Month: December 2014

‘Are we in love with cyber insecurity?’ (Eric Luiijf, 2014)

The following opinion piece was written by Eric Luiijf, Principal Consultant for Cyber Operations and Critical (Information) Infrastructure Protection at Dutch knowledge institute TNO, and published (paywalled) in the Int’l Journal of Critical Infrastructure Protection Vol 7 Issue 3 (September 2014). An extended Dutch version of this text is available here. With the author’s permission, here is a copy of the English text:

Are we in love with cyber insecurity?

Almost 40 years ago, as a student, I earned extra money by coding and testing programs for the administrative processes of a building hardware company. It was still the time of punch cards. In addition to coding programs in RPG3, I had to design sets of test data and describe the expected outputs to show the system designers and code reviewers that the test sets covered all the decision logic branches of the programs.

However, a successful run on a test set after debugging a program was just a first step. When I announced that a program was ready, the system designer walked to the garbage bin adjacent to the card punch machines and collected a stack of a few hundred cards that were rejected because they contained errors. This was the second test set. If even one of those cards was not rejected by my program, I had a difficult time. The coding standard was to perform rigorous input validation of each and every data field before any data could be moved to the company databases. This was one of the early examples of the principle of self-protection.

In 1978, an analysis of the almost daily crashes of our mainframe operating system led us conclude that most of the input buffers of the system programs were unguarded. Even simple user program errors would cause buffer overflows and overwrite executable code that, in turn, led to crashes of the entire mainframe. In a major effort, we patched and secured more than 100 system utilities. The code was sent to the system manufacturer via a non-standard software error reporting route. In hindsight, this could be considered to be a form of responsible disclosure.

Gaining access to the mainframe at that time was easy. All it needed was a new username and a simple password. All your data gone? You probably made a typo in your username.

Some years later, our system required passwords to be changed every three to six months. But all you had to do was to enter the old password and use that as the “new” password again. Or, you could just use an intermediate password and then change it to the old password. In the mid 1980s, we made many modifications to the password change program to block the use of simple passwords and the recycling of old passwords. But then came minicomputers and later personal computers; now we have smartphones and tablets. Every time a new cyber wave starts, there is no protection or very weak attempts to provide protection.

At the end of the 1980s, Unix and networking developed great momentum. Data was moved from one system to another without much authentication. Usernames and passwords were transmitted in the clear over networks. Protocols were designed for benign environments and did not expect anyone to send one byte less or one byte more of data, let alone deliberately attempt to overrun input buffers, the Ping-of-Death is just one example.

Yes, many of the security problems were patched, but always after the fact. A 1968 NATO report about the IBM 360 operating system concluded that it was unreliable because of its size. The report noted that there were about 1,000 errors in every new release – and this number seemed to be “reasonably constant.” Could this be a law of software coding? If so, what do we do about Android with its 1.2 million lines of code? Let us not even think about Windows!

Why are we so much in love with cyber insecurity?

First of all, we like progress and, therefore, we cannot get enough of the new functionality that information and communications technologies bring us. We love the ease of use. And we absolutely adore new gadgets. More cyber security hinders all these things. Information Security? It is a department at headquarters, is it not?

Second, designers and software developers of new information and communications technologies – think tablets, smart watches, Google Glasses – do not look backwards as they drive innovation forward. For this reason, they fail to learn from past cyber security failures. Unfortunately, we really cannot blame the innovators because we too do not learn cyber security lessons or use good cyber security engineering principles and cyber security practices.

It is this lack of learning from the cyber insecurity examples identified over the past 50 years that has resulted in advanced security controls not being implemented properly in systems. It is what causes manufactures to hardwire passwords deep in process control systems. It is what causes information technology systems to be deployed with the same manufacturer-supplied default passwords. It is what causes maintenance engineers to use simple and identical passwords for all their remotely-accessed customer systems. It is what causes programmers to develop new features again and again, without buffer overflow protection and without proper validation of all input data.

Odd incidents have occurred in critical infrastructures. For instance, the Australian power transmission grid was faced with a jump in demand when there actually was an increase in supply. This caused a five-fold jump in the spot energy price. Similar cases where illogical data had system-wide effects have been reported by NEMMCO, a major Australian electrical transmission system operator.

Some years ago, a Dutch flood barrier automatically initiated its closure sequence when two cables were inadvertently exchanged during maintenance. The system thought, incorrectly, that the water level in one town rose a few meters above the flood level.

In both cases, the old and good practice of self-protection by rigorous validation of input data was not learned and applied. As we move towards chains of information flows controlling mission-critical processes and critical infrastructures such as smart grids that rely on information from less trusted sources, adhering to the old principles – as I saw firsthand in the 1970s – is vital.

Are we ready for the next wave of cyber insecurities?

Innovative functionalities empowered by information and communications technologies are rapidly being embedded in the critical infrastructures and, indeed, in all the veins and capillaries of modern society. We are taking about smart refrigerators and washing machines, smart cars, smart grids, even smart cities.

But we have not been so smart because we have not learned from and applied the cyber security lessons identified in the past. We can, therefore, expect major disruptions of our smart gadgets and infrastructures due to cyber security threats, by accident as well as by deliberate action.

Is there a way out?

Yes, but it will take time.

We must collect and codify all the cyber insecurity lessons learned in the past and perform root cause analyses. We must convert these lessons to cyber security engineering principles, cyber security architectural design principles, and good and best practice approaches. We must understand and apply (cyber security) safety factors such as defense-in-depth just as rigorously as structural engineers and nuclear engineers use theirs. We must transform the art of mitigating cyber security risk to the scientific application of a well-balanced, self-amplifying set of mitigation measures.

Finally, we must impart the relevant knowledge to manufacturers, managers, programmers and, yes, even end users. They must learn this knowledge; they must apply it; they must be self-aware. Cyber technologies are embedded in all aspects of modern society; cyber security and cyber security awareness must be all pervasive.

Otherwise, we will face similar cyber security failures in 2050 as we have in the past. We can also look forward to celebrating 100 years of buffer overflows, bad coding practices and cyber insecurity with horrific “smart darkness events” involving our gadgets, our infrastructures and our society.


[Dutch] Een verlanglijstje voor de nieuwe Wiv en de toekomst van onze IVD’en

“Het recht dient om de macht te beteugelen”, zo kopte eerder dit jaar een artikel in De Groene Amsterdammer over rechtsstaat versus veiligheidsstaat. Vanuit die gedachte is hier een verlanglijstje voor de nieuwe Wiv en de toekomst van onze IVD’en:

  1. Een drempel of schot tussen de hackbevoegdheid en de bevoegdheid tot ongerichte interceptie. Dessens adviseert bij kabelinterceptie verplichting tot medewerking van (voor IVD’en relevante) Nederlandse kabelaanbieders. Een voordeel aan het voorgestelde model is dat de kabelaanbieders in the loop zijn: ze worden betrokken in het proces, weten dat er iets speelt en zullen zo nodig een klacht kunnen indienen (bij de betrokken Minister, die vervolgens verplicht is de CTIVD te consulteren). Dessens zegt echter niets over de mogelijkheid van het inzetten van de hackbevoegdheid om ongerichte interceptie uit te voeren. Het kabinet stelt in november 2014 dat de diensten geen “onbeperkte en zelfstandige” toegang krijgen tot kabels, met als argument het genoemde model van werken. Het in the loop-model zal bij hacking doorgaans niet kunnen worden toegepast, omdat de eigenaar van het gehackte systeem/netwerk niet op de hoogte mag zijn van de hacking. Welke waarborg is er dan dat — in de verzamelfase van het nieuwe interceptiestelsel — via hacking niet alsnog situaties ontstaan die neigen naar “onbeperkte en zelfstandige” toegang? Denk hierbij aan de poging die door GCHQ is ondernomen om in te breken op de GRX routers van BICS/Belgacom, waarmee internationaal roaming telefoon- en internetverkeer zou kunnen worden onderschept en gemanipuleerd. Het verdient de overweging ongerichte interceptie via hacking uit te sluiten (schot), of, realistischer, in te perken (drempel) om “onbeperkte en zelfstandige” toegang reeds te vermijden in de verzamelfase — de fase waar de nieuwe eis van doelgerichtheid het meest ruim zal kunnen worden uitgelegd. (Hoe dat inperken zou kunnen, is dan een open vraag. Wellicht is het mogelijk ongerichte interceptie via hacking in beginsel slechts toe te staan in het kader van de buitenlandtaak, en/of voor doelwitten die zich fysiek in risicolanden of militaire uitzendgebieden bevinden. Wellicht zijn er betere mogelijkheden dan deze.)
    • Opmerking: vermoedelijk zal de overheid willen toestaan dat de hackbevoegdheid, die nu gericht is, voor ongerichte interceptie kan worden ingezet geen drempel voorstellen. Het is mogelijk dat het nieuwe drie-fasen-interceptiestelsel punt (1) voldoende adresseert; dit zal moeten blijken uit het wetsvoorstel-in-wording (en vervolgens, na invoering van een nieuwe Wiv, uit CTIVD-toezichtsrapporten). Het is ook mogelijk dat de hackbevoegdheid nimmer zal worden ingezet voor een vorm van ongerichte interceptie.
  2. Geen schrijftoegang tot kabelnetwerken, of regel de schrijftoegang nader. Het is nog onduidelijk welke toegang kabelaanbieders precies zullen moeten verlenen. Krijgen de IVD’en alleen leestoegang tot kabelnetwerken, of ook schrijftoegang? Kortom, biedt de verplicht te verlenen toegang de diensten de mogelijkheid die toegang in te zetten voor het uitoefenen van de hackbevoegdheid, bijvoorbeeld voor MitM-aanvallen zoals gezien in QUANTUM INSERT? Als zulke methoden mogelijk moeten zijn via de verplichte medewerking van kabelaanbieders, overweeg dan nadere regeling van de schrijftoegang: bijvoorbeeld een model waarbij een provider in the loop is bij het uitvoeren van gerichte MitM-aanvallen, zoals nu ook al het geval is bij gerichte interceptie ex Art.25 Wiv2002. Dan hebben de diensten wel de technische mogelijkheid, maar is er toch een zekere remmende factor.
  3. Nadere regeling van de hackbevoegdheid. Een tap is een tap. Maar de ene hack is de andere hack niet. Inbreken op GRX routers van BICS/Belgacom (zie punt #1) en het hacken van webfora zijn niet hetzelfde als het compromitteren van één smartphone. Toch valt alles onder het brede Art.24 Wiv2002. Gelukkig stelt de commissie-Dessens dat de hackbevoegdheid onder Ministeriële toestemming moet vallen — een duidelijke weeffout in de Wiv2002. Maar dreigt de hackbevoegdheid, ook gezien de wijdverspreide en zeer invasieve hackingactiviteiten van de NSA en GCHQ, niet een catch-all te worden voor alle informatiebehoeften van de IVD’en? Zo ja, dan verdient het de overweging de hackbevoegdheid nader te regelen — bijvoorbeeld geïnspireerd door de fasen in de cyber kill chain (reconnaissance, weaponization, delivery, exploitation, installation, command & control, en actions on target), en/of op basis van de mate waarin sprake is van infrastructuur die ook door non-targets wordt gebruikt; er zijn vast mogelijkheden. Het huidige Art.24 Wiv2002 is te algemeen, te generiek, te vrijblijvend. Merk op dat de CTIVD in rapport 38 stelt:

    Wel constateert de Commissie dat technologische ontwikkelingen het vandaag de dag mogelijk maken om bestaande bevoegdheden op nieuwe, niet altijd door de wetgever voorziene, manieren in te zetten.

    Zo’n situatie is thans ook aan de orde bij het begrip “verwerken” in de Wbp; daarover merkte de AIV in het adviesrapport internetvrijheid (.pdf, blz. 43 en 67) nog op dat regelgeving onbedoelde effecten kan hebben als regels toepassing krijgen in een gebied waarvoor zij niet zijn ontworpen. Laat de nieuwe Wiv geen kiertjes hebben die via creatieve juridische interpretaties tot ongewenste uitkomsten kunnen leiden.

  4. Een verbod op elke medewerking, passief of actief, aan het inbouwen van kwetsbaarheden in het ontwerp of de implementatie van internetstandaarden, software en hardware die worden gebruikt door het algemene publiek. Zie Bullrun (NSA) en Edgehill (GCHQ). Passief meewerken (weten en niets doen) of actief werken (uitvoerend) aan programma’s zoals Bullrun en Edgehill ondermijnt het langetermijnbelang van een vrij en veilig internet, zoals dit recent nog is uitgedragen door de AIV in het advies over internetvrijheid (.pdf, december 2014). Er is reeds discussie over wat de JSCU met gevonden kwetsbaarheden zou moeten doen (zie hier (.pdf), maar dat is een andere kant van het verhaal. De JSCU zal beslist ook kwetsbaarheden inkopen van commerciële handelaren; een markt waar onder meer Corien Prins (UvT) bedenkingen bij heeft.
  5. Effectief, werkend toezicht op de selectie uit bulk intercepts. In toezichtsrapporten 19, 26, 28, 31 en 35 — een periode van vijf jaar omspannend — heeft de CTIVD steeds moeten concluderen dat de inzet van Art.27 Wiv2002 derde lid (bulk intercepts doorzoeken op personen, organisaties, technische kenmerken, of trefwoorden) niet of onvoldoende is gemotiveerd; zie deze samenvatting (.pdf). Het voorstel om ongerichte kabelinterceptie toe te laten betekent dat deze bevoegdheid, waar dus terugkerende en nog onopgeloste problemen van toepassing zijn, significant wordt uitgebreid. Plasterk stelde (.pdf) hierover in december 2013 in antwoord op vragen van Kamerlid Schouw (D66):

    Op dit vlak zijn en worden maatregelen getroffen. Deze zijn erop gericht de CTIVD in staat te stellen in toekomstige rapporten tot een oordeel te komen.

