Datalek bij de politie

De voorzitter:

Dames en heren, hartelijk welkom bij het commissiedebat Datalek bij de politie. Allereerst een hartelijk woord van welkom aan de minister. Fijn dat u bij ons bent. Een woord van welkom aan de leden en aan ons publiek op de tribune. We hebben hier vandaag tot 19.00 uur de tijd. De spreektijden staan op vier minuten, met drie interrupties in deze eerste termijn. Ik vraag u gezien de tijd kort en bondig te interrumperen. Dan geef ik nu als eerste het woord aan mevrouw Van der Werf.

Mevrouw Van der Werf (D66):

Dank voorzitter. Politieagenten zetten zich elke dag in voor een veilig Nederland. Ze draaien daarbij lange dienstem, geven hun weekenden op en maken veel mee waar je niet altijd vrolijk van wordt. Dat doen ze allemaal om onze veiligheid te garanderen. Het is pijnlijk dat juist zij het slachtoffer zijn geworden van dit lek.

Voorzitter. Ik stoor me dan ook aan de communicatie naar agenten toe na het ontdekken van het lek. Sommige politiemensen moesten in de krant lezen dat hun gegevens op straat lagen. De Kamer en de media wisten het nieuws hierover soms eerder dan de mensen om wie het ging. Uit de praktijk hoor ik nu gelukkig dat die updates een stuk beter verlopen. Daarom complimenten dat dat goed wordt opgepakt. Wel vraag ik de minister hoe dit nou in het vervolg beter kan gaan.

Voorzitter. Hoogstwaarschijnlijk is een statelijke actor verantwoordelijk voor deze hack, maar verder is er weinig informatie beschikbaar. De voor de hand liggende vraag is: is dit datalek onderdeel van een groter geheel, een digitale oorlogsvoering? Kan de minister hier iets over zeggen? In de Kamerbrief staat dat de korpschef werd geïnformeerd door de AIVD en de MIVD, maar er is niet gedeeld hoe zij die hack op het spoor zijn gekomen. Kwamen ze die gegevens ergens tegen of hebben ze direct doorgehad dat het account was gehackt? Kan de minister uitleggen hoe ze precies achter dit lek zijn gekomen en wanneer dit heeft plaatsgevonden?

Voorzitter. Dan het punt waar ik mij het meest over verbaas. De minister zegt in de beantwoording van onze vragen erg stellig dat er geen veiligheidsrisico is voor onze agenten. Ik vraag mij af waar die stelligheid vandaan komt. Hoe kan een minister zo goed weten dat een statelijke actor geen kwade bedoelingen heeft? En dat er nu geen risico is, betekent toch niet dat het risico er niet gaat komen? Is de minister dat met mij eens? Gegevens van politiemensen zijn kostbaar en kwetsbaar. Er zijn partijen die veel geld overhebben voor deze informatie. Foto's en andere gegevens kunnen ook gebruikt worden voor bijvoorbeeld gezichtsherkenning. Het wordt makkelijk om bijvoorbeeld agenten te chanteren met activiteiten in hun vrije tijd. Al deze personen, maar liefst 62.000 mensen, kunnen misschien wel nooit meer worden ingezet als undercoveragent. Deze dienders hebben recht op het hele verhaal. Ik hoor dan ook graag welke risico's zich in de toekomst kunnen voordoen als gevolg van dit datalek, waaronder de risico's voor gezichtsherkenning, de risico's bij de inzet van nieuwe undercoveragenten en de risico's in de aanloop naar bijvoorbeeld de NAVO-top.

Voorzitter. De politie is hard aan het werk om haar digitale bewustzijn te vergroten. De eenheid Amsterdam werkt bijvoorbeeld aan een regionale digitale vakdag. Zouden dit soort dagen niet veel meer overheidsbreed georganiseerd kunnen worden?

Voorzitter. Tot slot. Eén keer in de zoveel tijd laait deze discussie weer op. Sommige agenten zouden graag anoniem onder een nummer willen werken, in plaats van onder hun naam. Dat is best te begrijpen, want hoe makkelijk maken we het kwaadwillende criminelen die nog een appeltje te schillen hebben als de gegevens van een agent op straat liggen. In Engeland wordt momenteel al gewerkt met zo'n dienstnummer. Ik ben benieuwd of de minister in Nederland deze mogelijkheid ook als optie ziet.

De heer Aardema (PVV):

Dank u wel voorzitter. Eind september werd de politie geconfronteerd met een hack, een inbraak in het systeem, waarbij gegevens over politiemensen werden buitgemaakt. Dat is op zich al opmerkelijk omdat je er als politieambtenaar op mag vertrouwen dat dergelijke gegevens veilig achter slot en grendel zitten. Dit had natuurlijk nooit mogen plaatsvinden. Mensen die ons land veilig moeten houden, mogen niet zelf het slachtoffer worden. Dat mag zeker niet als je een bijzondere functie hebt, bijvoorbeeld als je werkt onder een dekmantel of bij een observatieteam. Dan mag het niet zo zijn dat je gegevens zomaar worden buitgemaakt. Dat kan voor die functiecategorieën vergaande gevolgen hebben voor de werkzaamheden en de eigen veiligheid. Mijn vraag aan de minister is dan ook of politiemensen echt in gevaar zijn geweest en wat de genomen maatregelen waren. Ik snap dat het lastig is om daarover in het openbaar uitspraken te doen. Als de minister daar nu op antwoordt dat hij daar meer over kan zeggen, maar niet in het openbaar, dan ga ik via het procedureoverleg hierover een besloten gesprek aanvragen. Opmerkelijk is dat de hack al uitgebreid werd gecommuniceerd met de buitenwereld, terwijl de betreffende politiemensen pas drie dagen later via een mailtje werden geïnformeerd. Ik wil graag weten wat de overwegingen waren om hier zo lang mee te wachten.

In de jaarverslagen van de AIVD en MIVD werd al langer gewaarschuwd voor offensieve cyberactiviteiten. Wat is er met die signalen gedaan? Wat gaat er nu concreet gebeuren om dergelijke hacks in de toekomst te voorkomen? In de laatste brief van de minister zegt hij dat er is gebleken dat er sprake was van een pass-the-cookieaanval. Als je even zoekt op internet, blijkt dat dit niet echt hogere krijgskunde is maar redelijk simpel te doen. Je kunt ook simpele tegenmaatregelen nemen, zoals een multifactorauthenticatie bij het inloggen. Dat zou toch heel gemakkelijk kunnen met de persoonlijk op naam uitgereikte diensttelefoons? Was deze er, en is dat nu beter geregeld? Er is ook een ISO 27001-certificering die de gaten kan dichten. Dat is een internationale standaard voor informatiebeveiliging. Is die er nu en was die er toen ook? Misschien kan de minister daar nog wat meer over zeggen.

Ten slotte wil ik opmerken dat veiligheid voor de PVV topprioriteit heeft, niet alleen voor onze burgers, maar zeker ook voor onze politiemensen en andere hulpverleners.

Dank u wel.

Mevrouw Helder (BBB):

Dank u wel voorzitter. "Op 26 september ben ik door de korpschef geïnformeerd dat een politieaccount is gehackt", aldus de minister in zijn brief van 26 september jongstleden. Het gevolg is dat werkgerelateerde contactgegevens van alle, alle politiemedewerkers zijn buitgemaakt. Dat een account gehackt kon worden, is al ernstig; daar kom ik dadelijk nog op terug. Wat ook ernstig is en wat BBB betreft ook verwijtbaar, is dat niet alle politiemedewerkers als eersten zijn geïnformeerd, maar de minister en de media. Agenten moesten het nieuws via de media horen. Gedurende het proces bleek dat ook privégegevens zijn buitgemaakt, en ook emailadressen van een aantal ketenpartners. Tot zover het proces.

Voorzitter. Dan de inhoud. Een dergelijke hack met deze immense gevolgen had natuurlijk nooit mogen gebeuren. Ik ga ervan uit dat de minister dat met BBB eens is. Voor de goede orde: ik mis die scherpe bewoordingen in de drie brieven die de minister hierover naar de Kamer heeft gestuurd. Er is de afgelopen jaren veel geïnvesteerd in cybersecurity, dus de vraag hoe dit heeft kunnen gebeuren, is des te dringender. Anno 2024 kan het excuus echt niet meer zijn dat de knappe IT-koppen allemaal bij het bedrijfsleven zitten en niet bij de overheid. De vraag is dus: hebben de mensen aan de knoppen wel voldoende deskundigheid?

Voorzitter. Als de informatie die ik heb, juist is, zijn de ter zake verantwoordelijken wel degelijk gewaarschuwd en zijn er signalen geweest met als kern: waarom staan deze velden in Outlook open? Met andere woorden: die hadden dus dichtgezet moeten worden. Dan was deze hack niet mogelijk geweest. In ieder geval zouden de gevolgen niet zo groot zijn geweest. Is de minister het met BBB eens dat de eindverantwoordelijke met IV of ICT — ik weet niet hoe de naam daar luidt — in zijn portefeuille aan een functie elders moet gaan denken? Het kan toch niet zo zijn dat het negeren van deze signalen met deze gevolgen zonder gevolg blijft en dat de korpschef hiervoor de klappen moet opvangen? Niet alleen alle politieagenten, maar ook de korpsleiding en de samenleving moeten erop kunnen vertrouwen dat een dergelijke situatie niet meer zal kunnen gebeuren. Daarom moeten ter zake deskundige personen aan de knoppen zitten en moet degene die eindverantwoordelijk is, vervangen worden.

Voorzitter. Ik verwijs naar een artikel in de NRC van 11 oktober jongstleden met de veelzeggende titel "Politiehack: als een stagiair of een vrijwilliger de schuld krijgt, is er echt iets mis met de IT". Een citaat uit dat artikel: "Een hack is zelden de schuld van een individuele medewerker, tenzij iemand bewust de boel saboteert. Belangrijker is: wie heeft bedacht dat het een goed idee is dat een politievrijwilliger bij het hele adresboek van alle medewerkers kan?" Ik zal echt niet beweren dat de eindverantwoordelijke dat een goed idee vond, maar wel dat duidelijke signalen hierover niet zijn opgevolgd. Dat is toch echt onacceptabel. Wat gaat de minister op dat punt doen?

In de laatste brief, van 8 november jongstleden, schrijft de minister dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookieaanval en dat het vrij zeker is dat er niet meer gegevens zijn gestolen dan nu bekend is. Ik heb begrepen dat dit een vrij standaard aanval is; de vorige spreker zei dit ook al. Ik heb echter twee vragen. Hoe lang heeft deze aanvaller zich opgehouden in het netwerk? Hoe weet men zo zeker dat er niet meer gegevens zijn gestolen? Ik sluit me aan bij de vorige woordvoerders en hun vragen over het gevaar voor met name agenten bij werken onder dekmantel, nu en in de toekomst.

Dank u wel.

Mevrouw Mutluer (GroenLinks-PvdA):

U hoort heel veel eensgezindheid, voorzitter. Gegevens, tot aan privégegevens toe, worden door derden gekaapt. Alleen al dat is verschrikkelijk en al helemaal als het gaat om mensen in gevoelige functies, zoals politiemensen. Ik moet zeggen dat ik me ook kapot geschrokken ben van deze hack die onze politieorganisatie met ruim 62.000 medewerkers is overkomen. Dat had nooit mogen gebeuren. Het maakt ons gewoon enorm kwetsbaar. Ik weet dat het onderzoek nog in volle gang is, maar uit de eerste berichten maken we al op dat het om een pass-the-cookieaanval zou gaan, waardoor de dader toegang kreeg tot in ieder geval de Outlookadressen van alle politiemensen en ook de privégegevens en extra contacten.

