On Tue, 23 May 2023
RDI <info@rdi.nl> wrote:
>
> Op dit moment zijn wij bezig een besluit op te stellen op het Woo-verzoek.
> Ik verwacht dat het besluit de komende weken genomen gaat worden.
> Het duurt dan meestal een aantal dagen voordat dit besluit met bijlagen is gepubliceerd. Zodra dit is gebeurd, zal ik de weblink van de publicatie toesturen, en voor het gemak een anonimiseerde pdf van het besluit.
>
> Vriendelijke groet,
> Rolf Wierenga

---

Notitie:(eind Okt 2023):
Tot op heden heeft RDI er voor gekozen om het Woo verzoek over "Welke audits/onderzoeken er de afgelopen jaren gedaan zijn naar welke Vitale Infra organisaties, en wat daar de uitkomsten van waren"  NIET willen beantwoorden.
Ondanks toezegging om dat wel te doen door Rolf en Jeroen.
Oorzaak zit 'm evt in dat men zich kapot schaamt over dat RDI de afgelopen jaren een onbeschreven 'gedoogbeleid' heeft uitgevoerd als het gaat om zeer zwaren tekortkomingen en ernstige overtredingen door Vitale Infra beheer organisaties die deel uitmaken van De Overheid, zoals bijv TenneT en anderen.
En 't feit dat RDI zelf ook op te vele punten niet voldoet aan de wettelijke verplichtingen, dus het bestuur boter op het hoofd heeft?

Date: Fri, 9 Jun 2023
From: "Huberts, T. (Tycho)"   @rdi.nl
To: "Huisman, ing. R.T.M. CISSP (Rob)" <rob.huisman@rdi.nl>, "Bosch, J.A.T. van den (Johan)" <johan.vandenbosch@rdi.nl>, "Kerssens, R.G.S. RE RA CISA (Ruud)" <ruud.kerssens@rdi.nl>
Cc: "'Courteaud, Sebastien'" <Sebastien.Courteaud@ul.com>, "'van der Zwan, Ruben'" <ruben.van.der.zwan@accenture.com>, "'simone.jurecka@tuvsud.com'" <simone.jurecka@tuvsud.com>, "'prabhu.ramkumar@tuvsud.com'" <prabhu.ramkumar@tuvsud.com>, "'marco.fois@tuvsud.com'" <marco.fois@tuvsud.com>, "'alex.mylius@tuvsud.com'" <alex.mylius@tuvsud.com>, "'razvan.venter@secura.com'" <razvan.venter@secura.com>, "'henk.van.ginkel@dnv.com'" <henk.van.ginkel@dnv.com>, "'rick.fransen@nl.ey.com'" <rick.fransen@nl.ey.com>, "'adijkstra@deloitte.nl'" <adijkstra@deloitte.nl>, "'rgoeman@deloitte.nl'" <rgoeman@deloitte.nl>, "'rhakvoort@deloitte.nl'" <rhakvoort@deloitte.nl>, "'bertus.kroondijk@dnv.com'" <bertus.kroondijk@dnv.com>, "'chantalle.wullems-beister@pwc.com'" <chantalle.wullems-beister@pwc.com>, "'calra.everhard@dekra.com'" <calra.everhard@dekra.com>, "'medic@riscure.com'" <medic@riscure.com>, "'tabeau@riscure.com'" <tabeau@riscure.com>, "'kolesnichenko@riscure.com'" <kolesnichenko@riscure.com>, "'cortez@riscure.com'" <cortez@riscure.com>, "'olaf.tettero@sgs.com'" <olaf.tettero@sgs.com>, "'lex.schoonen@sgs.com'" <lex.schoonen@sgs.com>, "'guillem.malagarriga@applus.com'" <guillem.malagarriga@applus.com>, "'nuria.carrio@applus.com'" <nuria.carrio@applus.com>, "'marta.labory@applus.com'" <marta.labory@applus.com>, "'josepmaria.roca@applus.com'" <josepmaria.roca@applus.com>, "'oscar.leurs@sgs.com'" <oscar.leurs@sgs.com>, "'suraj.mangon@nl.team.blue'" <suraj.mangon@nl.team.blue>, "'piet.alkemade@nl.team.blue'" <piet.alkemade@nl.team.blue>, "'cipriano.groenendal@nl.team.blue'" <cipriano.groenendal@nl.team.blue>, "'rory.breuk@nl.team.blue'" <rory.breuk@nl.team.blue>, "'jeffrey.leusink@kpn.com'" <jeffrey.leusink@kpn.com>, "'rolf.vreijdenberger@kpn.com'" <rolf.vreijdenberger@kpn.com>, "'viktor.huegen@minbzk.nl'" <viktor.huegen@minbzk.nl>, "'bertolt.krueger@src-gmbh.de'" <bertolt.krueger@src-gmbh.de>, "'ansgar.tessmer@src-gmbh.de'" <ansgar.tessmer@src-gmbh.de>, "'wijnand.machielse@src-gmbh.de'" <wijnand.machielse@src-gmbh.de>, "'caye@wp.pl'" <caye@wp.pl>, "'vincenzo.lanzillotti@dekra.com'" <vincenzo.lanzillotti@dekra.com>, "'theresa.fleskes@dekra.com'" <theresa.fleskes@dekra.com>, "'dianara.fabias@mendix.com'" <dianara.fabias@mendix.com>, "'marc.gomezciurana@ul.com'" <marc.gomezciurana@ul.com>, "'vidushi.ghai@nl.ey.com'" <vidushi.ghai@nl.ey.com>, "'swati.manocha@nl.ey.com'" <swati.manocha@nl.ey.com>, "'pulkit.saxena1@nl.ey.com'" <pulkit.saxena1@nl.ey.com>, "'jatin.sehgal@nl.ey.com'" <jatin.sehgal@nl.ey.com>, "'peter.dutrieux@tuvsud.com'" <peter.dutrieux@tuvsud.com>, "'vanrietschoten.manon@kpmg.nl'" <vanrietschoten.manon@kpmg.nl>, "'angelo.damato@ul.com'" <angelo.damato@ul.com>, "'guillaume.dupont@ul.com'" <guillaume.dupont@ul.com>, "'hilal.sahin@ul.com'" <hilal.sahin@ul.com>, "'adam.de.rijke@cgi.com'" <adam.de.rijke@cgi.com>, "'tycho.huberts@ordina.nl'" <tycho.huberts@ordina.nl>, "Bakker, M. (Monique)" <monique.bakker@rdi.nl>, "Wever, G.E. (Glenn)" <glenn.wever1@rdi.nl>, "Swieten, P.A. van (Peter)" <peter.vanswieten@rdi.nl>, "Schouten, E. (Erica)" <erica.schouten@rdi.nl>

