N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Popmuziek Het duurt te lang voor Nederlandse popartiesten kunnen leven van hun muziek. Het ministerie van OCW wil eerlijke betaling, maar veel bandleden houden maar 100 euro per concert over.
Singer-songwriter Rita Zipora tijdens het Noorderslag festival in Groningen in 2014. Nu is ze bestuurslid van beroepsvereniging BAM! Popauteurs.
Foto Andreas Terlaak
Rond popmuziek hangt een aura van gouden bergen. De sterren kunnen zich een villa in Beverly Hills veroorloven, of de eis dat in de kleedkamer een fles Hennessy-cognac klaarstaat. Maar voor veruit de meeste Nederlandse popmuzikanten is optreden juist een te schamele bron van bestaan, blijkt uit een inventarisatie die de popsector vrijdag tijdens het Groningse festival Eurosonic Noorderslag aanbood aan staatssecretaris Gunay Uslu (Cultuur, D66).
De vele Nederlandse popmuzikanten die al wel in bekende poptempels staan maar daar geen grote zaal vullen, houden gemiddeld slechts zo’n 100 euro over aan een concert. Dat blijkt veel te weinig: om een eerlijke beloning (‘fair pay’) mogelijk te maken, zoals het ministerie van OCW zich voor de cultuursector ten doel heeft gesteld, zouden de gages voor deze artiesten moeten verviervoudigen.
Daarvoor is landelijk 7,8 miljoen euro nodig, concludeert adviesbureau Berenschot, en dat geld hebben de podia niet. „Als er gemakkelijke oplossingen waren om meer inkomsten te vergaren, hadden de podia dat al gedaan”, zegt adviseur Bastiaan Vinkenburg.
Het onderzoek volgt na een jaar van gesprekken tussen podia en festivals, artiesten en andere belanghebbenden in de Nederlandse popsector.
Eerlijke betaling is een speerpunt geworden in de cultuursector. In 2019 voerde toenmalig OCW-minister Van Engelshoven de eis in dat culturele instellingen, om rijkssubsidie te ontvangen, de ‘Fair Practice Code’ moeten onderschrijven. Streven naar eerlijke betaling is een belangrijk onderdeel van die code.
„Als popmuzikant kun je in Nederland in een groot deel van je carrière niet leven van muziek maken”, zegt Rita Zipora, tot enkele jaren geleden actief als singer-songwriter en nu bestuurslid van beroepsvereniging BAM! Popauteurs. Dat gebeurt pas als je een grote zaal uitverkoopt, zoals in Paradiso (Amsterdam) of 013 (Tilburg). Maar die weg naar een eigen inkomen is lang, volgens Zipora ook langer dan bijvoorbeeld in België. „We missen doorstroom naar de echte top. Daardoor gaat talent verloren.”
Een grote groep artiesten waar het onderzoek om draait, treedt op als professioneel popmuzikant – ze staan in de kleinere zalen, hebben een manager, ze komen op de radio en soms op tv. Een gage van 1.100 euro per optreden voor de hele band is dan gangbaar. Daar houdt elke muzikant slechts 100 euro van over nadat de technici, de manager en de tourbus zijn betaald. Om toch rond te komen, geven ze bijvoorbeeld muziekles of hebben een baan buiten de muziek.
Om een ‘sociaal minimum’ te verdienen voor een optreden (inclusief de voorbereidingstijd), zou de gage per bandlid 258 euro moeten bedragen, plus onkosten. Voor een eerlijk loon zou dat 414 euro moeten zijn. „Poppodia schrokken van die berekening”, zegt Zipora. „De kosten die de act maakt, zijn voor hen niet zichtbaar.” Voor die hogere gages zou landelijk 3,1 tot 7,8 miljoen euro extra nodig zijn, afhankelijk van hoe fair er betaald wordt.
Directeur Berend Schans van de Vereniging voor Nederlandse Poppodia en Festivals (VNPF), met 65 podia en 57 festivals als leden, wist wel dat muzikanten slecht betaald werden. In 2020 al concludeerde een studie in opdracht van OCW dat popmuzikanten een „zwakke inkomenspositie” hebben en dat er een „machtsongelijkheid” bestaat ten opzichte van boekers en podia.
