Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Antwoorden op kamervragen inzake Wesselius (Limewire) en het rapport inspectie OOV over informatiebeveiliging

Antwoorden op kamervragen inzake Wesselius (Limewire) en het rapport inspectie OOV over informatiebeveiliging

6 juli 2006

Antwoorden op kamervragen van het lid Externe link Gerkens (SP) over Wesselius (lekken van informatie via Limewire) en het rapport inspectie OOV over informatiebeveiliging. (ingezonden op 16 mei 2006).
---


1. Vraag Wat is uw reactie op het bericht dat vertrouwelijke informatie van de heer Wesselius via het programma Limewire is uitgelekt? 1)2)


1. Antwoord In tegenstelling tot wat in de media en op internet wordt gesuggereerd is mr Wesselius geen Officier van Justitie die valt onder de verantwoordelijkheid van het Nederlandse OM en de Nederlandse minister van Justitie; evenmin is er sprake van detachering. Mr Wesselius is in dienst van het Openbaar Ministerie van de Nederlandse Antillen. Ik heb vernomen dat het Antilliaanse OM onderzoek doet naar de gang van zaken en ik zal de Antilliaanse minister van Justitie uw vragen overleggen en hem verzoeken u desgewenst te informeren over de bevindingen uit het onderzoek.


2. Vraag Welke ondersteuning ontvangen de Nederlandse Antillen bij op het omgaan met digitale vertrouwelijke informatie? Geeft u aan gedetacheerden van overheidsdiensten de richtlijnen mee die in Nederland gelden? Zo neen, waarom niet?


2. Antwoord In algemene zin geldt dat Nederland met het samenwerkingsprogramma Bestuurlijke Ontwikkeling bijdraagt aan de versterking van het openbaar bestuur in de Nederlandse Antillen. Eén van de prioriteiten binnen dit programma is de uitvoering van het Nederlands-Antilliaanse integriteitsbeleid, waar omgaan met vertrouwelijke informatie onderdeel van uitmaakt.

Medewerkers van Nederlandse overheidsdiensten die in Nederlands- Antilliaanse dienst treden, krijgen geen richtlijnen mee die in Nederland gelden. Zij voeren hun taken uit in opdracht en onder verantwoordelijkheid van de Nederlands-Antilliaanse overheid.


3. Vraag Wat is uw mening over het onderzoek van de inspectie Openbare Orde en Veiligheid (OOV) waarin wordt geconcludeerd dat veel politiekorpsen of geen uitgangspunten hebben voor informatiebeveiliging of deze niet naleven? In hoeverre vindt u dit onderzoek representatief voor de informatiebeveiliging van overheidsdiensten?

3. Antwoord
Ik heb eerder dit jaar naar aanleiding van de diefstal van een laptop en een digitale agenda in de regio Rotterdam-Rijnmond laten bezien of de regels over informatiebeveiliging bij de politie afdoende zijn. Ik heb toen geconstateerd dat dit wel degelijk het geval is, maar dat niet iedereen zich aan de regels houdt. De conclusies van de Inspectie Openbare Orde en Veiligheid zijn daarom niet onverwacht. Voor de politie is de Regeling Informatiebeveiliging Politie van kracht en ter uitvoering daarvan een stelsel van normen en maatregelen voor informatiebeveiliging uitgewerkt. Dit stelsel omvat onder meer het Basisbeveiligingsniveau Nederlandse politie (BBNP) en de Normstelling Interceptiefaciliteiten. Voor de Rijksdienst is het Voorschrift Informatiebeveiliging Rijksdienst van kracht. Onderzoek naar informatiebeveiliging bij de politie kan om die reden niet representatief zijn voor bij de Rijksdienst.


4. Vraag Wat zijn de richtlijnen voor het bewaren van vertrouwelijke informatie op privécomputers? Hoe worden deze richtlijnen bekend gemaakt?


5. Vraag Is het binnen deze richtlijnen mogelijk dat de privé computer ook gebruikt wordt door anderen, zoals familie of vrienden? Zo neen, hoe controleert u dit? Zo ja gaat u dit aanpassen in de richtlijnen?

4 en 5. Antwoord Binnen de Rijksoverheid is het Voorschrift Informatiebeveiliging Rijksdienst van kracht. Voor bijzondere informatie is in 2004 is het "Voorschrift informatiebeveiliging rijksdienst - bijzondere informatie (Vir-bi)" in werking getreden, gepubliceerd in de Staatscourant (Stcrt. 2004, 47). Het Vir-bi schrijft maatregelen voor die moeten voorkomen dat onbevoegden kennis nemen van bijzondere informatie, zoals staatsgeheimen. De maatregelen hebben onder meer betrekking op personen die uit hoofde van hun functie toegang moeten hebben tot bijzondere informatie en op de opslag en het transport van bijzondere informatie. Het Vir-bi stelt extra beveiligingseisen aan het gebruik van moderne informatie- en communicatietechnologie bij de behandeling van bijzondere informatie. Het voorschrift bevat eisen met betrekking tot de opslag, de verwerking en het transport van bijzondere informatie in geautomatiseerde informatiesystemen.

Thuiswerken met gerubriceerde informatie vanaf niveau STG-zeer geheim is niet toegestaan. Gerubriceerde informatie vanaf het niveau STG-zeer geheim mag niet mee naar huis genomen worden. Dat mag op geen enkele manier: niet op papier, niet op laptop of niet op USB-stick. Informatie van het niveau geheim en confidentieel mag mee naar huis genomen worden, maar alleen nadat daar door het bevoegd gezag toestemming voor is gegeven. In dat geval mag dit alleen op hulpmiddelen die door de werkgever zijn verstrekt die goed beveiligd zijn. Deze informatie mag niet op privé computers worden geplaatst.

De departementen zijn zelf verantwoordelijk voor het uitdragen van de regels ter zake, en voor de beveiliging van bijzondere informatie. Daarbij dienen zij gebruik te maken van door de minister van Binnenlandse Zaken en Koninkrijksrelaties goedgekeurde beveiligingsproducten.


6. Vraag Bent u van plan om intensief scholing en voorlichting te geven over het omgaan met digitale vertrouwelijke informatie? Zo neen, waarom niet?

6. Antwoord
Bewustzijn en naleving zijn van groot belang. Omdat alle departementen hiermee te maken hebben, beziet het ministerie van Binnenlandse Zaken en Koninkrijksrelaties of het mogelijk is om rijksbrede instrumenten hiervoor in zetten. Hierbij valt te denken aan instrumenten die ook worden gebruikt om het bewustzijn rond het thema integriteit te bevorderen, aangezien er raakvlakken zijn met het informatiebeveiligingsthema.


7. Vraag Bent u van mening dat steekproefgewijs gecontroleerd zou moeten worden of men zich inderdaad aan de richtlijnen houdt? Zo neen, waarom niet?

7. Antwoord
Zoals hierboven is opgemerkt is naleving van groot belang. Controle via steekproeven is één van de instrumenten die in het kader van naleving kan worden ingezet. Het Vir-bi schrijft voor dat ik tweejaarlijks rapporteer aan de Ministerraad over de stand van zaken met betrekking tot de beveiliging van bijzondere informatie binnen de rijksdienst. Voor de eerste keer zal ik dat doen in het voorjaar 2007. In lijn daarmee zal ik de departementen verzoeken zich gedegen voor te bereiden op en hun bijdrage te leveren aan deze rapportage. Ik ben bereid de conclusies hiervan, nadat deze in de Ministerraad zijn behandeld, met de Kamer te delen.


8. Vraag Gaat u de beveiliging van informatie bij justitie en politie op orde te brengen? Zo ja op welke termijn? Zo neen, waarom niet?

8. Antwoord
Ik heb eerder dit jaar de voorzitter van het Korpsbeheerdersberaad en de Raad van Hoofdcommissarissen gevraagd om in overleg met de korpsbeheerders (die als eerste verantwoordelijk zijn voor de informatiebeveiliging binnen hun korps) en de korpschefs voortvarend de noodzakelijke maatregelen in het kader van informatiebeveiliging te treffen. Ook heb ik hen gevraagd alle mensen bij de korpsen op het hart te drukken hoe belangrijk het is de regels rond informatiebeveiliging strikt na te leven. Ik ga er hierbij van uit dat zij zich ook richten op de personele consequenties die het niet naleven van bestaande regels kan hebben.

Naar aanleiding van een eerder incident heeft mijn ambtgenoot van Justitie u bij brief van 1 november 2004 (kamerstukken II, 2004-2005, 29 800 VI, nr. 37) op de hoogte gesteld van de maatregelen die hij heeft genomen. In aanvulling op deze brief wordt opgemerkt dat het bewustwordingsproces van de naleving van het hiervoor in antwoord op vraag 5 genoemde Vir-bi bij de verschillende dienstonderdelen een continu proces is.


9. Vraag Gaat u controleren wat de stand van zaken is bij andere overheidsdiensten? Zo ja op welke termijn? Zo neen, waarom niet?


9. Antwoord Binnen de Rijksoverheid worden vanuit het Voorschrift Informatiebeveiliging Rijksdienst richtlijnen gegeven voor de periodieke controle van informatiebeveiligingsbeleid en informa-tiebeveiligingsmaatregelen bij de Rijksdienst. Daarnaast besteedt de Algemene Rekenkamer in haar jaarlijkse controles structurele aandacht aan het onderwerp informatiebeveiliging.

Het Vir-bi schrijft voor dat de Minister van BZK tweejaarlijks rapporteert aan de Ministerraad over de stand van zaken met betrekking tot de beveiliging van bijzondere informatie binnen de rijksdienst. Voor de eerste keer zal ik dat doen in het voorjaar 2007.


1) Geen Stijl.nl


2) Externe link http://www.webwereld.nl/articles/41107/informatiebeveiliging-nederland se-politie-deugt-niet.html