Handeling
| Datum publicatie | Organisatie | Vergaderjaar | Vergadernummer | Datum vergadering |
|---|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2016-2017 | nr. 43, item 3 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
3 Vragenuur: Vragen Marcouch
Vragen van het lid Marcouch aan de minister van Veiligheid en Justitie over het bericht dat politiegeheimen op straat liggen.
De heer Marcouch (PvdA):
Voorzitter. Afgelopen week was in het nieuws dat BNR via een ethische hacker gevoelige politie-informatie in handen kreeg. Gevoelige informatie van de politie is op straat komen te liggen omdat de politie oude domeinnamen heeft laten verlopen. Zo konden e-mails van de politie terechtkomen bij de nieuwe eigenaars van die domeinnaam. Die hadden onder meer betrekking op arrestatiebevelen en een beveiligingsplan van een kermis en dat in een context en een tijd waarin sprake is van veel dreiging. Maar het gold ook voor de uitwisseling van e-mails met gevoelige informatie over mensen, bijvoorbeeld informatie van jeugdzorg. Het is een schande dat deze informatie op straat komt te liggen doordat de politie de oude domeinnamen zo heeft laten lopen. Ik krijg graag een reactie van de minister op dit geheel.
Is de politie of de minister twee jaar geleden inderdaad door deze ethische hacker gewaarschuwd voor het laten verlopen van deze e-mailadressen waardoor dit heeft kunnen gebeuren? Heeft de minister een beeld van de informatie en de documenten die via dit kanaal en deze gang van zaken op straat zijn komen te liggen?
Ook op andere onderdelen van het ministerie van V en J is sprake van een reorganisatie bijvoorbeeld als gevolg van de herziening van de gerechtelijke kaart en bij het gevangeniswezen. Kan de minister toelichten hoe sowieso wordt omgegaan met dit soort domeinnamen om te voorkomen dat ze in verkeerde handen terechtkomen?
Minister Van der Steur:
Voorzitter. Ik dank de heer Marcouch voor zijn vragen. Dit is inderdaad een vervelende kwestie waarvoor in 2015 al eerder aandacht is gevraagd. De nationale politie heeft op dat moment onmiddellijk actie ondernomen. Er zijn toen honderden domeinnamen opnieuw geregistreerd, maar klaarblijkelijk geldt dit niet voor alle domeinnamen.
Daarnaast is het mogelijk om domeinnamen met het woord "politie" erin te registreren. Ik noem als voorbeeld de smaakpolitie.nl; dat is een bekende domeinnaam. Zo zijn er veel andere vormen denkbaar waardoor verwarring kan ontstaan bij het publiek. Ik wijs erop — en dat heb ik afgelopen vrijdag ook al gedaan — dat de nationale politie maar één e-mailadres gebruikt, het e-mailadres dat eindigt op @politie.nl.
De domeinnamen waarover wij nu spreken, zijn de domeinnamen uit de tijd voor de vorming van de nationale politie. Er is destijds onmiddellijk actie ondernomen en nu heb ik de korpschef ook gevraagd te bezien welke risico's er nog kleven aan eventuele niet geregistreerde oude domeinnamen en welke technische maatregelen, zoals domeinnaambewaking, nog mogelijk zijn.
Het is goed dat de korpschef gebruikmaakt van de bevindingen en adviezen van deze en andere ethisch hackers, want hun kritische blik kan bijdragen aan de veiligheid van de informatie-uitwisseling. Deze vorm van samenwerking is overigens een speerpunt van mijn ministerie dat ook is uitgedragen tijdens het Nederlandse EU-voorzitterschap.
Met andere woorden: het probleem was bekend, er is actie ondernomen, maar klaarblijkelijk niet goed genoeg. Ik zal de korpschef vragen wat hij nu gaat doen en ik zal de Kamer daarover in de voortgangsrapportage nationale politie berichten.
De heer Marcouch (PvdA):
De minister reageert met weinig urgentie. Deze kwestie laat zien dat mensen van buiten heel eenvoudig kunnen inbreken in politiesystemen. Onbevoegden kunnen zo politie-informatie in handen krijgen. Als je het risico loopt op een inbraak en er wordt bij je ingebroken, lijkt mij dat je dan schrikt en je meteen zorgt voor extra en andere sloten; dat je er alles aan doet om te voorkomen dat er wordt ingebroken. Dat is toch zeker het geval als het om dit soort gevoelige informatie gaat?