Ik hoop dat we zo snel mogelijk het antwoord op die vraag krijgen. Mijn eerste vraag is dan ook: wanneer kunnen we die verwachten? Was er sprake van een kwetsbaarheid in het systeem, een lek dat de politie nog niet kende, maar de dader wel, zodat hij deze kennis kon uitbuiten? Was de kwetsbaarheid wel al bekend en was de oplossing daarvoor, de patch, nog niet gedraaid? Zeker in dat laatste geval moet de politie sneller reageren op de door de softwareleverancier gemelde kwetsbaarheden. Worden de systemen van de politie gemonitord op het stelen van session cookies? Hoe weet de minister dat er naast de gegevens uit de lijst van adressen van Outlook geen andere adressen zijn buitgemaakt? Ik denk dat dat ook de grootste zorg was van menig politieagent. Want waarom zouden de hackers niet ook de mails van de politiemensen ingezien kunnen hebben en daaruit meer vertrouwelijke gegevens kunnen vissen?

Een nieuwe aanval moet voorkomen worden, ook al weet ik dat menselijke fouten nooit zijn uit te sluiten. Dat laat echter onverlet dat het systeem zelf zo veilig mogelijk moet zijn. We hebben eerder inspectierapporten gezien waarin werd gemeld dat de ICT van onze justitiële partners te wensen overliet. Het vraagt echt om versnelling en prioritering om dit zo snel mogelijk voor elkaar te krijgen. Ik doel dan ook op de wijze waarop onze justitiële partners met elkaar communiceren.

Voorzitter. Daarbij zou ik ook willen stellen dat er alarmbellen moeten afgaan als in één keer een enorme hoop persoonsgegevens van alle politiemensen wordt gekaapt. Daarom vraag ik de minister ook of er wel monitoringstools waren die alarm konden slaan als er signalen werden gevonden die wezen op een veiligheidsprobleem? Waarom is het nodig dat politiemensen bij de persoonsgegevens van ál hun collega's kunnen? Kan dat inderdaad onder een nummer worden geschaard?

Voorzitter. Tot zover een beetje de technische kant van het probleem. Digitale onzorgvuldigheid van mensen kan een minstens zo groot risico zijn. Dat zien we overal om ons heen. Daarom vind ik het heel erg belangrijk dat onze politiemedewerkers ook op de gevaren worden gewezen. Zij moeten getraind worden om hiermee om te gaan. Daar wil ik graag een reactie op van de minister. Ook wil ik dat de minister ingaat op de kwetsbaarheden van andere schakels van de justitiële keten, zoals het Openbaar Ministerie, de rechters en ook het gevangeniswezen, dat gevoelige gegevens heeft over hoe en waar criminelen opgesloten zitten, die niet misbruikt mogen worden om ze te laten ontsnappen. Ik wil van de minister weten of hij bereid is om de ICT van al deze justitiële partners door te lichten, zodat we kunnen kijken of daar zo snel mogelijk verbeteringen in moeten worden doorgevoerd.

Dan kom ik op de menselijke kant, namelijk die van de politiemedewerkers van wie privégegevens in verkeerde handen zijn gekomen. De communicatie liet echt te wensen over. Dat moet in de toekomst veel, veel en veel beter. Zijn er nu signalen dat hun gegevens door externen misbruikt worden? Wat is er gedaan om schade te voorkomen om deze mensen te beschermen? Hebben ze bijvoorbeeld nieuwe e-mailadressen en nieuwe telefoonnummers gekregen? Dat wil ik gewoon graag weten.

Voorzitter. Ik rond af. We krijgen bericht over de stand van zaken van het strafrechtelijk onderzoek naar de daders. Als je kijkt naar de rapportage van de AIVD en de MIVD, dan zie je dat er waarschijnlijk statelijke actoren zaten achter de hack. Dat vind ik heel erg zorgelijk, ook in het licht van de NAVO-top die er aankomt. Graag ook daar een reactie op, voor zover dat kan.

De heer Six Dijkstra (NSC):

Dank, voorzitter. Het is goed dat we dit debat met elkaar voeren. Een cyberaanval van vermoedelijk een statelijke actor op onze politie, waarbij de gegevens van politiemensen en ketenpartners op straat komen te liggen, heeft een grote impact op alle betrokkenen. Ik begrijp heel goed dat politiemedewerkers hier last van hebben. Ik zie ook het risico dat, als meer datalekken als dit plaats zouden vinden, dit ook de aangiftebereidheid van burgers zou kunnen schaden. De veiligheid van onze politiesystemen is in dat licht van het hoogste belang. Ik sluit me dan ook graag aan bij de zorgen die eerder gedeeld zijn door mijn voorgangers.

Ik heb een aantal verduidelijkende en inhoudelijke vragen over de informatie die de minister heeft aangeleverd. Uit de kabinetsbrieven blijkt dat er een politieaccount is gehackt, maar het valt me in de brieven op dat er nog onzekerheid is over de initiële toegang. De toegang kan bijvoorbeeld door phishing komen, zegt de minister, maar naar ik begrijp is daar nog geen uitsluitsel over. Verwacht de minister hier later meer duidelijkheid over te krijgen of zijn de logbestanden daarvoor ontoereikend? Zijn de detectiecapaciteiten van de politie toereikend om de initiële toegang bij dergelijke aanvallen in principe vast te stellen? Waar en hoe kunnen deze capaciteiten nog versterkt worden? Heeft het NCSC in het kader van het Nationaal Detectie Netwerk hier bijvoorbeeld duidelijke standaarden voor. Zijn die in dit geval ook nageleefd?

Voorzitter. Na een succesvolle aanval kan malware worden geïnstalleerd voor exfiltratie van data, kunnen we lezen in de brief. Dat staat wederom beschreven als mogelijkheid en niet als zekerheid. Kan de minister al bevestigen of dit daadwerkelijk is gebeurd? Zo ja, kan de minister dan ook iets delen over de gebruikte malware? Is dat het type malware dat generiek en breed beschikbaar is of wijst de malware naar een specifieke actor of een specifiek land? Begrijp ik de minister goed dat via malware session cookies zijn verzameld en geëxfiltreerd of bestaat ook de kans dat deze cookies op een andere wijze verkregen zijn? Kan de minister delen of de aanvallers ook malware hebben geplaatst voor persistente toegang of laterale beweging binnen het netwerk? Is inmiddels zeker dat alle malware uit het systeem is of bestaat het risico dat de actor nog steeds toegang heeft? Wederom stel ik de vraag in welke hier sprake is van dekkend zicht. Zo nee, hoe komen we daar?

Waarschijnlijk was er sprake van een statelijke actor. Als het gaat om staatsgeheime informatie, dan begrijp ik dat de minister niet zomaar alles kan delen, maar ik wil wel graag een dringend appel doen dat het, zodra dit kan, ook wel zinvol zou zijn om publiekelijk te attribueren. Bij een eerdere casus, de hack op een Defensiesysteem, heeft de regering Chinese actoren publiekelijk geattribueerd. Dat vond ik een krachtig signaal. Ziet de minister mogelijkheden voor de uitbreiding van het beleid omtrent publieke attributie van cyberaanvallen? Zijn er duidelijke afspraken? Wie staat daar in Nederland voor aan de lat?

Tot slot wil ik het nog graag hebben over de vervolgstappen. Nu lijkt de omvang van de hack op basis van de aan de Kamer verstrekte informatie gelukkig beperkt te zijn tot de mailomgeving, maar de samenleving moet wel kunnen vertrouwen op de weerbaarheid van het politieapparaat. In dat kader wilde ik het onderwerp aanstippen dat eerder bij het mondelinge vragenuur aan de orde is geweest, namelijk de langetermijnopslag van politiegegevens ten behoeve van cold cases en PTSS-behandeling. De minister gaat daarmee aan de slag. Er komt nieuwe wetgeving aan. Dat zullen we zeker aanmoedigen. De Autoriteit Persoonsgegevens heeft in de media echter al wel zorgen geuit over de manier waarop gegevens zeer lang worden opgeslagen. Als deze data door een hack op straat komen te liggen, kunnen de gevolgen daarvan desastreus zijn, zowel voor de nabestaanden als voor de getuigen en voor de politiemensen zelf. Daarom vraag ik de minister of hij bereid is om de AP om een nader te advies te vragen over de veiligheid van het regime waarmee informatie ten behoeve van cold cases voor zeer lange termijn opgeslagen is. Daarbij heb ik het dus niet over wat wettelijk mag, want we weten dat de wetgeving in gebreke is en er nieuwe in de maak is. Ik heb het dan concreet over de manier waarop de gegevens afgeschermd en toegankelijk zijn.

Voorzitter, dat was het van mijn kant. Dank u wel.

De heer Six Dijkstra (NSC):

Ik denk dat dit een terechte vraag is. Ik sluit me natuurlijk helemaal aan bij het standpunt van de heer Van Nispen dat je het wel zeker moet weten. Het moet meer zijn dan een aanleiding en daarom moeten we volgens mij heel terughoudend zijn met die stap. Ik vraag daarom niet aan de minister om het nu kenbaar te maken, maar ik vraag wel wanneer dat kan, zeker omdat dit in het verleden ook heeft plaatsgevonden. Ik denk dat er meerdere signalen van uitgaan, ook een signaal richting de burger, namelijk dat we niet naïef moeten zijn over de intenties van bepaalde statelijke actoren. Verder draagt het ook bij aan de geloofwaardigheid van de informatie van de regering dat bepaalde landen een offensief cyberprogramma richting Nederland hebben. Andere landen doen dit veel proactiever. Een land als Amerika doet daadwerkelijk een aanklacht tegen een ander land. Ik weet niet of we zo ver moeten gaan, maar ik denk dat het wel een pad is om uit te lopen om te kijken wat de verschillende mogelijkheden zijn. In het kader van transparantie, zeker omdat het gaat over een strafrechtelijk onderzoek, denk ik dat het in sommige gevallen wel nuttig zou kunnen zijn.

De heer Six Dijkstra (NSC):

Ik denk dat dat afhankelijk is van een aantal factoren waaronder waarschijnlijk de zekerheid van de verdenking. Het liefst gebeurt het natuurlijk zo openbaar mogelijk. Wat mij betreft doen we het openbaar als het openbaar kan. Maar ik kan mij voorstellen dat met enige mitsen en maren, die bij een onderzoek als dit beschikbaar zijn en waarbij sommige dingen ook onzeker zullen blijven, er maatwerk geleverd moet worden, ook richting ons als Kamer.

De heer Van Nispen (SP):

Dank u wel voorzitter. Er werd kort na het lek steeds meer duidelijk over dat datalek bij de politie: dat er veel gegevens zijn gestolen, zelfs privégegevens, dat er waarschijnlijk een ander land achter zit. Maar daarna werd het wat stiller. We weten ook nog heel veel niet: wat is precies de impact van deze datadiefstal, hoe kan die bijvoorbeeld tegen ons gebruikt worden? Zijn die analyses al gemaakt en wat kan er dan van gedeeld worden? Een van de zorgen is dat als hackers zicht hebben op mailinglijsten, er mogelijk ook zaken te zien zijn als welke agenten onderzoek doen naar een bepaalde criminele organisatie, welke politiemensen belast zijn met de beveiliging van een bedreigde politicus of rechter en wie er deel uitmaken van het Team Internationale Misdrijven. De minister schreef dat de werkgerelateerde gegevens van undercoveragenten afgeschermd zijn. Die gegevens zijn dus niet buitgemaakt, maar de gegevens van alle andere politiemedewerkers wel. Dat maakt de vraag die ik net stelde volgens mij wel een gerechtvaardigde vraag. Ik hoop dus dat daar antwoord op kan komen.

