Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Antwoorden op kamervragen over het bericht dat het internet aangiftesysteem van de politie onderuit is gegaan
27 november 2006
Ga direct naar het volgende onderdeel:
* Bestanden
Vragen van de leden Algra (CDA) en Gerkens (SP) over het bericht dat het internet aangiftesysteem van de politie onderuit is gegaan.
(Ingezonden 14 september 2006)
Bestanden
* Antwoord op kamervragen over het uitvallen van het interne aangiftesysteem van de politie | Pdf-icoon Pdf-bestand
2050619210
Antwoorden van de minister van Binnenlandse Zaken en Koninkrijksrelaties op vragen van het lid Algra (CDA) over het bericht dat het internet aangiftesysteem van de politie onderuit is gegaan. (Ingezonden 14 september 2006)
1
Bent u op de hoogte van het bericht dat de internetaangiften bij de politie verdwenen zijn?
Ja.
2
Hoe verhoudt dit incident zich tot andere teleurstellende resultaten op automatiseringsgebied bij de politie?
Zoals ik al heb aangegeven in mijn brief (TK 29 628, nr. 28) aan uw Kamer over de resultaten van het ICT bestek 2001-2005 zijn de resultaten op automatiseringsgebied bij de Nederlandse politie, en dan specifiek op het gebied van ICT toepassingen/applicaties, mij ook tegengevallen. Ook de commissie Leemhuis heeft geconstateerd dat de bereikte resultaten op ICT gebied zijn achtergebleven.
VtS Politie Nederland, de publiekrechtelijke opvolger van CIP en ISC, is inmiddels bezig met het opstellen van een plan van aanpak voor een duidelijke inhaalslag betreffende de uniformering van de informatievoorziening en ICT-voorzieningen.
Aangezien deze storing een incidentele technische storing betreft, zie ik in deze geen directe relatie met de resultaten op het automatiseringsgebied van de Nederlandse politie.
3
Wat is de reden geweest en waarom was er geen back-up systeem?
Het antwoord op deze vraag is hierna geïntegreerd in het antwoord op vraag 5 van het lid Gerkens (kenmerk 2050619330).
4
Welke kosten zijn gemaakt voor het aangiftesysteem en wie is verantwoordelijk?
Tot en met 2005 heeft het Coöperatie Informatiemanagement Politie (CIP) ¤ 7,6 mln geïnvesteerd in de landelijke internet aangiftevoorziening (Bron: Jaarrekening 2005 CIP). Voor 2006 staat voor dit project een bedrag begroot van ¤ 2,3 mln (Bron: Herziene begroting 2006 CIP, mei 2006).
Het juridische eigendom van de landelijke voorziening voor internetaangifte berust bij de VtS Politie Nederland. Het bestuur van de VtS Politie Nederland wordt gevormd door het Korpsbeheerders Beraad. VtS Politie Nederland heeft tevens de taken van de Regieraad ICT Politie betreffende de ontwikkeling, uitvoering en bijstelling van het informatiebeleid van de Nederlandse politie overgenomen
5
Wist u dat de Rotterdamse en Amsterdamse politie een ander systeem gebruiken en geen problemen met het internet aangiftesysteem hebben? Waarom is niet voor het Amsterdamse of Rotterdamse systeem gekozen?
Het antwoord op deze vraag is hierna geïntegreerd in het antwoord op vraag 2 van het lid Gerkens (kenmerk 2050619330).
6
Zult u de verantwoordelijkheid voor de automatisering nadrukkelijker nemen?
Feit is dat de gezamenlijke korpsen op het gebied van automatisering nog over betrekkelijk veel autonomie beschikken. Hierdoor is het in de praktijk complex
gebleken de uniforme informatiehuishouding voor de Nederlandse Politie te realiseren. Mijn streven naar één uniforme informatiehuishouding voor de Nederlandse Politie staat echter onverkort overeind. De oprichting van de Voorziening tot Samenwerking Politie Nederland is een eerste stap op weg naar directere sturing op de totstandkoming van één informatiehuishouding. Om zelf nadrukkelijker op het gebied van automatisering te kunnen sturen is echter een bestelwijziging noodzakelijk.
7
Welke maatregelen gaat u nemen om deze incidenten in de toekomst te voorkomen?
Het antwoord op deze vraag is hierna geïntegreerd in het antwoord op vraag 5 van het lid Gerkens (kenmerk 2050619330).
