De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Financiën over de brief van 18 januari 2023 over de Audit Wet politiegegevens bij de Douane (Kamerstuk 31 934, nr. 66).

De vragen en opmerkingen zijn op 10 februari 2023 aan de Staatssecretaris van Financiën voorgelegd. Bij brief van 11 april 2023 zijn de vragen beantwoord.

De voorzitter van de commissie, Tielen

De griffier van de commissie, Schukkink

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met veel zorg kennisgenomen van de brief van de Staatssecretaris en hebben enkele opmerkingen en vragen.

De leden van de VVD-fractie constateren dat het verbeterrapport in april met de Kamer zal worden gedeeld. Deze leden zijn benieuwd naar dit rapport en hoe de aanbevelingen worden opgepakt door het kabinet en de Douane. Deze leden zullen dan uitgebreider op deze problematiek ingaan.

Tot slot vragen de leden van de VVD-fractie waarom er niets tot nauwelijks wat met de verbeterpunten zijn gedaan die bij de nulmeting van mei 2021 waren geconstateerd?

Vanaf maart 2019 valt de Douane met de opsporingstaken van haar buitengewone opsporingsambtenaren (BOA’s) onder de Wet politiegegevens (Wpg). Gaandeweg het proces van implementatie van deze wet, constateerde de Douane dat de implementatie aanvullende vragen opriep en meer uitwerking behoefde. Onder meer voor wat betreft de vastlegging van gegevensverwerkingen. Daarom heeft de Douane, aanvullend op al lopende acties, de Auditdienst Rijk (ADR) gevraagd een nulmeting uit te voeren om beter inzicht te verkrijgen welke maatregelen de Douane in het implementatietraject nog had te nemen. De Douane heeft de resultaten van deze nulmeting ontvangen op 19 mei 2021.

De nulmeting leverde 18 aanbevelingen op, op het gebied van projectinrichting, vaste werkwijzen voor omgang met Wpg-gegevens, aanpassing IT-systemen, inrichting van kwaliteitscontroles op het gebruik van Wpg-gegevens, uitvoeren van een DPIA, herzien van privacybeleid, inrichten van bewaartermijnen en interne audits en het vergroten van de bewustwording rond de Wpg. Naar aanleiding van deze resultaten is per 30 mei 2021 een project gestart, van waaruit de aanbevelingen uit de nulmeting zijn belegd bij de verantwoordelijke afdelingen binnen de douaneorganisatie.

De ADR heeft in haar in december 2022 opgeleverde audit1 gekeken naar de stand van de implementatie van de aanbevelingen op de nulmeting op 31 december 2021.De peildata van de nulmeting (mei 2021) ligt dicht op de peildatum van de recent opgeleverde audit (namelijk 31 december 2021). De eerste resultaten van de verbeteracties uit de nulmeting zijn pas na 31 december 2021 zichtbaar geworden en zijn dus niet allemaal opgenomen in de meest recent opgeleverde audit.

Te denken valt aan de uitvoering van de aanbeveling om een beveiligingsadvies op basis van de Baselinetoets Informatiebeveiliging Overheid (BIO) te verkrijgen, maar ook de aanbeveling om een bewustwordingscampagne op te starten. Het bioadvies van 29 maart 2022 en beschrijft hoe in en rond de implementatie van de Wpg in de automatiseringssystemen omgegaan moet worden met informatiebeveiliging. De adviezen hebben betrekking op technische en organisatorische aanvullende maatregelen op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid. Het bioadvies wordt nu meegenomen in het implementatietraject Wpg.

Maar ook de bewustwordingscampagne is na 31 december 2021 gestart en wel in juli 2022. De Douane is toen begonnen met een meerjarige trapsgewijze bewustwordingscampagne met algemene brede communicatie via de organisatie brede kanalen richting de gehele organisatie. Het doel is om in de periode tot en met 2023 de verplichtingen van de Wpg bekend te maken bij alle medewerkers die hier mee te maken zouden kunnen hebben, zodanig dat medewerkers zich bewust zijn van hun eigen rol en taak. Er is een gerichte aanpak gemaakt met interne communicatie via presentaties in overleggen, berichten op het intranet, flyers en beschikbare informatie op de mobiele werktelefoon. Ook is een landelijk netwerk van Wpg-contactpersonen in de verschillende Douaneregio’s opgezet. In 2023 wordt deze campagne verder uitgebreid en meer gedetailleerd uitgevoerd met specifieke en gerichte communicatie richting de regio’s en de verschillende, specialistische teams.

