Vragen van de leden Elissen en Van Bemmel (beiden PVV) aan de minister van Veiligheid en Justitie over het kwijtmaken van het archief van het Nationale Cyber Security Centrum (ingezonden 17 februari 2012).

Vraag 1

Bent u bekend met het bericht «Govcert kan niet bij eigen archief hackincidenten»?1

Vraag 2

Hoe kijkt u tegen het feit aan dat het Nationaal Cyber Security Centrum (NCSC) niet meer bij de registraties van incidenten vóór 2009 kan komen? Past dit binnen het profiel van een lerende organisatie? Vindt u het belangrijk dat er (trend)onderzoek gedaan kan worden naar eerdere incidenten? Zegt deze manier van werken iets over de zorgvuldigheid van werken en/of de technische competenties van het NCSC en voorloper Govcert? Hoe worden kennis en kunde rond cyber security momenteel geborgd?

Vraag 3

Hebben zich vóór 2009 incidenten voorgedaan waarbij SCADA-systemen werden gehackt of misbruikt door onbevoegden? Zo ja, waarom is er niet eerder actie ondernomen om iets te doen aan de kwetsbaarheden die bijvoorbeeld in EenVandaag werden getoond?2 Zo nee, waar baseert u dat op? Hoe weet u dat er geen SCADA-systemen werden gehackt of misbruikt door onbevoegden, aangezien het NCSC aangeeft niet over deze gegevens te beschikken?

Vraag 4

Wat vindt u ervan dat Govcert/NCSC informatie die zij op basis van de Wet Openbaarheid van bestuur (Wob) zou moeten verstrekken, niet verstrekt omdat de informatie op dusdanige wijze is opgeslagen dat deze niet meer eenvoudig geraadpleegd kan worden? Gaat u vanuit de eigen verantwoordelijkheid van de overheid ervoor zorgen dat deze gegevens zo snel mogelijk toegankelijk worden gemaakt? Zo ja, doet u dit om aan de ene kant te leren van incidenten en aan de andere kant om de indiener van het Wob-verzoek alsnog tegemoet te komen? Zo nee, waarom bent u niet bereid dit te doen?

Vraag 5

Hoe beoordeelt u de situatie dat een onderdeel van de overheid dat goed met techniek zou moeten kunnen omgaan, niet meer over de eigen historische gegevens kan beschikken? Had Govcert in uw beleving met open standaarden moeten werken? Had Govcert in uw beleving met het overgaan naar een nieuwe database de historische gegevens moeten migreren? Zo nee, waarom is er geen gebruik gemaakt van open standaarden? Waarom zijn er geen gegevens gemigreerd of is er geen virtualisatie toegepast om de gegevens alsnog te kunnen gebruiken?

Vraag 6

Denkt u dat er een precedentwerking van deze zaak uitgaat en dat andere overheidsonderdelen nu ook gegevens op dusdanige wijze gaan opslaan dat deze niet meer gemakkelijk te delen zijn? Vindt u daarnaast dat de wijze van archiveren van Govcert vergelijkbaar is met het opslaan van de gegevens in een container om deze vervolgens af te laten zinken? Zo nee, waarom niet?

Vraag 7

Vindt u dat er naar de letter én de geest van de Wob is gehandeld? Had Govcert en heeft het NCSC in uw beleving een verplichting dan wel een verantwoordelijkheid om de incidentengegevens van de periode voor 2009 toegankelijk te houden? Voldeed Govcert en voldoet het NSCS aan de archiefwet? Zo ja, waarom vindt u dat? Kunt u uitsluiten dat deze manier van obstructie, waaronder het slecht toegankelijk maken van gegevens en het eerdere bericht dat de gegevens zoek waren, strafbaar is? Zo nee, welke maatregelen gaat u treffen om herhaling van dit soort situaties te voorkomen?

Vraag 8

Kunt u deze vragen vóór 15 maart 2012 beantwoorden zodat de antwoorden bij het algemeen overleg over cyber security en privacy kunnen worden betrokken?

X Noot
1

«Govcert kan niet bij eigen archief hackincidenten» (bron: http://webwereld.nl/nieuws/109551/govcert-kan-niet-bij-eigen-archief-hackincidenten.html)

X Noot
2

«Sluizen, gemalen en bruggen slecht beveiligid» (bron: http://www.eenvandaag.nl/binnenland/39770/sluizen_gemalen_en_bruggen_slecht_beveiligd)

Naar boven