Toon items op tag: Big Brother

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy First

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.

Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?


Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegevens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de Nederlandse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. Daarnaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.

Onlangs wijdde KRO Reporter een televisie-reportage aan een concept-wetsvoorstel van minister Edith Schippers (Volksgezondheid) om politie en justitie toegang te geven tot lichaamsmateriaal bij ziekenhuizen en zogeheten biobanken. Het gaat dan om menselijk weefsel, bloed en DNA dat voor medisch onderzoek is opgeslagen en alsnog door politie en justitie zou kunnen worden gebruikt voor opsporingsdoeleinden. In juni 2012 besloot minister Schippers echter om het betreffende wetsvoorstel (Wet zeggenschap lichaamsmateriaal) niet bij de Tweede Kamer in te dienen, mede n.a.v. een kritische consultatieronde bij relevante maatschappelijke organisaties. Het was volgens Schippers aan het nieuwe kabinet om te bepalen "of er überhaupt een Wet zeggenschap lichaamsmateriaal nodig is". Op Radio Noord-Holland vond hier vanmiddag een discussie over plaats met als centrale vraag: moeten politie en justitie toegang krijgen tot medisch DNA? De hele uitzending (inclusief reacties van de landelijke artsenfederatie KNMG, Stichting Privacy First en kinderrechtenorganisatie Defence for Children) staat HIER online (16.00-17.00u). Klik HIER voor schriftelijke reacties van luisteraars en beluister hieronder het fragment met Vincent Böhre van Privacy First:

Op 22 oktober as. vindt onze eerstvolgende "themaborrel" plaats ten kantore van Stichting Privacy First in het voormalige Volkskrantgebouw aan de Wibautstraat in Amsterdam. Als vervolg op de recente lezing door het Hoofd van de AIVD hebben wij Wil van Gemert uitgenodigd om nader in te gaan op het onderwerp cyber security. De heer Van Gemert is Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en zal voor ons een lezing verzorgen op het snijvlak van veiligheid en privacy in cyberspace. Wat houdt cyber security precies in en wat zijn de actuele uitdagingen en dilemma’s? Wat is de rol van de overheid ten aanzien van de ontwikkelingen op het gebied van cyber security? En hoe kan de balans tussen privacy en security gevonden worden? Onderzoeksjournalist Brenno de Winter treedt tijdens de avond als moderator op. Tijdens de lezing is er volop ruimte voor vragen en discussie met het publiek. Hierna begeven wij ons naar de borrel in café-restaurant Canvas met muziek door DJ Wong featuring DJ Broky B.

Klik HIER voor de uitnodiging aan ons netwerk (pdf). Wegens grote belangstelling hebben wij besloten deze avond een semi-openbaar karakter te geven. Iedereen is dus welkom. Graag ontvangen wij Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. een bevestiging van uw komst!

Datum: maandag 22 oktober 2012, aanvang 19.30u. Inloop vanaf 19.00u.
Locatie: Wibautstraat 150, 1091 GR Amsterdam. Lezing en discussie op begane grond (Grote Zaal), gevolgd door borrel op 7e verdieping (Canvas). Een routebeschrijving vindt u hier.

Update 6 november 2012: klik HIER voor ons verslag van de avond.

"Het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) is geen voorstander van Big Brother, zo liet hij tijdens een lezing bij Stichting Privacy First weten. Rob Bertholee was door de privacybeschermer uitgenodigd om over de AIVD te komen spreken en het recht op privacy. Zo ging hij in op verschillende taken waar de dienst zich mee bezighoudt, de bevoegdheden die het heeft en wat voor invloed dit op de maatschappij of privacy van burgers kan hebben.

Zo stelt Bertholee dat de koppeling en internationale uitwisseling van gegevens door de burger ervaren kan worden als 'Big Brother' en dat men zich hier zorgen over maakt. Iets waar Bertholee als burger zegt zich ook zorgen over te maken.