Subject: Information session on CSA EU certification - 29 June 2023

Dear sir/madam,
Thank you for your interest in our online information session on CSA EU certification. We are glad that you or your colleagues registered for this session

...

To: "Wever, G.E. (Glenn)"   @rdi.nl>
Cc: "Info Dutch NCC-a" <Info@dutchncca.nl>
Subject: Re: Invitation CSA-stakeholdermeeting on 13 dec. 2023

Er van bewust dat NCCA/RDI door onderstaande constructie in overtreding werkt van Wbni & AVG ?
En daarmee dus het verkeerde voorbeeld geeft.

 

M.V.G. Aan:
* Johan van den Bosch: Current Director NCCA
* Rob Huisman: Extra Super Super Lead Security Expert NCCA
* Ruud Kerssens: Extra Super Lead Security Expert NCCA

--

On Thu, 26 Oct 2023 14:50:53 +0000
Info DutchNCCA <Info@dutchncca.nl> wrote:

> Dear sir/madam,
> Please be invited on 13 December 2023, from 3:00 pm to 4.30 pm (CET) to the next online stakeholdermeeting on CSA EU certification. The stakeholdermeeting is organised by the Dutch Authority for Digital Infrastructure, in their role as the Dutch NCCA.
> We would like to inform you about the most recent developments regarding the EUCC scheme, as publication is to be expected in December 2023. In line with this, we will also provide the latest information regarding CAB accreditation and licensing in the Netherlands. We will also give an update of the latest developments and planning of the EUCS and EU5G schemes.
> The stakeholdermeeting will cover the following topics:
> 1. General overview: News, planning and status updates.
> 2. EUCC
> 3. EUCS
> 4. EU5G
> The speakers are:
> * Johan van den Bosch: Director NCCA
> * Rob Huisman: Lead Security Expert NCCA
> * Ruud Kerssens: Lead Security Expert NCCA
> ________________________________________________________________________________
> Microsoft Teams-vergadering
> Neem deel vanaf uw computer, mobiele app of apparaat voor vergaderruimte
> Klik hier om deel te nemen aan de vergadering <https://teams.microsoft.com/l/meetup-join/19%3ameeting_YzI1ZDZiMTYtMzZjMC00YWNkLThiMz.....>
> Vergadering-id: 365 908 519 395
> Wachtwoordcode: sesd6z

On  Oct 2023
"Wever, G.E. (Glenn)"   @rdi.nl wrote:

> Hi Anna,
>
> Dank voor je mail.
>
> Kan je me wijzen op wat in deze situatie niet BIO/Wbni/AVG compliant is?
> Eventueel ben ik bereikbaar via het telefoonnummer in mijn handtekening.
>
> Met vriendelijke groet,
>
> G.E. (Glenn) Wever
> MitM Security 'specialist' EU Cybersecurity Certification

To: "Wever, G.E. (Glenn)"  @rdi.nl 

Cc: "Secretaris-Generaal EZk\" <l.kwakernaak@minezk.nl>
Cc: postbusear@rijksoverheid.nl
Subject: Re: Invitation CSA-stakeholdermeeting on 13 dec. 2023 | RDI/NCCA (MinEZk) zelf het slechte voorbeeld ?
Date: Oct 2023

 

I) Herinner jij je deze uiting van RDI nog? Of was je toen nog aan 't inwerken ;-)
--
From: RDI_DutchNCCA <NCCA@rdi.nl>
To: Undisclosed recipients:;
Subject: Slides Information session on CSA EU certification - 29 June 2023
Date: Fri, 7 Jul 2023 14:50:58 +0000
--

Daarbij zijn er grote documenten/bestanden naar velen verzonden via publieke email paden.
Documenten die ook eigenlijk vertrouwelijke interne informatie bevatten van & over RDI/NCCA.
Trek die pptx (zip) verzamelbestanden maar eens uit elkaar in de elementen, en bekijk de .xml data. En daarna ook even door de presentaties gaan om te zien welke info wellicht beter niet gedeeld/gepubliceerd had kunnen worden met mensen buiten de organisatie en specifieke personen onder NDA's.

? Kan jij als 'security specialist' me dan vertellen welke BIO/Wbni/AVG regels er van toepassing zijn op bescherming en voorkoming van lekkage van, informatie over: personen; hun user credentials; hun activiteiten; bekende kwetsbaarheden in gebruikte software en systemen; welke specifieke systemen er in gebruik zijn; enz..
Of.. zullen we gemakshalve maar stellen dat De RDI/NCCA 'specialisten' zelf wat awareness training missen op gebied van "opschonen van bestanden Voor een publicatie" ?

--
II) Jij hebt persoonlijk op [Thu, 26 Oct 2023 14:50:53 +0000] een email verstuurd naar een groep mensen die iets met Security en Compliance van doen hebben voor hun eigen organisaties, volgens de door jullie gebruikte IT infra systemen.
een paar van die systemen voldoen voor geen meter aan de verplichte beveiliging en privacy voorschriften, omdat er alg bekend is dat die systemen 'NOT! secure by design' zijn, zelfs erg berucht voor de voortdurende High-Risk kwetsbaarheid [Zie CVE Scores]. RDI heeft er bewust voor gekozen om die systemen te gebruiken, In plaats van een keuze te maken uit een van de vele opties die wel "secure by design" gebleken te zijn de afgelopen 10+ jaar.
Dus RDI/NCCA preekt compliance, maar negeert zelf vele voorschriften door onjuiste/illegale keuzes te maken.

 

--
III) Jullie hebben bewust gekozen om "https://teams.microsoft.com/l/meetup-join" te gebruiken, vooral uit gemakzucht, waarbij o.a. buitenlandse organisaties veel informatie in handen gegeven word om specifieke mensen en hun omgeving te kunnen profileren tot op een (zeer hoog) details niveau. En RDI zelf NIET ""in control"" kan zijn, over wie er wel/geen toegang heeft tot die bijeenkomst en gerelateerde data.
Met andere woorden, jullie laten spionage toe op "security" processen en personen.
In plaats van een wel degelijk 'secure'&'compliant' video-conferencing oplossing te kiezen, waarvan er ook wat prima opties gewoon beschikbaar zijn.

 

Mag jij namens RDI en MinEZk als security specialist samen met je "Lead Security Expert" collega's serieus proberen uit te leggen
 welke BIO/Wbni/AVG/VIRBI regels jullie nog niet overtreden hebben, S.V.P.

Gaarne in vorm van een complete lijst met officiële voorschriften punten, en daarbij een duidelijk Groen vinkje als RDI volgens RDI op dit moment volledig 'compliant' is aan die specifieke eis. En een korte uitleg over "waarom" als het nog niet op orde is, in lijn met het "‘pas toe of leg uit’" basis principe.

a) BIO: Informatiebeveiligingsstandaarden ISO 27001 en ISO 27002 zijn geplaatst op de ‘pas toe of leg uit’-lijst (link naar andere website) van het Forum Standaardisatie.
Heb de v1.04 versie toegevoegd, zodat je de punten kan gaan afvinken.

bio-versie104zv.xlsx (application/vnd.openxmlformats-officedocument.spreadsheetml.sheet, 104.85KiB):

 

b) Wbni: wetten.overheid.nl/BWBR0041515/2022-12-01 www.digitaleoverheid.nl/wp-content/uploads/sites/8/2020/03/Eindrapport- Onderzoek-Wetgevingskader-Informatieveiligheid-versie-1.0.pdf
Notitie: Vraag jezelf als RDI & MinEZK bestuur, ook even integer af Wie!? het heeft 'toegelaten' dat er voor De "digitaleoverheid.nl" server gebruik gemaakt "mag" worden van een zeer berucht kwetsbare CMS Stack, en geen functionele IPS, en data-lekkages, en etc..
Ref: trouw.nl/economie/de-overheid-kiest-voor-makkelijke-websites-niet-voor-veilige~ba71a0b3/

 

c) AVG: https://www.autoriteitpersoonsgegevens.nl/uploads/imported/notendop_avg.pdf
Maken we het jullie gemakkelijk, en hoef je alleen even af te vinken aan welke basis principes voorschriften RDI volgens RDI wel geheel zou voldoen. Ipv de lange volledige lijst met voorschriften en eisen.

d) VIRBI: https://www.earonline.nl/index.php/Besluit_Voorschrift_Informatiebeveiliging_Rijksdienst_Bijzondere_Informatie_(VIRBI)
Zou interessant zijn om eerst als RDI een stellingname te delen over waarom RDI wel/niet onder VIRBI voorschriften zou vallen ;))

Notitie: Eventueel ook een mening van RDI/NCCA als Toezichthouder en Certificeerende over waarom ook "De Enterprise Architectuur Rijksdienst (EAR)" zelf niet voldoet aan de wettelijke verplichtingen voor bescherming van onze Rijks & Vitale Infra. :(
Hint: www.earonline.nl/wikixl-error-resources/

---
IV..CI) Er is een te lange waslijst aan uiteenlopende bevindingen van organisatorisch structurele tot technisch specifieke, heb er maar even het standaard aantal "3" uit gehaald, als voorbeeld om iets zinvols mee te gaan doen, om alsnog het Goede Voorbeeld te kunnen gaan geven als RDI/NCCA.

enz)...

 

--
!? *"Bij de Rijksinspectie Digitale Infrastructuur (RDI) werken we aan een veilig verbonden Nederland. Een Nederland dat kan rekenen op goede telecommunicatie- en IT-netwerken, die bovendien veilig en betrouwbaar gebruikt kunnen worden."

 

--
www.helpwire.app/blog/teams-security-issues/

www.communicatierijk.nl/actueel/longread/weblogberichten/2023/dialoogsessie-ethiek