Month: January 2016

[Dutch] IVD-en en bevoegdheden: een blik vanuit het veiligheidsperspectief

UPDATE 2016-08-19: toegevoegd aan het lijstje met leesvoer onderaan deze post: het Britse Report of the bulk powers review, (.pdf, Aug 2016; mirror), de uitkomst van het “Independent Bulk Powers Review” dat ziet op de Draft Investigatory Powers Bill, die vier bulkbevoegdheden bevat t.b.v. GCHQ, MI5 en MI6: “bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets”.

UPDATE 2016-06-18: Inlichtingen achilleshiel bij terreurbestrijding (NOS). Citaat: “Nederland moet meer geld steken in het verzamelen en analyseren van informatie over potentiële terroristen. Dat zeggen diverse terreurbestrijders op anonieme basis tegen de NOS. Volgens hen ligt de focus te veel op politie-eenheden die snel reageren op dreigingen, en is de inlichtingenpositie de achilleshiel van de Nederlandse terreurbestrijding. (…)”

Privacy en veiligheid zijn complexe thema’s. Dat bewijst zich in debat over de Nederlandse inlichtingen- en veiligheidsdiensten, zoals over het concept-wetsvoorstel Wiv20xx. In het zeer leeswaardige rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron) staan tien handvatten voor debat over vraagstukken die zowel vanuit privacyperspectief als veiligheidsperspectief kunnen worden bezien. Twee van die handvatten luiden “betrek beide thema’s in het debat” en “durf elkaars ambassadeur te zijn”. Dat betekent (bijvoorbeeld) dat bij een debat over uitbreiding van bevoegdheden niet alleen aandacht nodig is voor de mogelijke ongewenste effecten van die uitbreiding, maar ook voor de mogelijke ongewenste effecten van het uitblijven daarvan. Posts op dit blog zijn relatief vaak opgesteld vanuit het eerste perspectief. In deze post wordt vanuit het veiligheidsperspectief gekeken. Dat doe ik in de vorm van twee citaten: één van Bob de Graaff uit zijn artikel De Nederlandse inlichtingen- en veiligheidsdiensten: nooit te oud om te leren (2011; mirror) en één van de minister van Defensie uit een commissievergadering die in februari 2015 plaatsvond.

De Graaff beschrijft in zijn artikel beknopt de geschiedenis van de Nederlandse inlichtingen- en veiligheidsdiensten. De laatste twee paragrafen beschrijven ontwikkelingen bij de diensten en hun werkveld in de periode 1990-2011. In het licht van het concept-wetsvoorstel Wiv20xx vind ik de afsluitende alinea een belangrijke:

Het grootste gevaar is dat in het huidige veiligheidsklimaat de diensten te star en bureaucratisch opereren tegen tegenstanders die voor een deel in staat zijn tot een veel grotere organisatorische flexibiliteit, die profiteren van het feit dat zij sneller leren van de zich wijzigende omstandigheden en die steeds minder mensen nodig hebben om een steeds grotere mate van vernietiging teweeg te brengen.

Hierbij de twee laatste alinea’s uit het artikel van De Graaff:

[…]
1990-nu: dynamiek en onzekerheid

Het was duidelijk dat de dienst aan verandering toe was. Het koppel minister Dales (van Binnenlandse Zaken) en BVD-hoofd Docters van Leeuwen schudde begin jaren negentig de dienst op. Onderdeel daarvan was een grotere transparantie blijkende uit jaarverslagen en incidentele rapporten. Aan het begin van het volgende decennium, in 2002 kwam een nieuwe wet op de inlichtingen- en veiligheidsdiensten tot stand, die tot de dag van vandaag geldt. Deze wet was onder meer noodzakelijk doordat het Europese Hof van Justitie had bepaald dat de klachtprocedure ten aanzien van inlichtingen- en veiligheidsdiensten in Nederland onvoldoende geregeld was en onvoldoende duidelijk was wie wanneer welke inzet van bijzondere inlichtingenmiddelen tegen zijn of haar persoon kon verwachten. De wet bezegelde voorts de inmiddels tot stand gekomen samenwerking van de afzonderlijke militaire inlichtingen- en veiligheidsdiensten in de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Omdat gebleken was dat Nederland het toch niet zonder een civiele inlichtingendienst kon stellen, werd bovendien de inlichtingendienst voor het buitenland geïntegreerd in de veiligheidsdienst, waardoor de BVD veranderde in Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Dat was een weinig gelukkige combinatie gezien de geheel verschillende disciplines die inlichtingen en veiligheidswerk vergen.

Niettemin leek dit alsnog goed uit te pakken aangezien de dreiging van het islamistisch terrorisme zich manifesteerde. Internationaal gezien opmerkelijk vroeg, signaleerde de – toen nog – BVD het gevaar daarvan in een openbaar rapport. Aanvankelijk werd deze signalering cynisch begroet: ging het hier misschien om een nieuwe vorm van werkverschaffing? De aanslagen door al-Qa’ida van 11 september 2001 in de Verenigde Staten, gevolgd door aanslagen in Madrid, Istanbul en Londen, stelden de dienst echter in het gelijk.