---
2050619330
Antwoorden van de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Justitie en voor Bestuurlijke Vernieuwing en Koninkrijksrelaties op vragen van het lid Gerkens (SP) over het verlies van aangiften door een computerstoring. (Ingezonden 15 september 2006)
1
Wat is uw mening over het bericht dat door een computerstoring van de politie ruim 1200 digitale aangiften zijn verdwenen?
4
Deelt u de mening dat deze storing het vertrouwen in de politie aantast? Kunt u uw antwoord toelichten?
Ik ben van mening dat hier sprake is van een ernstig incident, dat het vertrouwen van burgers in de politie kan aantasten. Burgers die aangifte van strafbare feiten doen, moeten er immers op kunnen rekenen dat de politie zorgvuldig omgaat met hun aangifte.
2
Is er sprake van één landelijk systeem voor aangifte? Zo ja, waarom werken Amsterdam en Rotterdam dan met een ander systeem?
Tevens antwoord op vraag 5, van de schriftelijke vragen van het lid Algra (kenmerk 2050619210)
Wist u dat de Rotterdamse en Amsterdamse politie een ander systeem gebruiken en geen problemen met het internet aangiftesysteem hebben? Waarom is niet voor het Amsterdamse of Rotterdamse systeem gekozen?
Er is op dit moment nog geen sprake van een systeem voor internet aangifte dat door alle regiokorpsen wordt gebruikt. De regiokorpsen Rotterdam-Rijnmond en Amsterdam-Amstelland maken gebruik van een ander systeem. Het is niet aannemelijk dat dit systeem door eenzelfde soort storing kan worden getroffen als het systeem dat door de overige regiokorpsen wordt gebruikt.
Uit het ontvangen ambtsbericht van VtS Politie Nederland blijkt dat ten tijde van het maken van afspraken tussen Rotterdam-Rijnmond en de Coöperatie Informatiemanagement Politie (CIP) over internet aangifte, Rotterdam-Rijnmond al over een eigen internet aangiftevoorziening beschikte. Beide partijen hebben op dat moment geen overeenstemming kunnen bereiken over het gebruik van de internet aangiftevoorziening van Rotterdam-Rijnmond voor landelijk gebruik. Dit had te
maken met een verschil van inzicht op het gebied van architectuur en functionele behoeftestelling van dat systeem en het gewenste landelijke systeem.
Vervolgens heeft de directie van het CIP, in overleg met de Regieraad ICT Politie / Raad van Toezicht CIP en het Dagelijks Bestuur CIP besloten zelfstandig een landelijke voorziening te ontwikkelen.
Uit het ontvangen ambtsbericht blijkt dat op het moment van besluitvorming over welke aangiftevoorziening te implementeren binnen de politieregio Amsterdam-Amstelland, de aangiftevoorziening van Rotterdam-Rijnmond qua functionaliteit, performance en stabiliteit beter voldeed binnen de systemen van Amsterdam-Amstelland dan de landelijke aangiftevoorziening. Achtergrond hiervan is dat de aangiftevoorziening van Rotterdam-Rijnmond bijzonder geschikt is voor korpsen, waaronder Amsterdam-Amstelland, die met het bedrijfsprocessensysteem Xpol werken.
Nu per 1 juli 2006 de "voorziening tot samenwerking Politie Nederland" (VtS Politie Nederland) is opgericht, waaraan het CIP met ingang van 1 augustus 2006 deelneemt, is een samenwerkingsverband ontstaan waarmee het bestuur besluiten kan nemen over bijvoorbeeld aangelegenheden die meerdere regiokorpsen aangaan. In dit licht zal eind dit jaar een vergelijkingsonderzoek worden gehouden, waarbij de landelijke aangiftevoorziening wordt vergeleken met de aangiftevoorziening van de korpsen Rotterdam-Rijnmond en Amsterdam-Amstelland. Op basis van de uitkomsten van dit onderzoek zal het bestuur van de VtS Politie Nederland begin 2007 een besluit nemen over de vraag, welk aangiftesysteem zal worden toegepast voor de gehele Nederlandse politie.
3
Wie is verantwoordelijk voor dit computersysteem van de politie? Zijn de administrators gescreend? Zo neen, waarom niet?
Het juridische eigendom van de landelijke voorziening voor internetaangifte berust bij de VtS Politie Nederland. Het bestuur van de VtS wordt gevormd door het Korpsbeheerdersberaad. In uitvoerende zin is de Regieraad ICT politie verantwoordelijk voor landelijk politieel informatiebeleid.
Uit het ontvangen ambtsbericht van VtS Politie Nederland blijkt dat de administrators zijn gescreend.