Bij de recente audit is overigens ook het Norea-normenkader Wpg geïntroduceerd door de ADR2. De Norea, de beroepsorganisatie van IT-auditors, geeft hierin de bandbreedte aan waarbinnen de IT-auditor de werkzaamheden verricht en beschrijft het object, scope en aspecten van onderzoek ten behoeve van de interne en externe auditaanpak. Conform deze richtlijn voor IT-auditoren is door de ADR een volledige toetsing op dit normenkader uitgevoerd en is ter ondersteuning van de uitvoering en de weging van de audit voor elke norm een aantal sub-normen gedefinieerd. Met dit normenkader werd veel explicieter waar de Douane aan heeft te voldoen voor wat betreft de implementatie van de Wpg.

Kortom, doordat er relatief weinig tijd zat tussen de peildata van de twee ADR-audits (7 maanden), de eerste resultaten van de verbeteracties uit de nulmeting pas na de peildatum van 31 december 2021 zichtbaar zijn geworden en het normenkader van de ADR explicieter werd in de tweede audit, is er beperkt verbetering te constateren tussen de twee audits.

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met belangstelling kennisgenomen van het Assurancerapport Privacy audit Wet Politiegegevens Douane 2021. Deze leden hebben nog enkele vragen hierover.

De Auditdienst Rijk (ADR) is in de audit tot het oordeel gekomen dat de Douane in 2021 in belangrijke mate niet voldeed aan de Wet politiegegevens (Wpg). De leden van de D66-fractie vragen de Staatssecretaris om toe te lichten hoe het heeft kunnen ontstaan dat de Douane in strijd met de Wpg heeft gehandeld.

In aanvulling op de beantwoording van de vragen van de leden van de VVD-fractie kan het volgende worden opgemerkt. In aanloop naar het van toepassing worden van deze nieuwe wetgeving in 2019 was de breed gedragen juridische mening dat vooral automatiseringstechnisch gewerkt moest worden aan de afscherming van persoonsgegevens die BOA's binnen de onderdelen van de Douane verwerken voor hun taken. De complexiteit van de wetgeving, het aanpassen van bestaande systemen en nadere uitwerking van de algemene wetgevingstekst in gedetailleerde normen (Norea-kader) en die op de Douane passend krijgen, maakte dat meer tijd nodig bleek dan aanvankelijk is ingeschat. Zo werken de BOA’s van de Douane voornamelijk binnen het toezicht; waar nodig vindt de overgang naar het strafrecht plaats. Een BOA werkt daarmee dus onder twee regimes; de automatisering moet op deze twee regimes worden aangepast met bijbehorende bewaartermijnen en verschillende autorisaties. Tegelijkertijd moet in procedures en werkinstructies uitgewerkt worden hoe de twee regimes op elkaar aansluiten en wat de verschillende eisen zijn waaraan dan moet worden voldaan.

Een aantal aanbevelingen uit de recente audit van de ADR zijn inmiddels afgerond. Zo is de lijst van bevoegd functionarissen geactualiseerd en is de discussie over aanvullende screening afgerond. Ook is de belangrijkste procesbeschrijving en werkinstructie voor omgang met politiegegevens afgerond, waarmee deze nu verder kunnen worden geïmplementeerd binnen de organisatie. De Douane pakt met de uitwerking van het verbeterrapport de geconstateerde tekortkomingen en aanbevelingen met urgentie op. Het verbeterrapport is als bijlage bij deze beantwoording gevoegd en geeft aan welke verbeteracties ten aanzien van de aanbevelingen wanneer worden afgerond.

Deze leden vragen waarom en in welke gevallen de Douane te maken had met de Wpg.

