AMSTERDAM – In de afgelopen anderhalf jaar is de veiligheid van de Nederlandse Staat bij ICT-beveiligingsincidenten in het geding geweest. In tenminste zeven gevallen was er sprake van een directe, doelgerichte aanval.

Dat blijkt uit gezamenlijk onderzoek van Webwereld en NU.nl. Na het voeren van een juridische procedure is een lijst vrijgegeven met een reeks ICT-beveiligingsincidenten.

De gegevens zijn afkomstig van Govcert, dat voor de Nederlandse overheid ondersteuning biedt bij incidenten.

Veiligheid van de staat

Van tientallen incidenten, waarbij alleen een algemene beschrijving is vrijgegeven, zijn er veertien geweigerd. Daar betreft het ‘de veiligheid van de Staat’. Dat is een zwaarwegende reden om informatie te weigeren.

“Hierbij moet gedacht worden aan de democratische rechtsorde of het tegengaan van terrorisme”, stelt universitair docent Bestuursrecht aan de Rijksuniversiteit Groningen, Aline Klingenberg.

In zeven gevallen geeft Govcert aan dat het gaat om een daadwerkelijk doelgerichte aanval. In twee gevallen is het ‘mogelijk’ een doelgerichte aanval. Het vrijkomen van meer informatie zou gevaarlijk zijn en daarom is niet duidelijk waar dit binnen de overheid speelt of hoe dit vorm krijgt.

Gevaar

“Dat is een absolute weigergrond en daar mag je echt geen belangenafweging maken als het aan de orde is”, zegt Klingenberg. Zij promoveerde op de Wet openbaarheid van bestuur. “Het gaat erom dat de veiligheid echt in gevaar is geweest.”

“De informatie gaat over een nog steeds bestaande dreiging”, vult professor bestuursrecht Bernd van der Meulen aan. Hij schreef eerder een wetsontwerp voor een vervanger van de Wet openbaarheid van bestuur. “De staatsveiligheid is in het geding als de informatie naar buiten komt. Dat zoiets in het verleden speelde is geen reden tot weigering.”

Diplomatie

Bij drie incidenten is de informatie rond het incident zo gevoelig dat diplomatieke verhoudingen onder druk kunnen komen te staan. Ook over die beveiligingsincidenten, die volgens Govcert aan de Nederland is verstrekt onder grote geheimhouding, wordt niet duidelijk waar ze binnen de overheid spelen.

“De lijst laat zien dat de ICT-veiligheid bij de overheid zo lek als een mandje is. Ik ben er ontstemd over dat de lijst met incidenten zo lang is en dat er in een aantal gevallen gesproken kan worden van situaties waarbij de Staatsveiligheid in het geding kwam. Onacceptabel”, zo reageert Tweede Kamerlid Sharon Gesthuizen (SP).

Onderzoek

“Het onderstreept het belang van een gedegen parlementair onderzoek, iets waar de SP al sinds het uitbreken van het DigiNotar-debacle voor pleit. We weten nu nog niet of deze lijst wel volledig is. Wellicht is er nog meer. De onderste steen moet nu echt maar eens boven komen!”

Ook PVV-kamerlid Hero Brinkman zegt zich zorgen te maken dat er zoveel incidenten zijn. “Ik wil wel weten om welke incidenten dit gaat. “Desnoods moet dat via de commissie Stiekem dat de minister daar aangeeft waar het om gaat.”

Het idee van Gesthuizen voor een parlementair onderzoek, vindt hij te vroeg. “Dat is zo groot en daar ben ik nog niet aan toe.”

Slecht teken

GroenLinks vindt dat internetincidenten nooit de veiligheid van de staat in gevaar mogen brengen. "Voor mij is het niet denkbaar dat de veiligheid van de staat in het geding kan zijn bij ICT-beveiligingsincidenten. Zoiets is echt een slecht teken", zegt kamerlid Arjan El Fassed tegenover NU.nl.

"Dat het DigiNotar-debacle een lange staart krijgt is nu wel duidelijk."

Donderdagavond hoort de Tweede Kamer experts over de ontwikkelingen rond DigiNotar.

Lees alles over DigiNotar in ons dossier