De nieuwe inventarisatie, waaraan VNPF meewerkte, wijst uit dat de poppodia te weinig inkomsten hebben voor hogere gages. Volgens Berend Schans en Rita Zipora leidde dat tot wederzijds begrip. „Wij wilden af van de gepolemiseerde discussie dat wij onze zakken vullen”, zegt Schans. „Het geld zou blijven hangen bij de podia. Dat is gewoon niet waar. De hele sector wordt sterker als we muzikanten beter betalen.”
Poppodia krijgen weliswaar subsidie van de gemeente, maar die gaat bijna geheel op aan huur en andere vaste lasten. Subsidies voor programmering zijn in de popmuziek schaars; de gages moeten worden betaald uit tickets en horeca. Als een artiest in een kleine zaal niet uitverkoopt, wat regelmatig gebeurt, schiet het poppodium er nu al bij in.
Hogere gages zouden verdiend kunnen worden via duurdere drankjes of tickets. Volgens Berenschot-onderzoeker Vinkenburg ervaren podia echter dat daar weinig of geen ruimte zit: wordt pop duurder, dan blijven bezoekers weg. „Dat is niet systematisch onderzocht, maar natuurlijk experimenteren podia met de prijzen.”
VNPF-directeur Schans ziet wel enige mogelijkheden. „De ticketprijs kan hier en daar best omhoog, maar juist voor de kleinere, meer avontuurlijke programmering die we belangrijk vinden, zal dat vermoedelijk een negatief effect hebben.” De oplossing waar hij het meest in ziet, is een fonds voor fair pay. „Daarin zou de overheid het voortouw kunnen nemen. Andere partijen zouden dat kunnen aanvullen. Denk aan cultuurfondsen, auteursrechtenorganisaties, misschien wij zelf wel.”
Het is Sarina Wiegman opnieuw gelukt een finale van een groot toernooi te bereiken. De bondscoach uit Nederland versloeg met de Engelse voetbalsters Italië (2-1) in de halve eindstrijd van het EK in Zwitserland.
De Italiaanse Barbara Bonansea leek lang met een doelpunt verantwoordelijk te worden voor de uitschakeling van de titelverdediger in Genève. Maar invalster Michelle Agyemang schoot Engeland in de zesde minuut van de blessuretijd alsnog naar een verlenging. Vervolgens maakte Chloe Kelly in de slotfase van de verlenging het winnende doelpunt. Ze miste aanvankelijk een strafschop maar benutte de rebound. Engeland stuit zondag in de finale op de winnaar van de andere halve eindstrijd tussen Spanje en Duitsland, die voor woensdag op het programma staat.
De 55-jarige Wiegman mag zich dus opmaken voor haar vijfde eindstrijd van een groot toernooi in acht jaar tijd. Ze won de laatste twee EK’s met Nederland en Engeland en verloor met die landenploegen de finales van de laatste twee WK’s. Wiegman ontsnapte in de kwartfinale van dit EK tegen Zweden ook al aan uitschakeling met haar ploeg. Engeland kwam toen in de slotfase van de reguliere speeltijd terug van een achterstand van 2-0 en nam de strafschoppen beter.
Racisme
De Engelse voetbalsters besloten vlak voor de halve eindstrijd niet te knielen. Ze vinden dat ze met dat antiracismegebaar de laatste jaren onvoldoende hebben bereikt. Verdediger Jessica Carter maakte zondag namelijk bekend dat ze tijdens deze Europese eindronde racistisch is bejegend. Wiegman liet haar niet aan de aftrap verschijnen, maar dat had volgens haar vooral tactische redenen. Ze dacht dat Esme Morgan de Italiaanse aanvalsters beter kon verdedigen. Carter haalde in de kwartfinale tegen Zweden ook geen hoog niveau.
Lees ook
Bondscoach Sarina Wiegman moet dit EK diep gaan, maar wist wel een eenheid van de Engelse ploeg te smeden
Italië creëerde minder kansen dan Engeland maar was wel efficiënter dan de ploeg van Wiegman. Bonansea benutte in de 33e minuut de eerste mogelijkheid van het team dat in de kwartfinale Noorwegen uitschakelde. Alessia Russo en Lauren James verzuimden voor rust voor Engeland te scoren.
Na rust speelde de ploeg van Wiegman in een hoger tempo. Lauren Hemp kreeg een goede kans om gelijk te maken maar ook zij miste. Ook Lucy Bronze slaagde er niet in de Engelse speelsters naar een verlenging te schieten. Uiteindelijk zorgde Agyemang in de 96e minuut alsnog voor veel opluchting bij Engeland. Ze raakte in de slotfase van de verlenging de lat maar zag vervolgens Kelly alsnog scoren. (ANP)
Dierenartsenketen IVC Evidensia heeft eigen werknemers vijf jaar lang financieel benadeeld door ingehouden pensioenpremies niet af te dragen aan het pensioenfonds. Bij een nog onbekend aantal dierenartsen hield Evidensia van 2020 tot en met 2024 pensioenpremies op hun loon in, die niet volledig werden afgedragen aan het pensioenfonds voor dierenartsen. Betrokken dierenartsen werden tot meer dan 1.000 euro per jaar benadeeld. Dat blijkt uit onderzoek van NRC.
In een reactie aan NRC bevestigt Evidensia dat jarenlang te hoge pensioenpremies zijn ingehouden. Het gaat om „een complexe kwestie van meerdere jaren”, schrijft het bedrijf. „Onder leiding van ons nieuwe senior managementteam werken we er hard aan om dit recht te zetten.”
Hoeveel dierenartsen in dienst van Evidensia precies zijn benadeeld, en voor hoeveel geld in totaal, zegt het bedrijf nog te moeten berekenen. Bij drie dierenartsen die NRC vertrouwelijk inzage hebben gegeven in hun loon- en pensioengegevens, blijkt dat Evidensia meerdere jaren een hogere pensioenpremie op hun loon inhield dan het aan de Stichting Pensioenfonds voor Dierenartsen (SPD) afdroeg. Het verschil varieert bij deze dierenartsen van een kleine honderd tot ruim 1.300 euro per jaar. Bij Evidensia werken circa duizend dierenartsen, die verplicht zijn aangesloten bij het beroepspensioenfonds. Opgeteld kunnen dierenartsen voor vele tonnen of meer zijn benadeeld.
Dit moet intern zijn opgevallen, het zal niet om kinderachtige bedragen gaan. Ik vind het bizar
„Over zo’n lange periode heb ik dit nog nooit meegemaakt”, reageert Erik Lutjens, hoogleraar pensioenrecht van de Vrije Universiteit in Amsterdam. „Dit moet intern zijn opgevallen, het zal niet om kinderachtige bedragen gaan. Ik vind het bizar.”
Advocaat pensioenrecht Jorn de Bruin: „Het is niet bewezen dat dit bewust gebeurd is, maar ik vind het wel verdacht. Het is op zijn minst behoorlijk slordig en wekt de schijn van slecht werkgeverschap. We zien dit eigenlijk alleen in faillissementssituaties. Dan wordt het gebruikt om het ene gat met het andere te vullen.”
Breder patroon
Ten onrechte inhouden van pensioenpremies is onderdeel van een breder patroon van financiële benadeling van de eigen medewerkers door Evidensia. Twaalf dierenartsen, assistenten en andere (oud-)medewerkers verklaren in gesprek met NRC dat Evidensia de afgelopen jaren structureel te weinig geld uitkeerde aan werknemers die ziek werden, met zwangerschaps- of ouderschapsverlof gingen of uit dienst traden. Pas wanneer medewerkers hierover aan de bel trokken, kregen zij soms alsnog de vergoeding waarop ze contractueel recht hadden.
Evidensia erkent dat bij zieke werknemers langdurig sprake is geweest van „foutief uitbetaalde bedragen”. Het bedrijf zegt dit bij gedupeerde medewerkers te willen rechtzetten en dat maatregelen zijn genomen „om te voorkomen dat dit probleem zich in de toekomst herhaalt.” Op andere voorgelegde voorbeelden ging het bedrijf niet in.
Het is op zijn minst behoorlijk slordig en wekt de schijn van slecht werkgeverschap
Daarnaast droeg Evidensia in 2022 en 2023 meer dan een halfjaar geen pensioenpremie af voor vierhonderd werknemers die zijn aangesloten bij het Pensioenfonds voor Zorg en Welzijn (PFZW). Het gaat om een betalingsachterstand van minimaal een half miljoen euro, die nog altijd niet is rechtgezet. Volgens een woordvoerder van PFZW zijn de partijen „hier nog over in gesprek”. Evidensia wilde niet ingaan op vragen over deze kwestie.
Grootste werkgever
IVC Evidensia is de grootste werkgever in de Nederlandse dierenartsensector, met drieduizend werknemers in ruim driehonderd klinieken. Naast de dierenartsen heeft de keten tweeduizend assistenten en bureaumedewerkers in dienst.
Het Brits-Zweedse bedrijf – eigendom van investeringsfondsen EQT en Silver Lake en voedingsgigant Nestlé – wordt door een deel van de eigen medewerkers al langer kritisch gevolgd, onder meer vanwege onthullingen in NRC over het wegsluizen van inkomsten naar belastingparadijs Guernsey en bonussen voor dierenartsen die vaker doorverwezen naar een duurdere behandeling. Dit voorjaar bleek dat de Nederlandse klinieken te maken hebben met een leegloop onder het personeel, omdat veel medewerkers zich niet langer kunnen vinden in het beleid van de keten, dat volgens hen te veel gericht is op winstmaximalisatie.
Een dierenarts ontdekte eerder dit jaar dat haar werkgever Evidensia meer pensioenpremie op haar loon inhield dan werd afgedragen aan pensioenfonds SPD. De dierenarts kaartte dit aan bij de ondernemingsraad, die er afgelopen maart over sprak met de directie van Evidensia Nederland.
Op 1 mei erkende Evidensia in een interne mail dat inderdaad te hoge pensioenpremies zijn ingehouden. „Bij dierenartsen met een parttime dienstverband hebben wij pensioenpremie ingehouden over de meeruren, bij sommige gevallen is de premie niet afgedragen aan het Stichting Pensioenfonds Dierenartsen (SPD)”, schreef de manager salarisadministratie in de mail, die in handen is van NRC. „Voor elke dierenarts die in de periode 2020-2024 meeruren uitbetaald heeft gekregen, wordt onderzocht of de ingehouden pensioenpremie correct is afgedragen. Als dit niet het geval is moet deze inhouding worden terugbetaald aan de dierenarts.”
‘Meeruren’ zijn uren die dierenartsen met een parttime dienstverband werken bovenop het aantal vaste uren uit hun contract. Daarnaast hield Evidensia bij dierenartsen in deze jaren pensioenpremies in over zogeheten ‘dienstenvergoedingen’, toeslagen voor werk in avond, nacht of weekend. Ook deze werden niet aan het pensioenfonds afgedragen, blijkt uit de interne mail.
We weten nog niet hoe groot de omvang van dit probleem precies is, maar het zou om veel geld kunnen gaan
Volgens betrokken dierenartsen en hun Belangenvereniging Praktiserende dierenartsen in Loondienst (BPL) kan het merendeel van de dierenartsen in dienst bij Evidensia financieel benadeeld zijn. „Het gros van de dierenartsen in loondienst werkt parttime”, zegt BPL-voorzitter Rick van der Wijst. Hoewel het per kliniek verschilt, werken veel dierenartsen meer uren dan in hun contract staat, onder meer vanwege personeelstekort. Doorwerken in de avond of het weekend is eveneens zeer gebruikelijk. „We weten nog niet hoe groot de omvang van dit probleem precies is, maar het zou om veel geld kunnen gaan”, zegt Van der Wijst.
Dit voorjaar bleek dat de Nederlandse klinieken te maken hebben met een leegloop onder het personeel, omdat veel medewerkers zich niet langer kunnen vinden in het beleid van de keten, dat volgens hen te veel gericht is op winstmaximalisatie.
Foto Dieuwertje Bravenboer
Volmacht ondertekenen
Nederlandse dierenartsen zijn van oudsher gewend zelf hun pensioen te regelen bij SPD, het verplichte pensioenfonds van de beroepsgroep. Een dierenarts geeft voor het begin van elk jaar zijn of haar verwachte inkomen op. Daarop baseert het fonds vervolgens de jaarpremie. Hierna betaalt de dierenarts zelf elk kwartaal de pensioenpremie. Het is een regeling die voortkomt uit de tijd dat de meeste dierenartsen nog zelfstandige ondernemers waren.
Private-equity-investeerder Evidensia nam vanaf 2016 in rap tempo dierenartspraktijken over, waardoor een snelgroeiende keten van klinieken ontstond. Vanaf 2020 drong het bedrijf bij betrokken dierenartsen aan op ondertekening van een volmacht, waarmee de dierenarts Evidensia toestemming gaf voortaan „alle handelingen te verrichten die noodzakelijk zijn bij de aangifte en afdracht van pensioenpremies”. Een „praktische oplossing” die dierenartsen „veel rompslomp” zou besparen, schreef het bedrijf in 2020 aan medewerkers.
Het enige wat de dierenartsen zelf bleven doen, was aan het begin van elk jaar hun inkomen doorgeven aan SPD om de jaarpremie vast te stellen. Daarbij rekenden zij doorgaans geen inkomsten uit werk op onregelmatige uren of buiten hun contract mee – waarover zij dus ook geen pensioenpremie hoefden te betalen. Dat Evidensia over deze inkomsten sinds 2020 desondanks premie bij het loon inhield, is een „administratieve fout”, schreef het bedrijf afgelopen mei in de interne mail.
Experts zijn kritisch over die uitleg. Hoogleraar Lutjens: „Elk bedrijf heeft interne controleprocedures. En anders moet de externe accountant wel hebben gezien dat er bedragen op de rekening staan die er niet horen. Dit valt buiten alle gebaande paden.” Accountant Deloitte gaf tot en met 2022 een goedkeurende verklaring aan de jaarverslagen van Evidensia Nederland. Jongere jaarverslagen zijn niet openbaar.
Pensioenadvocaat De Bruin noemt een administratieve fout „niet plausibel”. De Bruin: „Dat zijn dan wel heel eenzijdige fouten, die telkens in het voordeel van Evidensia uitvielen. Het was nou nooit dat ze te weinig premie inhielden. Dit wekt eerder de indruk van een werkgever die de kantjes ervan af probeert te lopen.”
Beide experts kennen voorbeelden van bedrijven die ingehouden pensioenpremies enige tijd niet afdroegen, maar dat betrof volgens hen doorgaans ondernemingen in grote financiële problemen. Bij Evidensia is daar geen sprake van. De Nederlandse dierenklinieken boekten volgens jaarverslagen van Evidensia Dierenklinieken BV in 2021 en 2022 opgeteld een nettowinst van 16 miljoen euro. Over recentere jaren deponeerde Evidensia alleen het jaarverslag van het Britse moederbedrijf bij de Kamer van Koophandel. Dat boekte in 2023 en 2024 opgeteld 1,5 miljard euro aan operationele winst – volgens het bedrijf de „belangrijkste winstmaatstaf”.
Omdat Evidensia pensioenpremies inhield over verdiensten die buiten het opgegeven inkomen vielen, is pensioenfonds SPD niet financieel benadeeld, bevestigt SPD-voorzitter Danse Sonneveld. „Bij ons is er geen achterstand op de betaling.” Het zijn de betrokken dierenartsen die recht hebben op uitbetaling van te veel ingehouden premies.
In de mail van 1 mei beloofde Evidensia na een week met meer informatie te komen, waarbij volgens het bedrijf de prioriteit lag „bij dierenartsen die momenteel in dienst zijn bij IVC Evidensia”. Sindsdien hebben betrokken dierenartsen er niets meer over gehoord. „Omdat elke situatie uniek is, behandelen we elk geval afzonderlijk”, schrijft het bedrijf in de reactie aan NRC. „Het kost tijd om dit zorgvuldig op te lossen.”
Voorzitter Rick van der Wijst van belangengroep voor dierenartsen BPL roept Evidensia op snel met een concreet plan van aanpak te komen: „Dit moet voor elke betrokken dierenarts snel en goed worden opgelost. Ook voor degenen die niet meer in dienst zijn.”
U ontvangt deze brief, omdat uw werkgever Evidensia NL Dierenklinieken BV de pensioenpremie al een tijd niet heeft betaald
Betalingsachterstand
Al twee jaar speelt nog een andere pensioenkwestie: vierhonderd assistenten en bureaumedewerkers in dienst van Evidensia ontvingen op 24 april 2023 een brief van hun pensioenfonds PFZW. „U ontvangt deze brief, omdat uw werkgever Evidensia NL Dierenklinieken BV de pensioenpremie al een tijd niet heeft betaald. Ik heb uw werkgever al een paar keer gevraagd om de premie te betalen”, schreef de manager klantrelaties van PFZW destijds. Als Evidensia de premies niet snel zou betalen, „zetten wij het contract met uw werkgever stop”, waarschuwde hij.
Toen de brief kwam, waren de pensioenpremies voor deze medewerkers al ruim een halfjaar niet betaald. De laatste premie was betaald op 30 september 2022, blijkt uit informatie die NRC heeft ingezien. De betalingsachterstand van Evidensia aan PFZW bedroeg meer dan een half miljoen euro. Een woordvoerder van het fonds bevestigt dat de kwestie nog altijd niet is opgelost, maar wil verder niet ingaan op vragen. „Zolang we hier nog met IVC Evidensia over in gesprek zijn, willen we geen details delen met de buitenwereld”, zegt de woordvoerder. „Onze intentie is om hier met IVC Evidensia uit te komen en te zorgen dat er voor de medewerkers premie wordt betaald voor hun pensioen.”
Medewerkers zijn niet verrast over de twee opgedoken pensioenkwesties. Onder werknemers bestaat een breedgedragen beeld van, zoals sommigen het noemen, financieel „gerommel” door hun werkgever. Zij zien een patroon van te lage uitkeringen bij ziekte- of zwangerschapsverlof, onjuiste registratie van vakantiedagen en te hoge inhoudingen bij mensen die hun dienstverband beëindigen. Dat blijkt uit gesprekken die NRC voerde met twaalf (oud-)medewerkers uit verscheidene delen van het land – vanwege een geheimhoudingsplicht voor hen op voorwaarde van anonimiteit.
Zo laten twee medewerkers zien dat zij te weinig loon ontvingen vanaf het moment dat ze ziek werden. Bij deze twee werknemers – uit verschillende regio’s – stopte Evidensia met doorbetaling van hun onregelmatigheidstoeslag, de vergoeding voor werken in de avond en tijdens het weekend. Omdat de medewerkers vóór hun ziekte regelmatig op deze uren werkten, hadden ze recht op die toeslag.
Beide werknemers laten aan de hand van documenten zien dat ze bij Evidensia meermaals aangaven dat ze te weinig ziekengeld kregen; hun gemiste inkomsten lagen toen tussen de 1.000 en 2.500 euro. Het bedrijf gaf uiteindelijk tegenover beide medewerkers toe dat maandenlang te weinig was uitbetaald en beloofde het te herstellen.
In reactie op vragen hierover erkent Evidensia dat medewerkers die ziek werden vaker te weinig loon doorbetaald kregen. Het bedrijf kondigt aan dit recht te zetten. Hoe precies, en bij hoeveel medewerkers, is onduidelijk.
Een oud-medewerker die bij Evidensia uit dienst trad, laat zien dat het bedrijf ruim 2500 euro inhield bij de eindafrekening, volgens het bedrijf omdat nog pensioenpremies betaald moesten worden. Maar omdat de werknemer aan het begin van een kwartaal uit dienst ging én in die 2.500 euro ook het werkgeversdeel van de premie was meegerekend, kon die berekening niet kloppen. De medewerker kreeg het geld na veelvuldig mailen alsnog.
Vier medewerkers zagen dat vakantiedagen onjuist geregistreerd werden. In een kliniek in het westen van het land registreerde Evidensia afgelopen jaar Kerstmis en Nieuwjaarsdag niet als vrije dagen. Medewerkers die deze dagen vrij waren. leverden daardoor vakantiedagen in. Werknemers die wél werkten, kregen geen extra vergoeding.
Bij een medewerker die tijdelijk niet kon werken na een ongeluk, bleek een week van haar ziekteverlof – vergoed door een verzekeraar – als vakantie geregistreerd. Hierdoor werd een deel van haar verlof met vakantiedagen betaald, in plaats van met het geld van de verzekeraar. Toen ze haar manager erover aansprak, bood deze haar aan slechts twee dagen als vakantie te registreren. Pas nadat ze had gedreigd rechtshulp in te schakelen, kreeg ze al haar vakantiedagen terug.
Het lek in de virtuele werkomgeving van het Openbaar Ministerie is misbruikt door hackers. Daarom kan het mogelijk weken duren om het netwerk veilig te stellen en te verduidelijken óf en welke informatie is gestolen.
Dat blijkt uit een toespraak van Hans Moonen, directeur van IVOM, de ict-organisatie van het Openbaar Ministerie. Een opname van een korte interne toelichting van dinsdag is in handen van NRC. „We mogen en kunnen geen enkel risico lopen om weer met het internet te verbinden zónder dat we weten dat de actor uit ons netwerk is”, zegt Moonen daarin.
De Autoriteit Persoonsgegevens is telefonisch ingelicht over het eventuele datalek, vertellen Moonen en een andere OM-medewerker tijdens de digitale bijeenkomst voor IT-personeel. Ook heeft het Openbaar Ministerie aangifte gedaan van de computerhack op zijn systemen.
„Dat het groots en meeslepend is, is duidelijk”, vertelde Moonen de digitaal aanwezigen deze dinsdag. Groepen OM-medewerkers staan sinds vorige week woensdagavond „24 uur per dag aan” om de hack het hoofd te bieden.
Lees ook
Openbaar Ministerie is offline vanwege ernstige zorgen over ICT-beveiliging, datalek niet uitgesloten
Offline
Het OM ging donderdagavond 17 juli offline wegens grote zorgen over de beveiliging van haar digitale werkomgeving. In de software die het OM daarvoor gebruikt, Citrix Netscaler, zit een fout. Als hackers die uitbuiten, kunnen ze toegang krijgen tot die beveiligde systemen.
Het OM is woensdagavond 16 juli om 20.00 uur door het Nationaal Cybersecurity Centrum (NCSC) ingelicht over de kwetsbaarheid in Citrix, zegt Moonen. Aanleiding, zegt hij, was een „gerichte scan” van het NCSC naar de kwetsbaarheid in Citrix. Dat lek had het OM gedicht, zegt Moonen. „Desondanks zag het NCSC aanleiding om ons daarover te contacten.”
Vervolgonderzoek, dat de ernst van het lek duidelijk moest krijgen, duurde vervolgens te lang. Iedere minuut dat een hacker toegang heeft tot de interne systemen, kan schadelijk zijn. Moonen: „Het duurde zo lang tot we inzicht kregen in de compromittatie van onze omgevingen, dat we donderdagavond het besluit hebben genomen om de systemen af te koppelen.”
In de tijd dat het OM offline is, wordt het netwerk schoongeveegd. Naast de medewerkers hebben ook de hackers dan geen toegang meer
Uit de eerste resultaten van het interne onderzoek van dit weekend, bleek vervolgens dat hackers daadwerkelijk de systemen zijn binnengedrongen, zegt Moonen. „Op basis van die eerste scans is duidelijk geworden dat ook aan de binnenkant compromittatie heeft plaatsgevonden.”
Lees ook
Digitale werkomgeving Openbaar Ministerie nog steeds uit de lucht
In de tijd dat het OM offline is, wordt het hele netwerk systematisch schoongeveegd, terwijl de hackers geen informatie kunnen buitmaken. Dat kan weken duren, zegt Moonen. Hij telde vijftienhonderd computerservers binnen het OM – een automatische beveiligingsscan duurt volgens hem zo’n vier uur. „Dat is ook de aanleiding dat we gisteren hebben gecommuniceerd dat dit echt nog weken gaat duren.”
De kwetsbaarheid in Citrix Netscaler werd 17 juni bekend. Inmiddels is duidelijk dat de kwetsbaarheid al enkele dagen later uitgebuit kon worden. Een aanwezige werknemer vraagt hoeveel tijd er zat tussen de bekendmaking van het softwarelek, en het dichtzetten van het lek (‘patchen’). „Die informatie is bekend”, zegt de moderator van het gesprek, „maar delen wij op dit moment nog niet.”
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data95837864-032249.jpg)
:format(webp)/s3/static.nrc.nl/bvhw/files/2023/01/web-1101culuslu2.jpg)
