De achterstanden die bij het Openbaar Ministerie zijn ontstaan door de inbraak op Citrix-servers zijn nog altijd niet weggewerkt. Dat laat demissionair minister Van Oosten van Justitie en Veiligheid weten in antwoord op Kamervragen van D66. Wanneer de zaak volledig is hersteld, kan de minister nog niet zeggen.

Het OM besloot op 17 juli zijn interne systemen uit voorzorg volledig van het internet los te koppelen nadat het NCSC meldde dat mogelijk misbruik was gemaakt van een kwetsbaarheid in Citrix, het platform waarmee medewerkers op afstand kunnen werken.
Volgens Van Oosten had het abrupt offline halen van het systeem grote gevolgen voor de dagelijkse operatie. Medewerkers konden wekenlang niet thuiswerken, wat leidde tot vertragingen in dossiers en een nijpend tekort aan beschikbare werkplekken. De minister erkent dat dit een forse impact heeft gehad op het personeel. Vanaf 16 oktober konden de meeste medewerkers weer op afstand inloggen, maar de maanden ervoor moesten afzonderlijke OM-onderdelen zelf oplossingen zoeken, bijvoorbeeld door te werken in shifts.

Oplopende werkdruk

D66-Kamerlid Sneller vroeg de minister ook naar signalen over oplopende werkdruk. Van Oosten bevestigt dat de werkdruk aanzienlijk is toegenomen door de beperkte toegang tot systemen en de noodgedwongen herinrichting van werkzaamheden. Binnen de organisatie is volgens hem veel aandacht voor ondersteuning van personeel, maar de gevolgen van de langdurige verstoring zijn duidelijk merkbaar.
Het OM werkt inmiddels aan het wegwerken van de opgelopen achterstanden, maar een concrete verwachting over de duur daarvan ontbreekt nog. De minister benadrukt dat het om een complexe operatie gaat die zorgvuldig moet worden uitgevoerd, mede omdat veel processen binnen het OM juridisch gevoelig zijn en nauwkeurig moeten worden gedocumenteerd.
Eerder deze maand kondigde Van Oosten aan dat een onafhankelijke commissie van deskundigen zal worden aangesteld om het incident te evalueren. Die commissie onderzoekt onder meer hoe het OM heeft gereageerd, welke risico’s zijn onderkend en hoe het hersteltraject is ingericht. De uitkomsten moeten inzicht geven in mogelijke verbeterpunten voor de digitale weerbaarheid van de organisatie.