Vertrouwen in de integriteit van de ambtenaar

Op 11 september 2009 (hehe :)) lag er in de brievenbus langverwachte post in de vorm van het antwoord op mijn Wob verzoek inzage verslagen Bvergt. Het meest interessante uit de buit is het “Eindrapport audit CIOT 2008”. Dit onderzoek moest een oordeel vellen over de opzet, het bestaan en de werking van het CIOT systeem. En daar valt wat op af te dingen.

Verzoek op basis van Wet openbaarheid van bestuur

Het meest interessante uit de buit is het Eindrapport audit CIOT 2008. Dit onderzoek moest antwoord geven op de volledigheid en juistheid van de aangeleverde gegevens van de aanbieders, de rechtmatigheid van de bevraging door de opsporingsdiensten en moest tenslotte ook een oordeel vellen over de opzet, het bestaan en de werking van het CIOT systeem. Het rapport is opgedeeld naar de drie betrokken partijen, de aanbieders, het CIOT en de opsporingsdiensten, en geeft elk van hen aanbevelingen.

Vertrouwen in de integriteit van de ambtenaar

In de conclusie wordt vastgesteld dat over het geheel genomen bevragingen op de juiste manier worden uitgevoerd. De onderzoekers hebben wel kritiek op de opsporingsdiensten, ook op het punt van de rechtmatigheid en het doorlopen van de juiste procedures. Het viel op dat veel van de in 2007 opgemerkte problemen bij de in 2008 voor het eerste bezochte diensten opnieuw voorkwamen. Sommige van diensten hadden de aanbevelingen van een jaar eerder overgenomen, anderen in het geheel niet.

Ook in 2008 werd nog regelmatig bevragingen uitgevoerd waarbij in het computerprogramma voor de bevragingen, het CIS, een onjuiste combinatie van kenmerk en rechtsgrondslag werd opgegeven. De inhoudelijke kennis van wetsgrondslagen met betrekking tot het rechtmatig bevragen van het CIOT was bij een aantal opsporingsambtenaren ontoereikend om te kunnen beoordelen welke documenten nodig zijn voor een bepaalde bevraging. Bij een van de onderzochte opsporingsdiensten was zelfs niet eens bekend dat voor een bevraging op basis van artikel 126na Wetboek van strafvordering een procesverbaal moet worden opgesteld.

Elke opsporingsdienst heeft een beperkt aantal medewerkers dat bevragingen kan doen. Bij enkele diensten worden de aanvraag, met alleen referenties naar de autorisatie van de Officier van Justitie en een proces verbaal, per e-mail of fax naar de geautoriseerde ambtenaar gestuurd. De rechtmatigheid kan dan niet gecontroleerd worden door de persoon die de bevraging uitvoert. Slechts in één enkel geval kon geen onderbouwing voor een bevraging worden gegeven en werd deze dan ook als onrechtmatig beschouwd.

Het komt voor dat er spoed is met bevraging en dat er geen geautoriseerde medewerker aanwezig is. Om toch toegang te krijgen zijn PIN-codes en inloggegevens tussen medewerkers uitgewisseld. Daardoor zijn bevragingen niet altijd te herleiden naar de werkelijke bevrager.

Voor het doen van bevragingen werd voorheen gebruik gemaakt van een lokaal programma, geïnstalleerd op een computer bij de opsporingsdiensten. De antwoorden op de bevragingen werden hierop eindeloos lang bewaard. In het nieuwe webbased programma worden antwoorden nog maar 72 uur bewaard. De opsporingsdiensten vinden dit te kort. Door de vaak onregelmatige diensten komt het voor dat de ambtenaar meer dan 72 uur geen dienst heeft gehad en daarna niet kan terugvallen op eerdere bevragingen en antwoorden. De antwoorden worden blijkbaar niet altijd direct overgenomen in het dossier. In veel gevallen hebben de opsporingsdiensten geen gedocumenteerde werkwijze rond het opvragen van gegevens via het CIOT.

De kwaliteit van het gegevensbestand

Zodra een aanbieder zijn gegevensbestanden aangeleverd heeft, worden deze verwerkt door het CIOT zodat de gegevens beschikbaar komen voor de opsporingsdiensten. Vermoedelijk wordt daarbij het XML bestand in een SQL database ingelezen. De verwerking hiervan gaat natuurlijk niet altijd goed, zeker niet als er fouten in het XML bestand staan. Als er een fout bij de verwerking optreedt, is dit terug te vinden in de logfile die de aanbieder kan inzien. Daar staat in dat er iets misgegaan is bij de import, maar niet wat precies. Daarbij wordt verwezen naar een gedetailleerdere logfile, die niet toegankelijk is voor de aanbieder. Dat schiet niet op, zeggen de auditors.

De XML bestanden die door de aanbieders ter beschikking worden gesteld worden door het CIOT nauwelijks op validiteit gecontroleerd. Het argument hiervoor is dat de verwerkingscapaciteit voor het dagelijks controleren van alle bestanden te beperkt is. Het CIOT wordt aanbevolen om de aanbieders aan te sporen om, alvorens de bestanden te uploaden, deze zelf te controleren. Die controle zou uitgevoerd moeten worden op basis van de XSD schema’s die het CIOT nu ook al ter beschikking stelt. Zo’n XSD schema bepaalt hoe elk van de XML velden precies gedefinieerd is. Het CIOT zou op haar beurt de velddefinities in haar SQL database nauwkeuriger moeten configureren. Op die manier is af te dwingen dat een veld voor telefoonnummers en huisnummers enkel numerieke waardes kan bevatten.