Wat precies de gevolgen van het datalek zijn voor de agenten en de organisatie is nog niet helemaal duidelijk. Wat wel duidelijk is, is dat de politie erdoor in het hart getroffen is, in het hart van de organisatie en van al die mensen die dag in, dag uit zorgen voor onze veiligheid. Zij zijn nu zelf het slachtoffer, met alle onzekerheid van dien. Dat doet natuurlijk iets met die mensen; verschillende sprekers hebben daar terecht al op gewezen. Het is heel belangrijk dat we agenten en ook hun families duidelijkheid en veiligheid bieden. Welke maatregelen worden er getroffen om de agenten te beveiligen of te beschermen, en hoe wordt beoordeeld of dat nodig is?

Ik sluit mij aan bij de vraag die mevrouw Van der Werf ook al stelde over het werken onder nummer als wens vaker mogelijk te maken. Want nu er namen en gegevens naar buiten zijn gegaan, is er nog meer zorg dat daders naam en achternaam lezen in het proces-verbaal. Dat maakt die wens begrijpelijk. Ik ben benieuwd naar de reactie van de minister hierop.

Wat ten slotte ook nog niet duidelijk is wat ons betreft — het is een open deur — is hoe ervoor wordt gezorgd dat het hierbij blijft, dus eens maar nooit weer. Ik vrees dat de minister dat niet kan beloven, hoe graag hij dat ook zou willen. Maar het zou natuurlijk eigenlijk wel moeten. Deskundigen zeggen ook dat de aandacht voor en urgentie van cyberbeveiliging veel hoger zou moeten. Worden er passende maatregelen getroffen om de politie en andere diensten ook digitaal beter te beveiligen? Hoe wordt dataopslag veiliggesteld? Wordt de datahuishouding doorgelicht en geanalyseerd op kwetsbaarheden, ook richting de NAVO-top straks? Kortom, welke lessen worden hiervan geleerd en wordt hier wel voldoende in geïnvesteerd?

Voorzitter. Ten slotte een wat ongemakkelijke vraag: als dit zelfs bij de politie kan gebeuren, waar dan allemaal nog meer?

Dank u wel.

Mevrouw Michon-Derkzen (VVD):

Voorzitter. Het is juist de politie die dag in, dag uit voor onze veiligheid zorgt. Deze mannen en vrouwen waren slachtoffer van een datalek waardoor niet alleen hun werkgerelateerde informatie maar soms zelfs ook hun privégegevens op straat kwamen te liggen. Hierdoor hebben zij maar ook hun naasten, hun familie, direct last van hun werk. We moeten dus met alles wat we in ons hebben zien te voorkomen dat zij risico lopen. We moeten ervoor zorgen dat zij hun werk veilig kunnen doen.

Ik heb dus heel veel begrip voor de bezorgdheid en de verwarring bij al die politiemedewerkers. De eerste reactie van de korpsleiding vond ik absoluut onder de maat. Collega's hebben dit hier al gezegd en ik sluit mij daarbij aan. Ik hoop dat de minister er ook een reflectie op kan geven. Als klap op de vuurpijl kwam daar de politievrijwilliger bij, die werd neergezet als degene die iets verkeerd zou hebben gedaan. Ook dat vind ik echt ongepast. Het feit dat je dit dus kán doen, wie er dan ook achter de computer zat, is natuurlijk al een gotspe en zou niet moeten kunnen en mogen.

Criminelen en andere kwaadwillenden kunnen met dit soort gegevens aan de haal. Is het niet nu dan misschien, morgen, of volgende maand of over een halfjaar. Het risico op doxing en op bedreiging neemt toe, zeker in teams die met zware criminaliteit te maken hebben. Graag een reactie hierop. Hoe staat de korpsleiding al deze mensen ook nu, vandaag de dag nog bij? Heeft het datalek ook implicaties voor lopende onderzoeken en wat doen we daaraan?

Het gaat in mijn optiek ook over de mate waarin de politie haar eigen ICT-systeem heeft beveiligd; dat hoorden we ook eerder. Natuurlijk zit er een deel geautomatiseerde beveiliging in, maar er zit altijd een menselijke kant aan. Hoe werken die samen en hoe zorgen we ervoor dat we het optimaal veilig houden? Juist deze hack laat weer zien dat we de vitale infrastructuur — ik vind ook onze politie-ICT vitale infrastructuur — moeten beschermen tegen allerlei dreigingen. Die opgave wordt natuurlijk steeds complexer en die dreiging wordt steeds intenser, maar de impact wordt ook steeds groter. Ik hoor graag van de minister hoe we nu en in de toekomst bestand zijn tegen gerichte aanvallen op het politiesysteem, niet in de laatste plaats omdat we juist de ICT bij de politie zo hard nodig hebben om efficiënt en effectief te kunnen optreden. Er is juist heel veel meer ICT nodig om ervoor te zorgen dat de politieagent op straat direct kan optreden. Graag een reactie van de minister hoe het nu staat met de innovatieve kant van de ICT-ontwikkeling en met, waar we het ook heel vaak in de Kamer over hebben gehad, de basis op orde qua ICT van de politie. Kunnen zij op een voldoende manier met elkaar werken?

Voorzitter, dank u wel.

Mevrouw Michon-Derkzen (VVD):

Dank aan mevrouw Mutluer voor haar vraag. In mijn optiek is zelfs de ICT bij de politie nog niet eens op orde, laat staan dat de ICT-systemen in de strafrechtketen met elkaar kunnen werken en op elkaar zijn aangepast. Ik vrees dat we nog heel ver weg zijn van een goedwerkend ICT-systeem voor de strafrechtketen. Het zou goed zijn om in dit debat een reactie van de minister daarop te horen. We steken wel enorm veel geld in de ICT politie. Ik vind het overigens niet te veel geld. ICT is de basis van politiezorg, dus ik zou zeggen: geef aan wat nodig is en dan hebben we hier de discussie erover of we dat er ook voor vrijmaken. Ik heb eerder gezegd dat er nog steeds 13% van het totale budget naar ICT gaat. Ik heb geen idee of dat niet een beetje omhoog zou moeten, omdat het een veel meer ICT-gedreven organisatie wordt. Maar ik zou vooral willen dat de politie het zichzelf minder moeilijk maakt — laat ik het zo zeggen — en ervoor zorgt dat de basis aan ICT op orde is, opdat dat het begin is om beter te kunnen samenwerken in de strafrechtketen.

Mevrouw Michon-Derkzen (VVD):

Ik denk dat het goed is dat de minister in dit debat een toelichting geeft op de stand van zaken ICT politie. Ik ben het ermee eens dat wij de vinger aan de pols moeten houden, maar volgens mij doen we dat hier ook in de reguliere commissiedebatten over de politie.

Minister Van Weel:

Dank, voorzitter. Ik ga in één keer door, omdat ik boven op dit onderwerp zit. Ik laat me daar regelmatig over informeren sinds 26 september. Daarom zijn de vragen die u heeft gesteld voor mij geen verrassing. Dat zijn de vragen die ik mezelf ook heb gesteld en waarop ik dus antwoorden heb gekregen. Ik zal die hier zo goed als mogelijk geven. Daarbij maak ik één disclaimer. Er zijn ook zaken die ik hier niet kan zeggen omdat onderzoeken nog lopen of omdat het karakter van de informatie zich niet verhoudt tot het openbare karakter van deze meeting. Wanneer dat zo is, zal ik dat eerlijk aangeven. Dan weet u in ieder geval waarom ik daar geen antwoord op kan geven.

Deze episode begon voor mij met een telefoontje, laat op 26 september, van de korpschef. Als de korpschef belt na negen uur 's avonds, dan is dat meestal geen goed nieuws, en dat was het nu ook niet. Ik ken deze telefoontjes wel. Ik was bij de NAVO verantwoordelijk voor cybersecurity en was dus ook degene die als eindverantwoordelijke werd gebeld, als er ergens in de organisatie sprake was van een hack of een lek. Dat zijn hele vervelende telefoontjes, want je weet dat het meteen impact heeft op mensen en op een organisatie. En je weet in zo'n eerste telefoontje niet wat de impact is. Hoe groot is dit? Komen we ervan af? Komen we erachter of we ervan afkomen? Hoe zijn we erachter gekomen? Het begint altijd met duizenden vragen en nog heel weinig antwoorden. Tegelijkertijd voel je meteen de druk dat dit naar buiten moet. Je kunt mensen niet verrassen hiermee. Het gaat over informatie, mogelijk persoonsgegevens. Je weet nog niet tot welke diepte, maar je hebt een verplichting om je personeel in te lichten over dit soort zaken.

Dat alles heeft geleid tot het briefje en de communicatie die u een dag later, dus op 27 september, heeft gekregen en die de medewerkers toen ook hebben gekregen. Dat is dus niet via de media gegaan. Tegen diegenen die zeggen dat sommige agenten of vele agenten dat wel via de media hebben moeten lezen, zeg ik dat het begon met een bericht op het intranet. Ik zit ook niet permanent op het intranet, dus de kans was groot geweest dat ik het ook via de media had gelezen en niet op het intranet. Dat is iets waar we lering uit kunnen trekken. Er is later ook meer gerichte communicatie geweest aan medewerkers, onder andere via de e-mail, om ze daar nadrukkelijker op te wijzen.

Wat zet je dan in de eerste communicatie? Altijd minder dan je zou willen, gewoon omdat je nog niet precies weet wat de omvang van het lek is. De eerste communicatie bevatte alleen informatie die we op dat moment hadden; daarom heeft u nog twee of drie aanvullende stukken gekregen. Het nadeel daarvan is dat je weet dat het een open einde bevat, dat je weet dat mensen op basis van de informatie die je dan kunt geven geen volledige zekerheid hebben over: wat is er nu buitgemaakt, wat is er nu weg? Dat creëert onrust in de organisatie. Dat is een afweging die je dan maakt als eindverantwoordelijke tussen de verplichting om je personeel en de Autoriteit Persoonsgegevens te informeren over een hack en als gevolg van een hack een lek en de zekerheid die je kunt geven over: wat is nu de impact op mijn veiligheid? Alle begrip voor de onrust die dat in de organisatie heeft opgeleverd.

Ik ben wel blij dat ik kan constateren dat we in de weken die daarna volgden uiteindelijk meer zekerheid hebben gekregen over de omvang van de gelekte data. Het is geen gegeven bij een hack, zeg ik u, dat je die informatie nog zo goed terug kunt halen, maar in dit geval hebben we wel enige mate van zekerheid kunnen krijgen over welke informatie is verdwenen.

Een aantal zaken moeten meteen gebeuren en wel nog voordat je naar buiten gaat. Eén. Weten we zeker dat dit ...

