Vragen van de leden Gesthuizen (SP) en Van Tongeren (GroenLinks) aan de Ministers van Economische Zaken en van Veiligheid en Justitie over het gebruik van een privée-mailadres voor werkaangelegenheden (ingezonden 18 mei 2016).

Antwoord van Minister Kamp (Economische Zaken), mede namens de Minister President, de Ministers van Veiligheid en voor Wonen en Rijksdienst (ontvangen 7 juli 2016).

Inleiding

De Kamer heeft vragen gesteld over het gebruik van mijn privé e-mailaccount voor werk gerelateerde e-mails. Over de context waarbinnen dat gebeurde wil ik het volgende opmerken.

De afgelopen jaren heb ik voor mijn werk gerelateerde e-mailverkeer gebruik gemaakt van een privé e-mailaccount naast mijn zakelijke e-mailaccount. Het gebruik van mijn privé e-mailaccount voor werk gerelateerd e-mailverkeer heb ik inmiddels beëindigd en op mijn verzoek zijn de e-mails uit mijn privé e-mailaccount verwijderd en afzonderlijk opgeslagen.

Ik werk voor het belangrijkste deel van mijn werkzaamheden niet digitaal, maar op papier. In de regel worden stukken op papier aan mij aangeleverd. Mijn reacties hierop gaan in de regel in de vorm van aantekeningen op het schriftelijke stuk, of korte notities op papier. De afgelopen jaren heb ik voor overige werk gerelateerde communicatie naast een zakelijke e-mailaccount ook frequent gebruik gemaakt van een privé e-mailaccount.

De reden voor het gebruik van het privé e-mailaccount, naast mijn zakelijke e-mailaccount, was dat de mogelijkheid om op een locatie buiten het ministerie te werken via mijn zakelijke e-mailaccount door mij als omslachtig en niet als gebruiksvriendelijk werd ervaren. Hoewel het gebruik van een privé e-mailaccount voor zakelijke e-mails niet tegen de regels is, moet terughoudend en bewust gebruik worden gemaakt van privé e-mailaccounts. Ik realiseer mij dat het frequent voeren van zakelijke communicatie via mijn privé e-mailaccount niet de aangewezen werkwijze was. Ik ben mij er daarbij onvoldoende bewust van geweest dat, gezien de aard van mijn werkzaamheden, de door mij gebruikte privé e-maildienst minder geschikt was.

Wat betreft de aard van de informatie die op mijn privé e-mailaccount aanwezig was, heb ik niet het beeld dat het staatsgeheim gerubriceerde informatie betrof. Ik vind het echter van belang om te kunnen vaststellen of informatie met die rubricering op mijn privé e-mailaccount aanwezig was. Ik heb daarom de Auditdienst Rijk (ADR) opdracht gegeven onderzoek te doen naar de vraag of documenten met de rubriceringen Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim zoals bedoeld in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) op mijn privé e-mailaccount aanwezig waren, en welke informatie uit welke periode dat eventueel betrof. De ADR voert als onafhankelijke auditdienst regelmatig ICT-audits uit binnen de Rijksdienst, en is eveneens toegerust om onderzoek te doen waarbij mogelijk als staatsgeheim gerubriceerde informatie is betrokken. Ik verwacht u na het zomerreces te kunnen informeren over de bevindingen van de ADR.

Vraag 1

Kunt u een reactie geven op het item «Minister Kamp ontving werkmail op privémail tegen de regels in»?1

Antwoord 1

Hiervoor verwijs ik u naar bovenstaande.

Vraag 2

Welke regels zijn vastgelegd omtrent het gebruik van een privée-mailadres voor bewindspersonen in de Baseline Informatie Beveiliging Rijksdienst 2012 en eventuele andere regelgeving?

Antwoord 2

Voor de Rijksdienst gelden het Beveiligingsvoorschrift Rijksdienst (BVR), het Voorschrift Informatiebeveiliging Rijksdienst (VIR), het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) en de Baseline Informatievoorziening rijksoverheid (BIR). In het VIR-BI zijn regels opgenomen over de omgang met bijzondere informatie (hierna ook: gerubriceerde informatie). Bijzondere informatie is informatie waarvan kennisname door niet geautoriseerden nadelige gevolgen kan hebben voor de belangen van de staat, van zijn bondgenoten of van één of meer ministeries. Het gaat dan om informatie met de rubricering Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim.

De BIR uit 2012 stelt het volgende. «Voor het doorsturen van informatie naar privémail geldt: de medewerker bepaalt dan per geval of de betreffende informatie doorgestuurd kan worden. Automatische doorzending van alle mail naar een privéadres of andere onveilige omgeving wordt dan ook niet toegestaan omdat dan niet per bericht door de medewerker beoordeeld kan worden of de informatie naar een onvoldoende veilige omgeving kan worden gestuurd.»

Vraag 3

Zijn deze regels door u overtreden? Zo ja, met welke redenen heeft u dit gedaan?

