De relatie tussen de overheid en Fox-IT was onderwerp van discussie in 2014, toen het Delftse bedrijf werd overgenomen door de Britse NCC Group. In de Tweede Kamer en de media werden vragen gesteld over het risico dat Nederlandse staatsgeheimen hiermee in buitenlandse handen kunnen komen. De vragen werden destijds opgeworpen, maar zijn eigenlijk nooit beantwoord. Het is natuurlijk ook de vraag of de Nederlandse overheid niet te afhankelijk is van het Delftse bedrijf.

Buro Jansen & Janssen heeft de afgelopen jaren via de Wet Openbaarheid van Bestuur informatie boven tafel proberen te krijgen over de relatie tussen de Nederlandse overheid en Fox-IT. Dit is niet eenvoudig door lange procedures, een gebrek aan transparantie van overheidszijde en zelfs een actieve rol van Fox-IT om informatie geheim te houden. Zo adviseert Fox-IT het Ministerie van Economische Zaken bepaalde informatie niet openbaar te maken omdat dit “de belangen van De Staat, klanten, partners, relaties en medewerkers Van Fox-IT en Fox-IT zelf onevenredig zal of kan schaden.” Het Ministerie neemt de suggesties van Fox-IT over.

Buro Jansen en Janssen brengt in dit onderzoek de relatie tussen de Nederlandse overheid en Fox-IT in kaart. De relatie is innig. Er zijn personele banden en korte lijnen tussen de overheid en het bedrijf. Fox-IT wordt voor uiteenlopende opdrachten ingehuurd. Niet alleen voor onderhoud en beveiliging van de digitale infrastructuur van ministeries en andere overheidsinstanties, maar het bedrijf speelt ook een belangrijke rol in de nationale veiligheid.

Het is ook opvallend dat Fox-IT een uitzonderingspositie heeft weten te bemachtigen. Het neemt niet alleen aan actieve rol in de beantwoording van Wob-verzoeken en welke informatie door de overheid over het bedrijf openbaar wordt gemaakt. Ook heeft het bedrijf een uitzonderingspositie bedongen ten aanzien van de bedrijfsaansprakelijkheid in de Algemene Rijksvoorwaarden bij de aanbesteding van overheidsopdrachten.

Nette mensen, ex-justitie

De nauwe banden tussen Fox-IT en de Nederlandse overheid kunnen niet los worden gezien van de personele banden. De twee oprichters van het bedrijf, Ronald Prins en Menno van der Marel, kennen elkaar van het gerechtelijk laboratorium van het Ministerie van Justitie, de voorloper van het NFI (Nederlands Forensisch Instituut), waar zij beiden in de jaren 90 werken.

Ook Hans Henseler, afdelingshoofd computeronderzoek bij het gerechtelijk laboratorium en in de jaren 90 baas van Prins en van der Marel, treedt jaren later (in 2010) toe tot Fox-IT. Als directeur van Fox-IT profileert Prins zich tot cybersecurity expert van Nederland. Niet alleen de overheid gaat bij Prins te rade. Ook in de media mag hij regelmatig bij talkshows en actualiteitenprogramma’s aanschuiven.

De banden tussen de overheid en het bedrijf betreffen niet alleen het NFI, maar ook de AIVD (Algemene Inlichtingen en Veiligheidsdienst). Prins werkt in 1998-1999 ook nog korte tijd bij de BVD (Binnenlandse Veiligheidsdienst), de voorloper van de AIVD.  Na de verkoop van Fox-IT aan de Britse NCC Group in 2014 blijft Prins aanvankelijk nog aan als directeur, maar in 2018 keert hij terug naar de overheid. Hij wordt benoemd tot lid van de TIB (Toetsingscommissie Inzet Bevoegdheden), de commissie die toezicht houdt op de Nederlandse inlichtingendiensten.

De huidige directeur van Fox-IT, Inge Bryan, die begin 2021 in dienst trad van Fox-IT, heeft ook een verleden bij de AIVD. Vervolgens wordt zij verantwoordelijk voor Team High Tech Crime (THTC) van de Nationale Politie en vanaf 2018 cybersecurity-directeur van Deloitte Risk Advisory Nederland.

Deloitte is net als Fox-IT actief bij de beveiliging van de vitale infrastructuur, waaronder die van de overheid. Beide bedrijven kennen elkaar ook als partners van The Hague Security Delta, een samenwerkingsverband op het gebied van IT- en databeveiliging. Ronald Prins was een van de initiatiefnemers en penningmeester, Inge Bryan nam deel aan de adviesraad van het netwerk.

In een interview in MTsprout van 15 april 2014 zegt Prins dat de overheid de belangrijkste klant is van het Delftse bedrijf. Veertig procent van de omzet van het bedrijf zou van de overheid afkomstig zijn. Twee factoren hebben volgens hem geholpen bij het smeden van de relatie tussen Fox-IT en de overheid. Ten eerste natuurlijk de personele banden met het NFI. Ook na 1999 vertrekken medewerkers van het NFI regelmatig naar het Delftse bedrijf, en omgekeerd.

Prins verwijst daarnaast naar de overname van Philips Crypto in 2003, het onderdeel van Philips dat zich bezighield met de ontwikkeling van cryptografische producten. “Daardoor hadden we ineens de mensen en de technologie in huis om staatsgeheimen te beschermen,” aldus Prins.

Volgens Prins had het bedrijf geen concurrentie te duchten van andere bedrijven. “Als je naar de concurrentie in het high end segment kijkt, hebben we daar in Nederland nog altijd niet van te duchten,” zegt Prins. Fox-IT kreeg zelfs een voorkeursbehandeling door de overheid door de afwezigheid van aanbestedingsprocedures.

“Met aanbestedingsprocedures hebben we vrijwel niet te maken, de overheid komt direct naar ons toe. Nog steeds. Dat komt omdat het erg lastig is in Nederland een tweede Fox-IT op te starten. Probeer maar eens hackers te vinden die de strijd met ons aankunnen. De beste die je in Europa kan vinden, hebben we al in huis,” volgens de toenmalig directeur Prins in 2014.

