De CIOT-database voldoet nog steeds niet aan de ICT-normen. In vijf gevallen gaat het om eigen tekortkomingen, in één geval blijkt de fysieke beveiliging van servers bij de FTP-provider onder de maat. Dat blijkt uit de jaarlijkse audit van het omstreden systeem. Het rapport stamt al uit september, maar werd pas deze week door het ministerie van Justitie openbaar gemaakt, ontdekte Rejo Zenger van digitale burgerrechtenbeweging Bits of Freedom.

In de CIOT-database worden telefoonnummers, mailadressen en internetgegevens van Nederlandse burgers gekoppeld aan hun NAW-gegevens. De politiediensten gebruiken deze data voor opsporing van verdachten om te achterhalen wie er achter een bepaald telefoonnummer of ip-adres schuilgaat.

Telco's en internetproviders uploaden daarvoor dagelijks verplicht hun gehele actuele klantenbestand naar de database. Deze privacygevoelige database wordt jaarlijks ruim 2 miljoen keer geraadpleegd door politie en Justitie.

6 tekortkomingen

Het nieuwste rapport constateert 6 ernstige afwijkingen van de 'norm' bij het ict-beheer. Vijf ervan zijn oude euvels die vorig jaar ook al werden aangekaart, zoals een totaal achterhaald SLA-contract, geen backup-procedure, en onduidelijkheid over wie de logfiles kan inzien.

Daarnaast blijkt dat de FTP-leverancier de zaken niet op orde heeft. Telecomproviders uploaden elke dag hun complete klantenbestand via FTP naar servers van CIOT, die in datacenter Maasland staan.

Bij de FTP-provider heeft een externe controleur meerdere problemen geconstateerd, waaronder gebrekkige controle op de fysieke toegang tot het datacenter. Details ontbreken verder, maar het probleem zou verder 'geen impact hebben gehad' op de systemen van het CIOT die daar op locatie staan.

Het gaat waarschijnlijk om Tele2, want ftp.ciot.nl resolved naar 159.46.3.254, een IP-adres van dat bedrijf. Tele2 wil niet formeel bevestigen of het de FTP-provider van CIOT is. “Over dit onderwerp zijn wij gebonden aan de afspraken die wij hebben gemaakt met de externe auditer en onze relaties", laat de woordvoerder weten.

Loze beloftes

Het is al jaren mis bij het CIOT én bij de politiekorpsen die er gebruik van maken. Elke keer komen nieuwe en oude gebreken aan het licht. Elke keer beloofde de minister van Justitie beterschap, maar het systeem is nog steeds niet op orde. Ook nu belooft het CIOT de zaken echt onder controle te hebben, in 2013.