Het veiligheidsklimaat veranderde door deze aanslagen drastisch. Het budget en de bevoegdheden van de diensten werden sterk uitgebreid. In de jaren zeventig en tachtig was in de ogen van velen een goede veiligheidsdienst nog een dienst geweest die zo weinig mogelijk wist over de Nederlandse burgers, maar vooral in de nasleep van de moorden op Fortuyn (2002) en Van Gogh (2004) en de aanslag op Koninginnedag 2009 won de opvatting dat een veiligheidsdienst in Nederland niet genoeg kon weten over zijn burgers aan kracht.

Het islamistisch terrorisme bleek meer dan voorgaande vormen van terrorisme transnationaal van aard en er bestonden verbanden tussen binnen- en buitenlandse radicalen. In 2010 bepleitte het toenmalige hoofd van de AIVD bij de presentatie van het jaarverslag van de dienst daarom voor meer buitenlandse spionage onder het motto van forward defense. Opvallend was daarbij dat het diensthoofd niet aan de orde stelde hoe in dit geval de taakverdeling moest zijn met de MIVD. De taakgebieden die hij noemde (Irak, Afghanistan, Jemen en Somalië) leken nu juist op het bordje van de militaire dienst te liggen. Een ander heikel punt tussen beide diensten betrof de samenwerking ten aanzien van de Nationale Sigint Organisatie (NSO). Een ander punt waarop AIVD en MIVD het met elkaar eens zullen moeten worden betreft cyber intelligence, een onderwerp dat de laatste jaren snel aan belangstelling heeft gewonnen.
Verder lag het de AIVD zwaar op de maag dat na de aanslagen in Madrid het instituut van Nationaal Coördinator Terrorismebestrijding (NCTb) in het leven was geroepen. Dit was weliswaar geen ‘derde dienst’ naast de AIVD en de MIVD, maar de NCTb beschikte wel over een eigen analyseafdeling en had gemakkelijk toegang tot de ministerraad. Het monopolie op de civiele inlichtingenanalyse was daardoor verloren gegaan. Anders dan misschien verwacht kwam de NCTb niet verzwakt, maar juist getalsmatig versterkt uit de kabinetsformatie van dat jaar tevoorschijn. De NCTb kreeg nu de coördinatie voor veiligheid in algemene zin en veranderde in de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Daarnaast is er nog de roep bij de politie om, los van ondersteunende activiteiten ten behoeve van de AIVD, ook zelf aan inlichtingenvergaring te doen in het kader van intelligence led policing.

Terwijl de behoefte aan internationale samenwerking is toegenomen in het kader van de bestrijding van terrorisme, constateerde de commissie-Davids naar het regeringsbeleid met betrekking tot de oorlog in Irak dat Nederland niet al te zeer afhankelijk mocht zijn van buitenlandse inlichtingen. Die conclusie was natuurlijk zeer welkom in een tijd van bezuinigingen, maar er blijft een zekere spanning bestaan tussen nationale onafhankelijkheid op het terrein van inlichtingen en internationale samenwerking.

De toekomst

De politiek-maatschappelijke acceptatie van inlichtingen- en veiligheidsdiensten is de afgelopen jaren sterk toegenomen, maar daarmee ook de publieke en politieke aandacht voor hun werk. Geregeld ontstaan te hoge verwachtingen van het werk van diensten: ‘Satellieten zien toch alles’ en ‘Zo iemand kun je toch voortdurend volgen’. Een belangrijke taak van de diensten zal daarom moeten zijn: het bevorderen van educatie, voorlichting en een sterk verwachtingenmanagement.

Dreigingen komen van meerdere, soms nauwelijks te verwachten kanten en (bijvoorbeeld bij cyber security) met een tot nu toe ongekende snelheid. In combinatie met de maatschappelijke druk zal er sneller informatie aan afnemers beschikbaar worden gesteld, iets wat nu al blijkt uit het toegenomen aantal zogeheten ambtsberichten van de diensten. Die snelheid zal mogelijk afbreuk doen aan kwaliteit en betrouwbaarheid. Tegelijkertijd moeten inlichtingen- en veiligheidsdiensten steeds meer concurreren met organisaties die early warning afgeven op basis van volledig open informatie. Om die concurrentie het hoofd te kunnen bieden, zouden inlichtingen- en veiligheidsdiensten een soort betrouwbaarheids- of kwaliteitsoordeel kunnen uitspreken over concrete informatie. Dat staat echter weer haaks op de snelheid van aanlevering. Het zal interessant zijn om te zien hoe die spanning wordt opgeheven.

Er zal een voortgaande neiging zijn om analyses methodischer te maken en deels te automatiseren. Dat kan niet anders in een tijdperk waarin op informatie gebaseerde organisaties tenonder dreigen te gaan aan information overload. Tegelijk moet er ruimte blijven om met behulp van verbeeldingskracht en intuïtie te werk te gaan, want tegenstanders zullen juist vaak proberen te verrassen door het ondenkbare of onmogelijk geachte te doen.