De goede relatie van Fox-IT met de overheid wordt niet alleen door Prins zelf gememoreerd. Ton Fintelman, beveiligingsautoriteit (BVA) bij het Ministerie van Justitie en Alfons Lammerts van Bueren, senior-beleidsmedewerker bij de Dienst Justitiële Inrichtingen vatten de verhouding tussen de overheid en het bedrijf in de Fox-IT nieuwsbrief van mei 2006 als volgt samen: “Fox-IT wordt gezien als betrouwbare en kundige partner onder het motto ‘nette mensen, ex-justitie’.” Fintelman geeft tevens aan “blij te zijn dat Fox-IT in 2003 de unieke cryptotechnologie van Philips overnam.”

De innige relatie met de Nederlandse overheid en de kennis van Philips Crypto hebben voor het Delftse bedrijf deuren geopend. Niet alleen bij de overheid, maar ook bij bedrijven zoals T-Mobile en koepelorganisaties zoals de NVB (Nederlandse Vereniging van Banken). In het MTsprout-interview zegt Prins dat Fox-IT van alles levert van “beveiligd bellen, bestrijding van computervirussen, het detecteren van hacks, authenticatie, het traceren van kinderporno, tot de versleuteling van staatsgeheimen.”

De goede relatie met de Nederlandse overheid zal ook hebben geholpen bij de internationale groei van het bedrijf. Vanaf 2006 wordt Fox-IT steeds meer internationaal actief. Het richt zich met name op Europa, het Midden-Oosten, Rusland en India.

Fox-IT huisleverancier overheid

 Fox-IT wordt voor de meest uiteenlopende opdrachten door de Nederlandse overheid ingehuurd. Het gaat onder meer om onderhoud en beveiliging van de digitale infrastructuur van ministeries.

Zo blijkt uit via de Wob openbaar gemaakte documenten dat Fox-IT door het Ministerie van Economische Zaken in de periode 2008-2013 voor uiteenlopende zaken wordt gevraagd. In oktober 2008 wordt het bedrijf gevraagd om een offerte uit te brengen voor “het testen van software en hardware voor de veiling van frequentieruimte 2,6 GHz.” Onduidelijk is of er ook andere bedrijven worden benaderd. Fox-IT krijgt de opdracht.

In februari 2010 verkrijgt het bedrijf een opdracht van het Agentschap Telecom, onderdeel van het Ministerie, en in juni dat jaar traint het Delftse bedrijf medewerkers in het ‘rechercheren op het Internet.’ De opdracht is onderhands aanbesteed. Uit de Wob-documenten wordt niet duidelijk waarom het Ministerie niet kiest voor openbare aanbesteding.

Ook in de hierop volgende jaren wordt Fox-IT door het Ministerie van Economische Zaken voor verschillende opdrachten ingehuurd. In maart 2011 voor een security audit, in augustus en november 2011 voor projecten rond een ´Audit veilingwebsite 2012´, en in het najaar van 2012 voor het ´project ER – Torenvalk´ en een training voor medewerkers.

Op 5 april 2013 ondertekenen het Ministerie van Economische Zaken en Fox-IT een opdrachtbevestiging voor niet nader gespecificeerde ´diensten, aanvullende diensten, nader onderzoek en overige diensten´. In dezelfde maand volgt een verzoek om een offerte voor een pentest (een test om de kwetsbaarheid van computersystemen te onderzoeken) en in mei en juni 2013 volgen opdrachten voor het project: ‘FoxCERT – Blue Lagoon’. FoxCERT is de afdeling van het bedrijf dat zich bezighoudt met beveiligingsincidenten, ‘Emergency Response & Investigations Service.’

De lijst is niet volledig. Net als andere overheidsinstanties heeft het Ministerie niet alle documenten openbaar gemaakt, zoals blijkt uit de inventarislijst die bij de beantwoording van de Wob is bijgevoegd.

Fox-IT wordt door het Ministerie van Economische Zaken vooral ingehuurd voor werkzaamheden rond het onderhoud van de digitale structuur van het ministerie. Dit is ook bij andere ministeries en overheidsinstanties het geval. De samenwerking gaat in veel gevallen echter verder.

In de loop der jaren is Fox-IT een steeds belangrijker rol gaan spelen in de nationale veiligheid en werkt hierin samen met verschillende overheidsinstantie. Ton Fintelman van het Ministerie van Justitie spreekt in mei 2006 al over de samenwerking tussen Justitie en Fox-IT die zover gaat dat het ministerie “zelfs recherchewerk aan Fox-IT uitbesteedt.”

De samenwerking tussen de overheid en het Delftse bedrijf inzake nationale veiligheid wordt niet alleen duidelijk bij het Ministerie van Justitie, maar ook in ontwikkeling van de relatie tussen het Delftse bedrijf en de Nationale Politie.

Externe Politie-eenheid

Fox-IT werkt al sinds het begin van deze eeuw samen met de Nederlandse politie. Het is duidelijk dat de banden met het NFI een belangrijke rol hebben gespeeld bij het ontstaan van deze relatie. Toenmalig directeur Ronald Prins zegt hierover in april 2014 in MTsprout: “Wat ook meehielp, is dat we door ons werk voor het Nederlands Forensisch Instituut al warme contacten met de politie onderhielden. Daarvoor hebben we in onze startersjaren onder meer geholpen bij het forensisch onderzoek naar Etienne Urka. Ook hebben we een aantal keren de laptops van politieteams beveiligd.”

De samenwerking met de politie begon bescheiden in september 2001 met de aanwezigheid van Fox-IT op de Politievak, een vakbeurs voor politie en beveiliging. In de jaren hierna raakt het bedrijf betrokken bij vertrouwelijke politie-informatie, interceptie en uiteindelijk recherchewerk. In 2003 ontvangt Fox-IT Group een POB (Particulier Onderzoeksbureau) nummer van het Ministerie van Justitie: POB 824. Particuliere beveiligingsorganisaties of recherchebureaus moeten hier een vergunning voor aanvragen.

