Vragen van het lid Verhoeven (D66) aan de Minister-President en de Minister van Veiligheid en Justitie over het bericht dat de Minister van Economische Zaken doorgaat met het gebruik van Gmail voor communicatie met ambtenaren (ingezonden 18 mei 2016).

Antwoord van Minister Kamp (Economische Zaken), mede namens de Minister president, de Ministers van Veiligheid en voor Wonen en Rijksdienst (ontvangen 7 juli 2016).

Inleiding

De Kamer heeft vragen gesteld over het gebruik van mijn privé e-mailaccount voor werk gerelateerde e-mails. Over de context waarbinnen dat gebeurde wil ik het volgende opmerken.

De afgelopen jaren heb ik voor mijn werk gerelateerde e-mailverkeer gebruik gemaakt van een privé e-mailaccount naast mijn zakelijke e-mailaccount. Het gebruik van mijn privé e-mailaccount voor werk gerelateerd e-mailverkeer heb ik inmiddels beëindigd en op mijn verzoek zijn de e-mails uit mijn privé

e-mailaccount verwijderd en afzonderlijk opgeslagen.

Ik werk voor het belangrijkste deel van mijn werkzaamheden niet digitaal, maar op papier. In de regel worden stukken op papier aan mij aangeleverd. Mijn reacties hierop gaan in de regel in de vorm van aantekeningen op het schriftelijke stuk, of korte notities op papier. De afgelopen jaren heb ik voor overige werk gerelateerde communicatie naast een zakelijke e-mailaccount ook frequent gebruik gemaakt van een privé e-mailaccount.

De reden voor het gebruik van het privé e-mailaccount, naast mijn zakelijke

e-mailaccount, was dat de mogelijkheid om op een locatie buiten het ministerie te werken via mijn zakelijke e-mailaccount door mij als omslachtig en niet als gebruiksvriendelijk werd ervaren. Hoewel het gebruik van een privé

e-mailaccount voor zakelijke e-mails niet tegen de regels is, moet terughoudend en bewust gebruik worden gemaakt van privé e-mailaccounts. Ik realiseer mij dat het frequent voeren van zakelijke communicatie via mijn privé e-mailaccount niet de aangewezen werkwijze was. Ik ben mij er daarbij onvoldoende bewust van geweest dat, gezien de aard van mijn werkzaamheden, de door mij gebruikte privé e-maildienst minder geschikt was.

Wat betreft de aard van de informatie die op mijn privé e-mailaccount aanwezig was, heb ik niet het beeld dat het staatsgeheim gerubriceerde informatie betrof. Ik vind het echter van belang om te kunnen vaststellen of informatie met die rubricering op mijn privé e-mailaccount aanwezig was. Ik heb daarom de Auditdienst Rijk (ADR) opdracht gegeven onderzoek te doen naar de vraag of documenten met de rubriceringen Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim zoals bedoeld in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) op mijn privé e-mailaccount aanwezig waren, en welke informatie uit welke periode dat eventueel betrof. De ADR voert als onafhankelijke auditdienst regelmatig ICT-audits uit binnen de Rijksdienst, en is eveneens toegerust om onderzoek te doen waarbij mogelijk als staatsgeheim gerubriceerde informatie is betrokken. Ik verwacht u na het zomerreces te kunnen informeren over de bevindingen van de ADR.

Vraag 1

Kent u het bericht «Minister Kamp gaat door met gebruik Gmail voor communicatie met ambtenaren»?1

Antwoord 1

Ja.

Vraag 2

Kunt u uitsluiten dat er gevoelige of staatsgeheime informatie naar het privé e-mailaccount van de Minister van Economische Zaken is gestuurd? Zo nee, bent u bereid hier nader onderzoek naar te doen?

Antwoord 2

Hiervoor verwijs ik naar bovenstaande.

Vraag 3

Kunt u uitsluiten dat er gevoelige of staatsgeheime informatie in handen van derden is gekomen?

Antwoord 3

Op dit moment heb ik geen aanleiding om aan te nemen dat als staatsgeheim gerubriceerde informatie in handen van derden is gekomen. De ADR is opdracht gegeven om onderzoek te doen naar de vraag of gerubriceerde informatie zoals bedoeld in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI), op mijn privé e-mailaccount aanwezig was, en welke informatie uit welke periode het eventueel betrof.

Vraag 4

Is het waar dat de Minister slachtoffer is geworden van phishing en daardoor derden toegang hadden tot zijn e-mailaccount?

Antwoord 4

In juli 2014 is, namens mij, aangifte gedaan van een vermoeden van computervredebreuk. Tijdens het daaropvolgende onderzoek is vastgesteld dat een ongerichte phishingaanval waarmee toegang tot het account werd verkregen, aannemelijk was.

Vraag 5

Is het waar dat het gebruik van een privé e-mailaccount niet is toegestaan volgens relevante richtlijnen van de rijksoverheid, zoals de richtlijn Baseline Informatiebeveiliging Rijksdienst (BIR 2012)?