Minister Van Weel:

Ik vertelde over de communicatie dat je een afweging maakt tussen hoe volledig je kunt zijn op dat moment en de plicht die je voelt om je medewerkers te informeren. In dit geval hebben we ervoor gekozen om de medewerkers te informeren de dag nadat ik werd geïnformeerd door de korpschef. Dat kon omdat we wisten dat het lek inmiddels was gedicht. Als dat niet zo is, dan moet je nog heel erg oppassen met communiceren naar je medewerkers of naar buiten. Je kan iemand die dan nog in je systeem zit juist de gelegenheid bieden om grote hoeveelheden data weg te trekken voordat je 'm uit het systeem hebt. Dat is één. Ik ga niet communiceren op het moment dat dat lek er nog is, maar we wisten nu dat dat niet het geval was.

Twee. Je probeert medewerkers dan zo gericht mogelijk te vertellen wat er aan de hand is. Wij wisten in die eerste dagen wel dat het te maken had met het Outlookadressenbestand, maar de volledige omvang daarvan was nog niet duidelijk. Toch hebben we ervoor gekozen om ermee naar buiten te gaan. U vraagt: had dat dan niet beter gekund richting ketenpartners et cetera? Dat is informatie die in de dagen daarna langzaam naar boven kwam. Toen kwamen we erachter dat in dat Outlookadressenbestand ook mailinglisten zaten en dat er in die mailinglisten ook e-mailadressen voorkwamen van externe ketenpartners. Langzaam vervolmaakte dat beeld zich dus. Dat geldt ook voor privégegevens. In eerste instantie dachten we bij Outlook niet aan privégegevens, maar wat bleek? Er waren wel degelijk mensen geweest die zelf in Outlook een privénummer of een profielfoto hadden toegevoegd. U zult hier in de Tweede Kamer ook mensen hebben die dat hebben gedaan.

De ongemakkelijkheid dat je communiceert en weet dat je niet volledig bent, voelde ik dus vanaf het begin. Die voel ik ook met u mee. Ik heb wel de afweging gemaakt om het op deze manier te doen, om in ieder geval niet achteraf verweten te kunnen worden dat we de medewerkers niet tijdig in staat hebben gesteld om kennis te nemen van de betreffende data. Dat heeft zeker onrust met zich meegebracht. Had dat meldpunt eerder in het leven geroepen kunnen worden? Dat is een les die we zeker meenemen voor een volgende keer, net als het idee om in plaats van iets te plaatsen op intranet, wellicht een e-mail te sturen naar het hele bestand, zodat mensen eerder en persoonlijk op de hoogte worden gesteld. Zo leren we continu van dit soort afhandelingen.

Minister Van Weel:

Zeker. Op basis van de informatie die er was, zeg ik daar wel bij. We hebben natuurlijk elke keer gekeken welke informatie er weg was en wat we moesten doen. Je gaat daarbij uit van het ergste scenario. We wisten wel vrij snel dat het beperkt was gebleven tot de Outlookomgeving. Dan ga je dus kijken welke informatie daar dan te vinden is. Een van de eerste vragen die natuurlijk extern maar ook bij ons intern speelde, was: hoe zit het met mensen die werken onder een dekmantel? Dat is de meest kwetsbare groep. Ik moet eerlijk zeggen dat ik al hoopte dat die niet onder een naam in het systeem zouden staan. Dat bleek gelukkig ook niet het geval te zijn. Daarmee was dus het acute gevaar voor die operaties geweken.

Ten tweede hebben we gekeken wat je als statelijke actor met deze informatie … Ik bedoel als actor, want we wisten natuurlijk nog niet dat het een statelijke actor was. Wat zou je als actor nou met die informatie kunnen doen? Wat brengt die informatie? Dan ga je nadenken: als je namen en e-mailadressen hebt, is het dus eenvoudiger geworden om bijvoorbeeld een hele gerichte phishingmail te sturen. Je kunt je dan immers voordoen als iemand anders van wie je het e-mailadres en de functie hebt. Als ik aan u een e-mail stuur die lijkt te komen van David van Weel terwijl ik dat niet ben, bent u eerder geneigd om daarop in te gaan dan op een mail van iemand anders. Vandaar dat een van de eerste maatregelen die we hebben getroffen, is dat we iedereen erop wijzen dat het risico op phishing mogelijk is toegenomen doordat deze informatie in verkeerde handen is gevallen. Zo hebben we elke keer gekeken wat de aard van de informatie die weg was, betekent voor het mogelijke risico dat mensen lopen.

Daar kwam vervolgens de vraag vandaan, van velen van u, over de fysieke veiligheid. Waarom hebben we die nou ingeschat als laag? Dat is omdat er uiteindelijk geen privéadressen of Facebookpagina's met foto's van familieleden et cetera buitgemaakt zijn. Dat soort informatie, die echt wijst naar de privéomgeving van een agent, is hiermee niet buitgemaakt. Het betreft informatie die je ook hier in de Tweede Kamer kunt vinden op een visitekaartje in Outlook. Dat geeft niet onmiddellijk aanleiding voor een dreiging voor de fysieke veiligheid van agenten. Vandaar dat we dat risico lager hebben ingeschat, in combinatie met het feit dat we op een gegeven moment met vrij grote zekerheid wisten dat het een statelijke actor betrof en geen criminele. Ook dan speelt mee wat waarschijnlijk de intentie geweest is van het vergaren van informatie. Die intentie is waarschijnlijk geweest om grotere toegang te krijgen via deze eerste hack.

Minister Van Weel:

Elke hack, elk lek, is anders, zo ook deze. Het feit dat met deze gerichte hack alle medewerkers van de politie werden geraakt, is vrij ongekend. Er zijn heel veel hacks en datalekken, bij heel veel organisaties. Daar zijn ook draaiboeken voor. Bij een vrij gericht lek van informatie krijg je daar gewoon een standaard informerend bericht over. U heeft hem ongetwijfeld ook weleens gehad van bol.com of andere bedrijven. Dit lek raakte alle politiemedewerkers. In het begin was ook nog niet helemaal duidelijk op welke wijze zij werden geraakt. Dat maakte dit uniek. We hebben daarin keuzes gemaakt, waarbij een aantal makkelijk via het draaiboek zijn af te werken, namelijk het dichten van het lek en het nemen van digitale maatregelen om te voorkomen dat het nog een keer zo gaat plaatsvinden. Die technische kant staat helemaal vast in draaiboeken om het systeem zo snel mogelijk weer veilig te maken. De personele kant was hier uniek. Daar hebben we zeker van geleerd. Hoe bereik je nu 62.000 mensen op zo'n manier dat er geen paniek uitbreekt, maar dat er wel urgentie doorklinkt? Hoe geef je handelingsperspectief aan mensen?

Minister Van Weel:

Ik heb hier al gezegd dat het bericht op intranet wat mij betreft volgende keer gewoon een directe mail aan iedereen is. Dat hebben we hiervan geleerd. Hadden we dat van te voren kunnen bedenken? Mogelijk. Ik had graag gewild dat er iemand was geweest in het crisisteam waarin we zaten die had gezegd: misschien moeten we gewoon een directe mail sturen aan iedereen. Dan hadden we dat gedaan. Daar was natuurlijk niks op tegen. Nu hebben we dat reactief gedaan, omdat we erachter kwamen dat intranet te vrijblijvend was. Daarom is er zaterdag meteen ter correctie een mail uitgegaan naar alle medewerkers en is in reactie op de vraag "waar moet ik dan heen?" op zondag de helpdesk ingesteld. Men vond namelijk dat men via de eigen lijn niet snel genoeg informatie verkreeg, wat aanvankelijk wél het idee was. Ik denk dus dat er elke keer gereageerd is. Hadden we dit allemaal in één keer beter willen doen? Heel graag! Hebben hiervan geleerd? Zeker! Zouden we het een volgende keer, die hopelijk nooit meer komt, anders doen? Absoluut!

Minister Van Weel:

Ik snap de vragen van mevrouw Van der Werf. Maar ik denk dat het juist mijn kennis en mijn ervaring zijn en wat ik op dit moment weet van deze hack waardoor ik ook een werkgeversverantwoordelijkheid heb om mensen niet onnodig ongerust te maken. Als ik aanleiding had om ongeruster te zijn dan ik nu overkom, zou ik die ongerustheid ook uiten. Ik ben hier helemaal niet om zaken te downplayen of om ze mooier te laten lijken for the sake of it. Ik probeer het echte verhaal neer te zetten. Wat ik u vertel, is het echte verhaal, op basis van de risicoanalyses die we hebben gemaakt op basis van de informatie waarvan we weten dat die weg is en het risico dat mensen daar mogelijk door lopen. En zoals ik al zei, achten wij het risico voor de fysieke veiligheid klein. Dat is ons oordeel. Dat is niet om het mooier te laten lijken; dat is het professionele oordeel dat wij aan deze hack geven.

Minister Van Weel:

Voor zover ik dat kan doen, ga ik proberen om dat te doen. Ten eerste. Ja, we gaan ervan uit dat deze informatie in handen is van deze statelijke actor, maar zoals we ook aangeven in de Kamerbrief in antwoord op vragen van u, monitoren wij erg goed of de informatie daar ook blijft. Wij speuren dus continu op alle plekken waar we denken dat dat zou kunnen, of deze informatie ergens opduikt. Want natuurlijk zou dat op dat moment wel kunnen leiden tot een andere risico-inschatting. Tot op heden — ik heb dit vandaag nog met de korpschef besproken — is die informatie nog nergens aangetroffen, waardoor wij ervan uitgaan dat die nog in handen is van de statelijke actor.

Als we kijken naar de intentie van de statelijke actor, is het vermoeden, kijkend naar de modus operandi van dit soort statelijke actoren, dat het hier gaat om informatievergaring en dus niet om het direct lastigvallen van individuen in de organisatie. Daar komt dat idee vandaan.

Als u mij vraagt — maar dan ga ik deels speculeren — waarom men dan zo'n adreslijst pakt: precies om wat ik zojuist zei, het is een fantastische gelegenheid om op basis van die informatie te proberen om veel gerichter zo'n organisatie binnen te komen. Daarom zagen we ook echt als het grootste risico dat specifiek met phishing, doordat men zich voordoet als collega, de informatie verrijkt kon worden op basis van deze gegevens. Daarom hebben we dat ook als het hoogste risico aangemerkt en daar ook maatregelen tegen genomen, door mensen alert te maken en de cyberbeveiliging nog verder op te schroeven om er zo beter zicht op te hebben.

Als je kijkt naar de informatie die is buitgemaakt, dan gaat het niet om politiedata. Dat hoorde ik wel in een paar vragen. Het gaat niet om onderzoeksdata. Het gaat niet om data uit strafrechtelijke processen. Die zijn echt op een andere manier beveiligd. Het gaat hier echt om de Outlookadreslijst. Niet alleen in de politieorganisatie, maar in de meeste organisaties is die vrij makkelijk toegankelijk. Waarom? Omdat je met elkaar moet kunnen communiceren. Dat zeg ik ook tegen de mensen die vroegen waarom elke medewerker toegang heeft tot die gegevens. Dat is omdat je in de organisatie waar je werkt, mensen wilt kunnen opzoeken. Dat kun je hier in de Tweede Kamer ook doen. Als ik de heer Aardema wil mailen, en ik weet zijn e-mailadres niet, dan typ ik "aa" in in Outlook en dan ben ik blij dat de heer Aardema daarin opduikt. Als ik wil weten of het de goede is, omdat er vier Aardema's staan, dan klik ik met mijn rechtermuisknop en ga ik naar properties. Dan zie ik dat de heer Aardema, Tweede Kamerlid voor de PVV, de goede is. Zo voorkom je dus ook dat er communicatie in verkeerde handen komt. Deze informatie is geen hooggerubriceerde informatie en is echt wat anders dan politie-informatie. Dat wil ik hier toch nog een keer markeren.