De Nederlandse diensten moeten ervan uitgaan dat de dynamiek in hun taakomgeving waarschijnlijk alleen nog maar meer zal toenemen, dat zij weliswaar groot zijn geworden ten tijde van de Koude Oorlog, maar dat dat een unieke tijd was met bipolariteit en grote voorspelbaarheid, die routines mogelijk maakte. De toekomst vereist een lerend vermogen van de diensten, wat betekent dat ook individuele medewerkers in staat moeten zijn op meta-niveau hun eigen werkwijze te bezien. Het is de vraag of de diensten thans zodanig gestructureerd zijn dat zij het personeel daartoe in staat stellen en of het vertrouwen in het eigen personeel ook aanwezig is in het licht van enkele recente integriteitsincidenten onder medewerkers.

Het grootste gevaar is dat in het huidige veiligheidsklimaat de diensten te star en bureaucratisch opereren tegen tegenstanders die voor een deel in staat zijn tot een veel grotere organisatorische flexibiliteit, die profiteren van het feit dat zij sneller leren van de zich wijzigende omstandigheden en die steeds minder mensen nodig hebben om een steeds grotere mate van vernietiging teweeg te brengen.

Ten tweede een selectie van woorden die de minister van Defensie uitsprak tijdens de vergadering van de cie-BZK+Defensie dd 10 februari 2015 over de kwestie van ongerichte interceptie van kabelcommunicatie (markering is van mij):

[…]

Het is ook een feit dat in het digitale tijdperk waarin wij nu leven, de opbrengst van klassieke interceptiemethoden onmiskenbaar afneemt. De opkomst van mobiele communicatiemiddelen en complexe netwerken hebben daartoe geleid. Dat heeft gevolgen. Gevolgen als wij de wet niet technologieonafhankelijk maken. Gevolgen omdat wij cyberdreigingen mogelijk niet tijdig onderkennen. Gevolgen omdat Nederlandse militairen op missie mogelijk minder goed kunnen worden beschermd en ondersteund. Gevolgen omdat terroristische activiteiten mogelijk niet tijdig worden onderkend. Gevolgen omdat de werkelijke intenties van risicolanden, bijvoorbeeld op het gebied van massavernietigingswapens, verborgen blijven. Gevolgen omdat we niet in staat zijn om bij snel opkomende crises in het buitenland snel een toereikende informatiepositie op te bouwen. Gevolgen omdat de ontvreemding van intellectueel eigendom, vitale economische informatie en staatsgeheimen mogelijk onopgemerkt blijft.

Dan geef ik enkele voorbeelden die in het bijzonder gelden voor de MIVD, zoals het goed ondersteunen van militairen op missies. Daar hecht ik zeer aan. Ik moet overigens enigszins met meel in de mond praten, want er is altijd een rubriceringsniveau. Ook in gebieden in Afrika, het Midden-Oosten en Azië, waar Nederlandse militairen optreden, verloopt telecommunicatie steeds vaker via kabelnetwerken. As we speak, worden die kabelnetwerken aangelegd op land en in zee. Het gebruik van het internet en mobiele devices neemt ook in de gordel van instabiliteit explosief toe. Zelfs in en nabij conflictgebieden worden generaties aan telecommunicatiemiddelen overgeslagen en worden in een hoog tempo moderne en breedbandige netwerken aangelegd.

Dan kom ik op een ander punt waar ik zeer aan hecht, namelijk het tegengaan van de proliferatie van massavernietigingswapens. Het zicht op de intenties en de activiteiten van landen die mogelijk streven naar het bezit van massavernietigingswapen is de afgelopen tijd echt aanzienlijk gekelderd, door de overschakeling op andere, zeer waarschijnlijk kabelgebonden communicatievormen. Hiervan is geen woord gelogen. We moeten daar niet naïef in zijn. Pogingen om bijvoorbeeld in Nederland dual-use goederen te verwerven, kunnen eveneens onzichtbaar blijven. Ook daar hebben we voorbeelden van.

Dan kom ik op het tegengaan van digitale spionage en digitale sabotage in Nederland en met betrekking tot Nederlandse belangen. Vrijwel alle cyberdreigingen verlopen inmiddels via het kabelnetwerk. Het gaat daarbij bijvoorbeeld om malware van staten die uit zijn op Nederlandse staatsgeheimen en bedrijfsgeheimen of om malware van groeperingen of individuen die de groeiende afhankelijkheid van overheden en bedrijven van digitale systemen willen benutten om de nationale vitale infrastructuur te ontwrichten. Het zijn niet zomaar kleine dingen, het zijn grote zaken.

Vervolgens kom ik op het ondersteunen van de cyberoperaties van de krijgsmacht in het buitenland. Wellicht hebt u vernomen dat wij hebben besloten tot het instellen van een cybercommando dat niet alleen defensief maar ook offensief kan optreden. Dat kan alleen maar mogelijk worden gemaakt als er toegang is tot de kabel.