Hoe zal de minister ervoor zorgen dat de domeinnamen waarin het woord "politie" terugkomt, niet op deze wijze in verkeerde handen komen? Nu was het een ethische hacker, maar voor hetzelfde geld was het iemand met kwade bedoelingen geweest. Ik hoop dat deze ethische hacker niet wordt gestraft maar beloond voor wat hij heeft gedaan.
Zijn dit soort activiteiten als het misbruik maken van domeinnamen van de politie, strafbaar? Kan daar iets tegen worden gedaan?
Ik vraag de minister dus ervoor te zorgen dat deze domeinnamen niet in verkeerde handen komen, maar ook of het strafbaar is als mensen willens en wetens misbruik maken van dit soort domeinnamen waardoor zij informatie van de politie verkrijgen. Wat gaat de minister hieraan doen?
Minister Van der Steur:
Misschien is het goed om even recht te zetten dat er naar mijn stellige overtuiging geen sprake is geweest van een inbraak. Iemand heeft een domeinnaam aangemaakt of gebruikt, al dan niet een oude, en heeft door middel van die domeinnaam informatie kunnen verkrijgen; dus door het zelf actie ondernemen en het sturen van een e-mail. Ook hier geldt dat een politieagent of een ketenpartner altijd op moet letten dat van het juiste politie-e-mailadres gebruik wordt gemaakt. Dat is een taak die de korpschef op zich moet nemen om ervoor te zorgen dat die informatie ruimschoots bekend wordt gemaakt. Dat geldt niet alleen voor politiemedewerkers, maar ook voor burgers en bedrijven. Het enige e-mailadres dat door de politie wordt gebruikt is @politie.nl.
We zullen nooit alle domeinnamen met het woord "politie" erin kunnen registreren, maar wel de oude domeinnamen die ooit in gebruik zijn geweest bij de voorgangers van de nationale politie. Ik zal de korpschef vragen hoever het daarmee is en welke maatregelen er nog worden genomen, want ik ben het met de heer Marcouch eens dat het onwenselijk is dat documenten die niet voor hackers, ethische hackers of wie dan ook anders dan politieagenten bedoeld zijn, naar buiten komen. Daar zal de korpschef voor moeten zorgen.
De heer Marcouch (PvdA):
Ik heb geen antwoord gekregen op mijn vraag of het toegestaan of strafbaar is om dit soort oude domeinnamen te gebruiken om politie-informatie te verkrijgen. Dat lijkt mij een belangrijke boodschap aan de mensen die dit doen. Wat gaat de minister daar vervolgens tegen doen?
Minister Van der Steur:
Dat zal ik meenemen in de voortgangsrapportage. Ik heb op dit moment niet het antwoord paraat op de vraag of het strafbaar is. Het lijkt mij wel, want je geeft je uit voor iemand anders. Dat is volgens mij altijd in strijd met de normen in ons Wetboek van Strafrecht. Ik kan even zo snel niet bedenken om welk artikel het precies gaat. Daar zal ik de Kamer in de voortgangsrapportage over informeren. Het moge helder zijn dat bij hacken, of dat nu ethisch is of niet, grondig zal worden bezien wat de intenties van de betrokkene waren. Als het ethisch is, ben ik blij, want dan is er in ieder geval sprake van samenwerking tussen mensen die willen meewerken aan het verhogen van de digitale veiligheid. Als er ook sprake is van andere intenties, dan moet er streng worden opgetreden.
De heer Van Raak (SP):
Het is natuurlijk van de gekke dat de politie blijkbaar niet weet welke e-mailadressen zij gebruikt en welke zij niet gebruikt. Wij zijn er jaren geleden al voor gewaarschuwd en er is nog steeds niks aan gedaan. Is het nou zo moeilijk om een bepaald e-mailadres dat je hebt gebruikt en dat je niet meer gaat gebruiken, te blokkeren? Waarom is de regering, inclusief de nationale politie, dus het hele overheidsapparaat daar dan niet in geslaagd? Het is een technische handeling. En hoe gaat het nu met die ethische hacker? Ik heb gehoord dat de minister blij is dat er ethische hackers zijn. Heeft hij al een bloemetje of een taartje gekregen? Hoe heeft de minister hem beloond voor zijn goede werk?