    Onduidelijk was (en is) welke maatregelen dat betreft. In november 2014 kondigde (.pdf) het kabinet een nieuwe interceptiestelsel aan, waarin de (flexibele) notie “doelgericht” is opgenomen, die relatief aan de fase van interceptie (verzamelen, voorverwerken, verwerken) zal moeten worden geïnterpreteerd, en bedoeld lijkt te zijn om het ongerichte zoveel mogelijk gericht te maken. Mogelijk is dat één van de maatregelen waar Plasterk op doelde. De vraag is nu: biedt die toevoeging wat de IVD’en nodig hebben om inzet van deze bevoegdheid in de praktijk juridisch voldoende te onderbouwen, en dus wat de CTIVD nodig heeft om  zich in de toekomst niet meer te hoeven onthouden van rechtmatigheidsoordelen op dit onderdeel? Zo ja, waaruit blijkt dat? Welke andere maatregelen “zijn en worden” getroffen door de Minister?

  6. Wettelijk verankerde cijfermatige transparantie. En dan het liefst betekenisvol en ondubbelzinnig. In België is sinds 1991 bij wet verankerd dat de toezichthouder rapporteert over het aantal gegeven machtigingen. België is qua structuur vergelijkbaar met Nederland: ze hebben de ADIV (=MIVD) en de VSSE (=AIVD), met vergelijkbare taakstellingen, en eveneens een onafhankelijke toezichthouder, het Vaste Comité I, dat eveneens uit drie deskundigen bestaat. Als publicatie schadelijk zou zijn, biedt de wet de mogelijkheid voor de toezichthouder die informatie geheim te houden. Maar dat doet het Vaste Comité I niet. Zo zien we de volgende tabel terug in het activiteitenverslag 2013 (.pdf) (Engelse versie; bron):
    “Specific” or “exceptional” investigative power (W.I&V 1998): Authorization level # 2013 (ADIV) # 2013 (VSSE)
    observation using technical means, in public places and private places accessible to the public or observation, with or without the use of technical means, of private places which are not accessible to the public (Article 18/2, §1, 1°) Head of service + give notice to oversight body 14 109
    inspection, using technical means, of public places, private places accessible to the public and closed objects located in these places (Article 18/2, §1, 2°) Head of service + give notice to oversight body 0 0
    consulting data identifying the sender or addressee of a letter or the owner of a PO box (Article 18/2, §1, 3°) Head of service + give notice to oversight body 0 0
    measures used to identify the subscriber or habitual user of an electronic communication service or the means of electronic communication used; (Article 18/2, §1, 4°) Head of service + give notice to oversight body 66 613
    measures used to find call information for electronic communication methods (Article 18/2, §1, 5°) Head of service + give notice to oversight body 15 136
    localisation of the origin or destination of electronic communications. (Article 18/2, §1, 5°) Head of service + give notice to oversight body 36 224
    observation, with or without the use of technical means, among others in private places which are not accessible to the public, or in premises used for professional purposes or as a residence for a lawyer, doctor or journalist (Article 18/2, §2, 1°) Oversight body (unanimous prior consent) 1 6
    inspection, with or without the use of technical means, among others of private places which are not accessible to the public or premises used for professional purposes or as a residence for a lawyer, doctor or journalist and of closed objects found in these places (Article 18/2, §2, 2°) Oversight body (unanimous prior consent) 0 6
    setting up or appealing to a legal entity to support operational activities and appealing to officers of the service, under a false identity or in a false capacity (Article 18/2, §2, 3°) Oversight body (unanimous prior consent) 0 0
    opening and reading letters, either sent via a postal service or not (Article 18/2, §2, 4°) Oversight body (unanimous prior consent) 0 6
    collecting data on bank accounts and bank transactions (Article 18/2, §2, 5°) Oversight body (unanimous prior consent) 5 11
    intrusion into a computer system, with or without the use of technical means, false signals, false codes or false capacities (Article 18/2, §2, 6°) [hacking] Oversight body (unanimous prior consent) 0 12
    tapping, listening to and recording communication (Article 18/2, §2, 7°) Oversight body (unanimous prior consent) 17 81

    Hier staat voor ADIV en VSSE uitgesplitst hoe vaak een methode is toegepast. Het Vaste Comité I vermeldt elders in het rapport ook hoe vaak deze categorieën bevoegdheden zijn ingezet voor elk van de taakstellingen van de diensten.

    Wat weten we over Nederland? Als gevolg van een TK-motie zijn er twee feiten bekend over gerichte interceptie uitgevoerd in, alleen, het jaar 2009: 1078 taps door AIVD, 53 door MIVD. In oktober 2014 weigerde een rechter openbaarmaking van AIVD-statistieken over andere jaren, deels op basis van geheime informatie. In december 2014 nam de CTIVD statistieken op in een nieuw toezichtsrapport, maar die werden vervolgens door de Minister gecensureerd (gotspe!).

    De CTIVD stelt in toezichtsrapport 33 (2012) dat “van een aanmerkelijke kans op schade aan de nationale veiligheid” geen sprake is als meerjaarlijkse tapstatistieken van de AIVD openbaar zouden zijn. Conclusie 13.15 (p.57) luidt dan ook:

    De Commissie is van oordeel dat een meerjaarlijks overzicht van de tapstatistieken niet als staatsgeheime informatie kan worden aangemerkt.

    In het Dessens-rapport (2013) staat:

    Een zo groot mogelijke mate van transparantie draagt bij aan maatschappelijk vertrouwen en draagvlak voor het werk van de diensten. Tegelijkertijd draagt transparantie bij aan de waarborging van grondrechten. Overheidsorganen moeten zich openstellen voor daadwerkelijke publieke controle.

    Daarna herhaalt de cie-Dessens de eerdere opmerking van de CTIVD:

    Dit is bijvoorbeeld mogelijk door meer actieve openbaarmaking van gegevens die in het verleden door de diensten zijn verwerkt. De transparantie kan ook bevorderd worden door royaler cijfermatige informatie te verstrekken over de activiteiten van de diensten.

    De deskundigen van de CTIVD en de cie-Dessens voelen dus wel wat voor cijfermatige transparantie. Wat zou de geheime informatie zijn op basis waarvan de Minister en de rechter dit afwijzen? Was die informatie bekend bij de CTIVD en de cie-Dessens ten tijde van de hier geciteerde opmerkingen? Op welke wijze kan het verschil tussen België en Nederland worden verklaard? Is er in Nederland sprake van blinde koppigheid, of toch van argumenten die daadwerkelijk nopen tot geheimhouding? [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en)]

  7. Meer middelen voor de CTIVD. Feit is dat de CTIVD, die in 2002 per Wiv2002 is opgericht, pas in 2008 een eerste toezichtsrapport publiceerde dat ziet op interceptiebevoegdheden. Feit is dat de CTIVD pas in 2014 ontdekte dat in 2011, 2012 en 2013 onrechtmatigheden zijn begaan bij hacking en acquisitie van gegevens van social media. Zal dit soort achterstand opnieuw optreden naar mate hacking en ongerichte interceptie uitgebreider en ingewikkelder worden? De samenleving is gebaat bij structureel actuele en brede coverage in de onderzoeken die de CTIVD uitvoert. Dat kost tijd en personeel. In 2014 was het budget van de CTIVD zo’n 9 ton; in 2015 is het 1 miljoen euro (bron). Is dat voldoende? Beschikt de CTIVD nu over alle benodigde kennis, zoals kennis over de werking van IT, om kritisch door te vragen bij de IVD’en? Op 23 december 2014 heeft de CTIVD een kenniskring aangekondigd (.pdf) waar o.a. hoogleraar computerbeveiliging Bart Jacobs lid van is; dat is een stap in de goede richting.
  8. Een structureel derubriceringsprogramma binnen de AIVD. Een actieve verplichting tot derubricering is reeds wettelijk aan de AIVD opgelegd ingevolge het VIR-BI, maar daar komt in de praktijk niets van terecht, zo blijkt uit CTIVD-rapport 33 (2012). Er is in 2014 toegezegd dat de BVD-archieven nog in 2014 aan het Nationaal Archief worden overgedragen, maar daarmee is de kous niet af. Het is belangrijk dat een structureel en werkend derubriceringsprogramma wordt opgericht, zoals dat ook het geval is in de VS en het VK.
    • [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en) dd 2014, de oproep AIVD, open je archief! van Constant Hijzen dd 2012, en, in algemenere zin, de nota Open de oester van Duyvendak dd 2005]
    • [UPDATE 2015-03-10: een recent inspectierapport van Erfgoedinspectie over de informatiehuishouding bij de AIVD, stelt het volgende over de kwestie van archivering vs. vernietiging van agenten- en informantendossiers, waarover al sinds 1991 een meningsverschil bestaat tussen de AIVD en het Nationaal Archief: “Het langlopende en nog steeds niet afgeronde traject om te komen tot een selectielijst en met name een bewaartermijn voor de agenten- en informantendossiers, toont aan dat de in artikel 2 van het Archiefbesluit voorgeschreven belangenafweging onvoldoende houvast biedt om tot een oplossing te komen als het gaat om strijdige belangen.”]
  9. Rubricering per alinea, niet per document. Uit CTIVD-rapporten wordt duidelijk dat de AIVD informatie per document rubriceert en niet per alinea. Dat leidt er volgens de CTIVD toe dat alle informatie in een document wordt gerubriceerd op het niveau dat (alleen) past bij de meest gevoelige passages. Het is wenselijk dat voortaan per alinea wordt gerubriceerd. In de VS en het VK is dat standaardprocedure. [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en)]
  10. Nadere duiding van het begrip “onvermijdelijk”. De IVD’en mogen gegevens verwerken over “godsdienst of levensovertuiging, ras, gezondheid en seksuele leven” alleen indien wordt voldaan aan de eisen van noodzakelijkheid (Art. 12, tweede lid, Wiv2002) en onvermijdelijkheid (Art. 13, vierde lid, Wiv2002). Hoe wordt “onvermijdelijk” geïnterpreteerd? Gaat het nadrukkelijk om bijvangst? Of staat de Wiv toe dat — en nu geef ik een wat extreem scenario — de AIVD toegang krijgt tot gegevens in het landelijke DBC Informatie Systeem (DIS) en tot de CBS-sleutel waarmee die data tot personen kan worden herleid? Zulke informatie kan in voorkomende gevallen van waarde zijn voor de beïnvloeding van personen en/of hun omgeving. In de MvT van de Wiv2002 staat de volgende toelichting, waarin geen voorbeelden (of hints) zijn opgenomen van scenarios die niet kunnen worden gebaseerd op deze uitzonderingsregel:

    Met het begrip «onvermijdelijk» wordt beoogd aan te geven dat bij de verwerking van een gegeven als hier bedoeld aan een zwaarder criterium dient te worden voldaan, dan aan het in artikel 12, tweede lid, neergelegde noodzakelijkheidscriterium. Bij het vastleggen van deze categorie gegevens zullen de diensten dus extra terughoudend moeten zijn. Het zal echter onvermijdelijk zijn om bijvoorbeeld de godsdienstige of levensovertuiging van personen of organisaties te registreren in de gevallen dat anti-democratische, staatsgevaarlijke of anti-militaristische activiteiten worden ontplooid waarbij de daders hun godsdienstige overtuiging als motief aanvoeren voor hun activiteiten. Hierbij kan bijvoorbeeld worden gedacht aan de terroristische gifgas-aanslagen in Japan door leden van een godsdienstige sekte, of aan de activiteiten van andere godsdienstige sekten, zoals in de Verenigde Staten (Waco, Texas). Ook zal registratie van de godsdienstige overtuiging onvermijdelijk zijn als het gaat om terroristische activiteiten van bepaalde godsdienstige splintergroeperingen, bijvoorbeeld binnen radicale moslim-organisaties.


[Dutch] Notities over polarisatie en radicalisering

UPDATE 2015-11-14: de lijst van updates/actualiteiten is naar de bodem verplaatst.

De NCTV-website [archiefkopie hier] bevat “kennis en ervaring van vijf jaar beleid op het terrein van polarisatie en radicalisering”, bestaande uit een uitgebreid handelingskader [archiefkopie hier] voor wie met radicalisering te maken krijgt, en tientallen praktijkvoorbeelden [archiefkopie hier]. In deze post citeer ik een aantal fragmenten uit die informatie met het doel een weergave te geven van het preventieve gedeelte van de praktijkaanpak van radicalisering in Nederland (dus niet het repressieve: oppakken, uitreisverbod, nationaliteit afpakken, etc.). Het onderstaande leeft voort onder de door het kabinet in augustus 2014 aangekondigde versterkte integrale aanpak jihadisme en radicalisering (.pdf) (actiepunten 21 t/m 28).

Context, verdieping en verbreding kan worden gevonden via de links, of via het lijstje bij “Verder leesvoer” onderaan. Niemand pretendeert volledigheid of perfectie in de aanpak van radicalisering; daar is de menselijke wereld te complex voor.

Terug naar die NCTV-website. Het handelingskader beschrijft wat men kan doen indien geconfronteerd met polarisatie en (mogelijke) radicalisering. Nuansa (MinVenJ) en het Nederlands Jeugd Instituut schreven voor instellingen in onderwijs, jeugdzorg en welzijn de Handreiking radicalisering en polarisatie (.pdf, 2012). Fragmenten uit die handreiking staan in het handelingskader; ook is de handreiking terug te vinden in de toolbox extremisme, opgesplitst in tien ‘servicedocumenten’.