Je moet ook de militair-technische ontwikkelingen onderkennen. De informatiepositie van de MIVD is aanwijsbaar verslechterd als gevolg van het verplaatsen van het communicatieverkeer naar de kabel. Ik heb eerder gezegd dat de dienst doof en blind aan het worden is en ik herhaal het hier. Het stond deze week ook in de krant. De indruk wordt nu gewekt dat Nederland massaal zal worden afgeluisterd, maar niets is minder waar. Ik heb een paar concrete voorbeelden genoemd, hoewel ik niet helemaal tot in detail kan gaan, die er echt toe doen voor de informatiepositie van Nederland, de bescherming van de staatsveiligheid en onze belangen in het buitenland. Ik hoop dat ik daarmee de urgentie hiervan voor het voetlicht heb gebracht.

De minister noemde hier dus de volgende voorbeelden van gevolgen van het uitblijven van ongerichte interceptie van kabelcommunicatie (deze beslaan zowel werkgebied van de MIVD als de AIVD):

  • cyberdreigingen worden mogelijk niet tijdig onderkend;
  • Nederlandse militairen op missie kunnen mogelijk minder goed worden beschermd en ondersteund;
  • terroristische activiteiten worden mogelijk niet tijdig onderkend;
  • de werkelijke intenties van risicolanden, bijvoorbeeld op het gebied van massavernietigingswapens, blijven verborgen (N.B.: Hennis trok tijdens de vergadering vooral een ernstig gezicht bij het uitspreken van deze woorden: “Het zicht op de intenties en de activiteiten van landen die mogelijk streven naar het bezit van massavernietigingswapen is de afgelopen tijd echt aanzienlijk gekelderd, door de overschakeling op andere, zeer waarschijnlijk kabelgebonden communicatievormen. Hiervan is geen woord gelogen.”)
  • we zijn niet in staat zijn om bij snel opkomende crises in het buitenland snel een toereikende informatiepositie op te bouwen;
  • de ontvreemding van intellectueel eigendom, vitale economische informatie en staatsgeheimen blijft mogelijk onopgemerkt.

Aan elk argument zal óók informatie ten grondslag liggen die voor de buitenstaander niet bekend en/of niet te controleren is, met name op het gebied van methoden, bronnen en (praktische, financiële en personele) beperkingen van de diensten. Wel kan je als buitenstaander trachten om bij elk voorbeeld op basis van openbare c.q. algemeen bekende informatie aannemelijk te maken dat bestaande bevoegdheden niet toereikend zijn, en dat in redelijkheid kan worden gesproken van noodzaak van ongerichte search/interceptie van kabelcommunicatie in binnen- en/of buitenland. (De bewijslast voor het aantonen van noodzaak blijft natuurlijk bij de overheid.)

Zo kan voor het eerste voorbeeld — het onderkennen van digitale dreigingen — worden betoogd dat het in het kader van contraspionage noodzakelijk is om signature-based en anomaly-based malware/intrusion detection uit te voeren (bijvoorbeeld middels DPI-systemen), en dat daar zonder Artikel 33+34 Wiv20xx onvoldoende juridische ruimte voor bestaat. Aanvullend kan worden betoogd dat omdat kennis van de toegepaste anomaly-based methoden en (vooral) de gebruikte signatures zeer gevoelige informatie kan betreffen, deze niet bekend moet zijn bij derden (zoals ISPs en organisaties die in potentie doelwit kunnen zijn van spionage), en het daarom onwenselijk is de intrusion detection (decentraal) bij derden te beleggen. Ten slotte kan het standpunt worden verdedigd dat het vestigingsklimaat in Nederland beter wordt als gevolg van de verruiming van bevoegdheden, omdat de overheid daarmee in staat wordt gesteld om (ook) buitenlandse bedrijven met een vestiging in Nederland beter te (helpen) beschermen tegen onder meer digitale spionage en digitale aanvallen.

Voor wie meer wil weten over het veiligheidsperspectief, en leeswerk niet schuwt:

  • lees het Dessens-rapport (2013);
  • lees de Memorie van Toelichting (.pdf, 2015) bij het concept-wetsvoorstel Wiv20xx;
  • lees de AIVD-jaarplanbrief 2015 en de AIVD-jaarplanbrief van 2016, waarin de minister van BZK op hoofdlijnen de prioriteiten van de AIVD schetst;
  • lees toezichtsrapporten van de CTIVD (2003-heden);
  • lees het Rijksoverheid-nieuwsbericht over mythes en misverstanden over de AIVD (2008);
  • lees Bound by silver cords. The Dutch intelligence community in a transatlantic context (2012) van academici Beatrice de Graaf en Constant Hijzen, waarin zij over samenwerking met de Amerikaanse diensten stellen dat de verschillen tussen Amerika en Nederland op het gebied van privacywetgeving, aandacht voor mensenrechten en juridische standaarden “put a brake on their relationship with American services and agencies”;
  • lees Sigint: definition, qualities, problems and limitations (citaten uit een Engelstalig werk van Matthew Aid & Cees Wiebes uit 2001) en optioneel De voordelen en nadelen van signals intelligence (citaten uit een Nederlandstalig werk van Cees Wiebes uit 2002);
  • lees de Britse Operational Case for Bulk Powers (.pdf, Q1/2016; mirror), opgesteld door de Britse overheid n.a.v. een aanbeveling die het parlementaire Joint Committee deed inzake de in november 2015 gepubliceerde Draft Investigatory Powers Bill (de .pdf van het wetsvoorstel staat hier). Dat wetswijzigingsvoorstel bevat vier bulkbevoegdheden voor GCHQ, MI5 en MI6: “bulk interception, bulk acquisition, bulk equipment interference and bulk personal datasets”. Het nieuwe document is een nadere onderbouwing van die bevoegdheden.
    • zijstapje: over anonimiteitsnetwerken — denk aan Tor — staat daar op p.11 het volgende: “The use of bulk data is among the few effective methods available to counter the illicit use of the dark web.  By analysing data obtained through bulk interception, investigators are able to link the anonymous identities of criminal users to their real world identities. These techniques rely on the analysis of large volumes of data; it would not be possible to do this through targeted interception or communications data powers.”
  • lees het Britse Report of the bulk powers review, (.pdf, Aug 2016; mirror), de uitkomst van het “Independent Bulk Powers Review” dat ziet op de (ook in de vorige bullet genoemde) Draft Investigatory Powers Bill. Het rapport is opgesteld door “Independent Reviewer of Terrorism Legislation” David Anderson QC. Drie opmerkingen uit de Executive Summary van het rapport:
      • “The Report concludes that there is a proven operational case for three of the bulk powers, and that there is a distinct (though not yet proven) operational case for bulk equipment interference (9.12-9.15).”
      • “As the case studies show, the bulk powers are used across the range of  Agency activity, from cyber-defence, counter-espionage and counter-terrorism to child sexual abuse and organised crime (Annexes 8-11).”
      • “The bulk powers play an important part in identifying, understanding and averting threats in Great Britain, Northern Ireland and further afield. Where alternative methods exist, they are often less effective, more dangerous, more resource-intensive, more intrusive or slower (chapters 5-8).”

    Discussie over proportionaliteit en wenselijkheid (“desirability”) van de bevoegdheden vielen buiten de review en worden overgelaten aan het lagerhuis.

  • met betrekking tot transparantie vs. geheimhouding, lees The CIA’s Constant Battle Between Secrecy and Effectiveness (2016): “The problem is that while secrecy is necessary for collecting human intelligence and conducting covert actions, and is helpful to all-source intelligence analysis, it is contrary to the imperative of maintaining public support.” Zie in dat licht de relatief uitgebreide AIVD-website en jaarverslagen (hoewel Nederland qua tapstatistieken dan wel weer achterloopt op landen als Duitsland en België), enkele vrij gedetailleerde openbare publicaties (o.a. over jihadisme) en het feit dat in de laatste jaren op openbare bijeenkomsten soms AIVD-sprekers opduiken (NISA Cyberdag, NWO ICT.Open, NCSC One, etc.).
  • idem, ook aanbevolen: de politiek-filosofische beschouwing Het geheim van de laatste staat – kritiek van de transparantie van UvT-hoogleraar bestuurskunde Paul Frissen, aangaande het belang van geheimen voor zowel burgers (privacy) als overheid (staatsgeheimen), en de (dystopische) keerzijde van bovenmatige transparantie.

Specifiek met betrekking tot signals intelligence is het blog van Peter Koop (@electrospaces) de moeite waard: daar geeft Koop kritische duidingen en analyses van (onder andere) NSA- en GCHQ-documenten die (onder andere) via Snowden openbaar zijn geworden. Zie daar bijvoorbeeld de post NSA’s Foreign Partnerships (2014, laatste update: maart 2015). En ProPublica publiceerde een overzicht (2014) van NSA-programma’s die via Snowden zijn onthuld, geordend naar bulk vs. targeted en domestic vs. foreign.

EOF

Outlines of the Dutch General Intelligence & Security Service (AIVD) Year Plan for 2016

On December 16th 2015, the Dutch government submitted a “year plan letter” to the House of Representatives that covers the outlines of the General Intelligence & Security Service (AIVD) priorities in 2016. It is a follow-up to, and references, the first-ever year plan letter, submitted on June 23rd 2015. A translation of that earlier letter is available here.

The remainder of this post consists of a translation of the paragraphs that describe the focus areas regarding intelligence. Links, parts in [], typos and translation errors are mine.

[…]

National security and the role of the AIVD

Security is a core task of the government. The AIVD ensures national security by timely identification of threats, (political) developments and risks that are not immediately visible. To this end, the AIVD carries out domestic and foreign investigations, taking into account the safeguards of the Dutch Security & Intelligence Act of 2002 (.pdf) (Wiv2002). Collecting and interpreting intelligence is not an objective on and by itself. It is an essential condition to thwart terrorist attacks, disrupt terrorist traveling, detect espionage, and, more generally, support government policy to protect the democratic rule of law and other important state interests. The AIVD shares specific knowledge and information with its partners (for instance public administrators, policy makers, the National Police) and instigates other organizations to act.