Naar aanleiding hiervan heeft de politie gekeken naar het schonen van die informatie om te voorkomen dat daar onnodig privéinformatie bij zit en om te voorkomen dat er onnodig foto's in staan. Voor sommige mensen is een foto deel van hun werk. Als wijkagent wil je niet onder een nummer bekend staan, maar juist als Jan de wijkagent, want je wilt dat mensen je herkennen en je weten te bereiken. Maar als je in een wat meer afgeschermde omgeving werkt, dan is dat natuurlijk heel anders.

Enkelen vroegen hoe het zit met werken onder nummer en vroegen of we dat ook kunnen uitbreiden. In het hoofdlijnenakkoord staat dat we gaan kijken hoe we dat kunnen uitbreiden, zeker in de strafrechtelijke onderzoeken. Het OM gaat bepalen waar ruimte ligt om dit voor mensen mogelijk te maken, om te voorkomen dat ze privé worden aangesproken op het werk dat ze in alle neutraliteit doen.

Minister Van Weel:

Even kijken hoe ik deze vraag op een goede manier beantwoord. We kijken op een bepaalde manier — ik kan niet zeggen op welke manieren, maar op internet — of deze informatie ergens beschikbaar komt. Je zou je kunnen voorstellen dat er marktplaatsen zijn waar je dit soort informatie kunt verkopen. Criminelen of statelijke actoren kunnen elkaar daar vinden om dit soort data aan elkaar te verkopen, of het nou gaat om data die bij Albert Heijn, bij Bol.com of anderszins is buitgemaakt. Datahacks en datalekken zijn aan de orde van de dag in onze maatschappij en daar is gewoon een business voor.

De politie weet waar dit soort marktplaatsen, deze zwarte markten, zijn. Dus die hangt daar ook rond, net als we op echte zwarte markten proberen present te zijn en kijken naar de contrabande die daar rondgaat. Op die manier en op andere manieren proberen we daar zicht op te houden en op de vraag of deze data ergens opduiken. En als dat zo is, wat gaan we daar dan mee doen en wat zijn de risico's? Ik kan dus geen garanties geven dat die data nergens opduiken, maar ik hoop wel dat we er zicht op hebben op het moment dat dit zou gebeuren. Het is overigens de vraag of dit het doel van een statelijke actor zou zijn. Ik kan dat niet honderd procent uitsluiten. Het zou niet de meest logische stap zijn, maar ik zou ze ook zeker niet op ideeën willen brengen door het debat dat we hier nu hebben. Dat is één.

Twee: de aard van de data en wat dit betekent voor de veiligheid van mensen. De data vertellen inderdaad welke namen er werken bij de politie. Dat kan gevoelig zijn; daar wil ik absoluut niet voor weglopen. Tegelijkertijd is er ook niet méér informatie te vinden dan dat iemand werkt bij de politie en mogelijk op welke plek in de politie. Wat je daarmee zou kunnen doen, is die informatie gebruiken om een verder beeld van iemand op te bouwen, als je dat zou willen. Dat is het risico dat agenten sowieso lopen, ook als ze op straat lopen met hun naamkaartje en gefilmd worden.

In deze wereld, waarin met facial recognition mensen gevonden worden en waarin socialmedia-accounts worden gecombineerd, is dit in algemene zin een uitdaging voor agenten. Ik merk dat ook. U noemde zelf al de wens om te werken onder nummer. Mensen die in de frontlinie staan en gefilmd worden bij al het werk dat ze doen, moeten al enorm uitkijken met hoe ze verder digitaal, online, vindbaar zijn, omdat er mensen zijn die hen willen benaderen. Daar zou ook deze informatie aan kunnen bijdragen als die in handen van de verkeerde mensen valt. Dat risico zie ik dus zeker.

Minister Van Weel:

Mijn appreciatie verandert niet. Het zou vreemd zijn als ik daar nu in één keer een andere inschatting van zou hebben. Ik acht de kans dus nog steeds zeer gering dat er uiteindelijk een fysiek veiligheidsrisico ontstaat voor agenten op basis van de informatie die hier gestolen is en door wie die is gestolen. Dat is het geheel. Het enige wat ik nu probeer te doen in het debat met u, is afpellen.

Eén: hoe zit het met die actor, wat is daar het risico en welke mitigerende maatregelen hebben we daar om eventueel zicht te krijgen op waar die informatie heen gaat? Een ander deel van de puzzel is: als die informatie in handen is van mensen die kwaad zouden willen, wat zouden zij dan met die informatie kunnen doen? Zo kwamen we op het construct. Ik pel het dus zover af als ik kan om inzicht te geven: als er risico's zouden zijn, wat zouden die dan zijn? De overallconclusie blijft dezelfde. Daarmee bagatelliseer ik helemaal niks.

Ik vind het ontzettend vervelend dat deze informatie is buitgemaakt en ik zou willen dat we dit debat niet hadden gehad, maar dat is niet de realiteit. Maar daarbinnen ga ik mensen ook niet onnodig ongerust maken alsof ze nu op hun thuisadres in één keer ongewenst bezoek kunnen verwachten op basis van deze hack. Ze lopen dus een zeer gering risico op hun veiligheid. Dat zeg ik dus wel in deze brief en dat herhaal ik in dit debat.

Minister Van Weel:

Dat kan ik met aan zekerheid grenzende waarschijnlijkheid doen. Dat zeg ik u omdat we een redelijk zicht hebben kunnen krijgen op de exfiltratie van data. Zonder al te technisch te worden: je kunt in loggegevens wel zien wat er over netwerken heen gaat. Wij weten dus vrijwel zeker dat dit is wat er weg is. En met "dit" bedoel ik dus de hele global address list en alles wat daaraan hangt. Het zijn dus geen andere systemen, zoals de politiedata zelf of salarisadministratiesystemen.

Minister Van Weel:

Ja, absoluut. Overigens zijn dit plekken die de politie sowieso graag monitort, maar waar zij nu natuurlijk extra alerts op heeft gezet waar het gaat om deze informatie. Regeer ik daarmee over mijn graf heen? Ja, maar dat doe ik met de volle zekerheid dat wie er ook na mij komt, dat niet anders zal willen. Uiteindelijk gaat dit immers om de veiligheid van de medewerkers. We willen daar dus gewoon zicht op houden.

Minister Van Weel:

In de tijd dat ik bij Defensie werkte, had je in de global address list nog een all user account. Ongeveer één keer in het jaar was er iemand die grappig dacht te zijn bij zijn afscheid of zijn pensioen, en in dat account zei: nou, tot ziens. En dan waren er altijd weer een paar duizend mensen die daaroverheen dan weer grappig wilden antwoorden. Die mogelijkheden kennen de meeste bedrijven al niet meer. Je kunt als werkgever dus wel separatie aanbrengen terwijl je daarachter toch één bestand hebt waar het allemaal in staat. Daardoor kun je dus wel individuen zoeken, maar kun je alleen als dat moet, bijvoorbeeld als ik dat als minister zou willen, een mail naar de hele organisatie sturen. Niet iedere medewerker kan meteen iedereen met één e-mail bereiken.

Dan de velden die openstonden. Dat ging dus met name over het kunnen invullen van die privéinformatie. We zijn er dus achter gekomen dat dat niet wenselijk is en dat je dus als werkgever verantwoordelijkheid wil nemen in welke informatie mensen daadwerkelijk kunnen toevoegen aan zakelijke Outlookadressen. Dat bedoelde ik met het opschonen van dat bestand, om te voorkomen dat mensen extra kwetsbaar zijn vanwege de informatie die daarin staat.

Minister Van Weel:

Waar het lek zit … Ik wijs hier helemaal niemand aan als schuldige en het onderzoek loopt nog, maar er is via een device toegang verkregen via de beruchte "pass the cookie"-methode. Wat betekent dat? We klikken allemaal meerdere malen per dag op cookieverzoeken, die je nu eenmaal krijgt. Ik klik dan meestal op "ik ga akkoord", vrees ik. Die cookies hebben een bepaalde geldigheidsduur. Als jij dus binnen tien minuten op dezelfde website terugkomt, hoe je niet opnieuw "ik ga akkoord" aan te klikken. Van die geldigheidsduur kun je dus gebruikmaken op het moment dat je zo'n bestand weet te krijgen, om in dit geval dus toegang te krijgen tot Outlook en daarmee die address list te krijgen. Dat is de manier waarop het gegaan is. Dat kan via phishing zijn gebeurd. Dat kan ook op andere manieren gebeurd zijn. Het kan dus zo zijn dat er geklikt is door een medewerker. Het kan ook op een andere manier gebeurd zijn. Dat onderzoek loopt nog. Daar kan ik nu verder nog niks over vertellen. Dat komt hopelijk als dat onderzoek is afgerond.

Minister Van Weel:

Omdat het vanaf het begin wel daarop lijkt. Nogmaals, omdat het onderzoek nog loopt, kan ik er nog niet conclusief over zijn, maar dat is de reden dat het is opgenomen in die beantwoording en die brief.

Minister Van Weel:

Dan waren er een aantal vragen over de statelijke actor. Er werd gezegd dat diensten hier al vaker op hebben gewezen. Hebben we daar dan niet eerder maatregelen op kunnen nemen? Hoe gaan we om met de attributie van deze statelijke actor? Het is absoluut bekend dat de AIVD en de MIVD maar ook andere organisaties al langer waarschuwen voor de dreiging die uitgaat van statelijke actoren wat betreft cyberaanvallen. Zoals ik zei, heb ik er ook in mijn tijd bij de NAVO vele van meegemaakt. Er zijn een toenemend aantal statelijke actoren, zou ik willen zeggen, bezig toegang te verkrijgen tot onze systemen. Dan gaat het niet alleen om politiesystemen of defensiesystemen, maar ook om vitale infrastructuur en toegang verkrijgen tot de telecomsector en tot drinkwatervoorzieningen. De voorbeelden zoals ze naar buiten zijn gekomen, zijn er te over. Dat dreigingsbeeld staat dus, en daar moeten we ons tot verhouden. Op basis van dat algemene dreigingsbeeld zijn er maatregelen genomen en monitoren de diensten delen van ons netwerk.

Uiteindelijk zijn het de diensten geweest die de politie hebben kunnen alerteren op deze hack. Het goede nieuws is dus dat die hack gedetecteerd is. Het slechte nieuws is dat er wel gehackt is en informatie is buitgemaakt. Zodra daar meer helderheid over was, is die informatie via het NCSC doorgegeven aan hun doelgroepen om te voorkomen dat anderen op dezelfde manier door deze actor zouden kunnen worden gehackt. In algemene zin, los van deze hack, gaat het erom dat je als verantwoordelijke voor cybersecurity het feit dat een organisatie gehackt wordt uit de schaamte haalt. Door heel snel te acteren en snel bekendheid te kunnen geven over hoe dat gebeurd is, help je namelijk te voorkomen dat anderen kunnen worden gehackt. Je maakt het een actor moeilijk door zo snel mogelijk zijn modus operandi te verspreiden en iedereen zich te laten wapenen. Ik denk dat we dat alleen maar meer moeten gaan doen naarmate de dreiging toeneemt.