Dat dat praktisch is, blijkt ook wel uit de problemen die de auditors in sommige van de bestanden zijn tegengekomen. Bij de analyse van de bestanden van zes van de aanbieders zijn niet alleen afwijkingen van het afgesproken bestandsformaat, maar ook inhoudelijke fouten geconstateerd. Zo vond met onder meer postcodes in het veld dat bedoeld is voor toevoegingen op huisnummer, adressen waarbij het huisnummer achter de straatnaam in plaats van in het veld huisnummer is opgenomen en een van de aanbieders had een groot aantal records met een huisnummer groter dan 4 miljard. Overigens, als deze gegevens op deze manier in de administratie van de aanbieder voorkomen, voldoet de aanbieder formeel gezien aan alle eisen.

Coulantie in de verstrekking van gegevens

Als een opsporingsdienst geen antwoord op een vraag krijgt, een zogenaamde “no-hit”, dan stuurt deze soms een fax naar de betreffende aanbieder om alsnog een antwoord te verkrijgen. Niet alle opsporingsdiensten sturen correct ingevulde faxen. Een aantal aanbieders “gaat daar heel coulant mee om” en verstrekt toch de gegevens.

De auditors doen verder nog wat andere aanbevelingen, zoals het kunnen controleren van een upload van een gegevensbestand op basis van een checksum (de MD5 hash), de installatie van een virusscanner op de server waarop de gegevensbestanden gegenereerd worden en in veel gevallen het opstellen, uitdiepen, vereenvoudigen of domweg handhaven van procedures.

Een kwartier per bevraging

De auditors hebben voorafgaand aan de feitelijke audit de aanbieders en opsporingsdiensten een vragenlijst toegestuurd, met vragen over de werking van het CIOT en het programma CIS. De geaggregeerde antwoorden zijn in het einde van het rapport opgenomen.

De aanbieders zeggen tussen de één en tien dagen, gemiddeld iets meer dan vier, per jaar te besteden aan het beheer van de software voor het aanleveren van de gegevens. Per dag wordt er gemiddeld een kwartier besteed aan het operationele beheer. De tijd die aanbieders besteden aan het verwerken van de no-hit faxen is sterk wisselend. Sommige aanbieders zijn klaar met vijf minuten werk, anderen hebben tot twee uur nodig. Gemiddeld genomen is een aanbieder 15 tot 20 minuten kwijt voor de verwerking.

Aan de opsporingsdiensten werd onder meer gevraagd in hoevaak men alsnog een antwoord kreeg op een bevraging via de fax nadat de bevraging via het CIS geen antwoord had opgeleverd. De diensten die de vraag konden beantwoorden, noemden percentages tussen de 40 en 70 procent. Sommige van de diensten sturen altijd een no-hit fax als het CIS geen antwoord oplevert, anderen doen dat alleen als het gevraagde noodzakelijk voor het onderzoek was. De opsporingsdiensten werd ook gevraagd hoeveel tijd ze kwijt waren per bevraging. Beperkt tot de feitelijke bevraging is dat vijf tot tien minuten. Als het opstellen van het procesverbaal van verstrekking wordt meegerekend, komt daar nog eens tien minuten bovenop. Het gemiddeld aantal nummers per opvraging wisselt sterk, tussen 1 tot 100 nummers per keer.

Uit de jaarverslagen van 2004, 2005, 2006, 2007 en 2008 blijkt verder dat het aantal vragen elk jaar sterk toeneemt:

2004 2005 2006 2007 2008
aantal diensten 43 43 42 42 42
aantal aanbieders 17 22 29 64 101
aantal vragen 991.273 1.220.518 1.771.941 1.901.024 2.827.839
hit-rate (%) 77-84 82-93 83-93 84-94 88-94

 

In het rapport over 2008 worden 37 diensten genoemd die toegang hebben tot de gegevens van het CIOT. Dat komt omdat de 6 units van de Nationale Recherche niet meer apart genoemd worden. Sinds september 2007 zijn bevragingen aan internet providers en internet gerelateerde bevragingen in de tabel opgenomen. Een hit op één vraag kan meerdere antwoorden bevatten. De hit-rate is het aantal antwoorden gedeeld door het aantal vragen, vermenigvuldigd met honderd. Honderd vragen met een hitrate van 94% betekent dat er bij 94 vragen een of meer antwoorden werden gegeven en zes vragen onbeantwoord bleven. De hit-rate wordt beïnvloed door het aantal aangesloten aanbieders, de kwaliteit van de vragen en de kwaliteit van de aangeleverde gegevens. Elke bevraging is vraag met betrekking tot één identificerend gegeven.

Opmerkelijk aan deze getallen is onder meer de stijging van het aantal bevragingen. Als belangrijkste effect van de invoering van het CIS voor de opsporingsdiensten wordt de snelle beschikbaarheid van de gevraagde gegevens genoemd. Doordat de gegevens nu eenvoudig op te vragen en de antwoorden snel beschikbaar zijn, signaleert men een groei van het aantal gevraagde gegevens.