Integrated Intelligence & Security Policy [Dutch: “Geïntegreerde Aanwijzing I&V”]

On June 23rd 2015 I informed the House of Representatives about the priorities and accents of the AIVD in 2015 (Parliamentary Papers 30 977, nr. 119), for the first time on the basis of an Integrated Intelligence & Security Policy. This Integrated Policy describes the intelligence needs of various intelligence consumers and is the basis for the year plans of the AIVD and the Military Intelligence & Security Service (MIVD). The Integrated Policy also takes into account prior budgets increases appointed by the government for the multi-year budget of the AIVD. The priorities and accents laid down in my letter of June 23rd are largely continued in 2016, because the Integrated Policy lays down the intelligence need for multiple years. At the same time it must be observed that worrying developments keep taking place within various existing areas of interest. The threat concerning jihadist terrorism, the instability at the borders of Europe, the large increase of migration flows and the changes in global power relations require undiminished attention and efforts within the AIVD’s investigations.

Priorities and accents of AIVD investigations

Concerning the legal tasks of the AIVD, insight is given below into the (changed) priorities and accents that are put central in 2016 in each focus areas:

Jihadist terrorism

The Netherlands has a terrorist threat level that is qualified as “substantial” since March 2013. In my letter of June 23rd I describe the current developments concerning jihadist terrorism, such as regarding the threat from jihadists from the Netherlands that have traveled abroad, jihadist groups that have an international agenda, and the increasing role of old transnational networks. I also state that different, unrelated elements can come together, such as mavericks, sympathizers, diffuse local networks, and relations or inspirations with other networks and groups. These threats remain current. The tragic events in Paris on November 13rd emphasize this. The efforts of the AIVD therewith remain focused, undiminished, on the timely identification of said national and international jihadist threats, to provide relevant government organizations with perspectives to act. Furthermore, the efforts are focused on preventing Dutch youngster from traveling to conflict zones and on the timely identification of the threat from (returned) jihadist fighters. In addition, the AIVD attempts to disrupt the supportive and recruiting activities regarding participation in violent international jihad. Especially concerning this topic, active cooperation takes place with domestic and foreign organizations, including the NCTV, the National Police, the Public Prosecution Service, municipalities, and Child Protective Services. International cooperation takes place with various foreign intelligence & security services, and within Europe, operational information is frequently exchanged within the Counter Terrorist Group (CTG). In the Spring of 2016, the AIVD chairs the CTG, and the AIVD has prioritized the further intensification of this cooperation.

Migration flows

The AIVD investigates possible security risks for the Netherlands and Dutch interests as result of the strongly increased migration flows to Europe. This investigation takes place from the perspectives mentioned above, including (jihadist) terrorism, radicalization, left-wing and right-wing extremism and tensions between groups inside the Netherlands. Investigation into specific countries also takes place. Where necessary, the progress of these investigation is discussed at the national and international level with the AIVD’s partners.

Radicalization

In the coming years, radicalization of various groups inside the Netherlands remains a cause for concern. The persisting international tensions provide a breeding group that, in combination with the national situation and personal circumstances, in the near future keeps resulting in a climate in which radicalization takes place. The recent AIVD/NCTV publication “Salafism in the Netherlands, diversity and dynamics” provides the most recent insight in the anti-democratic and intolerant character of parts of the salafist spectrum, combined with the risks for the democratic rule of law that is associated with their growth as observed by the AIVD.

The AIVD emphasized that the threat that stems from (the growth of) radical islam in the Netherlands is twofold: on the one hand, it can result in violence in the form of jihadist terrorism. On the other hand, it can by itself pose a threat to the democratic rule of law, because of the intolerant and anti-democratic thoughts that are spread. The AIVD investigates both types of threats. The investigation of persons and organizations that propagate jihadist thoughts helps in getting timely insight into jihadists, and thereby facilitates the AIVD’s investigation of jihadist terrorism. The investigation into non-jihadist radical islam helps, among others, the NCTV, the local governments, and other relevant organizations in taking measures against individuals who instigate others into anti-integrative and intolerant isolationism.

Left-wing and right-wing extremism

With regard to the investigation of left-wing and right-wing extremism, the developments and related priorities and accents described in my letter of June 23rd remain in place. The investigatory efforts regarding this area of interest will be continued in 2016. The interpretation of the factual threat that the AIVD attributes to left-wing and right-wing extremism is essential in providing the NCTV and local and national authorities with perspectives for acting.

Proliferation of WMDs

WMDs are potentially a great threat to international peace and security. The Netherlands has signed international treaties focused on preventing the proliferation of such weapons. The joint Unit Counter-Proliferation of the AIVD and MIVD investigates countries that are suspected of developing WMDs and means of transmission, or already posses those, in violation of these treaties. The priorities for the (joint) investigation by both services remain in place for 2016.