5
Wat heeft u ondernomen om te zorgen dat dergelijke storingen in de toekomst voorkómen worden en dat, als dit onverhoopt toch gebeurt, de informatie niet verloren kan gaan?
Tevens antwoord op de vragen 5 en 7 van de schriftelijke vragen van het lid Algra (kenmerk 2050619210)
Wat is de reden geweest en waarom was er geen back-up systeem?
Welke maatregelen gaat u nemen om deze incidenten in de toekomst te voorkomen?
Het ambtsbericht van VtS Politie Nederland geeft aan dat er zich twee mogelijke technische problemen voorgedaan kunnen hebben. Deze hebben te maken met de koppeling tussen het internet en het politienet via een vertaal-instrument en een virusscanner. De aangifte van een burger gaat via een vertaal-instrument van het vrije internet naar het beveiligde politienet. In de beveiliging van het politienet zit een virusscanner. Deze virusscanner accepteerde op het bewuste moment op zaterdag 9 september het vertaalde bericht vanuit de aangiftevoorziening niet en heeft het betreffende bericht verwijderd, maar daarover niet gecommuniceerd naar de zender van het bericht. Pas op maandag 11 september werd inzichtelijk wat de gevolgen waren, namelijk het verlorengaan van een set van 1235 internet aangiften. .
Het ontbreken van een back-up systeem, op de plek waar de storing zich voordeed, hangt samen met de afspraak uit het verleden om op de plek van binnenkomst van
de internet aangiften -bij een externe ICT-dienstverlener- geen kopie van aangiften te bewaren. Dit in verband met privacybescherming.
Doordat de hierboven beschreven samenloop van omstandigheden nagenoeg nooit voorkomt, acht VtS Politie Nederland de kans op herhaling zeer klein, zo blijkt uit het ontvangen ambtsbericht. Toch zijn er maatregelen getroffen om een dergelijk incident en de gevolgen daarvan in de toekomst te kunnen voorkomen. Het gaat om de volgende maatregelen:
1. Alle internet aangiften worden voor een periode van drie dagen opgeslagen, waardoor de kans op zoekraken van aangiften aanzienlijk wordt verminderd;
2. Tevens wordt nu nog onderzoek gedaan naar andere structurele oplossingen in de techniek, waarbij de vervanging van het genoemde vertaalinstrument centraal staat. Een potentiële oplossing wordt nu getest. Het resultaat van deze test is nog niet voorhanden.
6
Kan dezelfde storing ook op andere computersystemen van de overheid voorkomen, bijvoorbeeld bij de belastingaangifte? Zo neen, waarom is dan niet dezelfde techniek gebruikt bij de digitale aangiften?
In z'n algemeenheid kan ik hierover geen uitspraken doen, anders dan dat ik het niet kan uitsluiten. De verschillende computersystemen van de overheid zijn talrijk en worden beheerd door verschillende partijen. Voor de Rijksoverheid geldt als basis het Voorschrift Informatiebeveiliging bij de Rijksdienst (VIR) dat de verantwoordelijke voor informatiesystemen vraagt om, op basis van een afhankelijkheids- en kwetsbaarheidanalyse, maatregelen te nemen die de integriteit, exclusiviteit en beschikbaarheid van de informatie waarborgen.
7
Welke maatregelen zijn er genomen om computersystemen met persoonlijke gegevens, zoals belastingaangifte, pensioensysteem en Burger Service Nummer te beschermen tegen storingen en zo te vóórkomen dat de integriteit van de informatie wordt aangetast?
Iedere verantwoordelijke voor de registratie van persoonsgegevens dient passende technische en organisatorische maatregelen te nemen om deze gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (art. 13 Wbp).
Daarnaast zijn bij of krachtens specifieke wetgeving nadere eisen gesteld; neem bijvoorbeeld twee informatiesystemen met persoonsgegevens waarvoor het ministerie van Binnenlandse Zaken en Koninkrijksrelaties verantwoordelijk is: het Burgerservicenummer (BSN) en de Gemeentelijke Basisadministratie. Voor de beveiliging van het BSN en de GBA wordt het Voorschrift Informatiebeveiliging Rijksdienst (VIR 1994) gevolgd. Overeenkomstig het VIR 1994 is geanalyseerd en vastgesteld welke afhankelijkheden en kwetsbaarheden kunnen worden onderkend en welke maatregelen deze risico's moeten ondervangen. De maatregelen hebben onder meer betrekking op de beschikbaarheid en de integriteit van de systemen en zijn niet alleen technisch, maar ook fysiek en organisatorisch van aard. Daaronder valt bijvoorbeeld ook een regelmatige back-up. De maatregelen zijn vastgelegd in informatiebeveiligingsplannen, die periodiek worden geëvalueerd op naleving en effectiviteit, periodiek onafhankelijk geaudit (met onder meer een security check) en zonodig bijgesteld.
