De beveiliging van vertrouwelijke en staatsgeheime informatie bij de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de politie is jarenlang niet op orde geweest. De Auditdienst Rijk (ADR) trekt in een rapport harde conclusies over het veiligheidsbesef binnen de twee organisaties.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Het onderzoek van de ADR werd opgezet na de arrestatie van twee medewerkers van de NCTV en de politie op verdenking van het verstrekken van staatsgeheime documenten aan Marokko. De 64-jarige topanalist El M. van de NCTV werd in 2023 op Schiphol aangehouden toen hij op het punt stond naar Marokko af te reizen. Hij had verschillende USB-sticks bij zich, met zeker 120 vertrouwelijke documenten waarvan er 65 staatsgeheim waren. In zijn telefoon stonden de namen en nummers van Marokkaanse inlichtingenofficieren.
De andere persoon was een destijds 35-jarige vrouw uit Gouda die ook bij de NCTV werkte en vervolgens bij de politie. Ook zij zou staatsgeheime informatie aan Marokko hebben verstrekt.
De Auditdienst concludeert dat er zowel bij de NCTV als bij de politie geen oog was voor de dreiging van dergelijke insiders. Er werd geen aandacht geschonken aan risicoanalyses en er waren ‘beperkt’ maatregelen om de ongewenste verspreiding van informatie door medewerkers tegen te gaan. Ze hebben ‘beide nog niet de basis op orde’. NCTV en politie hebben daardoor ‘hun eigen kwetsbaarheid gecreëerd’, stelt ADR.
Minister David van Weel (Justitie en Veiligheid, VVD) zegt in een reactie dat bij de NCTV en de politie na de aanhoudingen verbeteringen zijn doorgevoerd. ‘Informatiebeveiliging is nooit af en maatregelen moeten daarom constant worden getoetst en aangescherpt. Daar wordt al hard aan gewerkt’, stelt Van Weel.
Binnen de NCTV was het mogelijk om veel informatie te verzamelen. Het zogeheten need-to-know-principe gold niet. Medewerkers kregen een ‘brede autorisatie’: ze konden stukken inzien die niet met hun eigen werkzaamheden te maken hebben. Het was daarnaast mogelijk om staatsgeheime informatie die niet noodzakelijk was voor het uitoefenen van een functie, op te slaan en af te drukken.
De Auditdienst merkt op dat bij de afdeling analyse, waar El M. werkte, ‘veel werd geprint’. Bovendien was het niet verboden om USB-sticks mee naar huis te nemen, werd de omgang met staatsgeheime informatie niet gemonitord en werd niet gecontroleerd of toegangsrechten nog actueel waren. Dit gebeurde evenmin bij de politie. Van in totaal tweehonderd USB-sticks met zeer gevoelige documenten die ooit in omloop waren bij de NTCV is onbekend wat ermee is gebeurd. Er is geen overzicht welke zijn vernietigd of ingeleverd.
Analist El M. was iemand met veel informele macht, blijkt uit het rapport. Hij stond niet open voor andere meningen, wat tot spanningen bij de NCTV leidde. Hij had permanent de beschikking over veel gegevensdragers. Ook bij de politie, waar de man als tolk werkte, had hij een aparte status. Hij had toegang tot zeer gevoelige dossiers, zoals over uitgereisde jihadstrijders, en over de aanslagen in Parijs en Brussel. Hij werkte hard en ook buiten kantoortijden.
Vanaf 2015 waren er al meldingen dat hij zijn twee functies niet goed kon scheiden. In 2021 deed de politie onderzoek naar een integriteitsschending maar concludeerde dat er geen risico bestond. Geen van de medewerkers van de NTCV die de Auditdienst voor het onderzoek sprak, zegt eerder signalen over het ontvreemden van staatsgeheime informatie door El M. te hebben gehad.
Geselecteerd door de redactie
Source: Volkskrant