29 200 VII
Vaststelling van de begrotingsstaat van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) voor het jaar 2004

nr. 39
BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

In mijn brief van 25 maart 2003 (Aanhangsel Handelingen nr. 1010, vergaderjaar 2002–2003) heb ik u geïnformeerd over het voornemen om een kwetsbaarheidsonderzoek te laten uitvoeren op het proces van het aftappen van telecommunicatie. De resultaten daarvan zijn nu beschikbaar en deze bied ik u hierbij mede namens mijn collega van Justitie aan. De eveneens in de brief van 25 maart toegezegde toezending aan de commissie IVD van het NBV-rapport betreffende tapkamers heeft inmiddels ook plaatsgevonden.

Het bijgaande kwetsbaarheidsonderzoek1 is uitgevoerd door PriceWaterhouseCoopers Accountants N.V. waarbij voor de totstandkoming van de ijkpunten gebruik gemaakt is van de kennis en inzichten van personen, direct betrokken bij de reeds in gang gezette herstructurering van het tapproces.

In het rapport worden de kwetsbare punten en tekortkomingen van de onderzochte systemen gesignaleerd. Ik hecht eraan op te merken dat niet is gezegd dat de gesignaleerde kwetsbaarheden ook daadwerkelijk hebben geleid tot misbruik in de systemen. Ten overvloede zij opgemerkt dat de systemen worden gebruikt binnen een beperkte en besloten politieomgeving. Er zijn mij geen gevallen van misbruik bekend.

Bij de onderzochte tapkamers blijken het beheer en de informatiebeveiliging onvoldoende geformaliseerd. Tevens wordt er een ontoereikende interne technische beveiliging geconstateerd.

Een belangrijke aanbeveling op grond van de kwetsbaarheidsanalyse is om duidelijke minimale eisen voor het beheer en de beveiliging vast te stellen, waaraan de tapfaciliteiten moeten voldoen.

In de artikelen 3, 4 en 6 van de ministeriele Regeling Informatiebeveiliging Politie (juli 1997) is bepaald dat de korpsbeheerder het beveiligingsbeleid rond informatiesystemen vaststelt en implementeert. Ten behoeve daarvan is door het Expertisecentrum Informatiebeveiliging Nederlandse Politie van het NPI een Leidraad Informatiebeveiliging Nederlandse Politie (december 2001) opgesteld.

Medewerkers van politie en justitie hebben in samenwerking met het Openbaar Ministerie het afgelopen jaar de beveiligingsaspecten van met name interceptiefaciliteiten onder de loep genomen. Dit heeft geleid tot een kader voor het informatiebeveiligingsbeleid voor tapfaciliteiten, de «Normstelling Inrichting Interceptiefaciliteiten». Deze Normstelling moet worden gezien als een aanvulling op de eerder genoemde Leidraad, daar waar het gaat om het in beeld brengen van specifieke beveiligingsaspecten van interceptiefaciliteiten.

Ik heb de voorzitter en leden van het korpsbeheerdersberaad gewezen op de resultaten van de kwetsbaarheidsanalyse en hen verzocht de Normstelling Inrichting Interceptiefaciliteiten in het driehoeksoverleg aan de orde te stellen, het document vast te stellen als basis voor beveiligingsbeleid bij het hanteren van het instrument interceptie en over te gaan tot implementatie van op de normstelling gebaseerd beveiligingsbeleid in de korpsen. De Normstelling schrijft voor dat periodiek een audit wordt uitgevoerd op de implementatie van dit beveiligingsbeleid.

Ik zal de Normstelling Inrichting Interceptiefaciliteiten na vaststelling door de korpsbeheerders opnemen in de eerdergenoemde Regeling Informatiebeveiliging Politie. Daarmee wordt ten behoeve van de korpsbeheerders duidelijkheid gegeven omtrent de minimale eisen waaraan interceptiefaciliteiten en de beveiligingsaspecten dienen te voldoen. Het College van procureurs-generaal onderschrijft het grote belang hiervan.

