26 643 Informatie- en communicatietechnologie (ICT)

Nr. 1035 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juni 2023

Op 14 maart heb ik uw Kamer (Kamerstuk 26 643, nr. 983) geïnformeerd over een signaal dat betrekking had op mogelijk aangepaste rapporten van de Auditdienst Rijk (ADR), in relatie tot de dienst Justis en DigiD. Met deze brief informeer ik u over de uitkomsten van het forensische digitaal onderzoek door Fox IT dat daarnaar heeft plaatsgevonden.

Het signaal had betrekking op verschillen tussen de (assurance-)rapporten over ICT-beveiligingsassessments DigiD die de ADR in opdracht van Justis oplevert en de (assurance-)rapporten die Logius, de beheerder van DigiD, heeft ontvangen. De rapportages van de ADR gaan over onderzoeken naar de webomgeving «Digitaal Aanvragen» van Justis. Met behulp van deze webapplicatie is het mogelijk om via internet een Verklaring Omtrent het Gedrag (VOG) en een aantal andere producten van Justis aan te vragen. Na verloop van tijd kwam uit het onderzoek naar voren dat auditrapportages van een andere dienst die Justis gebruikt ook aangepast zijn. Het gaat hier om de dienst Suwinet, waarmee overheidsorganisaties op een veilige en snelle manier gegevens van burgers en bedrijven digitaal met elkaar kunnen delen.

Uit het digitaal forensisch onderzoek door Fox IT blijkt dat tussen 2018 en 2022 elf rapporten zijn aangepast of nagemaakt. In deze periode zijn voor DigiD, na het eerste volledige rapport in 2018 die niet is aangepast of nagemaakt, alle volgende (vier) volledige rapporten aangepast en alle (vier) verbeterrapporten nagemaakt. Voor Suwinet is in 2020 een rapport aangepast en zijn in 2021 en 2022 twee rapporten nagemaakt. Voor meer informatie verwijs ik u naar de managementsamenvatting van dit rapport in de bijlage bij deze brief.1

Op basis van de bevindingen in het onderzoek acht Fox IT het aannemelijk dat de wijzigingen in de documenten met het gebruikersaccount van één medewerker zijn uitgevoerd. In het onderzoek zijn géén digitale sporen aangetroffen die aantonen dat andere gebruikers, anders dan de betrokken medewerker, op de hoogte zijn geweest van aanpassingen in de rapporten, of betrokken zijn geweest bij het aanpassen of namaken van de rapporten.

Na zorgvuldig onderzoek zijn maatregelen genomen richting de medewerker. De medewerker is niet meer werkzaam bij de Rijksoverheid.

De Minister voor Rechtsbescherming, F.M. Weerwind


X Noot
1

Omdat in het rapport gedetailleerde informatie staat over informatiesystemen en -beveiliging, en om de privacy van betrokken organisaties en medewerkers te waarborgen breng ik het volledige rapport niet in de openbaarheid.

Naar boven