldoen. Nu zijn zij verplicht deze gegevens via het portaal te verstrekken.

In artikel 5 lid 3 van het Besluit verwijzingsportaal bankgegevens is opgenomen dat er tweejaarlijks een audit wordt gedaan naar de goede uitvoering van het besluit. In lid 4 van het besluit is opgenomen dat de eerste vijf jaar na de inwerkingtreding van het besluit de audit jaarlijks zal worden gedaan. De eerste auditrapportage van het Verwijzingsportaal Bankgegevens is 18 januari 2024¹ aan uw Kamer verstuurd en betrof het gebruik van het Verwijzingsportaal Bankgegevens over 2022.

Met deze brief bied ik u, conform het Besluit, een verslag aan van de (tweede) jaarlijkse audit over 2023. De auditrapportages zijn bijgesloten.

Op grond van het Besluit wordt bij de audit ingegaan op de werking van het Verwijzingsportaal Bankgegevens en de kwaliteit van de vorderingen, verzoeken en verstrekkingen van gegevens. In 2024 zijn er drie audits uitgevoerd: naar het de opvolging van de aanbevelingen door Justid/Opsporing zoals beschreven in de rapportage Beheer Verwijzingsportaal Bankgegevens van 18 april 2023, naar de bevragingen met het portaal door de Koninklijke Marechaussee (KMar) en de Opsporingsdienst van de Nederlandse Arbeidsinspectie (OD-NLA) in 2023 en de bevragingen met het portaal door de politie in 2023. De auditrapporten zijn bijgevoegd.

Belangrijkste bevindingen

De Auditdienst Rijk heeft onderzoek gedaan naar de opvolging van de auditbevindingen tijdens de eerste audit bij het beheer van het Verwijzingsportaal Bankgegevens door Justid/Opsporing aan de hand van het normenkader dat bij de eerste audit in 2023 is opgesteld. Aanvullend is door de Auditdienst Rijk onderzoek gedaan naar de bevragingen met het Verwijzingsportaal Bankgegevens door de KMar en OD-NLA. De afdeling Concernaudit van de Nationale Politie heeft aan de hand van een normenkader onderzoek gedaan naar het gebruik van het Verwijzingsportaal Bankgegevens door de politie.

Hieronder ga ik onder 1 tot en met 3 per audit in op de belangrijkste bevindingen en de opvolging daarvan. Vervolgens ga ik onder 4 in op het controleprogramma voor de banken om de juistheid en volledigheid van de verstrekkingen te kunnen borgen en onder 5 op de monitoring opvolging van de bevindingen uit de eerste audit over 2022.

1. Opvolgaudit Beheer Justid/Opsporing

Naar aanleiding van het onderzoek naar de opvolging van de ADR-bevindingen uit 2023, heeft de ADR vastgesteld dat Justid/Opsporing veel tijd heeft gestoken in het oplossen van de bevindingen die bij de voorgaande audit zijn gedaan. Op basis van de aanbevelingenmatrix die door de ADR bij het voorgaande onderzoek is opgesteld, heeft Justid/Opsporing 30 van de 48 afwijkingen opgelost. Alle openstaande punten met betrekking tot het wijzigingsbeheer en de punten met betrekking tot het waarborgen van de continuïteit en herstelbaarheid van het VB indien zich een calamiteit voordoet, zijn naar tevredenheid afgehandeld. De nog openstaande bevindingen zijn terug te voeren op een tweetal nog lopende acties bij Justid/Opsporing en een aanvullende actie die door de ADR is geïdentificeerd. Dit betreffen het verder versterken van leveranciersmanagement, de verdere invoering van de Baseline Informatiebeveiliging Overheid (BIO) en het doorontwikkelen van het systeem om oneigenlijk gebruik van het VB te identificeren en te rapporteren, het Security Incident & Event Management (SIEM) systeem.