Op dit moment loopt het strafrechtelijk onderzoek naar de dader nog. Hangende dat onderzoek zal er geen attributie worden gedaan. Dat onderzoek zal dus eerst worden voltooid, maar wij denken wel degelijk na over publieke attributie. We moeten alleen kijken — dat doen wij op een case-by-casebasis, ook in het geval van de Chinezenhack — wanneer dat opportuun is, wie we meenemen in deze attributie, wat het betekent voor de informatiepositie van de diensten et cetera. Dat wegen we allemaal mee in de afweging omtrent wanneer we ermee naar buiten gaan en op welke manier. Ik geloof in publieke attributie, omdat het niet alleen voor die landen — die weten wel wat ze gedaan hebben — maar ook voor onze eigen bevolkingen heel erg inzichtelijk maakt wat hier gebeurt en wie dat doet.

Minister Van Weel:

Dat is een vraag met een hoop lagen erin. Zonder al te technisch te willen worden, wil ik het volgende zeggen. De informatie waar nu toegang toe is verkregen, is de laagdrempeligste informatie die binnen de politieorganisatie beschikbaar is. Het betreft namelijk de Outlookinformatie waartoe iedereen die een e-mailadres van de politie heeft, uiteindelijk toegang heeft. Daar is de beveiligingsdrempel lager en zitten er minder lagen tussen dan als je daadwerkelijk in de politiedatabases zou willen komen. In die zin is het wel logisch dat als je dan een hack vindt, dat op deze plek gebeurt, omdat dat nu eenmaal de plek van de minste weerstand is. Desondanks is het ook daar opgemerkt. We hebben achteraf construerend dus kunnen zien welke data zijn verdwenen en waarheen. Dat laatste kan altijd met terugwerkende kracht, want je kunt gewoon je logs teruglezen, als dat niet te lang geleden is, om te kijken wat voor data eroverheen gegaan is. Op dat detecteren kan ik niet al te diep ingaan, maar daar zitten onze diensten wel bovenop.

Minister Van Weel:

Tegen mevrouw Mutluer zeg ik dus ook dat dit niet te maken had met patching, maar meer met de wijze van toegang verkrijgen. Daarom hebben we ook zo snel mogelijk daarna die informatie gedeeld met andere diensten, om te voorkomen dat anderen daar ook slachtoffer van zouden kunnen worden.

Geldt die kwetsbaarheid dan ook voor andere overheidsdiensten? Nou, ik hoop dus niet meer, niet van deze actor en niet op deze manier. In algemene zin zijn we, denk ik, allemaal kwetsbaar voor hacks. Er zijn een hoop dingen die we kunnen doen om dat makkelijker te maken. Patching is daar een van. Het is belangrijk dat organisaties dat gewoon meteen doen bij elke software-update. Een tweede ding dat helpt, is logging, dus back-ups maken van je systemen. We hebben het nu bijvoorbeeld wel kunnen zien. We hebben met honderd procent zekerheid kunnen zeggen: het lek is dicht. Maar er zijn ook hacks waarbij je niet weet hoe diep de hacker zit. Dan rest je uiteindelijk niets anders dan je hele systeem opnieuw opbouwen. Als je dan een back-up hebt van 24 uur geleden, dan kun je vrij snel je operatie hervatten. Heb je die niet en moet je een jaar terug, dan kun je je voorstellen dat het bij een organisatie als de politie of het OM enorme impact heeft. Dat is dus nog iets wat je kunt doen.

De heer Aardema noemde al de multifactor authentication. De politie heeft ook daarnaar gekeken en in een aantal gevallen de policy daarop aangescherpt, dus dat je wel multifactor authenticatie nodig hebt. Ik heb mij ook weleens laten bezoeken door hackers die gingen kijken of ze mijn passwords konden raden. Dat is in alle gevallen gelukt. Dus ook op dat vlak maak ik hier toch maar weer van de gelegenheid gebruik om, via u, voorzitter, tegen iedereen te zeggen: de naam van je kinderen, hun geboortejaren, de eerste letters van iedereen in de familie en je huwelijksdag; het is allemaal vrij eenvoudig te achterhalen, dus werk echt met goede passwords.

Minister Van Weel:

Dat is een hele heldere vraag. Deels kan ik daar antwoord op geven en deels doe ik dat niet, ook omdat de maatregelen die wij nemen, inzicht bieden voor diegenen die kwaad willen met die informatie. Dan heb ik het over wat wij er tegen hebben gedaan. Daarin wil ik hen natuurlijk niet wijzer maken. Ik noemde al de awarenessmaatregelen. We hebben mensen ervan bewust gemaakt dat ze juist op dit moment alert moeten zijn op e-mails van "collega's" van anderen, die mogelijk dus niet van collega's zijn. Daarbij is de boodschap dus ook: klik niet op links op het moment dat je twijfelt. Dat is in het algemeen een hele goede tip voor ons allemaal, maar die is nu natuurlijk des te belangrijker.

Ik vertelde al dat er gekeken is naar het opschonen van de Outlookinformatie. Er is dus echt bekeken welke informatie daarin moet zitten, welke informatie daar niet in moet zitten en hoe we ervoor kunnen zorgen dat daarmee het risico op een lek van bijvoorbeeld privé-informatie zo klein mogelijk is. Er zijn een aantal monitoringsmaatregelen ingesteld — daar ga ik hier niet al te diep op in — om vast te kunnen stellen wat er gebeurt op onze netwerken. Ik noemde al de tweefactorauthenticatie. Ik kan u ook zeggen dat deze maatregelen allemaal zijn genomen binnen de politieorganisatie, onder andere in consultatie met het NCSC. Er wordt op dit moment ook nog gevalideerd door een derde partij of we hiermee echt alle maatregelen hebben genomen die zij kunnen bedenken. Dus op die manier is de politieorganisatie hiermee omgegaan.

Minister Van Weel:

Voorzitter. Ik zit even te kijken welke vragen ik nog heb openstaan. De heer Six Dijkstra vroeg naar de coldcase-informatie. Hij vroeg of de AP daar nader onderzoek naar moet doen. Nogmaals, in dit geval is er geen toegang geweest tot politiedata, tot politiesystemen zelf. Dat geldt ook voor de data die gebruikt worden voor cold cases. Daar zit een poortwachtersfunctie op — dat heb ik ook in het vragenuur met uw Kamer gewisseld — die gewoon met menselijke interventie bepaalt wie toegang mag krijgen tot die data. Daarbij is een hack dus niet eens mogelijk. Daar zit gewoon een persoon tussen, die bepaalt of iemand een bepaalde navraag mag doen in die data. We weten dat de Autoriteit Persoonsgegevens zich al heeft uitgelaten over het bewaren van deze informatie. Dat gaat dus niet over de wijze waarop, maar over het bewaren an sich. We zijn inderdaad bezig met nadere wetgeving, die hopelijk snel naar de Raad van State gaat, om die lacune te dichten.

Voorzitter. Ik denk dat ik daarmee de meeste vragen heb beantwoord, maar ik zie er nog een paar openstaan.

Minister Van Weel:

Ja. Excuses dat ik die niet allemaal heb meegenomen in mijn eerste beantwoording. Dat krijg je als je je ambtenarenapparaat buitenspel zet en spontaan doorgaat.

De risico's. Laat ik beginnen met de NAVO-top, want daar is door een tweetal van u naar gevraagd. Wij zijn absoluut alert op wat wij kunnen gaan meemaken, niet alleen tijdens de NAVO-top, maar ook in de aanloop daarnaartoe. We weten dat er op dit moment al sprake is van hybride aanvallen en cyberaanvallen op alle NAVO-lidstaten. We hebben vorige week nog de kabelbreuk gehad tussen Duitsland en Finland, waarover we de conclusies nog te weten moeten komen. Maar het duidt wel op hybride aanvallen. Zo kan ik nog wel twintig voorbeelden noemen van het afgelopen jaar in Europese landen.

Het feit dat de NAVO-top naar Nederland komt, gaat ons meer in het vizier brengen, vermoedelijk voornamelijk bij Rusland. Daar moeten we dus op voorbereid zijn, niet alleen in de fysieke wereld, maar ook in het digitale domein. Daar bereiden we ons dus ook op voor. Wat dat betreft is deze hack dus ook een heel goede wake-upcall, zeg ik tegen degenen die dat noemden, om te zorgen dat we daar volop op voorbereid zijn. We nemen ook extra maatregelen in het licht van de NAVO-top, maar daar kan ik in dit gremium dan weer geen uitspraken over doen.

De risico's op gezichtsherkenning. Als u dat in algemene zin vraagt, denk ik dat dat een enorme uitdaging wordt voor de toekomst, niet alleen voor politieagenten. Het gaat grote impact hebben op velen van ons, het feit dat je met vrij eenvoudige software en grote scans van grote datasets mensen kunt matchen en daardoor een extra biometrische laag aanboort die ineens voor iedereen beschikbaar is. Het gaat ook dingen oplossen. Zoals met alle technologie zal het voor het goede worden gebruikt en voor het slechte. Dus we zullen cold cases oplossen op basis van gezichtsherkenningstechnologie. Mensen zullen lang verloren familieleden terugvinden door middel van deze technologie, omdat je door heel grote datasets met mensen heen kunt gaan. Maar we gaan ook krijgen dat mensen die niet gevonden willen worden, om goede redenen of omdat ze in een getuigenbeschermingsregeling zitten of zo, ook risico lopen dat ze door deze technologie ergens opduiken via een vakantiefoto van iemand. Datzelfde geldt voor agenten.

U kunt zich voorstellen dat alle eisen die nu worden gesteld aan biometrie en paspoorten al een uitdaging zijn voor inlichtingendiensten als het gaat om het proberen om mensen onder een andere identiteit te laten rondlopen. Dus de goede dingen die deze technologieën brengen, brengen ook een uitdaging voor het werk dat we doen. Ik denk dat dat ook zo zal zijn voor mensen die undercover werken. Dus we moeten er goed over nadenken hoe we dat mitigeren en welke wettelijke beperkingen we willen opleggen aan het gebruik van die technologieën. Dat geldt voor artificial intelligence — daarbij zijn we al een stap verder, denk ik, met de Europese AI Act — maar ook zeker voor gezichtsherkenning. Als het gaat om deze specifieke data, betreft het overwegend emailadressen en functiebenamingen. Maar wat betreft diegenen die een profielfoto erin hadden zitten: dat is fotomateriaal, dus in die zin zou je daar wat mee kunnen als het gaat om gezichtsherkenning.

Is er voldoende deskundigheid bij de politieorganisatie, vroeg mevrouw Helder. Ik denk het wel. Dat baseer ik op mijn ervaringen tussen het ondervinden en onderkennen van de hack en de maatregelen die er genomen zijn. Ik denk dat de grootste lessen die ik voor mezelf hieruit trek, gaan over de communicatie richting de medewerkers en hoe we dat doen. Dat kan ik de deskundigen niet aanrekenen. Ik zou niet willen zeggen dat dat überhaupt niet in hun competentieprofiel hoort, maar het is uiteindelijk natuurlijk aan de korpsleiding en aan mij om die communicatie op een goede manier te doen. Maar als ik kijk naar de mitigerende maatregelen die zijn genomen na het ondervinden van de hack — dat zie ik dan maar als de deskundigen die daar zitten — dan denk ik dat dat op een goede manier is gebeurd. Het geeft mij in ieder geval vertrouwen.