De strafrechtelijke verantwoordelijkheid van het Openbaar Ministerie voor het opnemen van telecommunicatie vertaalt zich overigens niet, zoals mogelijk ten onrechte uit de kwetsbaarheidsanalyse zou kunnen worden opgemaakt, in een eigenaarschap van het Openbaar Ministerie van de aldus verkregen gegevens. Uit de Wet Politieregisters blijkt dat de korpsbeheerder in eerste instantie de verantwoordelijke is voor die gegevens. Uiteraard brengt de strafrechtelijke verantwoordelijkheid wel met zich dat het Openbaar Ministerie betrokken is bij het stellen van eisen aan de inrichting van de tapfaciliteiten.

Juist vanwege de complexiteit van het beheer in combinatie met de snelle technologische ontwikkelingen op het terrein van de telecommunicatie is al in 2000 op initiatief van de ministers van Justitie en van BZK een project voor de herstructurering van de tapfaciliteiten in gang gezet met de gedachte te komen tot één landelijke organisatie voor het tappen. Ik heb u over het project LIO onder meer geïnformeerd in de voortgangsrapportages behorende bij het actieplan «Terrorismebestrijding en Veiligheid» (actiepunt 15). Het project Landelijke Interceptie Organisatie (LIO), dat onder de verantwoordelijkheid van de Regieraad ICT Politie wordt uitgevoerd, past in de doelstellingen van het ICT Bestek Politie 2001–2005 om, naast de ontwikkeling van één informatiehuishouding, te komen tot de realisatie van één landelijke ICT-infrastructuur voor de politie. Met LIO wordt een organisatiestructuur gecreëerd waarbinnen de mogelijkheden aanwezig zijn om zowel dure technische voorzieningen (onder andere in de sfeer van beveiliging) als schaarse expertise te kunnen delen. De inrichting van de beveiliging overeenkomstig de bovengenoemde normstelling is een onlosmakelijk deel van het project.

Het project dient zo spoedig mogelijk en onverkort in z'n volle omvang te worden uitgevoerd om alle beoogde diensten te kunnen gaan leveren aan de opsporingsdiensten. Tot dat moment worden gefaseerd delen operationeel.

De Landelijke Interceptie Organisatie die op landelijk niveau voorloopt op de implementatie van de beveiligingsnormen, is inmiddels in staat een adequaat beveiligde basisdienstverlening te bieden. Op dit moment hebben tien regiokorpsen zich reeds volledig aangesloten bij de Landelijke Interceptie Organisatie, evenals de Nationale Recherche, de Koninklijke Marechaussee en de Bijzondere Opsporingsdiensten. Nog eens tien regiokorpsen maken inmiddels voor specifieke diensten gebruik van de LIO met de intentie op korte termijn tot volledige aansluiting over te gaan. Met de overige korpsen is het gesprek over het moment van aansluiting nog gaande. Volgens de huidige projectplanning is de LIO in 2004 gereed. Medio 2005 dienen alle korpsen bij de LIO te zijn aangesloten. Het parallel instandhouden van interceptie infrastructuur in de regio's en op landelijk niveau brengt onnodig hoge kosten met zich mee en dient dus op afzienbare termijn te worden beëindigd.

Bij de samenstelling en berekening van de bij decembercirculaire 2002 bekend gemaakte verhoging van het normbedrag voor de component kwaliteit is rekening gehouden met stijgende kosten voor interceptie als gevolg van de zwaardere eisen die aan tapfaciliteiten gesteld worden. Hiermee wordt tegemoet gekomen aan bezwaren van financiële aard die korpsen zouden kunnen weerhouden gebruik te gaan maken van de dienstverlening van de LIO. De verhoging van het normbedrag voor de component kwaliteit in relatie tot tappen is een reeks die oploopt van € 3,1 miljoen in 2003 tot € 12,5 miljoen in 2006 e.v.

Alles bij elkaar beschouwd, is het reëel dat de korpsbeheerders al op relatief korte termijn invulling kunnen geven aan hun verantwoordelijkheid voor het handhaven van de beveiligingskaders ten aanzien van het tapproces: er zijn door mij reeds aanvullende middelen beschikbaar gesteld én de korpsen kunnen gebruik gaan maken van de LIO, die zijn bedrijfsvoering met adequate beveiligingsmaatregelen heeft omgeven.

Door mij zal toezicht worden uitgeoefend op de manier waarop de aanvullende regeling op het punt van de inrichting tapfaciliteiten zal worden uitgevoerd. De geconstateerde kwetsbaarheden dienen zo snel mogelijk weggenomen te zijn.