In juni 2004 schrijft het bedrijf in haar nieuwsbrief ‘Fox-IT Nieuws’ over het bedrijfsonderdeel Forensic IT: “Het forensische bedrijfsonderdeel van Fox-IT is dus uitgegroeid tot een volledige particuliere recherchetak, waarbij de digitale sporen altijd bijzondere aandacht blijven verdienen, maar de traditionele recherchetaken mogen niet over het hoofd worden gezien.”

In september 2005 bereikt de relatie tussen Fox-IT en de politie een ander niveau. Het Delftse bedrijft levert een systeem waarmee politie informatie landelijk veilig kan worden ontsloten. “Fox-IT heeft de betreffende politieregisters van alle politieregio’s, de nationale recherche en de bijzondere opsporingsdiensten hiervoor met elkaar verbonden,” aldus Fox-IT in haar nieuwsbrief van december 2005. Volgens Fox-IT werden “aan deze koppeling zeer hoge veiligheidseisen gesteld aangezien het hierbij om zeer vertrouwelijke informatie gaat, die onder meer is aangeleverd door politie-informanten.”

Na het beveiligen van door politie-informanten aangeleverde informatie is het voor het bedrijf een kleine stap naar het zelf-verzamelen van informatie. Die stap zet Fox-IT in 2010. “The Dutch police have recently purchased FoxReplay Analyst”, schrijft het bedrijf in november 2010 in haar nieuwsbrief. FoxReplay is interceptie-apparatuur om het internetverkeer al dan niet ‘real time’ te analyseren. Volgens het bedrijf heeft de politie de software al in gebruik en worden agenten getraind in het gebruik hiervan.

Toenmalig directeur Ronald Prins zegt op 15 april 2014 in het interview in MTsprout: “Verder is de keuze om afluistersoftware te ontwikkelen een hele goede geweest. Op een dag klopte een kennis bij me op de deur met dat idee, en toen zijn we het gewoon gaan doen. Dat heeft ons veel omzet opgeleverd.”

Na de aanschaf van FoxReplay door de Nederlandse politie in 2010 neemt Fox-IT in hetzelfde jaar deel aan het oprollen van het zogenaamde Bredolab netwerk. Vanuit dit netwerk van computerservers in Nederland zouden miljoenen computers in de hele wereld geïnfecteerd worden met malware.

Fox-IT sluit samen met de THTC (Team High Tech Crime) van de landelijke politie, het NFI, Govcert (het computer ondersteuningsnetwerk van de Nederlandse overheid), het openbaar ministerie en hostingprovider Leaseweb 143 computerservers van het internet af. Volgens berichtgeving in de media speelde Fox-IT een belangrijke rol in de operatie.

Het succes van deze samenwerking wordt door sommige onderzoekers overigens betwijfeld. Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de TU Delft zegt op 2 november 2010 in Computable dat “het Bredolab-netwerk nooit is opgerold.”

Volgens de wetenschapper werden weliswaar “op maandag 25 oktober de servers uitgeschakeld waarop de commando- en controlesoftware van dit botnet draaide,” maar volgens de hoogleraar bleven “de bots in het netwerk gewoon in de lucht.” Van Eeten stelt zelfs dat “de KLPD het aantal machines dat door het botnet is geïnfecteerd met een factor tien overdrijft.”

Succesvol of niet, Fox-IT heeft zijn positie in het recherchewerk verstevigd. Een jaar later, in 2011, leidt het bedrijf een onderzoek naar een hack bij het bedrijf DigiNotar. DigiNotar geeft digitale certificaten uit die echtheid garanties moeten bieden. Klanten van DigiNotar zijn, naast de Belastingdienst, ook bedrijven als Google en Microsoft.

Fox-IT wordt door DigiNotar ingehuurd om het onderzoek naar de hack uit te voeren. Het is opvallend dat DigiNotar kiest voor het inhuren van de private onderneming Fox-IT. DigiNotar wendt zich niet tot de politie (THTC) of het NCSC (Nationaal Cyber Security Centrum), dat onder de NCTV (Nationaal Coördinator Terrorisme en Veiligheid) valt, en in Nederland als nationale emergency reponse dienst fungeert.

B.V. Staatsgeheimen: Fox Crypto B.V.

De overname van een deel van Philips Crypto in 2003 is een belangrijke stap in de ontwikkeling van Fox-IT. Het opent deuren bij de Nederlandse overheid, met name rond zaken betreffende de nationale veiligheid. Het Delftse bedrijf kondigt dit bij de overname eigenlijk zelf al aan.

In haar persbericht van 6 november 2003 met de kop “Fox-IT levert door overname nu ook staatsgeheim beveiliging,” zegt het bedrijf zich ook op de markt van de “bescherming van staatsgeheimen” te begeven en producten voor “het beveiligen van de opslag en communicatie van staatsgeheimen” te ontwikkelen.

Hiermee wordt de afhankelijkheid van de Nederlandse overheid van Fox-IT groter. Volgens het bedrijf zelf zijn “met name de Ministeries van Defensie en Buitenlandse Zaken gebruikers van dit soort geavanceerde cryptografische oplossingen.”

Het gaat bijvoorbeeld om de beveiliging van de notulen van de Ministerraad en – in samenwerking met het Zweedse bedrijf Sectra –  de beveiliging van telefoons van leden van het kabinet en hoge ambtenaren.

De samenwerking met Sectra is niet los te zien van de overname van Philips Crypto. Voor die overname sluit het Delftse bedrijf in 2003 een overeenkomst met de Zweden. In de vijfde Fox-IT nieuwsbrief van oktober 2003 schrijft het bedrijf: “Fox-IT heeft een unieke overeenkomst gesloten met het Zweedse bedrijf Sectra. Dit bedrijf is als enige op de wereld in staat gebleken om een gsm te ontwikkelen die door de NATO is goedgekeurd tot op het niveau van NATO Secret.”

In het artikel maakt Fox-IT ook duidelijk op welke wijze zij commercieel belang hebben bij deze overeenkomst: “De nieuwste ontwikkeling van Sectra is een losse bluetooth crypto module. Via dit kleine kastje en een normale mobiele telefoon die bluetooth ondersteunt, kunt u gesprekken voeren die door niemand af te luisteren zijn.” Fox-IT gaat de bluetooth crypto module aanbieden.

Het bedrijf brengt het werk met betrekking tot staatsgeheimen onder in een zelfstandige onderneming: Fox Crypto B.V. Dit bedrijf blijft honderd procent eigendom van Fox-IT.

Een paar jaar later, eind 2007, gaat Fox-IT samen met Sectra beveiligde telefoons leveren aan leden van het kabinet en hoge ambtenaren. De website electrospaces.net meldt hierover: “The partnership between Fox-IT for the management and Sectra as the supplier of the hardware was established in 2007 by the VECOM (Veilige Communicatie) contract. Under this contract all Dutch cabinet members and high-level officials of their departments are provided with secure phones.”

Een analyse van een foto van de telefoons van premier Rutte uit 2012 door dezelfde website duidt op het gebruik van een Sectra Tiger XS Office. In 2003 adverteerde Fox-IT na de overeenkomst met Sectra al met de Tiger XS op haar website. Bijna tien jaar later gebruikt de Nederlandse premier de telefoon uit de Fox-IT advertentie nog altijd.

Hacktests voor Buitenlandse Zaken

In 2003 leveren de overname van Philips Crypto en de overeenkomst met Sectra Fox-IT een unieke positie op ten opzichte van de Nederlandse overheid, met name rond kwesties van nationale veiligheid. Fox-IT noemde in haar persbericht bij de overname van Fox Crypto in 2003 al dat “met name de Ministeries van Defensie en Buitenlandse Zaken gebruikers zijn van dit soort geavanceerde cryptografische oplossingen.”

In de loop der jaren wordt het Delftse bedrijf regelmatig ingehuurd door het Ministerie van Buitenlandse Zaken. Zo gaat het bedrijf onder andere smartphone hack tests voor het Ministerie uitvoeren. Op 5 maart 2009 aanvaardt Fox-IT de ‘Opdracht Hack test Iphone’. Het ministerie vraagt Fox-IT: “Voor deze Iphone dient een hack test uitgevoerd te worden. De hacktest zal zich met name concentreren op de DME (Dynamic Mobile Exchange).” In juni 2010 verzoekt Buitenlandse Zaken om een “hertest DME Iphone.”

Een jaar later, eind 2011, is de BlackBerry aan de beurt. “Op dit moment heeft de gebruiker daarbij weinig vrijheden om van de functionaliteiten van het BlackBerry toestel gebruik te maken. Het Ministerie is voornemens om hier verandering in aan te gaan brengen door gebruik te maken van BlackBerry Balance; Balance maakt een scheiding tussen ‘privé’ en ‘zakelijk’ mogelijk op een BlackBerry toestel. Dit betekent meer concreet dat op een BlackBerry toestel een ‘container” met BZ-Outlookinformatie komt te staan”, schrijft een ambtenaar van het Ministerie.

Het werk voor het Ministerie van Buitenlandse Zaken bestrijkt echter meer dan alleen de beveiliging van de communicatie. Fox-IT wordt door het Ministerie ook regelmatig ingehuurd voor opdrachten met betrekking tot de gehele digitale infrastructuur, zoals versleuteling, beveiliging, onderzoek aan systemen en datarecovery.

Op 8 september 2010 wordt het ondersteuningscontract van het Ministerie met Fox-IT gewijzigd van “het ‘oude’ supportcontract naar het strippenkaart contract”, zo blijkt uit openbaar gemaakte documenten. Onderdelen van de contract wijziging zijn onder andere “de ‘Support Fox Fort File Encryptor (FFFE)’ en ‘Support Fox Random Card (FRC)’ die worden gewijzigd in telefonische ondersteuning voor … problemen. Daarnaast valt de reparatie en het herladen van de kaarten onder het strippenkaart contract net als de data retrieval van defecte harde schijven en de ondersteuning bij de jaarlijkse sleutelwisseling.”

Naast versleutelingswerk vraagt het Ministerie Fox-IT in 2011 om onderzoek te doen naar ´Remote Toegang Diensten´. Het Ministerie wil de beveiliging van de ‘Citrix Access Gateway´ onderzocht hebben. In 2012 vraagt Buitenlandse Zaken om de beveiliging van alle internettoegang te onderzoeken: “De standaard IT-diensten bestaan uit de volgende generieke diensten: E-mail, kantoorautomatiseringspakket, intranet, internet op de Werkplek, opslagcapaciteit op netwerk, overige standaard applicaties, printfaciliteiten, backup en recovery van opgeslagen gegevens.”

De relatie tussen het Ministerie van Buitenlandse Zaken en Fox-IT is dusdanig dat het Ministerie zich ook voor de aanschaf van middelen en workshops tot het Delftse bedrijf wendt. In 2013 kan het NBV (Nationaal Bureau voor Verbindingsbeveiliging) van de AIVD, dat de Rijksoverheid ondersteunt bij de beveiliging van bijzondere informatie, zoals staatsgeheimen, geen Fort Fox File Encryptor (FFFE) Cards leveren. Het ministerie besluit in alle haast 150 FFFE Cards direct bij Fox-IT te kopen.

Ditzelfde herhaalt zich bij contraspionage en informatiebeveiliging. In hetzelfde jaar wordt Fox-IT ook ingehuurd voor het doorlichten van het Ministerie met betrekking tot spionageweerbaarheid, `Assessment Spionageweerbaarheid´ en het geven van een workshop informatiebeveiliging.

Geheim en confidentieel werk voor Defensie

Naast het Ministerie van Buitenlandse Zaken noemt Fox-IT in haar persbericht van 2003 ook het Ministerie van Defensie als potentiele gebruiker van haar cryptografische producten. Ook dit Ministerie huurt het Delftse bedrijf sinds 2006 in voor verschillende opdrachten. Defensie geeft echter geen openheid over het type werkzaamheden. In de documenten is veel onleesbaar gemaakt, sommige informatie is als geheim geclassificeerd en sommige informatie als confidentieel.

Wel wordt uit de Wob documenten duidelijk dat Fox-IT veel te maken heeft met de MIVD (Militaire Inlichtingen- en Veiligheidsdienst). In verband met de verantwoordelijkheid voor de beveiliging van Nederlandse staatsgeheimen moet Fox-IT allerlei aanvullende maatregelen nemen, zoals verhoogde screening, extra beveiliging en incidentrapportages aan de MIVD.

Zo is het Hoofd Afdeling Contra-inlichtingen en Veiligheid van de MIVD verantwoordelijk voor de screening en benoeming van beveiligingsfunctionarissen bij Fox-IT en Fox Crypto B.V. Er is geregeld contact tussen de directeur van het Delftse bedrijf en de MIVD, zoals bijvoorbeeld in juli 2007: “Naar ik heb begrepen heeft op 18 juli 2007 tussen jou, … een gesprek plaatsgevonden om de overdracht te bespreken en … te introduceren. Tijdens dit gesprek is geen bezwaar gerezen vanuit alle partijen ten aanzien van de vervulling van de functie van (sub)beveiligingsfunctionaris door …”

Naast deze screening meldt Fox-IT incidenten over pogingen tot inbraak, het afgaan van het alarm bij het Bureau Industrieveiligheid van de MIVD en indicaties van verdachte activiteiten. Zo meldt Fox-IT op 15 januari en 17 mei 2006 pogingen tot inbraak. Op zondag 24 september 2006 een “melding door het alarmsysteem van de businessunit Fox Crypto.” Drie dagen later meldt een Fox-IT medewerker dat hij een man van middelbare leeftijd foto’s heeft zien maken van het pand van Fox-IT.

Onderdeel van de nationale veiligheidsstructuur

Fox-IT heeft zich vanaf 2003 ontwikkeld als onmisbaar onderdeel van de nationale veiligheid. Dit blijkt niet alleen uit haar werk voor de politie en de Ministeries van Buitenlandse Zaken en Defensie, maar ook uit haar intensieve relatie met de NCTV (Nationaal Coördinator Terrorisme en Veiligheid), onderdeel van het Ministerie van Justitie en Veiligheid.

Fox-IT wordt door de NCTV onder meer ingehuurd voor onderhoud en beveiliging van de digitale infrastructuur, zoals hardware, opslagcapaciteit, backups, webruimte, migratie en trainingen, met de bijbehorende servicecontracten.

In 2009 is er sprake van ‘de levering (en installatie) van de goederen/diensten zoals vermeld op bijgevoegde bestellijst.’ Ook in 2009 verzorgt Fox-IT diverse trainingen voor NCTV-medewerkers. In april 2012 gaat het om de huur van hardware voor ´CC-NCTV Voorstel Traffic Assesment´. In de zomer van 2012 huurt de terrorismecoördinator Fox-IT in voor de ´levering van de goederen en diensten … ten behoeve van de backup- en uitwijklocatie van de NCTV´. En eind 2012 voor ´twee splinternieuwe … voor FTP en SMTP´ en ´analyse omvang apparatuur aan internet´.

De NCTV huurt het Delftse bedrijf niet alleen in voor onderhoud van de digitale infrastructuur, maar werkt ook met Fox-IT samen bij internationale oefeningen en beveiliging van internationale evenementen.

In maart 2013 wordt het bedrijf gevraagd voor de levering van programmatuur aan het NCSC (Nationaal Cyber Security Centrum), een onderdeel van de NCTV. De apparatuur wordt gebruikt tijdens de wereldwijde oefening Cyber Storm IV. De oefening is onderdeel van de Cyber Storm oefeningen van het Amerikaanse Department of Homeland Security, waarbij de weerbaarheid van overheden tegen aanvallen op het internet worden getest.

Een jaar later wordt Fox-IT door de NCTV zelfs gevraagd om voor de NSS 2014 (Nucleair Security Summit) ‘een extra cyber-weerbaarheid-inventarisatie uit te voeren’. Tijdens de NSS 2014 op 24 en 25 maart 2014 zijn grote delen van Den Haag en omgeving niet toegankelijk voor het publiek door het verblijf van vele regeringsleiders waaronder de Amerikaanse president. Vrijheid van meningsuiting en het recht op manifestatie is in die periode verregaand ingeperkt. Ook wordt het Delftse bedrijf gevraagd om ‘een spoedonderzoek op de netwerkdata van de online accreditatie omgeving van de NSS’ uit te voeren.

Ook het Ministerie van Buitenlandse Zaken roept tijden de NSS 2014 de hulp van Fox-IT in voor de opdracht ‘NSS red teaming.’ Het bedrijf wordt gevraagd de weerbaarheid van het ministerie te testen tegen fysieke en digitale dreigingen, zowel van binnenuit als van buitenaf. Op 17 februari 2014 wil Fox-IT voor deze opdracht “de beschikking krijgen over een aantal accounts voor de website.”

Tevens geeft het Delftse bedrijf aan dat ze “vanaf vanavond ook BZ medewerkers gericht aanvallen. … We willen graag aanstaande vrijdag bij jullie intern testen. Enerzijds vanaf een systeem van een reguliere BZ medewerker (geen IT beheerder), anderzijds vanaf een zelf meegebracht systeem wat we aan jullie netwerk koppelen.” De oefening duurt tot in maart. Op 14 maart 2014 meldt Fox-IT dat “de relevante logging op onze C&C server helaas is gecrashed. We hebben deze week wel een remote uninstall gedaan, dus de machine zou opgeschoond moeten zijn.” Wat de gecrashte server betekent voor het resultaat en de kwaliteit van het werk van Fox-IT is door het Ministerie van Buitenlandse Zaken niet openbaar gemaakt.

Soort standaardafwijking Rijksvoorwaarden voor Fox-IT

De opdracht aan Fox-IT voor de NSS 2014 bevat een opvallende passage. In het plan van aanpak schrijft de NCTV over het werk dat het Delftse bedrijf: “Hoewel Fox-IT leidend is bij het uitvoeren van de werkzaamheden, bestaat de mogelijk voor externen van de overheid, betrokken te worden bij de aanpak en eventueel uitvoering van de werkzaamheden.”

Fox-IT heeft dus een leidende rol bij de opdracht. Dit is op zichzelf al opmerkelijk. Het gaat echter verder. Het Delftse bedrijf bedingt speciale voorwaarden bij het verkrijgen van overheidsopdrachten.

De overheid hanteert bij het uitbesteden van opdrachten aan externe bedrijven de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten (ARVODI). Deze voorwaarden worden periodiek gewijzigd in 2008, 2011 en 2014. Uit openbaar gemaakte documenten wordt duidelijk dat Fox-IT regelmatig een uitzonderingspositie bedingt op de Rijksvoorwaarden. Dit is bijvoorbeeld het geval bij een offerte van Fox-IT Crypto (datum niet openbaar gemaakt) voor een opdracht bij de politie.

Hiervoor zijn in beginsel de Rijksvoorwaarden ARIV 2008 en ARVODI 2008 van toepassing. Fox-IT bedingt echter een aansprakelijkheidsbeperking. Het bedrijf levert de Dienst Operationele Ondersteuning (Meldpunt Cybercrime) een dienst, mogelijk een VPN-applicatie, maar wil niet aansprakelijk gesteld worden voor de geleverde dienst.

Het is op zich al opmerkelijk dat het bedrijf geen aansprakelijkheid accepteert voor de door het bedrijf geleverde dienst, maar daar blijft het niet bij. Fox-IT wijst de Rijksvoorwaarden af en hanteert in de offerte haar eigen voorwaarden. Het Delftse bedrijf schrijft de politie: “Algemene voorwaarden van het KLPD (Korps Landelijke Politiediensten red.), alsmede andere in de branche van het KLPD gebruikelijke voorwaarden, zijn niet van toepassing en worden door Fox-IT uitdrukkelijk van de hand gewezen, tenzij Fox-IT deze geheel of gedeeltelijk uitdrukkelijk schriftelijk heeft aanvaard. Een dergelijke aanvaarding kan niet worden afgeleid uit het onweersproken blijven van een mededeling van het KLPD dat deze de ICT Officevoorwaarden niet aanvaardt en zijn eigen voorwaarden van toepassing verklaart” (datum niet openbaar gemaakt).

Deze opstelling van Fox-IT is geen uitzondering. Het bedrijft stelt zich bij meer opdrachten voor de politie op een vergelijkbare wijze op. Bij een andere goedgekeurde offerte (datum niet openbaar gemaakt) wijst het bedrijf ook elke verantwoordelijkheid van de hand. “Fox-IT aanvaardt geen aansprakelijkheid ten aanzien van eventuele schade die direct of indirect voortvloeien uit de werkzaamheden die Fox Crypto BV uitvoert in opdracht van de opdrachtgever.”

Het Delftse bedrijf bedingt niet alleen bij de politie een aparte positie. Ook bij opdrachten voor de NCTV heeft Fox-IT bij de onderhandelingen voor opdrachten in 2014 “een soort standaardafwijking van ARVODI” weten te bedingen aldus een ambtenaar in een e-mail van 15 mei 2014.

Op 11 juni 2014 schrijft een ambtenaar van de NCTV een mail met het onderwerp ARVOD 2014: “Zou je dit met … kunnen kortsluiten? Hij geeft aan dat we normaal gesproken akkoord gaan met de voorwaarden van Fox-IT.” Al eerder, in e-mail van Fox-IT 19 september 2012, had Fox-IT aangegeven bij de “aansprakelijkheid en intellectueel eigendom een paar kanttekeningen plaatsen.” Het Ministerie van Justitie en Veiligheid heeft niet openbaar gemaakt welke kanttekeningen het bedrijf hier precies heeft.

Korte lijnen met overheid en kabinet

Fox-IT heeft een speciale positie bij de overheid. Dit blijkt niet alleen uit haar uitzonderingspositie bij de Rijksvoorwaarden, maar ook uit de korte lijnen met ambtenaren, ambassades, het kabinet en vakministers. Tijdens eerder onderzoek van Buro Jansen & Janssen naar Fox-IT kwam dit slechts zijdelings aan bod.

Zo vertelt Matthijs van der Wel, toenmalig Manager Business Development EMEA (Europe, Middle East and Africa) tijdens een zakenreis in 2007 in Dubai aan de Duitse zakenpartner AGT van Fox-IT dat hij “an urgent meeting with the Dutch government” heeft. Eerst moet hij daarvoor terug naar Nederland, later besluit hij te blijven en het overleg telefonisch te voeren. Wat de verkoopmanager van Fox-IT in het Midden-Oosten moet bespreken met het Nederlandse kabinet is niet openbaar gemaakt. Het is vreemd dat van der Wel deze informatie deelt met een twijfelachtige handelspartner als AGT.

In het buitenland vindt Fox-IT een gewillig oor bij de Nederlandse ambassades. Wanneer het bedrijf in 2007 voor verkoopactiviteiten in het Midden-Oosten besloten workshops geeft aan overheidsinstanties, militairen en inlichtingendiensten in onder meer Egypte, Syrië, Saoedi-Arabië en de Verenigde Arabische Emiraten, heeft Fox-IT afspraken met de Nederlandse ambassades in onder andere Saoedi-Arabië en Syrië. In Syrië een lunchafspraak een dag voor een workshop aan vertegenwoordigers van de Syrische overheid en inlichtingendiensten.

Het Delftse bedrijf trekt zelfs in 2011 samen op met twee Nederlandse overheidsinstanties, het NFI en TNO (Nederlandse Organisatie voor Toegepast natuurwetenschappelijk Onderzoek) bij de voorbereidingen van een Surveillance Lab in Saoedi-Arabië. Het Surveillance Lab behelst het opzetten van een landelijk netwerk van telefoon- en internetsurveillance onder verantwoordelijkheid van het Saoedische Ministerie van Binnenlandse Zaken.

In het MTsprout interview van april 2014 geeft voormalig Fox-IT directeur nog een ander voorbeeld van een korte lijn met de top van de Nederlandse overheid. Hij suggereert de toenmalige Minister van Defensie Jeanine Hennis-Plaschaert te hebben gepolst voor investeringen in de cyber security branche, waartoe ook zijn eigen bedrijf Fox-IT behoort. Prins zegt in het interview dat de minister “op dezelfde lijn lijkt te zitten als wij” (Fox-IT).

Als voorbeeld van die lijn noemt Prins het in die periode opgerichte The Hague Security Delta (HSD). Volgens Prins “kan dat uitgroeien tot een soort van Silicon Valley.” In de loop der jaren worden in de media echter vraagtekens gezet bij het succes van HSD. Het initiatief zou veel subsidie hebben ontvangen, maar niet veel hebben opgeleverd. Ook in de Haagse gemeenteraad zijn vragen gesteld over The Hague Security Delta.

De overheid doet wat Fox-IT wil bij de Wob

Fox-IT heeft een speciale positie bij de overheid. Door de personele banden en de verscheidenheid aan opdrachten waarvoor het Delftse bedrijf wordt ingehuurd zijn er korte lijnen. Opvallend bij die innige relatie tussen Fox-IT en de overheid is de actieve betrokkenheid van het bedrijf bij de beantwoording van Wob-verzoeken door bestuursorganen.

Buro Jansen & Janssen heeft in de loop der jaren veel Wob-verzoeken bij de overheid ingediend over haar relatie met Fox-IT. De overheid maakt in antwoord op die Wob-verzoeken enige documenten openbaar, maar veel documenten worden niet openbaar gemaakt en veel informatie is onleesbaar gemaakt. Dit is op zichzelf eerder regel dan uitzondering bij de beantwoording van Wob-verzoeken, maar bij Wob-verzoeken over Fox-IT is nog iets anders aan de hand. Het bedrijf heeft een actieve rol in de beantwoording van de Wob-verzoeken en zorgt er hiermee voor dat er nog minder informatie openbaar wordt gemaakt.

Bij verzoeken op grond van de Wet Openbaarheid van Bestuur kunnen derden in gelegenheid worden gesteld om een zienswijze te geven over de documenten die de overheid openbaar maakt. Fox-IT geeft niet alleen een zienswijze, maar bemoeit zich actief met de beantwoording en voegt zich in juridische procedures.

Naar aanleiding van de Wob-verzoeken zoekt toenmalig directeur Ronald Prins in 2014 direct contact met Jansen & Janssen. Het Delftse bedrijf is geïnformeerd over de ingediende WOB-verzoeken.

Het is op zich gebruikelijk dat bedrijven een zienswijze mogen indienen. Het is echter zeer opmerkelijk dat de overheid voor de zienswijze-fase Fox-IT informeert over de identiteit van de indiener van de Wob-verzoeken, omdat de privacy van indieners door de overheid conform Artikel 8 van de Wet Bescherming Persoonsgegevens beschermd dient te worden.

Na deze benadering heeft Buro Jansen & Janssen bij diverse Ministeries een Wob-verzoek ingediend over de wijze waarop de Wob-verzoeken over Fox-IT zijn afgehandeld. Het Ministerie van Economische Zaken maakt hierop documenten openbaar waaruit blijkt dat het bedrijf aanzienlijke invloed heeft bij de beantwoording van het bij het Ministerie ingediende Wob-verzoek over Fox-IT en welke informatie door het Ministerie wel en niet openbaar wordt gemaakt.

Fox-IT schrijft op 15 juli 2014: “Fox-IT stelt dat het overleggen van bepaalde documenten of onderdelen daarvan de belangen van De Staat, klanten, partners, relaties en medewerkers van Fox-IT en Fox-IT zelf onevenredig zal of kan schaden.”

Vervolgens bekijkt Fox-IT zelf de stukken en schrijft het Ministerie voor welke informatie niet openbaar gemaakt mag worden: “In de bijgevoegde documenten zelf is met een markeerstift aangegeven welke onderdelen van de betreffende documenten wat Fox-IT B.V: betreft niet geopenbaard kunnen worden. Deze onderdelen dienen dan ook deugdelijk te worden verwijderd of onherkenbaar te worden gemaakt.”

In een begeleidende brief bij de door Fox-IT met markeerstift bewerkte documenten concludeert het bedrijf tevreden: “Fox-IT heeft overigens ook begrepen dat op de documenten op de genoemde wijze zullen worden aangepast?”

Fox-IT heeft niet alleen een actieve rol tijdens de primaire en bezwaarfase van Wob-verzoeken, maar ook tijdens de beroepsfase. Zo wordt Fox-IT in 2017 door de rechtbank toegelaten als belanghebbende bij de behandeling van een in 2014 ingediend Wob-verzoek van Buro Jansen & Janssen bij de Nationale Politie. Het bedrijf mag als derde partij, naast de politie, optreden als verweerder.

De gang van zaken rond het Wob-verzoek is opmerkelijk. In 2014 vraagt Buro Jansen & Janssen openbaarmaking van alle documenten over de relatie van de politie met Fox-IT. Zoals gewoonlijk wil de politie zo min mogelijk openbaar maken. Fox-IT deelt dat standpunt.

Uiteindelijk worden er in maart 2018 na de beroepsfase enkele stukken openbaar gemaakt. In deze documenten is zelfs een deel van het briefhoofd van een van de documenten onleesbaar gemaakt. Boven een opdracht van ´Hardware support … Equipment March 2013 – June 2013´ staat ´Fox …, a Wholly-Owned Subsidiary of NetScout Systems, Inc.´

Na Fox moet Replay staan, Fox-IT verkoopt op 26 september 2011 FoxReplay aan het Amerikaanse bedrijf Netscout dat lange tijd nog als FoxReplay door Netscout wordt aangeboden. In de General Terms van de overeenkomst tussen landelijke eenheid van de politie en Netscout komt de naam van het Amerikaanse bedrijf niet voor, maar wordt er gesproken over FoxReplay al is Replay dan wel zwartgemaakt.

In 2010 schreef Fox-IT nog trots in haar nieuwsbrief: “The Dutch police have recently purchased FoxReplay Analyst.” Tien jaar later wil het bedrijf voorkomen dat haar naam gekoppeld wordt aan de afluister software.

Beantwoording van Kamervragen door Fox-IT

Fox-IT heeft dus veel invloed op welke informatie over het bedrijf door de Nederlandse overheid naar buiten wordt gebracht. Dit blijkt niet alleen uit de beantwoording van de Wob-verzoeken, maar bleek ook al eerder bij de beantwoording van Kamervragen in oktober 2011.

Op 17 oktober 2011 stelt Tweede Kamerlid El-Fassed Kamervragen over de export van internetfilters en aftaptechnologie door Nederlandse bedrijven aan de Minister van Economische Zaken. Uit openbaar gemaakte documenten blijkt dat Fox-IT de ministeriële antwoorden dicteert.

Op 27 oktober vindt er, naar aanleiding van de Kamervragen, een gesprek tussen het Ministerie en een aantal bedrijven, waaronder Fox-IT, plaats. Het Ministerie legt de concept-antwoorden op 21 november 2011 aan Fox-IT voor: “Ik wil u vragen om te bevestigen dat u akkoord kunt gaan met de vermelding van uw antwoorden zoals verwoord in antwoord 3. Ik heb de vrijheid genomen hier en daar een klein beetje te redigeren, maar heb getracht uw antwoorden zoveel mogelijk intact te laten.” Fox-IT is tevreden dat het ministerie haar tekst heeft overgenomen en antwoordt met een smiley: “Geen bezwaar. Voor zover dat bericht niet al binnen was gekomen.”

Fox-IT krijgt zijn zin. In de Kamerbrief van 18 januari 2012 worden de bedrijven die bij het gesprek aanwezig waren geciteerd. In de Kamerbrief wordt zeer summier naar Fox-IT verwezen in een zin, welke integraal afkomstig is uit de e-mail van het bedrijf aan het Ministerie van 26 oktober: “Fox IT is niet langer actief op het gebied van Lawful Interception. Alle activiteiten op dit gebied zijn overgenomen door het Amerikaanse bedrijf NetScout.”

Onevenwichtige relatie Fox-IT en overheid?

De verhouding tussen de Nederlandse overheid en het betrekkelijke kleine bedrijf Fox-IT is opmerkelijk te noemen. In de loop van een decennium hebben voormalig medewerkers van politie, justitie en inlichtingendiensten een bedrijf opgezet dat op allerlei niveaus voor de overheid werkt.

Fox-IT werkt samen met ministeries en andere overheidsinstanties bij een verscheidenheid van opdrachten. Zo werkt het samen bij opsporingsonderzoeken, bij het uitzetten van servers die voor criminele doeleinden worden gebruikt, beveiligt het staatsgeheimen, verzorgt het versleutelde communicatie, voert hacktests uit, wordt het ingehuurd voor de aanschaf van apparatuur, verzorgd het workshops, helpt het mee bij oefeningen van NAVO-partners, en is het betrokken bij de accreditatie van een internationale cyber conferentie waar de President van de Verenigde Staten aanwezig is.

De lijst aan overheidsopdrachten is zonder meer indrukwekkend. Het is echter ook een lijst die vragen oproept.

Het is ten eerste de vraag of de Nederlandse overheid te afhankelijk is van Fox-IT. Een vraag die na de overname in 2014 door de Britse NCC Group nog een andere dimensie heeft gekregen. Het is namelijk niet alleen de vraag hoe veilig Nederlandse staatsgeheimen zijn bij een bedrijf dat in buitenlandse handen is gekomen, maar het gaat ook om de veiligheid van allerlei andere door Fox-IT verzorgde diensten zoals versleutelde communicatie en hacktests.

De tweede vraag heeft betrekking op de onderhandelingspositie van Fox-IT bij het aannemen van opdrachten van de overheid. Het bedrijf heeft een innige relatie met de overheid, waarbij Fox-IT opdrachten krijgt zonder aanbesteding, een speciale positie heeft bedongen bij de Rijksvoorwaarden, een grote rol heeft bij de openbaarmaking van documenten en bij de beantwoording van Kamervragen.

Vloeit deze onderhandelingspositie en de daarbij gepaard gaande mogelijkheid om eisen te stellen voort uit de afhankelijkheidspositie van de overheid, de omvang en verscheidenheid van de opdrachten die het bedrijf uitvoert, de korte lijnen en personele banden met de overheid, oftewel de innige relatie tussen opdrachtgever en opdrachtnemer. Of werken er gewoon goede onderhandelaars bij het Delftse bedrijf?

De derde vraag draait om controle en toezicht op Fox-IT door de overheid. Deze vraag vloeit voort uit zowel de afhankelijkheid als de onderhandelingspositie. Is de Nederlandse overheid namelijk wel in staat om een bedrijf als Fox-IT te controleren bij de opdrachten die het voor de overheid uitvoert, maar ook bij het verstrekken van vergunningen die het bedrijf nodig heeft.

Over een van die vergunningen, exportvergunningen, gaat het onderzoek ‘Fox-IT en het Nederlandse exportbeleid voor dual-use goederen’ van Buro Jansen & Janssen van februari 2020. Dit onderzoek toont aan dat er in de praktijk geen sprake was van risicoanalyse om ongewenst eindgebruik te voorkomen, omdat de Afdeling Exportcontrole meer prioriteit gaf aan het faciliteren van de export van het Delftse bedrijf. Fox-IT verstrekt de Afdeling Exportcontrole nauwelijks informatie over de eindgebruikers van de te exporteren producten en overheid vraagt het bedrijf nauwelijks om informatie.

De relatie tussen de Nederlandse overheid en Fox-IT is dus in meerdere opzichten onevenwichtig. Dit klemt te meer daar zowel de overheid als Fox-IT, onder meer bij de beantwoording van WOB-verzoeken, de indruk wekken iets verborgen te willen houden.

– Artikel als pdf

– Fox-IT in Rusland (samenvatting)

– Fox-IT in Rusland (onderzoek)

– Fox-IT in Russia (summary)

– Het NFI en TNO werkten met Fox-IT aan een Surveillance Lab in Saoedi-Arabië tijdens de Arabische Lente

– Documenten bij het onderzoek naar Fox-IT

– Observant #77 / juni 2021 Fox-IT in Rusland (pdf)

– Onderzoek: Fox-IT in Rusland (pdf)