Antwoorden op kamervragen inzake Wesselius (Limewire) en het rapport
inspectie OOV over informatiebeveiliging
Antwoorden op kamervragen inzake Wesselius (Limewire) en het rapport
inspectie OOV over informatiebeveiliging
6 juli 2006
Antwoorden op kamervragen van het lid Externe link Gerkens (SP) over
Wesselius (lekken van informatie via Limewire) en het rapport
inspectie OOV over informatiebeveiliging. (ingezonden op 16 mei 2006).
---
1. Vraag
Wat is uw reactie op het bericht dat vertrouwelijke informatie van de
heer Wesselius via het programma Limewire is uitgelekt? 1)2)
1. Antwoord
In tegenstelling tot wat in de media en op internet wordt gesuggereerd
is mr Wesselius geen Officier van Justitie die valt onder de
verantwoordelijkheid van het Nederlandse OM en de Nederlandse minister
van Justitie; evenmin is er sprake van detachering. Mr Wesselius is in
dienst van het Openbaar Ministerie van de Nederlandse Antillen. Ik heb
vernomen dat het Antilliaanse OM onderzoek doet naar de gang van zaken
en ik zal de Antilliaanse minister van Justitie uw vragen overleggen
en hem verzoeken u desgewenst te informeren over de bevindingen uit
het onderzoek.
2. Vraag
Welke ondersteuning ontvangen de Nederlandse Antillen bij op het
omgaan met digitale vertrouwelijke informatie? Geeft u aan
gedetacheerden van overheidsdiensten de richtlijnen mee die in
Nederland gelden? Zo neen, waarom niet?
2. Antwoord
In algemene zin geldt dat Nederland met het samenwerkingsprogramma
Bestuurlijke Ontwikkeling bijdraagt aan de versterking van het
openbaar bestuur in de Nederlandse Antillen. Eén van de prioriteiten
binnen dit programma is de uitvoering van het Nederlands-Antilliaanse
integriteitsbeleid, waar omgaan met vertrouwelijke informatie
onderdeel van uitmaakt.
Medewerkers van Nederlandse overheidsdiensten die in Nederlands-
Antilliaanse dienst treden, krijgen geen richtlijnen mee die in
Nederland gelden. Zij voeren hun taken uit in opdracht en onder
verantwoordelijkheid van de Nederlands-Antilliaanse overheid.
3. Vraag
Wat is uw mening over het onderzoek van de inspectie Openbare Orde en
Veiligheid (OOV) waarin wordt geconcludeerd dat veel politiekorpsen of
geen uitgangspunten hebben voor informatiebeveiliging of deze niet
naleven? In hoeverre vindt u dit onderzoek representatief voor de
informatiebeveiliging van overheidsdiensten?
3. Antwoord
Ik heb eerder dit jaar naar aanleiding van de diefstal van een laptop
en een digitale agenda in de regio Rotterdam-Rijnmond laten bezien of
de regels over informatiebeveiliging bij de politie afdoende zijn. Ik
heb toen geconstateerd dat dit wel degelijk het geval is, maar dat
niet iedereen zich aan de regels houdt. De conclusies van de Inspectie
Openbare Orde en Veiligheid zijn daarom niet onverwacht. Voor de
politie is de Regeling Informatiebeveiliging Politie van kracht en ter
uitvoering daarvan een stelsel van normen en maatregelen voor
informatiebeveiliging uitgewerkt. Dit stelsel omvat onder meer het
Basisbeveiligingsniveau Nederlandse politie (BBNP) en de Normstelling
Interceptiefaciliteiten. Voor de Rijksdienst is het Voorschrift
Informatiebeveiliging Rijksdienst van kracht. Onderzoek naar
informatiebeveiliging bij de politie kan om die reden niet
representatief zijn voor bij de Rijksdienst.
4. Vraag
Wat zijn de richtlijnen voor het bewaren van vertrouwelijke informatie
op privécomputers? Hoe worden deze richtlijnen bekend gemaakt?
5. Vraag
Is het binnen deze richtlijnen mogelijk dat de privé computer ook
gebruikt wordt door anderen, zoals familie of vrienden? Zo neen, hoe
controleert u dit? Zo ja gaat u dit aanpassen in de richtlijnen?
4 en 5. Antwoord
Binnen de Rijksoverheid is het Voorschrift Informatiebeveiliging
Rijksdienst van kracht. Voor bijzondere informatie is in 2004 is het
"Voorschrift informatiebeveiliging rijksdienst - bijzondere informatie
(Vir-bi)" in werking getreden, gepubliceerd in de Staatscourant
(Stcrt. 2004, 47). Het Vir-bi schrijft maatregelen voor die moeten
voorkomen dat onbevoegden kennis nemen van bijzondere informatie,
zoals staatsgeheimen. De maatregelen hebben onder meer betrekking op
personen die uit hoofde van hun functie toegang moeten hebben tot
bijzondere informatie en op de opslag en het transport van bijzondere
informatie. Het Vir-bi stelt extra beveiligingseisen aan het gebruik
van moderne informatie- en communicatietechnologie bij de behandeling
van bijzondere informatie. Het voorschrift bevat eisen met betrekking
tot de opslag, de verwerking en het transport van bijzondere
informatie in geautomatiseerde informatiesystemen.
