Meer documenten
Disclaimer: deze transcriptie is geautomatiseerd omgezet vanuit audio en dus geen officieel verslag. Om de transcripties verder te verbeteren wordt constant gewerkt aan optimalisatie van de techniek en het intrainen van namen, afkortingen en termen. Suggesties hiervoor kunnen worden gemaild naar info@1848.nl.
Datalek bij de politie
[0:00:02] Dames en heren, hartelijk welkom bij het commissiedebat datelijk bij de politie dat ik bij deze open.
[0:00:08] Allereerst een hartelijk woord van welkom aan de minister.
[0:00:12] Fijn dat u bij ons bent.
[0:00:13] De leden en ons publiek op de tribune.
[0:00:16] We hebben hier vandaag tot zeven uur de tijd.
[0:00:20] De spreektijden staan op vier minuten met drie interrupties in deze eerste termijn.
[0:00:26] Ik vraag u dat kort en bondig te doen gezien de tijd.
[0:00:29] En daar geef ik nu als eerste het woord aan mevrouw Van der Werf.
[0:00:33] Gaat u toe gaan.
[0:00:35] Dank, voorzitter.
[0:00:37] Politieagenten zetten zich elke dag in voor een veilig Nederland en draaien daarbij lange
[0:00:42] diensten, geven hun weekenden op en maken veel mee waar je niet altijd vrolijk van wordt.
[0:00:47] Allemaal om onze veiligheid te garanderen en het is heel pijnlijk dat juist zij het slachtoffer
[0:00:54] zijn geworden van dit lek.
[0:00:56] Ik storm er dan ook aan de communicatie naar agenten toe toen het lek werd ontdekt.
[0:01:02] Sommige politiemensen moesten in de krant lezen dat hun gegevens op straat lagen.
[0:01:07] De Kamer en de media wisten het nieuws hierover soms eerder dan de mensen om wie het ging.
[0:01:12] En uit de praktijk hoor ik nu gelukkig dat die updates een stuk beter verlopen en daarvoor
[0:01:17] complimenten dat dat goed wordt opgepakt.
[0:01:20] Wel vraag ik de minister, hoe kan dit nou in het vervolg beter?
[0:01:25] Hoogst waarschijnlijk is een statelijke actor verantwoordelijk voor deze hek, maar verder
[0:01:30] is er weinig informatie beschikbaar.
[0:01:32] De voor de hand liggende vraag is, is dit datalek onderdeel van een grotere digitale
[0:01:37] oorlogsvoering?
[0:01:38] Kan de minister hier iets over zeggen?
[0:01:41] In de Kamerbrief staat dat de korpschef werd geïnformeerd door de AIVD en MIVD, maar er
[0:01:46] is niet gedeeld hoe zij dit hek op het spoor zijn gekomen.
[0:01:49] Kwamen ze die gegevens ergens tegen of hebben ze direct door gehad dat het account was gehackt?
[0:01:55] Kan de minister uitleggen hoe ze precies achter dit lek zijn gekomen en wanneer dit heeft
[0:02:00] plaatsgevonden?
[0:02:02] Voorzitter, dan het punt waar ik mij het meest over verbaasd.
[0:02:06] De minister is in de beantwoording van onze vragen erg stellig dat er geen veiligheidsrisico
[0:02:12] is voor onze agenten.
[0:02:14] Maar ik vraag mij af waar komt die stelligheid vandaan?
[0:02:17] Hoe kan de minister zo goed weten dat een statelijke actor geen kwade bedoelingen heeft?
[0:02:25] En dat er nu geen risico is, dat betekent toch niet dat het risico er niet gaat komen?
[0:02:30] Is de minister dat met mij eens?
[0:02:33] Gegevens van politiemensen zijn kostbaar en kwetsbaar.
[0:02:37] Er zijn partijen die veel geld over hebben voor deze informatie.
[0:02:41] En foto's en gegevens kunnen ook gebruikt worden voor bijvoorbeeld gezichtsherkenning.
[0:02:45] Het wordt makkelijk om bijvoorbeeld agenten te chanteren met activiteiten in hun vrije
[0:02:50] tijd.
[0:02:51] En al deze personen, maar liefst 62.000 mensen, kunnen misschien wel nooit meer worden ingezet
[0:02:57] als undercoveragent.
[0:02:59] Deze dienders hebben recht op het hele verhaal.
[0:03:02] Ik hoor dan ook graag welke risico's zich in de toekomst kunnen voordoen als resultaat
[0:03:07] van dit data-lek, waaronder de risico's voor gezichtsherkenning, de inzet voor nieuwe undercoveragenten
[0:03:13] en de risico's in aanloop naar bijvoorbeeld de Navotop.
[0:03:18] Voorzitter, de politie is hard bezig haar digitale bewustzijn te vergroten.
[0:03:23] De een uit Amsterdam werkt bijvoorbeeld aan een regionale digitale vakdag.
[0:03:27] Zouden dit soort dagen niet veel meer overheidsbreed georganiseerd kunnen worden?
[0:03:32] En voorzitter, tot slot, één keer in zoveel tijd laait deze discussie weer op.
[0:03:37] Sommige agenten zouden graag anoniem onder een nummer willen werken in plaats van onder
[0:03:42] hun naam. En dat is best te begrijpen. Want hoe makkelijk maken we het kwaad
[0:03:46] willen de criminelen die nog een appeltje te schillen hebben als de
[0:03:50] gegevens van een agent op straat liggen. In Engeland wordt momenteel al gewerkt
[0:03:55] met zo'n dienstnummer en ik ben benieuwd of de minister deze mogelijkheid in
[0:03:59] Nederland ook als optie ziet. Ik dank u hartelijk voor uw bijdrage en
[0:04:05] geef het woord aan de heer Aardema. Ja dank u wel voorzitter. Eind september werd
[0:04:09] de politie geconfronteerd met een hek, zeg maar een inbraak in het systeem waarbij
[0:04:13] gegevens over politiemensen werden buitgemaakt.
[0:04:16] Dat is op zich al opmerkelijk omdat je er als politieambtenaar op mag vertrouwen
[0:04:19] dat dergelijke gegevens veilig achter slotte grendel zitten.
[0:04:23] Dit had natuurlijk nooit mogen plaatsvinden. Mensen die ons land veilig
[0:04:25] moeten houden mogen niet zelf het slachtoffer worden. En zeker niet als je
[0:04:29] een bijzondere functie hebt, bijvoorbeeld werken onder dekmantel of werken bij een
[0:04:32] observatieteam. Dan mag het niet zo zijn dat je gegevens zomaar worden buitgemaakt.
[0:04:37] Dat kan voor die categorie vergaande gevolgen hebben voor hun werkzaamheden en hun eigen
[0:04:41] veiligheid.
[0:04:42] Mijn vraag aan de minister is dan ook of de politiemensen echt in gevaar zijn geweest
[0:04:46] en wat de genomen maatregelen waren.
[0:04:48] En ik snap dat het lastig is om daarover in het openbaar uitspraken te doen.
[0:04:52] Als de minister daar nu op antwoordt dat hij daar meer over kan zeggen, maar niet in het
[0:04:56] openbaar, dan ga ik het via het procedureoverleg een besloten gesprek hierover aanvragen.
[0:05:01] Opmerkelijk is dat de HEC al ruim werd gecommuniceerd met de buitenwereld, terwijl de politiemensen
[0:05:06] die het betrof pas drie dagen later via een mailtje werden geïnformeerd.
[0:05:12] Ik wil graag weten wat de overwegingen waren om hiermee zo lang te wachten.
[0:05:17] En in jaarverslagen van de AIVD en de MIVD
[0:05:19] werd er langer gewaarschuwd voor offensieve cyberactiviteiten.
[0:05:22] Wat is er met die signalen gedaan en wat gaat er nu concreet gebeuren
[0:05:25] om dergelijke hacks in de toekomst te voorkomen?
[0:05:28] In de laatste brief van de minister zegt hij dat er is gebleken
[0:05:31] dat er sprake was van een paas de koekie aanval.
[0:05:35] Als je even zoekt op internet, dan blijkt dat dit niet echt hogere krijgskunde is, maar
[0:05:39] dat het redelijk simpel te doen is.
[0:05:42] Je kunt ook simpele tegenmaatregelen nemen, zoals een multifactor-authentificatie bij
[0:05:47] het inloggen.
[0:05:48] En dat zou toch heel gemakkelijk kunnen met de op de persoon uitgereikte diensttelefoons.
[0:05:52] Was dit het geval en is dat nu beter geregeld?
[0:05:55] Er is ook een ISO 27001 certificering die de gaten kan dichten.
[0:06:00] Dat is een internationale standaard voor informatiebeveiliging.
[0:06:03] Is die er nu ook en was die er toen ook?
[0:06:05] En misschien kan de minister daar nog wat meer over zeggen.
[0:06:08] Ten slotte wil ik opmerkingen dat veiligheid voor de PVV topprioriteit heeft.
[0:06:11] Niet alleen voor onze burgers, maar zeker ook voor onze politiemensen
[0:06:14] en andere hulpverleners.
[0:06:16] Dank u wel.
[0:06:18] U bedankt. Mevrouw Helder en u het woord.
[0:06:23] Ja, dank u wel, voorzitter.
[0:06:24] Op 26 september ben ik door de korpschef geïnformeerd
[0:06:27] dat die politieaccount is gehackt,
[0:06:29] al dus de minister in zijn brief van 26 september jongsleden.
[0:06:32] Met als gevolg dat werkgerelateerde contactgegevens van alle politiemedewerkers zijn buitgemaakt.
[0:06:39] Dat een account gehackt kon worden is al ernstig, maar daar kom ik dadelijk nog op terug.
[0:06:44] Wat namelijk ook ernstig is, en wat B betreft ook verwijtbaar, is dat niet eerst alle politiemedewerkers
[0:06:50] zijn geïnformeerd, maar de minister en de media.
[0:06:53] Agenten moesten het nieuws via die kanalen horen.
[0:06:56] Gedurende dit proces bleek dat ook privégegevens zijn buitgemaakt en ook e-mailadressen van
[0:07:01] en een aantal ketenpartners.
[0:07:03] Tot zover, voorzitter, het proces.
[0:07:05] Dan de inhoud.
[0:07:06] Een dergelijk hek met deze immense gevolgen
[0:07:09] had natuurlijk nooit mogen gebeuren.
[0:07:11] Ik ga ervan uit dat de minister dat met BBB eens is.
[0:07:14] Voor de goede orde,
[0:07:15] ik mis die scherpe bewoningen
[0:07:16] in de drie brieven die de minister hierover naar de Kamer heeft gestuurd.
[0:07:20] Er is de afgelopen jaren
[0:07:21] veel geïnvesteerd in cyber security.
[0:07:24] Dus is de vraag testen
[0:07:25] dringender. Hoe heeft dit kunnen gebeuren?
[0:07:28] Al nu 2024
[0:07:29] kan het excuus echt niet meer zijn dat de knappe IT-koppen allemaal bij het bedrijfsleven zitten
[0:07:33] en niet bij de overheid. Dus de vraag, hebben de mensen aan de knoppen wel voldoende deskundigheid?
[0:07:40] Maar als de informatie die ik heb juist is, zijn de ter zake verantwoordelijken wel degelijk
[0:07:47] gewaarschuwd en zijn er signalen geweest met als kern, waarom staan deze velden in Outlook open?
[0:07:53] Ofwel, die hadden dus dichtgezet moeten worden. Dan was deze hek niet mogelijk geweest en in
[0:07:58] In ieder geval zouden de gevolgen niet zo groot zijn geweest.
[0:08:01] Is de minister met BBB eens dat de eindverantwoordelijke met IV of ICT, ik weet niet hoe de naam daar luidt,
[0:08:08] in zijn portefeuille aan een functie elders moet gaan denken?
[0:08:12] Want het kan toch niet zo zijn dat het negeren van deze signalen zonder gevolg blijft,
[0:08:17] en kijk naar de gevolgen, en de korpschef hiervoor de klappen moet opvangen.
[0:08:21] Niet alleen alle politieagenten, maar ook de korpsleidingen en ook de samenleving moeten erop kunnen vertrouwen
[0:08:26] dat een dergelijke situatie niet meer kan gebeuren.
[0:08:30] En daarvoor moeten ter zake deskundige personen aan de knoppen zitten
[0:08:33] en diegene die eindverantwoordelijk is, vervangen worden.
[0:08:36] Ik verwijs naar een artikel in het NRC van 11 oktober jongsleden,
[0:08:40] met de veelzeggende titel
[0:08:42] Politiehek, als een stagiair of een vrijwilliger de schuld krijgt,
[0:08:47] is er echt iets mis met de IT.
[0:08:49] En een citaat uit dat artikel,
[0:08:51] een hek is zelden de schuld van een individuele medewerker,
[0:08:54] Tenzij iemand bewust de boel saboteert.
[0:08:57] Belangrijker is, wie heeft bedacht dat het een goed idee is dat een politievrijwilliger
[0:09:01] bij het hele adresboek van alle medewerkers kan?
[0:09:04] Einde citaat.
[0:09:06] Voorzitter, ik zal echt niet beweren dat de eindverantwoordelijke dat een goed idee vond,
[0:09:10] maar wel dat duidelijke signalen hierover niet zijn opgevolgd en dat is toch echt onacceptabel.
[0:09:15] Dus wat gaat de minister op dat punt doen?
[0:09:18] In de laatste brief van 8 november, jongsleden, schrijft de minister dat de daders vermoedelijk
[0:09:22] gebruik hebben gemaakt van een zogenoemde pass, de cookie aanval, en dat het vrij
[0:09:26] zeker is dat er niet meer gegevens zijn gestolen dan nu bekend.
[0:09:30] Ik heb begrepen dat dit een vrij standaard aanval is, de vorige
[0:09:34] spreker zei dat ook al, maar twee vragen. Hoe lang heeft deze aanvaller zich
[0:09:38] opgehouden in het netwerk en hoe weet men zo zeker dat er niet meer gegevens
[0:09:42] zijn gestolen? En ik sluit mij ook aan bij de vorige
[0:09:45] woordvoerders over hun vragen over het gevaar voor met name de agenten bij
[0:09:51] werk onder dijkmantel nu en in de toekomst.
[0:09:53] Dank u wel.
[0:09:55] U bedankt.
[0:09:56] De woord is aan mevrouw Mütleur.
[0:09:58] U hoort heel veel eensgezindheid, voorzitter, dat gegevens tot aan privégegevens aan toe
[0:10:03] door derden gekaapt worden, dat is al verschrikkelijk.
[0:10:06] En al helemaal als het gaat om mensen in gevoelige functies zoals politiemensen.
[0:10:11] Ik moet zeggen, ik ben ook kapot geschrokken over deze hek die onze politieorganisatie
[0:10:16] met ruim 62.000 medewerkers is overkomen.
[0:10:19] Dat had nooit mogen gebeuren.
[0:10:22] Het maakt ons gewoon enorm kwetsbaar.
[0:10:24] Ik weet dat het onderzoek nog in volle gang is, maar uit de eerste berichten maakten
[0:10:28] we al op dat het om een paste koekje aanval zou gaan, waardoor de dader toegang kreeg
[0:10:33] tot in ieder geval de outlook-adres van alle politiemensen en ook de privégeefs en extra
[0:10:39] contacten.
[0:10:39] Ik hoop dat we zo snel als mogelijk het antwoord op die vraag krijgen.
[0:10:44] Mijn eerste vraag is dan ook wanneer kunnen we die ook verwachten?
[0:10:47] Was er sprake van een kwetsbaarheid in het systeem, een lek,
[0:10:51] dat de politie nog niet kende, maar wel de dader die de kennis kon uitbuiten?
[0:10:55] Was de kwetsbaarheid al wel bekend
[0:10:57] en was de oplossing daarvoor, de patch, nog niet gedraaid?
[0:11:00] Zeker in dat laatste geval moet je als politie sneller reageren
[0:11:04] op de door de softwareleverancier gemelde kwetsbaarheden.
[0:11:08] En worden die systemen van de politie gemonitord op het stelen van sessioncookies?
[0:11:14] Hoe weet de minister dat er naast de gegevens uit de lijst van adressen van Outlook ook
[0:11:18] geen andere adressen zijn buitengemaakt?
[0:11:19] Ik denk dat dat de grootste zorg was van menig politieagent.
[0:11:23] Waarom zouden de hackers niet ook de mails van de politiemensen ingezien kunnen hebben
[0:11:28] en daar ook meer vertrouwelijke gegevens hebben kunnen vissen?
[0:11:32] Een nieuwe aanval moet voorkomen worden, ook al weet ik dat menselijke fouten nooit zijn
[0:11:38] uit te sluiten.
[0:11:40] Maar het laat onverlet dat het systeem zelf zo veilig als mogelijk moet zijn.
[0:11:44] We hebben eerder inspectierapporten gezien waarin werd gemeld dat de ICT van onze
[0:11:48] justitiële partners te wensen overliet.
[0:11:51] Dat vraagt echt om versnelling en prioritering om dit zo snel als mogelijk voor elkaar te krijgen,
[0:11:57] ook de wijze waarop onze justitiële partners met elkaar communiceren.
[0:12:01] Daarnaast zou ik willen stellen dat er ook alarmbellen moeten afgaan als in één keer een enorme hoop
[0:12:07] persoonsgegevens van alle politiemensen wordt gecaapt.
[0:12:10] Daarom stel ik ook de vraag aan de minister.
[0:12:12] Waren er wel monitoringstools die alarm konden slaan als er signalen werden gevonden die wijzen
[0:12:18] op een veiligheidsprobleem?
[0:12:20] En waarom is het nodig dat politiemensen bij de persoonsgegevens van al hun collega's kunnen?
[0:12:26] Kan dat inderdaad onder een nummer worden geschaard?
[0:12:30] Voorzitter. Tot zover een beetje de technische kant van het probleem, want digitale onzorgvuldigheid
[0:12:36] van mensen kan een minstens zo groot risico zijn.
[0:12:40] Dat zien we overal om ons heen.
[0:12:42] Daarom vind ik het ook heel erg belangrijk dat onze politiemedewerkers ook op de gevaren
[0:12:47] worden gewezen en getraind moeten worden om hiermee om te gaan.
[0:12:51] Daar wil ik graag een reactie van de minister op.
[0:12:53] En ik wil dat hij ingaat op de kwetsbaarheden van andere schakels van de justitiële keten.
[0:12:59] Het Openbaar Ministerie, de rechters en ook het gevangeniswezen, waar gevoelige gegevens over hoe
[0:13:08] en waar criminelen opgesloten zitten, niet bespruikt mogen worden om ze te laten ontsnappen.
[0:13:14] Ik wil van de minister weten of hij bereid is om de ICT van al deze justitiële partners door te lichten,
[0:13:21] zodat we kunnen kijken of daar zo snel mogelijk verbeteringen in moeten worden doorgevoerd.
[0:13:26] Dan de menselijke kant, voorzitter.
[0:13:29] De politiemedewerkers, waarvan privégegevens in verkeerde handen zijn gekomen, lieten de
[0:13:34] communicatie echt te wensen over.
[0:13:37] Dat moet in de toekomst veel en veel en veel beter.
[0:13:40] Zijn er nu signalen dat hun gegevens of van externen misbruikt worden?
[0:13:44] Wat is er gedaan om schade te voorkomen, om deze mensen te beschermen?
[0:13:48] Hebben ze bijvoorbeeld nieuwe e-mailadressen gehad, nieuwe telefoonnummers gehad?
[0:13:51] Dat wil ik gewoon graag weten.
[0:13:52] En dan rond ik af, voorzitter, over de stand van zaken van het strafrechtelijke onderzoek
[0:13:57] naar de daders.
[0:13:58] Daar krijgen we bericht van.
[0:13:59] Maar als je kijkt naar de rapportage van de AIVD en de MIVD, dan zaten daar waarschijnlijk
[0:14:06] statelijke actoren achter die ek.
[0:14:07] En dat vind ik heel erg zorgelijk, ook in het licht van de naventop wat er aankomt.
[0:14:11] Graag ook daar voor zover kan een reactie.
[0:14:15] Ja, dank u wel voor uw bijdrage, de heer Secretaire-Gestraat.
[0:14:19] Ja, dank, voorzitter.
[0:14:20] En goed dat we dit debat met elkaar voeren.
[0:14:22] Een cyberaanval van vermoedelijk een statelijke actor op onze politie,
[0:14:26] waarbij de gegevens van politiemensen en ketenpartners op straat komen te liggen,
[0:14:30] dat heeft grote impact voor alle betrokkenen.
[0:14:32] Ik begrijp heel goed dat politiemedewerkers hier last van hebben.
[0:14:35] Ik zie ook het risico dat als meer datalekken als deze plaats zouden vinden,
[0:14:39] dit ook de aangiftebereidheid van burgers zou kunnen schaden.
[0:14:42] De veiligheid van onze politiesystemen is in dat licht van het hoogste belang
[0:14:45] en ik sluit me ook graag aan bij de zorgen eerder gedeeld door mijn voorgangers.
[0:14:50] Voorzitter, ik heb een aantal verduidelijkende en inhoudelijke vragen over de informatie die de minister heeft aangeleverd.
[0:14:56] Uit de kabinetsbrieven blijkt er is een politieaccount gehackt, maar het valt me op dat de onzekerheid over de initiële toegang uit de brieven nog onzeker is.
[0:15:06] De toegang kan bijvoorbeeld door phishing komen, zegt de minister, maar naar ik begrijp is daar nog geen uitsluitsel over.
[0:15:12] Verwacht de minister hier later meer duidelijkheid over te krijgen, of zijn de loogbestanden daarvoor ontoereikend?
[0:15:18] Zijn de detectiecapaciteiten van de politie toereikend om de initiële toegang bij dergelijke
[0:15:22] aanvallen in principe vast te stellen?
[0:15:24] Waar en hoe kunnen deze capaciteiten nog versterkt worden?
[0:15:27] Heeft het NCSC en het kader van het Nationaal Detectienetwerk hier bijvoorbeeld duidelijke
[0:15:31] standaarden voor?
[0:15:32] Zijn die in dit geval ook nageleefd?
[0:15:35] Een nasuccesvolle aanval kan malware worden geïnstalleerd voor exfiltratie van data, kunnen
[0:15:40] we lezen in de brief.
[0:15:41] Het staat wederom beschreven als mogelijkheid, niet als zekerheid.
[0:15:44] Kan de minister al bevestigen of dit daadwerkelijk is gebeurd?
[0:15:47] Zo ja, kan de minister ook iets delen over de gebruikte malware?
[0:15:50] Is het een type malware dat generiek en breed beschikbaar is?
[0:15:53] Of wijst het naar een specifieke actor of een specifiek land?
[0:15:56] Begrijp ik de minister nu ook goed dat via malware sessioncookies zijn verzameld en geëxfiltreerd?
[0:16:01] Of bestaat ook de kans dat deze cookies middels een andere wijze verkregen zijn?
[0:16:05] Kan de minister delen of de aanvallers ook malware hebben geplaatst voor persistente
[0:16:09] toegang of laterale beweging binnen het netwerk?
[0:16:12] Is inmiddels zeker dat alle malware uit het systeem is?
[0:16:15] Of bestaat het risico nog dat de actor nog steeds toegang heeft?
[0:16:18] En wederom de vraag, in welke mate is hier sprake van dekkend zicht?
[0:16:21] Zo nee. Hoe komen we daar?
[0:16:24] Waarschijnlijk was er sprake van een statelijke actor.
[0:16:26] Ik begrijp dat als het gaat om staatsgeheime informatie...
[0:16:28] de minister niet zomaar alles kan delen.
[0:16:30] Maar wel wil ik graag een dringend appel doen, dat zodra het kan...
[0:16:33] het ook al zinvol zou zijn om publiekelijk te attribueren.
[0:16:37] Bij een eerdere casus, de hek op een defensiesysteem...
[0:16:40] heeft de regering Chinese actoren publiekelijk geattribueerd.
[0:16:44] en dat vond ik een krachtig signaal.
[0:16:46] Ziet de minister mogelijkheden voor de uitbreiding van het beleid
[0:16:49] omtrend publieke attributie van cyberaanvallen?
[0:16:52] Zijn er duidelijke afspraken?
[0:16:53] Wie daar in Nederland voor aan de lat staat?
[0:16:55] En tot slot wil ik het nog graag hebben over de vervolgstappen.
[0:16:58] Nu lijkt op basis van de aan de Kamer
[0:17:00] verstrekte informatie de omvang
[0:17:01] van de hek gelukkig beperkt te zijn
[0:17:03] tot de mailomgeving, maar de samenleving
[0:17:05] moet wel kunnen vertrouwen op de weerbaarheid van het politieapparaat.
[0:17:08] In dat kader wilde ik het onderwerp
[0:17:09] aanstippen dat ook eerder bij het Mondelingen Vraaguur
[0:17:11] aan de orde is geweest. De langetermijnopslag van
[0:17:13] van politiegegevens ten behoeve van cold cases en PTSS-behandeling.
[0:17:17] De minister gaat ermee aan de slag, er komt nieuwe wetgeving aan
[0:17:19] en dat zullen we ook zeker aanmoedigen.
[0:17:21] Maar de autoriteit persoonsgegevens heeft al wel in de media zorgen geuit
[0:17:26] over de manier waarop gegevens zeer lang worden opgeslagen.
[0:17:29] En de gevolgen wanneer deze data op straat komen te liggen door een hek,
[0:17:32] dat kan desastreus zijn.
[0:17:34] Zowel voor de nabestaanden als voor de getuigen
[0:17:36] als voor de politiemensen zelf.
[0:17:38] En daarom vraag ik de minister of hij bereid is om de AP,
[0:17:42] om me na de advies te vragen over de veiligheid van het regime
[0:17:45] waarmee informatie ten behoeve van de cold cases
[0:17:50] voor zeer lange termijn opgeslagen staat.
[0:17:52] En daar ben ik dus niet over wat wettelijk mag,
[0:17:54] want we weten dat de wetgeving in gebreken is en in de maak is,
[0:17:57] maar concreet over de manier waarop de gegevens afgeschermd en toegankelijk zijn.
[0:18:01] Voorzitter, dat was hem van mijn kant. Dank u wel.
[0:18:04] Dank u wel. En hij heeft nog een vraag van de heer Van Dissel.
[0:18:07] Ja, voorzitter, dan wordt het toch nog een beetje een debat misschien.
[0:18:10] Al is dit meer een verhelderende vraag dan een scherpe politieke, realiseer ik mij.
[0:18:15] Want de heer Siks-Dijkstra doet een appel op de minister om, zodra dat kan, bekend te maken
[0:18:21] om welke statelijke actor het gaat.
[0:18:23] En daar kan ik mij van alles bij voorstellen.
[0:18:25] Maar ik heb er ook over nagedacht, ten eerste moet je dat dan wel heel zeker weten.
[0:18:29] En kan het niet zomaar een verdenking zijn.
[0:18:32] Dus je moet het heel zeker weten.
[0:18:34] En ik ga de heer Siks-Dijkstra toch ook de vraag stellen,
[0:18:38] Welke gevolgen verbind je daar dan aan?
[0:18:39] Want je kan me er van alles bij voorstellen, je wil het graag weten, maar wat doe je daar dan mee?
[0:18:43] Waarom vindt de heer Siks-Dijkstra dat zo belangrijk?
[0:18:46] De heer Siks-Dijkstra.
[0:18:47] Dank, voorzitter.
[0:18:47] En ik denk ook een terechte vraag.
[0:18:49] En ik sluit natuurlijk helemaal aan bij zijn standpunt van je moet het wel zeker weten.
[0:18:52] Het moet meer zijn dan een aanleiding.
[0:18:54] En daarom denk ik moeten we heel terughoudend zijn tot die stap.
[0:18:57] En daarom vraag ik ook niet aan de minister om het nu kenbaar te maken, maar wel wanneer het kan.
[0:19:01] En zeker omdat het in het verleden ook heeft plaatsgevonden.
[0:19:03] Ik denk dat er meerdere signalen van uitgaan, ook een signaal richting de burger.
[0:19:08] Dat we ook niet naïef moeten zijn over de intenties van bepaalde statelijke actoren.
[0:19:12] Dat het daarmee ook bijdraagt aan de geloofwaardigheid van informatie die tot ons komt vanuit de regering.
[0:19:18] Dat bepaalde landen een offensief cyberprogramma richting Nederland hebben.
[0:19:24] En andere landen doen dat veel proactiever.
[0:19:27] Een land als Amerika doet daadwerkelijk ook een aanklacht richting een ander land.
[0:19:30] Ik weet niet of we zo ver moeten gaan, maar ik denk dat het wel een pad is
[0:19:34] om uit te lopen, om te kijken wat de verschillende mogelijkheden zijn.
[0:19:38] Dus in het kader van transparantie,
[0:19:41] en zeker omdat het gaat over een strafrechtelijk onderzoek,
[0:19:43] denk ik dat dat in sommige gevallen wel nuttig zou kunnen zijn.
[0:19:48] Voldoende, heer Van Nispen. Dan heeft de heer Aardema ook nog een interruptie.
[0:19:52] Ja, voorzitter, in het vervolgje van de wat-als-vraag is altijd lastig te beantwoorden,
[0:19:56] maar zou dat dan misschien ook in een besloten deel plaats kunnen vinden,
[0:20:00] als we weten wie dat is.
[0:20:02] De heer Sikseks.
[0:20:04] Ik denk dat dat afhankelijk is van
[0:20:08] een aantal factoren,
[0:20:09] waaronder waarschijnlijk de zekerheid van de verdenking.
[0:20:12] Het liefst
[0:20:13] natuurlijk zo openbaar mogelijk.
[0:20:16] Als het openbaar kan,
[0:20:18] laat het dan mij betreft ook openbaar doen.
[0:20:20] Maar ik kan mij voorstellen dat
[0:20:21] met enige mitsen en magen die bij zo'n onderzoek
[0:20:23] als deze beschikbaar
[0:20:25] zijn, en waarbij sommige dingen
[0:20:27] ook onzeker zullen blijven,
[0:20:29] dat daar ook maatwerk geleverd moet worden, ook richting onze Kamer.
[0:20:36] Dank u wel. Dan is nu het woord aan de heer Van Nispen voor zijn inbreng.
[0:20:40] Dank u wel, voorzitter.
[0:20:42] Er werd kort na het lek steeds meer duidelijk over dat datalek bij de politie,
[0:20:46] dat er veel gegevens zijn gestolen, zelfs privégegevens,
[0:20:50] dat er waarschijnlijk een ander land achter zit.
[0:20:52] Maar daarna werd het wat stiller.
[0:20:54] We weten ook nog heel veel niet wat precies de impact is van deze datadiefstal.
[0:20:58] Hoe kan dit bijvoorbeeld tegen ons gebruikt worden?
[0:21:01] Zijn die analyses al gemaakt en wat kan daarvan gedeeld worden?
[0:21:04] En een van de zorgen is dat als hackers zicht hebben op meldinglijsten mogelijk ook zaken
[0:21:08] te zien zijn als welke agenten doen het onderzoek naar een bepaalde criminele organisatie.
[0:21:13] Welke politiemensen zijn belast met de beveiliging van een bedreigde politicus of rechter en
[0:21:17] wie maken een deel uit van het team internationale misdrijven?
[0:21:20] Wat de minister schreef, de werkgerelateerde gegevens van undercover-agenten zijn afgeschermd,
[0:21:24] Die gegevens zijn dus niet buitgemaakt.
[0:21:27] Maar de gegevens van alle andere politie en medewerkers wel.
[0:21:30] Dat maakt die vraag die ik net stelde, volgens mij wel tot een gerechtvaderde vraag.
[0:21:34] Dus ik hoop dat daar antwoord op kan komen.
[0:21:37] Wat precies de gevolgen zijn voor de agenten en de organisatie, is nog niet helemaal duidelijk.
[0:21:42] En wat wel duidelijk is, dat de politie hiermee getroffen is in het hart, in het hart van de organisatie.
[0:21:48] En van al die mensen die dag in en dag uit zorgen voor onze veiligheid.
[0:21:51] En zij zijn nu zelf het slachtoffer met alle onzekerheid van dien.
[0:21:54] En dat doet natuurlijk iets met mensen.
[0:21:57] Verschillende sprekers hebben daar al terecht op gewezen.
[0:22:01] En het is heel belangrijk dat we agenten en ook hun families duidelijkheid en veiligheid
[0:22:05] bieden.
[0:22:06] Welke maatregelen worden nou getroffen om de agenten te beveiligen of te beschermen en
[0:22:09] hoe wordt beoordeeld of dat nodig is?
[0:22:12] En ik sluit me aan bij de vraag die mevrouw van der Werff ook al stelde over het werken
[0:22:16] onder nummer als wens, om dat vaker mogelijk te maken.
[0:22:20] Want nu naam en gegevens naar buiten zijn gegaan, is er nog meer zorg dat daders naam
[0:22:24] en achternaam lezen in een proces verbaal.
[0:22:27] Dus ja, dat maakt dus die wens begrijpelijk.
[0:22:31] Ik ben benieuwd naar de reactie van de minister daarop.
[0:22:34] En wat tenslotte ook nog niet duidelijk is wat ons betreft.
[0:22:37] Het is een open deur, maar hoe wordt er nou voor gezorgd dat het hierbij blijft?
[0:22:41] Eens, maar nooit weer.
[0:22:43] En ik vrees dat de minister dat niet kan beloven, hoe graag hij dat ook zou willen.
[0:22:46] Maar dat zou natuurlijk eigenlijk wel moeten.
[0:22:49] En deskundigen die zeggen ook dat de aandacht en urgentie van cyberbeveiliging veel hoger zou moeten.
[0:22:53] Worden er passende maatregelen getroffen om de politie en andere diensten ook digitaal beter te beveiligen?
[0:22:59] Hoe wordt dataopslag veiliger gesteld?
[0:23:01] Wordt de data-huishouding doorgelicht en geanalyseerd op kwetsbaarheden, ook richting de Navotop straks?
[0:23:06] Kortom, welke lessen worden hier nou van geleerd en wordt hier wel voldoende in geïnvesteerd?
[0:23:12] En tenslotte, voorzitter, een wat ongemakkelijke vraag.
[0:23:16] Als dit zelfs bij de politie kan gebeuren, waar dan allemaal nog meer?
[0:23:20] Dank u wel.
[0:23:21] U bedankt en dan is tot slot het woord aan mevrouw Michon-Derksen, alstublieft.
[0:23:27] Dank u wel, voorzitter.
[0:23:29] Voorzitter, het is juist de politie die dag in dag uit voor onze veiligheid zorgt.
[0:23:34] En deze mannen en vrouwen, die waren slachtoffer van een datalack,
[0:23:38] waardoor niet alleen hun werk gerelateerden, maar zelfs ook soms privégegevens op straat komen te liggen.
[0:23:44] Waardoor zij, maar ook hun naast hun familie, direct last hebben van hun werk.
[0:23:49] En die moeten we dus ook met alles wat we in ons hebben zien te voorkomen dat zij risico lopen.
[0:23:56] En we moeten ervoor zorgen dat zij hun werk veilig kunnen doen.
[0:24:00] Ik heb dus ook heel veel begrip voor die bezorgdheid en in verwarring bij al die politiemedewerkers.
[0:24:04] En ik vond die eerste reactie van die korpsleiding absoluut onder de maat.
[0:24:09] Dat hebben veel eerdere collega's hier ook gezegd, daar sluit ik me bij aan.
[0:24:12] En ik hoop dat de minister daar ook een reflectie op kan geven.
[0:24:15] Daar kwam als klapper op de vuurpijl bij de politievrijwilliger, die werd neergezet als
[0:24:21] degene die dan iets verkeerd zou hebben gedaan en dat vind ik ook echt ongepast.
[0:24:25] Het feit dat je dit dus kan doen, wie dan ook achter de computer zat, dat is natuurlijk
[0:24:29] een godspe.
[0:24:31] Dat moet niet kunnen mogen.
[0:24:33] En criminelen en andere kwaadwillenden, die kunnen met dit soort gegevens nu aan de haal.
[0:24:37] Is dat nu niet, dan is dat misschien morgen of misschien volgende maand of over een half
[0:24:41] jaar.
[0:24:41] Het risico op doxing en op bedreiging neemt toe, zeker in die teams die met zware criminaliteit
[0:24:47] te maken hebben.
[0:24:48] Graag een reactie hierop.
[0:24:51] Hoe staat de korpsleiding al deze mensen ook nu vandaag de dag nog bij en heeft dit datelijk
[0:24:57] ook complicaties of implicaties voor lopende onderzoeken en wat doen we daaraan?
[0:25:03] Het gaat, voorzitter, dat hoorden we ook eerder in mijn optiek ook, over de mate waarop de
[0:25:08] de politie het eigen ICT-systeem heeft beveiligd.
[0:25:12] En natuurlijk zit er een deel geautomatiseerde beveiliging in,
[0:25:14] maar er zit altijd een menselijke kant in.
[0:25:17] Hoe werken die nou samen en hoe zorgen we er ook voor
[0:25:19] dat we het optimaal veilig houden?
[0:25:22] Want juist deze hek laat maar weer zien dat die vitale infrastructuur,
[0:25:26] en ik vind ook onze politie-ICT vitale infrastructuur,
[0:25:29] moeten beschermen tegen allerlei dreigingen.
[0:25:32] En die opgave wordt natuurlijk steeds complexer
[0:25:35] en die dreiging wordt ook steeds intenser.
[0:25:38] maar de impact wordt dus ook steeds groter.
[0:25:40] En ik hoor ook graag van de minister hoe we nu en in de toekomst bestand zijn
[0:25:44] tegen gerichte aanvallen op het politiesysteem.
[0:25:47] Niet in de laatste plaats, voorzitter, omdat het nou juist ook die ICT is
[0:25:51] die we zo hard nodig hebben bij de politie om efficiënt en effectief op te kunnen treden.
[0:25:56] Dus er is juist heel veel meer nodig in ICT om ervoor te zorgen
[0:26:00] dat die politieagent op straat direct kan optreden.
[0:26:04] Graag een reactie ook van de minister hoe het nu staat in die innovatieve kant van de ICT-ontwikkeling
[0:26:10] en waar we ook heel vaak hier in de Kamer over hebben gehad, eigenlijk de basis op orde qua ICT van de politie.
[0:26:16] Kunnen zij nou op een voldoende manier met elkaar werken?
[0:26:20] Voorzitter, dank u wel.
[0:26:21] U bedankt en u heeft nog een interruptie van mevrouw Mütleur.
[0:26:25] Toen wij als rapporteurs de parlementaire verkenning deden naar de vastgelopen strafrechtigheden,
[0:26:30] Dat was een van de conclusies die we trokken, dat de ICT niet goed was bij onze justitiële
[0:26:36] partners en dat ze daarin achterlopen dat daar enorm in moet worden geïnvesteerd.
[0:26:42] Is mijn collega het met mij eens?
[0:26:43] Ik noemde het ook in mijn eigen bijdrage.
[0:26:45] Het is belangrijk om opnieuw met het OM, de politie en de rechtspraak te zitten om te kijken
[0:26:51] waar die kwetsbaarheden zitten.
[0:26:53] Ik noem het dan doorlichting.
[0:26:54] We kunnen het anders noemen.
[0:26:57] Staat mijn collega daar ook welwillend tegenover, omdat ook we weten dat ICT-projecten heel lang kunnen duren?
[0:27:06] Mevrouw Michonne Dijk.
[0:27:07] Ja, voorzitter. Dank aan mevrouw Moedler voor de vraag.
[0:27:12] In mijn optiek is zelfs de ICT bij de politie nog niet eens op orde.
[0:27:15] Laat staan dat die ICT-systemen in strafrechtketen met elkaar kunnen werken, op elkaar zijn aangepast.
[0:27:23] Dus ik vrees, maar het zou ook goed zijn om in dit debat daar reactie van de minister op te horen,
[0:27:30] dat we nog heel ver weg zijn van een goed werkend ICT-systeem voor de strafrechtketen.
[0:27:37] Waarbij we natuurlijk wel enorm veel geld in ICT-politie steken.
[0:27:42] Ik vind het overigens ook niet teveel geld.
[0:27:44] ICT is de basis ook van politiezorg.
[0:27:47] Dus ik zou ook zeggen, geef aan wat nodig is.
[0:27:49] en dan hebben we daar hier de discussie over of we dat er ook voor vrijmaken.
[0:27:54] Ik heb eerder gezegd, we zitten nog steeds op 13 procent van het totale budget mag naar ICT.
[0:27:59] Ik heb geen idee of dat niet een beetje omhoog zou moeten,
[0:28:03] omdat het zo'n veel meer ICT gedreven organisatie wordt.
[0:28:06] Maar wat ik dus vooral zou willen, is dat de politie het zichzelf minder moeilijk maakt,
[0:28:12] laat ik het zo zeggen, en ervoor zorgt dat die basis aan ICT op orde is,
[0:28:17] omdat dat dan het begin is om beter te kunnen samenwerken in de strafrechtketen.
[0:28:23] Dank u wel. Mevrouw Mütler.
[0:28:25] Nee, maar dan hoor ik mijn collega ook zeggen,
[0:28:28] en daar ben ik zelf ook groot voorstander van,
[0:28:30] dat we in beeld moeten brengen waar politie,
[0:28:33] maar ik denk net zo het OM en de rechtspraak tegenaan lopen,
[0:28:37] en dat we dat, als we dat in beeld hebben, ook moeten gaan prioriteren
[0:28:40] en daar voldoende in moeten investeren
[0:28:44] om ze voor de korte termijn zo hackproof mogelijk te maken
[0:28:47] en voor de langere termijn te kijken hoe ze inderdaad de basis veel meer op orde te hebben.
[0:28:51] En ik hoor, denk ik, mijn collega dat zelf te zeggen.
[0:28:54] Dus ik ben ook benieuwd naar de antwoorden van de minister op dat vlak, voorzitter.
[0:28:59] Nog reactie van mevrouw Michonne Derksen, voldoende zo.
[0:29:02] Nee, ik denk dat het goed is dat de minister ook in dit debat
[0:29:04] een toelichting geeft op de stand van zaken ICT-politie.
[0:29:09] En ik ben het eens dat wij daar ook vinger aan de pols moeten houden,
[0:29:11] waardoor volgens mij doen we dat hier ook in de reguliere politie-commissie-debatten met elkaar.
[0:29:19] Goed, dan zijn we daarmee aan het einde van de eerste termijn van de Kamer.
[0:29:23] Ik kijk naar de minister, hoelang hij...
[0:29:24] U kunt gelijk door voor de leden, ook helemaal goed.
[0:29:27] Dan is het woord aan u voor de beantwoording.
[0:29:30] Eerste termijn van de minister.
[0:29:32] Dank, voorzitter. En ik ga in één keer door omdat ik bovenop dit onderwerp zit.
[0:29:37] Ik laat me daar regelmatig over informeren sinds 26 september.
[0:29:42] En daarom zijn de vragen die u heeft voor mij ook geen verrassing.
[0:29:45] Dat zijn de vragen die ik mezelf ook heb gesteld en waarop ik dus antwoorden heb gekregen.
[0:29:49] En zo goed als mogelijk zal ik die hier ook geven.
[0:29:52] Daarbij maak ik één disclaimer.
[0:29:53] Er zijn ook zaken die ik hier niet kan zeggen.
[0:29:55] Niet kan zeggen omdat onderzoeken nog lopen.
[0:29:57] Niet kan zeggen omdat het karakter van die informatie zich niet verhoudt tot het overbare karakter van deze meeting.
[0:30:06] Maar daar waar dat zo is, zal ik dat eerlijk aangeven.
[0:30:09] en dan weet u in ieder geval waarom dat is of waarom ik daar geen antwoord op kan geven.
[0:30:14] Deze episode begon voor mij met een telefoontje later op 26 september van de korpschef.
[0:30:19] En als de korpschef belt na negen uur avonds, dan is dat meestal geen goed nieuws.
[0:30:23] En dat was het nu ook niet.
[0:30:26] Ik ken deze telefoontjes wel.
[0:30:28] Ik was bij de naval verantwoordelijk voor cyber security
[0:30:31] en was dus ook degene die als eindverantwoordelijke werd gebeld
[0:30:35] als er ergens in een organisatie sprake was van een hack of een lek.
[0:30:39] En dat zijn hele vervelende telefoontjes,
[0:30:41] want je weet dat dat meteen impact heeft op mensen, op een organisatie.
[0:30:45] En je weet ook in zo'n eerste telefoontje niet waar,
[0:30:49] wat de impact is. Hoe groot is dit?
[0:30:52] Komen we er vanaf? Komen we erachter of we er vanaf komen?
[0:30:55] Hoe zijn we erachter gekomen?
[0:30:57] Het begint altijd met duizenden vragen en nog heel weinig antwoorden.
[0:31:01] Tegelijkertijd voel je meteen de druk dat dit naar buiten moet.
[0:31:04] Je kunt mensen hiermee niet verrassen.
[0:31:07] Het gaat over informatie, mogelijk persoonsgegevens.
[0:31:10] Je weet nog niet tot welke diepte, maar je hebt een verplichting om je personeel in te lichten over dit soort zaken.
[0:31:16] Dat alles heeft geleid tot het briefje en de communicatie die u een dag later, dus op 27 september, heeft gekregen.
[0:31:24] En die de medewerkers toen ook hebben gekregen.
[0:31:27] Dat is dus niet via de media gegaan.
[0:31:29] Maar zeg ik tegen diegenen die zeggen dat sommige agenten of vele agenten dat wel uit de media moeten lezen.
[0:31:36] Ja, het begon met een bericht op intranet.
[0:31:39] En als ik naar mezelf kijk, ik zit ook niet permanent op intranet.
[0:31:42] Dus de kans was groot geweest dat ik het ook via de media had gelezen en niet op het intranet.
[0:31:48] Nou ja, dat is iets waar we lering uit kunnen trekken.
[0:31:50] Er is later ook meer gerichte communicatie geweest aan medewerkers, onder andere via de e-mail,
[0:31:56] om ze daar nadrukkelijker op te wijzen.
[0:32:00] Wat zet je dan in de eerste communicatie?
[0:32:03] Altijd minder dan je zou willen.
[0:32:04] En dat is gewoon omdat je nog niet precies weet
[0:32:06] wat de omvang van het lek is.
[0:32:08] Dus de eerste communicatie, en daarom heeft hij ook nog
[0:32:12] twee of drie aanvullende stukken gekregen,
[0:32:15] bevatten alleen informatie die we op dat moment hadden.
[0:32:18] En het nadeel daarvan is dat je weet dat het open einde bevat.
[0:32:22] Dat je weet dat mensen op basis van de informatie
[0:32:24] die je dan kunt geven, niet volledige zekerheid hebben over wat is er nu buitgemaakt, wat is er nu weg.
[0:32:30] En dat creëert onrust in de organisatie.
[0:32:32] Dat is een afweging die je dan neemt als eindverantwoordelijke tussen de verplichting om je personeel
[0:32:36] en de autoriteit persoonsgevens te informeren over een hek en als gevolg van een hek een lek
[0:32:44] en de zekerheid die je ze kunt geven over wat is nu de impact op hun veiligheid.
[0:32:49] Alle begrip voor de onrust die dat in de organisatie heeft opgeleverd.
[0:32:53] Ik ben wel blij om te constateren dat we uiteindelijk in de weken die daarna volgden
[0:32:58] wel meer zekerheid hebben gekregen over de omvang van de data die uiteindelijk gelekt was.
[0:33:04] Dat is geen gegeven bij een hek, zeg ik u, dat je die informatie zo goed uit de logs nog terug kunt halen.
[0:33:12] Maar in dit geval hebben we dus met enige mate van zekerheid wel die zekerheid kunnen krijgen
[0:33:16] over welke informatie nou is verdwenen.
[0:33:20] Een aantal zaken die meteen moeten gebeuren en nog wel voordat je naar buiten gaat.
[0:33:25] Dus één weten we zeker dat dit...
[0:33:28] Ja, u had nog een interruptie van mevrouw Wit-Lummer.
[0:33:32] Ja, dat ging met name om de communicatie.
[0:33:34] Volgens mij hebben we aangegeven dat wij vonden, ik vond zelf, dat de communicatie te wensen overliet
[0:33:39] en dat pas een paar dagen later een meldpunt in het leven werd geroepen
[0:33:44] waar politieagenten zich konden melden.
[0:33:46] Maar we hoorden ook bijvoorbeeld criminologen die met politieagenten samenwerken
[0:33:50] horen van ja, wij hebben niks gehoord en onze gegevens staan ook in die systemen en eventueel
[0:33:54] een aantal officieren van justitie.
[0:33:56] Dus ik vraag me af, voorzitter, via u, van de minister, dat kunnen we nu niet terugdraaien,
[0:34:03] maar stel er zou weer een calamiteit als deze zich voorden, dan moeten toch die protocollen
[0:34:09] eigenlijk al klaar zijn en de communicatiestrategie richting je mensen, zodat je dit soort onrust
[0:34:17] zoveel als mogelijk kunt beperken.
[0:34:20] Ik vind dat echt een hele gemiste kans geweest.
[0:34:23] Hartelijk dank.
[0:34:24] En voor de duidelijkheid, we hebben de schorsing overgeslagen,
[0:34:27] dus ik zou graag vier interrupties aan de leden willen gunnen.
[0:34:30] Dan weet u dat, dat u dat kunt doen.
[0:34:32] De minister.
[0:34:33] Dank, voorzitter.
[0:34:34] Ik vertelde over die communicatie dat je een afweging maakt
[0:34:37] tussen hoe volledig kun je zijn op dit moment
[0:34:39] en de plicht die je voelt om je medewerkers te informeren.
[0:34:43] In dit geval hebben we ervoor gekozen
[0:34:45] om de dag nadat ik werd geïnformeerd over de Corpsef de medewerkers te informeren.
[0:34:51] Dat kon, één, omdat we wisten dat inmiddels het lek was gedicht.
[0:34:57] Als dat niet zo is, dan moet je ook nog heel erg oppassen...
[0:35:00] met communiceren naar je medewerkers of naar buiten.
[0:35:02] Want dan kun je juist iemand die nog in je systeem zit de gelegenheid bieden...
[0:35:07] om grote hoeveelheden data weg te trekken voordat je hem uit het systeem hebt.
[0:35:10] Dus dat is één.
[0:35:12] Ik ga niet communiceren op het moment dat dat lek nog loopt.
[0:35:16] Maar we wisten nu dat dat niet het geval was.
[0:35:18] Twee, je probeert zo gericht mogelijk tegen medewerkers dan ook te vertellen...
[0:35:21] wat is er dan aan de hand?
[0:35:23] Nou, we wisten in die eerste dagen wel dat het te maken had...
[0:35:29] met het Outlook-adresbestand, maar de volledige omvang daarvan was nog niet duidelijk.
[0:35:34] Toch hebben we ervoor gekozen om naar buiten te gaan.
[0:35:36] En u zegt, ja, had dat dan niet beter gekund richting ketenpartners, et cetera?
[0:35:39] Nou ja, dat is informatie die in de dagen daarna langzaam naar boven kwam.
[0:35:44] Dat we erachter kwamen dat in dat Outlook-adressenbestand er ook mailinglisten waren.
[0:35:48] Dat in die mailinglisten er ook e-mailadressen voorkwamen van externe ketenpartners.
[0:35:53] Dus langzaam vervolmaakte dat beeld zich.
[0:35:56] Dat geldt ook voor privégegevens.
[0:35:57] In eerste instantie dacht je bij Outlook niet aan privégegevens, maar wat bleek,
[0:36:02] er waren wel degelijk mensen geweest die zelf in Outlook hun privénummer hadden toegevoegd
[0:36:06] of een profielfoto, u zult ze hier in de Tweede Kamer ook hebben die dat hebben gedaan.
[0:36:12] Dus de ongemakkelijkheid dat je communiceert en weet dat je niet volledig bent,
[0:36:18] die voelde ik vanaf het begin en die voel ik ook met u mee.
[0:36:22] Ik heb wel die afweging gemaakt om het op deze manier te doen,
[0:36:25] om in ieder geval niet achteraf verweten te kunnen worden dat we de medewerkers niet
[0:36:31] tijdig in staat hebben gesteld om kennis te nemen van de data die was.
[0:36:36] En dat heeft zeker ongerust met zich meegebracht.
[0:36:38] Had dat meldpunt eerder in het leven kunnen worden geroepen,
[0:36:40] nou, dat is een les die we zeker meenemen voor een volgende keer.
[0:36:43] En net als het in plaats van het plaatsen op intranet,
[0:36:47] wellicht een e-mail te sturen naar het hele bestand,
[0:36:51] dat ze eerder en persoonlijk op de hoogte kunnen.
[0:36:54] Zo leren we continu van dit soort afhandelingen.
[0:36:59] De heer Aardema had eerst nog een vervolgvraag.
[0:37:02] Ja, dank u voorzitter.
[0:37:03] De minister die schetst nu een heel mooi tijdspad van wanneer die dingen heeft gehoord en wanneer
[0:37:08] die dingen heeft gedaan.
[0:37:10] Volgens mij zitten daar enkele dagen tussen, tenminste voordat de algemene mail naar alle
[0:37:15] medewerkers komt.
[0:37:15] Het is pas op zaterdagmiddag om iets over twee, meen ik.
[0:37:19] Maar de vraag aan de minister is nu, heeft hij in die dagen, meteen nadat hij het wist,
[0:37:24] Zijn er toen bijzondere maatregelen genomen
[0:37:26] ten opzichte van bijzondere diensten binnen de politie?
[0:37:30] De minister.
[0:37:31] Zeker. Op basis van de informatie die er was, zeg ik daar wel mee naar de heer Aardema,
[0:37:36] want we hebben natuurlijk elke keer gekeken welke informatie is er weg,
[0:37:39] wat moeten we doen? Je gaat daarbij uit van het ergste scenario.
[0:37:43] We wisten wel dat het vrij snel dat het beperkt was tot de Outlook-omgeving.
[0:37:47] Dus dan ga je kijken welke informatie is er dan te vinden.
[0:37:50] En een van de eerste vragen, die natuurlijk externe ook wel eens intern speelde,
[0:37:53] we zitten met mensen die werken onder dekmantel,
[0:37:56] de meest kwetsbare groep.
[0:37:57] Ik moet eerlijk zeggen, ik hoopte al dat die niet
[0:37:59] onder hun naam in het systeem
[0:38:02] zouden staan, dat bleek gelukkig ook het geval
[0:38:03] te zijn, dus daarmee
[0:38:05] was het acute gevaar voor die operaties
[0:38:08] geleden.
[0:38:10] Tweede wat we hebben gekeken, nou wat
[0:38:11] zou je nou als staatlijke acteur
[0:38:13] met deze informatie, of als acteur,
[0:38:15] we wisten natuurlijk in het begin nog niet dat dat
[0:38:17] staatlijke acteur was, wat zou je nou met die
[0:38:19] informatie kunnen doen?
[0:38:20] Wat brengt die informatie je?
[0:38:24] En dan ga je nadenken, als je dus naam en e-mailadres hebt,
[0:38:28] dan is het dus eenvoudiger geworden om bijvoorbeeld een hele gerichte phishing e-mail te sturen.
[0:38:34] Want je kunt je voordoen als iemand waarvan je dan ook het e-mailadres hebt en de functie.
[0:38:40] En daarmee als ik naar u een e-mail stuur die lijkt te komen van David van Wil,
[0:38:47] Maar je bent dat niet, dan bent u eerder geneigd om daarop in te gaan dan niet.
[0:38:53] Vandaar dat een van de eerste maatregelen die we hebben getroffen is iedereen te wijzen op het risico
[0:38:57] dat het risico op phishing mogelijk is toegenomen doordat deze informatie in verkeerde handen is gevallen.
[0:39:04] Zo hebben we elke keer gekeken naar wat betekent nou de aard van de informatie die weg is
[0:39:09] voor het mogelijke risico waar mensen lopen.
[0:39:12] En daar kwam natuurlijk ook een vraag over van velen van u over de fysieke veiligheid.
[0:39:16] waarom hebben die nou ingeschat als laag?
[0:39:20] En dat is omdat uiteindelijk er geen privéadressen zijn.
[0:39:27] Er zijn geen Facebookpagina's met foto's van familieleden, etc.
[0:39:36] Dat soort informatie waarvan je zou kunnen zeggen
[0:39:37] dat wijst echt op de privéomgeving van een agent,
[0:39:42] die zijn niet buitgemaakt hiermee.
[0:39:44] Dus het betreft de informatie die je ook hier in de Tweede Kamer in Outlook kunt vinden op een visitekaart.
[0:39:51] En dat geeft niet onmiddellijk aanleiding voor een dreiging op de fysieke veiligheid van agenten.
[0:39:57] Vandaar dat we dat risico lager hebben ingeschat.
[0:40:02] Ook nog in combinatie met het feit dat we op een gegeven moment met vrij grote zekerheid wisten dat dat staatlijke actor betreft.
[0:40:07] geen criminele actor en ook dan is de intentie, speelt mee in wat is waarschijnlijk de intentie
[0:40:14] geweest van het vergaren van deze informatie en dat is waarschijnlijk geweest om grotere
[0:40:20] toegang te krijgen via deze eerste hek. Dank u wel. Mevrouw Michonne Derksen was eerst
[0:40:26] nog met een interruptie. Ja voorzitter, richting de minister, kan ik hem goed volgen maar ik
[0:40:35] Ik begrijp het niet.
[0:40:38] En ik begrijp het niet omdat ik de toon om te zeggen...
[0:40:43] het was nu via internet, het zou de volgende keer beter kunnen...
[0:40:48] vind ik niet oké.
[0:40:49] Ik zou heel erg denken dat op dit soort kwesties is geoefend...
[0:40:52] dat dit in draaiboeken zit en dat we met elkaar vooraf hebben afgesproken...
[0:40:56] hoe je ervoor zorgt dat iedereen zo snel mogelijk op de hoogte is...
[0:40:59] en hoe je ervoor zorgt om risico's te minimaliseren.
[0:41:02] En nu lijkt het alsof juist door dit incident...
[0:41:05] Natuurlijk, ik snap dat je van elk incident leert,
[0:41:08] maar het lijkt dat we door dit incident eigenlijk procedures gaan aanscherpen
[0:41:13] of wellicht gaan maken of gaan aanpassen.
[0:41:15] En dat kan toch niet de bedoeling zijn, vraag ik via de voorzitter.
[0:41:19] Ik zou verwachten dat als er zoiets gebeurt
[0:41:22] wat een direct risico is voor het werk van een agent,
[0:41:26] dat we dan in alarmfase één zitten en dat we daar met een alertheid op zitten,
[0:41:32] waardoor je eigenlijk minimaal de fouten kan maken die eigenlijk in deze communicatie nadat het lek is of de hek en lek heeft plaatsgevonden zijn gemaakt.
[0:41:43] Mag ik daar, voorzitter, een reflectie van de minister op?
[0:41:46] Ja, de minister.
[0:41:48] Ja, voorzitter, elke hek en elk lek is anders.
[0:41:53] En zo ook deze.
[0:41:54] Het feit dat met deze gerichte hek alle medewerkers van de politie werden geraakt,
[0:42:01] is vrij ongekend. Er zijn wel vaker hacks, er zijn wel vaker datalacks bij heel veel organisaties
[0:42:10] en daar zijn ook draaiboeken voor. En als dat een vrij gerichte lack van de informatie is,
[0:42:16] u heeft hem ongetwijfeld ook wel eens gehad van bol.com of anderen, dan krijgt u daar gewoon
[0:42:21] een standaard informerend bericht over. Dit lack bevatte of raakte alle politiemedewerkers.
[0:42:32] En in het begin was ook nog niet helemaal duidelijk op welke wijze.
[0:42:37] Dat maakte dit uniek.
[0:42:39] Daaraan hebben we de keuzes gemaakt die we hebben gemaakt,
[0:42:41] waarbij een aantal dingen volgens het draaiboek makkelijk zijn af te werken,
[0:42:45] namelijk het dichten van het lek, het nemen van digitale maatregelen,
[0:42:51] om te voorkomen dat het nog een keer zo gaat plaatsvinden.
[0:42:56] Dus die technische kant, zeker, die staat helemaal vast in het draaiboek,
[0:42:58] om dat systeem zo snel mogelijk weer veilig te maken.
[0:43:02] De personele kant hier, ja, die was uniek.
[0:43:05] Daar hebben we zeker van geleerd.
[0:43:06] Hoe bereik je nu 62.000 mensen op een manier dat er geen paniek uitbreekt,
[0:43:12] maar wel urgentie in doorklinkt en handelingsperspectief voor mensen?
[0:43:19] Een vervolgvraag.
[0:43:21] Maar voorzitter, als je dan op donderdagavond weet,
[0:43:26] of laat het vrijdagochtend zijn,
[0:43:28] want er hebben mensen die hebben ongetwijfeld ook in de uren dat andere mensen slapen hier ook naar
[0:43:33] gekeken, dat het iedereen betreft. Waarom dan dat bericht op intranet? Waarom dan zaterdagmiddag
[0:43:39] pas een mail? Waarom dan zondag die helpdesk open? Dus daar zit toch geen enkel begin van urgentie in
[0:43:49] terwijl, en gelukkig is er niet iets gebeurd, maar als het nou echt gericht was op het op het schade
[0:43:55] van individuele agenten, dan had je toch, als je daar ook weer als agent even met je
[0:44:02] andere dingen bezig bent, had je toch tot maandag niet geweten wat er aan de hand was.
[0:44:06] En dat vind ik echt wel heel zorgelijk.
[0:44:08] Dus ik volg de minister die zegt het is uniek, maar dit nu wetende en ook de risico's van
[0:44:14] al die cyber aanvallen, waar ik ook de minister zo vaak over hoor en waar hij ook zo graag
[0:44:19] die urgentie van op het netvlies heeft, dan moeten we toch ook als de wiede weer gaan aan de gang
[0:44:25] om een sneller en beter handelingsperspectief richting personeel ook op te gaan zetten.
[0:44:31] De minister.
[0:44:33] Ik heb u al gezegd, voorzitter, dat het bericht op intranet wat mij betreft
[0:44:39] de volgende keer gewoon directe mail aan iedereen is.
[0:44:43] Dat hebben we hier hiervan geleerd.
[0:44:46] Hadden we dat van tevoren kunnen bedenken? Mogelijk.
[0:44:48] Ik had graag gewild dat er iemand was geweest in het crisisteam waar wij zaten...
[0:44:53] die had gezegd van, goh, misschien moeten we gewoon een directe mail sturen aan iedereen.
[0:44:57] Dan hadden we dat gedaan. Er was natuurlijk niks op tegen.
[0:45:00] Nu hebben we dat reactief gedaan, omdat we erachter kwamen dat de intranet vrijblijvend was.
[0:45:09] Daarom is er zaterdag meteen ter correctie een mail uitgehaald aan de medewerkers.
[0:45:13] En is er in correctie op, ja, maar wat moet ik dan heen op zondag, die helpdesk ingesteld...
[0:45:17] omdat men via de eigen lijn vond dat men niet snel genoeg de informatie boven kreeg,
[0:45:22] wat aanvankelijk het idee was.
[0:45:23] Dus ik denk dat er elke keer wel gereageerd is.
[0:45:26] Hadden we dit allemaal in één keer beter willen doen, heel graag.
[0:45:30] Hebben we geleerd hiervan? Zeker.
[0:45:32] Zouden we dat de volgende keer anders doen, hopend dat die nooit meer gebeurt?
[0:45:35] Absoluut.
[0:45:37] Dank u wel, voldoende zo.
[0:45:38] Mevrouw van der Werff, u had nog een vraag.
[0:45:42] Ja, voorzitter. Omdat ik echt verbaasd ben over de beantwoording van de minister.
[0:45:46] Hij geeft aan dat hij vanuit zijn eerdere functie en positie ervaring heeft met dit soort hacks.
[0:45:53] En dan begrijp ik echt niet waarom de minister zich geen zorgen maakt over de gegevens die
[0:45:57] nu gestolen zijn.
[0:45:59] Ik weet niet of u het boek Het is oorlog, maar niemand die het ziet van Huib Modderkolk
[0:46:03] kent, maar het gaat daar veelvuldig over het verrijken van datasets door inlichtingendiensten.
[0:46:09] En dat gaat dus niet alleen maar om blokjes data, maar om een compleet beeld te krijgen
[0:46:14] van mensen in landen en een statelijke actor is dus per definitie helemaal niet minder kwetsbaar
[0:46:22] dan een groep criminelen en ik begrijp dus niet dat de minister dat aangeeft en wat ik ook niet
[0:46:27] goed begrijp is het gaat niet om de facebook pagina van mensen het gaat erom dat de identiteit van
[0:46:34] bijna al onze politiemensen nu in handen zijn van een statelijke actor die te moeite waard vond om
[0:46:41] om deze gegevens van ons te stelen.
[0:46:43] Dus ik zou wel van de minister een iets minder optimistische aftronk horen
[0:46:49] over dat dit in de toekomst niets voor de veiligheid van deze mensen betekent.
[0:46:53] Want ik begrijp het echt niet, voorzitter.
[0:46:55] De minister.
[0:46:57] Ja, voorzitter. Ik snap de vragen van mevrouw Van der Werff,
[0:47:00] maar ik denk dat het juist mijn kennis en ervaring is
[0:47:03] en wat ik weet op dit moment van deze hek,
[0:47:05] waardoor ik ook een werkgeversverantwoordelijkheid heb
[0:47:08] om niet mensen onnodig ongerust te maken.
[0:47:10] Als ik aanleiding had om meer ongerust te zijn dan ik nu overkom, dan zou ik dat ook uiten.
[0:47:19] Ik ben hier helemaal niet om zaken te downplayen of om ze mooier te laten lijken voor de zeker vind.
[0:47:29] Ik probeer het echte verhaal neer te zetten en wat ik u vertel is het echte verhaal op basis van de risicoanalyses
[0:47:35] die we hebben gemaakt op basis van de informatie waarvan we weten dat hij weg is.
[0:47:40] En het risico wat mensen daar mogelijk door lopen.
[0:47:42] En wat ik zei, het risico voor de fysieke veiligheid achten wij klein.
[0:47:47] Dat is ons oordeel. Dat is niet om het mooier te laten lijken.
[0:47:50] Dat is een professionele oordeel wat wij aan deze hek geven.
[0:47:56] Mevrouw van der Werff.
[0:47:58] Voorzitter, met het risico dat dit een ingewikkeld debat wordt,
[0:48:02] want ik kan me voorstellen dat de minister op dit punt niet het achterste van zijn ton
[0:48:05] kan laten zien, en daar heb ik alle begrip voor, maar dan toch, ook al zou hij aanleiding
[0:48:12] hebben om te zeggen dat het op dit moment geen gevaar betekent, die gegevens zijn weg.
[0:48:18] En die zouden in combinatie met andere gegevens die online vindbaar zijn of die al in het
[0:48:25] bezit zijn van die statelijke actor, wel voor een gevaarlijke situatie kunnen zorgen in
[0:48:30] de toekomst.
[0:48:31] en deze mensen hebben niet in één keer een andere naam of andere basisgegevens die nu buiten zijn gemaakt.
[0:48:39] Dus ik begrijp sowieso niet, als die gegevens niet de moeite waard zouden zijn,
[0:48:43] waarom ze dan gestolen zijn, maar dat terzijde.
[0:48:45] Kan de minister hier niet iets meer over vertellen, waardoor hij ook de Kamer gerust kan stellen,
[0:48:51] dat dit niet voor de veiligheid van deze mensen zou betekenen?
[0:48:54] De minister.
[0:48:56] Ja, voorzitter.
[0:48:58] Ik ga proberen, zover als ik dat kan doen, ga ik dat proberen te doen.
[0:49:06] Eén, ja, we gaan ervan uit dat deze informatie in de handen is van deze statelijke acteur,
[0:49:11] maar zoals ook aangegeven in de Kamerbrief en de antwoord op vragen van u, monitoren wij
[0:49:15] erg goed of de informatie daar ook blijft.
[0:49:18] Dus wij speuren continu op alle plekken waar we denken dat dat zou kunnen, maar het duikt
[0:49:25] deze informatie ergens op, want natuurlijk zou dat op dat moment wel kunnen leiden tot een
[0:49:30] andere risicoinschatting. Tot op heden, en ik heb dat vandaag nog met de korpschef besproken,
[0:49:36] is die informatie nog nergens aangetroffen, waardoor wij ervan uitgaan dat die nog in handen
[0:49:40] is van de staatlijke actor. Dan als we kijken naar de intentie van de staatlijke actor, dan
[0:49:45] is het vermoeden, kijkend naar de modus operandi van dit soort staatlijke actoren, dat het hier
[0:49:52] gaat om informatievergaring.
[0:49:55] Dus niet direct om individuen in een organisatie lastig te vallen.
[0:50:03] Daar komt dat idee vandaan.
[0:50:05] Als u me dan vraagt om... Maar dan ga ik deels speculeren.
[0:50:08] Van waarom pak je zo'n adreslijst? Nou, precies wat ik net zei.
[0:50:11] Het is een fantastische gelegenheid om op basis van die informatie
[0:50:14] proberen veelgerichten zo'n organisatie in te komen.
[0:50:17] Daarom zagen we dat ook echt als het grootste risico
[0:50:20] dat er specifiek met phishing voordoend als collega's de informatie verrijkt kon worden
[0:50:29] op basis van deze gegevens.
[0:50:31] Daarom hebben we dat ook als het hoogste risico aangemerkt
[0:50:34] en daar ook maatregelen tegen genomen door mensen alert te maken,
[0:50:38] maar ook gewoon door de cyberbeveiliging nog verder op te schroeven
[0:50:42] om daar beter zicht op te hebben.
[0:50:46] Als je kijkt naar de informatie die is buitengemaakt,
[0:50:48] is dat niet, en dat hoorde ik ook in een aantal vragen, het gaat niet om politiedata.
[0:50:54] Het gaat niet om onderzoeksdata, het gaat niet om data uit strafrechtelijke processen.
[0:50:58] Die zitten echt op een andere manier beveiligd.
[0:51:02] Het gaat hier om de Outlook-adreslijst en die is, niet alleen in de politieorganisaties,
[0:51:07] maar in de meeste organisaties is die vrij makkelijk toegankelijk.
[0:51:10] Waarom? Omdat je met elkaar moet kunnen communiceren.
[0:51:14] Dus zeg ik ook naar de mensen die vroegen waarom heeft elke medewerker toegang tot die gegevens?
[0:51:21] Ja, omdat in de organisatie waar je werkt wil je mensen kunnen opzoeken.
[0:51:26] Net zoals je dat hier in de Tweede Kamer kunt doen.
[0:51:28] Dat als ik de heer Aardema wil mailen en ik weet zijn e-mailadres niet, dan typ ik AA in Outlook en dan ben ik blij dat meneer Aardema daar opduikt.
[0:51:37] en als ik wil weten of dat de goeie is, omdat er vier staan,
[0:51:40] dan doe ik met de rechter muisknop en dan ga ik naar properties
[0:51:42] en dan zie ik daar, oh, dit is meneer Aardema,
[0:51:45] Tweede Kamerlid voor de PVV, dat is de goeie.
[0:51:49] En zo voorkom je dus ook dat er communicatie in verkeerde handen komt.
[0:51:53] Dus deze informatie is niet hooggeruliseerde informatie
[0:51:58] en is echt wat anders dan politieinformatie.
[0:52:01] Dat wil ik hier wel nog één keer markeren.
[0:52:06] Wat we wel hebben gedaan met die informatie in aanleiding hiervan, wat de politie heeft gedaan,
[0:52:10] is wel kijken naar het schonen van die informatie, om te voorkomen dat daar onnodig privé-informatie op staat,
[0:52:16] dat er onnodig foto's in staan.
[0:52:18] En voor sommige mensen is dat deel van hun werk.
[0:52:22] Als je wijkagent bent, dan wil je niet ondernummer bekend staan.
[0:52:25] Dan wil je bekend staan als Jan de Wijkagent, want je wil juist dat mensen je herkennen,
[0:52:30] dat mensen je weten te bereiken, et cetera.
[0:52:32] Maar als je in een wat meer afgeschermde omgeving werkt,
[0:52:36] dan natuurlijk is dat heel anders.
[0:52:38] Nou, diegene die vroegen van hoe zit dat met werken onder nummer,
[0:52:42] kunnen we dat uitbreiden?
[0:52:43] Dat staat ook in het hoofdlijnakkoord dat we daarna gaan kijken
[0:52:46] hoe we dat kunnen uitbreiden, zeker in het strafrechtelijke onderzoek
[0:52:49] en dat ook het OM gaat bepalen waar ligt de ruimte
[0:52:52] om dit voor die mensen mogelijk te maken,
[0:52:54] om te voorkomen dat ze privé worden aangesproken op het werk
[0:52:58] wat ze natuurlijk gewoon in alle neutraliteit doen.
[0:53:02] Dank u wel. Mevrouw Van der Werff had u nog een vervolgvraag.
[0:53:05] Ja, voorzitter.
[0:53:09] Kijk, politieagent zijn is gewoon een gevoelig beroep.
[0:53:12] Dus ik begrijp het punt dat de minister maakt over die outlooklijst wel.
[0:53:15] Alleen dit is wel iets anders dan de outlooklijst van de Albert Heijn.
[0:53:19] En volgens mij zit hem daar precies de gevoeligheid in.
[0:53:22] En dat maakt die informatie gewoon interessant.
[0:53:25] Ook al zijn mensen misschien niet meteen in een functie waarbij de operatie in gevaar komt.
[0:53:29] Het wil niet zeggen dat het niet buitengewoon interessant is welke 62.000 Nederlanders bij de politie werken.
[0:53:36] Ik denk dat heel veel landen en partijen dat zouden willen weten.
[0:53:39] En dat maakt dat die informatie ook geld waard is.
[0:53:41] En de minister suggereert hier net dat wij er bovenop zitten en zouden kunnen zien wanneer die informatie verschuift of beweegt.
[0:53:50] En ja, ik denk dat we nooit weten wat we niet weten of wat we niet kunnen zien.
[0:53:56] Misschien is die informatie inmiddels wel bij een derde partij terechtgekomen die daar belangstelling
[0:54:01] voor heeft of wiens dataset daarmee verrijkt zou kunnen worden.
[0:54:05] Dus ik wou de minister toch nog één keer vragen hoe u nou de veiligheid van mensen
[0:54:09] kunt garanderen, ook in de toekomst, op het moment dat ze bijvoorbeeld binnen de politie
[0:54:14] met iets aan de slag willen wat het heel gevoelig maakt, dat duidelijk is dat zij daar werken.
[0:54:19] De minister.
[0:54:23] Even kijken hoe deze vraag op een goede manier beantwoord wordt, voorzitter.
[0:54:34] We kijken op bepaalde manieren, en ik kan niet zeggen op welke manier dat allemaal is, maar dat is ook gewoon op het internet,
[0:54:42] maar kijken we naar komt deze informatie ergens beschikbaar.
[0:54:46] Je zou je kunnen voorstellen dat als je dit soort informatie wilt verkopen, dan zijn er marktplaatsen voor,
[0:54:51] waar criminelen, andere staatlijke actoren elkaar vinden om dit soort data aan elkaar te verkopen.
[0:55:02] Of dat nou buitengemaakte data van de Albert Heijn is of van bol.com of anderszins.
[0:55:11] Data hacks en data lags zijn aan de orde van de dag in onze maatschappij.
[0:55:17] En er is gewoon een business voor.
[0:55:19] Dit soort marktplaatsen, de zwarte markt om het zo maar te zeggen,
[0:55:25] de politie weet ook waar die zijn.
[0:55:28] Dus die hangt daar ook rond.
[0:55:30] Net zoals ze op echte zwarte markten proberen present te zijn
[0:55:34] en daar te kijken naar de contrabanden die daar rondgaan.
[0:55:39] Op die manier en op andere manieren proberen we zich te houden op
[0:55:43] duikt deze data ergens op en als hij ergens opduikt
[0:55:47] Wat gaan we daar dan mee doen en wat zijn dan de risico's die daarbij komen?
[0:55:52] Ik kan dus geen garanties geven dat die data nergens opduikt,
[0:55:55] maar ik hoop wel dat we er zicht op hebben op het moment dat dat zou gebeuren.
[0:55:58] Overigens is de vraag of een statelijke acteur, of dat het doel zou zijn daarvan,
[0:56:04] ik kan dat niet honderd procent uitsluiten.
[0:56:06] Het zou niet de meest logische stap zijn, maar ik zou ze ook zeker niet op ideeën willen brengen
[0:56:10] door het debat wat we hier nu hebben.
[0:56:13] Dat is één.
[0:56:14] Dan twee is naar de aard van de data en wat betekent dat dan voor de veiligheid van mensen.
[0:56:24] Het vertelt inderdaad welke namen er werken bij de politie.
[0:56:30] En dat kan gevoelig zijn, daar wil ik absoluut niet voor weglopen.
[0:56:36] Tegelijkertijd is er ook niet meer informatie te vinden dan dat iemand werkt bij de politie
[0:56:42] en mogelijk op welke plek in die politie.
[0:56:47] Wat je daarmee zou kunnen, is dat die informatie gebruiken
[0:56:52] om een verder beeld op te bouwen van iemand, als je dat zou willen.
[0:56:57] Dat is het risico wat agenten sowieso lopen.
[0:56:59] Of ze nu op straat lopen met hun naamkaartje
[0:57:03] en gefilmd worden in deze wereld
[0:57:07] waarin je met facial recognition mensen gevonden wordt,
[0:57:14] social media accounts worden gecombineerd.
[0:57:18] Dat is in algemene zin een uitdaging voor agenten.
[0:57:24] En ik merk dat ook.
[0:57:25] U noemt zelf al de wens om te werken onder nummer.
[0:57:28] Mensen die in de frontlinie staan, die gefilmd worden bij al het werk wat ze doen,
[0:57:33] moeten al enorm uitkijken met hoe ze verder digitaal vindbaar zijn online,
[0:57:39] omdat er mensen zijn die ze willen benaderen.
[0:57:41] Daar zou deze informatie ook aan kunnen bijdragen,
[0:57:45] als die in de handen valt van een verkeerde mens.
[0:57:47] Dus dat risico zie ik zeker.
[0:57:51] Ja, dat is dan ook wel uw laatste interruptie, mevrouw Van der Werff.
[0:57:55] Ja, voorzitter, dat is zeer spijtig,
[0:57:57] maar volgens mij is dit wel de kern waar het debat over gaat,
[0:58:00] dus ik ga hem toch besteden.
[0:58:03] Het minister zegt net dat er altijd een risico is voor agenten dat hun identiteit bekend wordt.
[0:58:10] Maar dat is natuurlijk iets heel anders dan dat een statelijke actor nu de gegevens van hen heeft gestolen van ons.
[0:58:19] Dat is natuurlijk iets heel anders dan dat ze zomaar op straat lopen en altijd het risico lopen dat iemand hun naam vindt.
[0:58:25] Dus ik vind het wel echt kwalijk dat de minister dat zo bagatelliseert.
[0:58:30] Want dat is hoe ik het hoor.
[0:58:32] En wat ik ook interessant vind, is de minister gaf op 3 oktober aan...
[0:58:36] het veiligheidsrisico schatten we in als heel gering.
[0:58:39] En zei net, ja, ik kan natuurlijk geen garanties geven...
[0:58:43] dat die statelijke actor er niets mee doet.
[0:58:45] En dat lijkt mij wel het eerlijke verhaal, voorzitter.
[0:58:47] Want die garanties hebben we natuurlijk helemaal niet.
[0:58:49] Die statelijke actor is ook niet gek.
[0:58:51] Natuurlijk gaat hij niet op de zwarte marktplaats zitten...
[0:58:54] waarvan hij weet dat onze inlichtingendiensten...
[0:58:56] daar gaan checken of zij het doorverkopen.
[0:58:58] Maar wij weten natuurlijk niet wat daarmee gebeurt op het moment dat zij dat toch op een andere manier gaan gebruiken.
[0:59:05] En dat minister kan ook helemaal niet garanderen dat het in de toekomst niet gebeurt.
[0:59:10] Dus wat is zijn boodschap aan de 62.000 politiemensen om wie dit gaat?
[0:59:16] Wat zij hiermee met deze wetenschap zouden moeten doen?
[0:59:20] En wat gaat de minister eraan doen om ons hiervan goed op de hoogte te houden?
[0:59:24] Want dat veiligheidsrisico wat u eerder geschetst heeft, in mijn ogen is dat gewoon niet realistisch.
[0:59:31] De minister.
[0:59:34] Mijn appreciatie verandert niet.
[0:59:37] Het zou vreemd zijn als ik nu in een keer daar een andere inschatting van zou hebben.
[0:59:43] Dus ik acht nog steeds, zeer gering, dat er uiteindelijk een fysiek veiligheidsrisico ontstaat
[0:59:51] voor agenten op basis van de informatie die hier gestolen is en door wie die is gestolen.
[0:59:56] Dat is het geheel.
[0:59:57] Het enige wat ik nu probeer te doen in het debat met u,
[1:00:01] is afpellen van één, hoe zit het met die actor? Wat is het risico daar?
[1:00:06] Wat hebben daarvoor mitigerende maatregelen
[1:00:08] om eventueel zicht te krijgen op waar gaat die informatie heen?
[1:00:13] En een ander deel van het puzzel is,
[1:00:15] nou, als je dan die informatie zou hebben in handen van mensen die kwaad zouden willen,
[1:00:19] Wat zouden ze dan met die informatie kunnen doen?
[1:00:22] En zo kwamen we op het construct.
[1:00:24] Dus ik pel hem zo ver af als ik kan om inzicht te geven in als er dan risico's zouden zijn,
[1:00:33] wat zouden die dan zijn?
[1:00:35] De overal conclusie blijft hetzelfde.
[1:00:38] En daarmee bachtaliseer ik helemaal niks.
[1:00:40] Ik vind het ontzettend vervelend dat deze informatie is buitgemaakt.
[1:00:44] En ik zou willen dat we dit debat niet hadden gehad.
[1:00:47] Maar dat is niet de realiteit.
[1:00:48] Maar daarbinnen ga ik ook niet mensen onnodig ongerust maken.
[1:00:53] Alsof ze op een thuisadres nu in één keer ongewenst bezoek kunnen verwachten op basis van deze hek.
[1:01:02] Maar dus ook een zeer gering risico lopen op hun veiligheid.
[1:01:08] Dat zeg ik dus wel in deze brief en herhaal ik in dit debat.
[1:01:13] De heer Aardema nog een interruptie.
[1:01:16] Ja, dank u wel, voorzitter. Mevrouw Van der Weyf schetst de ernst van de hek, zeg maar, op het gebied van Outlook.
[1:01:22] Kan de minister mij garanderen dat er niet een doorstap is gemaakt naar salarisadministratie,
[1:01:27] waarbij waarschijnlijk wel privéadressen buiten zouden kunnen worden gemaakt,
[1:01:32] of SumIT, waar rechercheprocessen weliswaar geschot, maar toch staan?
[1:01:37] Kan de minister me garanderen dat dat niet het geval is?
[1:01:39] De minister.
[1:01:41] Met aanzekerheid grenzende waarschijnlijkheid.
[1:01:44] En dat zeg ik u, omdat we redelijk zicht hebben kunnen krijgen op de exfiltratie van data,
[1:01:51] zonder al te technisch te worden, maar je kunt in loggegevens wel zien wat er over netwerken heen gaat.
[1:02:00] En wij weten dus vrijwel zeker dat dit is wat er weg is.
[1:02:05] En met dit bedoel ik dus de hele global address list en alles wat daar aan hangt.
[1:02:11] Dus niet andere systemen zoals de politiedata zelf of salarisadministratiesystemen.
[1:02:19] Dank daarvoor. Mevrouw Helder.
[1:02:22] Ja, voorzitter. De minister heeft heel in het begin van zijn antwoorden gezegd
[1:02:27] we monitoren of buitengemaakte gegevens ergens opduiken.
[1:02:30] Dat lijkt dan op heden niet het geval te zijn.
[1:02:32] Dat zou wel mijn vraag zijn, hoe lang blijven we dat dan monitoren?
[1:02:35] Ik zou bijna zeggen permanent.
[1:02:38] Dus dan reageert de minister wel een beetje over zijn graf heen.
[1:02:40] Dat is natuurlijk wel flauw om te zeggen, de minister zit er net,
[1:02:42] maar ik bedoel, we moeten dit natuurlijk wel blijven monitoren dan.
[1:02:47] De minister.
[1:02:48] Ja, voorzitter, absoluut.
[1:02:50] Overigens zijn dit plekken die de politie sowieso graag monitoort,
[1:02:53] maar nu natuurlijk ook extra alerts op heeft gezet
[1:02:56] daar waar het gaat om deze informatie.
[1:02:58] Reageer ik over mijn graf heen?
[1:03:00] Ja, maar dat doe ik met de volle zekerheid
[1:03:02] dat wie er ook na mij zou komen dat dat niet anders zou vinden,
[1:03:05] want uiteindelijk gaat dit ook om de veiligheid van de medewerkers.
[1:03:08] Dus we willen daar gewoon zicht op houden.
[1:03:12] Mevrouw Jelmer.
[1:03:13] Ja, dan nog een andere vraag, voorzitter.
[1:03:15] Dat zat ook, die kwam ook voort uit een antwoord van de minister,
[1:03:19] want hij zei de personele kant en 62.000 mensen,
[1:03:24] dus agenten, de gegevens in één keer buitgemaakt.
[1:03:28] Dat willen we dus gaan voorkomen.
[1:03:29] Ik heb ook gevraagd, maar ik denk dat antwoord komt nog wel.
[1:03:31] Waarom staan al deze velden in Oudeluk open?
[1:03:34] Maar een van de antwoorden van de minister was van...
[1:03:36] ...ja, goed, dan doen we het misschien niet meer via intranet...
[1:03:39] ...maar dan doen we het via een directe mail aan iedereen.
[1:03:42] Maar nou ben ik jurist en geen ICT-deskundige...
[1:03:45] ...betekent dat dan niet dat als je met één mail ook weer iedereen tegelijk bereikt...
[1:03:49] ...dat dan die velden dan nog steeds openstaan?
[1:03:52] Weliswaar dan vanuit de andere kant, vanuit de organisatie zelf...
[1:03:55] ...maar dat is dan toch ook niet handig?
[1:03:57] GESPREKSLEIDER DE JONGEREN DOOR ELKAAR De minister.
[1:04:00] Ja, voorzitter, ik kan me herinneren dat in de tijd dat ik bij Defensie werkte had je nog in de global addresses nog een all users account.
[1:04:12] En zo één keer in het jaar was er iemand die grappig dacht te zijn bij zijn afscheid of zijn pensioen en zei nou tot ziens.
[1:04:20] En dan waren er altijd een paar duizend mensen die daaroverheen dan weer grappig wilden zijn om daarop te antwoorden.
[1:04:25] Ja, die mogelijkheden kennen de meeste bedrijven al niet meer.
[1:04:30] Dus je kunt als werkgever, kun je wel separatie aanbrengen,
[1:04:34] terwijl je toch daarachter wel één bestand hebt waar het allemaal in staat,
[1:04:39] waardoor je dus wel individuen kunt zoeken, maar niet meer, nou wel als het dus moet.
[1:04:45] Dus als ik dat zou willen, kan er wel een mail van mij naar de hele justitieorganisatie,
[1:04:49] maar niet iedere medewerker kan meteen iedereen in één e-mail bereiken.
[1:04:53] Over de velden die openstonden, ja, dat ging dus met name ook om
[1:04:58] dat kunnen invullen van die privé-informatie.
[1:05:01] We zijn er nu achtergekomen dat dat niet wenselijk is,
[1:05:04] dus dat je ook wel als werkgever een verantwoordelijkheid wil nemen
[1:05:07] in welke informatie kunnen mensen nou daadwerkelijk toevoegen
[1:05:11] in die zakelijke Outlook-adressen.
[1:05:13] En dat bedoelde ik met het opschonen van dat bestand
[1:05:17] om te voorkomen dat mensen daar extra kwetsbaar door zijn
[1:05:20] vanwege de informatie die daarin staat.
[1:05:23] Ja, mevrouw Helder, volg graag.
[1:05:26] Ja, dat leidt dan bijna tot een vraag die plopte tegelijk bij mij op.
[1:05:29] Misschien denk ik dat ik meedestel namens collega Aardema.
[1:05:32] Dan zit het lek dan toch ook daar?
[1:05:35] De minister.
[1:05:36] En nu bij de vrijwilliger.
[1:05:39] Waar het lek zit, en ik wijs hier helemaal niemand aan als schuldige...
[1:05:44] ...en het onderzoek loopt nog...
[1:05:46] ...maar er is via een device toegang verkregen...
[1:05:52] via het beruchte Past de Cookie methode.
[1:05:57] Wat betekent dat?
[1:05:59] Nou ja, we klikken allemaal meerdere malen per dag op...
[1:06:04] ik vrees meestal op Ik ga akkoord...
[1:06:09] op cookieverzoeken die je nu eenmaal krijgt.
[1:06:12] En die cookies hebben een bepaalde geldigheidsduur.
[1:06:15] Dus als jij binnen 10 minuten op dezelfde website terugkomt...
[1:06:18] dan hoef je niet weer opnieuw, ik ga akkoord, in te vullen.
[1:06:23] Nou ja, die geldigheidsduur, daar kun je dus gebruik van maken
[1:06:26] op het moment dat je zo'n bestand weet te krijgen,
[1:06:28] om in dit geval dus toegang te krijgen tot, in dit geval Outlook,
[1:06:33] en daarmee dus die adreslist hebt kunnen krijgen.
[1:06:38] Dat is de manier waarop het gegaan is. Dat kan via phishing zijn.
[1:06:42] Dat kan ook op andere manieren geweest zijn.
[1:06:45] Dus het kan zijn dat er geklikt is door een medewerker.
[1:06:50] Het kan ook op een andere manier geweest zijn.
[1:06:51] Dat onderzoek loopt nog en daar kan ik nu nog niks over vertellen verder.
[1:06:57] Dat komt hopelijk wel als dat onderzoek is afgerond.
[1:07:00] Ja, voldoende zo, mevrouw Helder.
[1:07:02] De heer Zik-Stijkstra.
[1:07:04] Ja, dank, voorzitter. Misschien komt de minister nog op terug,
[1:07:06] maar ik was wel benieuwd, want in zijn brief benoemt hij wel expliciet phishing,
[1:07:11] waarbij hij zegt van het hoeft niet zo te zijn, maar dat kan een manier zijn.
[1:07:13] Ik kan nog wel twintig andere manieren verzinnen dan dat het kan malwaar zijn.
[1:07:17] Waarom heeft hij in zijn bewoordingen dan wel zo'n specifiek scenario uitgewerkt
[1:07:21] terwijl er nog veel onzeker is?
[1:07:23] De minister.
[1:07:24] Omdat het daar vanaf het begin hier wel op lijkt.
[1:07:29] En nogmaals, omdat het onderzoek nog loopt, kan ik er nog niet conclusief over zijn,
[1:07:33] maar dat is de reden dat het is opgenomen in die beantwoording en die brief.
[1:07:39] Ja, duidelijk zo.
[1:07:41] Nog vragen op dit punt, van verleden op dit moment?
[1:07:44] Oké. Gaat u nou vooral verder met uw beantwoorden.
[1:07:47] Dan waren er een aantal vragen over de staatlijke actor.
[1:07:50] Dat diensten hier al vaker op hebben gewezen.
[1:07:53] Hebben we daar dan niet eerder maatregelen op kunnen nemen?
[1:07:55] En hoe gaan we om met de attributie van deze staatlijke actor?
[1:08:00] Het is absoluut bekend dat de AIVD, MIVD, maar ook anderen
[1:08:05] al langer waarschuwen voor de dreiging die uitgaat van staatlijke actoren
[1:08:09] als het gaat om cyberaanvallen.
[1:08:11] En wat ik zei, ook in mijn tijd bij de naval heb ik er velen van meegemaakt.
[1:08:18] Er zijn een toenemend aantal staatlijke actoren, zou ik willen zeggen,
[1:08:22] die bezig zijn met toegang verkrijgen tot ons systeem.
[1:08:25] En dan gaat het niet alleen om politische systemen of defensie systemen,
[1:08:29] maar dan gaat het ook om vitale infrastructuur.
[1:08:32] Toegang verkrijgen tot telecomsector, tot drinkwatervoorzieningen.
[1:08:39] De voorbeelden, zoals ze naar buiten zijn gekomen, zijn er te over.
[1:08:43] Dus dat dreigingsbeeld staat en daar moeten we ons toe verhouden.
[1:08:47] Op basis van dat algemene dreigingsbeeld zijn er maatregelen genomen.
[1:08:54] We monitoren de diensten, ook delen van ons netwerk.
[1:08:59] En uiteindelijk zijn het dus ook de diensten geweest...
[1:09:02] die de politie hebben kunnen alerteren op deze hek.
[1:09:07] Het goede nieuws is dus dat hij gedetecteerd is.
[1:09:11] Het slechte nieuws is dus dat er wel gehackt is en dat er wel informatie is buitgemaakt.
[1:09:19] Ook daarbij, die informatie is vervolgens via het NCSC, zodra daar meer helderheid over was,
[1:09:26] ook doorgegeven aan hun doelgroepen om te voorkomen dat anderen op dezelfde manier
[1:09:32] zouden kunnen worden gehackt door deze actor.
[1:09:34] Dus dat is het...
[1:09:37] In algemene zin, los van deze hack, maar ook als verantwoordelijke voor cybersecurity,
[1:09:43] het uit de schaamte halen van het feit dat een organisatie gehackt wordt.
[1:09:47] Omdat je daarmee door heel snel te acteren en snel bekendheid te kunnen geven over hoe dat gebeurd is,
[1:09:54] help je ook anderen voorkomen dat zij kunnen worden gehackt.
[1:09:57] In die zin maak je het een actor moeilijk door zo snel mogelijk z'n modus operandi te verspreiden
[1:10:04] en iedereen zich te laten wapenen.
[1:10:06] Ik denk dat we dat alleen maar meer moeten gaan doen naarmate de dreiging meer toeneemt.
[1:10:12] Op dit moment loopt het onderzoek nog, het strafrechtelijke onderzoek, naar de dader.
[1:10:17] En hangende dat onderzoek zal er geen attributie worden gedaan.
[1:10:22] Dus dat zal eerst worden voltooid.
[1:10:24] Maar wij denken wel degelijk na over publieke attributie.
[1:10:28] Alleen moeten we kijken, en dat doen we elke keer op een case-by-case basis, ook in het geval van de Chinezenhek,
[1:10:34] wanneer is dat opportun, wie nemen we mee in deze attributie,
[1:10:38] wat betekent het voor de informatiepositie van de diensten, et cetera, et cetera.
[1:10:43] Dat wegen we allemaal mee in de afweging wanneer gaan we naar buiten en op welke manier.
[1:10:48] Ik geloof wel in publieke attributie, omdat het wel heel erg inzichtelijk maakt
[1:10:53] niet alleen voor die landen, want die weten wel wat ze hebben gedaan,
[1:10:56] maar ook voor onze eigen bevolkingen, wat hier gebeurt en wie dat doet.
[1:11:02] Een vraag van de heer Sikkes-Ekstra.
[1:11:05] Ja, dank voorzitter. En mooi dat de minister dat onderschrijft.
[1:11:08] Ik had nog één vraag over het vorige punt, waarin de minister zei,
[1:11:11] ik snap dat hij niet alles in detail kan treden,
[1:11:13] maar in elk geval vindt monitoring plaats op delen van het netwerk.
[1:11:17] En eerder gaf hij ook aan, uit exfiltratie hebben wij kunnen opmaken
[1:11:21] dat er niet meer gedeeld is dan enkel dat adresboek.
[1:11:25] Op de verwoording van delen van het netwerk maak ik op...
[1:11:27] Er zullen vast ook delen van het netwerk zijn waar dat dan niet is.
[1:11:30] Kan de minister, waar hij eerder aangaf met aanzekerheid, grenzen en waarschijnlijkheid
[1:11:34] te kunnen zeggen dat het niet zo is,
[1:11:36] dat er niet delen van het politie- netwerk kunnen bestaan
[1:11:39] via welke route een statelijke actor een separaat exfiltratiekanaal heeft
[1:11:43] waar dan andere gevoelige data gedeeld kan worden?
[1:11:45] Kan hij ons dat comfort bieden?
[1:11:48] De minister.
[1:11:49] Ik heb een vraag met een hoop lagen erin, zonder al te technisch te willen worden.
[1:11:56] De informatie waar nu toegang toe is verkregen, is de laagst drempelige informatie die binnen
[1:12:03] de politieorganisatie beschikbaar is.
[1:12:05] Het is namelijk de oudelijke informatie waartoe iedereen die een e-mailadres van de politie
[1:12:11] heeft, uiteindelijk toegang toe heeft.
[1:12:15] Daar is de beveiligingsdrempel lager en zit er minder lager tussen
[1:12:21] dan als je daadwerkelijk in de politiedatabases zou willen komen.
[1:12:26] Dus in die zin is het wel logisch dat als je dan een hek vindt,
[1:12:30] dat dat op deze plek was gebeurd,
[1:12:34] omdat dat nu eenmaal de plek van de minste weerstand is.
[1:12:37] Desondanks is hij ook daarop gemerkt en hebben we dus kunnen zien,
[1:12:41] achteraf conserverend welke data is verdwenen en waarheen.
[1:12:47] Dat laatste kan altijd met terugwerkende kracht, want je kunt gewoon je logs teruglezen
[1:12:52] als dat niet te lang geleden is om te kijken wat voor data is er overheen gegaan, dat detecteren,
[1:12:57] daar kan ik niet al te diep op ingaan, maar ja daar zitten onze diensten wel bovenop.
[1:13:05] Ja, Helderzaal, gaat u dan vrolijk verder met uw beantwoordingen?
[1:13:15] Even kijken, die heb ik gehad.
[1:13:20] Tegen mevrouw Mutluer zeg ik, dit had dus niet te maken met patching, maar meer met de wijze van toegang verkrijgen.
[1:13:30] En daarom heb ik zo snel mogelijk die informatie daarna gedeeld met andere diensten,
[1:13:34] om te voorkomen dat anderen daar ook slachtoffer van zouden kunnen zijn.
[1:13:39] Geldt die kwetsbaarheid dan ook voor andere overheidsdiensten?
[1:13:41] Nou, ik hoop het dus niet meer. Niet van deze actor, niet op deze manier.
[1:13:45] In de algemene zin zijn we, denk ik, allemaal kwetsbaar voor hacks.
[1:13:51] En er zijn een hoop dingen die we kunnen doen om dat makkelijker te maken.
[1:13:55] Patching is er daar één van.
[1:13:57] Dat is belangrijk voor organisaties, om dat gewoon meteen te doen.
[1:14:01] Bij elke software-update meteen te patchen.
[1:14:04] Een tweede die helpt, is logging. Dus backups maken van je systemen.
[1:14:09] Dat op het moment dat je niet, wat we nu wel hebben kunnen zien...
[1:14:13] ...we hebben nu met honderd procent zekerheid kunnen zeggen het lek is dicht...
[1:14:17] ...er zijn ook hacks waarbij je niet weet hoe diep uiteindelijk de hacker zit.
[1:14:23] En dan rest je uiteindelijk niks anders dan je hele systeem weer opnieuw op te bouwen.
[1:14:28] Nou, als je dan een backup hebt van 24 uur geleden...
[1:14:32] ...dan kun je vrij snel weer je operatie hervatten.
[1:14:35] Heb je die niet en je moet een jaar terug...
[1:14:38] Nou, dat kun je je voorstellen voor een organisatie als de politie of het OM.
[1:14:42] En dan heeft dat enorme impact.
[1:14:44] Dus dat is nog iets wat je kunt doen.
[1:14:46] De heer Aardema noemde al multifactor authentication.
[1:14:50] Ook daar heeft de politie naar gekeken.
[1:14:52] En in een aantal gevallen de policy daarop aangescherpt.
[1:14:54] Dus dat je wel multifactor authenticatie nodig hebt.
[1:14:59] Ik heb me ook wel eens laten bezoeken door hackers.
[1:15:02] Die gingen kijken of ze mijn passwords konden raden.
[1:15:05] Dat is in alle gevallen gelukt.
[1:15:08] Dus ook daar maak je toch maar weer van de gelegenheid gebruik hier om via u tegen iedereen
[1:15:15] te zeggen de naam van je kinderen, hun geboortejaren, de eerste letters van iedereen in de familie,
[1:15:23] je huwelijksdag.
[1:15:25] Het is allemaal vrij eenvoudig te achterhalen, dus werk echt met goede passwords.
[1:15:32] Mevrouw Mutluber, u had nog een interruptie.
[1:15:34] Juist omdat de minister een aantal maatregelen noemt, en wellicht ga ik weer naar de eerste
[1:15:39] discussie over het beschermen van onze politiemensen, want ik ben het eens, het is gewoon een gegeven
[1:15:45] dat die 62.000 gegevens ergens liggen, dat we niet tot de end van jaren kunnen monitoren
[1:15:52] en dat het ergens moet gaan oploppen voordat we daar daadwerkelijk acties op konden ondernemen.
[1:15:57] Ik hoor, voorzitter, de minister met een aantal maatregelen komen
[1:16:02] die die risico's kunnen verminderen
[1:16:05] waarmee onze agenten in een onveilige situatie kunnen komen.
[1:16:12] Volgens mij kunnen we daar allerlei beelden bij hebben
[1:16:14] en scenario's over uit tekenen.
[1:16:18] De concrete vraag die ik ook had was,
[1:16:20] en ik weet niet of de minister daar antwoord op kan geven,
[1:16:23] of er ook verder wordt nagedacht.
[1:16:25] En ik noemde zelf als voorbeeld andere e-mailadressen, andere nummers.
[1:16:31] Dat werken onder nummer, daar heeft de minister al wat antwoorden op gegeven.
[1:16:35] Dat gaan ze uitbreiden. Nou, daar ben ik ook groot volstandig van.
[1:16:38] Welke concrete acties worden naast de acties die zojuist door de minister zijn genoemd,
[1:16:44] nog heel concreet genomen om die risico's zoveel als mogelijk te beperken?
[1:16:52] Ja, de minister.
[1:16:53] Dank, voorzitter. Een hele heldere vraag.
[1:16:55] En deels kan ik daar antwoord op geven, en deels doe ik dat niet.
[1:16:59] Ook omdat de maatregelen die wij nemen ook weer inzicht geven
[1:17:02] voor diegene die kwaad wil met die informatie
[1:17:05] over wat hebben wij daar dan tegen gedaan.
[1:17:08] En daar wil ik ze natuurlijk niet wijzer maken dan we al zijn.
[1:17:12] Dus één, wat ik al noemde, zijn awarenessmaatregelen.
[1:17:15] We hebben mensen bewustgemaakt dat ze alert moeten zijn,
[1:17:20] juist op dit moment op e-mails van schijnbaar collega's, van anderen die mogelijk niet van
[1:17:29] collega's zijn. Daarbij dus ook klik niet op links op het moment dat je twijfelt. Dat is in het
[1:17:36] algemeen een hele goede tip voor ons allemaal, maar nu natuurlijk des te belangrijker. Dan vertelde
[1:17:45] ik al dat er gekeken is naar de opschonen van de Outlook-informatie. Dus er is echt gekeken naar
[1:17:49] welke informatie moet daar nu inzitten, welke informatie moet daar niet inzitten
[1:17:53] en hoe kunnen we zorgen dat daarmee het risico op het lekken van bijvoorbeeld
[1:17:56] privé-informatie zo klein mogelijk is.
[1:18:01] Dan zijn er een aantal monitoringsmaatregelen ingesteld.
[1:18:04] Nou ja, daar ga ik niet al te diep op in hier om vast te kunnen stellen
[1:18:08] wat gebeurt op onze netwerken en ik noemde al de twee-factor-authenticatie.
[1:18:13] Ik kan u ook zeggen dat deze maatregelen zijn allemaal genomen
[1:18:16] dat we binnen de politieorganisatie in consultatie onderhandelen met NCRC,
[1:18:21] maar dat er ook nog gevalideerd wordt op dit moment door een derde partij
[1:18:26] of we hiermee echt alle maatregelen hebben genomen
[1:18:28] die zij kunnen bedenken dat zij genomen.
[1:18:31] Dus op die manier is de politieorganisatie hiermee omgegaan.
[1:18:36] GESPREKSLEIDER. Dank, dat is voldoende voor nu. Continueert u.
[1:18:48] Ik zit even te kijken, voorzitter, naar welke vragen ik nog heb openstaan.
[1:18:56] De cold case informatie, de heer Siks-Dijkstra vroeg daarnaar en of de AP daar een nader
[1:19:02] onderzoek naar moet doen.
[1:19:05] Nogmaals, in dit geval is die informatie, er is geen toegang geweest tot politiedata,
[1:19:11] tot politiesystemen zelf.
[1:19:13] Dus dat geldt ook voor de data die gebruikt wordt voor cold cases.
[1:19:19] Daar zit een poortwachterfunctie op, dat heb ik ook in het Vragenuur met uw Kamer gewisseld,
[1:19:28] die gewoon met menselijke interventie bepaalt wie toegang mag krijgen tot die data.
[1:19:33] Dus daar is niet eens een mogelijkheid op een hek, daar zit gewoon een persoon tussen
[1:19:37] die bepaalt of iemand een bepaalde navraag mag doen in die data.
[1:19:42] We weten dat de autoriteit persoonsgeheugen zich al heeft uitgelaten hier
[1:19:46] over het bewaren van deze informatie, dus niet de wijze waarop, maar het bewaren aan zich.
[1:19:52] En daar zijn we inderdaad bezig met nadere wetgeving die snel naar de Raad van State gaat,
[1:19:57] hopelijk om die lacune te dichten.
[1:20:01] Ik denk, voorzitter, dat ik daarmee de meeste vragen heb beantwoord,
[1:20:05] maar ik zie er nog een paar.
[1:20:07] Ja, ik maak even een ronde langs de velden om de onbeantwoorde vragen bij de leden op te halen.
[1:20:12] Allereerst mevrouw Van der Weer.
[1:20:14] Ja, voorzitter, bij de lange termijn risico's heb ik de minister gevraagd
[1:20:18] om specifiek in te gaan op de risico's voor gezichtsherkenning,
[1:20:23] de inzet van nieuwe undercoveragenten die misschien naar deze groep zouden komen
[1:20:27] en ook de risico's in aanloop naar de NAVOTOP.
[1:20:31] Dank u wel. Ik haal ze allemaal even op.
[1:20:33] De heer Aardema, mevrouw Helder. Mevrouw Helder.
[1:20:36] Ja, dank u wel, voorzitter. Ja, ik heb aan de minister gevraagd
[1:20:39] hebben de mensen aan de knoppen wel voldoende deskundigheid,
[1:20:41] met alle respect, want ik ben zelf geen deskundige, maar ik zit daar dan ook niet.
[1:20:46] Dan had ik ook gevraagd wie heeft bedacht dat het een goed idee is
[1:20:49] dat een politievrijwilliger bij het hele adresboek van medewerkers kan.
[1:20:54] En dat duidelijke signalen hierover blijkbaar niet zijn opgevolgd.
[1:20:58] En dat vind ik wel een hele belangrijke vraag, daar wil ik het antwoord graag op.
[1:21:01] En ik had ook gevraagd hoe lang heeft deze aanvallen zich opgehouden in het netwerk?
[1:21:05] GESPREKSLEIDER. Ja, mevrouw Butler.
[1:21:07] JOURNALISTE. Ja, graag inderdaad. Ook nog even ingaan op de vragen over de NAVOTOP.
[1:21:11] en ik had zelf nog een onbeantwoorde vraag, deels beantwoord, wellicht,
[1:21:17] over inspectie, die eerder heeft aangegeven
[1:21:20] dat de ICT bij de justitiële partners niet op orde is,
[1:21:24] dat dat prioritering en investering behoeft.
[1:21:27] Dus ik hoop dat we nog meer wakker zijn geworden door die politiehek.
[1:21:31] Dus welke acties mogen we ook van deze minister op dat vlak verwachten,
[1:21:37] zodat we hier de basis op orde kunnen krijgen?
[1:21:41] Ik denk dat mijn vragen beantwoord zijn in zoverre de minister ze kon beantwoorden,
[1:21:46] omdat hij natuurlijk op sommige dingen wat terughoudend is.
[1:21:49] Op zijn laatste punt had ik nog wel een vervolgvraag,
[1:21:52] die gebruik ik even als interruptie dan met de toestemming.
[1:21:54] Dat gaat dan om de cold case informatie.
[1:21:57] Begrijp ik de minister dan goed dat het echt gaat om een fysieke persoon,
[1:22:01] dat die systemen ook niet digitaal met elkaar verbonden zijn,
[1:22:04] maar er altijd inderdaad iemand tussen moet zitten
[1:22:06] en dat hij kan garanderen dat het niet via het internet toegankelijk is.
[1:22:12] We beantwoorden die even met de rest, als u dat goed vindt.
[1:22:14] De heer Van Nispen niet, mevrouw Wiesand-Derksen.
[1:22:17] Ja, voorzitter, ik had nog een vraag naar de stand van de huidige ICT binnen de politie
[1:22:24] en ook innovatieve ontwikkelingen binnen de ICT die zeer hard nodig zijn.
[1:22:31] Dank u wel. De minister voor de onbeantwoorde vraag.
[1:22:34] Ja, en excuses dat ik die niet allemaal heb meegenomen in mijn eerste beantwoording.
[1:22:40] Dat krijg je als je je antena-apparaat buiten spel zet en spontaan doorgaat.
[1:22:47] De risico's, dan laat ik beginnen met de navertop, want die is door een tweetal van u gesteld.
[1:22:53] We zijn absoluut alert op wat wij kunnen gaan meemaken, niet alleen tijdens de navertop,
[1:22:58] maar ook in de aanloop daarnaartoe.
[1:23:00] We weten dat er op dit moment al sprake is van hybride en cyberaanvallen op alle NAVO-lidstaten.
[1:23:09] We hebben vorige week nog de kabelbreuk gehad tussen Duitsland en Finland, waarvan we nog de conclusies moeten weten.
[1:23:17] Maar wat wel duidt op hybride aanvallen, zo kan ik nog wel twintig voorbeelden noemen van het afgelopen jaar in Europese landen.
[1:23:25] Het feit dat de navond tot naar Nederland komt, gaat ons meer in het vizier brengen,
[1:23:32] zeg ik dan en vermoedelijk voornamelijk bij Rusland.
[1:23:37] Daar moeten we dus op voorbereid zijn, niet alleen in de fysieke wereld,
[1:23:42] maar ook in het digitale domein.
[1:23:45] En daar bereiden we ons dus ook op voor.
[1:23:47] Wat dat betreft is deze hack ook een hele goede wake-up call,
[1:23:51] zeg ik tegen degene die dat ook noemde,
[1:23:55] om te zorgen dat we daar volop op voorbereid zijn.
[1:24:00] We nemen ook extra maatregelen met dicht op de navond op,
[1:24:03] maar daar kan ik in dit gremium dan bij geen uitspraken over doen.
[1:24:07] De risico's op gezichtsherkenning.
[1:24:11] Als u dat in algemene zin vraagt,
[1:24:13] denk ik dat dat een enorme uitdaging wordt voor de toekomst.
[1:24:20] Niet alleen voor politieagenten,
[1:24:22] maar het gaat een grote impact hebben op velen van ons.
[1:24:28] Het feit dat je met vrij eenvoudige software...
[1:24:31] en dan grote scans door grote datasets mensen kunt matchen.
[1:24:39] En ja, daardoor dus een extra laag, een biometrische laag aanbod...
[1:24:45] die in één keer voor iedereen beschikbaar is.
[1:24:47] Het gaat ook dingen oplossen, zoals met alle technologie.
[1:24:50] Hij zal voor het goede worden gebruikt en voor het zachte.
[1:24:53] Dus we zullen cold cases oplossen op basis van gezichtsherkenningstechnologie.
[1:25:00] Mensen zullen verloren familieleden terugvinden door middel van deze technologie,
[1:25:08] omdat je door hele grote datasets met mensen heen kunt gaan.
[1:25:12] Maar we gaan ook krijgen dat mensen die niet gevonden willen worden om goede redenen,
[1:25:16] of omdat ze in getuigebeschermingsregelingen zitten of zo,
[1:25:19] die lopen ook risico dat met deze technologie ze ergens opduiken
[1:25:23] via een vakantievoto van niemand.
[1:25:25] En datzelfde geldt ook voor agenten.
[1:25:28] En u kunt zich voorstellen dat alle eisen die nu worden gesteld
[1:25:31] aan biometrie en paspoorten al een uitdaging zijn voor inlichtingendiensten
[1:25:36] als het gaat om het proberen mensen onder een andere identiteit
[1:25:42] te laten rompenwegen.
[1:25:43] Dus de goede dingen die deze technologieën brengen,
[1:25:48] brengen ook een uitdaging voor het werk wat we doen.
[1:25:52] En ik denk dat dat ook zo zal zijn voor mensen die undercover werken.
[1:25:54] Dus we moeten daar goed over nadenken.
[1:25:56] Hoe mitigeren we dat?
[1:25:58] Maar ook welke wettelijke beperkingen willen we opleggen aan het gebruik van die technologieën?
[1:26:04] Dat geldt voor artificial intelligence.
[1:26:05] Daar zijn we al een stap verder, denk ik.
[1:26:07] Met de Europese AI Act.
[1:26:09] Maar dat geldt ook zeker voor gezichtsherkenning.
[1:26:12] Als het gaat om deze specifieke data, dan betreft het overwegend e-mailadressen en functiebenamingen.
[1:26:22] Maar diegenen die een profielfoto in hadden zitten, dat is fotomateriaal.
[1:26:30] Dus in die zin zou je daar wat mee kunnen als het gaat om gezichtsherkenning.
[1:26:38] Is er voldoende deskundigheid?
[1:26:40] vroeg mevrouw Helder bij de politieorganisatie.
[1:26:44] Ik denk het wel, en dat baseer ik op mijn ervaringen...
[1:26:50] tussen het ondervinden en onderkennen van de hek...
[1:26:53] en welke maatregelen zijn er genomen.
[1:26:56] En ik denk, de grootste lessen die ik voor mezelf hieruit trek...
[1:27:00] gaan over de communicatie richting de medewerkers en hoe doen we dat.
[1:27:05] Dat kan ik de deskundigen niet aanrekenen.
[1:27:08] Ik zou niet willen zeggen dat dat überhaupt niet in een competentieprofiel hoort,
[1:27:16] maar het is uiteindelijk natuurlijk aan de korpsleiding en aan mij om die communicatie op een goede manier te doen.
[1:27:22] Maar als ik kijk naar de mitigerende maatregelen die zijn genomen na het ondervinden van de HEC,
[1:27:27] en dat zie ik dan maar als de deskundigen die daar zitten, dan denk ik dat dat op een goede manier is gebeurd.
[1:27:32] Dat geeft mij in ieder geval vertrouwen.
[1:27:34] Ja, maar dat is toch nog een vervolgvraag van mevrouw Helder, die dat opwerpt.
[1:27:39] Ja, voorzitter, want kijk, dat is aan de achterkant,
[1:27:42] maar mijn vraag was aan de voorkant dat het überhaupt niet had mogen gebeuren.
[1:27:46] En dan... Daar vloeide die vraag ook uit voort.
[1:27:50] En juist vanwege het feit dat mij te oren is gekomen
[1:27:53] dat er wel degelijk voor gewaarschuwd is
[1:27:55] dat die velden openstonden met deze mogelijk grote gevolgen.
[1:27:59] En dan stel ik dus... Dan vind ik terecht de vraag...
[1:28:02] Nou ja, als de betreffende verantwoordelijken gewaarschuwd zijn
[1:28:06] en blijkbaar niet voldoende geacteerd hebben,
[1:28:09] laat ik het voorzichtig zeggen, dan kun je het hek wel onderkennen.
[1:28:12] Misschien zijn dat zelfs andere mensen geweest
[1:28:13] en dat vind ik fijn dat het onderkend is en dat maatregelen genomen zijn,
[1:28:17] maar als er gewaarschuwd is, dan is er dus gezien
[1:28:20] dat er dingen open stonden wat niet had gemogen.
[1:28:23] Daar had op geacteerd moeten worden.
[1:28:25] Dus dan blijft mijn vraag nog steeds overeind.
[1:28:28] GESPREKSLEIDER DE JOURNALISTE De minister.
[1:28:29] Voorzitter, met het gevaar dat ik ernaast zit, omdat ik niet de waarschuwing heb ontvangen die u heeft ontvangen,
[1:28:35] maar ik denk dat er met de openstaande velden werd geduld op het feit dat je zelf in Outlook je visitekaartje kon aanpassen.
[1:28:41] Dus dat dat de openstaande velden waren, dat heeft dus geleid tot dat mensen privé-informatie hebben toegevoegd,
[1:28:48] waarvan we nu hebben gezegd, ja, dat moet je dus niet willen.
[1:28:51] En dat is dus opgeschoond.
[1:28:54] Dat is niet de oorzaak van de hek geweest.
[1:28:57] Dus die is niet gekomen doordat die informatie kon worden toegevoegd.
[1:29:01] Er is echt via een andere weg toegang gekregen tot het systeem,
[1:29:05] waarmee uiteindelijk die informatie is buitengemaakt.
[1:29:07] Ik denk dat het zo zit, maar als het anders zit, dan hoor ik het graag.
[1:29:10] Dan gaan we erachter.
[1:29:12] JOURNALISTE Ja, u bent door interrupties heen,
[1:29:14] tenzij het heel belangrijk is om het nog te verduidelijken.
[1:29:17] Ja, door kort.
[1:29:18] JOURNALISTE Dan kort, voorzitter, want ik heb van de minister
[1:29:20] onder andere begrepen, bennengekomen via past the cookie wall
[1:29:23] doordat iemand privégegevens heeft ingevuld, als verduidelijking.
[1:29:28] De minister.
[1:29:30] Nee, dat strook niet met mijn beeld over hoe de hek is ontstaan.
[1:29:35] Goed, dan hebben we dat hier zo uit de wereld.
[1:29:38] De minister.
[1:29:40] Dan is de vraag naar de inspectie en de justitiële partners
[1:29:45] en de stand van de ICT.
[1:29:48] Die discussie moeten we zeker voeren, overigens rijksbreed moeten we die voeren.
[1:29:53] Daar hebben we ook het overleg digitale zaken onder andere over.
[1:29:58] En daar moeten we ook periodiek op terugkomen.
[1:30:01] Ook wat mij betreft in het commissiedebat politie.
[1:30:04] Maar het staat voor mij wel los van de cybersecurityhoek...
[1:30:09] die te maken heeft met hoe heeft deze hek kunnen ontstaan.
[1:30:12] Dus in algemene zin, en dan beantwoord ik ook meteen de vraag van mevrouw Michon...
[1:30:16] gaan we een enorme uitdaging hebben om up-to-date te blijven als overheid...
[1:30:20] met alle snelle ontwikkelingen die er zijn in IT-land.
[1:30:23] En daar voeg je dan informaties aan toe.
[1:30:26] De overheid heeft niet de beste track record als het gaat om hele grote IT-projects.
[1:30:32] Dus dat is een enorme uitdaging.
[1:30:34] Ik denk dat er wel verbeteringen zijn doorgevoerd, ook rijksbreed,
[1:30:38] om meer grip te krijgen op hoe doen we die aanbestedingen,
[1:30:41] hoe voorkom je nou dat dit soort systemen eindeloos uitlopen in de tijd
[1:30:48] en dan tegen de tijd dat ze ingevoerd worden alweer achterhaald zijn
[1:30:51] en op het moment dat we ze hebben, dat ze zo specialistisch zijn
[1:30:54] dat we ons een breuk betalen om ze allemaal up-to-date te halen,
[1:30:58] terwijl je eigenlijk ziet dat de buitenwereld veel sneller gaat
[1:31:00] qua informatie.
[1:31:02] Nou, dat zijn allemaal lessen die moeten we leren, die worden geleerd.
[1:31:07] Alleen het strekt wel breder dan dit debat.
[1:31:11] Als het gaat om innovatie, daar heb ik persoonlijk...
[1:31:18] een visie op en ook in het kader van intensiveringen, bijvoorbeeld de 100 miljoen,
[1:31:24] hebben we daar ook geld voor vrijgemaakt om te kijken hoe kan de politie nou op een betere manier
[1:31:28] innoveren. Dat gaat breder dan IT, zeg ik daarbij, maar het valt er wel onder. Wat je eigenlijk ziet
[1:31:35] in de buitenwereld is dat commerciële technologie veel sneller ontwikkeld wordt dan wat welke
[1:31:43] overheid dan ook maar doet. En als voorbeeld dan noem ik SpaceX, wat natuurlijk NASA en
[1:31:49] gevestigde bedrijven op een ongelofelijke manier van de tronen heeft gestoten, of Starlink,
[1:31:55] wat in één keer een communicatiemogelijkheid heeft geboden, die van overheids wegen gewoon
[1:32:00] niet beschikbaar was. Dus we moeten vertrouwen op de innovatieve kracht die er is en de massa
[1:32:05] van de markt die uiteindelijk verzorgt dat dit soort enorme grote projecten ook van
[1:32:11] de grond kunnen komen. En dan moeten we goed kijken naar onszelf als overheid, hoe hebben
[1:32:15] we onze behoeftestellingsprocessen ingericht, namelijk heel erg lang. Hoe hebben we onze
[1:32:21] aanbestedingsprocedures ingericht, namelijk heel erg gecompliceerd. En hoe verhouden die
[1:32:25] twee werelden zich tot elkaar. Want als we dat niet doen, dan loopt het risico dat we
[1:32:31] met de technologie van gisteren aanlopen achter criminelen die met hun enorme diepe zakken
[1:32:39] met de technologie van morgen aan de hauw gaan.
[1:32:41] Dat is een risico. Ik heb hoop in sommige opzichten.
[1:32:46] Ik denk dat het kraken van EncroChat en andere diensten...
[1:32:50] een goed voorbeeld is van hoe we de criminelen dicht op de hielen zitten.
[1:32:55] Maar we hebben ook al uitbraakpogingen met drones gezien.
[1:32:59] We gaan te maken krijgen met gezichtsherkenning als uitdaging.
[1:33:04] Als de kwantumcomputer er komt, dan gaan we een probleem krijgen...
[1:33:07] met onze gecodeerde communicatiesystemen.
[1:33:12] Er zijn ontzettend veel uitdagingen waarbij ik geloof...
[1:33:14] dat de beste technologie op de markt aanwezig is.
[1:33:17] En de uitdaging wordt hoe maken we de politie kundig...
[1:33:21] om dat ook aan te kunnen pakken.
[1:33:24] De cold case-vraag nog van de heer Six-Dijkstra.
[1:33:27] Daar kom ik op terug, want die was heel technisch.
[1:33:31] Namelijk of er ook fysiek een scheiding is...
[1:33:34] tussen die specifieke informatie en de rest van de systemen,
[1:33:39] dat beantwoord ik seperaat, dat die informatie...
[1:33:43] Ik zou niet durven speculeren.
[1:33:50] Ja, en daarmee waren alle vragen beantwoord.
[1:33:53] Goed, dan zijn we daarmee aan het einde van de eerste termijn van de minister.
[1:33:59] We hebben de toezegging voor de heer Sik-Steyns ook genoteerd.
[1:34:02] Daarmee komen we aan de tweede termijn aan de zijde van de Kamer.
[1:34:05] We zitten goed in de tijd, het is een belangrijk onderwerp,
[1:34:08] Dus ik zou u graag twee minuten daarvoor willen geven met twee onderlinge interrupties.
[1:34:12] Dan hebben we ook nog goede tijd voor de termijn met de minister.
[1:34:16] Mevrouw van der Werff, aan u het woord.
[1:34:21] Ja, voorzitter, dank u wel.
[1:34:24] Ik ben een optimistisch mens, maar ik ben hier echt niet gerust op.
[1:34:28] In ieder geval niet zo gerust als de minister hierop lijkt te zijn.
[1:34:33] En dat komt omdat hij toch een aantal voorbeelden aangeeft die mij niet de kern van de zaak lijken.
[1:34:39] Dat mensen op Facebook vindbaar zijn en dat je als agent ook op straat of op andere plekken het risico loopt dat iemand je beroep kent...
[1:34:47] en dat de kans nu klein is dat er iemand voor hun deur staat, ja, dat begrijp ik.
[1:34:52] Maar daar gaat het nu toch niet om?
[1:34:55] Ik zou ook zeggen, laten we ook even eerlijk zijn.
[1:34:58] Het feit dat die 62.000 namen nu in handen zijn van een statelijke actor die het de moeite waard vond om dat van ons te stelen...
[1:35:07] Dat lijkt me toch iets wat we liever niet hadden gehad.
[1:35:10] En dat brengt risico's met zich mee.
[1:35:13] Dus ja, voorzitter, ik zou de minister willen vragen om toch nog eens in te gaan op wat hij nu gaat doen
[1:35:22] voor met name die mensen voor wie het buitengewoon onaantrekkelijk is dat hun naam nu toch bekend is.
[1:35:28] Of dat nou is omdat ze bijvoorbeeld in de toekomst bij een kofferoperatie mee zouden willen doen
[1:35:33] of omdat ze al jaren bij de politie werken.
[1:35:36] en die wel erg hun best hebben gedaan om dat in de anonimiteit te doen.
[1:35:43] En, voorzitter, ik zou ook nog willen weten...
[1:35:46] de minister gaf net aan, ja, inderdaad, op het gebied van gezichtsherkenning...
[1:35:50] kan dit een probleem zijn.
[1:35:52] Wat gaan we nou doen op het moment dat er wel aanwijzingen zijn...
[1:35:56] dat die dataset op meerdere plekken in handen is en dat die gekoppeld gaan worden?
[1:36:02] Wat gaat de minister dan ondernemen en hoe gaan wij daar als Kamer over worden geïnformeerd?
[1:36:14] Ik ga mijn hele inleidende tekst niet herhalen, want het is al veelvuldig gedaan, ook door anderen,
[1:36:19] denk ik. De minister heeft ook duidelijk gezegd dat de communicatie beter kon en ook gaat gebeuren
[1:36:26] in de toekomst, mocht het helaas nog een keer gebeuren. Ik hoop niet dat het zo is. Hij heeft
[1:36:30] duidelijke antwoorden gegeven op prangende vragen die ik had en ook de maatregelen die zijn genomen
[1:36:35] ondanks dat hij die niet allemaal kenbaar kan maken om begrijpelijke redenen is is het toch wel
[1:36:41] duidelijk. Ja cold case zaken die zijn vaak per definitie niet digitaal want dat zijn vaak meters
[1:36:47] lange ordners en verhuisdozen vol met bewijsstukken. Veel regisseurs zouden denk ik willen dat ze
[1:36:54] digitaal waren want dan was het makkelijker zoeken in zo'n berg. Ik heb ook begrepen van de minister
[1:37:00] dat daar geen doorstap op is geweest en ook niet naar andere bestanden
[1:37:05] die kunnen leiden naar echte privégegevens van politiemedewerkers.
[1:37:10] Dus wat dat betreft heeft me dat wel gerustgesteld,
[1:37:12] maar het blijft natuurlijk altijd een hele slechte zaak
[1:37:14] dat hetgene gebeurd is wat nu gebeurd is.
[1:37:17] En ik hoop dat het niet weer gebeurt. Dank u wel.
[1:37:20] U bedankt, mevrouw Helder.
[1:37:22] Ja, dank u wel, voorzitter.
[1:37:24] Ja, dank aan de minister voor de duidelijke antwoorden.
[1:37:27] Ja, heel gerustgesteld.
[1:37:28] Ik denk dat niemand van mijn collega's dat zal zijn.
[1:37:31] Ik ook niet, voorzitter, want de minister verwijst terecht
[1:37:34] naar EncroChat en Exclu hebben we gehad
[1:37:37] en al die cryptocommunicatiediensten die door medewerkers
[1:37:40] van de landelijke eenheid en soms van de recherche in Amsterdam
[1:37:43] zijn gekraakt hulden voor hun werk
[1:37:45] en dat dan juist hun gegevens ook nog op straat komen te liggen,
[1:37:49] dat is natuurlijk wel heel pijnlijk.
[1:37:51] Dus die deskundigheid is er wel, maar ik had gevraagd
[1:37:54] naar de deskundigheid van de eindverantwoordelijken
[1:37:56] op de betreffende plek.
[1:37:58] En ja, daar ben ik dus niet blij met de antwoorden van de minister.
[1:38:01] Hij zegt, die informatie heb ik niet. Dat kan.
[1:38:05] Misschien klopt de informatie ik heb gekregen niet,
[1:38:07] maar ik kan dit niet een open einde laten zijn, voorzitter.
[1:38:11] Dus misschien... Ja, ik ga geen vertrouwelijke briefing geven.
[1:38:14] Het klinkt natuurlijk heel raar, maar ik ben wel bereid
[1:38:16] om de minister dan wel wat nader te informeren.
[1:38:19] Ik zal bij diegene vragen of dat akkoord is of zo,
[1:38:21] want dit kan ik niet laten lopen.
[1:38:24] Dus daar kan de minister ook geen antwoord op geven.
[1:38:26] Ik ben bereid om dan maar als tussenpersoon te fungeren,
[1:38:30] want ik ben het met collega Adenaar eens,
[1:38:32] en ik denk ook alle collega's met mij, dat dit in ieder geval niet meer mag gebeuren.
[1:38:36] Maar dit openeind heb ik nog steeds
[1:38:38] en ja, dan is die deskundigheid dan naar mijn mening nog steeds niet
[1:38:42] en kan het nog steeds wel gebeuren,
[1:38:44] want de minister zegt, ja, ik heb vertrouwen in deskundigheid
[1:38:48] gebaseerd op de onderkenning van de HEC,
[1:38:49] maar ik wil toch echt aan de voorkant terechtkomen. Dank u wel.
[1:38:53] Dank u wel. Mevrouw Mitloer.
[1:38:55] Dank u, voorzitter. Ja, de schrik zit er best wel goed in.
[1:38:58] Het gaat namelijk om ruim 62.000 agenten die voor onze veiligheid staan.
[1:39:05] En als zij kwetsbaar zijn, dan is de samenleving kwetsbaar.
[1:39:08] En als een dergelijke hek gebeurt, dan verwacht ik dat er communicatie er ligt,
[1:39:13] dat er een draaiboek ligt, dat er protocollen zijn waar snel op kan worden teruggevallen,
[1:39:19] waarin meerdere scenario's zijn uitgewerkt en het allemaal goed of beter gaat dan nu.
[1:39:26] En ik wil graag die toezegging hebben, want dat lijkt mij de meest logische stap binnen zo'n grote organisatie.
[1:39:33] Ik ben ook ongerust en ik maak me zorgen om de toekomst en waar en hoe die gehackte informatie straks gaat opduiken
[1:39:40] en wat dit eventueel zou kunnen betekenen voor de veiligheid van de agenten.
[1:39:44] Ik hoor de minister duidelijk aangeven dat we echt wel een aantal maatregelen gaan nemen.
[1:39:53] Ik ga ervan uit dat de minister periodieke overleggen heeft met de politieorganisatie
[1:39:58] dat deze hek een vast onderwerp wordt bij die overleggen.
[1:40:03] Ik neem aan dat de maatregelen om die negatieve effecten en de risico's te beperken, constant
[1:40:08] wordt gemonitord en gekeken wordt wanneer wat bijgestuurd en dat die monitoring, zolang die
[1:40:15] risico's bestaan, niet wordt afgeschaald en de ICT-hackproof maken van de politie, maar ook het
[1:40:23] OM en de justitie.
[1:40:24] Dat staat hoog bij mij nog op de agenda.
[1:40:27] Daarom denk ik dat ik zelf nog met een twee-minutendebat zou willen komen, voorzitter, die
[1:40:32] nog niet was aangevraagd, zodat we daar ook wat concreetere voorstellen voor kunnen indienen.
[1:40:37] voorzitter. Hartelijk dank en dat was inderdaad het geval dus we zullen u als eerste spreken daar
[1:40:42] noteren. De heer Sikstekster. Ja dank voorzitter en ik dank ook de minister voor zijn beantwoording.
[1:40:48] Tegelijkertijd deel ik ook de onrust die veel van mijn collega's al benoemd hebben. Als het
[1:40:53] gaat om HECS moeten we natuurlijk altijd voorbereid en waakzaam zijn, maar we moeten het ook nooit
[1:40:57] normaal gaan vinden. Zeker niet als het zo'n impact op mensenlevens heeft. Het is goed dat
[1:41:05] dat deze onderkend is, dat wil ik ook zeggen.
[1:41:07] Ik hoorde minister zeggen dat het ook via onderkenning vanuit de diensten was.
[1:41:11] En wat dat betreft werkt het systeem.
[1:41:13] En daar ben ik al heel blij om, want we zien natuurlijk niet wat we niet zien.
[1:41:17] En als we meer dingen zien, kan het ook betekenen dat we beter zicht krijgen.
[1:41:20] En wat dat betreft, goed dat we ook waar mogelijk daar openlijk over spreken
[1:41:23] en ook uit de taboesfeer komen als het gaat om ingrijpende hekoperaties.
[1:41:30] Ik hoop dan ook dat we als Kamer worden meegenomen wanneer het mogelijk is
[1:41:34] verder openbaarwording, zowel over de modus operandi als over de attributie van de actor
[1:41:39] en de verdere gevolgen van heks als deze, maar ook specifiek deze heks.
[1:41:45] Dank u wel.
[1:41:46] U bedankt.
[1:41:47] De heer Van Nispen.
[1:41:48] Dank u wel, voorzitter.
[1:41:49] Ik begin toch met een korte opmerking over de eerste communicatie, want ik ben het wel
[1:41:54] een beetje met onder andere de kritische vraag van mevrouw Michonne Derksen eens dat zo'n
[1:41:58] draaiboek van wat ga je nou doen als zoiets zich voordoet, dat dat eigenlijk wel klaar
[1:42:01] had mogen moeten liggen.
[1:42:04] Want nu wordt gezegd, ja, dat zouden we de volgende keer misschien beter doen,
[1:42:07] door wel direct een mail te sturen.
[1:42:08] Nou ja, ik zou toch denken, zoiets had wel klaar kunnen of moeten liggen.
[1:42:14] Ja, misschien is dit iets uit de categorie achteraf praten is altijd makkelijk,
[1:42:17] maar hiervan denk ik dat het toch wel gerechtvaardigd is.
[1:42:21] En dan blijf ik volgens mij nog wel zitten met,
[1:42:22] wat wordt er nou echt gedaan om dit in de toekomst te voorkomen?
[1:42:25] Dat is natuurlijk ook een verschrikkelijk moeilijke vraag, dat snap ik.
[1:42:28] En ik geloof niet zozeer dat ik deze minister aan moet moedigen
[1:42:30] om voldoende aandacht te hebben voor cyberveiligheid.
[1:42:33] Die zal er echt zijn, die urgentie.
[1:42:36] Toch is mij nog niet geheel duidelijk welke echte concrete lessen hier nou van zijn geleerd.
[1:42:42] Of er inderdaad voldoende in wordt geïnvesteerd.
[1:42:45] Ik weet dat er meer in wordt geïnvesteerd, maar of dat nou dan echt dit voordrag gaat voorkomen.
[1:42:52] En hoe we ook voorkomen dat dit bij de politie of elders nog een keer zo kan gebeuren.
[1:42:56] Misschien is dat ook niet helemaal uit te sluiten.
[1:42:58] Dan moet de minister daar ook eerlijk over zijn.
[1:43:00] Maar ik ben toch benieuwd wat hij hierop kan antwoorden.
[1:43:03] Dank u wel.
[1:43:04] Mevrouw Michon-Derksen.
[1:43:07] Ja, voorzitter.
[1:43:07] Ik denk dat de korpsstelling van de politie ontzettend blij mag zijn met deze minister.
[1:43:14] Die dus heel veel verstand heeft van de cyberaanvallen.
[1:43:18] Heel veel verstand heeft van ICT.
[1:43:20] En hier de dingen ook zo aan ons uitlegt.
[1:43:24] En op onze vragen ingaat.
[1:43:26] op een manier die heel vertrouwwekkend is.
[1:43:29] En tegelijkertijd hoop je dat datzelfde kennis- en expertise-niveau
[1:43:35] ook bij politie tot en met korpsleiding politie aanwezig is.
[1:43:41] En als ze inderdaad mij vragen over hoe ziet dan een draaiboek eruit
[1:43:47] als zoiets gebeurt, lijkt er niet te liggen.
[1:43:50] en ook de vragen van hoe weten we nou wat er met die data is gebeurd,
[1:43:57] ja, daar is toch het antwoord dat houden we in de gaten.
[1:44:00] Terwijl ik dus denk die hele cyberveiligheid is het topic van de aankomende jaren,
[1:44:07] wordt alleen maar erger.
[1:44:08] En die basis van ICT is eigenlijk nog niet eens op orde.
[1:44:11] En ook daar begrijp ik alle rationele antwoorden, de ratio in de antwoorden van de minister.
[1:44:16] Maar het hele pakket met elkaar, ja, dat stemt wel zorgelijk.
[1:44:25] En ik denk ook dat we er dus in commissieverband met elkaar over moeten blijven hebben.
[1:44:31] En ik zou ook aan de minister willen vragen of hij ons kan informeren met een, zeg maar,
[1:44:37] ik noem het altijd een agenda, een soort ICT-agenda van de politie, dat wij dus niet omdat we
[1:44:42] hier elke systemen mee gaan ontwikkelen, maar dat we wel zicht houden op waar nou ook die uitdaging
[1:44:50] op ICT zit. Of er ook inderdaad die budgetten kloppen, dat vroeg ik ook in eerste termijn,
[1:44:56] of dat voldoende is en of we daar dus ook vinger aan de pols houden met wat er nodig is voor ICT
[1:45:03] politie. Het is essentieel en het is tegelijkertijd moet het ook voor mensen die daar werken veilig
[1:45:09] Dat zien we maar aan de actualiteit van dit debat.
[1:45:12] Dank u wel, voorzitter.
[1:45:13] Ja, dank u wel.
[1:45:15] Dan hebben we de tweede termijn van de Kamer.
[1:45:17] De minister, en we zitten goed in de tijd,
[1:45:19] dus ik zou u graag drie interrupties willen geven
[1:45:22] voor deze tweede termijn van de minister.
[1:45:24] Aan u het woord.
[1:45:25] Dank, voorzitter, en wederom dank voor de inbreng in tweede termijn.
[1:45:29] Laat ik nog één keer zeggen,
[1:45:31] het is echt niet mijn bedoeling om hier zaken te bagatelliseren.
[1:45:35] Ik had gewild dat ik hier niet had gezeten
[1:45:38] en dat deze hack niet had plaatsgevonden.
[1:45:42] Dat was mij veel liever geweest, zeg ik ook naar alle 62.000 politieagenten.
[1:45:48] Het enige wat ik hier heb willen doen is ook niet onnodig ongerustheid zaaien
[1:45:52] onder die 62.000 politieagenten.
[1:45:55] En dat is waarom ik de duiding heb gegeven zoals ik hem ook in de brief heb gegeven.
[1:45:59] Dat neemt niet weg dat de risico's niet nul zijn.
[1:46:02] Ook dat heb ik hier gezegd.
[1:46:03] Ik acht ze zeer gering, zeker zolang de data niet elders opduikt,
[1:46:08] maar ze zijn niet nul.
[1:46:09] En daarom zullen we dat blijven monitoren.
[1:46:11] Heb ik al eerder gezegd, ook over mijn graf heen,
[1:46:14] zal deze data gemonitord blijven
[1:46:17] en afhankelijk van hoe die opduikt en in welke vorm,
[1:46:20] zullen we ook dan maatregelen moeten treffen om die te mitigeren.
[1:46:24] Als het gaat om de informatie van de mensen die daarin staan
[1:46:27] en belemmert hen dat om bijvoorbeeld onder dekmantel te gaan werken in de toekomst,
[1:46:32] dan denk ik dat de antwoord daarop nee is, want dat betekent op dat moment
[1:46:35] dan verdwijnen ze uit deze database, want dat gebeurt met mensen die onder dekmantel gaan brengen
[1:46:41] en zijn ze dus ook niet meer vindbaar.
[1:46:44] Wat hun oude identiteit dan was, zonder enige aanwijzing dat iemand nu onder dekmantel werkt,
[1:46:52] zou op basis van deze gelekte informatie voor zo iemand geen risico of geen aanvullend risico,
[1:47:00] Het is sowieso risicovol werk, maar geen aanvullend risico moeten opleveren.
[1:47:05] Dat zeg ik via uw voorzitter tegen mevrouw Van der Werff.
[1:47:09] Ja, en mevrouw Van der Werff heeft nog een interruptie voor u.
[1:47:12] Ja, voorzitter, want natuurlijk begrijp ik dat de minister mensen niet onnodig ongerust wil maken.
[1:47:18] En dat wil ik ook niet, want ik stel hier hele kritische vragen en ik kan me voorstellen dat dat ook ongemakkelijk is.
[1:47:24] Maar ik wil ook even voor de luisteraars nadrukken dat dat niet mijn intentie is,
[1:47:28] maar dat ik vind dat wij als parlement hier uitermate kritisch op moeten zijn,
[1:47:31] omdat het niet niks is.
[1:47:33] Dat gezegdhebbende,
[1:47:35] het is natuurlijk gewoon heel kwetsbaar dat die gegevens weg zijn.
[1:47:39] Ook als dat betekent dat er niet morgen iemand voor de deur van een agent staat.
[1:47:43] Ook dan is het heel kwetsbaar dat die gegevens weg zijn.
[1:47:46] En ik kan me voorstellen dat als je weet dat jouw naam ergens bekend is
[1:47:53] en dat het onduidelijk is of die informatie ooit wordt doorgegeven
[1:47:57] of doorverkocht aan derden, dat je minder snel de stap zet om een spannendere functie binnen de politie,
[1:48:05] zo zeg ik het maar even plat, te gaan doen dan op het moment dat dit niet was gebeurd.
[1:48:11] Dus het betekent gewoon wat voor de motivatie van mensen en voor het veiligheidsgevoel van mensen.
[1:48:16] Ook al is het niet meteen te herleiden of je van vandaag op morgen onder dekmantel gaat werken.
[1:48:22] En daar wil ik graag een reflectie op van de minister.
[1:48:25] De minister.
[1:48:26] Nee, maar natuurlijk hebben we hier te maken met één, wat zijn de klinische risico's en feiten die we zien.
[1:48:33] En twee, wat betekent dit voor mensen, de wetenschap dat deze informatie weg is en dat jouw naam en je functie daarin voorkomt.
[1:48:41] Ik heb daar alle begrip voor.
[1:48:43] Dat is de reden dat we dat meldpunt hebben ingesteld.
[1:48:45] Dat hadden we, zeg ik tegen al diegenen die dat zeiden, hadden we eerder moeten doen.
[1:48:49] Dat komt ook zeker in de draaiboeken voor de toekomst.
[1:48:52] En nog steeds is die openheid er om binnen de politie dat gesprek aan te gaan met diegenen die ongerust zijn.
[1:48:59] Ik hoorde vorige week ook voorbeelden genoemd worden van mensen die niet op vakantie waren gegaan vanwege deze hek.
[1:49:06] Daar moeten we het over kunnen blijven hebben.
[1:49:09] Dus ik wil de gevoelens van onveiligheid die mensen voelen helemaal niet wegnemen.
[1:49:14] Daar staan we ook voor open om daar het gesprek over aan te gaan.
[1:49:17] Dat staat los van de duiding die ik heb geprobeerd te geven aan wat denk ik nu dat er nu met deze
[1:49:25] informatie zou kunnen gebeuren.
[1:49:26] Ik hoop dat die twee naast elkaar kunnen bestaan en ik hoop dat ik daarmee de medewerkers ook
[1:49:32] de beste informatie geef die ik kan bieden.
[1:49:36] Mevrouw van der Werff.
[1:49:39] Ja, voorzitter.
[1:49:40] En toch voel ik een blijvend ongemak en ik kan me voorstellen dat dat ook voor de politiemedewerkers
[1:49:46] geldt.
[1:49:47] omdat ook na dit debat de belangrijkste vraag eigenlijk niet is beantwoord.
[1:49:52] Dat namelijk dat er nu geen risico is...
[1:49:55] dat niet betekent dat dat risico zich niet alsnog gaat aandienen.
[1:50:00] Simpelweg, ook al monitoren we van alles, je niet weet wat je niet ziet.
[1:50:06] En daarom begrijp ik dus ook niet dat de minister...
[1:50:08] niet wat terughoudender en voorzichtiger is in zijn beantwoording richting ons...
[1:50:13] en daarmee ook naar de politie over het feit dat het allemaal wel meevalt.
[1:50:16] En ik wil toch de minister nog één keer uitdagen om daarop te reflecteren
[1:50:21] dat het natuurlijk heel goed mogelijk is
[1:50:24] dat we ook niet kunnen weten wat er met die dataset gebeurt.
[1:50:29] De minister.
[1:50:30] Dat klopt, voorzitter. En daarom bestaat mijn weging ook uit twee factoren.
[1:50:34] Dat is één namelijk waar is die informatie en waar weten we of die optuikt.
[1:50:40] Nou, daar doen we wat we kunnen. 100 procent zekerheid hebben we daar niet.
[1:50:43] De andere kant is als je dan die informatie hebt
[1:50:46] en welke informatie heb je dan van mensen?
[1:50:48] En wat voor risico loop je op basis daarvan dan?
[1:50:51] Als we hadden gedacht dat mensen heel groot risico lopen
[1:50:54] op basis van hun e-mailadres en hun functienaam,
[1:50:57] dan had het natuurlijk niet gewoon in outlook gestaan.
[1:51:00] Dan was die informatie beter afgeschermd geweest,
[1:51:03] had je niet 62.000 medewerkers gehad die daar toegang tot hebben.
[1:51:07] Dus ik probeer die weging te maken tussen enerzijds,
[1:51:11] als die informatie in verkeerde handen belandt,
[1:51:13] welk risico lopen mensen dan? En dat risico is niet nul.
[1:51:16] En wat is het risico dat die informatie ergens anders belandt?
[1:51:19] En dat risico is ook niet nul.
[1:51:21] Dus die twee balanceer ik.
[1:51:25] En in beide zit een risico.
[1:51:26] En dat heb ik geprobeerd te duiden.
[1:51:30] Gaat u verder als u wil.
[1:51:33] Mevrouw Helderhalter, de informatievoorziening.
[1:51:35] Ik raak er nogmaals, ik herhaal nogmaals.
[1:51:39] Ik sta erg open voor die informatie.
[1:51:41] Dan kan ik hem ook nalopen.
[1:51:43] En in welke vorm je dat wilt doen, dat laat ik aan nu.
[1:51:45] Maar dan neem ik dat zeer zeker serieus.
[1:51:49] Mevrouw Mütleur vroeg om draaiboeken, dat zei overigens ook de heer Van Nispen.
[1:51:54] Ja, daar kijken we naar.
[1:51:57] Zowel naar technische maatregelen, lessen die we hieruit leren.
[1:52:01] We kijken naar lessen voor de mensen.
[1:52:04] Dus kunnen we mensen nog beter opleiden, voorbereiden hierop.
[1:52:08] Om te voorkomen dat dit gebeurt.
[1:52:10] En drie, we kijken natuurlijk ook naar de organisatie.
[1:52:12] hebben we de goede organisatie staan, hebben we de goede verbanden en mechanismen staan.
[1:52:18] Voor mij wel zit ook weer de eerste event van deze soort in deze baan.
[1:52:23] Dus ook ik heb voor mezelf geleerd.
[1:52:25] Dus ja, dit gaan we allemaal neerleggen in draaiboeken, zodat we een volgende keer beter zijn voorbereid.
[1:52:30] Ook niet alleen maar technisch, maar ook in de andere aspecten.
[1:52:36] De heer Siksdijkstra vroeg nog, komen we terug met meer informatie? Hoe horen we meer?
[1:52:40] Ja, op een aantal momenten.
[1:52:42] Eén, als er informatie komt die aanvullend is, die we nu niet weten,
[1:52:46] die aanvullend is op alles wat ik heb gemeld, dan kom ik bij u terug,
[1:52:49] zoals ik de afgelopen keren, totdat het beeld stabiel werd,
[1:52:52] ook elke keer naar u ben teruggekomen.
[1:52:54] Dus daarvan kunt u verwachten dat dat onverweld gebeurt.
[1:52:58] Als we overgaan naar attributie, en natuurlijk is dat ook een moment
[1:53:01] waarop we dan ook met uw Kamer communiceren,
[1:53:04] en datzelfde geldt, vermoed ik, voor het OM
[1:53:07] op het moment dat zij het strafrechtelijke onderzoek hebben afgerond of in de volgende fase willen
[1:53:12] brengen, dan vermoed ik dat dat... We hebben een hek. De situatie is onder controle. Een fysieke hek.
[1:53:30] Er zullen nog momenten zijn dat we hierover komen te spreken. Daarbij zeg ik ook op het moment dat
[1:53:35] dat we zouden zien dat er iets gebeurt met die dataset,
[1:53:41] dan is het ook een moment voor communicatie,
[1:53:43] een en ander afhankelijk natuurlijk van de wijze waarop dat gebeurt
[1:53:46] en of het dan niets gaat op het moment dat we daar rugbaarheid aan zouden geven.
[1:53:52] Dus ik denk niet dat we voor het laatst met elkaar gesproken hebben hierover.
[1:53:56] Dan de IT-agenda in bredere zin,
[1:54:00] zeg ik zowel tegen mevrouw Mütlür als mevrouw Michon.
[1:54:03] Ik wil wel kijken of we in het volgende halfjaarbericht,
[1:54:07] en het volgende bedoel ik niet degene die u over een paar dagen krijgt,
[1:54:10] maar dan degene die voor het zomerreces u kant op gaat,
[1:54:14] of we uitgebreider kunnen stilstaan bij de stand van de IT bij de politieorganisatie.
[1:54:20] Ik denk dat dat nuttig kan zijn, ook voor het debat wat we over die berichten hebben met uw Kamer.
[1:54:29] Dat waren volgens mij de antwoorden, voorzitter.
[1:54:32] Dank u hartelijk. Ik kijk nog even naar de onbeantwoorde vragen.
[1:54:35] De heer Van Nispen.
[1:54:37] Nee, dat is een aanvullende, hele korte vraag.
[1:54:39] Helemaal goed, want ik hecht altijd heel erg aan informatievoorziening aan de Kamer.
[1:54:43] Ik ben altijd kritisch als de Kamer niet tijdig is geïnformeerd.
[1:54:45] In dit geval zou ik zeggen als de politieagenten als ontwikkeling zijn in de
[1:54:49] data lek en de politieagenten worden in dit geval eens een keer eerder geïnformeerd
[1:54:52] dan de Kamer, dan zal ik daar niet over mopperen, laat ik het zo zeggen, omdat ik
[1:54:55] dat nou eenmaal echt, echt belangrijker vind in dit geval.
[1:54:58] Dan wel meteen daarop volgend uiteraard.
[1:55:00] Maar ik vind dat aspect erg belangrijk, Rudy, hechtig aan om dat te zeggen.
[1:55:05] Ja, waarvan akte. Hartelijk dank daarvoor.
[1:55:09] Goed, dan zijn we aan het einde gekomen van de tweede termijn van de minister
[1:55:12] en daarmee ook aan het einde van dit debat.
[1:55:16] Niet zonder gezegd te hebben dat mevrouw Muttler
[1:55:18] een twee-minuutdebat heeft aangevraagd welke we gaan inplannen
[1:55:21] en waar zij ook de eerste spreker zal zijn.
[1:55:24] Dan hebben we enkele toezeggingen van de minister die ik graag met u even doorloop
[1:55:27] om te kijken of we deze op deze wijze correct hebben doorgegeven.
[1:55:30] Dat is, de minister informeert de Kamer blijvend als er nieuwe ontwikkelingen zijn rondom het dadelijk.
[1:55:36] Dat is één.
[1:55:38] Voor zover de veiligheid dat toelaat.
[1:55:40] Dat is het enige voorbehoud dat ik wil maken.
[1:55:46] Dat voorbehoud zetten we erbij. Hartelijk dank voor die aanvulling.
[1:55:49] De tweede is, de minister informeert de Kamer na aanleiding van de vragen van het lid Siks-Dijkstra
[1:55:53] over de cold cases en de fysieke scheiding tussen de systemen.
[1:55:57] En de vraag is nog even aan de minister wanneer dat zal geschieden.
[1:56:01] Dat kan op kort termijn.
[1:56:02] Dat kan voor...
[1:56:05] Dat proberen we zelfs al mee te nemen in het halfjaarbericht, dat moet niet moeilijk zijn.
[1:56:09] Dank.
[1:56:10] Ziekes Dijkstra vindt dat akkoord.
[1:56:12] Goed.
[1:56:12] Dan gaan we dat zo noteren.
[1:56:13] En dan de laatste.
[1:56:15] In het halfjaarbericht Politie van zomer 2025 informeert de minister de Kamer over de stand
[1:56:20] van de ICT bij de politie.
[1:56:22] De minister knikt, de Kamerleden ook.
[1:56:24] Dan zijn dit de toezeggingen.
[1:56:26] Ik dank de minister voor zijn komst en voor het inhoudelijke debat dat we hier hebben kunnen voeren.
[1:56:31] Ook hartelijk dank aan de leden.
[1:56:32] Het is een belangrijk onderwerp en dat heeft hier ook mooi gewicht gekregen.
[1:56:36] Dank aan het publiek en natuurlijk onze politieagenten die dit hebben gevolgd en onze ondersteuning.
[1:56:41] Ik sluit dit commissiedebat.