Minister Van Weel:

Met het gevaar dat ik ernaast zit omdat ik niet de waarschuwingen heb ontvangen die u heeft ontvangen: ik denk dat met de openstaande velden werd gedoeld op het feit dat je zelf inhoudelijk je visitekaartje kon aanpassen, dus dat dat de openstaande velden waren. Dat heeft ertoe geleid dat mensen privé-informatie hebben toegevoegd, waarvan we nu hebben gezegd: dat moet je dus niet willen. Dat is dus opgeschort. Dat is niet de oorzaak van de hack geweest. Die is niet gekomen doordat die informatie kon worden toegevoegd. Er is echt via een andere weg toegang verkregen tot het systeem, waarmee uiteindelijk die informatie is buitgemaakt. Ik denk dat het zo zit, maar als het anders zit, hoor ik het graag. Dan gaan we erachteraan.

Minister Van Weel:

Nee. Dat strookt niet met mijn beeld over hoe de hack is ontstaan.

Minister Van Weel:

Dan de vraag naar de inspectie, justitiële partners en de stand van de ICT. Die discussie moeten we zeker voeren. Die moeten we overigens rijksbreed voeren. Daar hebben we ook het overleg Digitale Zaken over, onder andere. Daar moeten we periodiek op terugkomen, wat mij betreft ook in de commissiedebatten Politie. Maar het staat voor mij wel los van de cybersecurityhoek, die te maken heeft met hoe deze hack heeft kunnen ontstaan.

In algemene zin — dan beantwoord ik ook meteen de vraag van mevrouw Michon — gaan we een enorme uitdaging hebben om als overheid up-to-date te blijven met alle snelle ontwikkelingen die er zijn in IT-land. Daar voeg ik dan eufemistisch aan toe: de overheid heeft niet de beste trackrecord als het gaat om heel grote IT-projecten. Dus dat is een enorme uitdaging. Ik denk dat er wel verbeteringen zijn doorgevoerd, ook rijksbreed, om meer grip te krijgen op aanbestedingen en hoe je voorkomt dat dit soort systemen eindeloos uitlopen in de tijd en tegen de tijd dat ze ingevoerd worden alweer achterhaald zijn. Op het moment dat we ze hebben, zijn ze zo specialistisch dat we ons een breuk betalen om ze allemaal up-to-date te houden, terwijl je eigenlijk ziet dat de buitenwereld veel sneller gaat qua informatie. Dat zijn allemaal lessen die we moeten leren. Die worden geleerd. Maar het strekt wel breder dan dit debat.

Als het gaat om innovatie, dan heb ik daar persoonlijk een visie op. Ook in het kader van de intensiveringen, bijvoorbeeld de 100 miljoen, hebben we daar geld voor vrijgemaakt om te kijken hoe de politie op een betere manier kan innoveren. Dat gaat breder dan IT, zeg ik erbij, maar het valt er wel onder. Wat je eigenlijk ziet in de buitenwereld, is dat commerciële technologie veel sneller ontwikkeld wordt dan wat welke overheid dan ook maar doet. Ik noem als voorbeeld SpaceX, dat natuurlijk NASA en gevestigde bedrijven op een ongelofelijke manier van de troon heeft gestoten, of Starlink, dat in één keer een communicatiemogelijkheid heeft geboden die van overheidswege gewoon niet beschikbaar was. We moeten dus vertrouwen op de innovatieve kracht die er is en de massa van de markt die uiteindelijk ervoor zorgt dat dit soort enorme projecten ook van de grond kunnen komen.

Dan moeten we goed kijken naar onszelf als overheid en naar hoe wij onze behoeftestellingsprocessen hebben ingericht, namelijk heel erg lang, hoe we onze aanbestedingsprocedures hebben ingericht, namelijk heel gecompliceerd, en naar hoe die twee werelden zich tot elkaar verhouden. Als we dat niet doen, dan lopen we het risico dat we met de technologie van gister aanlopen achter criminelen die met hun enorm diepe zakken met de technologie van morgen aan de haal gaan. Dat is een risico. Ik heb hoop in sommige opzichten. Ik denk dat het kraken van EncroChat en andere diensten een goed voorbeeld is van hoe we de criminelen dicht op de hielen zitten. Maar we hebben ook al uitbraakpogingen met drones gezien. We gaan te maken krijgen met gezichtsherkenning als uitdaging. Als de kwantumcomputer er komt, gaan we een probleem krijgen met onze gecodeerde communicatiesystemen. Dus er zijn ontzettend veel uitdagingen, waarbij ik geloof dat de beste technologie op de markt aanwezig is. De uitdaging wordt: hoe maken we de politie kundig om dat ook aan te kunnen pakken?

Dan de vraag van de heer Six Dijkstra over de cold case. Daar kom ik op terug, want die was heel technisch, namelijk of er ook fysiek een scheiding is tussen die specifieke informatie en de rest van de systemen. Die vraag beantwoord ik separaat. Ik zou niet durven speculeren.

Mevrouw Van der Werf (D66):

Voorzitter, dank u wel. Ik ben een optimistisch mens, maar ik ben hier echt niet gerust op, in ieder geval niet zo gerust als de minister lijkt te zijn. Dat komt omdat hij toch een aantal voorbeelden aandraagt die mij niet de kern van de zaak lijken. Kijk, ik begrijp dat mensen op Facebook vindbaar zijn, dat je als agent ook op straat of op andere plekken het risico loopt dat iemand je beroep kent en dat de kans klein is dat er iemand voor hun deur staat. Maar daar gaat het nu toch niet om? Laten we ook even eerlijk zijn. Het lijkt mij toch dat we liever niet hadden gehad dat er nu 62.000 namen in handen zijn van een statelijke actor die het de moeite waard vond om die van ons te stelen. Dat brengt risico's met zich mee.

Ik zou de minister dus willen vragen om toch nog eens in te gaan op wat hij nu gaat doen voor met name de mensen waarvoor het buitengewoon onaantrekkelijk is dat hun naam nu bekend is, of dat nou is omdat ze bijvoorbeeld in de toekomst bij een undercoveroperatie zouden willen meedoen of omdat ze al jaren bij de politie werken en erg hun best hebben gedaan om dat in de anonimiteit te doen. De minister gaf net aan dat dit op het gebied van gezichtsherkenning een probleem kan zijn. Ik zou willen weten wat we gaan doen op het moment dat er wél aanwijzingen zijn dat die datasets op meerdere plekken in handen is en dat die gekoppeld gaan worden. Wat gaat de minister dan ondernemen? En hoe gaan wij daarover als Kamer worden geïnformeerd?

De heer Aardema (PVV):

Dank u wel, voorzitter. Ik ga mijn hele inleidende tekst niet herhalen, want dat is al veelvuldig gedaan, ook door anderen, denk ik. De minister heeft duidelijk gezegd dat de communicatie beter kon en dat dat ook gaat gebeuren in de toekomst, mocht het helaas nog een keer gebeuren; ik hoop niet dat dat zo is. De minister heeft duidelijke antwoorden gegeven op mijn prangende vragen. Het is ook duidelijk welke maatregelen zijn genomen, ondanks dat hij die niet allemaal kenbaar kan maken om begrijpelijke reden.

Coldcasezaken zijn per definitie niet digitaal, omdat het vaak gaat om meterslange ordners en verhuisdozen vol met bewijsstukken. Veel rechercheurs zouden willen dat ze digitaal waren, denk ik, want dan is makkelijker om te zoeken in zo'n berg. Ik heb van de minister begrepen dat daar geen doorstap op is geweest en ook niet bij andere bestanden die kunnen leiden naar echte privégegevens van politiemedewerkers. Wat dat betreft heeft mij dat dus wel gerustgesteld, maar het blijft natuurlijk altijd een hele slechte zaak dat datgene wat nu gebeurd is, is gebeurd. Ik hoop dat het niet weer gebeurt.

Dank u wel.

Mevrouw Helder (BBB):

Dank u wel, voorzitter. Dank aan de minister voor de duidelijke antwoorden. Ik denk dat niemand van mijn collega's geheel gerustgesteld zal zijn; ik ook niet. De minister verwijst terecht naar EncroChat, Exclu en al die cryptocommunicatiediensten die door medewerkers van de Landelijke Eenheid en soms door de recherche in Amsterdam zijn gekraakt. Hulde voor hun werk. Dat juist hun gegevens op straat komen te liggen, is natuurlijk heel pijnlijk. Die deskundigheid is er dus wel, maar ik had gevraagd naar de deskundigheid van de eindverantwoordelijken op de betreffende plek.

Op dat punt ben ik niet blij met de antwoorden van de minister. Hij zegt: die informatie heb ik niet. Dat kan. Misschien klopt de informatie die ik heb gekregen niet, maar ik kan dit geen open einde laten zijn. Ik ga geen vertrouwelijke briefing geven — dat klinkt natuurlijk heel raar — maar ik ben wel bereid om de minister wat nader hierover te informeren. Ik zal ook bij diegene navragen of dat akkoord is, want dit kan ik niet laten lopen. De minister kan daar geen antwoord op geven.

Ik ben bereid om dan maar als tussenpersoon te fungeren. Ik ben het namelijk met collega Aardema eens, en ik denk alle collega's met mij, dat dit in ieder geval niet meer mag gebeuren. Maar dit open einde heb ik nog steeds. Die deskundigheid is er naar mijn mening nog steeds niet en dus kan het nog steeds gebeuren. De minister zegt dat hij vertrouwen heeft in de deskundigheid gebaseerd op de onderkenning van de hack, maar ik wil toch echt aan de voorkant terechtkomen.

Dank u wel.

Mevrouw Mutluer (GroenLinks-PvdA):

Dank, voorzitter. De schrik zit er best wel goed in. Het gaat namelijk om ruim 62.000 agenten die voor onze veiligheid staan. Als zij kwetsbaar zijn, dan is de samenleving kwetsbaar. Als er een dergelijke hack plaatsvindt, dan verwacht ik dat de communicatie er ligt en dat er een draaiboek ligt. Dan verwacht ik dat er protocollen zijn waar snel op kan worden teruggevallen, waarin meerdere scenario's zijn uitgewerkt en waarmee het allemaal goed gaat, of in ieder geval beter gaat dan nu. Ik wil graag die toezegging hebben, want dat lijkt mij de meest logische stap binnen zo'n grote organisatie.

Ik ben ook ongerust. Ik maak mij zorgen om de toekomst, om waar en hoe die gehackte informatie straks gaat opduiken en om wat dit eventueel zou kunnen betekenen voor de veiligheid van de agenten. Ik hoor de minister duidelijk aangeven: we gaan echt wel een aantal maatregelen nemen. Ik ga ervan uit dat de minister periodieke overleggen heeft met de politieorganisatie. Mijn verzoek is dan ook dat deze hack een vast onderwerp wordt bij die overleggen. Mijn verzoek is dat de maatregelen om de negatieve effecten en risico's te beperken constant worden gemonitord, dat er gekeken wordt wanneer moet worden bijgestuurd en dat de monitoring zolang die risico's bestaan niet wordt afgeschaald.

Ook het hackproof maken van de ICT bij de politie, het OM en justitie staat bij mij nog hoog op de agenda. Daarom denk ik dat ik zelf nog met een tweeminutendebat zou willen komen, voor zover dat nog niet is aangevraagd, zodat we daar ook wat concretere voorstellen voor kunnen indienen.

De heer Six Dijkstra (NSC):

Dank, voorzitter. Ik dank ook de minister voor zijn beantwoording. Tegelijkertijd deel ik ook de onrust die veel van mijn collega's al benoemd hebben. Als het gaat om hacks, moeten we natuurlijk altijd voorbereid en waakzaam zijn. Maar we moeten het ook nooit normaal gaan vinden, zeker niet als het zo'n impact op mensenlevens heeft. Het is goed dat deze impact onderkend is, wilde ik zeggen.