Justid/Opsporing heeft goed zicht op de activiteiten van haar leveranciers. Periodiek ontvangt Justid/Opsporing rapportages over de status van de informatiebeveiligingsmaatregelen. Waar nodig voert Justid/Opsporing additionele controles uit om informatiebeveiligingsprocedures bij haar leveranciers te verifiëren. De ADR ziet mogelijkheden voor verdere versterking van het rapportageproces over de naleving van de Baseline Informatiebeveiliging Overheid door de belangrijkste leveranciers van Justid/Opsporing.

Justid/Opsporing heeft voor het Verwijzingsportaal Bankgegevens een systeem voor Security Information & Event Management ingericht. Het doel van dit systeem is om verdachte gebeurtenissen op het gebied van informatieveiligheid te identificeren, zodat gericht en in een vroegtijdig stadium mogelijke inbreuken in de beveiliging kunnen worden opgespoord en verholpen. Geconstateerde tekortkomingen hebben betrekking op de reikwijdte van de verzamelde informatie en functiescheiding tussen systeembeheer en het afhandelen van beveiligingsmeldingen. De verbeterpunten waren voorafgaand aan de audit door Justid/Opsporing onderkend. De vereiste investeringen om de verbeteringen te realiseren zijn inmiddels gedaan. De komende periode zal worden benut om het systeem verder uit te bouwen en te verbeteren, zodat het systeem aan de eisen van Justid/Opsporing voldoet.

Ten aanzien van de status van de invoering van de BIO heeft Justid/Opsporing ook vorderingen gemaakt. Verschillende documentatie- en procesvereisten zijn echter nog niet of niet volledig geïmplementeerd. Justid/Opsporing heeft in de reactie aangegeven dat ten aanzien van onduidelijke status van de BIO implementatie gedetailleerde informatie beschikbaar is, deze is echter niet tijdig aan de Auditdienst Rijk overlegd. Sinds het meetmoment door de ADR heeft Justid/Opsporing additionele vorderingen gemaakt met de invoering van de BIO en ontvangt het BIO-project de vereiste managementaandacht.

De voortgang van de lopende acties bij Justid/Opsporing en de aanvullende actie die door de ADR is geïdentificeerd worden het komend jaar gemonitord aan de hand van voortgangsrapportages van Justid/Opsporing. De ADR zal bij de volgende audit de stand van zaken onderzoeken en daarover rapporteren.

2. Audit gebruik van het VB bij opsporingsdiensten

De Auditdienst Rijk heeft bij twee opsporingsdiensten een audit uitgevoerd naar het gebruik van het VB. De resultaten naar aanleiding van de audits zijn hieronder samengevat.

Nederlandse Arbeidsinspectie (OD-NLA)

De Auditdienst Rijk constateert dat de OD-NLA de getoetste bevragingen met behulp van het Verwijzingsportaal Bankgegevens heeft uitgevoerd in lijn met de afspraken in het gebruiksprotocol dat voor het Verwijzingsportaal Bankgegevens is opgesteld. Zo is elke getoetste bevraging gebaseerd op een vordering en zijn de vorderingen, waarvoor een opsporingsambtenaar of een hulpofficier van justitie van de OD-NLA bevoegd is, door een bevoegd persoon gedaan. Verder zijn alle bevragingen waarbij alle banken tegelijk zijn bevraagd op dat punt gemotiveerd.

De OD-NLA heeft vanaf het derde kwartaal 2023 periodieke controles uitgevoerd van de door de OD-NLA uitgevoerde bevragingen met het Verwijzingsportaal Bankgegevens. Deze periodieke controles staan ook beschreven in het Gebruiksprotocol Verwijzingsportaal Bankgegevens. De Auditdienst Rijk constateert dat aanpak van de controle van de autorisaties tot het Verwijzingsportaal Bankgegevens dient te worden verbeterd, omdat de controle zich beperkte tot de medewerkers die het VB daadwerkelijk hadden gebruikt, niet tot alle actieve gebruikers van de OD-NLA. Deze controles gaven overigens aan dat alle bevragingen zijn uitgevoerd door geautoriseerde medewerkers. De OD-NLA heeft de verbetering inmiddels doorgevoerd.

