Yesilgöz: Nuctech scanners beste prijs-kwaliteit, gegevensbescherming niet afgewogen

Op de vragen van de Tweede Kamerleden n Palland, Inge van Dijk en Amhaouch van het CDA naar of het de Minister bekend is dat het Chinese semi-staatsbedrijf Nuntech scanners in 26 van de 27 EU-lidstaten de grenscontroles uitvoeren is onderkoeld antwoord gekomen van de nieuwe Minister van Justitie, Yesilgöz-Zegerius. Strekking van de beantwoording is, dat de mogelijke veiligheidsrisico’s onderwerp zijn van onderzoek, dat leveranciers een Gedragsverklaring GVA hebben moeten inleveren bij de aanbesteding en moeten scanapparaten voldoen aan stralingsbescherming. Van een abnormale inschrijving was geen sprake.

Elke lidstaat maakt hierin zijn eigen afweging. Voor Nederland geldt dat het staande inkoopbeleid is dat er per casus wordt bezien of er risico’s zijn voor de nationale veiligheid en zo ja, of en hoe deze beheersbaar kunnen worden gemaakt. De mogelijke veiligheidsrisico’s in verband met het gebruik van buitenlandse toeleveranciers in de scan- en detectieprocessen van de Douane zijn op dit moment onderwerp van onderzoek. In het antwoord op vraag 8 en 9 wordt daar nader op ingegaan. Inzichten uit andere landen worden waar relevant  meegenomen in dit onderzoek. Verder vindt de Minister dat Nuntech in aanbestedingstrajecten “de beste kwaliteit levert voor de meest aantrekkelijke prijs”.

In de gecombineerd geantwoorde vraag 8 en 9 blijkt dat er toch wel meer aan de hand is dan bij een gewone aankoop voor Chinese plastic balpennen. De apparatuur van Nuntech scant koffers en tassen op inhoud. Risico van gegevenstoegang door derde partijen was toen nog niet meegenomen in het afwegingskader. Nuctech ontkent overigens in alle toonaarden dat het gegevens aan de Chinese overheid afstaat. Wie is dan die 27e lidstaat met ruggegraat. Dat blijkt Litouwen:

Zie daarvoor onder meer: https://www.rtlnieuws.nl/economie/bedrijven/artikel/5282733/nuctech-china-douanescanner-schiphol-haven-rotterdam-spionage

Voor wat betreft de gegevensbescherming meldt de regering, dat het daar niet op controleert:

Vraag 8
Onderkent u het risico dat, ondanks het feit dat Nuctech aangeeft dat de scanners die in Nederland worden gebruikt ‘negen van de tien keer’ zelfstandig werkend opereren en geen onderdeel vormen van een netwerk, apparatuur – zeker naar de toekomst toe – kan worden aangepast, zeker met alle ontwikkelingen rondom artificiële intelligentie (AI) en het ‘Internet of Things’?

Vraag 9
Welke garanties kunt u (laten) afgeven dat de Chinese overheid geen enkele toegang heeft tot de Nederlandse scanners of tot de data van die scanners?

Antwoord op vraag 8 en 9:
Het kabinet kan hier geen garanties over geven. Douane besteedt structureel, onafhankelijk welke leverancier scanapparatuur levert, aandacht aan de bescherming en beveiliging van gegevens. Zo zijn de centrale netwerken voor scan en detectie gescheiden van het netwerk in gebruik bij Douane. Er wordt geen informatie over de controle of de bevindingen aan de scanbeelden toegevoegd. Een scan genereert geen andere informatie dan enkel een scanbeeld van de inhoud van een te scannen object. Zoals eerder is aangegeven in de bovenbedoelde beantwoording van Kamervragen over Nuctech, bestaat er overheidsbeleid dat voorschrijft dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten.

Volgens dit beleid dient bij de aanschaf en implementatie van gevoelige apparatuur rekening gehouden te worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om toegang tot systemen door derden. Ter ondersteuning van dit beleid is eind 2018 instrumentarium ontwikkelde quick scan nationale veiligheid) dat organisaties bij inkoop en aanbesteding van diensten en producten handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Dit instrumentarium is ter beschikking gesteld binnen de Rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Bij de aanbesteding van de huidige Nuctech scanners is het instrumentarium niet toegepast omdat het op dat moment nog niet geïmplementeerd was. Sinds 2021 past Douane dit instrumentarium in het kader van alle aanbestedingen echter wel toe.

Tevens heeft Douane een externe audit laten uitvoeren op de informatiebeveiliging rond scan- en detectiesystemen en daaraan gerelateerde ITinrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk ijn ingericht. Het onderzoek is in september 2021 afgerond en in november 2021 – vertrouwelijk – aan uw Kamer aangeboden. 5 Het onderzoek verschaft inzicht in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. De aanbevelingen uit het onderzoek worden door de Douane opgepakt.
Daarnaast wordt op dit moment door een externe partij in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. Dit vervolgonderzoek richt zich op de vraag welke onderdelen van de scan- en detectieinfrastructuur kwetsbaar zijn vanwege risico’s voor de nationale veiligheid. Daarbij wordt gekeken naar mogelijke dreigingen vanuit statelijke actoren. De toenmalig staatssecretaris van Financiën heeft de onderzoekende partij verzocht om bij het lopende onderzoek naar genoemde risico’s de vraag te betrekken welke risico’s de Douane bij de scan- en detectieprocessen loopt bij mogelijk misbruik van scan- en detectiesystemen door niet-statelijke (criminele) actoren.

Dat China de scanners niet nodig heeft omdat het zo ook wel afdoende spionage kan uitvoeren zonder scanners volgens een cyber security expert, dat spionage al strafbaar is en inderdaad een dreiging is, en in de beantwoording vna vraag 12 voegt de Minister er nog aan toe dat het van groot belang is spionageactiviteiten van statelijke actoren tegen te gaan. Dan maar geen scanners? Nee, dat ook weer niet, want zo blijkt uit vraag 13: nu hebbben we ze nu eenmaal gekocht dus we doen het er maar mee. Eten wat de pot schaft en de pot schaft bami met haaienvinnensoep.

Vraag 13
Wat zijn de juridische mogelijkheden om de deal met Nuctech te stoppen en/of terug te draaien? Kan Nederland dit zelf of moet dit via de Europese Commissie?
Antwoord op vraag 13
De apparatuur van Nuctech is reeds geleverd en wordt door Douane ingezet. Het opzeggen van de overeenkomst met Nuctech kan de overheid in principe eenzijdig doen. Het contract stelt daar nadere specifieke voorwaarden aan. Het eenzijdig
opzeggen van de overeenkomst zonder een (in het contract genoemde) gegronde reden zal waarschijnlijk leiden tot onder meer een financiële claim van de opdrachtnemer wegens gederfde inkomsten of gedane investeringen.

Aanbestedingsnieuws typt natuurlijk dit ook maar op een Lenovo en heeft een toetsenbord van de Action dus kunnen wij hier nou vrijelijk over schrijven, weten wij veel. Maar als u ruimhartig doneert aan ons Aanbestedingsnieuws kunnen wij natuurlijk zorgen voor de meest robuuste inhouse fairtrade techniek. http://www.aanbestedingsnieuws.nl/doneren/

Zie verder:

Aanhangsel Handelingen Kamerstukken II 2021/22, 24 maart 2022, kenmerk: 2022Z01227