Ik hoor de minister zeggen dat dat ook via een onderkenning vanuit de diensten was. Wat dat betreft werkt het systeem. Daar ben ik al heel blij om, want we zien natuurlijk niet wat we niet zien, en als we meer dingen zien, kan dat ook betekenen dat we beter zicht krijgen. Het is wat dat betreft goed dat we daar, waar mogelijk, openlijk over spreken en dat we uit de taboesfeer komen als het gaat om ingrijpende hackoperaties. Ik hoop dan ook dat we als Kamer worden meegenomen wanneer verdere openbaarwording mogelijk is, zowel als het gaat om de modus operandi als de attributie van de actor en de verdere gevolgen van zowel specifiek deze hacks als soortgelijke hacks.

Dank u wel.

De heer Van Nispen (SP):

Dank u wel, voorzitter. Ik begin toch met een korte opmerking over de eerste communicatie. Ik ben het namelijk wel een beetje eens met onder andere de kritische vraag van mevrouw Michon-Derkzen. Een draaiboek voor wat je doet als zoiets zich voordoet, had eigenlijk al klaar moeten liggen. Want nu wordt gezegd: dat zouden we de volgende keer misschien beter doen door wel direct een mail te sturen. Ik zou toch denken dat zoiets al klaar had kunnen of moeten liggen. Misschien is dit iets uit de categorie "achteraf praten is altijd makkelijk", maar hiervan denk ik dat dat toch wel gerechtvaardigd is.

Vervolgens blijf ik nog wel zitten met de vraag wat er nou echt wordt gedaan om dit in de toekomst te voorkomen. Dat is natuurlijk ook een verschrikkelijk moeilijke vraag; dat snap ik. Ik geloof niet zozeer dat ik deze minister moet aanmoedigen om voldoende aandacht te hebben voor cyberveiligheid. Die urgentie zal er echt zijn. Toch is mij nog niet geheel duidelijk welke echt concrete lessen hier nou van zijn geleerd en of er inderdaad voldoende in wordt geïnvesteerd. Ik weet dat er meer in wordt geïnvesteerd, maar worden dit soort hacks daar voortaan echt mee voorkomen? Hoe wordt voorkomen dat dit bij de politie of elders nog een keer zo kan gebeuren? Misschien is dat ook niet helemaal uit te sluiten — daar moet de minister dan ook eerlijk over zijn — maar ik ben toch benieuwd wat hij hierop kan antwoorden.

Mevrouw Michon-Derkzen (VVD):

Voorzitter. Ik denk dat de korpsleiding van de politie ontzettend blij mag zijn met deze minister, die heel veel verstand heeft van cyberaanvallen en van ICT. Hij legt hier dingen uit en gaat op onze vragen in op een manier die heel vertrouwenwekkend is. Tegelijkertijd hoop ik dat datzelfde kennis- en expertiseniveau ook bij de politie aanwezig is, tot en met de korpsleiding van de politie.

Op mijn vragen over hoe een draaiboek eruitziet als zoiets gebeurt en dat dat er niet lijkt te liggen, en over hoe we weten wat er met die data is gebeurd, krijgen we als antwoord: dat houden we in de gaten. Maar ik denk dus dat cyberveiligheid hét topic van de aankomende jaren is. Het wordt alleen maar erger. De basis van de ICT is dus eigenlijk nog niet op orde. Ik begrijp de ratio in de antwoorden van de minister, maar het hele pakket stemt wel zorgelijk. Ik denk dat we het hier met elkaar over moeten blijven hebben in commissieverband. Ik zou de minister willen vragen of hij ons kan informeren met een soort ICT-agenda van de politie. We hoeven niet elk systeem mee te ontwikkelen, maar we willen wel zicht houden op waar de ICT-uitdagingen zitten en of de budgetten kloppen, zoals ik ook in eerste termijn vroeg. Zo willen we vinger aan de pols houden bij wat er nodig is voor ICT bij de politie. Dat is essentieel en tegelijkertijd moet het voor mensen die daar werken ook veilig zijn, zoals we aan de actualiteit van dit debat zien.

Dank u wel, voorzitter.

Minister Van Weel:

Dank, voorzitter, en wederom dank voor de inbreng in tweede termijn. Laat ik nóg een keer zeggen dat het echt niet mijn bedoeling is om zaken te bagatelliseren. Ik had gewild dat ik hier niet had gezeten en dat deze hack niet had plaatsgevonden. Dat was mij veel liever geweest, zeg ik ook tegen alle 62.000 politieagenten. Het enige wat ik hier heb willen doen, is niet onnodig ongerustheid zaaien onder die 62.000 politieagenten. Dat is waarom ik de duiding heb gegeven zoals ik die in de brief heb gegeven. Dat neemt niet weg dat de risico's niet nul zijn, ook dat heb ik hier gezegd. Ik acht ze zeer gering, zeker zolang de data niet elders opduiken, maar ze zijn niet nul. Daarom zullen we dat blijven monitoren. Zoals ik al eerder gezegd heb, zal dat ook gebeuren over mijn graf heen. Afhankelijk van hoe de data opduiken en in welke vorm, zullen we ook mitigerende maatregelen moeten treffen.

Belemmert de informatie die daarin staat mensen om in de toekomst onder dekmantel te gaan werken? Ik denk van niet, want op dat moment verdwijnen ze uit deze database. Dat gebeurt met mensen die we onder dekmantel brengen. Dan zijn ze dus niet meer vindbaar. Wat hun oude identiteit ook was, zonder enige aanwijzing dat iemand nu onder dekmantel werkt, zou deze gelekte informatie voor iemand die onder dekmantel gaat werken, geen aanvullend risico moeten opleveren. Het is sowieso risicovol werk, maar het zou dus geen aanvúllend risico moeten opleveren. Dat zeg ik in reactie op mevrouw Van der Werf.

Minister Van Weel:

We hebben hier te maken met twee dingen. Een: wat zijn de klinische risico's en feiten die we zien? En twee: wat betekent de wetenschap dat deze informatie weg is en dat jouw naam en functie daarin voorkomt, voor mensen? Ik heb daar alle begrip voor. Daarom hebben we dat meldpunt ingesteld. Dat hadden we inderdaad eerder moeten doen, zeg ik tegen iedereen die dat zei. Het komt ook zeker in de draaiboeken voor de toekomst.

Binnen de politie is de openheid om het gesprek aan te gaan met degenen die ongerust zijn er nog steeds. Ik hoorde vorige week voorbeelden van mensen die niet op vakantie waren gegaan vanwege deze hack. Daar moeten we het over kunnen blijven hebben. Ik wil de gevoelens van onveiligheid die mensen hebben helemaal niet wegnemen. We staan ervoor open om daar het gesprek over aan te gaan. Dat staat los van de duiding die ik heb geprobeerd te geven over wat ik denk dat er nu met deze informatie zou kunnen gebeuren. Ik hoop dat die twee naast elkaar kunnen bestaan. Ik hoop dat ik daarmee medewerkers de beste informatie geef die ik kan bieden.

Minister Van Weel:

Dat klopt. Daarom bestaat mijn weging ook uit twee factoren. Eén: waar is die informatie en waar weten we of die opduikt? Nou, daar doen we wat we kunnen. 100% zekerheid hebben we daar niet. De andere kant is: als je die informatie hebt, is de vraag welke informatie je dan hebt van mensen, en wat voor risico je op basis daarvan dan loopt. Als we hadden gedacht dat mensen een heel groot risico lopen op basis van hun e-mailadres en hun functienaam, dan had het natuurlijk niet gewoon in Outlook gestaan. Dan was die informatie beter afgeschermd geweest en dan had je niet 62.000 medewerkers gehad die daar toegang toe hebben. Dus ik probeer een weging te maken. Als die informatie in verkeerde handen belandt, welk risico lopen mensen dan? Dat risico is niet nul. En wat is het risico dat die informatie ergens anders belandt? Dat risico is ook niet nul. Dus die twee balanceer ik. In beide zit een risico, en dat heb ik geprobeerd te duiden.

Minister Van Weel:

Mevrouw Helder had het over de informatievoorziening. Ik herhaal nogmaals dat ik erg open sta voor die informatie, want dan kan ik die ook nalopen. In welke vorm u dat wilt doen, laat ik aan u, maar dan neem ik dat zeer serieus.

Mevrouw Mutluer vroeg om draaiboeken. Ook de heer Van Nispen vroeg daarom. Ja, daar kijken we naar. We kijken zowel naar technische lessen die we hieruit kunnen trekken als naar lessen voor de mensen. Kunnen we mensen dus nog beter opleiden en voorbereiden hierop, om te voorkomen dat dit gebeurt? Ten derde kijken we natuurlijk ook naar de organisatie: hebben we de goede organisatie staan, hebben we de goede verbanden en mechanismen staan? Voor mij was dit ook weer het eerste event van deze soort in deze baan, dus ook ik heb voor mezelf geleerd. Dus dit gaan we allemaal neerleggen in draaiboeken, zodat we een volgende keer beter zijn voorbereid, niet alleen technisch maar ook op de andere aspecten.

De heer Six Dijkstra vroeg of we nog terugkomen met meer informatie, dus of we nog meer te horen krijgen. Ja, op een aantal momenten. Het eerste moment is als er informatie komt die we nu niet kennen en die aanvullend is op alles wat ik u heb gemeld. Dan kom ik bij u terug, zoals ik de afgelopen keren totdat het beeld stabiel werd, ook elke keer naar u ben teruggekomen. Dus daarvan kunt u verwachten dat dat onverwijld gebeurt. Als we overgaan tot attributie, dan is dat natuurlijk ook een moment waarop we met uw Kamer communiceren. Datzelfde geldt, vermoed ik, voor het OM op het moment dat zij het strafrechtelijk onderzoek hebben afgerond of in een volgende fase willen brengen. Dan vermoed ik dat ...

We hebben een hack!

Minister Van Weel:

Een fysieke hack. Oké, dan ga ik verder. Dus er zullen nog momenten zijn dat we hierover komen te spreken. Daarbij zeg ik ook: op het moment dat wij zouden zien dat er iets gebeurt met die dataset, dan is dat ook een moment voor communicatie. Een en ander is natuurlijk afhankelijk van de wijze waarop dat gebeurt en of het dan niet schaadt op het moment dat we daar ruchtbaarheid aan zouden geven. Ik denk dus niet dat we voor het laatst met elkaar gesproken hebben hierover.

Dan de IT-agenda in bredere zin, zeg ik zowel tegen mevrouw Mutluer als tegen mevrouw Michon. Ik wil wel kijken of we in het volgende halfjaarbericht — daarmee bedoel ik niet het halfjaarbericht dat u over een paar dagen krijgt, maar het bericht dat voor het zomerreces uw kant op gaat — uitgebreider kunnen stilstaan bij de stand van de IT bij de politieorganisatie. Ik denk ook dat dat nuttig kan zijn voor het debat dat we met uw Kamer over die berichten hebben.

Dat waren volgens mij de antwoorden, voorzitter.

Minister Van Weel:

Voor zover de veiligheid dat toelaat.

Minister Van Weel:

Dat is het enige voorbehoud dat ik wil maken.

Minister Van Weel:

Dat kan op korte termijn. We proberen dat zelfs al mee te nemen in het halfjaarbericht. Dat moet niet moeilijk zijn.