Minister Van der Steur:
Het is niet aan de minister om ethische hackers te belonen. Ik weet dat de korpschef en de nationale politie in gesprek zijn met betrokkene. In 2015, toen het eerste signaal werd gegeven, is dat al gebeurd. Daarna is actie ondernomen ten aanzien van de honderden domeinnamen. Ik ben het met de heer Van Raak eens dat er alles aan gedaan moet worden om ervoor te zorgen dat het risico op misbruik van oude domeinnamen zo klein mogelijk wordt. Maar dat neemt niet het risico weg dat er gebruikgemaakt kan worden van een op politie lijkende domeinnaam. Die zul je namelijk nooit allemaal kunnen registreren. Voor het overige neem ik ook de technische vraag die de heer Van Raak stelde mee in de voortgangsrapportage.
Mevrouw Van Toorenburg (CDA):
Ik zat een beetje te twijfelen of ik nog een aanvullende vraag wilde stellen, maar ik doe het toch omdat ik vind dat de minister hier een beetje luchtig over doet. Ik noem het feit dat er draaiboeken van kerstmarkten naar buiten zijn gekomen langs deze weg. We hebben het niet zo maar over een adresje. Een aantal jaren geleden is bij de nationale politie concreet aangegeven dat dit een groot risico is. Het gaat hier niet over de smaakpolitie; het is gewoon de politie Rijnmond. Ik vraag me af waarom de minister er zo luchtig over doet dat dit nog steeds zo bestaat. Wat gaat hij heel snel doen om ervoor te zorgen dat dit niet kan gebeuren?
Minister Van der Steur:
Ik heb niet de indruk dat mijn reactie luchtig genoemd kan worden. Ik voel de urgentie evenzeer als mevrouw Van Toorenburg. Ik heb aangegeven wat de korpschef zal doen om ervoor te zorgen dat het risico hierop zo klein mogelijk wordt. Ik denk ook dat het van groot belang is. Ik heb toegezegd dat ik de Kamer hierover zal rapporteren.
De heer Verhoeven (D66):
Voorzitter. We hebben het nu over een ethische hack en ik ben het met de minister eens dat je je moet afvragen of dit überhaupt wel hacken is. Het is eigenlijk nog van een lager niveau om toch nog te kunnen doordringen tot informatie van de politie. Dus dat moet geregeld worden. Mijn vraag is de volgende. Het kabinet heeft vlak voor de kerst een wet door de Kamer geloodst waarin de politie zelf de mogelijkheid krijgt om te hacken en nu blijkt dat diezelfde politie of de top van de politie, misschien wel onder verantwoordelijkheid van deze minister, niet in staat is om de domeinnamen en de beveiliging van de eigen gegevens zo veilig mogelijk te laten zijn. Hoe ziet de minister dat? Aan de ene kant zelf als politie gaan hacken en aan de andere kant zelf als politie niet in staat zijn om de basale beveiliging op orde te hebben. Dat is toch een vreemde combinatie?
Minister Van der Steur:
Ik zie niet dat die combinatie vreemd zou zijn. Ik zie wel dat dit probleem moet worden opgelost; dat ben ik met de heer Verhoeven eens. Volgens mij is door de staatssecretaris uitgebreid met ook de heer Verhoeven gewisseld, waarom het van groot belang is dat de politie de mogelijkheden krijgt die in dat wetsvoorstel Computercriminaliteit III zitten. Ik noem daar zelf ook bij het mogelijk maken van de lokpuber, waar ikzelf in bijzonder hoge mate aan hecht. Het zou goed zijn geweest als ook D66 dat belang zou hebben ingezien. Ik vind het zeer jammer dat D66 uiteindelijk niet voor de wet heeft kunnen stemmen. Ik zie echter geen relatie of causaal verband tussen deze twee grootheden.
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/h-tk-20162017-43-3.html