De handreiking bevat het volgende vraag-aanbod model ter illustratie van factoren die een rol spelen bij radicalisering:

In de handreiking wordt het model als volgt toegelicht (in vrij informele stijl):

  • Vragen (geel): De jongere of jongvolwassen gaat opzoek naar zijn of haar identiteit: wie ben ik? Waar hoor ik bij? Wat moet ik doen? In contact met ouders, familie, vrienden, school etc. worden deze vragen beantwoordt. Hierdoor vindt identiteitsvorming plaats.
  • Aanbod (oranje): Onderdeel van het aanbod aan antwoorden voor de identiteitsvorming kunnen ook radicale ideologieën zijn. Deze idealen en ideologieën kunnen aan jongeren en jongvolwassen op verschillende manieren worden aangeboden. Het internet is de meest uitgebreide en toegankelijke vindplaats van dit aanbod, maar ook door flyers, op het schoolplein en tijdens bezoeken aan de moskee kunnen jongeren en jongvolwassenen in aanraking komen met radicale ideeën.
  • Voedingsbodem (groen): De voedingsbodem welke de aantrekkingskracht van radicale ideeën genereert bestaat uit:
    • Gevoelens van achterstelling, discriminatie, vernedering of uitsluiting en het ervaren van onrecht. Deze gevoelens kunnen voortkomen uit eigen persoonlijke ervaringen maar kunnen ook voortvloeien uit vermeende ervaringen of gebeurtenissen in de media. Ook de integratieparadox speelt een rol: hoe meer migranten gericht zijn op de Nederlandse maatschappij en willen integreren, hoe groter hun verwachtingen worden ten aanzien van de maatschappij en hoe gevoeliger ze zijn voor cultuurconflicten en uitsluiting.
    • Persoonlijke gebeurtenissen in het leven van een jongere of jongvolwassene waardoor ze onzeker worden over wie ze zijn. Voorbeelden hiervan zijn een scheiding van ouders, het verlies van een dierbare of een waardevolle vriendschap.
    • Psychische problematiek (blauw): De laatste jaren tonen diverse onderzoeken aan dat personen met een psychische problematiek, zoals autisme, gevoeliger kunnen zijn voor radicale ideeën. Door psychische problemen kunnen ze verminderd in staat zijn gevoelens te tonen of empathie te tonen voor andersdenkenden.
  • Cognitieve opening (rood): de combinatie van de aantrekkingskracht van een ideologie of gedachtegoed en de voedingsbodem bij het individu waardoor het proces van radicalisering kan worden verklaard.

Vervolgens wordt het radicaliseringsproces als volgt geduid:

Zoals gezegd is radicalisering een proces; dat verloopt niet volgens een vast stramien. De te onderscheiden groepen, zoals hieronder weergegeven, overlappen elkaar. Het is daarbij niet gezegd dat als je links begint met stappen te zetten, je uiterst rechts eindigt. Het proces kan razend snel of juist langzaam gaan, stilvallen en weer terugtreden. Voor de meeste personen die een proces van radicalisering doormaken betekent het verkrijgen van regelmaat, structuur en verantwoordelijkheden (‘ huisje, boompje, beestje’) de doorloop naar de-radicalisering.


Daarbij wordt gesteld:

De eerstelijnsprofessional [=persoon werkzaam in onderwijs, jeugdzorg of welzijn] zal zelden of nooit met de uiterst rechtse fase te maken hebben. Interveniëren bij deze groep is veelal voorbehouden aan de politie, AIVD of de-radicaliseringsdeskundigen. Vooral de eerste twee fasen zijn voor de professional de grootste uitdaging om jongeren weerbaar te houden of te maken zodat ze niet meer beïnvloedbaar zijn of kunnen worden. De professional kan vanuit de zorg voor en betrokkenheid op de jongere een bijdrage leveren aan het tegengaan van radicalisering.

Over specifieke signalen waaraan radicalisering kan worden herkend wordt het volgende gesteld:

Hieronder volgt een handreiking bij het herkennen en duiden van radicalisering door:

  1. het verhelderen van signalen die mogelijk een aanwijzing kunnen zijn voor (dreigende) radicalisering;
  2. het stellen van controlevragen;
  3. het weten op te sporen van bedreigende factoren of omstandigheden, die de situatie zorgelijker zouden kunnen maken.


Belangrijk voorafgaande aan gebruik van deze lijst is:

  • Doe de duiding niet alleen: zoek contact met andere professionals, ouders of vrienden van de persoon waar u zich zorgen over maakt. Inventariseer of uw zorg gedeeld wordt, wat ervaren of zien zij?
  • Pas op voor overhaaste, onterechte labels. Stel jezelf controlevragen.
  • Ook als er geen sprake is van (dreigende) radicalisering kan een ‘niet-pluis-gevoel’ en een aantal signalen duiden op een zorgelijke situatie waarin iets moet gebeuren – ook als het niets met radicalisering te maken heeft.

ad 1. de signalen

Bij personen die in een proces van radicalisering zitten is vaak een aantal van de volgende mogelijke signalen van radicalisering te onderscheiden:

  • Vervreemding en (zelf)uitsluiting: afstand nemen, persoonlijke relaties veranderen drastisch en contacten worden verbroken.
  • Devotie en idealisme: verheerlijking van idealen, een ideale samenleving en het verlaten van instituties die deze idealen niet delen. Waar loopt hij of zij warm voor?
  • Bedreigingen en vijanden: benoemen van bedreigingen van ‘de vijand’. Waar is hij of zij tegen of bang voor?
  • Privaat is publiek: er wordt geen onderscheid gemaakt tussen private normen en de publieke normen.
  • Uiterlijke kenmerken en andere uitingsvormen: kleding, profielsite en alias dienen niet om hip te zijn, maar hebben een ideologisch statement.
  • Onderlinge loyaliteit: de gedeelde ideologie of groepsidentiteit wordt belangrijk. Radicalisering is vaak een sociaal proces, een soort van ‘nieuwe familie’. Uitzondering hierop zijn eenlingen welke radicaliseren binnen een (zelfverkozen) isolement.
  • Actiebereidheid: Is het onrecht of de bedreigingen dusdanig dat de persoon voelt dat hij tot actie moet overgaan en zijn bijdrage aan de ‘strijd’ wil/moet leveren? Wordt geweld daarbij gerechtvaardigd of acties gelegitimeerd?

ad 2: controlevragen

Belangrijk is om als professional controlevragen te stellen:

  • Kan het gaan om handelingen die lijken op radicale uitingen maar ook op iets anders kunnen duiden?
  • Kan het gaan om radicale symbolen, leuzen en redeneringen die worden geuit zonder dat dit gedachtegoed of de ideologie ook wordt gedeeld?
  • In hoeverre is er sprake van een ideologisch component? Of worden bepaalde argumentaties enkel provocerend gebruikt?
  • Is het de eerste keer dat je dit gedrag of uiting waarneemt of heb je al eerdere, vergelijkbare ervaringen opgedaan? Is er sprake van gedragsverandering bij de persoon in kwestie?
  • Ben jij de enige die ziet dat er sprake is van (geen) radicalisering, of kijken je collega’s en professionals van andere instellingen die de jongere kennen, er ook zo tegen aan?
  • Hoe verhoudt het waargenomen gedrag zich tot het aangehangen gedachtegoed? In welke mate beïnvloedt het denken het doen?

ad 3: bedreigende factoren

Naast de signalenlijst en bij behorende controlevragen kunnen bedreigende factoren rond het individu in kwestie – ook wel voedingsbodem genoemd- tevens de zorgelijkheid van signalen doen toenemen:

  • slecht sociaal netwerk, isolatie of vervreemding;
  • problematische identiteitsontwikkeling (bijv. eenzaamheid, gepest worden etc.);
  • aanwezigheid van radicale personen in de directe omgeving;
  • persoonlijke crises (bijv. scheiding, ontslag, conflicten en crises);
  • frustrerende gebeurtenissen (bijv. integratieparadox) ;
  • persoonlijke gebeurtenissen die leiden tot schaamte/schande;
  • slechte schoolprestaties, werkloosheid, slechte arbeidsmarktkansen;
  • psychische problematiek;
  • drank en drugs.

(Nota bene: er wordt gewaarschuwd geen “overhaaste, onterechte labels” te plakken, maar tegelijkertijd wordt aanbevolen iets te signaleren als er sprake is van een “niet-pluis-gevoel”. Het zal een blijvend aandachtspunt zijn: onder welke omstandigheden wordt iemand wel of niet in beeld gebracht, en met welke duiding? Bij de politie, of, al dan niet via de CT-Infobox, de AIVD? Daarbij zijn vervolgvragen te stellen: welke gevolgen heeft de labeling voor de betrokkene en diens sociale omgeving? En: worden persoonsgegevens bij gebleken onterechte registratie, of na succesvolle deradicalisatie, uit alle hoeken en gaten van de betrokken informatiesystemen gewist, of duikt informatie — al dan niet met context — in de toekomst weer op wanneer betrokkene een VOG of VGB nodig heeft, of een uitkering aanvraagt? Fout-positieven zijn denkbaar: pubers of adolescenten die niet worden ‘afgevangen’ door controlevragen of peer review, maar waarbij in werkelijkheid geen sprake is van een dreiging.)

Voor het registreren van radicalisering van personen t/m 22 jaar oud, kunnen gemeenten met een beroep op artikel van de Jeugdwet zonder toestemming van betrokkene een melding plaatsen in de Verwijsindex Risicojongeren (Vir). Vereiste is dan dat de meldingsbevoegde (de gemeente) een redelijk vermoeden heeft dat “de jeugdige door een of meer van de hierna genoemde risico’s in de noodzakelijke condities voor een gezonde en veilige ontwikkeling naar volwassenheid daadwerkelijk wordt bedreigd”:

  1. de jeugdige staat bloot aan geestelijk, lichamelijk of seksueel geweld, enige andere vernederende behandeling, of verwaarlozing;
  2. de jeugdige heeft meer of andere dan bij zijn leeftijd normaliter voorkomende psychische problemen, waaronder verslaving aan alcohol, drugs of kansspelen;
  3. de jeugdige heeft meer dan bij zijn leeftijd normaliter voorkomende ernstige opgroei- of opvoedingsproblemen;
  4. de jeugdige is minderjarig en moeder of zwanger;
  5. de jeugdige verzuimt veelvuldig van school of andere onderwijsinstelling, dan wel verlaat die voortijdig of dreigt die voortijdig te verlaten;
  6. de jeugdige is niet gemotiveerd om door legale arbeid in zijn levensonderhoud te voorzien;
  7. de jeugdige heeft meer of andere dan bij zijn leeftijd normaliter voorkomende financiële problemen;
  8. de jeugdige heeft geen vaste woon- of verblijfplaats;
  9. de jeugdige is een gevaar voor anderen door lichamelijk of geestelijk geweld of ander intimiderend gedrag;
  10. de jeugdige laat zich in met activiteiten die strafbaar zijn gesteld;
  11. de ouders of andere verzorgers van de jeugdige schieten ernstig tekort in de verzorging of opvoeding van de jeugdige, of
  12. de jeugdige staat bloot aan risico’s die in bepaalde etnische groepen onevenredig vaak voorkomen.

Voor wat betreft polarisatie geeft de handreiking het volgende handelingsperspectief, afkomstig uit de publicatie De rol van eerstelijnswerkers bij het tegengaan van polarisatie en radicalisering (.pdf, 2008) van COT, het Instituut voor Veiligheids- en Crisismanagement:


Volgens COT kan deze tabel “als handvat dienen bij het doordenken van de rol van de eerstelijnswerker”. In de COT-publicatie worden vervolgens mogelijke rollen uitgewerkt voor gemeenten, politie, justitie, onderwijs, welzijnswerk en jeugdhulpverlening. Daarbij is ook gekeken naar de beperkingen en mogelijkheden die per rol (dus: per context) bestaan ten aanzien van bijdrage aan het voorkomen van radicalisering.

Voor al het bovenstaande geldt dat effectiviteit zich lastig laat meten: er zijn veel variabelen en er kan moeilijk met controlegroepen worden gewerkt. Causale verbanden vaststellen is dan moeilijk — je weet bijvoorbeeld niet of personen die niet radicaliseren, zonder deze maatregelen wél zouden zijn geradicaliseerd. Er is wel anecdotaal bewijs: de praktijkvoorbeelden die zijn gedeeld. En men zou kunnen stellen dat het voor de uitkomst niet uitmaakt: minder radicalisering is minder radicalisering, en wie weet is een gedeelte van de uitkomst daadwerkelijk het gevolg van de geleverde inspanningen, niet alleen van veranderingen elders in de wereld.

Verder leesvoer:

UPDATES (van recent naar oud)

UPDATE 2019-08-26: Toolkit helpt gemeenten bij tegengaan radicalisering (NCTV). Directe link naar de toolkit:

UPDATE 2019-08-14: My encounters with CSISRamz Aziz: CSIS arbitrary outreach to Muslim students does everything but identify risk factors for radicalization (opiniestuk van Ramz Aziz o.a. nav contact dat de Canadian Security Intelligence Service aka CSIS met hem zocht)

UPDATE 2019-07-20: A Review of Transatlantic Best Practices for Countering Radicalisation in Prisons and Terrorist Recidivism (.pdf, Europol; 15 pagina’s). Abstract: “Counter terrorism practitioners in Europe and North America have long considered radicalisation within prison systems and the release of incarcerated terrorist offenders as major challenges. The problem has worsened during the past half-decade, as the number of extremist offenders in Western prison systems has metastasised, and previously incarcerated extremists were responsible for attacks that rank amongst Europe’s deadliest. Significant barriers remain to developing effective radicalisation prevention and disengagement programmes in prisons, jails and parole systems, as well as inculcating prison authorities within the counter terrorism infrastructure. Nonetheless, some innovative programmatic responses, albeit on a small scale, are currently in effect. This paper reviews efforts in the European Union and the United States of America to combat extremism in prison and parole systems, highlighting the guidelines, methods and practices which have proven effective or ineffective in certain circumstances.”