Investigation of countries

The AIVD’s investigation of countries is carried out to provide the government with background information and perspectives for acting and to use in discussion on topics that affect the Dutch national and international political interests. This investigation is increasingly closely related to the AIVD’s security tasks. Countries regarding which a joint intelligence need is laid down for the AIVD and MIVD in the Integrated Policy are investigated in close (operational) cooperation and consultation with the MIVD. The intelligence need laid down in the Integrated Policy for investigation of countries remains unchanged in 2016.

(Digital) espionage and cyber threats

The intelligence need concerning foreign intelligence activities inside the Netherlands (espionage) or aimed against the Dutch interests remains unchanged in 2016. The investigation is aimed at identifying undesired activities and disrupting those, or by providing perspectives to act to the relevant authorities. Concerning digital espionage, anonymity and profitability of digital attacks provides unprecedented new possibilities for perpetrators and their clients to serve their political and/or economical interests. Examples of observed digital attacks, aimed at espionage and gathering sensitive and valuable information, are numerous and the threat and (potential) damage is great. It can also involve digital attacks aimed at sabotage or societal disruption. The AIVD investigates such cyber attacks and works closely together with the MIVD, the National Cyber Security Center (NCSC) and the NCTV.

[…further paragraphs omitted from translation concern the recruitment of new employees, the draft Dutch intelligence bill, security screenings, budget stuff, co-location of AIVD & MIVD at Frederikskazerne in The Hague, IT and accountability…]

(signed by Ronald Plasterk, the Minister of Internal Affairs & Kingdom Relations)

EOF

Full translation of the Dutch government’s statement on encryption

UPDATE 2016-10-31: in case anyone wonders: yes, the Dutch gov’t statement on encryption was made with consent of the Dutch General Intelligence & Security Service (AIVD) and the Dutch Nat’l Counter Terrorism Coordinator (NCTV) — notwithstanding the more recent observation that the head of the AIVD called [Volkskrant article, in Dutch] for ways to access encrypted WhatsApp (etc.) chats.

UPDATE 2016-10-04: the Dutch House of Representatives today voted in favor of a motion that requests the government to uphold its standpoint on encryption made in January 2016 (see the remainder of this post), and to actively advocate that standpoint internationally and within the EU. The motion was filed by Kees Verhoeven, MP for the D66 party (social-liberal / progressive) during the (extended) General Meeting on privacy and the topic of (not) weakening encryption, that took place on of September 27th. An official but uncorrected stenogram, in Dutch, from that meeting is available here (.docx).

UPDATE 2016-01-20: during a General Meeting on cyber security, the state secretary for Security & Justice, Klaas Dijkhoff,  confirmed (in Dutch) that the Dutch government does not seek weakening encryption: “yes, we are serious about that”.

TL;DR: on January 4th 2016, the Dutch government stated that it will, at this time, not take restrictive legal measures considering the development, availability and use of encryption within the Netherlands. Some things to keep in mind:

  • they explicitly state ‘at this time’ — the possibility remains that their position changes in the future;
  • current Dutch law provides some forms of compelled decryption:
    • first, two provisions exist in intelligence law regarding targeted hacking and targeted interception.
      • The targeted interception power requires prior approval from the minister: if the minister approves a request for targeted interception, the services can then themselves compel “anyone” to help decrypt the intercepted communication;
      • The targeted hacking power (currently) does not require prior approval from the minister; the services can themselves decide to hack a system and to compel “anyone” to help decrypt data;
      • Note: the law does not forbid the use of the compelled decryption powers against a target, but for obvious reasons — e.g. maintaining operational secrecy — it seems likely the compelled decryption powers will typically only be used against third parties, for instance a provider, a roommate, etc.;
    • second, one provision exists in the code of criminal procedure (criminal law) regarding access to a secured computer as part of a criminal investigation. The law forbids the use of this power against a suspect (because of nemo tenetur, i.e., the right to not self-incriminate);
  • in July 2015, the Dutch government proposed compelled decryption for untargeted (bulk) interception in a draft intelligence bill (intelligence law). The draft bill is currently being revised and is expected to be submitted to the House of Representatives by the end of Q1/2016. AFAIK it is expected that the final bill, that will be debated in the House of Representatives, will still include the new decryption provision. The status of the bill can be viewed here;
  • in December 2015, the Dutch government stated they cancelled the decryption provision in the final version of a cybercrime bill (more) (part of criminal law) which would have granted LE the power to, after approval from a magistrate (but not a court), compel suspects of certain “very serious criminal offenses” to decrypt their data under penalty three years imprisonment or a fine of up to ~20k euro. The stated reason for the cancellation: incompatibility with nemo tenetur. Why the government initially included this provision in the draft cybercrime bill — notably following a rather critical study by professor Bert-Jaap Koops — but now cancelled it in the final cybercrime bill, is not clear (to me). The status of the bill can be viewed here.

On January 4th 2016, the Dutch government released a statement on encryption. It is covered by El Reg. Here is a full, unofficial translation of that statement (~1600 words; hyperlinks and parts in [] were added by me):

Government position on encryption

We hereby submit the government position on encryption. This fulfills promises made during the General Meeting of the Telecom Council of June 10th 2015 (Parliamentary Papers 2014-2015, 21501-33, nr. 552) and the General Meeting of the JHA Council of October 7th 2015.

