Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!  

Rubriek inlichtingen en recht december 2020

Jaarplan AIVD 2021

De minister van BZK heeft op 15 december 2020 de Tweede Kamer geïnformeerd over de hoofdlijnen van het jaarplan van de AIVD (Kamerstukken II 2020/21, 30977, nr. 158). Het volledige jaarplan is vanwege zijn inhoud staatsgeheim gerubriceerd. Een aantal punten wordt ter informatie door de minister uitgelicht.

De AIVD wil de samenwerkingen met de MIVD en andere ketenpartners versterken.  Door de COVID-19 pandemie is de spionagedreiging richting de farmaceutische en medische sector toegenomen. De dreiging van buitenlandse inlichtingenactiviteiten richting de Nederlandse samenleving is daarnaast onverminderd aanwezig. Het gaat hierbij zowel om spionage en ongewenste inmenging als heimelijke politieke beïnvloeding. Een aantal landen richt zijn inlichtingen- en beïnvloedingsactiviteiten met name op hun diaspora in Nederland. Deze ontwikkeling benadrukt volgens de AIVD het belang van de strafbaarstelling van spionage. Om Nederland in staat te stellen zich op effectieve wijze te kunnen weren tegen de dreiging vanuit Rusland en China zetten de MIVD en AIVD in op een gecombineerde inzet.

De AIVD benoemt verder de grote afhankelijkheid van digitale systemen die leidt tot grotere kwetsbaarheid van de Nederlands samenleving. De cyber gerelateerde inlichtingenposities van de AIVD vormen de basis voor het tijdig onderkennen van hoogwaardige (statelijke) dreigingen, en het adequaat voorkomen of tot een minimum beperken van schade die uit cyberaanvallen voortkomt. Wereldwijd vindt een bredere proliferatie van offensieve cyberprogramma’s plaats. In reactie hierop is de Cyber Intel/Info Cel (CIIC) opgericht, een samenwerkingsverband tussen de AIVD, MIVD, het Nationaal Cyber Security Centrum, de politie en het OM (zie ook Stcrt. 2020, 30702). De AIVD levert dreigingsinformatie, en combineert dat met advies over informatiebeveiliging in het digitale domein.

De AIVD wil zijn werkwijze verbeteren en streeft naar een gezamenlijke datahuishouding met de MIVD. Met dat systeem kan inzicht worden gegeven in de juridische status van gegevens, waarmee recht wordt gedaan aan de opmerkingen daarover in de voortgangsrapportages van de CTIVD. De AIVD benoemt in de jaarplanbrief ook het rapport van de onafhankelijke Wiv evaluatiecommissie Jones-Bos dat in 2021 zal verschijnen, alsmede een rapport van de Algemene Rekenkamer over de impact van de implementatie Wiv 2017 op de operationele slagkracht van de diensten. De AIVD heeft zich tot doel gesteld om mede naar aanleiding van deze rapporten en in navolging van het openbare beleid bulkdatasets dat in november 2020 is gepubliceerd, in 2021 over een aantal maatschappelijk relevante onderwerpen te voorzien in openbaar beleid om de maatschappij te laten zien hoe de AIVD de wet in de praktijk invult.  

Eén van de initiatieven waar de AIVD in 2021 mee aan de slag gaat is de noodzaak om, op basis van inlichtingen over de (digitale) dreiging vanuit statelijke actoren, concreet handelingsperspectief te geven om de digitale weerbaarheid te vergroten.

Sophie Harleman

Defensienota, lijst van vragen en antwoorden

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de minister van Defensie over de Defensievisie 2035 (Kamerstuk 34919, nr. 71). Een paar vragen en antwoorden (Kamerstukken II 2020/21, 34919, nr. 73) zal ik hieronder uitlichten.

Zo vraagt de commissie zich af (vraag 42) of de minister het risico ziet dat de drempel voor het aangaan van een conflict lager komt te liggen door de optie om hybride oorlogsinstrumenten in te zetten, zoals “cyber”. De minister geeft aan dat de drempel voor hybride conflictvoering door tegenstanders onder het niveau van een gewapend conflict lager ligt dan voor openlijk militair conflict. Hybride conflict wordt gekenmerkt door meer heimelijke activiteit, zoals economische spionage, cyberaanvallen, militaire intimidatie, aanvallen met chemische wapens en/of ondermijnende desinformatie. Door deze handelswijze onttrekken statelijke tegenstanders zich doelbewust aan het geldende internationaal (oorlogs)recht.

Vervolgens stelt de commissie de vraag (43) hoe Nederland met de uitvoering van de Defensievisie 2035 bijdraagt aan een effectief weerwoord op conventionele militaire dreigingen alsmede zeer moderne militaire technologieën, en geeft daarbij het voorbeeld van Russische hypersone wapens en Chinese Robots. De minister antwoordt dat de drie eigenschappen en tien inrichtingsprincipes van Defensie ertoe dienen te leiden dat in de toekomst de Nederlandse belangen kunnen worden beschermd tegen de in de Defensievisie onderkende dreigingen. Hieronder vallen ook nieuwe dreigingen zoals hybride conflictvoering en dreigingen in het cyberdomein. Defensie wil inzetten op een technologisch hoogwaardige en informatiegestuurde organisatie om te voorkomen dat Defensie achterop komt bij potentiele tegenstanders die hierin investeren.