UPDATE 2019-07-08: White Supremacist Online Incitement: White Supremacist Neo-Nazi Group Works To Recruit New Members On Gab, Twitter, Instagram, And BitChute – With Intent To Take Violent Action (MEMRI, Special Dispatch No.816. Wikipedia-entry over MEMRI: hier)

UPDATE 2019-06-25: Getting off: The Implications of Substance Abuse and Mental Health Issues Among Former ISIS Fighters for Counterterrorism and Deradicalization. Artikel van dr. Daniel Koehler & dr. Peter Popella, vandaag verschenen bij Small Wars Journal.

UPDATE 2019-06-07: Encrypted Extremism: Inside the English-Speaking Islamic State Ecosystem on Telegram (.pdf, 62 pagina’s; mirror) — nieuw rapport van George Washington University. Begeleidend schrijven/persbericht: Report Details How Islamic State Supporters Use Telegram.

UPDATE 2019-04-03: A Public-Health Approach to Countering Violent Extremism (Michael Garcia, at Just Security)

UPDATE 2019-03-26: Politicoloog Bassam Tibi: ‘Het gaat om het verschil tussen een moslim en een islamist’ (Volkskrant). Introductie: “Achter de rel rond het salafistische Cornelius Haga Lyceum gaat een fundamentele strijd schuil onder moslims in Europa, waarschuwt islamgeleerde Bassam Tibi. ‘Als Europa zijn eigen verlichte moslims niet steunt, geeft het ruimte aan islamistische ondermijning.’ […]”. Over de kwestie rondom Cornelius Haga, zie ook: AIVD: Omstreden shariageleerde op Cornelius Haga Lyceum voor heimelijke bijeenkomsten (AT5) en/of de bron daarvan: AIVD: Britse prediker heimelijk op Haga (NRC Handelsblad; NRC heeft het vertrouwelijke ambtsbericht aan de burgemeester van Amsterdam ingezien).

UPDATE 2019-03-xx: Psychopathologie en terrorisme – Stand van zaken, lacunes en prioriteiten voor toekomstig onderzoek (WODC-onderzoeksrapport). De (volledige) conclusie: “Prevalentiestudies naar psychopathologie bij terrorisme laten zien dat er geen enkelvoudig specifiek profiel is voor terroristen. Psychopathologie lijkt een beperkte rol te spelen bij lone actors en niet specifiek bij groepsterrorisme. Psychische stoornissen zijn bovendien in het algemeen ook niet bruikbaar om statistisch te voorspellen wie wel of niet een terroristische daad zal plegen. Voor iedere stoornis, zelfs als deze relatief vaker bij lone actor terroristen is geconstateerd, geldt dat de overgrote meerderheid van de personen die eraan lijdt, zich nooit aangetrokken zal voelen tot radicalisering of terroristische activiteiten.Toekomstig onderzoek zal nader moeten duiden welke psychische stoornissen vaker voorkomen bij bepaalde specifieke types terrorisme, en met welke geweldsondersteunende factoren deze stoornissen kunnen samenhangen. Kwalitatieve kennis over (behandel)protocollen zal verder op internationaal niveau klinische experts en professionals kunnen assisteren bij gedegen case-management.”

UPDATE 2019-01-23: Veelgestelde vragen radicalisering en polarisatie (Rijksoverheid / JEP).

UPDATE 2019-01-18: Lancering e-magazine Platform JEP: Aandachtsfunctionarissen radicalisering in het jeugddomein (Rijksoverheid / JEP). Directe link: JEPzine 01. (NB: “Platform JEP” = Platform Jeugd preventie Extremisme en Polarisatie)

UPDATE 2018-12-06: Vlaamse aanpak deradicalisering werkt contraproductief: “Vroeger waren we Belgen, nu zijn we moslims” ( Inleiding: “Het Vlaamse deradicaliseringsbeleid heeft contraproductieve effecten op kwetsbare jongeren in het jeugdwelzijnswerk. Dat stelt een onderzoek aan de Arteveldehogeschool. Zo worden radicale opinies bij jongeren te vaak geproblematiseerd, terwijl ze horen bij een normale ontwikkeling in de puberteit. De islam wordt dan weer al te vaak gezien als een “gevaarlijk” geloof, wat bij moslimjongeren het gevoel versterkt dat ze tweederangsburgers zijn. ”

UPDATE 2018-10-15: Three reasons why it is difficult to recognize signs of radicalization (post van Marieke van der Zwan op het  Leiden Safety and Security Blog; over de recent verijdelde plannen voor een aanslag in Nederland)

UPDATE 2018-09-28: OM: grote aanslag in Nederland verijdeld, verdachten wilden kalasjnikovs en bomvesten gebruiken (Volkskrant). Meer: hier & hier.

UPDATE 2018-07-14: Wanneer is het beleid tegen radicalisering een succes? (artikel in Trouw, door Niels Markus en Kristel van Teeffelen)

UPDATE 2018-06-26: Vroegsignalering van extremisme? De lokale veiligheidsprofessional over risico’s en duiding bij jongeren (.pdf) — rapport van Annemarie van de Weert & Quirine Eijkman (werkzaam bij de Hogeschool Utrecht) over hoe in de Nederlandse Countering Violent Extremism (CVE)-praktijk wordt omgegaan met signalen van (vermeende) radicalisering. Thans zou te veel afhankelijk zijn van onderbuikgevoelens bij lokale veiligheidsprofessionals, wat ongewenste gevolgen kan hebben voor — op de eerste plaats — jongeren. Er wordt aanbevolen om te werken aan bewustzijn onder professionals over normale processen bij identiteitsvorming (waarin ook extreme maar niet-gewelddadige posities normaal kunnen zijn) etc. en aan specifiekere definities van radicalisering en van de doelen die met de CVE-inspanningen worden beoogd. (P.S.: de ‘Handreiking radicalisering en polarisatie’ v/d NCTV in 2012 benoemt het begrip “niet-pluis-gevoel” in de instructie voorafgaand aan de lijst van signalen. Ter opfrissing; “Ook als er geen sprake is van (dreigende) radicalisering kan een ‘niet-pluis-gevoel’ en een aantal signalen duiden op een zorgelijke situatie waarin iets moet gebeuren – ook als het niets met radicalisering te maken heeft.”)

UPDATE 2018-01-29: Haagse ronselorganisatie in hoger beroep voor de rechter (Openbaar Ministerie. Ook beschikbaar in Engels: Dutch terrorist recruitment organisation appears before the Court of Appeal)

UPDATE 2017-12-23: Countering Terrorist Narratives — rapport dd november 2017 door LIBE-commissie v/h Europese Parlement.

UPDATE 2017-12-14: Jihadist Dehumanisation Scale: an interesting way to assess radicalisation (gepost door onderzoekers van de University of Nantes, France)

UPDATE 2017-11-20: NCTV: Dreigingsbeeld Terrorisme Nederland 46  + Rijksoverheid-nieuwsbericht Blijvende dreiging van uitgereisde en lokale jihadisten.

UPDATE 2017-11-17: AIVD-publicatie ‘Jihadistische vrouwen, een niet te onderschatten dreiging’  + AIVD-nieuwsbericht Vrouwen factor van betekenis binnen jihadisme.

UPDATE 2017-11-13: Waves of the Black Banner: An Exploratory Study on the Dutch Jihadist Foreign Fighter Contingent in Syria and Iraq (wetenschappelijk artikel van Reinier Bergema en Marion van San, gepubliceerd in Journal of Studies in Conflict & Terrorism). Infographic:

UPDATE 2017-11-07: de conceptversie van de “Regeling OCW uitgereisde personen” is in consultatie gebracht. Toelichting bij de consultatie (citaat van website): “De Wet beëindiging uitkeringen, studiefinanciering en tegemoetkoming bij deelname aan terroristische organisatie voorziet in een beëindigingsgrond in de WSF 2000, de WTOS, en de WSF BES voor personen die worden aangemerkt als uitreizigers. In de regeling wordt de wijze waarop de gegevensuitwisseling tussen DUO en de bevoegde veiligheids- en opsporingsdiensten en (I)SZW over uitgereisde personen naar terroristische gebieden plaatsvindt, geregeld”.

UPDATE 2017-11-06: Deradicalizing, Rehabilitating, and Reintegrating Violent Extremists (U.S. Institute of Peace / USIP)

UPDATE 2017-11-02: ‘Betrek militair bij opsporing jihadgangers’ (opiniestuk Bibi van Ginkel, in Trouw)

UPDATE 2017-10-18: Crime as Jihad: Developments in the Crime-Terror Nexus in Europe (Rajan Basra and Peter R. Neumann) + CTC Sentinel Vol 10 Issue 9 (.pdf, oktober 2017, 37p). Abstract: “Throughout Europe, criminal and extremist milieus are merging, with many jihadis and ‘foreign fighters’ having criminal pasts. An individual’s criminality can affect his process of radicalization and how he operates once radicalized. The Islamic State’s recent propaganda suggests that the group is aware of this reality. It has positively framed the crime-terror nexus by encouraging crime ‘as a form of worship,’ and has been lauding those from criminal backgrounds. This has been reflected on the streets of Europe, where perpetrators have used their criminal ‘skills’ to make them more effective terrorists. While understanding of the crime-terror nexus has developed, there are many knowledge gaps that have practical implications for countering terrorism”. Dit issue van CTC Sentinel bevat ook een artikel over gebruik van internet voor ondersteuning van terrorisme: “The Cybercoaching of Terrorists: Cause for Alarm?” (John Mueller).

UPDATE 2017-09-26: Improving Understanding of the Roots and Trajectories of Violent Extremism: Proceedings of a Workshop–in Brief (verslag v/e workshop in Parijs op 20-21 juni 2017, 8 pagina’s; National Academies of Sciences, Engineering, and Medicine. 2017. Washington, DC: The National Academies Press. .

UPDATE 2017-08-14: IS comes from modern reality, not seventh-century theology (door Jad Bouharoun, column in Middle East Eye)

UPDATE 2017-08-04: Trump Signals Cuts to Unpopular “Countering Extremism” Programs, But Worse Could Be Coming (The Intercept)

UPDATE 2017-07-19: Salafi Jihadism – An Ideological Misnomer (door Sajid Farid Shapoo, in Small Wars Journal)

UPDATE 2017-07-09: Marketing to Extremists: Waging War in Cyberspace (door Andrew Byers en Tara Mooney, in Small Wars Journal)

UPDATE 2017-07-04: Philippines’ biggest Muslim rebel group, supports ‘fatwa’ against violent radicalism (Straits Times; op 8 juli 2017 ook op de newsticker van al Jazeera).

UPDATE 2017-07-04: EU LIBE concept-opinie met aanmoediging voor “programmes targeting ‘home-grown terrorists’ and de-radicalisation programmes”:  Draft report – EU Agency for Criminal Justice Cooperation (Eurojust) – PE 606.167v02-00 – Committee on Civil Liberties, Justice and Home Affairs (.pdf, dd 4 juli 2017)

UPDATE 2017-07-xx: Europe’s ‘new’ jihad: Homegrown, leaderless, virtual (.pdf, 7 pagina’s; door Thomas Renard, gepubliceerd in Security Policy Brief 89 van Egmont Institute)

UPDATE 2017-06-29: Counter-terrorism was never meant to be Silicon Valley’s job. Is that why it’s failing? (The Guardian) Subtitle: “Extremist content is spreading online and law enforcement can’t keep up. The result is a private workforce that’s secretive, inaccurate and unaccountable”.

UPDATE 2017-06-27: Drie jihadisten bij verstek veroordeeld tot zes jaar (NOS)

UPDATE 2017-06-27: Differential Association Explaining Jihadi Radicalization in Spain: A Quantitative Study (Reinares et al., Combating Terrorism Center / West Point)

UPDATE 2017-05-26: Exploring the Role of Instructional Material in AQAP’s Inspire and ISIS’ Rumiyah (dr. Alastair Reed & dr. Haroro J. Ingram, ICCT; gepresenteerd tijdens de 1st European Counter Terrorism Centre (ECTC) conferentie over online terrorist propaganda, 10-11 april 2017, Europol HQ, Den Haag)

UPDATE 2017-06-16: Countering ISIL’s Digital Caliphate: An Alternative Model (door Bradford Burris, op Small Wars Journal)

UPDATE 2017-06-15: The Roots of Violent Extremism (door Troy E. Mitchell, op Small Wars Journal)

UPDATE 2017-06-09: Deconstruction of Identity Concepts in Islamic State Propaganda (.pdf, J.M. Berger, ICCT / Europol)

UPDATE 2017-05-28: tweeluik van Andreas Kouwenhoven in NRC Handelsblad: Overheden maken nieuwe afspraken over privacy potentiële radicalen en Op een ‘watchlist’ – ook als je niets misdaan hebt

UPDATE 2017-05-17: Jihad Joris: Dutch Converts Waging Jihad in Syria and Iraq (door Reinier Bergema, op Bellingcat)

UPDATE 2017-05-11: Belgian fighters in Syria and Iraq – A Closer Look at the Converts (door Guy Van Vlierden en Pieter Van Ostaeyen, op Bellingcat)

UPDATE 2017-05-01: nieuw boek: Nederlandse jihadisten – van naiëve idealisten tot geharde terroristen (door Edwin Bakker en Peter Grol; betreft acht casusbeschrijvingen van jongeren die een radicaliseringsproces doormaakten)

UPDATE 2017-04-25: Lessons Learned from Countering Violent Extremism Development Interventions (door Steph Schmitt, in Small Wars Journal)

UPDATE 2017-04-18: A Psycho-Emotional Human Security Analytical Framework: Origin and Epidemiology of Violent Extremism and Radicalization of Refugees (door Patrick J. Christian et al., in Small Wars Journal).

