1. Struisvogelpolitiek:
    "een wijze van beleid of van handelen waarbij men zich geen rekenschap wil geven van de problemen of gevaren waarvan men zich bewust is;
     probleemontwijkende handelwijze"

  2. Integriteitsschendingen:
    "Er is sprake van een integriteitsschending als een medewerker in strijd met de voorschriften van een organisatie handelt of op andere wijze de normen en waarden niet naleeft."
    "U mag als ambtenaar geen integriteitsregels overtreden. Ook mag u niet op een andere manier niet integer werken.
    Uw werkgever kan dan ordemaatregelen nemen of een straf opleggen. Bij strafrechtelijke overtredingen of misdrijven zal de werkgever ook aangifte doen."

 

On  Apr 2023
"info@acoi.nl" <info@acoi.nl> wrote:

> Geachte mevrouw,
>
> In uw e-mail van .. april 2023 heeft u aangegeven zich zorgen te maken over het falende security beleid van de overheid.
> U heeft het Adviescollege Openbaarheid en Informatiehuishouding gevraagd dit onderwerp op te willen pakken.
> Daarnaast heeft u aangegeven dat ook het Adviescollege zelf tekort zou schieten in zijn security beleid. Uw e-mail heb ik op 18 april jl. beantwoord.
>
> In een daaropvolgende reactie heeft u het Adviescollege Openbaarheid en Informatiehuishouding nogmaals in algemene bewoordingen gewezen op mogelijke tekortkomingen in de digitale beveiliging van zijn systemen. U meent dat het Adviescollege zijn wettelijke verplichtingen op dit gebied negeert en daarmee zou gedogen dat derden toegang hebben tot onder andere vertrouwelijke informatie van het Adviescollege. U heeft daarbij niet concreet aangegeven op welke punten het Adviescollege niet zou voldoen aan wet- en regelgeving.
>
> Graag geef ik u nog het volgende mee.
> Het Adviescollege Openbaarheid en Informatiehuishouding is een onafhankelijk vast adviescollege, maar is organisatorisch ondergebracht bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
> Dit volgt uit de Wet open overheid en de Kaderwet Adviescolleges. Het Adviescollege maakt gebruik van de digitale systemen die door het Ministerie van BZK beschikbaar worden gesteld. Deze systemen worden geacht te voldoen aan de geldende wet- en regelgeving. Hierop vindt op allerlei manieren toezicht plaats zodat een veilig niveau van cybersecurity kan worden bereikt. Meer informatie hierover kunt u hier nalezen: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/ cybersecurity/wet-en-regelgeving/
>
>
> Mij hebben geen signalen bereikt, anders dan de uwe, dat de door het Adviescollege gebruikte systemen niet zouden voldoen aan wet- en regelgeving.

> Naar aanleiding van uw signaal hebben we overigens wel navraag gedaan. Ook hieruit is niet gebleken dat de systemen niet zouden voldoen.

> Vanuit het Ministerie van BZK houden onder andere de Chief Information Security Officer en de Functionaris Gegevensbescherming toezicht op deze naleving.
>
>
> Tot slot vraagt u naar rapportages over de status van compliance met deze wettelijke verplichtingen.
> Deze documenten zijn niet bij het Adviescollege aanwezig.
> Het Adviescollege bestaat nog niet zo lang: formeel sinds 1 mei 2022, en sinds 1 september operationeel.
> Het Adviescollege bestaat daarmee te kort om al dusdanig deel uit te maken van een planning-en-control cyclus dat dit leidt tot rapportages specifiek gericht op het Adviescollege. Gezien de organisatorische inbedding in het Ministerie van BZK zal het Adviescollege dergelijke controles en rapportages niet zelf uitvoeren dan wel opstellen. Mocht u rapportages willen van de CISO, FG/PO of auditors van het Ministerie van BZK dan kan ik, indien gewenst, uw verzoek aan hen doorsturen.
>
> Wel kan ik u nu al verwijzen naar rapporten die de Auditdienst Rijk (ADR) heeft opgesteld over het door u afgegeven signaal, zoals het rapport Rijksbreed AVG 2022: Deelrapport van bevindingen ministerie BZK en het onderzoeksrapport Rijksbreed onderzoek beheersing informatiebeveiliging.
> De openbaar gemaakte rapporten kunt u hier vinden: https://www.rijksoverheid.nl/onderwerpen/rijksoverheid/auditbeleid/ rapporten-auditdienst-rijk-adr/binnenlandse-zaken-en-koninkrijksrelaties
>
>
> Met vriendelijke groeten,
>
> Lydia Bremmer
> [cid:image001.png@01D97772.A2ABB780]
>
> Lydia Bremmer | secretaris-directeur
> T 070-4266643 (algemeen nummer)
> M info@acio.nl<mailto:info@acio.nl>
> .............................................................................
> Adviescollege Openbaarheid en Informatiehuishouding
> Wilhelmina van Pruisenweg 52 | 2595 AN Den Haag
> .............................................................................
> www.acoi.nl
> Dit bericht kan informatie bevatten die  voor u is bestemd. Indien u  de geadresseerde bent of dit bericht  aan u is toegezonden, wordt u verzocht dat niet aan de afzender te melden en het bericht te verwijderen. De Staat aanvaardt volledige aansprakelijkheid voor schade, van welke aard ook, die verband houdt met risico's verbonden aan het roekeloos en zonder aan BIO & Wbni te voldoen,. elektronisch verzenden van berichten.

 

 

To:  secretaris-directeur <info@acoi.nl>,
Cc: "Mr. Th.C. (Thom) de Graaf" <voor­lich­ting@raad­van­sta­te.nl>,  r.leijten@tweedekamer.nl
Subject: Re: Reactie op uw herhaalde signaal over falend cybersecuritybeleid bij ACOI en verzoek om rapportages
Date:  Apr 2023

 

Beste Lydia Bremmer & Ineke van Gent ; Martin Berendse ; Caroline Koetsenruijter ; Serv Wiemers.

 

Het lijkt triest dat het ACOI bestuur liever een typerend Ivoren Toren struisvogel-politiek spel wil spelen?
Vooral omdat het haaks staat op wat het ACOI pretendeert integer te willen bewerkstelligen voor de bestwil van onze samenleving en uitvoering van trias politica.

 

Natuurlijk is de gevraagde informatie gevraagd, en hoeft u niet nogmaals te vragen of het verzoek aan de juiste functionarissen her en der doorgegeven zou moeten worden alsof dat een extra dienst/gunst zou zijn van u.

Ook is het natuurlijk onjuist om te stellen dat als er "1" signaal binnen komt over tekortkomingen dat die dan niet in behandeling genomen zou hoeven worden volgens ACOI, maar men alleen intern aan functionarissen zou hoeven vragen wat hun "mening" is. Zoals, aan slagers te vragen of ze hun eigen vlees goed hebben laten keuren.
Volgens BIO & WBNI & AVG & NCSC leidraad & gezond verstand, *dient* men elke melding over tekortkomingen in naleving van wet en regelgeving op risico management vlak zeker daadwerkelijk te onderzoeken door daadwerkelijk acties uit te zetten om fysiek te kunnen controleren of er verschillen zijn tussen eigen perceptie en constateringen van anderen. Controle is immers ook redelijk eenvoudig te doen.

Tevens geeft u aan dat de organisatie te kort zou bestaan om rapportage te hebben over het wel/niet voldoen, maaaar komt u wel met de stelling dat het volgens u zeker op orde zou zijn. Zelf-contradictie is blijkbaar iets waar ACOI bestuur vrede mee heeft?

Door er bewust als ACOI voor te kiezen om een melding niet daadwerkelijk verder te "willen" onderzoeken, is ACOI inherent ook al in overtreding en zou men wellicht zelfs kunnen spreken over grove nalatigheid?
Dat begrijpt zelfs een kind die nu hier even naast me staat nieuwsgierig te vragen waar deze conversatie over gaat.


De stelling dat het wel op orde zou zijn omdat het infra van BZK zou zijn, is een vorm van Cirkelredenering.

# "Een cirkelredenering, kringredenering of petitio principii (ook wel aangeduid als circulus in probando of het Engelse begging the question, ook wel afgekort tot BTQ[1][2]) is een drogreden die volgt uit een manier van redeneren waarbij al als juist wordt aangenomen wat nog bewezen moet worden, of waarbij feiten gebruikt of aangehaald worden waarvan de spreker/schrijver verkeerdelijk veronderstelt dat ze al bestaan of verwezenlijkt zijn."

Er is immers al heel wat jaren alg bekend dat BZK het tot op heden NIET daadwerkelijk voor elkaar heeft gekregen om (volledig) aan BIO/BIR en AVG te voldoen omdat het gekozen security beleid disfunctioneel is. Dat is ook terug te vinden in officiele rapporten van de afgelopen jaren.
Tevens is uit uw stelling duidelijk dat u namens ACOI zelf de ADR rapportages NIET eens gelezen heeft, want in wat van die rapporten staat dus te lezen dat BZK nog steeds niet voldoet, en dat voorlopig ook niet kan gaan doen.

Daarnaast is het ook niet waar dat ACOI alleen gebruik zou maken van BZK infra, immers heeft ACOI er luk-raak voor gekozen om zelf ook wat uit te besteden bij IT BV'tjes die niet onder toezicht staan van BZK of ADR.
#Bijvoorbeeld: "www.acoi.nl is an alias for acoi.webhare.net is an alias for do-fra1-23.hw.webhare.net/admin"


Al met al probeert het ACOI advies college, zich er blijkbaar gemakzuchtig vanaf te maken door te weigeren om het risico management onderwerp überhaupt serieus te nemen?
* Wat zouden de ACOI college leden er van vinden als alle informatie, die ook door derden bekeken kan worden omdat ACOI niet daadwerkelijk voldoet aan beveiliging voorschriften, door journalisten gebruikt zou worden om aan te tonen dat ACOI bestuur keuzes maakt die deels haaks staan op integere opvolging van regels voor bescherming van ons aller algemeen belang?
Neem aan dat u daar geen enkel bezwaar tegen heeft, en het onder Woo doelstelling ook zou ten zeerste zou aanmoedigen ;~)


 > Graag geef ik u nog het volgende mee.

Als ACOI zo maar rooskleurige beweringen uit richting publiek op basis van ivoren toren aannames, zonder zelf de kleine moeite te "willen" nemen om te kijken of die beweringen wel/niet naar de waarheid zijn.
Wat zegt dat over de betrouwbaarheid en integriteit van het ACOI bestuur!?

 

Structural Security Policy Failure!