Big Brother
Geconfronteerd met een vraag vanuit het publiek over nieuwe, voorspellende technieken en het effect dat dit kan hebben op maatschappelijk gedrag stelt Bertholee "geen voorstander te zijn van Big Brother. Er zijn grenzen aan wat je wel en niet kunt doen. Dat heeft ook te maken met de risico’s die je bereid bent te lopen als maatschappij."

Bertholee eindigt zijn lezing door nog eens te benadrukken dat de AIVD geen dossiers van iedereen bijhoudt, niet iedereen onder de tap houdt, niemand neerschiet, niemand arresteert, niemand klemrijdt, niemand martelt, niet elke computer hackt, geen handhavende bevoegdheden heeft, geen druk op mensen uitoefent en geen journalisten ronselt. Mythes die de AIVD ook op de eigen website probeert te ontzenuwen."

Bron: Security.nl, 21 september 2012.

Stichting Privacy First organiseert regelmatig borrels annex thema-avonden voor onze vrijwilligers, donateurs en experts uit ons netwerk van journalisten, wetenschappers, ICT’ers en juristen. Sinds juni 2011 vinden deze avonden gemiddeld eens per kwartaal plaats ten kantore van Privacy First in het voormalige Volkskrantgebouw in Amsterdam. Thema’s waren tot nu toe o.a. privacy in Nederland (spreker: Bart de Koning), biometrie (Max Snijder) en profiling door de overheid (Quirine Eijkman en André Hoogstrate). Ook waren er boekpresentaties door Dimitri Tokmetzis (De digitale schaduw) en Adriaan Bos (Advocaat van de waarheid). Op donderdagavond 13 september jl. was er sprake van een heuse primeur: een lezing over de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het recht op privacy door niemand minder dan het Hoofd van de AIVD zelf, de heer Rob Bertholee. (Klik HIER voor onze eerdere uitnodiging aan relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons!) De essentie van de lezing van de heer Bertholee verscheen de volgende ochtend op de website van de AIVD; klik HIER. Naar aanleiding van de lezing verscheen vandaag tevens een artikel in de Telegraaf. Hieronder volgt onze verkorte weergave van de (ruim twee uur durende) lezing en discussie door Bertholee met het publiek.

Gemeenschappelijk doel: vrijheid in een open democratische samenleving

De avond begint met een korte introductie door Privacy First voorzitter Bas Filippini. In de optiek van Filippini strijden Privacy First en de AIVD eigenlijk voor hetzelfde doel, namelijk vrijheid in een open democratische samenleving, weliswaar vanuit verschillend perspectief. Rob Bertholee beaamt dit en zegt dat hij zich hier vanavond, in tegenstelling tot wat sommige mensen misschien denken, niet in het hol van de leeuw waant. Na een lange carrière in de landstrijdkrachten is Bertholee inmiddels 9 maanden werkzaam als Hoofd van de AIVD. Het beeld dat hij al snel van de AIVD kreeg was dat van een professionele organisatie met mensen die worden gedreven door idealen, zo vertelt hij. Zowel de AIVD als de MIVD hebben dagelijks te maken met risico’s en bedreigingen van de nationale veiligheid en de democratische rechtsorde, oftewel met bedreigingen van de manier waarop wij gewend zijn te leven met alle borgingen voor onze vrijheden van dien. Als gevolg van internationalisering en technologisering nemen die dreigingen en risico’s toe in aantal, impact en bereik. Een voorbeeld is het internet dat zowel een positieve kant als een schaduwzijde heeft.

Veiligheid is geen grondrecht

De AIVD heeft twee hoofdtaken: inlichtingen en veiligheid. Veiligheid is formeel echter geen grondrecht, zo merkt Bertholee terecht op. Wel heeft het Europees Hof voor de Rechten van de Mens in haar jurisprudentie aangegeven dat Staten verplicht zijn alle redelijke maatregelen te nemen tegen levensbedreigende situaties, aldus Bertholee. De Raad van Europa heeft dit vervolgens bevestigd met de zogeheten Guidelines on human rights and the fight against terrorism. Waar de focus van Privacy First ligt op de bescherming van het individu, zo ligt de focus van de AIVD op de bescherming van de gemeenschap van individuen. Daartussen zit een trade-off: ter bescherming van de gemeenschap dient soms een inbreuk op de rechten van een individu te worden gemaakt. Bertholee noemt vervolgens enkele taken van de AIVD waarbij geen sprake is van inbreuk op de privacy, namelijk 1) bij persoonlijk veiligheidsonderzoek en 2) bij het bevorderen van beschermingsmaatregelen bij personen, organisaties en bedrijven, bijvoorbeeld i.v.m. spionage. Bij de uitvoering van persoonlijke veiligheidsonderzoeken en bij de taak onder (2) mag de AIVD immers geen bijzondere inlichtingenmiddelen inzetten (volgens de wet). En juist bij die inzet is er sprake van inbreuk op de privacy.

Een relevant onderdeel van de AIVD is het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat de Rijksoverheid ondersteunt bij de beveiliging van bijzondere informatie. Het NBV evalueert beveiligingsproducten en speelt ook een rol in de ontwikkeling ervan. Hier worden bijvoorbeeld USB-sticks voor de overheid getest tegen datalekken. Verder is er de politieke inlichtingentaak van de AIVD in het buitenland, “die weliswaar de privacy van mensen aantast, maar niet hier te lande”. En tenslotte is er nog de taak van het maken van dreigingsanalyses voor personen (bijvoorbeeld politici), organisaties of evenementen. Een taak van de AIVD waarbij de privacy in Nederland wél in het geding komt betreft het onderzoek naar “bedreigingen van de nationale veiligheid, het voortbestaan van de democratische rechtsorde en andere, gewichtige belangen van de Staat”. Dit onderzoek vindt allereerst plaats middels open bronnen (media, internet etc.), maar kan (vervolgens) ook geschieden door het volgen, observeren of afluisteren van mensen of het binnendringen van virtuele of fysieke ruimtes. Bertholee benadrukt in dit verband de hoge mate waarin elke medewerker van de AIVD doordrongen is van “het wezen” van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv2002). “Als burger voelde ik mij redelijk gerustgesteld vanaf het moment dat ik inzicht kreeg in wat de dienst eigenlijk deed en kon en mocht doen, en hoe de overheid controle uit kon blijven oefenen op een dienst als de AIVD,” zegt Bertholee. “U hoeft mij niet te geloven, maar ik wilde dit toch even met u delen,” grapt hij. Dan stellig: “onze taken en bevoegdheden zijn allemaal strak omschreven in de wet.”

Wettelijk kader

Op het vlak van terrorismebestrijding gaat de aandacht van de AIVD momenteel vooral uit naar (potentiële) jihadisten en radicale eenlingen zoals Breivik. Bertholee vindt het zorgwekkend dat dergelijke eenlingen lastig op te sporen zijn, hoewel relevante informatie soms wel voorhanden is, bijvoorbeeld bij zorginstellingen of de politie. Een lastig dilemma is dan of zaken voorkomen hadden kunnen worden door informatie nationaal en internationaal te “correleren”, en welke risico’s je als maatschappij wilt aanvaarden met behoud van de privacy, aldus Bertholee. Hij kan zich echter ook voorstellen dat correlatie (koppeling) en internationale uitwisseling van gegevens door de burger ervaren wordt als “Big Brother” en dat men zich daar zorgen om maakt. Als burger maakt Bertholee zich daar zelf ook zorgen over. Waar ligt de balans tussen de bescherming van het individu en de bescherming van de gemeenschap? Elke bijzondere bevoegdheid van de AIVD is verankerd in de Wiv2002. En elke bijzondere bevoegdheid maakt een inbreuk op de privacy. De meest simpele bijzondere bevoegdheid is het praten met mensen (art. 17 Wiv2002). Voor elke bijzondere bevoegdheid in de Wiv2002 gelden de eisen van 1) noodzakelijkheid, 2) proportionaliteit en 3) subsidiariteit. Bijzondere bevoegdheden kunnen dan ook pas worden ingezet indien open bronnen (internet etc.) ontoereikend zijn. De AIVD dient zich telkens af te vragen: is het per se noodzakelijk? En weten we heel zeker dat er geen lichter middel is? De uitoefening van die bevoegdheden is achteraf controleerbaar. Op het openen van brieven na (dat valt onder de Postwet) komt er echter geen rechter-commissaris aan te pas. Voor de inzet van ieder bijzonder inlichtingenmiddel is wel toestemming nodig. Die wordt verleend door de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) of namens de minister door het Hoofd van de AIVD. Iedere nieuwe medewerker van de AIVD krijgt bovendien een basisopleiding, waarbij men onder meer goed in de Wiv2002 raakt ingevoerd. Bertholee vertelt in dit verband een interessante anekdote: eens in de zoveel tijd nodigt de AIVD een aantal journalisten, parlementariërs of juristen uit om samen een casus te behandelen. Daarbij blijken de niet-AIVD’ers meestal eerder geneigd tot het inzetten van bijzondere bevoegdheden dan de medewerkers van de AIVD zelf. Desgevraagd antwoordt Bertholee overigens dat hij de Wiv2002 persoonlijk aan minister Spies (BZK) heeft toegelicht, reeds anderhalf uur nadat zij door Koningin Beatrix was beëdigd. “Geen eigen spelregels, maar alleen datgene wat er in de wet staat,” aldus Bertholee. Hij vertelt verder over het proces waarlangs een bijzondere bevoegdheid wordt ingezet: dat begint met de medewerker die voor een AIVD-onderzoek een bijzondere bevoegdheid wil inzetten. Die medewerker dient dat schriftelijk te motiveren. Daar kijkt een operationeel AIVD-jurist naar. Vervolgens gaat het naar de leidinggevende. Daarna komt het bij Bertholee. En daarna komt het bij de Minister. Zo gaat het geval voor geval, telkens met inachtneming van de vereisten van de Wiv2002. Bij het vragen om informatie door de AIVD aan burgers mag overigens geen sprake zijn van enige vorm van druk. Hetzelfde geldt voor het vragen van informatie aan journalisten: journalisten zijn geheel vrij om daar wel of niet aan mee te werken. “Als een journalist er niet aan wil meewerken, dan is dat jammer voor de AIVD, maar daar houdt het mee op,” stelt Bertholee. E.e.a. wordt echter wel vastgelegd in een gespreksnotitie, aangezien voor de AIVD alles controleerbaar moet zijn.

Toezichtsmechanismen

Bertholee vertelt over het stelsel van controle op de AIVD waarin een aantal instanties ieder hun eigen rol spelen. Allereerst is er de parlementaire commissie voor de inlichtingen- en veiligheidsdiensten (“commissie Stiekem”), bestaande uit alle fractievoorzitters. Daarnaast is er de (openbare) Kamercommissie voor Binnenlandse Zaken. Ter controle van de rechtmatigheid van de taakuitvoering van de AIVD is er bovendien de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD); dit onafhankelijke toezichtsorgaan bestaat voornamelijk uit juristen. Volgens Bertholee was de beoordeling van de AIVD door de CTIVD de laatste jaren overwegend positief. Daarnaast is er ook nog een rol voor de Algemene Rekenkamer ter controle van de (geheime) begroting van de AIVD. Zowel de CTIVD als de Algemene Rekenkamer krijgen overal toegang toe.

Herziening Wiv2002

Wat eventuele herziening van de Wiv2002 betreft merkt Bertholee op dat de huidige wettelijke ruimte voor de AIVD voldoende is en dat hij niet meer bevoegdheden nodig heeft. Wel vindt hij het “bijzonder” dat de Wiv2002 in sommige aspecten gerelateerd is aan de Postwet en aan de Telecomwet, waardoor voor het openen van een brief door de AIVD toestemming van de rechter-commissaris nodig is terwijl diezelfde toestemming niet nodig is voor het onderscheppen en openen van een email. De wetgeving is dus technologie-afhankelijk en “daar moet je iets aan doen”, meent Bertholee. Op het terrein van SIGINT (Signals Intelligence) heeft de CTIVD overigens voorgesteld om de wetgeving aan te passen. Verder zou het parlement binnenkort de Wiv2002 kunnen gaan evalueren. Hete hangijzers lijken momenteel een mogelijk verbod van het inzetten van journalisten als informanten en meer controle op de doelmatigheid (effectiviteit) van de AIVD. Lastig aan dit laatste aspect is echter dat de effectiviteit van een organisatie als de AIVD zich soms moeilijk laat meten; dit hangt samen met de aard van het werk en het type dreigingen dat afgewend wordt. Bertholee: “Ik accepteer dat het leven bepaalde risico’s heeft. De vraag is echter of de maatschappij het wil. Hoeveel doden per jaar vindt u acceptabel?”

Geen Big Brother

Geconfronteerd met een vraag vanuit het publiek over nieuwe, voorspellende technieken en het effect dat dit kan hebben op maatschappelijk gedrag stelt Bertholee “geen voorstander te zijn van Big Brother. Er zijn grenzen aan wat je wel en niet kunt doen. Dat heeft ook te maken met de risico’s die je bereid bent te lopen als maatschappij.” Op een andere vraag vanuit het publiek antwoordt Bertholee dat een bijzondere bevoegdheid slechts mag worden toegepast zolang er een noodzaak toe is. Vervalt de noodzaak (c.q. de aanleiding of dreiging), dan vervalt ook de bevoegdheid. De CTIVD let daar ook op. Vervolgens geldt er 5 jaar na dato een notificatieplicht aan de betreffende burger, tenzij dit relevante bronnen of een huidige modus operandi zou kunnen onthullen. Tot op heden is deze notificatieplicht echter nog niet gebruikt. Bertholee vraagt zich bovendien af of een dergelijke notificatie niet juist een aanslag op iemands privéleven zou kunnen vormen indien er bij de betreffende persoon helemaal niets aan de hand was.

Internationale uitwisseling

Op internationale uitwisseling van inlichtingen tussen de AIVD en buitenlandse diensten blijft de Wiv2002 van toepassing, antwoordt Bertholee desgevraagd. Daarnaast geldt er ook een internationale code of conduct. Uitwisseling wordt van geval tot geval en van land tot land beoordeeld. Tevens wordt bij uitwisseling aangegeven wat er met de betreffende inlichtingen mag gebeuren. In het internationale verkeer houdt men zich daar redelijk goed aan, aldus Bertholee. In sommige gevallen (lees: landen) kan uitwisseling echter een dilemma vormen…

Grens ligt bij geweld

Op een vraag in hoeverre activisten in AIVD-dossiers voorkomen antwoordt Bertholee dat de AIVD in principe geen onderzoek doet naar activisten. Bertholee: “Wat iemand denkt maakt ons niets uit. Wij zijn niet de moraalridders van Nederland. Pas op het moment dat er geweld aan te pas komt, oproepen tot geweld, duidelijke intenties tot geweld, radicalisering, dan voelen wij ons betrokken.”

Actuele risico’s

Bertholee benadrukt tijdens de discussie met het publiek tevens dat het doel van de AIVD niet is om zoveel mogelijk informatie te verzamelen. Het doel is om de juiste informatie te verzamelen om een dreiging te kunnen afwenden. Niet de AIVD, maar de industrie vormt daarbij een drijvende kracht achter de ontwikkeling van nieuwe informatietechnologie die helaas ook in minder democratische landen wordt ingezet. Desgevraagd erkent Bertholee tevens het risico van een overvloed aan data waarin een dienst als de AIVD kan ‘verzuipen’. Biometrie is zo'n ontwikkeling van nieuwe technologie. Hierdoor wordt het lastiger om een valse identiteit aan te meten, zowel voor mensen die kwaad willen als voor agenten van de AIVD zelf. Verder is privatisering van inlichtingenwerk riskant, met name door het ontbreken van wettelijke checks & balances.

Tenslotte

Bertholee eindigt zijn lezing door nog eens te benadrukken dat de AIVD 1) geen dossiers van iedereen bijhoudt, 2) niet iedereen onder de tap houdt, 3) niemand neerschiet, 4) niemand arresteert, 5) niemand klemrijdt, 6) niemand martelt, 7) niet elke computer hackt, 8) geen handhavende bevoegdheden heeft, 9) geen druk op mensen uitoefent en 10) geen journalisten ronselt. Hierna sluit Privacy First voorzitter Filippini de avond af en nodigt alle aanwezigen uit voor de borrel met muziek.

Naschrift Privacy First: zoals internationale vrede en veiligheid vaak gebaat zijn bij dialoog tussen “opponenten”, zo geldt dit in eigen land ook voor een goede verstandhouding tussen de overheid en burgerrechtenorganisaties als Privacy First. In die zin hebben wij deze avond als zeer waardevol beschouwd en hopen wij dat ook de AIVD het voor herhaling vatbaar acht!

Update 27 september 2012: naar aanleiding van bovenstaande lezing verscheen vandaag een tweede artikel in de Telegraaf.

Eind 2011 was er de nodige ophef in de media over de invoering van een draconisch camerasysteem langs de Nederlandse landsgrenzen. Dit camerasysteem genaamd @migo-Boras was reeds in (geheime) ontwikkeling sinds 2004/2005: de hoogtijdagen van de internationale "War on Terror". Meer over het camerasysteem leest u HIER. Onder druk van Duitsland moest de Nederlandse regering begin 2012 alsnog tekst en uitleg over het systeem geven aan de Europese Commissie in Brussel; zie ook dit factsheet. Onlangs heeft de Europese Commissie (na oppervlakkig onderzoek) groen licht gegeven voor de operationalisering van een afgeslankte "light-versie" van @migo-Boras. In tegenstelling tot berichtgeving in de Nederlandse media is echter géén sprake van groen licht door het Europese Hof van Justitie: dit Hof keurde onlangs slechts het reeds bestaande Mobiel Toezicht Veiligheid van de Koninklijke Marechaussee op Nederlandse grenswegen goed. Over @migo-Boras heeft het Hof zich niet uitgelaten; dat zal alsnog gebeuren zodra een Nederlandse rechter er een zogeheten 'prejudiciële vraag' over stelt aan het Hof, of zodra Nederland voor het Hof wordt gedaagd.

Op 1 augustus 2012 trad @migo-Boras officieel in werking. In het radioprogramma BNR Nieuwsupdate werd Vincent Böhre van Privacy First om een reactie gevraagd. Het hele fragment kunt u hieronder beluisteren:

"De gemeente Amsterdam bekijkt de mogelijkheid om bodyscanners met röntgenstraling in te zetten op straat. Burgemeester Eberhard van der Laan (PvdA) geeft vandaag in de gemeenteraad uitleg over het onderzoek van de Amsterdamse politie naar de mogelijkheden tot het inzetten van zogeheten 'scanpalen' als aanvulling op het preventief fouilleren. De Amsterdamse D66-fractie wil dat de gemeente direct stopt met het onderzoek. D66 vindt de aantasting van de privacy te groot. Ze vindt preventief fouilleren al een zwaar middel en noemt de bodyscanner die met straling door kleding heen kan kijken 'echt een aantal stappen te ver'. Volgens de burgemeester maakt het onderzoek naar de 'naaktscans' deel uit van een bredere, landelijke discussie over de inzet van wapencontroles. 'In Amsterdam willen we voorkomen dat onschuldigen worden gefouilleerd en tegelijkertijd de pakkans vergroten van mensen die wel wapens bij zich dragen.' De Stichting Privacy First heeft aangekondigd naar de rechter te stappen, als de Amsterdamse politie besluit bodyscanners in te zetten op straat."

Bron: Nederlands Dagblad 28 juni 2012.

Vandaag werd bekend dat de politie in Amsterdam serieus overweegt om bodyscanners te gaan inzetten op straat. Lees HIER het eerste commentaar van Privacy First op dit onzalige plan. In het programma Fresh'n Up op jongerenzender FunX Radio werd Vincent Böhre van Privacy First om een reactie gevraagd. Beluister hieronder het hele fragment:

"Als de Amsterdamse politie mobiele bodyscanners met röntgenstraling gaat inzetten om burgers op straat te scannen, kan het een rechtszaak tegemoet zien.

Vandaag kwam televisiezender AT5 met het bericht dat de politie onderzoek doet om mobiele bodyscans in te zetten. De scanners, die door kleding heen kunnen kijken, zouden volgens de politie een goede aanvulling op preventief fouilleren zijn.
(...)

Rechtszaak

Als de politie de scanners ook daadwerkelijk gaat inzetten, zal Stichting Privacy First het Amsterdamse politiekorps alsmede de verantwoordelijke burgemeester Van der Laan persoonlijk voor de rechter slepen wegens schending van de menselijke waardigheid, de onschuldpresumptie, schending van de privacy, aantasting van de lichamelijke integriteit en het in gevaar brengen van de gezondheid van alle Amsterdammers.

"De invoering van mobiele röntgenscanners brengt immers zowel de privacy als de gezondheid van onschuldige burgers actief in gevaar", aldus de privacyvoorvechter."

Lees HIER het hele bericht bij Security.nl

"De gemeente Amsterdam bekijkt de mogelijkheid om bodyscanners met röntgenstraling in te zetten op straat.

Burgemeester Eberhard van der Laan (PvdA) geeft donderdag in de gemeenteraad uitleg over het onderzoek van de Amsterdamse politie naar de mogelijkheden tot het inzetten van zogeheten 'scanpalen' als aanvulling op het preventief fouilleren.

De Amsterdamse D66-fractie wil dat de gemeente direct stopt met het onderzoek.

Privacy

D66 vindt de aantasting van de privacy te groot. De partij vindt preventief fouilleren al een zwaar middel en noemt de bodyscanner die met straling door kleding heen kan kijken 'echt een aantal stappen te ver'. "De politie hoeft niet alles van de Amsterdammer te weten", reageert D66-fractievoorzitter Jan Paternotte woensdag.

Volgens de burgemeester maakt het onderzoek naar de 'naaktscans' deel uit van een bredere, landelijke discussie over de inzet van wapencontroles.

"In Amsterdam willen we voorkomen dat onschuldige mensen worden gefouilleerd en tegelijkertijd de pakkans vergroten van mensen die wel wapens bij zich dragen. Daar zouden deze technologische middelen aan kunnen bijdragen", aldus een woordvoerder van Van der Laan. Ook de inzet van 'handdetectoren', zoals in de beveiliging gebruikt worden, behoort tot de mogelijkheden.

(...)

Rechter

Stichting Privacy First kondigt aan naar de rechter te stappen, mocht de Amsterdamse politie besluiten bodyscanners in te zetten op straat.

Naast het korps wordt dan ook burgemeester Eberhard van der Laan gedaagd, kondigt de stichting aan. Gebruik van de scanner zou de menselijke waardigheid, de onschuldpresumptie en de privacy van passanten aantasten.

Ook de lichamelijke integriteit en de gezondheid van de Amsterdammers zou in het geding komen door de invoering van mobiele röntgenscanners. Privacy First doet een dringende oproep aan de gemeenteraad om de politie terug te fluiten en de invoering van 'naaktscanners' te verbieden."

Lees HIER het hele bericht bij NU.nl