Bij de Douane werken ongeveer 2600 BOA’s. Sinds 2019 vallen de verwerkingen van de BOA’s3, wanneer zij hun taak verrichten in het kader van de opsporing, onder de Wpg. Dit is onder meer wanneer de ambtenaren van de Douane een beboetbare onregelmatigheid constateren. Denk daarbij aan een controle waarbij de Douane andere goederen aantreft dan aangegeven. Het doen van een onjuiste aangifte is een overtreding en dus is de Wpg-regelgeving van kracht op de desbetreffende persoonsgegevens. Deze werkzaamheden kunnen een groot deel (bijvoorbeeld bij surveillance of sanctiewetgeving), of een klein deel (bijvoorbeeld bij klantmanagement) van de dagelijkse werkzaamheden betreffen. Dit is afhankelijk van de verschillende type werkzaamheden per BOA.

Op welke manier is in maart 2019 stilgestaan bij de uitvoerbaarheid van de Wpg voor de Douane?

De Douane heeft in 2019 de Wpg geanalyseerd en geoordeeld dat de impact beperkt was. Zoals in het antwoord op de eerste vraag van de leden van de D66-fractie is opgenomen, was de breed gedragen juridische mening toen dat vooral automatiserings-technisch gewerkt moest worden aan de afscherming van persoonsgegevens die BOA's binnen de onderdelen van de dienst verwerken voor hun taken. De Douane is vanuit deze analyse gestart met de implementatie. De implementatie bleek in de praktijk aanzienlijker complexer dan bij de aanvankelijke analyse werd voorzien. Dit komt dus onder andere door de nadere uitwerking van de algemene wetgevingstekst in gedetailleerde normen (Norea-kader).

Welke lessen zijn hieruit te trekken voor toekomstige implementaties bij de Douane of voor de implementatie van de Wpg bij andere organisaties?

De Douane heeft het proces van uitvoeringstoetsen de afgelopen periode verder geprofessionaliseerd. Daarmee kan in een vroegtijdig stadium zo duidelijk mogelijk in kaart worden gebracht waar mogelijk aandachtspunten zitten ten aanzien van uitvoerbaarheid en handhaafbaarheid van nieuwe (wets)voorstellen.

In het geval van de Wpg is in 2019 geen formele uitvoeringstoets opgesteld omdat de impact gering leek. Tegenwoordig voert de Douane ook bij een verwachte geringe impact standaard uitvoeringstoetsen uit. Dat is een les die geleerd is.

De leden van de D66-fractie lezen dat er tekortkomingen zijn in de interne beheersing, met betrekking tot automatiseringssystemen. Ook zijn er geen geschreven processen en werkinstructies van de groepen die met Wpg-gegevens werken. De leden van de D66-fractie vragen de Staatssecretaris om nader toe te lichten welke (negatieve) materiële en immateriële gevolgen er zijn opgetreden van het niet voldoen aan de Wpg door de Douane.

De Douane heeft geen signalen dat tekortkomingen (negatieve) gevolgen hebben (gehad) voor burgers en bedrijven. In het geval de Douane hier alsnog signalen over ontvangt, zullen deze op dat moment natuurlijk worden geanalyseerd. De inzet is er op gericht de implementatie van de Wpg conform de planning zoals opgenomen in het verbeterrapport op orde te krijgen.

De leden van de D66-fractie hebben vaker kennisgenomen van de grote druk waaronder de (IV-)organisatie van de Douane zich bevindt. Kan de Staatssecretaris toelichten wat de gevolgen van het rapport van de ADR zijn op het IVportfolio van de Douane?

Het klopt dat er grote druk staat op het IV-portfolio van de Douane. De implementatie van de Wpg is daarbinnen geprioriteerd. Toekomstige aanvullingen om de aanbevelingen te implementeren zullen ook geprioriteerd moeten worden ten opzichte van, en mogelijk ten koste van, andere activiteiten binnen het IV-portfolio.

Betekent dit een verstoring in de opvolging van de geplande prioriteiten van de Douane zoals gesteld in het jaarplan?

