Dat schrijven onderzoekers van ADBTOPConsult in een rapportage over het uitlekken van de video.

Er was bij het beeldcentrum te weinig aandacht voor beveiliging. Daardoor werd niet gezien dat het te vroeg zichtbaar kunnen worden van de kersttoespraak onderwerp van discussie zou zijn.

Zo bleek het centrum zich niet te houden aan de regels voor het maken van internetlinks. Hierdoor was er niet meer nodig dan het simpelweg veranderen van een datum en een volgnummer om bij de video te komen.

Verder ontbrak het aan aanvullende beveiligingsmaatregelen. Het raden van de link was meteen genoeg om de video daadwerkelijk te kunnen downloaden. Een te vroege publicatie wordt niet afgevangen. Diverse taken en werkzaamheden zijn niet vastgelegd in protocollen, maar bij medewerkers bekend.

Een van de problemen is volgens de onderzoekers dat beveiliging weinig aandacht heeft gekregen toen bij de aanbesteding werd gekozen voor het bedrijf Datiq.

Die medewerkers hoefden daarom ook niet gescreend te worden, geen Verklaring Omtrent Gedrag (VOG) te overleggen en ze blijken ook geen geheimhoudingsverklaring te hebben ondertekend.

Opmerkelijk is ook dat in het contract is bedongen dat de werkzaamheden extern mogen worden getoetst. Toch blijkt dit nooit te zijn gebeurd. Verder blijkt het beeldcentrum niet jaarlijks op beveiliging te worden geaudit en wordt niet gewerkt volgens rijksbeveiligingsvoorschriften.

Ook was de Chief Information Officer buiten beeld bij zowel de aanbesteding als de afwikkeling rond het uitlekken van de kersttoespraak. Hij raakte pas op 8 januari betrokken, toen waren er al veel maatregelen genomen.