In vraag 44 legt de commissie aan de minister voor wat de afgelopen kabinetsperiode had moeten gebeuren om ervoor te zorgen dat Defensie wél toegerust zou zijn op het verdedigen tegen hybride dreigingen en optreden in de informatieomgeving. De minister geeft aan dat dit kabinet fors heeft geïnvesteerd in Defensie, te weten €1,7 miljard euro structureel en €1,7 miljard euro incidenteel over de periode tot en met 2024. In de Defensienota 2018 zijn verder de maatregelen uiteengezet die worden genomen om stappen te zetten richting een informatiegestuurde krijgsmacht die is opgewassen tegen technologisch hoogwaardige tegenstanders en hybride dreigingen. Defensie investeerde onder andere in cyber, inlichtingen, IT, informatievergaring en het gehele informatiedomein.

Vraag 49 luidt: “Wat bedoelt u precies met “we specialiseren ons in het opbouwen en behouden van een gezaghebbende informatiepositie”? Welke extra capaciteiten wilt u creëren/aanschaffen om deze ambitie te realiseren?” De minister geeft aan dat de visie niet ingaat op welke capaciteiten aangeschaft (moeten) gaan worden, omdat dat afhangt van het toekomstige budget en toekomstige keuzes.

Vraag 54 ziet specifiek op data die Defensie vergaart en gebruikt. De vraag luidt als volgt: “Wat voor specifieke data heeft de toekomstige krijgsmacht vooral nodig? Naast het gebruiken van deze data moet het ook vergaard worden; hoe doet de krijgsmacht dit en aan welke privacy-kwesties raakt dit?”

De minister geeft als antwoord dat de toekomstige krijgsmacht onder andere data zal gebruiken uit open bronnen, haar eigen (wapen)systemen, sensoren, satellieten en inlichtingen van de MIVD. Defensie moet dit soort informatie kunnen ontsluiten, filteren, verwerken, analyseren, erop kunnen sturen en naar kunnen handelen om hun kerntaken uit te voeren. Eigenlijk, stelt de minister, is informatie voor Defensie net zo belangrijk als brandstof voor een auto. Zij geeft aan dat Defensie nu en in de toekomst binnen wettelijke kaders werkt. Omdat de inzet van nieuwe technologische fundamentele ethische en maatschappelijke vragen kan oproepen, participeert Defensie in interdepartementale en internationale trajecten om deze publieke waarden te blijven beschermen. De minister geeft aan dat de Wiv 2017 de inlichtingendienst bevoegdheden en taken geeft ten behoeve van de nationale veiligheid. De minister stelt dat hierbij altijd in ogenschouw wordt genomen dat het middel niet erger is dan de kwaal.

Vraag 56 ziet op samenwerking en interoperabiliteit tussen de partners in het Nederlandse cyberbeveiligingsnetwerk. Defensie is volgens de minister een cruciale partner in het Nederlandse cybersecuritylandschap, en probeert samen met strategische partners zoals het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen en Veiligheidsdienst (AIVD), de Politie en het OM Nederland digitaal veilig te houden. Een voorbeeld van dit soort samenwerkingsverbanden is de Cyber Intel/Info Cell, waar sinds deze zomer medewerkers van de bovengenoemde organisaties fysiek bij elkaar zitten om relevante informatie zo snel mogelijk te kunnen delen.

De minister noemt verder het Nationaal Respons Netwerk waar Defensie bij is aangehaakt. Dit betreft een samenwerkingsverband tussen o.a. Defensie, NCSC en Rijkswaterstaat waar kennis, informatie en personeel (in het geval van crises) wordt gedeeld. De minister stelt dat Defensie als bron van informatie en inlichtingen en door het beschikbaar hebben van cruciale personele capaciteit een belangrijke speler in het nationale cybersecuritylandschap is.  

Als antwoord op vraag 58 stelt de minister ten slotte dat bredere bewustwording van de dreiging van desinformatie van groot belang is. Openheid over desinformatiecampagnes kan daaraan bijdragen.

Sophie Harleman

Brief van de Minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces

In deze Kamerbrief (Kamerstukken II 2020/21, 33997, nr. 155) wordt door de minister van Buitenlandse Zaken gereageerd op het rapport van onderzoekscollectief Bellingcat, waarin werd gesteld dat de Russische militaire inlichtingendienst GROe via ‘Bonanza Media’ desinformatie verspreidt rondom het MH17 strafproces.

Uit de jaarverslagen van de AIVD en de MIVD is reeds gebleken dat het kabinet zorgen heeft over de Russische beïnvloedingsactiviteiten, waaronder ook met betrekking tot de beeldvorming over het MH17 strafproces.