Het doorvoeren van de wijzigingen van de Wpg is een geprioriteerd werkpakket binnen het IV-portfolio van Douane. De verbeteringen naar aanleiding van de ADR-audit zijn nog niet allemaal opgenomen in dit huidige Wpg-werkpakket, dit kan nog tot uitbreidingen leiden. Dit zal meegenomen worden in het proces van herprioritering van het IV-portfolio dat eens per kwartaal plaatsvindt. De meeste wijzigingen worden in de huidige systemen doorgevoerd. Uitzondering is de huidige applicatie voor het afhandelen van onregelmatigheden (DFB), omdat deze in het kader van rationalisatie vervangen wordt.

Vragen en opmerkingen van de leden van de PVV-fractie

Zoals in het antwoord op de vragen van de leden van de D66-fractie is opgenomen heeft de Douane geen signalen dat tekortkomingen (negatieve) gevolgen hebben (gehad) voor burgers en bedrijven. In het geval de Douane hier alsnog signalen over ontvangt, zullen deze op dat moment nader worden geanalyseerd. De inzet is er op gericht de implementatie van de Wpg conform de planning zoals opgenomen in het verbeterrapport op orde te krijgen.

De leden van de PVV-fractie verzoeken de Staatssecretaris om aan te geven of deze in de veronderstelling was dat de Douane wel voldeed aan de Wpg. Kan de Staatssecretaris het antwoord nader toelichten?

Het is mij bekend dat de Douane bezig is met de implementatie van de Wpg binnen haar organisatie. Uit het rapport van de door de Douane aangevraagde nulmeting door de ADR bleek dat de Douane voor een groot aantal bepalingen uit de Wpg een passend stelsel van verbetermaatregelen moest nemen. Het auditrapport van de ADR van afgelopen december laat zien dat de Douane nog flinke stappen te zetten heeft om deze implementatie op orde te krijgen. Het is een goede zaak dat de Douane dit soort onderzoeken laat uitvoeren naar de implementatie van de Wpg. In het verbeterrapport dat ik u tegelijk met deze beantwoording toestuur is aangegeven welke acties de Douane binnen welke termijn oppakt.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven op welk moment bekend werd dat Douane niet voldeed aan «alle van materieel belang zijnde aspecten en daarmee niet effectief is in opzet, bestaan en werking»?

De Douane was daarvan op de hoogte op het moment van de vaststelling van het rapport van de nulmeting op 19 mei 2021.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven waarom er vanaf de nulmeting in mei 2021 nauwelijks vorderingen zijn gemaakt in het doorvoeren van destijds reeds geconstateerde verbetermogelijkheden?

Zoals in het antwoord op de vragen van de leden van de VVD-fractie is opgenomen, heeft de Douane de resultaten van de nulmeting ontvangen op 19 mei 2021. Naar aanleiding van deze resultaten is per 30 mei 2021 een project gestart, waarmee de aanbevelingen uit de nulmeting zijn opgepakt. De ADR heeft in haar recente audit geoordeeld over de stand van de implementatie op 31 december 2021. Daarbij is gekeken naar de verbeteracties die waren gerealiseerd vóór 31 december 2021. De resultaten van een aantal verbeteracties uit de nulmeting zijn pas na 31 december 2021 zichtbaar geworden. Zoals in de beantwoording van de vragen van de leden van de VVD-fractie is aangegeven valt hierbij te denken aan de uitvoering van de aanbeveling om een beveiligingsadvies op basis van de Baselinetoets Informatiebeveiliging Overheid (BIO) te verkrijgen, maar ook de aanbeveling om een bewustwordingscampagne op te starten.

Kortom, doordat er relatief weinig tijd zat tussen de peildata van de twee ADR-audits (7 maanden), de eerste resultaten van de verbeteracties uit de nulmeting pas na de peildatum van 31 december 2021 zichtbaar zijn geworden en het normenkader van de ADR explicieter werd in de tweede audit, is er beperkt verbetering te constateren tussen de twee audits.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven of er vanaf 2019 interne of externe signalen zijn ontvangen, dat er onzorgvuldig werd omgesprongen met de verwerking van gevoelige persoonsgegevens?