De OD-NLA heeft in reactie op het onderzoek aangegeven zich te kunnen vinden in de verslaglegging. De OD-NLA is gestart met het doorvoeren van de in het onderzoek genoemde mogelijkheden voor verbetering.

Koninklijke Marechaussee (KMar)

Naar aanleiding van de bevindingen in het rapport en de informatie die ik nadien van de KMar heb ontvangen stel ik vast dat de KMar zich op hoofdlijnen aan de afspraken in het gebruiksprotocol heeft gehouden, maar dat ook enkele verbeteringen noodzakelijk zijn. De Auditdienst Rijk heeft zowel opmerkingen over de controleerbaarheid van de bevragingen als op mogelijke tekortkomingen ten aanzien van de rechtmatigheid van de uitgevoerde bevragingen. Een deel van de opmerkingen door de Auditdienst Rijk wordt verklaard door het niet tijdig beschikbaar kunnen stellen van het gevraagde bewijsmateriaal over het gebruik van het Verwijzingsportaal Bankgegevens. In de selectie van de Auditdienst Rijk hadden verschillende bevragingen betrekking op “onderzoeken onder dekmantel” (ook aangeduid met ”onderzoeken onder embargo”) waarvoor aanvullende geheimhoudingscriteria gelden. De Auditdienst Rijk is gerechtigd om onder voorwaarden deze informatie in te zien. De interne controleprocedures binnen de KMar voorzagen echter niet in tijdige vrijgave van de vereiste stukken, waardoor de rechtmatigheid van de bevragingen in onderzoeken onder dekmantel niet kon worden vastgesteld.

De ADR geeft aan dat zij de bevoegdheid van de bevragers niet heeft kunnen vaststellen. Het niet kunnen controleren van de bevoegdheden is eveneens ingegeven door het niet tijdig door de KMar kunnen aanleveren van de vereiste informatie. Deze was wel voorhanden en is na het onderzoek van de ADR alsnog vastgesteld. Op grond van artikel 141 WvSv heeft een opsporingsambtenaar van de KMar dezelfde bevoegdheden als een opsporingsambtenaar van de politie. Het controleprogramma dat de ADR hanteert, zal op dit punt worden aangepast.

In de steekproef van de ADR bleek dat één van de geselecteerde vorderingen was ondertekend door een medewerker die op het moment van ondertekenen van de vordering niet meer bevoegd was. Na publicatie van het definitieve rapport is door de KMar informatie aangereikt dat de betreffende medewerker wèl over een geldig certificaat ”hulpofficier van justitie” beschikte. Artikel 6 eerste lid van de Regeling hulpofficieren van justitie 2008 stelt dat de hulpofficier van justitie van wie de geldigheid van het certificaat komt te vervallen binnen de termijn van drie jaar voordat hij met functioneel leeftijdsontslag gaat, voor de bedoelde termijn van rechtswege ontheffing wordt verleend. Tenslotte heeft de ADR opmerkingen gemaakt over de interpretatie van de vorderingsgrondslag. Omdat het werkplan dat de ADR hanteert niet eenduidig is, zal het werkplan worden aanpast zodat duidelijk is hoe de vorderingsgrondslag dient te worden gecontroleerd.

De KMar is na het delen van het onderzoeksrapport direct een project gestart om de controleerbaarheid van het proces van bevragingen te verbeteren. Met de KMar zijn door mijn ministerie aanvullende monitoringsafspraken gemaakt.

Ten behoeve van vervolgonderzoeken in 2025 en verder, zullen aanpassingen van het werkprogramma van de ADR worden gemaakt om discussiepunten over de interpretatie van het gebruiksprotocol zoveel mogelijk te voorkomen. Daarnaast zullen opsporingsdiensten die van het Verwijzingsportaal Bankgegevens gebruikmaken erop worden gewezen dat ook onderzoeken die onder dekmantel zijn uitgevoerd binnen de reikwijdte van de audit Verwijzingsportaal vallen, om te voorkomen dat een categorie bevragingen bestaat die niet getoetst kan worden.

3. Audit politie

De auditdienst van de politie heeft een onderzoek uitgevoerd naar de bevragingen met het Verwijzingsportaal Bankgegevens, alsmede de opvolging van de bevindingen die bij de voorgaande audit over bevragingen in 2022 zijn geïdentificeerd. De politie heeft grote stappen gezet naar aanleiding van de bevindingen over 2022. Een kwartiermakend landelijk coördinator Verwijzingsportaal Bankgegevens is benoemd. Structurele acties zijn door de politie onderhanden, zoals een onderzoek naar het gebruik van het Verwijzingsportaal Bankgegevens om de toegang verder te kunnen beperken tot kleinere doelgroepen. De politie is gestart met de inrichting van een aanvullend controleproces zodat alle nieuwe autorisaties die handmatig zijn toegekend voor het Verwijzingsportaal Bankgegevens (buiten een regulier autorisatieprofiel) om, maximaal een jaar geldig zijn. Het betreft hier het onderscheid tussen reguliere financiële recherche-autorisatieprofiel en overige gebruikers die buiten het autorisatieprofiel vallen, maar op grond van de onderzoeken die lopen tijdelijk toegang tot het Verwijzingsportaal Bankgegevens nodig hebben. De planning van de politie is erop gericht per eind 2024 alle acties te hebben afgerond.

De auditdienst van de politie constateert nog verschillende tekortkomingen. In tegenstelling tot de afspraken in het protocol zijn in 2023 interne controles op toegekende autorisaties tot het Verwijzingsportaal Bankgegevens buiten een regulier autorisatieprofiel om, niet aantoonbaar uitgevoerd. Evenmin hebben interne controles op bevragingen plaatsgevonden. Inrichting van dit proces is voorzien. De politie is inmiddels gestart met de interne controles over 2024. Ik blijf de voortgang hiervan monitoren.

In totaal heeft de auditdienst 62 bevragingen geselecteerd (ten opzichte van 44 bevragingen in 2022) uit alle relevante landelijke en regionale eenheden. Uit de kwaliteitstoets van de selectie van uitgevoerde bevragingen in 2023 heeft de auditdienst niet kunnen vaststellen dat sprake is geweest van onterecht gebruik van het Verwijzingsportaal Bankgegevens. De in de toets betrokken bevragers zijn allen opsporingsambtenaar en de hulpofficieren van justitie waren bevoegd op de datum waarop zij de vordering tekenden c.q. de datum van de uitvraag.

Bij de opsporing van internetoplichting en digitale fraude via het Landelijk Meldpunt Internet Oplichting (LMIO) is het Verwijzingsportaal Bankgegevens een essentieel hulpmiddel. In het proces van bulkbevraging voor LMIO is geborgd dat de vordering inhoudelijk aan de kwaliteitseisen voldoet. Wel zijn voor de LMIO-bevragingen enkele vorderingen aangetroffen, die waren gedateerd en ondertekend, voordat duidelijk was welke individuele bevragingen de bulkuitvraag zou betreffen, een oplossing uit de Coronatijd om te voorkomen dat LMIO-bevragingen onnodige vertraging zouden oplopen als gevolg van Corona-maatregelen. Hierdoor kon in de audit niet onomstotelijk worden vastgesteld dat de bulkbevragingen altijd door een hulpofficier zijn getoetst. Per 24 januari 2024 zijn veranderingen in het proces doorgevoerd, waardoor toetsing door een hulpofficier voorafgaand aan de bevraging is geborgd.

Met betrekking tot enkelvoudige bevragingen vergt invulling van kwaliteitseisen, door correcte vastlegging, aandacht. Niet in alle gevallen was de benodigde documentatie voor de kwaliteitstoets beschikbaar. Ik zie wel verbeteringen ten opzichte van de audit over 2022. Het aantal ontvangen en controleerbare bevragingen is hoger, waardoor een betere controle mogelijk is. Aan de belangrijkste kwaliteitscriteria van de toetsbare vorderingen is voldaan.

