[Dutch] Verzamelde Kamervragen CDA, D66, ChristenUnie n.a.v. bericht digitale spionage Gemalto door bevriende diensten

Op 25 februari 2015 is de onderstaande lijst (.pdf) gepubliceerd van Kamervragen van het CDA, D66 en de ChristenUnie over het bericht “dat bevriende veiligheidsdiensten digitaal spioneren in Nederland” (en ja, de kwaliteit van de vragen is, laten we zeggen, wisselend). Plasterk is gevraagd deze vragen te beantwoorden in de brief die hem in de regeling van werkzaamheden van 24 februari 2015 is verzocht in reactie op het bericht in de Volkskrant. [UPDATE: op 23 maart 2015 heeft Plasterk de vragen beantwoord (.pdf); de antwoorden zijn hieronder verwerkt.]

CDA-fractie:

  1. Kunt u uitsluiten dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) via de omweg van een buitenlandse dienst gebruik maakt van informatie die is verkregen door middel van praktijken die de Nederlandse wet niet toestaat?
    • ANTWOORD:
      De AIVD werkt op grond van de WIV 2002 en de CTIVD houdt hierop toezicht. Het is de Nederlandse inlichtingen- en veiligheidsdiensten niet toegestaan een buitenlandse dienst te verzoeken een bevoegdheid in te zetten waar de Nederlandse diensten zelf niet over beschikken (de U-bochtconstructie). In rapport 38 heeft de CTIVD vastgesteld dat er geen sprake is van het stelselmatig buiten de wet om verwerven van (persoons)gegevens door de AIVD en de MIVD. Tevens heeft de CTIVD in haar onderzoek geen aanwijzingen gevonden dat de AIVD en de MIVD expliciet verzoeken hebben gericht aan buitenlandse diensten om methoden in te zetten die naar Nederlands recht niet geoorloofd zijn.

      Ik kan niet absoluut en in algemene zin uitsluiten dat de AIVD gegevens van een buitenlandse dienst verkrijgt die mede zijn verkregen door middel van praktijken die de Nederlandse wet niet toestaat, omdat inlichtingen- en veiligheidsdiensten elkaar niet informeren over de herkomst van gegevens.

  2. Hoeveel encryptie-codes van simkaarten zijn mogelijk in handen van de NSA?
    • ANTWOORD:
      Ik heb de AIVD verzocht onderzoek te doen naar de berichtgeving over Gemalto. Dit onderzoek zal naar verwachting enkele maanden in beslag nemen. Ik zal de Kamer hier te zijner tijd over informeren via de daarvoor gebruikelijke kanalen.
  3. Met welke waarborgen is het productieproces van simkaarten omgeven, gelet op de vertrouwelijkheid van telecommunicatie?
  4. Op welke wijze wordt toezicht gehouden op de handhaving van die waarborgen?
    • ANTWOORD 3 & 4:
      De werking van een simkaart is gebaseerd op internationale technische standaarden. Deze internationale standaarden, waar bedrijfsleven en overheden bij zijn betrokken, dienen ook om veiligheidsaspecten en eisen rond vertrouwelijkheid en integriteit zoveel mogelijk te garanderen. De afnemers van deze producten kunnen daarom eisen stellen aan simkaarten en hebben in dat kader een essentiële rol.

      Op de toepassing van zulke standaarden is geen toezicht. De Telecommunicatiewet kent wel een zorgplicht voor aanbieders van openbare elektronische communicatiediensten om passende technische en organisatorische maatregelen te treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. De aanbieders moeten zorgen dat hun leverancier van simkaarten voldoende veiligheidswaarborgen heeft. Ook zijn aanbieders verplicht om abonnees te informeren over eventuele bijzondere risico’s. De Autoriteit Consument & Markt (ACM) ziet toe op deze bepalingen uit de Telecommunicatiewet. Als aanbieders deze wettelijke verplichtingen niet naleven kan ACM handhavend optreden.

D66-fractie:

  1. Waarom kunt u de berichtgeving van The Intercept bevestigen noch ontkennen terwijl naar verluid de Britse geheime dienst GCHQ reeds het hacken bevestigd heeft? Verandert dat nu Gemalto naar aanleiding van intern onderzoek bevestigt dat er een poging tot hacken is geweest?
    • ANTWOORD:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie. Overigens komt in de berichtgeving naar voren dat GCHQ enkel heeft gesteld zich aan de wet te houden.
  2. Kunt u verduidelijken waarom u niet nader in het openbaar vragen over de hack ter verkrijging van sim-kaarten zou kunnen beantwoorden? Uit de aard van de hack, verricht door GCHQ, blijkt toch juist dat de hoofdzaak niet de werkwijze van de Nederlandse inlichtingen- en veiligheidsdiensten betreft?
  3. Kunt u gemotiveerd aangeven waarom de hack door GCHQ wel of niet onder de definities van cyber crime, cyber terrorism en/of cyber attacks valt? Zo nee, waarom niet?
    • ANTWOORD 2 & 3:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie. De rapportage hieromtrent zal via de geëigende kanalen plaatsvinden gelet op de noodzaak het actueel kennisniveau alsook de werkwijze van de AIVD geheim te houden.
  4. Welke garanties kunt u Nederlanders geven dat hun telefoon niet gehackt is door buitenlandse geheime diensten?
    • ANTWOORD:
      Ik kan daarover geen garanties geven. Ook kan ik in het openbaar geen uitspraken doen over onderzoek naar de beschreven activiteiten. In het algemeen geldt dat wanneer in Nederland wordt onderkend dat spionageactiviteiten plaatsvinden, daarnaar onderzoek wordt verricht zodat belanghebbenden, zoals overheidsorganisaties of bedrijven, in staat worden gesteld om maatregelen te treffen.
  5. Heeft de AIVD ook sleutels verkregen? Zo ja, wat is daarmee gebeurd?
    • ANTWOORD:
      De inlichtingen- en veiligheidsdiensten werken op grond van de Wiv 2002. Over de werkwijze van de inlichtingen- en veiligheidsdiensten kan ik in het openbaar geen mededelingen doen.
  6. Hebben er ook binnen Nederland activiteiten plaatsgevonden door GCHQ of NSA ten aanzien van Gemalto, andere soortgelijke bedrijven en hun sim-kaarten, bijvoorbeeld bij het hoofdkantoor of medewerkers die daarvoor werken?
    • ANTWOORD:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie. In hun reguliere werkzaamheden verrichten de AIVD en de MIVD onderzoek naar mogelijke spionageactiviteiten van andere landen. Als in Nederland wordt onderkend dat spionageactiviteiten plaatsvinden, wordt hiernaar onderzoek verricht en worden belanghebbenden, zoals overheidsorganisaties of bedrijven, in staat gesteld om maatregelen te treffen. Ik kan daarover in het openbaar geen mededelingen doen.
  7. Wat zijn binnen de AIVD de gevolgen van het herprioriteren geweest voor de afdeling contraspionage?
    • ANTWOORD:
      Over herprioriteringen van de werkzaamheden van de AIVD kan ik in het openbaar geen mededelingen doen. Hierover informeer ik u via de gebruikelijke kanalen. Op mijn verzoek verricht de Algemene Rekenkamer een onderzoek naar de effecten van de opeenvolgende bezuinigingsvoorstellen op de organisatie en het werk van de AIVD, waarover de Tweede Kamer binnenkort wordt geïnformeerd.
  8. Zijn er in Nederland door geheime diensten gehackte simkaarten in omloop? Hoeveel zijn dat er en is er overleg met de providers om hen te assisteren dat probleem op te lossen en naar de toekomst toe te voorkomen?
    • ANTWOORD:
      Aanwijzingen voor dreigingen tegen de telecomsector worden door de AIVD gedeeld in de door het NCSC gefaciliteerde Telecom-ISAC. Information Sharing and Analysis Centres (ISAC’s) zijn door het NCSC gefaciliteerde publiek-private samenwerkingsverbanden waarbij de deelnemers onderling informatie en ervaringen uitwisselen over cyber security op tactisch niveau om gepaste oplossingen te formuleren voor de aanpak van cyberdreigingen en kwetsbaarheden.
  9. Hoe beoordeelt u de stelling van Gemalto dat de gepleegde aanval hooguit tot toegang tot het 2G-netwerk had kunnen leiden en dat 3G en 4G-typen netwerken niet kwetsbaar zijn voor een dergelijke hack?
    • ANTWOORD:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie. Overigens heb ik op dit moment geen aanleiding om te twijfelen aan de verklaring van Gemalto (en die van Vodafone) hierover van 25 februari 2015.
  10. Waar kan een Nederlandse burger zijn recht halen als zijn rechten worden geschaad, in dit geval doordat hij rondloopt met een mobiel waarvan de integriteit van de sim-kaart geschaad is? Hoe is de democratische controle hierop geregeld?
    • ANTWOORD:
      Bij schade kunnen abonnees en gebruikers hun telecomaanbieder hierop aanspreken.
  11. Gaat u de ambassadeurs van de Verenigde Staten en Engeland op het matje roepen? Zo nee, waarom bent u daar niet toe bereid? Zo ja, op welke termijn vindt dat plaats?

    • ANTWOORD:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie.

ChristenUnie-fractie:

  1. Sinds wanneer bent u op de hoogte van deze spionage?

    • ANTWOORD:
      Ik ben op de hoogte van de berichtgeving in de media sinds 19 februari 2015.
  2. Op welke wijze heeft u daarna gereageerd?
    • ANTWOORD:
      Ik heb de AIVD verzocht onderzoek te doen naar de berichtgeving over Gemalto. Ik heb de Tweede Kamer daarnaast mondeling geïnformeerd, onder andere tijdens het Vragenuurtje van 24 februari j.l.. Ook heb ik de Tweede Kamer hierover 26 februari een brief gestuurd (Tweede Kamer, vergaderjaar 2014-2015, 26 643 nr. 353).

      Specifiek ten aanzien van de berichtgeving over het advies dat de ICT-afdeling van de Tweede Kamer aan alle leden van Tweede Kamer heeft gestuurd, heeft contact plaatsgevonden met de Minister voor Wonen en Rijksdienst, het NCSC, de AIVD en de Tweede Kamer.

  3. Wat is er sindsdien in het werk gesteld om te voorkomen dat Nederlanders slachtoffer worden?
  4. Zijn dit praktijken die sinds de herziening van het beleid in de Verenigde Staten en de gesprekken met de bondgenoten, met name de Britten, nu uitgesloten worden geacht?
    1. ANTWOORD 3 & 4:
      Zolang het door mij gevraagde onderzoek loopt kan ik geen uitspraken doen over de kwestie. Ik wil er niet over speculeren of Nederlanders slachtoffer zijn geworden.

EOF

Leave a Reply

Your email address will not be published. Required fields are marked *