Dat blijkt uit een brief van het National Cyber Security Centrum (NCSC), waarin Govcert is opgegaan, naar aanleiding van een Wob-verzoek van Webwereld. Tijdens een hoorzitting over het Wob-verzoek stelde het Centrum dat de beveiligingsincidenten die dateren van voor 2009 zoek waren. Maar nu blijkt uit een brief dat de gegevens wel bestaan, maar dat de data niet meer zijn te achterhalen zonder hoge kosten te maken.

Nieuw systeem

In januari 2009 is Govcert, de voorganger van NCSC, overgestapt op een nieuw registratiesysteem voor incidenten. Maar de incidentsoftware die in gebruik is genomen is "niet compatible met de databases die gemaakt zijn met de oude software", schrijft Elly van de Heuvel, ad interim hoofd van het NCSC. De oude database is daarbij buiten gebruik gesteld.

“Het verkrijgen van inzicht in deze incidenten is alleen mogelijk als het serverpark van 2008 opnieuw wordt ingericht en de back-up tapes worden teruggezet, wat een investering van ongeveer 10.000 euro en een aanzienlijke tijdsinvestering met zich mee zou brengen", stelt Van den Heuvel. Waarop deze inschatting is gebaseerd wordt op dit moment niet duidelijk.

Overtreding van de wet

Uit de brief van het NCSC blijkt echter dat het Centrum helemaal niet vindt dat er iets verloren is gegaan. "Gelet op het bovenstaande kan ik u zeggen dat er geen documenten of incidenten verloren zijn gegaan", schrijft Van den Heuvel.

Maar hoogleraar staats- en bestuursrecht Bernd van den Meulen, expert op het gebied van zowel de Archiefwet als de Wet openbaarheid van bestuur (Wob), reageert overdonderd op het nieuws. Hij heeft geen goed woord over voor wat er gebeurd is. “Het omgaan met digitale informatie is een beetje hun corebusiness zou je denken", stelt hij tegenover Webwereld. “Ik wist niet dat digitale Alzheimer al naar vier jaar bij deze overheid zou optreden."

Volgens Van den Meulen gaat het excuus van het verouderde systeem voor het NCSC niet op. “De wetgever geeft het bestuur ongelofelijk veel ruimte op welke manier en hoe ze met informatie omgaan", legt hij uit. “Maar er moet aan twee kleine eisen worden voldaan: het moet goed en geordend. Dit heeft niets te maken met een goede en geordende opslag van informatie. Wat zij op hun backups vinden is een toevallige samenstelling van informatie en geen archief!"

Zeecontainer

“Als het 10.000 euro kost om bij de informatie te komen dan is het dus praktisch kwijt", betoogt hij. Het feit dat NCSC de informatie weigert terug te halen betekent voor hem dan ook dat de gegevens niet meer toegankelijk zijn. “Kijk het is simpel. Als je een container met documenten op de bodem van de zee dumpt dan bestaat de informatie, maar is het praktisch gezien gewoon kwijt."

Ook Wob-deskundige Roger Vleugels is verbaasd over de gang van zaken. “Documenten bij of onder een bestuursorgaan kunnen niet verloren gaan, want bestuursorganen zijn wettelijk verplicht zorgvuldig met documenten om te gaan en ze goed en geordend te bewaren", stelt hij. Vleugels voerde duizenden procedures en heeft bij herhaling geprocedeerd op verloren geraakte documenten. “De enige manier waarop documenten kunnen verdwijnen is via een officiële vernietiging. Daar hoort een procedure bij die vastlegt wat vernietigd is."

Strafbaar

Het NCSC heeft op geen enkel moment een lijst met vernietigde documenten overlegd. “Het lijkt een veilige aanname om te stellen dat er dus sprake is van een illegale vernietiging, althans van het illegaal aan de overheid onttrekken van documenten", zegt Vleugels tegen Webwereld. “Dat is in strijd met de Archiefwet, maar volgens het Wetboek van Strafrecht ook gewoon strafbaar."

Strafbaar of niet: PVV-kamerlid Andre Elissen, die al eerder kritische vragen over het functioneren van Govcert stelde, vindt de ontwikkeling slecht. Hij wijst erop dat het voor beveiligingsincidenten belangrijk is om te kunnen teruggrijpen naar eerder incidenten en zo een 'lerende organisatie te zijn'. Hij vindt het handelen niet door de beugel kunnen en kondigt kamervragen aan.

Brief van NCSC