De minister geeft aan dat de strategie van het kabinet om verspreiding van desinformatie tegen te gaan drie actielijnen kent: preventie, de informatiepositie verstevigen en, zo nodig, reactie. Het kabinet hecht grote waarde aan het onafhankelijke en pluriforme medialandschap in Nederland. De minister geeft aan dat het kabinet Rusland herhaaldelijk heeft aangesproken op het verspreiden van desinformatie rondom het neerhalen van vlucht MH17 en dat het kabinet dit waar nodig ook zal blijven doen.

Sophie Harleman

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over nationale veiligheid en het tegengaan van digitale inmenging Tweede Kamer verkiezingen 2021

De minister geeft in deze Kamerbrief (Kamerstukken II 2020-21, 30821, nr. 118) aan dat het beschermen van onze verkiezingen tegen ongewenste (digitale) inmenging van groot belang is voor onze democratie. Hoewel zich bij het stemmen geen digitale dreigingen voordoen, kan de dreiging van digitale inmenging bij verkiezingen in diverse vormen voorkomen. In de brief gaat de minister in op de uitdagingen rond digitale inmenging omtrent de verkiezingen, zowel bij het verkiezingsproces zelf als in aanloop naar de verkiezingen. Ook noemt zij de maatregelen die de overheid neemt digitale inmenging bij de Tweede Kamerverkiezing van 2021 te voorkomen, en biedt ze de Kamer het rapport ‘Digitale dreigingen voor onze democratie’ van het Rathenau Instituut aan. Hieronder ga ik kort in op de voor deze rubriek relevante punten.

Kwetsbaarheid politieke partijen voor digitale incidenten verminderen
Het vertrouwen in de betrouwbaarheid van de verkiezingen is in Nederland hoog. Personen en instituties die een rol spelen in het democratisch proces zijn een potentieel doelwit voor kwaadwillenden om desinformatie te verspreiden of informatie te ontvreemden. Het moet bij betrokken partijen bekend zijn wat te dreiging van cybercrime, cyberspionage en cybersabotage inhouden teneinde de dreigingen effectief te bestrijden. De rijksoverheid geeft hierbij ondersteuning waar nodig. Politieke partijen kunnen tevens altijd een vrijwillige melding doen bij het Nationaal Cyber Security Centrum in het geval van ernstige incidenten.

Voorkomen dat mis- en desinformatie het democratisch proces ondermijnt
Mis- en desinformatie kunnen ervoor zorgen dat burgers de stembusgang wordt belemmerd. Waar bij misinformatie onbedoeld onjuiste of misleidende informatie wordt verspreid, is desinformatie gericht op het toebrengen van schade aan het publieke debat, democratische processen, de open economie of nationale veiligheid. Er zijn geen aanwijzingen dat er bij eerder verkiezingen in Nederland door statelijke actoren grootschalige desinformatiecampagnes hebben plaatsgevonden maar uit het jaarverslag van de AIVD blijkt dat online Russische beïnvloeding op West-Europese sociale media aan de orde van de dag is.

Zoals ook blijkt uit de brief van de minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces (Kamerstukken II 2020/21, 33997, nr. 155), kent de strategie tegen desinformatie drie actielijnen: preventie, informatiepositie verstevigen en (indien nodig) reactie. De overheid kan in het licht van de verkiezingen misleidende informatie actief tegenspreken, zoals ook gebeurd is tijdens de COVID-19 crisis. Ook kan de overheid juridische middelen inzetten, zoals artikel 127 Wetboek van Strafrecht, dat betrekking heeft op het plegen van een bedriegelijke handeling. Verder kan de overheid juridische handvatten ontlenen aan het civielrecht, of als er sprake is van een strafbaar feit als smaad of laster.

Gebrek aan transparantie omtrent digitale campagnes verminderen
In aanloop naar de verkiezingen moet het voor burgers duidelijk zijn wie de afzender is van een politieke advertentie en waarom zij deze te zien krijgen. Vanwege de Europese gedragscode tegen desinformatie hebben internetdiensten maatregelen genomen om de transparantie van politieke advertenties te vergroten, en staan sommige internetdiensten geen politieke advertenties meer toe op hun platforms. Volgens de minister moet de Europese gedragscode tegen desinformatie worden verbeterd, onder meer door het toevoegen van minimale transparantie- en rapportagestandaarden en gemeenschappelijke definities van sleutelconcepten. Op nationaal niveau werkt de minister aan een Wet op de politieke partijen (Wpp), waarin transparantieregels ook een plek krijgen.

Informatiepositie over mis- en desinformatie verder ontwikkelen
Overheden dienen een goede informatiepositie te hebben over de aanwezigheid van mis- en desinformatie zodat zij weten of er sprake is van een dreiging die een reactie van de overheid vereist. Hiervoor dient  informatie in nationaal en internationaal verband gedeeld te worden. In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Internationale samenwerkingsverbanden dragen bij aan het versterken van de informatiepositie. De Europese Commissie heeft recent het European Digital Media Observatory gelanceerd, waarbinnen fact-checkers, wetenschappers en andere stakeholders worden gefaciliteerd.

Rekening houden met nieuwe technieken om mis- en desinformatie te verspreiden
De technologie waarmee mis- en desinformatie kan worden verspreid is voortdurend in ontwikkeling. Het rapport ‘Digitale dreigingen voor de democratie’ van het Rathenau Instituut geeft een overzicht van de technologische ontwikkelingen die de komende jaren een rol kunnen gaan spelen bij de productie en verspreiding van desinformatie. De mogelijkheden bestaan onder andere uit tekstsynthese, voice cloning, deepfakes, microtargeting en chatbots. Met name deepfakes en psychographing, een geavanceerde vorm van microtargeting, kunnen in de toekomst ingezet worden door kwaadwillende actoren om het publieke debat en het democratische proces heimelijk te beïnvloeden. De minister geeft aan niet te verwachten dat deze technologieën bij de komende Tweede Kamerverkiezingen al een grote rol zullen spelen. De minister deelt de conclusie van het Rathenau Instituut dat met name internetdiensten een verantwoordelijkheid hebben om het verspreiden van desinformatie tegen te gaan. De overheid kan daarbij bedrijven wel aansporen om maatregelen te nemen. De beschreven nieuwe technologieën zouden een plek kunnen krijgen in een verbeterde gedragscode.

De minister wil teneinde bovenstaande uitdagingen het hoofd te bieden thematafels organiseren waarbij relevante ministeries, toezichthouders, het maatschappelijk middenveld, politieke partijen en internetdiensten worden uitgenodigd.

Sophie Harleman

Tijdelijke regeling verdere verwerking bulkdatasets 

Op 5 november 2020 is de ‘Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017’ gepubliceerd (Stcrt. 2020, 56482). Een bulkdataset wordt gedefinieerd als ‘een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden’. Bulkdatasets zijn volgens de toelichting op de regeling van grote operationele waarde.  

De toelichting op de regeling noemt dat  de verwerving van bulkdatasets de diensten in staat stelt zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben een langdurige waarde voor de uitoefening van de taken van de diensten. Het stelt de AIVD en de MIVD in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot. 

De regeling moet worden gezien als regelgeving die de minister van BZK of Defensie kan nemen ten aanzien van de organisatie, de werkwijze en het beheer van de diensten (art. 16 Wiv 2017). Daarnaast is het natuurlijk geen toeval dat de regeling is gepubliceerd na de publicatie toezichtsrapporten nr. 70 en nr. 71 van de CTIVD over bulkdatasets.  

In mijn meest recente artikel ‘Metadata-analyse in de Wiv 2017’ in het tijdschrift Privacy & Informatie merk ik het volgende over de regeling op. De toegang van AIVD- en MIVD-medewerkers tot gegevens in bulkdatasets wordt beperkt afhankelijk van de ernst van inmenging op de persoonlijke levenssfeer van personen die plaatsvindt bij de verwerking van de gegevens in de bulkdataset.De ernst van de inmenging wordt bepaald op basis van de volgende vier elementen: (1) identificerende gegevens, (2) locaties, (3) netwerk van de contacten van een persoon en (4) vertrouwelijke inhoud. Hierbij valt op dat de verwerkingsvormen van de gegevens uit de bulkdatasets niet worden meegenomen om de privacy-inbreuk te bepalen, terwijl dit volgens jurisprudentie van het EHRM en HvJ EU wel een belangrijke factor is om de ernst van de privacy-inmenging te meten. 

De toegang tot gegevens in bulkdatsets is met de regeling ingedeeld in een (a) standaard toegangsregime, (b) beperkt toegangsregime of (c) strikt beperkt toegangsregime. Onder het standaard toestemmingsregime behoren medewerkers die toegang vanuit hun functie nodig hebben, zoals medewerkers die het inlichtingenonderzoek uitvoeren, maar ook data-analisten en data-scientists. Onder het beperkt toegangsregime behoren functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Dat kunnen medewerkers uit een inlichtingenteam zijn of een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Onder het strikte toegangsregime hebben alleen specifieke medewerkers met een bepaalde functie toegang of toegang waarbij de functionaliteit beperkt is tot het bevragen van gegevens. Een speciaal verzoek tot toestemming moet worden ingediend om toegang te krijgen tot gegevens in de bulkdataset als blijkt dat zich daarin een kenmerk bevindt, zoals een telefoonnummer. 

De tijdelijke regeling bevat geen maximale bewaartermijn van de gegevens, omdat de gegevens in de bulkdatasets allemaal relevant worden geacht. In plaats daarvan vindt een periodieke beoordeling vindt plaats om de 3 jaar, 2 jaar, of 1 jaar; afhankelijk van het type bulkdataset. Over het geheel gezien biedt deze regeling meer bescherming dan (de huidige uitvoering) van de Wiv 2017 en kan het worden gezien als een invulling van de algemene bepalingen omtrent gegevensverwerking en de zorgplicht uit de Wiv.  

Jan-Jaap Oerlemans

Nieuwe autoriteit voor de bestrijding kinderpornografisch en terroristisch materiaal?

Minister Grapperhaus van Justitie en Veiligheid heeft in het najaar van 2020 nieuwe plannen uit de doeken gedaan voor de oprichting van een nieuwe overheidsinstantie (zie de Kamerbrief van 20 november 2020 en de Kamerbrief van 8 oktober 2020). De nieuwe autoriteit zou er gericht op zijn kinderpornografisch en terroristisch materiaal door middel van het bestuursrecht te bestrijden met bestuursrechtelijke handhavingsinstrumenten, zoals de last onder bestuursdwang en boetes. Het idee is dat deze autoriteit de status van zelfstandig bestuursorgaan krijgt om de onafhankelijkheid te waarborgen. Dit zou bovendien aansluiten bij een voorstel voor een Europese verordening over het ontoegankelijk maken van online terroristisch materiaal. Op 10 december 2020 is een voorlopig akkoord bereikt over de verordening door de Raad van Ministers.

Minister Grapperhaus beziet nog of de nieuwe autoriteit bijvoorbeeld de bevoegdheid krijgt te automatisch zoeken (crawlen) naar online kinderpornografisch materiaal. Met een dergelijke bevoegdheid wordt Nederland minder afhankelijk van meldingen uit het buitenland over kinderpornografisch materiaal op servers in Nederland. Volgens de minister ontstaan ‘kwalitatieve en kwantitatieve synergievoordelen’ wanneer de bestrijding van online kinderpornografisch materiaal en online terroristisch materiaal bij één autoriteit worden ondergebracht. De minister verwacht dat het wetsvoorstel voor de autoriteit die online kinderpornografisch materiaal bestrijdt in januari 2021 in (internet)consultatie kan worden gegeven.

Problematiek

In een andere Kamerbrief van 8 oktober 2020 over de bestrijding kinderpornografisch materiaal op internet, heeft de minister de problematiek verder toegelicht. Zo vertelt de minister uitgebreid over een het rapport, de “CSAM Hosting Monitor”, die in opdracht is geschreven door de TU Delft. De minister streeft ernaar dat de monitor een structureel karakter krijgt en de rapportage periodiek wordt gepubliceerd, waarbij de op te richten toezichthouder het instrument op termijn overneemt.

In de Kamerbrief wordt bijvoorbeeld het hostingbedrijf NForce uitgelicht, klaarblijkelijk in het kader van ‘naming en shaming’. Het hostingbedrijf hostte een extreem grote hoeveelheid kinderpornografisch beeldmateriaal: van januari-augustus 2020 kreeg het bedrijf maar liefst 179.610 meldingen van het Meldpunt Kinderporno over URL’s met dergelijk materiaal. Het aandeel van NForce in alle Nederlandse meldingen van kinderpornografisch beeldmateriaal was 93.57% (!). Kortom, NForce heeft als hoster van middelbare grote volgens de minister een enorme rol in de verspreiding van kinderpornografisch beeldmateriaal.

HashCheckService

De ‘HashCheckService’ is een dienst die de politie beschikbaar stelt aan hosting providers om kinderpornografisch materiaal te detecteren, zodat het kan worden verwijderd. Na het versturen van brieven aan 17 hosters in juni 2020 die veel kinderpornografie via hun diensten distribueerden, hebben een aantal hostingbedrijven klanten afgestoten. Ook steeg het aantal domeinen dat aangesloten werd op de HashCheckService flink en één hostingbedrijf verplichtte zijn klanten om zich hierop aan te sluiten. Het resulteerde in een enorme toename van het aantal checks van deze HashCheckService. In een Kamerbrief van 7 juli 2020 werd genoemd dat 67 miljoen afbeeldingen waren gecheckt met 10.000 hits, inmiddels is dit gestegen naar 18.2 miljard afbeeldingen die zijn gecheckt met bijna 7.4 miljoen hits. Deze aantallen dragen volgens de minister fors bij aan het tegengaan van herhaald slachtofferschap.

Good hostingschap

De minister noemt allerlei maatregelen ter bestrijding van kinderpornografie die hosting bedrijven kunnen nemen in het kader van “good hostingschap”. Dat doet hij overigens zonder te verwijzen naar onderliggende wet- en regelgeving. Een ‘good hoster’ zal bijvoorbeeld een “Know-Your-Customer” beleid kunnen voeren, bijvoorbeeld door het uitvoeren van identiteitscontroles en een risico-inschatting maken ten aanzien van kinderpornografische uploads (mogelijk via de HashCheckService). Reactief acteert een good hoster volgens de minister uiteraard direct bij een melding, uiterlijk binnen door de sector zelf gestelde norm van 24 uur.

Eerste beschouwing van de plannen

De Kamerbrieven verassen mij. Het idee is interessant en vernieuwend. Maar ik mis wel een onderbouwing van de noodzaak voor de oprichting van zo’n nieuwe autoriteit, inclusief informatie over bijvoorbeeld de kosten, organisatie, etc.. Enkele vragen die alvast opkomen zijn bijvoorbeeld:

  1. Waarom wordt dit niet belegd bij een strafrechtelijke instantie of gespecialiseerde tak van het OM? Voldoet dat niet en waarom niet?
  2. Werkt het nieuwe Take Down-bevel uit artikel 125p Sv (n.a.v. de Wet computercriminaliteit III) onvoldoende? Is die bevoegdheid geëvalueerd? Zie overigens ook dit interessante rapport van de UvA in opdracht van het WODC over het verwijderen van onrechtmatige online content.
  3. Welke andere bevoegdheden zou de autoriteit moeten krijgen? Kunnen we een mooie naam voor de autoriteit verzinnen?
  4. In hoeverre wordt samengewerkt en gegevens gedeeld met andere, vergelijkbare autoriteiten?

Het is een dossier die ik zeker in de gaten blijf houden. Voor nieuwsartikelen of wetenschappelijk artikelen hierover houd ik mij aanbevolen.

== update ==

Het blijkt dat er al eerder onderzoek is gedaan naar de mogelijkheden tot het aanpakken van kinderporno op basis van bestuurlijke handhaving (.pdf). Het rapport komt op mij over als een praktisch en meer technisch georiënteerd rapport (niet super juridisch in ieder geval (hier is een juridisch advies van AKD te vinden)). Volgens het rapport kent bestuursdwang vele voordelen, zoals een mogelijk snellere rechtsgang en meer handelingsmogelijkheden. In de praktijk wordt bestuursdwang gezien als een middel om de resterende kleine groep ‘bad hosters’ aan te pakken. Dienstverleners die nu meewerken in de zelfregulering geven aan dat invoering van bestuursdwang voor deze groep weinig verandert, maar wel aanvullend ‘juridisch risico’ met zich meebrengt.

Maar “toch plaatsten veel respondenten vraagtekens bij de keuze voor bestuursdwang”. Zo zou het nemen van de eerste stap: het identificeren van de Nederlandse partij die onderwerp van bestuursdwang wordt, lastig zijn. Bestuursdwang is niet toe te passen op buitenlandse partijen en medeplichtigheid/medeverantwoordelijkheid is lastig aan te tonen, want partijen beroepen zich op het argument dat ze niet (kunnen/willen) weten wat er op hun infrastructuur gebeurt.

Ten slotte wordt in het rapport ook wel gewaarschuwd over een mogelijke precedentwerking als bestuursrechtelijk wordt gehandhaafd. Mogelijk wordt het instrument dan toegepast bij zaken als online kansspelen en online haatzaaiien (waar de verwijdering van terroristische content natuurlijk dicht bij staat). De weg via strafvordering zou volgens de auteurs op het rapport niet werken vanwege organisatorische problemen bij justitie/rechtbanken in verband met capaciteit voor het toestemming geven van het verwijderen van informatie.

Grenzen stellen aan datahonger

Gisteren (16 november 2020) mocht ik mijn oratie houden getiteld: ‘Grenzen stellen aan datahonger. De bescherming van de nationale veiligheid in een democratische rechtsstaat’ (.pdf). Die ochtend kreeg mijn oratie ook de aandacht in een mooi bericht van de Volkskrant, waarin mijn pleidooi wordt beschreven voor een aanpassing van de informantenbevoegdheid. Daarbij stel ik dat de huidige regeling voor de informantenbevoegdheid onvoorzienbaar is en met onvoldoende waarborgen is omkleed, voor zover het gaat om het verzamelen van bulkdatasets.

Verder leg ik mijn oratie uit hoe de Wet op de inlichtingen- en veiligheidsdiensten in de loop der jaren is ontwikkeld en steeds complexer is geworden. Ik vind het goed dat de Commissie-Jones-Bos in hun evaluatie van Wiv 2017 ook aandacht hebben voor de vraag of de wet voldoende werkbaar is en wat er mogelijk gewijzigd moet worden om het werkbaar te houden. Tegelijkertijd blijf ik de komende vijf jaar dat ik mijn leerstoel mag bekleden scherp op eventuele uitbreidingen van bevoegdheden van de AIVD en de MIVD.

Ten slotte maak ik duidelijk dat mijn onderzoek zich ook richt op het verwerken van inlichtingen door andere instanties, zoals de politie, de NCTV, de FIOD en particulieren. Daar heb ik uiteraard ook de hulp van andere onderzoekers en auteurs bij nodig. Ik kijk er naar uit de komende jaren mijn bijdrage te leveren op het gebied van ‘Inlichtingen en Recht’.

Overzicht Inlichtingen en Recht – oktober 2020

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Death by ransomware

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.

Cybersecuritybeeld Nederland 2020

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.  

COVID telecomdata ook voor de AIVD en de MIVD?

Vorige week werd ik door een NOS-verslaggever gebeld over de vraag of de dataset die door telecomproviders moet worden gemaakt om verplaatsingen van het COVID-19 virus na te gaan ook kan worden gebruikt door inlichtingen- en veiligheidsdiensten. Dit is het artikel van de NOS die uiteindelijk volgde. Mijn inbreng is helaas verloren gegaan, maar het leek mij toch goed mijn antwoord nog even mee te geven.

De vraag of de COVID-telecomgegevens ook gevorderd kunnen worden door overheidsdiensten triggerde een klein onderzoek van het wetsvoorstel om er antwoord op te kunnen geven. In het kort is het antwoord: ja, met de bestaande bevoegdheden tot het vorderen van gegevens bij telecomproviders kunnen telecomgegevens, inclusief locatiegegevens, gevorderd worden door  politie en justitie en de AIVD en de MIVD. Maar onduidelijk is welke gegevens straks precies beschikbaar zijn voor overheidsdiensten en deze gegevens iets extra’s beiden ten opzichte van de al bestaande gegevens. Naast mijn uitleg over de bevoegdheden was mijn boodschap met name dat in de toelichting van het wetsvoorstel meer aandacht voor deze vorderingsmogelijkheden op zijn plaats was geweest. Daar moet je wat mij betreft gewoon transparant over zijn en hier kan je anticiperen op zorgen uit de samenleving hierover. Mijn (korte) analyse is verder hieronder te lezen.

Zie ook overigens deze mooie blog post van Jaap-Henk Hoepman over het wetsvoorstel vanuit privacyperspectief, waarbij ook wordt afgevraagd of het wetsvoorstel wel voldoende nut heeft en soortgelijke wetgeving straks ook in andere situaties wordt gemaakt.

Nieuwe gegevensset

Het is wat puzzelen met het wetsvoorstel, maar het lijkt er op dat de telecomproviders een nieuwe gegevensset moeten creëren op basis van de locatiegegevens van simkaarten van gebruikers. Die gegevens moeten worden ‘gepseudonimiseerd’ (hetgeen kan worden teruggedraaid) en vervolgens door de aanbieder (de telecomprovider) worden gecombineerd en verwerkt om ook een inschatting te maken van welke gemeente iemand vandaan komt. De aantallen en ‘herkomstgegevens’ van de apparaten met SIM-kaart worden dan eens per 24 uur verstrekt aan het Centraal Bureau voor de Statistiek (CBS). Het CBS combineert de door de aanbieders los van elkaar verstrekte informatie. Bij het CBS vindt vervolgens een correctie plaats om van de verkregen informatie representatieve gegevens te maken over de Nederlandse bevolking. Het RIVM ontvangt vervolgens weer deze bewerkte informatie van het CBS.

Over de gegevensset staat in de memorie van toelichting op het wetsvoorstel:

“het gaat om tellingen per uur van totaalaantallen mobiele eindapparaten (mobiele telefoons) per gemeente, uitgesplitst naar de afgeleide herkomst van de houder van de telefoon. De afgeleide herkomst wordt door de aanbieder bepaald aan de hand van de gemeente waar het eindapparaat gemiddeld het grootste deel van de tijd verbinding heeft gemaakt met het netwerk van de betreffende aanbieder. Dit wordt geschat door middel van verwerkingen die de aanbieder uitvoert op basis van verkeersgegevens in combinatie met een antennekaart, bodemgebruikkaarten of publieke geografische informatie”. 

“Het beginsel van het verwerken van zo min mogelijk herleidbare data (ook wel: dataminimalisatie) vereist daarbij dat de locatie- en verkeersgegevens in een zo vroeg mogelijk stadium door de aanbieders wordt gepseudonimiseerd, waarbij zij ontdaan worden van alle direct herleidbare data zoals telefoonnummer en IMSI-nummer, en gelabeld worden onder een nieuw uniek identificatienummer.”

Het is mij onduidelijk gebleven hoe lang de gegevens bij de telecomproviders beschikbaar zijn. Als ze heel kort beschikbaar zijn en snel vernietigd worden, zijn ze minder interessant om te vorderen voor overheidsdiensten voor hun taakuitoefening (opsporingsonderzoeken bescherming van de nationale veiligheid). In het wetvoorstel staat over de vernietiging:

“De aanbieders vernietigen de persoonsgegevens die zij genereren ter verkrijging van de informatie die moet worden verstrekt, direct na verkrijging van die informatie.”

Persoonlijk begrijp ik deze bepaling niet goed. Moet nu de gegevensset na verstrekking worden vernietigd, dus hebben aanbieders de gegevens dan maximaal 24 uur de gegevens ter beschikking? Of gaat het om een andere bewaartermijn? De “details” voor de aanlevering van de gegevens worden blijkbaar in een aanwijzing nader bepaald. Hier gaan onder andere ook de zorgen over van de telecomproviders, blijkens dat nieuwsbericht. Opvallend vind ik dat, als ik het goed begrijp, de aanbieders zo ver als mogelijk terug moeten gaan om deze gegevens te genereren (tot 1 januari 2020).

Vorderen van gegevens

In principe kunnen de AIVD en de MIVD op grond van artikel 55 van de Wet op de inlichtingen en Veiligheidsdiensten (Wiv 2017) locatiegegevens van een gebruiker opvragen bij aanbieders van elektronische communicatiediensten, dus ook telecommunicatieproviders. De verstrekking daarvan is niet vrijwillig, dus het is een vorderingsbevoegdheid. Dat is natuurlijk alleen mogelijk in het kader van hun taakuitoefening en voor zover dat in het belang is van de nationale veiligheid (artikel 8 en 10 Wiv 2017). Daarbij moet met name worden gedacht aan de situatie dat een persoon de nationale veiligheid bedreigt. Het gaat dus niet om het opvragen van de hele set aan gegevens, maar de gegevens van een gebruiker van telecomprovider, bijvoorbeeld: wat zijn de locatiegegevens die horen bij het nummer X in de periode X. Overigens kan een iedere instantie op grond van de informantenbevoegdheid in artikel 39 Wiv 2017 wel op vrijwillige basis gegevens verstrekken op verzoek van de AIVD of de MIVD. Een goede bedrijfsjurist zou wat mij betreft bij een dergelijk verzoek tot verstrekking van een hele dataset zich wel moeten afvragen of dat proportioneel en subsidiair is. Toepassing van deze bevoegdheid lijkt mij minder voor de hand te liggen, omdat er een specifieke bestaande vorderingsbevoegdheid is in artt. 54-56 Wiv 2017.

De politie en het OM kunnen ook locatiegegevens vorderen bij telecomproviders op grond van artikel 126nd van het Wetboek van Strafvordering (Sv). Dat is mogelijk in het kader van een opsporingsonderzoek naar een misdrijf en op bevel van een officier van justitie.

Beschouwing

Voorheen moesten telecomproviders op grond van dataretentiewetgeving gebruikersgegevens en verkeersgegevens (waaronder locatiegegevens) bewaren ten behoeve van opsporingsdoeleinden. Deze regeling is onrechtmatig verklaard, maar telecomproviders bewaren nog steeds deze gegevens voor factureringsdoeleinden (bijvoorbeeld: hoeveel data is wanneer verbruikt door abonnee Pietje en vanaf welke antennes verliep de verbinding?). Deze gegevens kunnen met de bovengenoemde bevoegdheden worden gevorderd. Daarom is het de vraag of de ‘COVID telecomdata’ die straks mogelijk wordt opgeslagen, wel van nut is voor de genoemde overheidsdiensten.

Maar als de politie of een veiligheidsdienst deze COVID telecomgevens opvragen, dan zou dat een goed voorbeeld zijn van function creep: de gegevens moeten op basis van wetgeving worden opgeslagen en verwerkt voor een specifiek doel (het in kaart brengen van het aantal mobiele apparaten per gemeente, gedifferentieerd naar herkomst van die apparaten ten behoeve van de virusbestrijding), maar vervolgens worden dezelfde gegevens ook gebruikt voor de andere doelen van opsporing en de bescherming van de nationale veiligheid.

Wat mij betreft was het goed geweest als in de toelichting van het wetsvoorstel werd opgemerkt of de gegevens gevorderd kunnen worden door overheidsinstanties en zo ja, door wie en onder welke voorwaarden. Ook als overheidsinstanties zelf uitsluiten dat de gegevens worden gevorderd (omdat het bijvoorbeeld niets toevoegt t.o.v. bestaande telecomgegevens), dan kan dat van te voren al worden aangegeven.

== UPDATE ==

Inmiddels is de nota van verslag over de wijziging van de Tijdelijke wet informatieverstrekking RIVM over COVID-19 gepubliceerd. Hier gaat de minister wel in op de mogelijkheid van het vorderen of opvragen van de COVID telecomgegevens. De antwoorden bevestigen wat mij betreft de analyse hierboven (ja, de gegevens kunnen mogelijk worden verkregen, maar het biedt geen toegevoegde waarde). Aangegeven wordt dat de gegevens mogelijk kunnen worden opgevraagd op grond van artikel 39 Wiv 2017 en gevorderd kunnen worden op grond van artikel 55 Wiv 2017. Zie verder ook het antwoord op vraag 59:

Daarnaast kunnen de diensten op grond van artikel 55 – een bijzondere bevoegdheid die uitsluitend gericht door de diensten kan worden ingezet, namelijk gerelateerd aan een gebruiker van een communicatiedienst – gegevens opvragen. Deze kan dus niet zien op geaggregreerde niet tot personen herleidbare informatie.

Zoals in het antwoord op vraag 6a van de leden van de VVD-fractie is uitgelegd is daarnaast echter niet te zien op welke wijze deze geaggregeerde niet tot personen herleidbare informatie een bijdrage kan leveren aan de taakuitvoering van de diensten.

Noch de door de aanbieders extra te verwerken gegevens, noch de aan het CBS en RIVM te verstrekken geaggregeerde niet tot personen herleidbare informatie kan een bijdrage leveren aan de taakuitvoering van de diensten, zeker niet ten opzichte van de gegevens die de aanbieders in het kader van hun dienstverlening al verwerken. Daarmee ontbreekt de noodzaak voor de diensten om deze gegevens te verwerven. Als bij de diensten de noodzaak ontbreekt om gegevens te verwerven dan is verwerving op grond van de Wiv 2017 niet mogelijk.

De zorg over het opvragen van de gegevens zijn wat mij betreft met dit antwoord voldoende geadresseerd, hoewel het natuurlijk wat laat in het proces is en ik het liever in de memorie van toelichting had gelezen.

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).  

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:  

  • Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
  • Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
  •  Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

  1. het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:
  • de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
  • de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
  • de rechtseenheidsvoorziening TIB – CTIVD;
  • de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

  • de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
  • de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
  • het datareductiestelsel en de bewaartermijnen;
  • de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.