Vertrouw ons maar op onze blauwe ogen, zegt de politie
- 14 februari 2022
De politie vertikte maandenlang het verslag van een onderzoek naar de informatiebeveiliging van de afsluiterapparatuur openbaar te maken. Uiteindelijk kwam de politie over de brug. Hoe staat het nu met de beveiliging van de afluisterapparatuur van de politie? We weten het nog altijd niet.
Voorgeschiedenis
De politie hield maandenlangDe politie naait ons (en heeft daar bakken met geld voor over) het verslag van een onderzoek naar hun afluisterapparatuur geheim. In het verslag is beschreven of de beveiliging van de apparatuur en de afgetapte gegevens op orde is. Dat gaat dus over de betrouwbaarheid en controleerbaarheid van een zware bevoegdheid. De politie weigerde een beslissing op ons vriendelijke verzoek te nemen, overtrad de wet, negeerde de rechter én had er ook nog eens bakken met geld voor over. Maar na lang knokken kregen we het verslag ein-de-lijkLees hier het Onderzoeksrapport Normstelling Interceptieketen 2017 in handen. En verrassend genoeg censureerde de politie slechts tien procent (en voor een deel daarvan zijn we opnieuw naar de rechter gestapt.)
Geconstateerde problemen
Wat er in staat? Het zijn niet de grote problemen die je zou verwachten in een rapport dat de politie maandenlang angstvallig geheim hield. (Wat maar weer eens laat zien dat gebrek aan transparantie leidt tot speculatie.) Uit het rapport blijkt dat de politie wel algemeen beleid heeft op het gebied van het beveiligen van informatie, maar dat dat beleid vaak niet is toegespitst op de afluisterapparatuur. En zonder dat beleid is het onmogelijk om alle risico's die men loopt goed in beeld te krijgen. Verder is sprake van verouderde software, leert de politie niet van incidenten omdat er geen evaluatie daarvan plaatsheeft en is niet duidelijk of er zogenaamde pentesten gedaan zijn. De onderzoekers vinden dat de politie dit meteen op orde moet brengen.
We willen de politie graag vertrouwen, maar ze maakt het ons soms wel erg moeilijk.
De politie "herkent en onderschrijft de bevindingen en aanbevelingen" van de onderzoekers. Kunnen we er dan van uitgaan dat de politie de beveiliging van de afluisterapparatuur inmiddels in orde heeft? Het eerlijke antwoord is: we weten het niet, we hebben werkelijk geen idee. Wél als we de politie moeten geloven. De politie vertelde ons in een gesprek dat ze de problemen meteen opgepakt heeft. Maar dat is weer niet vastgelegd in een document dat openbaar gemaakt kan worden. Laat staan dat het controleerbaar is voor buitenstaanders. "Vertrouw ons maar op onze blauwe ogen."
Onvoldoende controle en transparantie
En dat is dan ook wel het grootste probleem. Want de politie is niet transparant en er is reden om aan te nemen dat de politie zelf onvoldoende controleOok andere experts zijn kritisch en vinden Nederland naiëf over risico's in tapsysteem uitoefent op de beveiliging van de afluisterapparatuur. Het rapport dat nu op ons verzoek is openbaar gemaakt, stamt uit 2018 en is het verslag van de meest recente audit. Er had, ook volgens het beleid van de politie zelf, al lang weer een nieuwe audit uitgevoerd moeten worden. Maar dat is niet gebeurd.
Het argument van de politie: we gaan onze afluisterapparatuur dit jaar vervangen en het heeft geen zin om die audit nu te doen. Dat is een vreemd argument. De audit uit 2018 ging (ook) over onderdelen van het systeem die niet worden vervangen. Daarnaast gaan de onderzochte normen over het beleid van het beheer van de apparatuur. Dat beleid moet gewoon altijd op orde zijn. Anders gezegd: de vraag of je incidenten evalueert is onafhankelijk van het merk van de apparatuur dat je inzet. En nog iets vervelends: de ingebruikname van de nieuwe afluisterapparatuur wordt al een paar jaar keer op keer uitgesteld. En daarmee stelt de politie dus ook steeds de controle op de beveiliging van de informatie uit.
Zorgvuldigheid
Maar ja, vertrouwen is goed, controle is beter. De politie heeft bevoegdheden die anderen niet hebben, zoals het afluisteren van telefoon- en internetverbindingen. Daar moet dan wel met de nodige zorgvuldigheid gebeuren. En controleerbaar voor de samenleving. Daar hoort bij dat de politie rapporten niet onnodig geheim houdt voor de Tweede Kamer. Of dat de politie ons recht op informatie ondermijnt. Of dat de politie de gebreken oncontroleerbaar herstelt. Of dat de politie nieuwe onderzoeken naar eventuele problemen uitstelt. We willen de politie graag vertrouwen, maar ze maakt het ons soms wel erg moeilijk.