Antwoord 3

Zoals uit de BIR volgt, is het niet zo dat het gebruik van een privé

e-mailaccount voor zakelijke e-mails niet is toegestaan. Wel moet terughoudend en bewust gebruik worden gemaakt van privé e-mailaccounts. Voor de redenen voor het gebruik van het privé e-mailaccount verwijs ik naar bovenstaande.

Vraag 4 en 5

Hoe lang en met welke frequentie heeft u gebruik gemaakt van uw privée-mailadres voor werkaangelegenheden?

Om wat voor e-mailverkeer ging het toen u uw privéadres gebruikte? Waarom was het gebruik van dit adres «gemakkelijker» voor u?

Antwoord 4 en 5

Hiervoor verwijs ik u naar bovenstaande.

Vraag 6

Bent u bereid om de e-mails ter vertrouwelijke inzage aan de Kamer ter beschikking te stellen? Zo nee, bent u bereid deze e-mails voor te leggen aan de Raad van State?

Antwoord 6

Ik heb de ADR opdracht gegeven om onderzoek te doen naar de vraag of gerubriceerde informatie zoals bedoeld in het VIR-BI, op mijn privé e-mailaccount aanwezig was, en welke informatie uit welke periode het eventueel betrof. Ik informeer uw Kamer over de bevindingen van het onderzoek van de ADR.

Vraag 7

Is de Rijksbeveiligingsambtenaar op de hoogte gesteld van het gebruik van uw privée-mailadres voor werkaangelegenheden? Zo nee, waarom niet?

Antwoord 7

Ja.

Vraag 8

Op basis van welke verdenkingen is in de zomer van 2014 een strafrechtelijk onderzoek ingesteld naar computervredebreuk en op basis waarvan is tot seponering overgegaan?

Antwoord 8

Op 9 juli 2014 constateerde ik dat er e-mailberichten waren verzonden vanuit mijn privé e-mailaccount, die niet persoonlijk door mij waren verzonden. Er is vervolgens, namens mij, aangifte gedaan bij de Landelijke Eenheid van de Nationale Politie van een vermoeden van computervredebreuk. Dit betreft het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan. De politie is onder leiding van het Openbaar Ministerie (OM) een opsporingsonderzoek gestart, met als doelstelling vast te stellen of, en zo ja door wie, mijn privé e-mailaccount was gehackt. Het OM heeft mij laten weten dat een ongerichte phishingaanval aannemelijk was, en dat geen vervolg is gegeven aan het strafrechtelijk onderzoek, onder andere omdat er onvoldoende onderzoeksindicaties waren.

Vraag 9

Waarom is ondanks het sepot een Bestuurlijke Rapportage geschreven en waarom is deze niet gedeeld met de Kamer?

Antwoord 9

Het Landelijk Parket van het OM en de Landelijke Eenheid van de Nationale Politie hebben een bestuurlijk advies aangeboden aan de Minister van Veiligheid en Justitie om aandacht te vragen voor de risico’s van zakelijk gebruik van privé e-mail door medewerkers en bewindspersonen van ministeries in het kader van het specifiek (op dat moment nog lopend) strafrechtelijk onderzoek naar de hack van mijn privé e-mailaccount. Dergelijke interne advisering aan een beleidsverantwoordelijke bewindspersoon wordt in de regel niet gedeeld met uw Kamer.

Vraag 10

Is er aanleiding om aan te nemen dat meerdere mensen naast uzelf beschikken over inloggegevens van uw privée-mailaccount?

Antwoord 10

Direct na de aangifte in juli 2014 zijn de inloggegevens van mijn privé e-mailaccount aangepast. Ik heb geen aanleiding te veronderstellen dat andere mensen dan mijn echtgenote en ik, beschikken over de inloggegevens van het privé e-mailaccount.

Vraag 11

Bestaat er een koppeling van uw privée-mailaccount en uw werk-e-mailaccount. Zo ja, op welke wijze is deze vormgegeven?

Antwoord 11

Nee.

Vraag 12

Hoe veilig beoordeelt u de door u gebruikte privée-maildienst en welke verschillen bestaan er tussen de door u gebruikte e-maildienst en de door uw departement gebruikte e-maildienst?

Antwoord 12

Hiervoor verwijs ik u naar bovenstaande.

Vraag 13

Is er op basis van wetgeving in de Verenigde Staten aanleiding om aan te nemen dat de Amerikaanse overheid beschikt over Nederlandse overheidsinformatie? Zo ja, om welke informatie uit welke perioden als bewindspersoon gaat dit? Welke posten in de regering bekleedde u tijdens die perioden?

Antwoord 13

De Amerikaanse wetgeving bevat waarborgen voor het op rechtstatelijke wijze kennisnemen van informatie. Er kan echter in zijn algemeenheid niet worden uitgesloten dat die Amerikaanse wetgeving een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. In dit specifieke geval heb ik geen aanwijzing dat een dergelijke verplichting voor mijn privé e-mailaccount is opgelegd. Het onderzoek van de ADR zal uitwijzen of gerubriceerde informatie zoals bedoeld in het VIR-BI, op mijn privé e-mailaccount aanwezig was, en welke informatie uit welke periode het eventueel betrof.


X Noot
1

Nos.nl, 12 mei 2016

Naar boven