UPDATE 2017-03-22: Radicalization into Violent Extremism I: A Review of Social Science Theories (door Randy Borum, in Journal of Strategic Security Volume 4, No. 4, Winter 2011: Perspectives on Radicalization and Involvement in Terrorism)

UPDATE 2016-10-04: Analyse der Radikalisierungshintergründe und -verläufe der Personen, die aus islamistischer Motivation aus Deutschland in Richtung Syrien oder Irak ausgereist sind (.pdf, 2016, 61 blz; door Bundeskriminalamt, Bundesamt für Verfassungsschutz en Hessisches Informations- und Kompetenzzentrum gegen Extremismus)

UPDATE 2016-10-02: Joint Staff Strategic Assessment: Counter-Da’esh Influence Operations Cognitive Space Narrative Simulation Insights (document van de Amerikaanse Joint Staff J39 uit mei 2016 inzake PSYOPS/INFOOPS; beschikbaar gesteld via Public Intelligence)

UPDATE 2016-08-23: Veroordeling voor via social media verspreiden van bestanden waarin tot een terroristisch misdrijf wordt opgeruid (Crime & Tech): voorwaardelijke gevangenisstraf van 6 maanden, met een proeftijd van twee jaren. Volledige uitspraak hier.

UPATE 2016-08-22: Why Europe Can’t Find The Jihadis In Its Midst (door Mitch Prothero, Michael Hastings Fellow). Via /r/intelligence.

UPDATE 2016-08-16: Countering the Narrative: Understanding Terrorist’s Influence and Tactics, Analyzing Opportunities for Intervention, and Delegitimizing the Attraction to Extremism (Jordan Isham en Lorand Bodo, in Small Wars Journal)

UPDATE 2016-07-11: Kamerbrief voortgang Actieprogramma Integrale Aanpak Jihadisme ( van Minister van der Steur (VenJ) en minister Asscher (SZW)

UPDATE 2016-06-14: EU proposes new steps against radicalisation (EU Observer). Citaat: “(…) The EU executive presented on Tuesday (14 June) a communication with propositions (.pdf) to extend current programmes in education, social inclusion, counter-propaganda, cooperation with third countries or addressing radicalisation in prisons. (…)”

UPDATE 2016-06-08: Nederlandse banken krijgen lijst met namen van vermoedelijke jihadisten ( Citaat: “De vier grootste banken van Nederland krijgen van de Financial Intelligence Unit (FIU), een overheidsinstantie, een lijst met namen van vermoedelijke jihadisten. De banken kunnen die personen dan controleren op ongebruikelijke transancties. (…)”

UPDATE 2016-06-01: Meer gemeenten ontvangen versterkingsgelden voor de aanpak van radicalisering (NCTV) –> MinV&J trekt in totaal € 2.2 miljoen uit voor de gemeenten Almere (€ 197.320), Amersfoort (€ 117.190), Culemborg (€ 9.100), Gouda (€ 335.000), Haarlemmermeer (€ 131.200), Hilversum (€ 39.455), Leiden (€ 36.275), Maastricht (€ 646.552), Nijmegen (€ 120.000), Nuenen (€ 285.675), Schiedam (€ 168.345) en Zwolle (€ 161.070). In 2015 trok MinV&J € 4,4 miljoen uit voor de gemeenten Den Haag, Amsterdam, Utrecht, Rotterdam, Delft, Arnhem, Zoetermeer en Huizen.

UPDATE 2016-05-07: Wijkagent als geheim wapen tegen radicalisering (NOS)

UPDATE 2016-05-xx: Psychologische Erklärungsansätze zum brutalen Vorgehen der Jihadisten in Syrien und im Irak (BfV, Duits)

UPDATE 2016-04-26: Niet elke salafist is een jihadist; Over salafistische contranarratieven (.pdf, dr. Ineke Roex / UvA, in Magazine nationale veiligheid en crisisbeheersing 2016 – 2)

UPDATE 2016-03-16: Complex dreigingsbeeld reden tot onverminderd grote zorg (NCTV) + Samenvatting Dreigingsbeeld Terrorisme Nederland 41 + TK-brief beleidsimplicaties

UPDATE 2016-02-21: FBI Preventing Violent Extremism in Schools Guide (Public Intelligence; FBI-document van januari 2016)

UPDATE 2016-02-11: Lawsuit Demands Information on Shadowy “Countering Violent Extremism” Programs in U.S. (Murtaza Hussain in The Intercept inzake  $69M budget voor CVE-programma’s bij DHS en DOJ)

UPDATE 2016-02-11: Verslag van een algemeen overleg, gehouden op 10 december 2015, over Preventie radicalisering (Tweede Kamer)

UPDATE 2016-01-31: U.S. Air Force Research Laboratory White Paper on Countering Violent Extremism (Public Intelligence,, betreft een in juli 2015 geüpdatete versie van een USAF-rapport uit 2011; 202 pagina’s)

UPDATE 2016-01-29: citaat uit Magazine Nationale Veiligheid en Crisisbeheersing Nr.1 2016 (p.40): “Er komt op korte termijn een digitaal platform om ervaringen en succesvolle oplossingen rondom de problematiek van risicovolle eenlingen te delen”.

UPDATE 2016-01-25: Changes in modus operandi of Islamic State terrorist attacks (.pdf, Europol; mirror; key findings)

UPDATE 2016-01-24: The Country Club Jihad: A Study of North American Radicalization (Alex Reese, in Small Wars Journal)

UPDATE 2016-01-22: Nationaal Actieprogramma tegen discriminatie (Minister van BZK aan Tweede Kamer; incl. vier bijlagen)

UPDATE 2016-01-xx: Spreekverbod zeven imams in Eindhoven tegen radicalisering (Kees-Jan Dellebeke’s blog)

UPDATE 2015-12-09: Eric Schmidt Proposes ‘Hate Spell-Checker’ For Radical and Terrorist Content (Slashdot)

UPDATE 2015-12-08: Minister van der Steur vindt verplichte deradicalisering geen goed idee, zo blijkt uit deze regeringsbrief: Verplichte deradicalisering en administratieve detentie (incl. overzicht van de bevoegdheden). En: Gemeenten akkoord met delen gegevens radicale inwoners (met zinsnede “Het reglement moet voorkomen dat er bij een acuut geval eerst overlegd moet worden of delen van gegevens wel rechtmatig is”; h/t PrivacyNieuws).

UPDATE 2015-12-03: To Thwart Radicalisation, France Is Tightening Security (i-HLS; Frankrijk trekt clearance in van 57 v/d 86,000 cleared medewerkers van de Charles de Gaulle-luchthaven in Parijs vanwege verdenkingen van ‘Islamist radicalism’)

UPDATE 2015-11-24: Besluit Wob-verzoek over toolbox extremisme (uitkomst van Wob-verzoek dat aan NCTV is gestuurd; 750+ pagina’s/slides vrijgegeven)

UPDATE 2015-11-18: EU Parliament to vote on contentious anti-radicalisation Resolution (door Maryant Fernández Pérez, in EDRi-gram)

UPDATE 2015-11-17: NOS besteedt aandacht aan de hulplijn radicalisering (Twitter: @HulplijnRadical) van het Samenwerkingsverband van Marokkaanse Nederlanders (Twitter: @StichtingSMN).

UPDATE 2015-11-16: Samenwerkingsverband Marokkaanse Nederlanders: Maak vuist tegen jihadisme (RTV Utrecht)

UPDATE 2015-11-14: sinds augustus 2015 is het Rijksopleidingsinstituut tegengaan Radicalisering (ROR) operationeel, een- samenwerking tussen NCTV het het opleidingsinstituut van de Dienst Justitiële Inrichtingen (DJI).

UPDATE 2015-11-04: Inside the jihadi lifestyle magazine wars (Madison Pauly, in Hopes&Fears)

UPDATE 2015-10-19: Rachida Dati on the radicalisation of EU citizens: “A truly European response is needed” (Europees Parlement)

UPDATE 2015-10-12: Aanbieding onderzoeken quickscan gemeenten en triggerfactoren radicalisering (Tweede Kamer)

UPDATE 2015-10-10: citaten uit antwoorden op kamervragen aan de Staatssecretarissen van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie over het bericht dat jeugdzorg niet toegerust is op Syriëgangers:

“Tot en met 1 juli 2015 zijn circa 200 Nederlanders met jihadistische intenties uitgereisd naar Syrië of Irak met het doel zich aan te sluiten bij een terroristische organisatie in de strijdgebieden aldaar. Van deze groep zijn er circa 35 naar Nederland teruggekeerd en circa 37 gesneuveld. Dat betekent dat er op dit moment nog circa 130 Nederlanders met jihadistische intenties in Syrië of Irak verblijven. Over individuele gevallen of verdere uitsplitsing doet het kabinet geen mededelingen. In de periode februari 2013 tot 24 juni 2015 zijn bij de Raad voor de Kinderbescherming 49 unieke aan jihadisme gerelateerde kindzaken in onderzoek genomen. Het ging om 32 kinderen in gezinsverband en om 17 individuele minderjarige potentiële vertrekkers.


Er is op dit moment geen gescheiden opvang voor geradicaliseerde jongeren. Mij zijn geen signalen bekend dat daar binnen de jeugdhulp behoefte aan is. Instellingen voor jeugd- en opvoedhulp bieden een pedagogisch leefklimaat. Bepalende aspecten daarvoor zijn de relatie tussen de groepsopvoeder en de jongere, de opvoeding en verzorging, en de bejegening, de behandeling en sfeer in de groep. Het risico van overdracht van radicale denkbeelden bestaat, maar is beheersbaar. Op dit moment vindt de opvang en behandeling plaats binnen reguliere programma’s en waar nodig betrekken de instellingen kennis en kunde van buiten. De Raad voor de Kinderbescherming, die voor deze jongeren vaak de instantie is die de machtiging aanvraagt, is voortdurend in gesprek met de jeugdhulp om te bezien wat de beste aanpak is voor deze jongeren binnen de jeugdhulp. 


In het Actieprogramma Integrale Aanpak Jihadisme (29 augustus 2014, bijlage bij Kamerstuk 29754, nr. 253) is een faciliteit aangekondigd die trajecten aanbiedt voor geradicaliseerde jongeren die openstaan voor een alternatief om te re-integreren in de samenleving buiten het jihadistische netwerk: “Een nieuw op te richten Exit-faciliteit in Nederland. Personen die uit het jihadisme willen stappen worden onder strenge voorwaarden begeleid door deze exit-faciliteit. Hiermee wordt hen onder andere een (beter) toekomstperspectief geboden. Ondersteuning door middel van psychologische hulpverlenging kan hier onderdeel van zijn.” (Maatregel 13 uit het Actieprogramma).

In de afgelopen maanden is de organisatie van deze faciliteit verder uitgewerkt. Momenteel worden de medewerkers geworven en in september dit jaar zal de faciliteit operationeel zijn.

De trajecten zullen op maat gemaakt zijn en kunnen bestaan uit – een combinatie van – individuele mentoring (bijvoorbeeld coaching op relatievaardigheden en zelfreflectie), psychologische of psychiatrische support, counseling, groepsbijeenkomsten (bijvoorbeeld ‘anger management’) en praktische ondersteuning van het individu. Deze ‘exit-faciliteit’ gaat zorg dragen voor een geselecteerde pool van experts. De effectiviteit van ingezette trajecten zal worden gemonitord.

In de volgende Voortgangsrapportage (voorzien op 9 november 2015) zal uw Kamer uitgebreider worden geïnformeerd over deze faciliteit en de werkwijze. Daarbij zal ook worden ingegaan op de doelgroepen, de financiering en welke organisaties een beroep kunnen doen op de faciliteit.”

UPDATE 2015-09-30: Rijksopleidingsinstituut Radicalisering: Alle opleidingen over het tegengaan van radicalisering onder één dak (NCTV)

UPDATE 2015-09-24: Radicalisation awareness information kit (Australische overheid, gaat over alle variaties/thema’s van radicalisering; er is enige controverse over verbanden die in de kit zouden worden gelegd tussen groene politiek, alternatieve muziek en terrorisme)

UPDATE 2015-09-24: AIVD: geen signalen voor golf van IS-strijders in Nederland (Volkskrant)

UPDATE 2015-09-23: Invloed salafisme in Nederland toegenomen (NCTV, nieuwsbericht bij publicatie (.pdf) en beleidsreactie (.pdf)). Bijhorend: Salafisme in Nederland: diversiteit en dynamiek (AIVD). Die laatste bevat een vereenvoudigde weergave van het salafistisch landschap:

Vereenvoudigde weergave van het salafistisch landschap

UPDATE 2015-09-23: EU Parliament’s “radicalisation” draft report – lost in translation (Joe McNamee in EDRi-gram)

UPDATE 2015-08-26: de daders van de aanval op Charlie Hebdo zijn niet online geradicaliseerd, aldus (in Frans) Le Monde. (via)

UPDATE 2015-08-20: gemeente Almere: ‘Informatie bij mogelijke radicalisering makkelijker inzichtelijk’ (h/t

UPDATE 2015-07-01: EU Observer meldt: “The EU’s police agency Europol on Wednesday launched its web unit tasked to hunt down online extremist propaganda. Europol’s director Rob Wainwright said the unit is “aimed at reducing terrorist and extremist online propaganda.” The unit consists of over a dozen Europol officials and experts from national authorities.”

UPDATE 2015-07-xx: Rethinking countering violent extremism: implementing the role of civil society (Anne Alya, Anne-Marie Balbia en Carmen Jacquesa, in Journal of Policing, Intelligence and Counter Terrorism, Volume 10, Issue 1, 2015; Open Access)

UPDATE 2015-06-29: de NCTV heeft de openbare versie van het Dreigingsbeeld Terrorisme Nederland 39 gepubliceerd., samen met een voortgangsrapportage inzake het actieprogramma Integrale Aanpak Jihadisme. In beide is onder meer aandacht voor radicalisering.

UPDATE 2015-06-23: in de hoofdlijnen van het Jaarplan AIVD 2015 wordt radicalisering genoemd (Minister van BZK)

UPDATE 2015-06-18: CBP: Anti-jihad-software op school gaat te ver (BNR Nieuwsradio)

UPDATE 2015-06-07: gepubliceerd onderzoek naar 140 (!) Nederlandse politiedossiers over radicale islamisten, uitgevoerd door de Landelijke Eenheid van de Nederlandse politie in de periode februari en november 2014, laat zien dat de helft van de Syriëgangers waarover een politiedossier bestaat, kampt met psychische problemen; en dat één op de vijf te maken heeft (of heeft gehad) met ernstige gedragsproblemen, of met een vastgestelde stoornis zoals schizofrenie. In geen van de onderzochte gevallen zou sprake zijn van een afgeronde hogere opleiding, en in geen van de gevallen van een ‘stabiele loopbaan’. De uitkomsten van de studie staan haaks op beeldvorming waarin Syriëgangers worden neergezet als in het algemeen normale, gezonde, hoogopgeleide individuen. Waarschijnlijk bestaan er normale, gezonde, hoogopgeleide Syriëgangers die niet in politiedossiers voorkomen en dus buiten het blikveld van deze studie vallen; mogelijk zijn de effecten van die eventuele selection bias verwaarloosbaar. De studie doet uitspraak over afgeronde hogere opleidingen, maar niet over studenten aan hogere opleidingen: in juni 2014 — dus tijdens deze studie — stelde (.pdf) de AIVD dat “sommige jihadisten” een hbo-opleiding doen, of studeren aan een universiteit; en in november 2014 verscheen een mediabericht over een Syriëganger die hbo-student zou zijn.

UPDATE 2015-06-03: Kamerbrief van Minister Bussemaker van Onderwijs, Cultuur en Wetenschap over aanvullende aanpak onderwijs en radicalisering: de Rijksoverheid afspraken maakt met de 18 gemeenten waar de problematiek van radicalisering het meest speelt. Die afspraken passen bij bestaande activiteiten op lokaal niveau. Gemeenten wordt gevraagd op basis van hun inzicht en kennis onderwijsinstellingen uit het VO en MBO uit te nodigen die voor deze extra ondersteuning in aanmerking zouden komen, en “[het] ondersteuningsaanbod zal hoofdzakelijk bestaan uit trainingen voor schoolbesturen en onderwijsprofessionals. Aanvullend ondersteunend aanbod bestaat uit burgerschaps- en debatactiviteiten voor leerlingen. In het najaar van 2015 start deze complementaire aanpak in twee pilotgemeenten en vanaf januari 2016 volgt deze aanpak in de overige zestien gemeenten.”

UPDATE 2015-05-28: Verslag van het werkbezoek van de Minister Asscher van Sociale Zaken en Werkgelegenheid op 24 en 25 maart 2015 aan Marokko inzake gesprekken over onder andere integratie en (de)radicalisering (.pdf).

UPDATE 2015-05-26: 1) Antwoorden van Minister Bussemaker van Onderwijs, Cultuur en Wetenschap op kamervragen over de kritiek vanuit het onderwijsveld op huidige aanpak op het voorkomen van radicalisering onder jongeren, en 2) antwoorden op kamervragen over het bericht «Kritiek op aanpak radicalisering».

UPDATE 2015-05-23: sancties zijn een obstakel voor deradicaliseren, stellen Beatrice de Graaf en Daan Weggemans in het onderzoeksrapport Na de vrijlating (.pdf, 2015).

UPDATE 2015-05-11: new from EU LIBE Committee: Working document on prevention of radicalisation and recruitment of EU citizens by terrorist organisations (.pdf, rapporteur: Rachida Dati)

UPDATE 2015-04-07: Voortgang Actieprogramma Integrale Aanpak Jihadisme (.pdf, Rijksoverheid).

UPDATE 2015-04-09: Notitie antidemocratische groeperingen (Tweede Kamer, verslag AO + de notitie)

UPDATE 2015-04-xx: Online Radicalization (.pdf, artikel uit het april/juni 2015-nummer van Military Intelligence Professional Bulletin / US Army)

UPDATE 2015-03-16: Antwoorden van de Minister Bussemaker & Stas Dekker van Onderwijs, Cultuur en Wetenschap op kamervragen over aanpak radicalisering op scholen.

UPDATE 2015-03-04: “Government agencies are using models of radicalization which don’t reflect reality”, zegt dit artikel in The Intercept inzake de gebroeders Tsarnaev van de Boston Marathon Bombing. [Addendum: Boston Bomber Tsarnaev laat zien dat we dogma’s moeten loslaten, door dr. Teun van Dongen.]

UPDATE 2015-02-26: het Magazine Nationale veiligheid en crisisbeheersing, 2015 nr. 1 (.pdf) bevat artikelen over jihadisme en radicalisering.

UPDATE 2015-02-17: Public Intelligence bericht over een rapport (.pdf; mirror) van de US Army Asymmetric Warfare Group getiteld “Psychological and Sociological Concepts of Radicalization” (2010). Dat rapport bevat een heldere en beknopte uiteenzetting van theorieën t.a.v. gedragingen (bijv. relative deprivation, groepsdynamica, psychoanalyse) en mechanismen van radicalisering (massa, groep, individu).


The many interpretations and perspectives of privacy

The introduction of my PhD thesis (2012) reaffirms that the word “privacy” is semantically overloaded, and summarizes a few of the key interpretations and perspectives. This includes the taxonomies of privacy by Alan Westin (1964) and Daniel Solove (2005). For my own purposes I post the relevant parts below. Hopefully it is useful to others as well.


[T]he word privacy suffers from semantic overload. Privacy can be approached from various perspectives, such as ethics, law, sociology, economics and technology (the latter being our perspective). Before focusing on how to measure, we first want to know what to measure and why. To that end, this introductory Chapter has a broad scope and first considers multidisciplinary aspects of privacy. A property shared between various perspectives is that privacy entails some desire to hide one’s characteristics, choices, behavior and communication from scrutiny by others. Such ‘retreat from wider society’ may be temporary, such as when visiting the bathroom, or more permanent, such as when opting for hermit life or choosing to publish using a pseudonym. Another prevalent property is that privacy entails some desire to exercise control over the use of such information, for example to prevent misuse or secondary use. Phrases commonly associated with privacy include “the right to be let alone”, meaning freedom of interference by others [ref: S. D. Warren and L. D. Brandeis. The right to privacy. Harvard Law Review, IV, December 1890]; “the selective control of access to the self or to one’s group”, meaning the ability to seek or avoid interaction in accordance with the privacy level desired at a particular time [ref: I. Altman. The environment and social behavior: privacy, personal space, territory, crowding. Brooks/Cole Pub. Co., 1975]; and “informational self-determination”, meaning the ability to exercise control over disclosure of information about oneself. The latter phrase was first used in a ruling by the German Constitutional Court related to the 1983 German census.

It is unlikely that any reasonable person would accept that all their thoughts, feelings, social relations, travels, communication, physical appearance including the naked body, sexual preferences, life choices and other behavior are knowable by anyone, at any time, without restriction — not least because that exposes them beyond their control to yet unknown people and institutions in yet unknown situations, i.e., pose a risk to their personal security and/or feeling of security.

At the same time, transparency of the individual can reduce risk, including collective risk. In the Netherlands, for example, the welfare-issuing Dutch municipalities have commissioned an organization named Stichting Inlichtingenbureau to counter welfare fraud via linkage and analysis of data about welfare recipients. Stichting Inlichtingenbureau can link welfare registry data to judicial registry data for purposes of stopping fugitive convicts from receiving welfare and informing the Dutch Ministry of Justice of the whereabouts of fugitives. Nowadays, Stichting Inlichtingenbureau also provides services to the Dutch water control boards (‘waterschappen’), Regional Coordinationpoints Fraud Control (‘RCF Kenniscentrum Handhaving’), Regional Reporting and Coordination function school dropouts (RMC), Central Fine Collection Agency (CJIB), Social Insurances Bank (SVB), and bailiffs [Footnote: According to a trend report issued by the Dutch governmental Research and Documentation Centre (WODC), 368 bailiffs and 414 junior bailiffs were active during 2005:].

Risk reduction can, at least theoretically, pervert into seeking a risk-free society [ref: J. Holvast. Op weg naar een risicoloze maatschappij? De vrijheid van de mens in de informatiesamenleving. Leiden, 1986] and suppress behavior that is permissible but deviates from social norms. Not unlike the ‘chilling effect’, i.e. the stifling effect that overly broad laws [ref: L. Forer. A Chilling Effect: The Mounting Threat of Libel and Invasion of Privacy Actions to the First Amendment. Norton, 1989.], profiling and surveillance [ref: G. Horn. Online searches and offline challenges: The chilling effect, anonymity and the new FBI guidelines. New York University Annual Survey of American Law 60 N.Y.U., 735, 2004-2005.] are claimed to have on legitimate behavior such as exercising the constitutional right to free speech. Although we are unaware of scientific evidence for such causality (it is beyond our expertise), one only needs to consider practices in certain parts of the world to be convinced that (being aware of) the possibility of being scrutinized can cause a person to change her behavior. Think of a person not expressing a dissenting opinion near a microphone-equipped surveillance camera at work or in a public space where that person would otherwise have done so; or a person not traveling to the red light district, even if one needs to be there for some other than the obvious reason, due to fear of abuse of data collected by real-time vehicular registration systems and public transport smart card systems. Perhaps both find alternative ways to achieve their goal; but it seems unwise to assume that that is always the case, and then disregard the effects that technology and human-technology interaction can have on the human experience to which privacy is essential. The need for risk reduction and accountability at the collective level can be at odds with the need for privacy at the personal level; what constitutes the ‘right’ balance will depend on context.

Certain personal information is considered ‘sensitive’ because it can, and has often shown to, catalyze stigmatization, social exclusion and oppression: ethnicity, religion, gender, sexuality, social disease, political and religious preference, consumptive behavior, whether one has been victim or culprit of crime, and so on. The need for private life, also in terms of being able to keep certain information to oneself, is therefore neither new nor temporary, and worthy of defense. Reducing misunderstanding and mistreatment through means of public education, especially the promotion of reason, critical thinking and empathy, is one step forward; forbidding discrimination through legislation is another; enabling privacy impact assessment and control over the disclosure of information about oneself, especially sensitive information, the topic of our thesis, is yet another.

The rise of social media and ubiquitous computing does not imply the ‘end’ or ‘death’ of privacy. Rather, as Evgeny Morozov paraphrased from Helen Nissenbaum’s book [ref: H. Nissenbaum. Privacy in context: technology, policy, and the integrity of social life. Stanford Law Books, 2010] in The Times Literary Supplement of March 12th, 2010: “the information revolution has been so disruptive and happened so fast (…) that the minuscule and mostly imperceptible changes that digital technology has brought to our lives may not have properly registered on the social radar”. In her 2.5-year ethnographic study of American youngsters’ engagement with social network sites, Boyd observed that youngster’s “developed potent strategies for managing the complexities of and social awkwardness incurred by these sites” [ref: D. Boyd. Taken Out of Context: American Teen Sociality in Networked Publics. PhD thesis, University of California, Berkeley, Berkeley, CA, USA, 2008.]. So, rather than privacy being irrelevant to them, the youngsters found a way to work around the lack of built-in privacy. In conclusion: privacy is not dead. At worst, it is in intensive care, beaten up by overzealous and sometimes careless use of technology. It will return to good health, even if merely for economical reasons [ref: M. Bangemann. Europe and the global Information Society (Bangemann report), 1994].

It remains unclear when the desire to retreat first emerged, and even whether it is only found in humans. From an evolutionary or biological perspective, privacy might be explained by the claim that hiding oneself and one’s resources from predators and competitors in the struggle for existence is beneficial for survival. The desire to retreat, then, is perhaps as old as the struggle for existence itself. This notion, however, seems very distant from common ideas about privacy. With more certainty, sociological study has traced the emergence of withdrawal from classical antiquity — distinguishing between ‘religiously motivated quest for solitude’ and the ‘lay quest for private living space’ [ref: D. Webb. Privacy and Solitude in the Middle Ages. Hambledon Continuum, London, 2007]. Alternatively, privacy can be conceived as a means to ‘personal security’.


From a legal perspective, one of the early and most well-known comprehensive works on privacy dates from 1890, when US Supreme Court Justices Warren and Brandeis published “The Right to Privacy” in the Harvard Law Review [ref: S. D. Warren and L. D. Brandeis. The right to privacy. Harvard Law Review, IV, December 1890]. In the 20th century, Castle Doctrine emerged in legislation of self-defense of one’s private space — its name referring to the proverb “a man’s house is his castle” [ref: R. A. Merkt, A. L. Mchose, and A. Chiappone. The “new jersey self-defense law”. Assembly No. 159, State of New Jersey, 213th Legislature, 2008].

During the 1960s, Westin, a legal scholar who focused on consumer data privacy and data protection, described four ‘states’ and four ‘functions’ of privacy [ref: A. Westin. Privacy and freedom. Atheneum, New York, 1970]. Figure 1.1 shows our mind-map of his conceptualization.


Figure 1.1: Privacy in ‘functions’ and ‘states’, according to Westin (1964).

The four functions, or ‘ends’, or ‘reasons’ for privacy that Westin distinguishes are personal autonomy, e.g. regarding decisions concerning personal lifestyle; emotional release, e.g. of tensions related to social norms; self-evaluation, e.g. extracting meaning from personal experiences; and limited and protected communication, e.g. disclosing information only to trusted others. The four states, or ‘means’ to privacy that Westin distinguishes are anonymity, e.g. ‘hiding’ within a group or crowd; reserve, e.g. holding back certain communication and behavior; solitude, e.g. seeking separation from others; and intimacy, e.g. seeking proximity to a small group.In the same era, Prosser, a legal scholar focusing on tort law, wrote that what had emerged from state and federal court decisions involving tort law were four different interests in privacy, or ‘privacy torts’ [ref: W. L. Prosser. Privacy. California Law Review, 48(3), 1960]:

  • intrusion upon the plaintiff’s seclusion or solitude, or into his private affairs;
  • public disclosure of embarrassing private facts about the plaintiff;
  • publicity which places the plaintiff in a false light in the public eye;
  • appropriation, for the defendant’s advantage, of the plaintiff’s name or likeness.

More recently, in 2005, Solove, a legal scholar focusing on privacy, proposed a taxonomy of privacy violations that, unlike Prosser’s, does not only focus on tort law [ref: D. J. Solove. A Taxonomy of Privacy. University of Pennsylvania Law Review, 154(3):477–560, Jan. 2005]. Figure 1.2 shows a map of that taxonomy.


Figure 1.2: Taxonomy of privacy violations according to Solove (2005).

Solove describes the violations as follows. Categorized under information processing activity: aggregation comprises the combination of information about a person; identification comprises linking information to specific persons; insecurity comprises lack of due diligence protecting (stored) personal information from leaks and improper access; secondary use comprises the re-use of information, without subject’s consent, for purposes different from the purpose for which it was originally collected; exclusion comprises not allowing the subject to know or influence how their information is being used. Categorized under information collection activity: surveillance comprises “watching, listening to, or recording of an individual’s activities”; interrogation comprises various forms of questioning or probing for information. Categorized under information dissemination activity: breach of confidentiality comprises “breaking a promise to keep a person’s information confidential”; disclosure comprises revealing (truthful) information that “impacts the way others judge [the] character [of the person involved]”; exposure comprises revealing “another’s nudity, grief, or bodily functions”; increased accessibility comprises “amplifying the accessibility of information”; blackmail comprises the threat to disclose personal information; appropriation comprises the use of the subject’s identity “to serve the aims and interests of another”; distortion comprises the dissemination of “false or misleading information about individuals”. Categorized under invasions: intrusion comprises acts that “disturb one’s tranquility or solitude”; decisional interference comprises “[governmental] incursion into the subject’s decisions regarding private affairs”.


Recommended additional reading:

  • Helen Nissenbaum’s conceptualization of privacy as contextual integrity (2004) built from context-relative informational norms.
  • An excellent primer (.pdf, 2012) on privacy by Jaap-Henk Hoepman and Marc Lieshout.


Dutch Advisory Council on International Affairs (AIV) advises on internet freedom

The Dutch Advisory Council on International Affairs (AIV), which in 2012 published advice on cyber warfare, has now published advice on internet freedom (.pdf, in Dutch). The report follows a request for advice that the Minister of Foreign Affairs sent to the AIV in February 2014. The AIV is an independent agency that administratively resides in the Ministry of Foreign Affairs.

The 97-page report is written by well-read people: references are made to, among others, DARPA’s Total Information Awareness program of 2002, the NSA’s Bullrun project, writings from Evgeny Morozov and Jonathan Zittrain, opinions expressed by the US PCLOB, and so on — in addition to explaining the history and politics of ICANN and the ITU, and the complex concepts of privacy, freedom and censorship.

Three questions are addressed (official translation; emphasis is mine):

  1. How can the Dutch government ensure that internet freedom is embedded and further operationalized in Dutch domestic and foreign policy as effectively as possible, against the background of:
    1. the challenge facing governments, including the Dutch government, in weighing the right to privacy — as formulated in the UN resolution on this right — against other interests to be protected by those governments as they look for solutions to issues raised by digital communications;
    2. the leading role of the Netherlands in foreign policy concerning internet freedom, as illustrated by the Freedom Online Coalition (FOC), and the opportunities which the Netherlands has to influence the international debate, including the International Conference on Cyberspace in the spring of 2015; [=the Global Conference on Cyberspace 2015 (GCCS2015) – on 16 and 17 April, 2015]
    3. an international playing field in which more and more countries are seeking to exert tighter control over the internet (and its architecture) and are developing initiatives to that end;
    4. the right to protection of personal data, which is addressed in different ways by the UN, the Council of Europe and the EU.
  2. Is Dutch jurisdiction over internet freedom limited to activities in the Netherlands, or does it, by virtue of the increased technological possibilities, extend to situations outside the country? If such jurisdiction does not extend this far, how can the Dutch government help to effectively safeguard internet freedom beyond the Netherlands’ borders?  
  3. To what extent are businesses responsible for protecting citizens’ internet freedom in countries where they operate, and how can the Dutch government, both by itself and in cooperation with other countries, encourage businesses to assume such responsibility? [spoiler alert: the AIV defers this to corporate social responsibility, such as pursued by the Ruggie Framework]

The report makes the following eleven recommendations (my translation; emphasis is mine; ~1400 words):

Recommendation 1

Paragraphs III.2, III.4 and IV.3.2 explain that data of Dutch internet users is often stored on servers outside the Dutch jurisdiction. The countries where the servers are located are usually authorized to demand access to that data under certain conditions. Because computers cannot process encrypted data very well, and the data are stored outside the realm of Dutch legal protections, the cloud is potentially completely vulnerable. Safe Harbor agreements do not provide sufficient protection, because they are inadequate, hardly enforceable, and have large exceptions concerning national security. These risks deserve the cabinet’s full attention.

The Dutch government’s policy intends to make all domestic government-citizen relations happen via cyberspace: government records, registers and transactions must all take place electronically by 2017 [see a statement by the Minister of the Interior]. The AIV finds it to be urgent that clarity be sought on whether the storage and processing of these data risks the data to end up outside Dutch jurisdiction, where they cannot be sufficiently protected technically and legally. Policy measures and legal measures must be taken to prevent that, at least providing legal guarantees concerning access to the data equivalent to the legal safeguards that apply in the Netherlands (see paragraphs III.5.1 and III.5.2). Furthermore, it is important that the legal protection is sufficiently guaranteed.

Recommendation 2

The Netherlands has a good economic position on the internet market. It can improve this position by creating a positive business climate by means of optimal protection of internet freedom in all ways and facets discussed in the present advice. The organization of international conferences and institutes has a positive spin-off, but that remains ephemeral if it is not anchored in the Dutch internet community. As part of the international promotion of optimal internet freedom, the Netherlands could create a positive business climate in the Netherlands for internet companies, and stimulate the concentration of internet specialists in innovative science centers in the universities. Furthermore, the Ministry of Economic Affairs, that has a key role in this, could have better coordination between the directorates that deal with the internet.

Recommendation 3

The principle of human rights policy (one of the corner stones of the foreign policy) is that the Netherlands itself, without pretending to be perfect, wants to set an example, mostly in terms of openness and accountability: local democracy and freedom is the measure. This implies that the Netherlands must strive for the same high level of protection nationally as it promotes internationally. This is a responsibility of all Ministries, notably the Ministries dealing with internet topics.

In the pending constitutional amendment, the planned renewal of the Dutch Intelligence & Security Act of 2002, and the draft proposal Computer Crime III, it must be especially considered whether the Dutch government is following a policy and/or creates regulation that it can uphold internationally [in Dutch: “voor de dag kan komen”]. [note: essentially, this recommendation states that the Dutch govt should practice what is preaches, or else risks losing credibility. Dutch readers: see p.61 and p.68]

Recommendation 4

The ensuring of effective and independent oversight on intelligence and security services has got a lot of attention in the US following the Snowden affair, and it has also been discussed in the Netherlands by the review of the Dutch Intelligence & Security Act of 2002, among others by the motion filed by the Christian Democratic Appeal (CDA) party in the Senate that was adopted on October 7th 2014 (Eerste Kamer der Staten-Generaal, vergaderjaar 2014-2015, CVIII, D). The UN resolution “The promotion, protection and enjoyment of Human Rights on the Internet“, adopted in July 2012 by the UN Human Rights Council, according to which individuals have the same rights online as they have offline, must be guiding for Dutch policy. If, because of the permanent terror threat, means must be used against (categories of) persons that are not specifically suspected of anything, doing so can only be justified if effective and independent oversight exists. The AIV finds the strengthening of effective and independent oversight by the Dutch Data Protection Authority and the Dutch Review Committee on the Intelligence and Security Services (CTIVD) on the lawful and proportional use of investigatory and preventative powers, of great importance to internet freedom, as defined in the present advice, in the current state of technology and the changed international relations. [note, here, that the AIV does not rule out mass surveillance per se; it only states that mass surveillance can only be justified if “effective and independent oversight” exists.]

Recommendation 5

In 2014, the Netherlands will spend approximately 53.5 million euro on human rights policy (including Radio Netherlands Worldwide). Part of that is spent on promoting internet freedom. The Netherlands supports various important projects concerning internet freedom by providing man power and money. However, a coherent vision of the internet and the various facets that must be distinguished and emphasized, is lacking. Choices made concerning the support of such activities should be preceded by a general substantiation and prioritization, aimed at the facets of the internet problems that are relevant to the Netherlands. The government could, in consultation with those involved, develop specific measures that promote the freedom and security of the internet, such as the development and publishing of open source software. The AIV considers the lack of attention for improving international policy-making (such as the Internet Governance Forum and the reorganization of ICANN) to be a clear omission. [note: also see Recommendation 8: in the context of companies and internet organizations dominated by companies, the AIV considers it to be the government’s role to monitor whether new software and protocols infringe upon the European interpretation of the freedom of expression, privacy, and data protection.]

Recommendation 6

Much is happening concerning the EU issues as well. The Netherlands has a wait-and-see attitude concerning the upholding — or not — of the Safe Harbor agreement and the negotiations about the Umbrella agreement. The Netherlands has ample knowledge to play a more leading role in these topics. The Netherlands must take the view that upholding of the Safe Harbor agreement can not, without significant improvements, be a basis for data exchange with the US in the private sector. The Netherlands can use its chairmanship of the EU in 2016 to develop proposals for the EU with the purpose of renewing the existing, outdated legislation that has effects on internet freedoms.

Recommendation 7

A point of special attention is to provide better safeguards in the exchange of data between national intelligence and security services within Europe and beyond. In the renewal of the Dutch Intelligence & Security Act of 2002, the exchange of data between Dutch and foreign intelligence and security services should be legally regulated, in which sufficient safeguards must be provided for citizens, as explained in paragraph III.2.

Recommendation 8

The activities of companies and internet organizations dominated by companies can have a significant influence on internet freedom. Companies are primarily guided by profit considerations, and have to deal with various national and international legal frameworks. It is the government’s role to monitor whether new software, protocols, and such, infringe upon the European interpretation of the freedom of expression, privacy, and data protection. NGOs can have a signaling role. The question of how internationally operating companies can be involved in the Dutch human rights policy has been on the agenda for a long time. In the context of the present advice, the question is very urgent, because a small number of international companies is responsible for the international confidential and public communications, and the safeguards that should be provided. The government must therefore address the responsibility of these companies on international forums, and enter into a dialogue about human rights, such as the government also intends to do with foreign governments.

Recommendation 9

Questions related to internet freedom, as apparent in numerous places in the present advice, transcend governments departments, and are increasingly connected to responsibilities that must be carried by the private sector and other stakeholders. The transcending issues make the execution of the Dutch human rights policy, especially in this domain, into a shared responsibility. The AIV therefore recommends that coordination and shared responsibility is striven for during decision preparation and decision making concerning internet issues.

Recommendation 10

The Netherlands must have a more consistent policy concerning the question of the internet views it wants to express at which international forums, and in what coalitions. The Ministry must spend more money and man power in the Internet Governance Forum. Furthermore, it could promote privacy-enhancing measures within the ICANN and other internet organizations. An example is given in paragraph V.1: the WHOIS database of the SIDN, that registers domain names for the .nl domain, does not show address information of the domain name holder; bailiffs and lawyers can however request that data. The Netherlands could promote such a solution internationally.