Thuiswerken met gerubriceerde informatie vanaf niveau STG-zeer geheim
is niet toegestaan. Gerubriceerde informatie vanaf het niveau STG-zeer
geheim mag niet mee naar huis genomen worden. Dat mag op geen enkele
manier: niet op papier, niet op laptop of niet op USB-stick.
Informatie van het niveau geheim en confidentieel mag mee naar huis
genomen worden, maar alleen nadat daar door het bevoegd gezag
toestemming voor is gegeven. In dat geval mag dit alleen op
hulpmiddelen die door de werkgever zijn verstrekt die goed beveiligd
zijn. Deze informatie mag niet op privé computers worden geplaatst.
De departementen zijn zelf verantwoordelijk voor het uitdragen van de
regels ter zake, en voor de beveiliging van bijzondere informatie.
Daarbij dienen zij gebruik te maken van door de minister van
Binnenlandse Zaken en Koninkrijksrelaties goedgekeurde
beveiligingsproducten.
6. Vraag
Bent u van plan om intensief scholing en voorlichting te geven over
het omgaan met digitale vertrouwelijke informatie? Zo neen, waarom
niet?
6. Antwoord
Bewustzijn en naleving zijn van groot belang. Omdat alle departementen
hiermee te maken hebben, beziet het ministerie van Binnenlandse Zaken
en Koninkrijksrelaties of het mogelijk is om rijksbrede instrumenten
hiervoor in zetten. Hierbij valt te denken aan instrumenten die ook
worden gebruikt om het bewustzijn rond het thema integriteit te
bevorderen, aangezien er raakvlakken zijn met het
informatiebeveiligingsthema.
7. Vraag
Bent u van mening dat steekproefgewijs gecontroleerd zou moeten worden
of men zich inderdaad aan de richtlijnen houdt? Zo neen, waarom niet?
7. Antwoord
Zoals hierboven is opgemerkt is naleving van groot belang. Controle
via steekproeven is één van de instrumenten die in het kader van
naleving kan worden ingezet. Het Vir-bi schrijft voor dat ik
tweejaarlijks rapporteer aan de Ministerraad over de stand van zaken
met betrekking tot de beveiliging van bijzondere informatie binnen de
rijksdienst. Voor de eerste keer zal ik dat doen in het voorjaar 2007.
In lijn daarmee zal ik de departementen verzoeken zich gedegen voor te
bereiden op en hun bijdrage te leveren aan deze rapportage. Ik ben
bereid de conclusies hiervan, nadat deze in de Ministerraad zijn
behandeld, met de Kamer te delen.
8. Vraag
Gaat u de beveiliging van informatie bij justitie en politie op orde
te brengen? Zo ja op welke termijn? Zo neen, waarom niet?
8. Antwoord
Ik heb eerder dit jaar de voorzitter van het Korpsbeheerdersberaad en
de Raad van Hoofdcommissarissen gevraagd om in overleg met de
korpsbeheerders (die als eerste verantwoordelijk zijn voor de
informatiebeveiliging binnen hun korps) en de korpschefs voortvarend
de noodzakelijke maatregelen in het kader van informatiebeveiliging te
treffen. Ook heb ik hen gevraagd alle mensen bij de korpsen op het
hart te drukken hoe belangrijk het is de regels rond
informatiebeveiliging strikt na te leven. Ik ga er hierbij van uit dat
zij zich ook richten op de personele consequenties die het niet
naleven van bestaande regels kan hebben.
Naar aanleiding van een eerder incident heeft mijn ambtgenoot van
Justitie u bij brief van 1 november 2004 (kamerstukken II, 2004-2005,
29 800 VI, nr. 37) op de hoogte gesteld van de maatregelen die hij
heeft genomen. In aanvulling op deze brief wordt opgemerkt dat het
bewustwordingsproces van de naleving van het hiervoor in antwoord op
vraag 5 genoemde Vir-bi bij de verschillende dienstonderdelen een
continu proces is.
9. Vraag
Gaat u controleren wat de stand van zaken is bij andere
overheidsdiensten? Zo ja op welke termijn? Zo neen, waarom niet?
9. Antwoord
Binnen de Rijksoverheid worden vanuit het Voorschrift
Informatiebeveiliging Rijksdienst richtlijnen gegeven voor de
periodieke controle van informatiebeveiligingsbeleid en
informa-tiebeveiligingsmaatregelen bij de Rijksdienst. Daarnaast
besteedt de Algemene Rekenkamer in haar jaarlijkse controles
structurele aandacht aan het onderwerp informatiebeveiliging.
Het Vir-bi schrijft voor dat de Minister van BZK tweejaarlijks
rapporteert aan de Ministerraad over de stand van zaken met betrekking
tot de beveiliging van bijzondere informatie binnen de rijksdienst.
Voor de eerste keer zal ik dat doen in het voorjaar 2007.
1) Geen Stijl.nl
2) Externe link
http://www.webwereld.nl/articles/41107/informatiebeveiliging-nederland
se-politie-deugt-niet.html
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties