ADR over het onderzoeksrapport Beveiligingsproces van staatsgeheime vertrouwelijke informatie bij NCTV en politie

[0:00:00] Ik open hierbij de bijeenkomst van de vaste commissie voor Justitie en Veiligheid.

[0:00:04] We hebben vanochtend een technische briefing over het onderzoeksrapportbeveiligingsproces van staatsgeheime vertrouwelijke informatie bij de NCTV en de politie.

[0:00:14] We doen deze briefing in twee rondes.

[0:00:18] In de eerste ronde spreken we met twee

[0:00:23] twee collega's, twee medewerkers van de ADR.

[0:00:27] Ik geef u zo het woord om u voor te stellen.

[0:00:29] Aan de kant van de Kamer is de heer Siks Dijkstra aanwezig.

[0:00:40] Aan de leden wil ik nog meegeven dat u natuurlijk alle vragen mag stellen die u wilt stellen, maar de gasten kunnen niet ingaan op de informatie die vertrouwelijk aan ons is gegeven en ook niet op de gelakte passages.

[0:00:54] Dit is een openbare briefing.

[0:00:56] Volgens mij is dat ook heel waardevol, maar dat vereist dus ook aan uw kant enige behoedzaamheid in het stellen van de vragen.

[0:01:06] Dat gezegdhebbende

[0:01:09] Ik geef u graag het woord om u voor te stellen en een kleine introductie te geven over het rapport dat u heeft uitgebracht.

[0:01:28] Goedemorgen, Arno Brouwer, accountdirecteur bij de ADR voor het account BZK JNV.

[0:01:34] Waar dus de onderzoeker die daar plaatsvindt, in ieder geval onder mijn verantwoordelijkheid plaats.

[0:01:38] Hans.

[0:01:40] Goedemorgen, mijn naam is Hans de Beuzen.

[0:01:42] Ik ben auditmanager bij de Oude Dienstrijk en was de projectleider van het onderzoek bij NCTV en Politie.

[0:01:52] We hebben een korte presentatie voorbereid, waarin we nog even een korte toelichting geven op de rapportage.

[0:01:57] Ik zal het eerste deel doen.

[0:01:58] Dat gaat over de aanleiding van het onderzoek en hoe we het onderzoek hebben opgezet.

[0:02:02] En Hans zal een toelichting geven op de resultaten van het onderzoek, de bevindingen en de aanbevelingen die we daarbij hebben gedaan.

[0:02:09] Even kijken of je dit ook snapt.

[0:02:10] Ja, dat heb ik net toegelicht.

[0:02:14] Zoals de voorzitter het net ook al aangaf, het is natuurlijk een onderzoek die best wel gevoelig ligt.

[0:02:19] Dat betekent ook wel dat wij van tevoren even contact hebben gehad met het OM, de politie en de NCTV over wat we wel kunnen zeggen en wat we niet kunnen zeggen.

[0:02:28] Voor de zekerheid nog even duidelijk opgeschreven waar onze limieten liggen.

[0:02:31] Enerzijds dat er natuurlijk nog een strafverdragelijk proces loopt.

[0:02:35] Over de casus en de persoon kunnen we dus in die zin niet al te veel zeggen.

[0:02:39] Van de rest hebben we natuurlijk bij de NCTW en de politie veel gezien.

[0:02:42] Natuurlijk met name op bepaalde afdelingen.

[0:02:44] Bij de NCTW en de politie hebben we natuurlijk veel gezien.

[0:02:51] En ook daarvoor geldt weer dat wij wel in generieke zin behoorlijk iets over de systemen kunnen zeggen, maar niet echt over de naamgeving ervan.

[0:02:56] Van de rest proberen we natuurlijk zo goed mogelijk antwoord te geven op alle vragen die jullie stellen.

[0:03:02] De aanleiding is natuurlijk de casus waarbij staatsgeheim informatie verzameld en naar buiten gebracht is.

[0:03:11] De minister van JNV heeft daarbij een brief richting de Kamer gestuurd waarbij ze onze onderzoek heeft aangekondigd.

[0:03:18] Dat onderzoek, de opdrachtgever daarvoor was de plaatsvervanger tegen het ministerie van Justitie en Veiligheid, waarmee we ook regelmatig contact hebben gehad.

[0:03:25] In eerste instantie is het rapport en het onderzoek eigenlijk als staatsgeheim neergezet.

[0:03:30] Dat geldt zowel voor het dossier als ook het rapport.

[0:03:35] Later heeft de minister ervoor gekozen om het rapport toch openbaar te maken, gezien de inhoud, wat voor een groot deel kon.

[0:03:41] Het doel van het onderzoek, die zet ik ook even wat breder neer, is met name het naleven en de wijze waarop de NCTV en de politie invulling hebben gegeven aan de voorschriften die ervoor gelden.

[0:03:58] Het voorschrift Informatiebeveiliging Rijksoverheid bijzondere informatie.

[0:04:00] En we hebben het equivalent bij de politie, de reduceringsregeling politie.

[0:04:05] Daarin hebben wij niet alle regels kunnen bekijken, want dat zijn natuurlijk ontzettend veel.

[0:04:09] We hebben diegenen gedaan die relevant waren in het kader van deze casus en die hebben wij meegenomen in het onderzoek.

[0:04:16] De vraagstelling zit op drie lijnen.

[0:04:18] Enerzijds zeg maar een beetje in de inrichting.

[0:04:20] De tweede is waar dat mogelijk was in de invulling van de maatregelen.

[0:04:23] En naar aanleiding van de ene en ander kunnen we natuurlijk iets zeggen over aanbevelingen die daaruit voortvloeien.

[0:04:29] Specifiek is ons gevraagd om nog naar drie onderwerpen te kijken.

[0:04:32] Dat ging over de signalen en hoe daarmee omgegaan is.

[0:04:36] Dat ging over de samenloop van de functie van de betreffende persoon.

[0:04:39] En dat ging over de maatregelen in gebruik van misbruik.

[0:04:42] Daar hebben we specifiek naar gekeken.

[0:04:47] Goed om even in de gaten te houden dat wij ons onderzoek hebben, maar ten naast nog twee andere onderzoekers spelen.

[0:04:53] Enerzijds het onderzoek van het Openbaar Ministerie, dat is eigenlijk meer het persoonsgerichte onderzoek, waar wij wel buiten blijven.

[0:04:59] Een andere van de commissie, stiekem, om het zo maar uit te drukken, en dat gaat richting AIVD, niet richting NCTV.

[0:05:06] Maar goed om even te memoreren, denk ik.

[0:05:11] Dit geeft duidelijk aan wat de rijkwijdte van ons onderzoek is.

[0:05:20] Het is geen persoonsgericht onderzoek geweest.

[0:05:22] Het is kijken naar maatregelen die getroffen zijn.

[0:05:25] We hebben gekeken naar de peildatum.

[0:05:27] Op een bepaald moment hebben we gekeken welke maatregelen er waren.

[0:05:30] Dat was 1 oktober 2023.

[0:05:34] We hebben ons gefocust op de afdelingen waar de persoon gewerkt heeft.

[0:05:38] Om het ook in die zin wat kleiner te houden.

[0:05:40] We hebben met name gekeken naar de systemen en processen die daarbij relevant waren.

[0:05:46] gericht op de staatsgeheime informatie en vertrouwelijke informatie.

[0:05:50] Bij de politie vertrouwelijke informatie moet ik even iets meer duiding geven, omdat het woord vertrouwelijke informatie, daar hebben we een soort met koepelbegrip van gemaakt, omdat je zag dat bij de politie zowel een rubricering wordt garanteerd die in de rubriceringsregeling politie staat, maar ook rubriceringen die bij WPG gebruikt worden.

[0:06:07] Dus verschillende soorten, dat maakt hem af en toe wat ingewikkeld, daarom hebben wij even een overkoepelend term gebruikt, vertrouwelijke informatie.

[0:06:14] Wij hebben in dit onderzoek expliciet het beveiligingsproces gezien als een plan, do, check, act variant.

[0:06:20] Ook wel om het te laten zien van een lerende organisatie.

[0:06:23] Ik bedoel niet staande, maar kijken in hoeverre die trap keurig gemaakt wordt op de verschillende onderwerpen.

[0:06:29] Een belangrijke rijkwijdte, ook beperking is wel, we zijn gericht op insider spread, niet van buitenaf.

[0:06:34] Dus alleen als een persoon van binnenuit informatie vergaat en naar buiten brengt.

[0:06:45] Korte tijdlijn van de stappen van het onderzoek.

[0:06:47] Toch een jaar waar ik het over heb.

[0:06:54] Waarbij je ziet dat we in het vooronderzoek eigenlijk een heel belangrijk werk doen.

[0:06:58] In de zin dat we natuurlijk informatie hebben verzameld over de casus.

[0:07:03] Waarbij we het referentiekader hebben gemaakt.

[0:07:05] Waarin we dus heel nadrukkelijk hebben gekeken van welke onderdelen van de VEBI, welke onderdelen van de BIO, welke onderdelen van de Rubriks Zinningsregeling nemen we mee bij onze onderzoek.

[0:07:13] Dat hebben we nadrukkelijk kortgesloten met de opdrachtgevers.

[0:07:15] Zodat we het eens waren over het referentiekader.

[0:07:18] Een belangrijke stap in het proces, denk ik.

[0:07:21] Daarna hebben we het onderzoek dat werk uitgevoerd.

[0:07:24] We hebben de hoorprocedure gehad.

[0:07:26] In eerste instantie op de feiten.

[0:07:27] Dus echt de afstemming van wat hebben we gezien en klopt dat wat we gezien hebben.

[0:07:32] En daarnaast nog een keer een afstemming over de wijze waarop het opgeschreven is in de rapportage.

[0:07:36] En uiteindelijk hebben we het in november opgeleverd.

[0:07:43] Tot slot nog even een kijkje in de keuken van ontzochte thema's die we gedaan hebben.

[0:07:48] Dat zijn uiteindelijk elf geweest die we dus eigenlijk uit de 4b en de bio en de reviseringsregeling hebben naar voren laten komen.

[0:07:54] Dat zijn deze elf thema's.

[0:07:56] Voor al die elf thema's hebben we gekeken naar het beleid, de procedures en de maatregelen die daaromheen zitten.

[0:08:02] Voor vier thema's zijn we nog een stapje verder gegaan en hebben we ook echt gekeken naar de invulling van die maatregelen.

[0:08:06] Dat zijn de beheersing van toegang, de verspreiding van staatsgeheim en vertrouwelijke informatie, de screening en de langdurige inzet van de tolk.

[0:08:14] Dit voor wat betreft de opzet van het onderzoek en dat geeft ons een korte toelichting op de resultaten.

[0:08:26] Dan begin ik met de hoofdboodschap die wij in ons rapport hebben opgenomen.

[0:08:32] En dat is dat NCTV en politie hun eigen kwetsbaarheid hebben gecreëerd.

[0:08:39] Uiteraard is dat onbedoeld, maar dat is uiteindelijk wel wat het is als je alles bij elkaar moet samenvatten.

[0:08:46] We zitten dan die hoofdpunten in van de

[0:08:50] van die kwetsbaarheid.

[0:08:52] Beide organisaties hadden niet hun basisbeveiliging op orde voor de beveiliging van staatsgeheim of vertrouwelijk informatie.

[0:09:03] Er was te weinig informatie voor het verschijnsel insiderthreat, onder andere in risicoanalyses.

[0:09:10] En mijn vertrouwde veel op veiligheidsonderzoeken en bij de politie screening.

[0:09:17] En in onze ogen hadden teveel mensen toegang tot teveel staatsgeheime of vertrouwelijke informatie.

[0:09:24] En het toezicht op die toegang was onvoldoende.

[0:09:28] Dat alles bij elkaar heeft geleid tot deze hoofdboodschap aan NCTV en politie.

[0:09:39] Ik ga nu in op de details bij de NCTV en de politie.

[0:09:46] En het zal een verdere detaillering zijn van de hoofdboodschap.

[0:09:56] Bij de NCTV.

[0:09:58] Misschien is het goed om vooraf te vermelden dat we daar twee systemen in ons onderzoek hebben betrokken.

[0:10:05] Dat is het staatsgeheime documentmanagementsysteem.

[0:10:11] en het staatsgeheime digitale archiefsysteem.

[0:10:16] Ik ga verder niet in op details over hoe die systemen werken.

[0:10:19] Dat hebben we in onze reportage uitgebreid aan de orde gesteld.

[0:10:25] Dan begin ik met onze eerste bevinding.

[0:10:28] We hebben geen actuele risicoanalyse aangetroffen bij NCTV.

[0:10:32] We hebben wel elementen van risicoanalyse gezien.

[0:10:36] kwetsbaarheidsanalyse spionage, maar die was uit 2017, dus gedateerd.

[0:10:43] En quickscans informatiebeveiliging uit 2022, waarvan wij niet hebben kunnen zien wat de opvolging was van de uitkomsten van die risicoanalyse.

[0:10:59] Uit interviews blijkt dat er veel werd vertrouwd op veiligheidsonderzoek en VGB, dus veiligheidsonderzoek door de AIVD.

[0:11:11] Als je kijkt naar het informatiebeveiligingsbeleid, dan was dat in ruime mate aanwezig over allerlei aspecten van informatiebeveiliging.

[0:11:22] Het is ook een relevant beleid.

[0:11:25] En het was op het moment van de peildatum ook voor een deel onderhandelen bij de NCTW.

[0:11:38] Dan sta ik even stil bij de baseline.

[0:11:41] Het begrip is net al even langsgekomen.

[0:11:43] Ik zal het vaker gebruiken, ook bij de politie.

[0:11:45] Daarmee bedoelen wij een set van basisbeveiligingsmaatregelen die je getroffen moet hebben om je informatie adequaat te beveiligen.

[0:11:57] Die baseline bij de NCTV was niet actueel.

[0:12:01] De laatste versie, de versie die wij gezien hebben, dateert van 2020 en was gebaseerd op de rijksbrede norm van 2017.

[0:12:11] Er was dus geen actuele baseline gebaseerd op het voorschrift, informatiebeveiliging, Rijksdienst voor bijzondere informatie en de BIO, de Rijksbrede Baseline Informatiebeveiliging Overheid.

[0:12:29] Wat we ook hebben aangetroffen was onvoldoende controle op alle maatregelen uit de baseline.

[0:12:37] Werken die nou zoals bedoeld?

[0:12:41] En daarmee had de NCTV geen beeld van het totaal, van werken naar onze maatregelen voor de adequate beveiliging.

[0:12:54] en kon daarmee ook niet rapporteren aan het management van de NCTV over de werking van de maatregelen.

[0:13:03] We hebben ruime toegangsrechten aangetroffen, zowel voor het staatsgeheime documentmanagementsysteem als voor het staatsgeheime digitale archiefsysteem.

[0:13:16] Dan sta ik even stil bij het principe need to know.

[0:13:18] Informatiebeschikbaarheid tot informatie beperken tot wat iemand voor zijn rol nodig heeft.

[0:13:24] Dat is wel het principe.

[0:13:26] Dat tref je ook aan in het informatiebeveiligingsbeleid van de NCTV.

[0:13:31] maar in de systemen was het niet ingeregeld.

[0:13:37] Personen met toegang tot beide systemen hadden daarmee ook toegang tot alle informatie in dat systeem, terwijl juist de bedoeling is om rollen te onderscheiden in de systemen en compartimenteering naartoe te passen, zodat niet iedereen overal bij kan.

[0:13:54] Overigens hebben de systemen die wij onderzocht hebben daar wel de mogelijkheden voor om dat te doen.

[0:14:03] Als laatste op deze sheet.

[0:14:05] Wat we niet hebben aangetroffen is een periodieke controle van de juistheid van de toegangsrechten.

[0:14:12] We hebben daar geen plan voor gezien.

[0:14:14] We hebben geen overzichten van controles gezien.

[0:14:18] En ons beeld is dat controles vanaf 2020 niet meer hebben plaatsgevonden.

[0:14:30] Ja, gaan we naar de volgende voor NCTVW.

[0:14:32] NCTVW heeft actuele handleidingen voor hoe medewerkers om moeten gaan met staatsgeheime informatie.

[0:14:39] Die zijn duidelijk.

[0:14:40] Die liggen ook in elke kamer, hebben we gezien.

[0:14:46] Wat we hebben vastgesteld is dat de verspreiding van staatsgeheime informatie te eenvoudig was.

[0:14:53] Er werd veel geprint.

[0:14:58] Medewerkers konden gebruikmaken van USB-sticks en hadden schijf.

[0:15:02] En het was dan niet de bedoeling om daarop staatsgeheime informatie mee te nemen, maar het is wel mogelijk.

[0:15:08] En medewerkers konden ook informatie downloaden in hun persoonlijke mappen op het staatsgeheime netwerk.

[0:15:17] Dus verspreiding te eenvoudig, geen grip daarop.

[0:15:23] Dan ga ik even naar logging en monitoring.

[0:15:27] Daaronder verstaan wij het vastleggen van alle handelingen met informatie en monitoring, het bekijken van de logging om te kijken wat er met informatie gebeurt.

[0:15:41] Er zijn veel handelingen met informatie die in een logboek worden gezet.

[0:15:47] Maar het logboek wordt vervolgens niet geanalyseerd om te kijken wat er daadwerkelijk mee gebeurd is.

[0:15:53] Dus er is wel logging, maar geen monitoring ingericht.

[0:15:57] De faciliteiten daarvoor zijn wel aanwezig.

[0:16:03] Het toezicht op de Plan-Do-Check-X-cyclus informatiebeveiliging was niet volledig ingericht.

[0:16:13] En daarbij hebben wij met name gekeken naar hoe heeft het management van de NCTV dat nou georganiseerd en welke rol had de beveiligingsautoriteit van JNV daarin.

[0:16:27] hebben aangegeven dat ze wel de aandacht voor de werking van de Plan-do-check-actieclus hebben zien toenemen, maar voor mij is niet helemaal duidelijk of de aanleiding daarvan de casus was, maar dat hebben ze ons wel meegegeven in interviews.

[0:16:44] Overigens zien wij wel dat in 2023 de aandacht ook al toenam omdat men bezig was met het actualiseren van het beleid.

[0:16:56] Als je kijkt naar het toezicht van de beveiligingsautoriteit, dan heeft de beveiligingsautoriteit niet gesignaleerd dat de NCDV nog niet bezig was met de nieuwe richtlijn van de Rijksoverheid, de BIO.

[0:17:11] En is ook niet aan de orde gekomen in de contacten dat het staatsgeheime netwerk nog niet was geaccrediteerd door de beveiligingsautoriteit en de secretaris-generaal.

[0:17:25] wat overigens in 2024 alsnog wel gebeurd is.

[0:17:29] Die accreditatie.

[0:17:32] Ten slotte, laatste opmerking voor de NCDV.

[0:17:38] is dat analisten vanaf 2019 niet over een rechtsgeldige VGB beschikten.

[0:17:46] Dat werd veroorzaakt door het feit dat de accreditatie-eis, of de VGB-eis door de NCTV zelf verhoogd was van een B-veiligheidsonderzoek naar een A-onderzoek.

[0:18:02] maar ze hebben ervoor gekozen om niet direct alle medewerkers die dat betroft te laten herscreenen.

[0:18:12] Tot zover onze belangrijkste bewinding van de NCTV.

[0:18:20] Dan ga ik nu over naar de politie.

[0:18:22] Daar hebben wij drie systemen in ons onderzoek betrokken.

[0:18:28] Dat is het zaaksysteem van de politie, waar ze alle zaken in administreren.

[0:18:36] Dat is het tapsysteem, waarin telefoontaps zijn opgeslagen en kunnen worden beluisterd en vertaald.

[0:18:46] En dat is het opnamesysteem, waarin de politie opnames opslaat en analyseert.

[0:18:58] Net als bij NCDV hebben we ook bij de politie geen actuele risicoanalyse gezien voor CETR.

[0:19:06] Dat zetten we er expliciet bij, omdat het daar gaat over vertrouwelijke informatie bij de politie.

[0:19:14] En daar ook wordt gewerkt met externe tolkenvertalers.

[0:19:20] Er is geen actuele risicoanalyse voor CETR met aandacht voor insider threats.

[0:19:26] Wat wel gebeurd is, en daar moet toch een soort risico-inschatting achter liggen, is dat er beveiligingsmaatregelen voor de locatie van Seter getroffen zijn.

[0:19:40] De politie heeft IB-beleid, politie heeft heel veel aspecten van informatiebeveiligingsbeleid beschreven.

[0:19:51] Het beleid gaat niet in op de Meester Center Baseline, de bio, en gaat ook niet in op de situatie voor CETR, met zeer vertrouwelijke informatie en externe medewerkers die daar worden ingeschakeld.

[0:20:12] Het is een beleid dat hout snijdt, maar het is wel een beleid uit 2018 dat ook periodiek geüpdate zou moeten worden.

[0:20:23] De politie heeft wel een actuele baseline, dus een set van relevante beveiligingsmaatregelen.

[0:20:29] Bepaald op basis van de bio.

[0:20:32] En die hebben ze ook gericht op de vertrouwelijke informatie volgens de reviseringsregeling van de politie.

[0:20:41] Dus ze hebben de basismaatregelen bepaald, maar ook de beveiligingsmaatregelen voor confidentiële informatie, geheime en zeer geheime politie-informatie.

[0:20:56] Nog even over het IB-beleid.

[0:20:58] Dat gaat onder andere niet in op de situatie bij CETR, waar gebruik wordt gemaakt van eigen beheerde omgevingen, zoals het opnamesysteem.

[0:21:12] De baseline van de politie sluit, zoals Arno Brouwer al aangaf, niet aan op de inrichting van vertrouwelijkheid zoals de politie die hanteert.

[0:21:27] Die baseline is

[0:21:31] langs de lijn van de politie-reduceringsregeling opgesteld en dus niet langs de lijn van de WPG-artikelen die CETA ranteert bij het aangeven van vertrouwelijkheid.

[0:21:45] Wat in de praktijk kan betekenen dat daar voortdurende vertaling van voorgemaakt moet worden.

[0:21:54] Wij doen daarvoor ook een aanbeveling om die link te leggen zodat dat eenvoudiger wordt.

[0:22:02] De autorisatiebeleid is beschreven binnen de politie, maar het is niet gericht op de situatie bij Seter, met verschillende vormen van vertrouwelijke informatie, met eigen beheerde omgevingen en met de inzet van externe tolken en vertalers.

[0:22:24] Dan sta ik even stil bij het principe need to know.

[0:22:29] In de onderzochte systemen summit en het TAP systeem is het toepassen van het principe need to know goed mogelijk.

[0:22:40] Niet in het opnamesysteem.

[0:22:44] In het TAP-systeem hebben wij dat ook gezien doordat wij bij een aantal onderzoeken hebben gekeken van hoeveel tolken zijn er nou aangekoppeld.

[0:22:54] Nou, dat zijn hele beheersbare aantallen.

[0:22:57] Als het gaat om het zaaksysteem is ons beeld dat de politie geen invulling geeft aan het principe need to know, gezien de aantallen medewerkers die toegang hebben tot een zaak.

[0:23:12] Dat kunnen meer dan honderd zijn.

[0:23:15] En er zijn ook mogelijkheden voor mensen die toegang hebben tot een zaak om anderen weer toegang te geven.

[0:23:21] In onze ogen is dat niet een hele strikte invulling van het principe need to know.

[0:23:30] Wat we bij CETA niet hebben aangetroffen is een controle van de uitgegeven toegangsrechten.

[0:23:39] Gezien de aantal mensen die toegang hebben tot bijvoorbeeld een zaak, dat kunnen meer dan honderd zijn, is die controle in onze ogen lastig.

[0:23:49] Dat wordt ook bevestigd door de politie.

[0:23:52] En bij CETR is het ook onduidelijk wie ervoor verantwoordelijk is om alle toegangsrechten te controleren.

[0:24:03] Lig ik qua tijd nog een beetje op schema?

[0:24:08] Tweede sheet over de politie.

[0:24:11] Ook binnen CETR, net als bij NCDV, zien wij te weinig grip op het verspreiden van vertrouwelijke informatie door gebruik van USB-sticks, door tolken.

[0:24:27] Ook door het thuiswerk, alhoewel ons niet helemaal duidelijk is geworden welke omvang dat had.

[0:24:35] Door het uitlenen van accounts om te kunnen printen en om toegang te krijgen tot het opnamesysteem via de laptop van de CETA-medewerker.

[0:24:52] Er zijn ook hier uitgebreide faciliteiten voor logging, voor de vastlegging van handelingen, in het zaaksysteem Summit en ook in het TAP-systeem.

[0:25:04] We hebben ook gezien dat er uit dat de logging ook plaatsvindt, dat er heel veel handelingen worden geadministreerd en ook een lange tijd worden bewaard.

[0:25:14] Maar er is geen monitoring, dus geen analyse van de logging om achteraf vast te stellen hoe nou het gebruik van informatie is geweest.

[0:25:26] Binnen CETR is er geen toezicht ingericht op een plan-do-check-act-cyclus voor de beveiliging van vertrouwelijke informatie.

[0:25:40] Dan sta ik even stil bij de langdurig inzet van Tolken.

[0:25:42] Dat is volgens het beleid van de politie niet verboden.

[0:25:46] We hebben ook een beleid aangetroffen waarin staat dat het juist wenselijk is om Tolken een lange tijd bij een dossier betrokken te houden, gezien de kennis die ze daarmee hebben.

[0:25:58] Het is niet verboden.

[0:26:01] Alleen de afweging om Tolken

[0:26:04] lange tijd in te zetten die ontbreekt binnen zeten.

[0:26:12] In afweging of dat gewenst is.

[0:26:17] Er is onduidelijkheid over, dit is mijn laatste opmerking over de politie, over wat nou het gewenste of het benodigde niveau van screening is voor tolken.

[0:26:27] Er zijn verschillende niveaus van screening.

[0:26:30] Screening uitgevoerd door de politie of veiligheidsonderzoek door de AIVD.

[0:26:35] En het is onduidelijk wanneer die laatste veiligheidsonderzoek door de AIVD voor tolken noodzakelijk is.

[0:26:49] We hebben in ons rapport allerlei gedetailleerde aanbevelingen gegeven bij alle hoofdstukken die we hebben beschreven.

[0:27:01] We hebben ze hier in zes punten samengevat.

[0:27:09] Zorg voor een actuele risicoanalyse.

[0:27:12] afgestemd op de informatie die binnen de organisatie wordt gebruikt.

[0:27:19] Afgestemd op staatscheiminformatie bij de NCCV, vertrouwelijke informatie bij de politie.

[0:27:25] En ook afgestemd op de dreigingen die er zijn.

[0:27:29] En de mensen die geïnteresseerd zijn in die informatie.

[0:27:33] Tweede aanbeveling is voer de PIO in, dat is de Rijksbrede Baseline.

[0:27:39] En vul die aan met specifieke maatregelen uit

[0:27:43] risicoanalyse.

[0:27:48] De derde aanbeveling is de richting van het PDCA-cyclus.

[0:27:52] En wij bevelen echt aan om te focussen op plan, op do check and act.

[0:28:00] Niet energie te steken in het beleid allemaal opnieuw en helemaal actueel, maar echt te gaan voor invoeren van maatregelen, controle op de werking en toezicht op de hele cyclus.

[0:28:15] En bijstellen indien nodig.

[0:28:20] Onze vierde aanvulling is hanteer need to know als principe.

[0:28:24] Hanteer het ook striks.

[0:28:27] En controleer de toegang tot informatie.

[0:28:31] Monitor ook het gebruik en de verspreiding van informatie.

[0:28:35] De logging is er.

[0:28:36] Gebruik die ook om te kijken wat er met informatie gebeurt.

[0:28:41] En de laatste aanbeveling geldt vooral voor de politie.

[0:28:45] Zorg ervoor dat tolken veilig kunnen werken.

[0:28:49] En veilig in de zin van veilig omgaans met informatie.

[0:29:00] Ons is gevraagd om na te gaan welke signalen er nou zijn geweest over de casus.

[0:29:09] en hoe er is omgegaan met de dubbelfunctie.

[0:29:14] Wij hebben dat op deze sheet samengevat.

[0:29:20] Als je kijkt naar signalen over de casus, we hebben in alle interviews gevraagd aan het geïnterviewde, heb je een signaal gehad over de casus?

[0:29:29] Het bezitten en de verdenking van het bezitten of het naar buiten brengen van staatsgeheim of vertrouwelijk informatie.

[0:29:35] Geen van de geïnterviewden heeft daar een signaal over gehad.

[0:29:42] De dubbelfunctie, dat wil zeggen dat de persoon in de casus analist was bij NCTV en tolk bij de politie.

[0:29:51] Die was algemeen bekend.

[0:29:53] Die was breed bekend.

[0:29:54] Die was ook bij de NCTV meerdere keren goedgekeurd.

[0:29:58] Bij de politie hebben we daar geen informatie over gevonden.

[0:30:02] Dat staat ook in onze rapport beschreven.

[0:30:08] En die dubbelfunctie is ook nooit in verband gebracht, ondanks de signalen die er waren over dat het niet altijd goed ging met die dubbelfunctie, is nooit in verband gebracht met de casus.

[0:30:20] In ons oog is dat ook begrijpelijk.

[0:30:23] Er zijn wel meerdere signalen geweest over die dubbelfunctie.

[0:30:31] De signalen die wij hebben geïnventariseerd beginnen in 2015, waarbij medewerkers van CETER een melding doen over het delen van informatie door de tolk in de crisis.

[0:30:45] In 2017 is er een signaal geweest over het delen van informatie bij sociale zaken.

[0:30:54] In 2021 komen er meldingen over delen van informatie bij NCTV.

[0:31:02] Daarna is er ook een melding gedaan binnen de politie.

[0:31:07] Die is onderzocht door de politie.

[0:31:11] De doorlopen stappen staan gedetailleerd in onze rapportage.

[0:31:15] Kort samengevat komt het erop neer dat met het OM is afgestemd hoe dit onderzocht moest worden, deze melding.

[0:31:24] vervolgens is de melding geanalyseerd, er is over gecommuniceerd met binnen de politie en er is over gecommuniceerd tussen politie en NCTV en er is vastgesteld dat er geen risico was en de inzet van de tover bij de politie is ook doorgegaan.

[0:31:45] Ons is wel opgevallen dat er bij dat onderzoek niet is gekeken naar de screening van de tolk die op dat moment al bij de politie verlopen was.

[0:32:01] De hele afhandeling van dat signaal in 2021 staat ook in detail in ons rapport beschreven.

[0:32:11] De hele afhandeling is eigenlijk gedaan door de politie.

[0:32:14] NCTV heeft de afhandeling daarvan bij de politie gelaten, omdat het ging over een melding over de persoon in de casus als tolk bij de politie.

[0:32:27] Er is een signaal in ons rapport beschreven waarvan wij van mening zijn dat daarop geacteerd had kunnen worden.

[0:32:39] Ik wil het woord moeten niet gebruiken, maar kunnen worden.

[0:32:41] In een interview tussen de NRC en de nationaal coördinator kwam aan de orde dat de analist de beschikking had over een harde schijf en dat hij die ook meenam.

[0:32:54] En dat heeft niet geleid tot, op dat moment, naar onderzoek.

[0:32:59] Klopt het wat de journalist zegt?

[0:33:03] Klopt het dat die schijf meegenomen wordt?

[0:33:05] Waar naartoe dan?

[0:33:06] Hoe is die schijf beveiligd?

[0:33:07] Dat soort vragen zijn op dat moment niet beantwoord.

[0:33:11] En in onze ogen had dat onderzocht kunnen worden op dat moment.

[0:33:16] Dat is het signaal waarvan wij zeggen, ja, er had meer aandacht moeten krijgen.

[0:33:25] Als laatste, welke signalen zijn er geweest uit interviews met NCDW-medewerkers?

[0:33:32] Hebben wij opgemaakt dat er na het bekend worden van de casus meldingen zijn geweest door NCDW-medewerkers over vragen van de analist in de casus om informatie voor hem te printen?

[0:33:52] Tot zover de signalen.

[0:33:54] Dan sta ik nog kort stil bij maatregelen, nabekend worden van de casus.

[0:33:59] We hebben er een aantal op rij gezet waarvan wij vinden dat dat significante maatregelen zijn.

[0:34:11] Voor beide organisaties geldt dat ze een organisatie hebben ingericht om goed met de casus om te gaan.

[0:34:20] Beleidsinterventie teams worden die in beide organisaties genoemd.

[0:34:26] Die hebben het incident behandeld.

[0:34:29] De politie heeft de gevolgen van medewerkers voor lopende onderzoek binnen CETER in beeld gebracht, heeft de werkenwijze van informatieuitwisseling tussen medewerkers en tolken in detail in kaart gebracht van hoe is dat nou eigenlijk gegaan.

[0:34:46] De herscreening van tolken is opgepakt.

[0:34:51] Toegangsrechten zijn gecontroleerd voor met name de vertrouwelijke onderzoeken.

[0:34:58] Er is onderzoek gedaan binnen de locatie van CETR.

[0:35:03] Bij NCTV is de toegang tot staatsgeheim informatie beperkt voor de afdeling analyse.

[0:35:12] Toegang tot het staatsgeheim document management systeem en ook het staatsgeheim archief systeem.

[0:35:20] Wat ook als gevolg dat de communicatie met de AIVD daarop moest worden aangepast.

[0:35:25] Daar hebben ze een andere werkwijze voor gekozen.

[0:35:29] Het gebruik van USB-sticks is beperkt en het gebruik van printmogelijkheden is beperkt.

[0:35:36] En de beveiligingsautoriteit heeft ook een tijdelijke toestemming tot gebruik van de staatsgeheime netwerk gegeven in het voorjaar van 2024.

[0:35:47] Dan zijn we aan het eind gegaan van onze toerichting.

[0:35:58] Dank u wel.

[0:35:58] En zeer nuttig, want we hebben natuurlijk veel papier gekregen, dus het is prettig om dat in een aantal sheets van u terug te horen.

[0:36:06] Ik kijk naar de leden en ik zou u de gelegenheid willen geven om een vraag te stellen, wat mij betreft twee aan twee.

[0:36:14] De heer Siks-Dijkstra, aan u.

[0:36:18] Ja, dank u wel voor uw komst.

[0:36:19] Ook dank voor uw rapport.

[0:36:21] Zeer nuttig en natuurlijk zeer zorgwekkende conclusies die u uit uw rapport haalt.

[0:36:27] Mijn eerste vraag zit voornamelijk als het gaat om de positie van de BVA binnen de NCTV ten opzichte van het management.

[0:36:35] Hoe kijkt u, als u terugkijkt vanaf dat meetmoment, naar de rol, de positie en ook de slagkracht van de BVA?

[0:36:41] U noemde eerder van BVA had een aantal dingen niet gesignaleerd.

[0:36:45] Minister heeft erover gezegd dat lag ook in de informatiepositie van de BvA.

[0:36:49] Waar denkt u precies dat het pijnpunt zat?

[0:36:51] Zat dat bij de sturing vanuit het management of ook vanuit de positie van de BvA en dat daar signalen niet goed zijn opgepakt en doorgezet?

[0:37:00] Ik inventariseer ook even de vraag van mevrouw Bikker en dan kunt u die twee vragen beantwoorden.

[0:37:05] Mevrouw Bikker, aan u.

[0:37:07] Dank u wel.

[0:37:09] U sluit af met de verbeteringen die in gang zijn gezet.

[0:37:23] Tegelijkertijd is uw onderzoek veelomvattend en raakt ontzettend veel punten.

[0:37:27] Dat vraagt nog heel wat in die verbetering.

[0:37:32] Kunt u ook schetsen of en in welke mate de ADR ook betrokken blijft in dat vervolg?

[0:37:39] Of is dat weer iets waar wij op een andere manier telkens het net op moeten halen?

[0:37:47] Laat ik met die laatste vraag beginnen.

[0:37:50] De ADR is gevraagd om over een jaar een vervolgonderzoek te doen.

[0:37:54] Een jaar na 29 november.

[0:37:55] Zeg maar dat er een volledige PDACA-cyclus plaatsvindt.

[0:38:00] Hij zal het onderzoek doen bij de NCTV.

[0:38:04] Daarbij zullen we kijken naar de implementatie van de maatregelen en aanbevelingen zoals wij die gedaan hebben.

[0:38:10] Bij de politie zal de auditdienst... Oh, meneer Brouwer, zullen we heel even op de bel?

[0:38:17] Ja.

[0:38:45] Nou, dat is een flinke.

[0:38:46] Ik zou zeggen.

[0:39:12] Het ging over het verzoek om over een jaar opnieuw onderzoek te doen.

[0:39:16] Bij de politie zal de interne orde dienst zelf dat onderzoek doen en dat zullen wij reviewen.

[0:39:24] Dat is de afspraak die gemaakt is.

[0:39:28] En dat wordt beide ook weer gedeeld met de Kamer of is dat alleen in het interne proces?

[0:39:36] Ik denk dat beide gedeeld gaat worden, schat ik in.

[0:39:41] De vraag van de heer Stijkstra.

[0:39:46] Ik heb alleen nog een kleine aanvulling voor mevrouw Pikker.

[0:39:49] We hebben hier maatregelen weergegeven die direct na het bekend worden van de casus getroffen zijn.

[0:39:57] We zijn ook geïnformeerd door de NCTV en hebben daar ook informatie over gezien, over het verbetertraject dat ze daarna zijn gestart.

[0:40:05] Dus het is niet

[0:40:07] de maatregelen die getroffen zijn en wat ze daarna hebben gedaan, blijft niet beperkt tot de punten direct hierna.

[0:40:15] Dat traject hebben we ook in ons rapport beschreven.

[0:40:18] Dan ga ik in op de vraag over de BvA.

[0:40:23] Daarbij moet ik opmerken dat wij ons beperkt hebben tot ons onderzoek bij de politie en de NCTV.

[0:40:30] En op twee raakvlakken contact hebben gehad met de BVA en ook over de werkwijze van de BVA.

[0:40:45] Namelijk, hoe heeft de BWA nou geïnformeerd over het toezicht dat de BWA heeft uitgevoerd?

[0:40:54] En hoe is de BWA betrokken geweest bij de beslissingen over de veiligheidsonderzoeken die uitgevoerd zijn?

[0:41:03] Dus we kunnen verder niet zeggen over hoe de BWA gepositioneerd is binnen het ministerie en welke informatiepositie de BWA heeft en welke activiteiten de BWA allemaal uitvoert binnen het ministerie.

[0:41:23] Is dat voor u voldoende?

[0:41:24] Of is het misschien goed nu u er toch bent om iets te zeggen over hoe de BWA is opgehangen in het ministerie?

[0:41:31] er persoonlijk iets vanaf.

[0:41:33] Maar dat kan misschien behulpzaam zijn hoe de BVA zich verhoudt tot een NCTV of een DG of een ander intern organisatie onderdeel.

[0:41:44] Ik denk dat u dat scherp heeft.

[0:41:49] Dat hebben we niet in ons onderzoek betrokken.

[0:41:52] Maar vanuit uw ervaring werkzaam bij de ADR, hoe het georganiseerd is in een ministerie, kunt u daar iets over zeggen?

[0:42:03] Nee, dat kan niet.

[0:42:07] Als korte vervolgvraag, ik snap dat u er niet helemaal op in kan gaan.

[0:42:14] Had het management team signalen moeten opvangen in die tijd tot aan het incident van de BVA of andere gremia die ertoe had moeten leiden dat er wel duidelijk werd dat bepaalde basismaatregelen niet werden genomen?

[0:42:39] Wat we hebben gezien is dat de rapportage over de controle op beveiligingsmaatregelen, dat die na 2021 gestopt is.

[0:42:52] Dus dat het management van de NCDV niet in detail werd geïnformeerd over hoe staat het ervoor met onze baseline, liggen we op schema met de invoering van de nieuwe baseline en werken onze maatregelen.

[0:43:07] Die informatie, voor zover wij kunnen gaan bereiken, het management van de NCTW niet.

[0:43:18] Dank u wel.

[0:43:20] Wilt u een microfoon aan Aydem?

[0:43:22] Ik kom bij mevrouw Van der Werf.

[0:43:23] Ik wil haar in de gelegenheid stellen om een vraag te stellen.

[0:43:27] Dank, voorzitter.

[0:43:29] Waar ik wel benieuwd naar was, in november 2023 is de betreffende analist opgepakt.

[0:43:37] Maar in die periode daarvoor is ook de beslissing gemaakt om hem over te plaatsen naar de academie.

[0:43:43] Terwijl dat onderzoek, naar aanleiding waarvan deze persoon is opgepakt, waarschijnlijk al een tijdje liep.

[0:43:50] Kunt u aangeven hoe lang dat onderzoek liep?

[0:43:53] En ik ben ook benieuwd, vond u dat een verantwoord besluit gezien wat er toen al intern bekend was aan meldingen wat u net ook heeft toegelicht?

[0:44:10] De schrik zit erin vanwege de onprofessionaliteit, maar dat is een politieke mening.

[0:44:16] Dat houd ik voor mezelf.

[0:44:18] Mijn vraag heeft te maken met het overzicht van controles.

[0:44:24] De heer De Beus ging daar net op in dat hij op enig moment in 2020

[0:44:32] Wat is er in de tussentijd tussen 2022 en 2025 gebeurd?

[0:44:36] Zijn er meer casus bekend geworden?

[0:44:38] Of zijn er risico's gelopen?

[0:44:42] Want als die controles niet plaatsvinden...

[0:44:46] Dan doet dat iets met mogelijk risico's tot lekkage en wellicht waren er meer casussen of hadden er meer casussen kunnen zijn.

[0:44:55] Volgens mij begrijpt u wat ik bedoel en ben ik benieuwd naar uw reactie.

[0:45:02] Meneer Brouwer?

[0:45:03] Wij kunnen natuurlijk niet speculeren, dat één.

[0:45:06] Twee, wat wij geconstateerd hebben, is dat er op een bepaald moment, en dat is dan die pijldatum, dat bepaalde maatregelen niet gewerkt hebben.

[0:45:15] Ja, en dat is niet fijn.

[0:45:17] Dat, zeg maar.

[0:45:19] Maar je kan niet zien wat dat uiteindelijk voor effect heeft, dat weet je niet.

[0:45:22] Dat weet je gewoon niet.

[0:45:25] En op de vraag van mevrouw Van der Werf?

[0:45:30] die tijdlijn over de analist en de meldingen en zijn overplaatsing van de afdeling analyse naar de academie, die staat in detail in ons rapport beschreven.

[0:45:50] Wij zijn niet op de hoogte van onderzoek dat liep naar de analist.

[0:45:57] Daar kunnen we niets over zeggen.

[0:46:01] Uit interviews is, en zo staat het ook in ons rapport, niet helemaal duidelijk geworden of Meldingen, zoals in 2021 bij de politie, een relatie hebben gehad met zijn overplaatsing van de afdeling analyse naar de NCTV Academie.

[0:46:26] Is daarmee uw vraag beantwoord?

[0:46:29] Ja, dank, voorzitter.

[0:46:31] Want die overplaatsing loopt tussen 2022 en mei 2023, blijkt uit uw stuk.

[0:46:39] Maar u kunt dus niet zeggen hoelang dat onderzoek al liep, naar aanleiding waarvan hij is opgepakt?

[0:46:46] En de vraag achter de vraag is natuurlijk, hoe kan het dat er die signalen zijn geweest en dat er een onderzoek loopt en dat er tegelijkertijd iemand intern wordt verplaatst in plaats van dat er een stap terug wordt gezet?

[0:47:00] Meneer De Wijs.

[0:47:02] Dat kunnen wij niet zover zeggen over het onderzoek.

[0:47:06] Over of er een onderzoek heeft plaatsgevonden en hoe lang dat heeft gelopen.

[0:47:14] Dank u wel.

[0:47:15] Mag ik zelf ook een vraag stellen?

[0:47:17] Dat is de aanleiding van het antwoord op de vraag van de heer Siksteikstra.

[0:47:23] U zei dat er vanaf 2021 geen rapportage meer heeft bij het MT van NSTV gelegen, waarin dus de controle op die beveiligingsmaatregelen staat.

[0:47:34] Wie levert dan zo'n rapportage aan?

[0:47:37] Hoe gaat dat?

[0:47:38] Dus van wie komt dan een rapportage?

[0:47:44] Is hij wel gemaakt, maar heeft hij niet op tafel gelegen of is hij niet gemaakt?

[0:47:49] Wie maakt dan zo'n rapportage?

[0:47:56] Binnen de NCTV hadden ze daarvoor een persoon met de rol beveiligingscoördinator.

[0:48:05] Hij was daarnaast ook CISO, dus dat was een gecombineerde rol bij de NCTV.

[0:48:12] en hij was degene die de rapportage opstelde.

[0:48:20] Mag ik ook even duidelijk een vraag?

[0:48:21] Dus in deze, eigenlijk deze, ik denk zelfs een soort van standaard werkwijze, dat je rapporteert over het niveau van de beveiligingsmaatregelen, daarin heeft een BVA dus geen rol.

[0:48:35] Het was een interne medewerker die dit als taak had en die dit

[0:48:41] oplevert voor het MT van de NCTV?

[0:48:45] Dat klopt.

[0:48:52] Ik kijk even naar de leden.

[0:48:53] Is er nog behoefte?

[0:48:54] Vier gaat niet meer lukken.

[0:48:55] De heer Sikstrijks, mevrouw van der Werff.

[0:49:02] Als het lukt.

[0:49:03] De heer Sikstrijks.

[0:49:04] Dank u wel, voorzitter.

[0:49:07] U gaf aan dat er te veel werd vertrouwd op veiligheidsonderzoeken en VGB's en minder op andere maatregelen om insider threats tegen te gaan, maar tegelijkertijd constateert u ook dat heel veel VGB's al wel verlopen waren voor heel veel medewerkers van zowel de NCTV als de politie.

[0:49:24] Hoe werd daar vervolgens dan mee omgegaan?

[0:49:28] Heeft u daar beeld van, het feit dat het verlopen werd, maar er wel zo op geleund werd?

[0:49:34] Is dat ooit opgepakt, dat signaal?

[0:49:37] En mevrouw Van der Werf?

[0:49:39] Dank, voorzitter.

[0:49:41] Ik wou een vraag stellen.

[0:49:43] Op pagina 22 van uw rapport staat iets over de uitgegeven USB-sticks en dat het zicht daarop ontbreekt.

[0:49:52] En dan heb ik het niet specifiek over de USB-sticks die de betreffende persoon in zijn bezit had.

[0:49:59] Maar daar staat, en voor de helderheid, dat is ongelakte informatie, dat er volgens de administratie van de NCTV circa 200 oude

[0:50:08] USB-sticks in omloop zijn die mogelijk staatsgeheime informatie bevatten en het is onduidelijk welke informatie daarop staat.

[0:50:15] Is er sinds uw onderzoek of het uitkomen van het rapport, is er u nog informatie toegekomen over waar die USB-sticks zijn en welke informatie daarop stond?

[0:50:27] Is dat voor ons ergens te herleiden?

[0:50:31] Dat laatste weten we op dit moment nog niet.

[0:50:33] Dat is echt na ons onderzoek.

[0:50:36] Ik kan me wel voorstellen dat dat onderdeel zou uitmaken van het vervolgonderzoek, maar nu weten we dat gewoon niet.

[0:50:47] Ik sta stil bij de eerste vraag.

[0:50:53] Ik ga even in op de vraag zelf.

[0:50:56] Het gaat over screening bij de politie.

[0:50:59] Daar hebben we gekeken naar de screening van de tolk zelf en niet naar alle screening van CETA medewerkers.

[0:51:11] Bij de NCTV is het zo, en zo staat het ook in ons rapport, dat daar de afweging is gemaakt om

[0:51:22] de herhaalonderzoeken vanwege de eis, veiligheidsonderzoek A in plaats van veiligheidsonderzoek B, om die uit te stellen tot het moment dat er vijf jaar verstreken zijn.

[0:51:37] Vijf jaar, zoals die ook in het beleid van JNVW wordt gegranteerd, dat veiligheidsonderzoeken herhaald moeten worden.

[0:51:48] Ik zie aan het gezicht van de heer Dijkstra dat hij nog een verduidelijkende vraag heeft.

[0:51:56] Als het beleid in place was dat er een tijd met niet rechtsgeldige vgb's gewerkt werd, maar tegelijkertijd wel heel erg op die vgb's geleund werd, of er ooit signalen zijn geweest dat dat misschien noopt tot additionele veiligheidsmaatregelen?

[0:52:11] Daar hebben wij geen informatie over.

[0:52:15] Mevrouw Moedler.

[0:52:17] Nog een vraag over de maatregelen die nu zijn getroffen door de NCTV, waarbij ze de toegang gaan beperken voor de afdeling analyse, gebruik van USB-sticks beperken en printen beperken.

[0:52:30] Vooral bij het laatste dacht ik verbiedend.

[0:52:33] Oftewel, zijn deze maatregelen wel afdoende?

[0:52:37] Misschien kunt u daar nog iets over zeggen.

[0:52:44] Als u mij vraagt wat afdoende is, dan is dat een baseline invoeren en alle dingen doen die we ook in onze aanbevelingen hebben opgenomen.

[0:52:57] Als eerste maatregelen naar het bekend worden van de casus zijn dit de dingen die ook in mei zouden opkomen.

[0:53:05] Maar daarna is de NCTV bezig gegaan met een verbetertraject, waarbij ze maatregelen hebben bepaald, risicoanalyses hebben uitgevoerd en hebben ingevoerd.

[0:53:24] Dat hebben ze zelf aangegeven, maar dat gaan we volgend jaar in ons follow-up onderzoek naar kijken.

[0:53:32] Dank.

[0:53:34] Tot slot, van mijn kant heeft u zicht op hoe het staat met die screening Rijksbreed.

[0:53:39] Want de wet op die veiligheidsonderzoeken is een wetgeving onder de minister van BZK.

[0:53:45] Hoe zeg je dat?

[0:53:48] Ze hangt, om maar even huiselijk te zeggen.

[0:53:53] Die wet is ook in ontwikkeling, die wordt aangepast, begreep ik.

[0:53:57] Maar hebben we beeld op of er enorm veel plekken binnen het Rijk vindt screening plaats en kunnen mensen alleen met een VGB hun werk doen?

[0:54:08] Hoe zit dat op andere plekken Rijksbreed?

[0:54:12] Hoeveel functies die een VGB vereisten actueel, hebben die ook daadwerkelijk?

[0:54:19] Is dat beeld er?

[0:54:26] Ik denk dat het lastig is om dat beeld te geven.

[0:54:29] Wel bekend is, en dat staat ook in onze rapportage, dat je ziet dat er wel wat achterstanden waren ten aanzien van het doel van screening.

[0:54:35] Dat is wel een punt.

[0:54:36] Ik weet niet hoe dat nu zit.

[0:54:39] Maar dat was wel een punt wat speelde.

[0:54:41] Maar om dat rijksbrede beeld te geven, vind ik lastig.

[0:54:44] Mag ik één voorduidelijke vraag?

[0:54:45] Wie zou dat dan moeten geven?

[0:54:47] We hebben het over de BVA-functie die binnen het ministerie zit.

[0:54:54] het over allerlei functies die zich bezighouden met op een veilige manier werken.

[0:55:02] Wie zou dan het overzicht moeten hebben van die actualisatie van vgb's en screenings?

[0:55:19] Het is een hele lastige vraag.

[0:55:23] De beveiligingsautoriteit van elk ministerie heeft zicht op veiligheidsonderzoek.

[0:55:32] Wij weten niet of dat volledig is.

[0:55:34] Elke manager van een organisatie met medewerkers die een VGB moeten hebben, heeft daar zicht op of zou het moeten hebben.

[0:55:44] Maar wie het rijksbreed heeft, dat hebben wij nog wel niet in ons onderzoek betrokken.

[0:55:51] Hartelijk dank.

[0:55:52] Daarmee zijn we aan het eind gekomen van dit eerste blok van deze technische briefing.

[0:55:57] Ik wil u heel hartelijk danken.

[0:56:00] Dit was heel behulpzaam en helder.

[0:56:04] Van harte welkom om nog te blijven luisteren naar het tweede deel.

[0:56:08] We ontvangen zo de NCTV-deel, de mensen van de politie en mevrouw Knol zelf ook.

[0:56:17] Ik schors voor een minuut of vijf en dan gaan we door met het tweede deel.