8
Deelt u de mening dat de persoonlijke internetpagina wel voldoende te beveiligen is? Zo ja, op grond waarvan?
De Persoonlijke internetpagina (PIP) is voor de burger alleen toegankelijk met de persoonlijke DigiD met adequaat beveiligingsniveau. De persoonsinformatie is dan slechts afzonderlijk en in modules en tijdelijk online toegankelijk voor de desbetreffende burger, die het natuurlijk zelf kan opslaan of gebruiken om makkelijk zaken te doen met de overheid.
Om de PIP voldoende te kunnen beveiligen tegen hackers of het uitvallen van een computersysteem zijn de nodige maatregelen getroffen. Leidraad hierbij zijn het hiervoor genoemde VIR en de Code voor Informatiebeveiliging. Bij de technische ontwikkeling van de PIP wordt veel aandacht gegeven aan het ondervangen van mogelijk technisch falen en internet criminaliteit zoals hackers. Op dit moment worden daartoe ondermeer hackproeven en andere veiligheidstoetsen in een proefomgeving uitgevoerd1. Verder wordt PIP ontwikkeld in nauwe samenwerking met andere, speciaal op veiligheid en betrouwbaarheid gerichte, e-overheidsprogramma's, zoals het Computer Emergency Response Team van de overheid (GOVCERT.NL), DigiD, en PKIoverheid.
9
Is het voor een burger mogelijk ervoor te zorgen dat zijn gegevens niet op een persoonlijke internetpagina, dan wel niet in de database van de persoonlijke internetpagina's terecht komen? Zo ja, hoe? Zo neen, gaat u er voor zorgen dat dit wel mogelijk wordt?
Ja. Het gebruik van de PIP is niet verplicht. Door af te zien van het openen van een PIP ontstaat voor die burger geen PIP.
Verder wordt de PIP zodanig opgezet dat er geen sprake is van een nieuwe, extra database met persoonlijke gegevens, maar wordt via de PIP inzage mogelijk in de gegevens uit de bestaande databases van overheidsorganisaties die de bronhouders zijn van deze betreffende gegevens.
Als extra optie wordt de burger de mogelijkheid geboden zelf een aantal gegevens in de PIP op te slaan die wél vaak gevraagd worden in verkeer met de overheid, maar waarvan de overheid niet de bronhouder is. Hierbij moet worden gedacht aan het mobiele telefoonnummer waar iemand voor de overheid te bereiken is of de bankrekening die de overheid moet gebruiken als er geld naar de burger moet worden overgemaakt. Van deze gegegevens kan de burger aangeven aan welke organisaties deze mogen worden verstrekt. De burger heeft te allen tijde de mogelijkheid deze gegegevens en de gebruiksrechten te wijzigen. Bovendien zijn burgers vrij deze extra optie wel of niet te gebruiken.
10
Is, gezien de vele informatiebeveiligingsissues en inbraken in computersystemen, extra voorzichtigheid niet geboden? Zo neen, waarom niet?
Ja, daarom worden de in antwoord 8 genoemde maatregelen getroffen.
11
Is het niet belangrijk om de burger meer keuzen te laten aangaande de verstrekking van gegevens, uit oogpunt van keuzevrijheid en beveiliging? Zo neen, waarom niet?
De in de vraag gestelde koppeling tussen keuzevrijheid in de verstrekking van gegevens en beveiliging deel ik niet. Voor het vragen van gegevens door de overheid aan burgers dient er een basis in wet- en regelgeving te zijn. De burger heeft in dat geval geen vrijheid de gevraagde gegegevens niet te verstrekken, en de overheid heeft niet het recht meer gegevens van de burger te eisen. Wel kan de overheid ook zonder wettelijke basis extra gegevens vragen aan de burger als hierdoor bijvoorbeeld de dienstverlening aan de burger kan worden verbeterd. Het is in dat geval aan de burger om te besluiten deze gegevens al of niet te verstrekken. De extra optie zoals genoemd in het antwoord bij vraag 9 is hiervan een voorbeeld.
De door de overheid verkregen gegevens moeten vervolgens adequaat, volgens de daartoe geldende eisen, worden beveiligd.
1 TK 2005-2006, 29362, nr 86
---
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties