Friday, November 15, 2013

Letter to Dutch Senate on NSA, privacy and economic espionage

UPDATE 2013-11-27: here (.pdf, Nov 27) is the EU Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection --- i.e., the EU-US expert group established in response to the revelations about NSA-related activities on European territory that is referred to in the post below.


On November 15th, the Dutch Minister of the Interior and Kingdom Relations, Ronald Plasterk, sent a letter (.pdf, in Dutch) to the Dutch Senate. The letter addresses questions concerning the impact of the Snowden revelations on ongoing TAFTA negotiations and EU Data Protection negotiations, and mentions SWIFT. Below is my translation. Parts in [] are mine.

WARNING: this is an unofficial translation.
Date: November 15th 2013

Subject: NSA, privacy and (economic) espionage
1. Did the revelations of Mr. Snowden come as a surprise to the government?
Yes.
Original Dutch: "1. Kwamen de onthullingen van de heer Snowden voor de regering als een verrassing?
Ja."

2. Has the government thoroughly informed itself about the significance of the revelations of Mr. Snowden for the constitutional protection of the privacy of citizens?

Yes. The government is committed to careful and adequate protection of personal data. This is a point of attention in the bilateral discussions currently taking place with the U.S. government in response to the revelations about the NSA. The Minister of Foreign Affair already expressed his concerns about the NSA's activities to his American colleague Kerry, and I spoke with the director of the NSA. The Netherlands also assesses the initiative of Germany and France to reach agreements with the Americans as positive, has contacted with both countries, and will make an active contribution where possible.
An EU-US expert group exists that is deliberating on protecting the privacy and electronic data of citizens. The aim of this expert group is to gain insight into each other's programs and how they are anchored in the rule of law.

Also, the State Secretary of Security and Justice and I are actively involved in the negotiations on the new EU legislation on the protection of privacy. The significance of the revelations of Mr. Snowden will be included in this.
Also see the answer to question 3.
Original Dutch: "2. Heeft de regering zich diepgaand op de hoogte gesteld van de betekenis van de onthullingen van de heer Snowden voor de grondrechtelijke bescherming van de persoonlijke levenssfeer van de burgers?
Ja. Het Kabinet hecht aan zorgvuldige en deugdelijke bescherming van persoonsgegevens. Dit is een punt van aandacht in de gesprekken die momenteel bilateraal worden gevoerd met de Amerikaanse overheid naar aanleiding van de onthullingen over de NSA. Zo heeft de minister van Buitenlandse Zaken reeds zijn zorgen over de activiteiten van de NSA overgebracht aan zijn Amerikaanse collega Kerry en heb ik gesproken met de directeur van de NSA. Daarnaast beoordeelt Nederland het initiatief van Duitsland en Frankrijk om te komen tot afspraken met de Amerikanen als positief, heeft hierover contact met beide landen, en zal waar mogelijk een actieve bijdrage leveren.
Er is een EU-VS expertgroep gestart die zich buigt over de bescherming van de persoonlijke levenssfeer en van elektronische gegevens van burgers. Het doel van deze expertgroep is inzicht krijgen in elkaars programma’s en de wijze waarop deze zijn verankerd in de rechtstaat.
Tevens zijn de staatssecretaris van Veiligheid en Justitie en ik actief betrokken bij de onderhandelingen over de nieuwe Europese wetgeving voor de bescherming van de persoonlijke levenssfeer. De betekenis van de onthullingen van de heer Snowden zal hierbij worden meegenomen. Zie ook het antwoord op vraag 3."

3. What are consequences of the disclosures for the negotiations on EU legislation regarding the protection of personal data?
During the JHA Councils of July and from October 2013 an - always informal - exchange of views took place on the consequences that could be associated with the revelations. Decisions have not been made on these matters. I refer the Parliament to the reports on the council meetings.

On September 16th, is a "Friends of the Presidency"-meeting (an informal meeting where no formal decisions are made) was held dedicated to two proposals to amend Chapter V of the EU Data Protection Regulation. This chapter covers the transfer of personal data from the EU to third countries. For a report of that discussion, I refer to the report on the negotiations relating to the Q3/2013. The discussion on Chapter V of the Regulation will be continued. The outcome of the ongoing discussions between the EU and the U.S. on the collection of data and the underlying legislation will be taken into account.
In addition to the Council, the European Parliament is also deliberating on the legislation. The European Parliament pays specific attention to the transfer of personal data from the EU to the authorities of third countries. It goes without saying that the issue will be explicitly addressed in due course in the trialogue between the Commission, Council and European Parliament.
Original Dutch: "3. Welke gevolgen hebben de onthullingen voor de onderhandelingen over de te wijzigen EU-wetgeving ten aanzien van de bescherming van persoonsgegevens?
Tijdens de JBZ-Raden van juli en van oktober 2013 is - telkens informeel - van gedachten gewisseld over de consequenties die aan de onthullingen verbonden zouden kunnen worden. Besluiten zijn terzake niet genomen. Ik verwijs de Kamer naar de verslagen over de raadsvergaderingen.
Op 16 september 2013 is er een zogeheten Friends of the Presidency-vergadering (een informele vergadering waarin geen formele besluitvorming plaatsvindt) gewijd aan twee voorstellen tot aanpassing van hoofdstuk V van de EU verordening gegevensbescherming. In dat hoofdstuk wordt de doorgifte van persoonsgegevens uit de EU naar derde landen geregeld. Voor een verslag van dat beraad, verwijs ik graag naar de rapportage over de onderhandelingen die betrekking heeft op het derde kwartaal van dit jaar. De discussie over Hoofdstuk V van de verordening zal nog worden voortgezet. Daarbij zullen de uitkomsten van het nog lopende beraad tussen de EU en de VS over de verzameling van gegevens en de daaraan ten grondslag liggende wetgevingssystemen betrokken worden.
Naast de Raad beraadslaagt ook het Europees Parlement over het wetgevingspakket. Het Europees Parlement schenkt nadrukkelijk aandacht aan de doorgifte van persoonsgegevens uit de EU aan de overheden van derde landen. Het spreekt voor zich dat het onderwerp te zijner tijd in de triloog tussen Commissie, Raad en Europees Parlement nadrukkelijk aan de orde komt."

4. What are the consequences of the revelations for the negotiations between the EU and the U.S. to establish a free-trade agreement[, the Transatlantic Free Trade Area (TAFTA)]? Does the EU demand that EU standards regarding privacy apply where EU citizens are involved in the implementation of that agreement?The government believes it is still important that we shortly come to an ambitious and comprehensive agreement with the United States. It is the Netherlands itself that has a lot to gain: in addition to a expected structural growth of the Dutch GDP by 4 billion a year, the agreement also provides new jobs and lower prices. The government makes no connection between EU standards regarding privacy and the free-trade agreement.
Original Dutch: "4. Welke gevolgen hebben de onthullingen voor de onderhandelingen tussen de EU en de VS over een te sluiten vrijhandelsverdrag? Eist de EU dat de EU-normen ten aanzien van privacy van toepassing zijn voor zover Unieburgers betrokken zijn bij de toepassing van het verdrag?
Het kabinet vindt het nog steeds van belang dat we spoedig tot een ambitieus en veelomvattend akkoord met de Verenigde Staten komen. Juist Nederland heeft daar veel bij te winnen: naast een structurele verwachte groei van het Nederlandse BNP met 4 miljard per jaar, levert het akkoord ook nieuwe banen en lagere prijzen op. Het kabinet legt geen verband tussen EU-normen ten aanzien van privacy en het verdrag."


5. How has the government responded to the relevation that financial data was tapped by the NSA via SWIFT, which has server in the Netherlands? What preventive measures have been taken? Can the government confirm whether this data is still tapped by the NSA?
I can not confirm the accuracy of the messages on the interception of SWIFT by the NSA. I am aware that Commissioner Malmström, following the media reports of the tapping of SWIFT by the NSA on September 12th, has asked the U.S. authorities to clarify this issue and that this topic is part of the discussions between the U.S. and the EU. See also the answer to the questions posed by the MP's Koolmees and Schouw (both D66) on the media reports that the servers of the Society for Worldwide Interbank Financial Telecommunication (SWIFT) may be tapped by the NSA (publication date October 16th, 2013, reference: 2013D41109).
Original Dutch: "5. Op welke wijze heeft de regering gereageerd op de onthulling dat ook de bankgegevens via SWIFT, waarvan er in Nederland servers staan, getapt worden door de NSA? Welke maatregelen ter voorkoming zijn er getroffen? Kan de regering aangeven of deze gegevens nog steeds getapt worden door de NSA?
Ik kan de juistheid van de berichten over het aftappen van SWIFT door de NSA niet bevestigen.
Het is mij bekend dat Eurocommissaris Malmström de Amerikaanse autoriteiten op 12 september jl. per brief om opheldering heeft gevraagd naar aanleiding van de berichtgeving over de het aftappen van SWIFT door de NSA en dat dit onderwerp deel uit maakt van het beraad tussen de VS en de EU. Zie ook het antwoord op de Kamervragen van de leden Koolmees en Schouw(beiden D66) inzake over het bericht dat de servers van de Society for Worldwide Interbank Financial Telecommunication (SWIFT) mogelijk zijn afgetapt door de NSA (publicatiedatum 16 oktober 2013, kenmerk 2013D41109)."


6. Has the government formed a picture of the economic damage that the private sectors suffers as result of the theft of confidential data? If so, what steps will the government take in this?
The government has no insight into the quantitative economic damage that businesses suffer from theft of confidential data. However, there are several qualitative insights into the economic loss due to theft of confidential information and industrial espionage. In a study from 2011 that was commissioned by the British government [0], the annual economic loss in the United Kingdom due to cybercrime was estimated at 27 billion pounds. This is a conservative estimate, the amount is probably higher and increases every year. Industrial espionage takes 28% (7.6 billion pounds) and identity theft accounted for 6.3% (1.7 billion pounds). It is estimated that the industry contributes 75% of the damage. TNO has projected these findings to the Dutch situation and estimates the total national damage caused by cybercrime, with digital espionage as part of it, to be at least 10 billion euros [1]. Industrial espionage accounts for approximately 2 billion. These are estimates, the exact damage is difficult to determine or can not be determined.
The Dutch government is focusing on several areas to avoid digital espionage and combat theft of confidential data:
  • The AIVD and MIVD provide briefings to create awareness among government entities and industry about the threat of cyber espionage, and give advice on information security. 
  • Within the National Cyber ​​Security Center (NCSC), an active information exchange exists between government services and the private sector - for instance the vital sectors - on (direct) threats and vulnerabilities.
  • In the Second National Cyber ​​Security Strategy (NCSS2) that the government has recently presented to the Parliament, an action is taken to develop a detection and response network. This partnership between public and private parties will be an important step to make the Netherlands digitally more secure and resilient. 
  • The government commissioned the development of the Vulnerability Analysis Espionage (KWAS) and an associated manual and e-learning module. The Espionage Vulnerability Assessment Manual helps companies and organizations to investigate the risks of espionage themselves. 
  • Hardware and software are vulnerable to cyber crime; computer infected with malware are also used for espionage. Besides awareness programs, a quality mark is being developed for secure software. 
  • The Minister of Security and Justice, being the coordinating minister for cyber security, has sent the new government-wide National Cyber ​​Security Strategy to the Parliament. This includes extensive coverage of measures to increase the overall resilience in the digital domain.
Also see the answer to the questions posed by the MP's Schouw and Sjoerdsma (both D66) on media reports that Russian spies are very active in the Netherlands (publication date May 23, 2013rd, reference: 2013D20939).
Original Dutch: "6. Heeft de regering zich een beeld gevormd van de economische schade die het bedrijfsleven lijdt door de diefstal van vertrouwelijke gegevens? Zo ja, welke stappen zal de regering hierin nemen?
Het Kabinet heeft geen inzicht in de kwantitatieve economische schade die het bedrijfsleven lijdt door diefstal van vertrouwelijke gegevens. Wel bestaan er diverse inzichten in de kwalitatieve economische schade als gevolg van diefstal van vertrouwelijke gegevens en industriële spionage. In een onderzoek uit 2011 dat is uitgevoerde in opdracht van de Britse overheid1, wordt de jaarlijkse economische schade in het Verenigd Koninkrijk als gevolg van cybercrime geschat op 27 miljard pond. Dit is een conservatieve schatting; waarschijnlijk is het bedrag hoger en neemt het ieder jaar toe. Industriële spionage neemt 28% (7,6 miljard pond) voor zijn rekening en identity theft 6,3% (1,7 miljard pond). Geschat wordt dat het bedrijfsleven 75% van de schade draagt. TNO2 heeft deze bevindingen geschaald naar de Nederlandse situatie en schat de totale nationale schade als gevolg van cybercrime, met als onderdeel daarvan digitale spionage, op minimaal 10 miljard euro. Binnen dit bedrag neemt industriële spionage ca. 2 miljard euro voor zijn rekening. Het gaat hier om schattingen, de exacte schade is lastig of niet vast te stellen.
De Nederlandse overheid zet in op verschillende vlakken om digitale spionage en diefstal van vertrouwelijke gegevens te voorkomen en te bestrijden:
- De AIVD en de MIVD geven briefings om bewustzijn te creëren bij overheden en het bedrijfsleven voor de dreiging van digitale spionage en geeft advies over informatiebeveiliging.
- Binnen het Nationaal Cyber Security Centrum (NCSC) wordt actief informatie uitgewisseld tussen overheidsdiensten en bedrijfsleven – zoals de vitale sectoren - over (directe) dreigingen en kwetsbaarheden.
- In de Tweede Nationale Cyber Security Strategie (NCSS2) die het kabinet recent heeft aangeboden aan de Tweede Kamer, is een actie opgenomen om een detectie- en responsenetwerk te ontwikkelen. Met dit samenwerkingsverband tussen publieke en private partijen zal een belangrijke stap gezet worden bij het digitaal veiliger en weerbaarder maken van Nederland.
- Het kabinet heeft de Kwetsbaarheidsanalyse Spionage (KWAS) en een bijbehorende handleiding en e-learningmodule laten ontwikkelen. De Handleiding Kwetsbaarheidsonderzoek spionage helpt bedrijven en organisaties zelf onderzoek te doen naar de risico's van spionage.
- Hard- en software zijn kwetsbaar voor cybercriminaliteit; computers met besmette componenten of waar malware is binnengedrongen, worden ook ingezet voor spionage. Naast bewustwordingsprogramma’s wordt gewerkt aan de ontwikkeling van een keurmerk voor veilige software.
- De minister van Veiligheid en Justitie heeft als coördinerend minister voor cyber security de nieuwe kabinetsbrede Nationale Cyber Security Strategie aan de Kamer gezonden. Hierin is uitgebreid aandacht voor maatregelen ter verhoging van de algehele weerbaarheid in het digitale domein.
Zie ook het antwoord op de Kamervragen van de leden Schouw en Sjoerdsma (beiden D66) inzake bericht dat Russische spionnen erg actief zijn in Nederland (publicatiedatum 23 mei 2013, kenmerk: 2013D20939)."

7. What steps has the government taken to counter the ongoing privacy breaches?

See the answer to question 2.
Original Dutch: "7. Welke stappen heeft de regering genomen om de voortgaande inbreuken op de privacy tegen te gaan?
Zie het antwoord op vraag 2."

8. What diplomatic steps does the government usually take when there is economic espionage? Has the government now also taken those?
The government considers any action outside the framework of the Dutch law to not be acceptable. This includes espionage for economic reasons by foreign powers in the Netherlands. The AIVD and MIVD therefore carry out structural investigation of espionage by foreign powers in the Netherlands. If such espionage is detected, measures always follow, both diplomatically and in other areas.
Original Dutch: "8. Welke diplomatieke stappen neemt de regering doorgaans als van economische spionage sprake is? Heeft de regering die thans ook genomen?
Het kabinet acht enig optreden buiten de kaders van de Nederlandse wet niet aanvaardbaar. Spionage om economische redenen van buitenlandse mogendheden in Nederland, valt hier ook onder. De AIVD en de MIVD doen om die reden structureel onderzoek naar spionage van buitenlandse mogendheden in Nederland. Indien dergelijke spionage wordt geconstateerd, dan volgen altijd maatregelen, zowel diplomatiek of op andere terreinen."

9. Has the government itself and in cooperation with other countries taken measures to get countries that commit these offences to stop? 

See the answers to question 2 and 8.
Original Dutch: "9. Heeft de regering zelf en in samenwerking met andere landen maatregelen genomen om de landen die zich aan deze inbreuken schuldig maken ertoe te brengen deze te beëindigen?
Zie de antwoorden op vraag 2 en 8."

[0] https://www.gov.uk/government/publications/the-cost-of-cyber-crime-joint-government- and-industry-report
[1] http://www.tno.nl/content.cfm?context=overtno&content=nieuwsbericht&laag1=37&laag2=69&item_id=2012-04-10%2011:37:10.0&Taal=1

Dutch readers are referred to Bits of Freedom's posting about TAFTA (in Dutch):
Related:

EOF

1 comment:

  1. Very interesting case! This topic is very relevant at the moment and somewhat controversial. I'm curious how this will develop in the future.

    ReplyDelete