Antwoord 5

Nee. Het is niet zo dat het gebruik van een privé e-mailaccount voor zakelijke e-mails niet is toegestaan.

Voor de Rijksdienst gelden het Beveiligingsvoorschrift Rijksdienst (BVR), het Voorschrift Informatiebeveiliging Rijksdienst (VIR), het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) en de Baseline Informatievoorziening rijksoverheid (BIR). In het VIR-BI zijn regels opgenomen over de omgang met bijzondere informatie. Bijzondere informatie is informatie waarvan kennisname door niet geautoriseerden nadelige gevolgen kan hebben voor de belangen van de staat, van zijn bondgenoten of van één of meer ministeries. Het gaat dan om informatie met de rubricering Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim.

De BIR uit 2012 stelt het volgende: «Voor het doorsturen van informatie naar privémail geldt: de medewerker bepaalt dan per geval of de betreffende informatie doorgestuurd kan worden. Automatische doorzending van alle mail naar een privéadres of andere onveilige omgeving wordt dan ook niet toegestaan omdat dan niet per bericht door de medewerker beoordeeld kan worden of de informatie naar een onvoldoende veilige omgeving kan worden gestuurd.»

Vraag 6

Bent u het ermee eens dat het in het belang van de staatsveiligheid is om te zorgen dat Ministers geen privé e-mailaccounts gebruiken voor gevoelige of staatsgeheime zaken?

Antwoord 6

Ja.

Vraag 7

Bent u bereid een intern onderzoek te starten naar het gebruik van privé e-mailaccounts onder bewindslieden?

Antwoord 7

Alle bewindspersonen hebben aan de Minister-President laten weten dat zij in verschillende mate (en in sommige gevallen geen) gebruik maken van een privé e-mailaccount voor werk gerelateerde e-mails, maar daarbij rekening houden met de aard van de informatie (het betreft geen als staatsgeheim gerubriceerde informatie).

Vraag 8

Is het waar dat met name Ministers een bijzonder doelwit vormen voor hackers uit landen als China, Rusland en Iran, en dat digitale spionage een dreiging voor de nationale veiligheid vormt, en dat overheidsinstellingen hiervan structureel doelwit zijn zoals uit het jaarverslag van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) blijkt?

Antwoord 8

Mij is niet bekend of Ministers een bijzonder doelwit vormen voor hackers uit landen als China, Rusland en Iran. In zijn algemeenheid heeft de AIVD in zijn jaarverslag 2015 geconstateerd dat sommige landen geïnteresseerd zijn in de politieke besluitvorming in Nederland. Daarbij ziet de AIVD een toename van digitale spionage gericht op het vergaren van politieke inlichtingen, alsmede economische spionage. In het Cybersecurity Beeld Nederland 2015 is opgemerkt dat de grootste digitale spionagedreiging komt van buitenlandse inlichtingendiensten.

Vraag 9

Bent u van mening dat Ministers, los van bestaande richtlijnen, zich bewust zouden moeten zijn van het feit dat zij een bijzonder doelwit zijn voor staatshackers en daardoor een additionele verantwoordelijkheid hebben om zorgvuldig om te gaan met gangbare normen omtrent cyberveiligheid?

Antwoord 9

Ik ben van mening dat Ministers nadrukkelijk een verantwoordelijkheid hebben om zorgvuldig om te gaan met gangbare normen rond cyberveiligheid.

Vraag 10

Krijgen Ministers en hooggeplaatste ambtenaren speciale training of informatie over best practices op het gebied van cyberveiligheid of «cyberhygiëne»? Zo nee, waarom niet?

Antwoord 10

In het Handboek voor aantredende bewindspersonen worden bewindspersonen gewezen op het VIR-BI. Departementen geven bij het aantreden van bewindspersonen informatie over cyberveiligheid en -hygiëne. Verder leveren zij voldoende veilige faciliteiten voor informatie en communicatie.

Voor hooggeplaatste ambtenaren kent de Algemene Bestuursdienst het Ambtelijk Professionaliserings Programma. Daarin zit onder meer een ICT-module. Informatiebeveiliging is hierin één van de onderwerpen, waarbij ook aandacht is voor cyberveiligheid en incidenten op dat vlak.

Daarnaast zijn voor ambtenaren en managers workshops en e-learningmodules beschikbaar binnen het programma «iBewustzijn Rijk». Per 1 juli 2016 is er één rijksbrede Gedragsregeling voor de digitale werkomgeving met daarin afspraken over digitale gebruiksmogelijkheden, online gedrag en bewuste omgang met risico's. Hiermee worden de tot dan toe in gebruik zijnde internet- en e-mailgedragscodes bij de departementen geharmoniseerd. Organisaties binnen de rijksoverheid kunnen deze nieuwe Gedragsregeling waar nodig nader specificeren en mogen daarbij alleen strikter zijn in hun normering dan de Gedragsregeling als rijksbreed kader aangeeft. Voor verdere interne communicatie wordt het programma «iBewustzijn Rijk» ingezet.

Naar boven