De korpsleiding heeft aangegeven zich in de bevindingen te herkennen en de ingezette verbeteringen naar aanleiding van de audit over bevragingen met het Verwijzingsportaal Bankgegevens over 2022, voort te zetten. De opvolging van de bevindingen zal worden meegenomen in de volgende audit in 2025.

4. Interne controle verstrekkers

In samenwerking met de vier grootbanken ABNAMRO, ING, Rabobank en Volksbank en de Nederlandse Vereniging van Banken wordt gewerkt aan een auditprocedure voor alle banken, waarbij de banken controles uitvoeren en over de uitvoering van de controle aan het ministerie van Justitie en Veiligheid rapporten. Naar verwachting zal de procedure volgend jaar van kracht kunnen worden en kan ik uw Kamer hierover in de volgende brief over de (derde) jaarlijkse audit nader informeren

Indien blijkt dat bij het vorderen van identificerende gegevens onjuiste of onvolledige gegevens worden verstrekt, kan alleen de vorderende opsporingsdienst dit achteraf constateren. Ik hecht daarom grote waarde aan de inspanningen die de vier banken hebben uitgevoerd om de kwaliteit het proces van verstrekken van gegevens te onderzoeken en daarmee invulling te geven aan artikel 5 lid 3 van het Besluit verwijzingsportaal bankgegevens en hierover aan mijn ministerie te rapporteren.

5. Monitoring opvolging bevindingen met betrekking tot 2022

De opvolging van bevindingen in de vorige audit waarover over uw Kamer bij brief van 14 januari 2024 is geïnformeerd is de afgelopen periode gemonitord.

Justid

Ten aanzien van de status van de bevindingen bij Justid/Opsporing verwijs ik naar bovenstaande status zoals deze door de ADR is gerapporteerd.

FIOD

Met betrekking tot de bevindingen bij de FIOD die door de ADR waren geïdentificeerd, geldt dat de FIOD alle acties heeft afgerond die gepland en nodig waren. De FIOD heeft het gebruiksprotocol voor het Verwijzingsportaal Bankgegevens ingevoerd en rapporteert over de voortgang van de uitvoerde interne controles aan mijn ministerie.

Politie

De opvolging van de status van de bevindingen bij de politie die door de Concern Auditdienst van de politie waren gerapporteerd, is hierboven beschreven.

Ten aanzien van de bevindingen bij zowel de FIOD als de politie, dat interne periodieke controles op bevragingen en autorisaties niet zijn uitgevoerd kan ik het volgende melden: Inmiddels zijn bij bijna alle opsporingsdiensten die van het Verwijzingsportaal gebruikmaken periodieke controles op rechtmatigheid ingericht. De opsporingsdiensten moeten nu tweemaal per jaar rapporteren aan mijn ministerie over de uitgevoerde interne controles. Indien de betreffende opsporingsdienst tekortkomingen heeft vastgesteld bij de interne controle, zijn hier verbeteracties voor gedefinieerd. Bij de rapportage over de monitoring stel ik vast dat de opsporingsdiensten zich in diverse stadia van volwassenheid bevinden. De uitzondering is de Belastingdienst, die het VB niet voor opsporingsdoeleinden gebruikt, maar voor rekeningnummerverificatie en reconciliatie (het uitzoeken bij welke openstaande belastingschuld een betaling hoort indien het betalingskenmerk ontbreekt). Gesprekken over de monitoring bij de Belastingdienst lopen nog.

Concluderend

Er zijn het afgelopen jaar goede stappen gezet naar een volwassen systeem van audits, interne controles en voortgangsmonitoring. Ook het komende jaar gaan we op de dezelfde voet verder en zal ik uw Kamer op geëigende momenten hierover informeren.

De minister van Justitie en Veiligheid,

D.M. van Weel

---

1. Tweede Kamer, vergaderjaar 2023-2024, 35 238, nr. 8↩︎