Govcert, de overheidsinstelling die advies geeft op het gebied van informatiebeveiliging en bij incidenten helpt, weigerde eerst stukken openbaar te maken. Maar nadat er een wob-procedure was gestart werd overeengekomen dat Govcert een lijst zou geven met welke belangrijke incidenten er spelen. Dit onderzoek is gedaan in een samenwerking tussen Webwereld en Nu.nl. Eerder bleek uit deze lijst dat er in de afgelopen twee en een half jaar 14 staatsbedreigende cyberaanvallen hadden plaatsgevonden.

Incompleet

Maar nu blijkt de lijst incompleet te zijn. In ieder geval ontbreken er bekende incidenten. Zo staat bijvoorbeeld een incident, waarbij de provincie Gelderland de gegevens van 168.000 OV-reizigers lekte, niet op de lijst. Dit incident is door uw verslaggever voor publicatie zelf gemeld bij Govcert.

Ook het oprollen van het Bredolab, een incident dat heel breed door onder andere Govcert is uitgedragen en nog op de homepage staat, ontbreekt op de lijst. Jacco van Tuijl, die Webwereld en Nu.nl tipte, bracht zelf meerdere incidenten aan. Hij mist onder andere incidenten bij Europol, TNO en Werken bij VTSpn. “Niet alleen is de beveiliging niet op orde, maar ook de registratie van incidenten is niet op orde", zegt hij dan ook. “Het brengt veel risico's met zich mee en dan gaan ze er zo mee om."

Niet de eerste keer

De gevallen staan niet op zichzelf. Om aan de lijst te komen moest al worden geprocedeerd. Het initiële verzoek was gericht op het krijgen van meer informatie, maar dat hebben we ingeperkt tijdens de procedure om sneller tot nieuws te komen. Daarbij gaf Govcert aan dat het niet in staat was om een overzicht van voor 2009 te gegeven, omdat de administratie incompleet was.

In een reactie stelt Govcert nu dat Europol en TNO niet onder het verzoek horen te vallen, omdat dit geen bestuursorganen zijn. Daarom horen ze niet op de lijst thuis. Maar de organisatie geeft wel toe dat de lijst incompleet is wat betreft het voorbeeld van de provincie Gelderland en mogelijk andere incidenten. Govcert heeft daarop toegezegd dat ze een nieuwe lijst zouden genereren.

Overigens valt over de status van TNO te discussiëren, aangezien het onderzoeksinstituut volgens een uitspraak van de Raad van State wel degelijk onder de Wob vallen en als bestuursorgaan is aan te spreken. Ook een politie-organisatie kan normaliter wel als bestuursorgaan worden aangemerkt.

Kamervragen

De SP en PVV, die eerder in het onderzoek al reageerden op de lijst, zijn geïrriteerd. Zij willen opheldering van in ieder geval de Minister van Justitie over het incomplete overzicht van Govcert. “Hier mogen we dus niet mee wachten", stelt SP-kamerlid Sharon Gesthuizen. “Ik wil dat de minister hier nog voor het debat [over DigiNotar en beveiliging - redactie] verantwoording over aflegt", zegt ze. “Dit bewijst nog eens een keertje dat er een parlementair onderzoek moet komen."

PVV-Kamerlid Hero Brinkman eist eveneens snelle opheldering. Hij zegt niets over een parlementair onderzoek en wil eerst het debat afwachten. Maar de kaarten van Govcert mogen wat hem betreft wel op tafel komen. "Nu wordt het tijd voor de waarheid", zegt hij.

Staatsveiligheid

“Als ze een wob-verzoek krijgen dan moeten ze daar volledig op antwoorden. Dat dit niet is gebeurd, vind ik slecht", zegt Aline Klingenberg, universitair docent bestuursrecht aan de Rijksuniversiteit Groningen. “Het lijkt me dat er vanuit de aard van de incidenten alle reden is om deze gegevens te bewaren. Mij lijkt ook dat het doel is dat je van deze incidenten leert. Het gaat niet om een kleinigheidje, Soms gaat het om een zwaarwegend belang, namelijk de veiligheid van de staat."

Wob-deskundige Roger Vleugels noemt het incompleet zijn van het dossier ernstig. Hij wijst erop dat een archief volgens de wet in een “goede en geordende staat" hoort te zijn. “Dat is de normale gang van zaken. Nu gaat het over de ultieme waakhond op het gebied van ICT-veiligheid en blijkt uit de wel verstrekte data dat er voor een reeks incidenten de staatsveiligheid in het geding is", zegt Vleugels. “Dan is het de vraag of dat ook geldt voor de data die ze kwijt zijn. Waarschijnlijk hebben ze het wel onderzocht, maar weten ze dat niet meer. Dat is een manier van omgaan met de veiligheid van de Staat die bij welke waakhond dan ook niet past."