Recommendation 11

In the policy-making concerning internet freedom, various Ministries are involved: the Ministry of Foreign Affairs, the Ministry of Security & Justice, the Ministry of Economic Affairs, the Ministry of the Interior, and the Ministry of Defense. The Ministry of Economic Affairs regularly consults with Dutch stakeholders in preparation for international meetings. This is an example that other Ministries can follow. Interviews with experts give the impression that the Ministry of Foreign Affairs has little connection with the Dutch internet community. It is desirable that the Ministry of Foreign Affairs assigns more personnel to bring knowledge of the internet up to standard, and to strengthen contacts with the domestic and foreign internet communities, also considering the EU.

We’ll have to wait and see how the government will respond to this advice, i.e., which recommendations they will (not) follow. The report does not address net neutrality; on page 9 it is stated that net neutrality is out of scope “because it relates to (European) competition law”. I don’t know how to interpret that (perhaps the AIV, which resides in the Ministry of Foreign Affairs, does not want to interfere with an issue that primarily resides in the Ministry of Economic Affairs).

These are ongoing developments in the Netherlands in which internet freedom can be at risk (probably a non-exhaustive list):

  • In November 2014, the Dutch govt announced it proposal is being drafted to grant Dutch intelligence & security agencies bulk cable-interception power: the government is drafting a legislative proposal, conceptually described here, to update the Dutch Intelligence & Security Act of 2002, that would expand the existing bulk interception power of the Dutch intelligence agencies AIVD and MIVD from ether-only to also include cable communications. (Note: the latter already happened in Sweden in 2009: the FRA used to only be allowed bulk intercept of ether communications, but as of 2009 is also allowed to carry out bulk interception of cable communications, if tasked to do so. The Netherlands would, AFAIK, be the first country to contemplate introducing bulk cable interception in the post-Snowden era.)
  • In November 2014, the Dutch govt expressed its intent to uphold telecom data retention: in April 2014, the ECJ ruled the EU Data Retention Directive to be invalid. In November 2014, the Dutch govt expressed its intent to uphold the Dutch implementation, i.e., the Dutch Telecommunications Data Retention Act of  2009, with some cosmetic changes. They also intend to proceed with implementing a nation-wide ANPR database.
  • In January 2015, the Dutch govt will propose hacking powers for Dutch LE: there is the legislative proposal “Computer Crime III”, described here, that would provide law enforcement remote hacking powers to, under certain conditions, break into systems of which the geographic location is unknown (thus including systems that reside outside the Dutch jurisdiction);
  • In August 2014, the Dutch govt announced anti-jihadism plans that include voluntary censorship imposed on ISPs: in August 2014, the Dutch govt expressed its intent to implement a sort-of-voluntary censorship regime, in which the govt asks Dutch ISPs to voluntarily take content offline without involving a judge. This evolved from, among other, the controversial Clean IT Project, describe here, that the Netherlands was chair of. From leaked documents of Clean IT, it turns out that one of the ideas that was going to be discussed internally was to exclude non-conforming ISPs from government tenders.
  • The Pirate Bay was blocked for three years in the Netherlands: in 2011, Dutch ISPs were ordered to block access to The Pirate Bay following a court ruling in a case started by Dutch anti-piracy organization BREIN. In January 2014, a court decided (.pdf, in Dutch) that the blocking was ineffective and disproportional, and the blockade was lifted. The point of this: Dutch citizens were subject to a three year long court-imposed blockade that only eventually was ruled to be ineffective and disproportionate.

The Netherlands will be hosting the fourth international Cyberspace Conference — Global Conference on Cyberspace 2015 (GCCS2015) — on April 16-17th 2015, and will be chair of the EU in 2016; these are opportunities for the Dutch government to pursue its stated human rights objectives; for instance by following the AIV’s recommendations. According to the National Cyber Security Strategy 2 – From awareness to capability (.pdf, 2013) , the Netherlands seeks to be a diplomacy hub for expertise on international law and cyber security (quote from page 25):

The Netherlands aims to develop a hub for expertise on international law and cyber security in order to promote the peaceful use of the digital domain. To this end, the Netherlands combines knowledge from existing centres. The centre brings together international experts and policymakers, diplomats, military personnel and NGOs. This creates a network that brings together multidisciplinary knowledge about subjects such as international standards for conflict prevention, civil-military cooperation and non-proliferation of cyber weapons in the digital domain. The network also contributes to discussions about this subject. This forms the basis for a series of multi-stakeholder, high-level meetings.

It would be nice to see the Dutch national developments — many of which have international implications — be discussed at the Cyberspace Conference in 2015. I’m not aware whether that is the case.

The remainder of this post consists of a translation of the press release (Dec 19, in Dutch) and of the paragraph “Summary and conclusions”. Hyperlinks and parts in [] are mine.


Here is a translation of the AIV’s press release (~400 words):

The internet: a global free space with limited state control

The internet was initially seen as a new technology that would provide a large contribution to the freedom of expression, but it also has consequences for other human rights, notably the right to privacy. This is of importance to a number of current legislative proposals, such as the renewal of the Dutch Intelligence & Security Act of 2002 (Wiv2002), the renewal of Article 13 of the Dutch Constitution concerning the postal secret [in Dutch: “briefgeheim”], and the proposals to extend powers of the police to fight computer crime.

Nearly everything that individuals do on the internet leaves trails, the so-called traffic data. The collection and analysis of very large amounts of traffic data has become possible thanks to increased computational power. While such data by itself does not say a lot about the internet user, by combining various traffic data a profile can often be made of an individual. That can threaten the privacy of internet users.

Governments and companies are increasingly offering services via the internet. The government, for instance, wants citizens to apply for a scholarship or housing benefits via the internet, because it is cheaper. The storage and processing of digital data in the cloud risks data ending up in a location outside the jurisdiction of Dutch authorities. In the US, where the large internet companies are located, the protection of privacy for foreigners is weaker than in the EU. In the cloud, data can not technically and legally be sufficiently protected. Other governments or companies, who have nothing to do with the scholarship or housing benefits of Dutch citizens, can then sometimes obtain access to that data. The Netherlands and the EU must take policy measures and legal measures to prevent that, for instance by making better arrangements with other countries.

Due to the permanent terror threat, intelligence and security services in various countries also increasingly make use of these possibilities. They also collect data about individuals who are not suspected of terrorism or other crimes. The AIV finds that this is only justifiable if effective and independent oversight exists on the intelligence and security services.

Companies play an increasingly large role in internet freedom in various ways. They can thwart governmental censorship, or cooperate with it. Some companies intend to collect data about individuals, threatening the right to privacy. Internet companies can design their technology in a way that increases internet freedom, or not pay attention to that. The legal role of companies in these aspects is not yet established. The AIV believes it is useful if the Human Rights Ambassador would not only consult with other countries, but also has human right dialogues with large internet companies.

Here is a translation of the paragraph “Summary and conclusions” of the advice report (~1400 words):

Summary and conclusions

Chapter II explains that the internet has disembodied itself from the classic structure of international law of a treaty (that laid down global agreements about telecommunication), an international organization (the ITU) and the national states cooperating therein. A semi-private multistakerholder model replaced it, consisting of the ICANN (naming and addressing) and a set of technical groups that deal with internet standards and protocols. This was accompanied by a technical revolution in the way of sending data and a social revolution in the way of communication. Formally, the ICANN is still part of the US Department of Commerce. After the Snowden affair, the general feeling is that this association can no longer be upheld. A new structure needs to be found, based on the multistakeholder model.

This form of governance limits itself to the technical layers of the internet, although no consensus exists within the internet community even about this narrow definition of governance (see Chapter V.2). Besides this new internet structure, the old organization ITU actively keeps trying to expand its influence, recently in attempt to change the International Telecommunications Regulations during the World Conference on International Telecommunications in Dubai, so far without success. Within the ITU, states such as Russia and China attempt to increase their control over internet communications, also its content. However, the UN started a new development with the Internet Governance Forum. In this global platform, states, in cooperation with other stakeholders, attempt to achieve consensus about the meaning of internet governance. So far with partial success, because it is very difficult — outside of the more technical issues — to reach consensus on topics that involve various views on values. The government’s questions are answered against this background.

The first question was: how can the Dutch government ensure that internet freedom is embedded and further operationalized in Dutch domestic and foreign policy as effectively as possible? Chapter III discusses this question at a conceptual level. First, it is explained that the current constitutional communications and privacy framework no longer suits today’s technology. At the same time, it is evident that such change must involve deliberation and carefulness, because a change can result in decreased protection.

This is demonstrated by, among others, the communication secret [in Dutch: “communicatiegeheim”] in relation to traffic data. In a network society, the communications secret is no longer a fixed given, but a protection of how and in what context an individual can communicate freely. A second aspect is that legal concepts are either designed for a different technical reality than the current internet (for instance the concept of “processing” in the data protection law), or assume a situation in which a clear distinction can be made between the “transport of a message” and “expressing a message” (from media and telecommunications law). Two other entangled questions are the international jurisdiction and universality versus national sovereignty. This contradiction is best seen in the difficult negotiations between the EU and US about the Safe Harbor principles in data protection. Another important aspect is the ongoing erosion of the concept of personal data, as a result of developments such as Big Data and mass or targeted surveillance of citizens. Many incorrectly assume that traffic data are, by definition, not personal data, while a collection of traffic data can allow establishment of (individual) profiles. The assumption that anonymous data can be collected on a large scale without effective oversight, is thus incorrect.

In addition, it is found that security must be understood in the context of the rule of law. Striving for the unattainable ideal of precluded event security can result in measures that are disproportional and harm the balance of the rule of law.

Furthermore, the present advice points out the ongoing battle concerning the broadening of the concept of internet governance; this too is important for the anchoring of internet freedom. This battle is fought in, among others, the ITU (paragraph II.3). The debate about the new organization that will replace ICANN is also of great importance, because control over the root is critical to internet freedom, and because ICANN is central to internet governance (paragraph V.1). The Internet Governance Forum seems like a suitable forum to discuss issues concerning the operationalization of internet freedom, but the secretariat of this forum suffers from a lack of personnel and financial means.

Moreover, the government can contribute to promoting internet freedom by applying the same normative principles in domestic policy discussions as those it promotes abroad. There is a risk that free constitutional democracies develop a Janus Face of legally protected freedom and insufficiently legal limitations of freedom, such as explained in paragraph V.2. That currently undermines the credibility of the US, as criticized in the Foreign Policy study “Begins At Home” by Richard Haass, president of the Council of Foreign Relations.

The second question was whether Dutch jurisdiction over internet freedom is limited to activities in the Netherlands, or Dutch jurisdiction, by virtue of the increased technological possibilities, extends to situations outside the country? If such jurisdiction does not extend this far, how can the Dutch government help to effectively safeguard internet freedom beyond the Netherlands’ borders? On the internet, the production, storage and distribution of information is no longer restricted by time and location. The internet does not have national boundaries. Although the technical possibilities have increased, this does not imply that powers are extended. In paragraph V.2.2 this question is focused on the legislative proposal Computer Crime III. The AIV finds that the draft proposal provides extended powers that exceed what is permissible by international law.

Nonetheless, national states have an important role because the physical infrastructure of the internet starts and ends within a territory over which the states have factual and legal power. The questions concerning access and free and uncontrolled communication are thus focused within national law. Chapters III and V, in which questions of access, surveillance and censorship are addressed, show that it concerns national decisions that must be tested against international (or regional: ECHR and EU) treaties. Paragraph V.4, on the other hand, explains that the large international enterprises, who have a key role in access and free use of the internet, are only very partially within Dutch jurisdiction, namely only when acts take place within the Dutch jurisdiction. It is regularly discussed when this precisely is the case in internet services. The Google Spain arrest of the European Court of Justice is a breakthrough on this aspect.

The third question was whether companies are responsible for protecting citizen’s internet freedom in countries where the companies operate, and how the Dutch government, by itself and in cooperation with other countries, can call upon companies to take that responsibility. The present advice explains that the organization of modern electronic communication strongly differs from the era in which the fixed phone and telex where the most important means of communication. State monopolies in international legal structure are replaced by a system of many players. In this system, the role of companies is large; this is discussed in several places in this advice, notably in Chapter II and in paragraph V.4. Companies have an important role in internet governance, and are provides of various services such as search engines, cloud (paragraph III.4.1 and IV.3.2) and email. Sometimes, companies are forced to act as an extension of the government, such as in data retention (paragraph III.2) or censorship, that they may or may not oppose (paragraph V.3). Companies thus have a considerable influence on internet freedom.

It can be concluded that the position of internet companies is not always clear legally. For instance, in the Netherlands, it is not clear for social media whether they are subject to telecommunication law or to media law. The answer to that question has important consequences for the extent to which those companies can be called to take responsibility concerning the contents of communications and publications. Furthermore, companies can be stuck between national jurisdictions with various legal regimes. For companies, commercial considerations are usually decisive, also where it involves the collection, processing and storage of data of internet users. The answer to the question to what extent companies are responsible for protecting internet freedom can not yet be given, legally. This question must be understood within the wider context of corporate social responsibility. To that end, the Ruggie Framework was established, which is topic of international discussion, but that has special relevance in this domain.

The AIV states it interprets the word “internet freedom” in terms of the House of Freedom’s categories, as included in the Freedom on the Net 2013 report (.pdf, 2013):

  • Obstacles to access: assesses infrastructural and economic barriers to access; governmental efforts to block specific applications or technologies; and legal, regulatory, and ownership control over internet and mobile phone access providers.
  • Limits on content: examines filtering and blocking of websites; other forms of censorship and self-censorship; manipulation of content; the diversity of online news media; and usage of digital media for social and political activism.
  • Violations of user rights: measures legal protections and restrictions on activity; surveillance; privacy; and repercussions for online activity, such as prosecution, imprisonment, physical attacks, or other forms of harassment.