Zoals in het antwoord op de vragen van de leden van de D66-fractie is opgenomen, heeft de Douane, naast de door de Douane aangevraagde nulmeting en het auditrapport van de ADR, geen interne of externe signalen ontvangen waaruit blijkt dat er onzorgvuldig werd omgesprongen met de verwerking van gevoelige persoonsgegevens.

Kan de Staatssecretaris aan de leden van de PVV-fractie aangeven welke verbeteringen reeds zijn doorgevoerd en geïmplementeerd in aanloop naar de oplevering van het «verbeterrapport»?

De leden van de PVV-fractie verzoeken de Staatssecretaris om aan te geven aangeven binnen welke termijn de Douane wel voldoet aan de Wpg.

Ik vind het belangrijk dat de Douane uiterlijk in maart 2024 geheel aan de Wpg voldoet. Het verbeterrapport, dat ik u met de beantwoording van deze vragen toestuur, bevat daartoe de planning. Die planning geeft aan dat afronding van de benodigde activiteiten uiterlijk in maart 2024 plaats vindt. Een hercontrole van de ADR zal binnen een jaar na het vaststellen van het auditrapport plaatsvinden. Bij deze hercontrole in december 2023 kunnen dus nog niet de verbeteracties die ingepland staan voor afronding in Q1 2024 worden meegenomen.

Heeft de Staatssecretaris een reactie gevraagd aan de Inspectie belastingen, toeslagen en douane?

Nee, de door de ADR uitgevoerde audit geeft de Douane een duidelijk beeld van de op te volgen aanbevelingen. Zoals in de Regeling IBTD is opgenomen zal de Douane uiteraard medewerking verlenen, zoals gegevens en informatie verstrekken, in het geval de ITBD over dit onderwerp vragen stelt of een onderzoek instelt.

Vragen en opmerkingen van de leden van de GroenLinksfractie

Het verbeterrapport stuur ik uw Kamer met de beantwoording van deze vragen toe. Een hercontrole van de ADR hierop zal binnen een jaar na het vaststellen van het auditrapport plaatsvinden.

Welke doelstelling is hier wat haar betreft gepast?

In het verbeterrapport adresseert de Douane alle bevindingen uit het auditrapport. Er wordt aangegeven welke acties worden opgepakt en wanneer deze zijn afgerond. De Douane zal deze acties conform het verbeterrapport uitvoeren, zodat daarmee aan de eisen van de Wpg wordt voldaan.

Kan de Staatssecretaris uitleggen wanneer zij tevreden is met het verbeterplan?

In het verbeterrapport wordt aangegeven welke acties worden opgepakt en wanneer deze zijn afgerond. Als de hercontrole door de ADR aangeeft dat de activiteiten uit het verbeterrapport zijn gerealiseerd dan wel conform planning lopen, ben ik tevreden. Het doel van de hercontrole is immers dat de Douane aantoont dat zij de vereisten en doelen uit de Wpg heeft geborgd in haar organisatie.

Kan zij daarnaast aangeven wanneer de Douane wat haar betreft uiterlijk aan alle normen moet voldoen?

Ik vind het belangrijk dat de Douane met urgentie de acties oppakt. In het verbeterrapport wordt aangegeven welke acties worden opgepakt en wanneer deze zijn afgerond. Die planning geeft aan dat afronding van de benodigde activiteiten uiterlijk in maart 2024 plaats vindt.

Zijn er normen die voor wat haar betreft belangrijker zijn (meer prioriteit hebben) dan andere? Zo ja, welke zijn dat?

Voorop staat dat de Douane voldoet aan alle eisen uit de Wpg. De ADR benoemt in het auditrapport enkele belangrijke zaken, die door de Douane met voorrang worden opgepakt. Hierbij gaat het bijvoorbeeld om de inrichting van logging en monitoring op alle systemen die zijn opgezet voor 6 mei 2016 en die gereed moet zijn voor 6 mei 2023, maar ook de autorisatie en toegang tot politiegegevens. Met deze prioritering is rekening gehouden bij het opstellen van het verbeterrapport.