Introduction

Encryption is increasingly easy to obtain and use, and increasingly common in regular data communication. The government, the private sector and citizens increasingly use encryption to protect the confidentiality and integrity of communication and stored data. That is important for public trust in digital products and services, and for the Dutch economy, in the light of the rapidly developing digital society. At the same time, encryption obstructs access to information necessary for prosecution services and intelligence & security services when malicious persons (such as criminals and terrorists) use it. The recent attacks in Paris, where the terrorists possibly used encrypted communications, lead to the justified question what is needed to provide these services with proper insight into attack planning, and to maintain that insight.

The duality described in the previous paragraph was also heard in the public debate in the past months about the dilemmas of the use of encryption. The House [of Representatives; i.e., the lower house] has also discussed this. During the General Meeting of the Telecom Council it was asked what the government intends to do regarding the promotion of strong encryption. Besides that, the House requested the government to establish a position on encryption.

Next, the importance of encryption for the system and information security of the government and the private sector, and for the constitutional protection of privacy and confidential communication, will be discussed. The importance of prosecution of serious criminal offenses and the protection of national security will be laid down. Finally, after weighing of the interests, a conclusion is drawn.

The Dutch situation can not be discussed without taking into account the international context. Software for strong encryption is increasingly available world-wide, and is already integrated in products or services. Considering the broad availability and use of advanced encryption techniques, and the cross-border nature of data traffic, options to act at a national level are limited.

Importance of encryption for the government, private sector and citizens

Cryptography plays a key role in technical security in the digital domain. Many cyber security measures in organizations depend strongly on the use of encryption. Secure storage of passwords, the protection of laptops against loss or theft, and the secure storage of backups are more difficult without the use of encryption. The protection of data transferred via the internet, for instance during internet banking, is only possible through the use of encryption. Due to the connectedness of systems and the global branches and various paths that communication can travel, the risk of interception, breach, access or manipulation of information and communication is always present.

The government increasingly communicates with citizens via digital means, and provides services where confidential data is exchanged, such as the use of DigiD [a national authentication system that Dutch citizens can use to log in to the IRS, the cadastre, their municipality, etc.] or declaring taxes. As stated in the coalition agreement of 2012, citizens and companies should be able to carry out their interactions with the government entirely digitally by 2017. The government has the responsibility to ensure that confidential data is protected against access by third parties: encryption is indispensable for this. The protection of communication within the government also depends on encryption, such as the security of the exchange of diplomatic messages, and military communication.

For companies, encryption is essential to store and transfer business information securely. The ability to use encryption strengthens the international competitiveness of the Netherlands, and promotes an attractive climate for businesses and innovation, including startups, data centers and cloud computing. Trust in secure communication and storage of data is essential for the (future) growing potential of the Dutch economy, that mainly resides in the digital economy.

Encryption supports the protection of privacy and the confidentiality of citizens’ communications, because it provides them with a means to protect the confidentiality and integrity of personal data and communications. This is also important for exercising the right to free speech. It enables citizens, but also persons who hold an important democratic profession, such as journalists, to communicate confidentially.

Encryption thus enables everyone to ensure the confidentiality and integrity of communication, and defend against, for instance, espionage and cyber crime. Fundamental rights and freedoms, as well as security interests and economic interests, benefit from this.

Encryption, prosecution services and intelligence & security services

The investigatory powers and means available to the services, must be equipped for the present and future digital reality. Effective, lawful access to data promotes the security of the digital and physical world. Encryption used by malicious persons hinders access to data by the prosecution services and intelligence & security services. The services experience these barriers for instance when they investigate the distribution and storage of child pornography, while supporting military missions abroad, while countering cyber attacks, and when they want to gain and maintain insight into terrorists who are planning attacks. Criminals, terrorists and opponents in armed conflicts are often aware that they can attract attention of the services, and also posses advanced encryption methods that are difficult to circumvent or break. The use of such methods requires little technical knowledge, because encryption is often integral part of the internet services that they too can use. That complicates, delays, or makes it impossible to gain (timely) insight in communication for the purpose of protecting national security and the purpose of prosecuting criminal offenses. Furthermore, court hearings and the providing of evidence in court for a conviction can be severely hindered.

The right to privacy and confidentiality of citizens’ communication

As mentioned before, the use of encryption supports citizens in ensuring privacy and confidentiality of their communication. Said lawful access to data and communication by prosecution services and intelligence & security services constitutes a breach of the confidentiality of citizens’ communication.

Confidentiality of communication involves the constitutional protection for privacy and the right to protection of correspondence [letters, snail mail], telephone communication and telegraph communication (hereafter: ‘confidentiality of communications’). These constitutional rights are laid down in, respectively, Article 10 and Article 13 of the Dutch constitution. Besides that, these fundamental rights are laid down in Article 8 ECHR and Article 7 and Article 8 of the Charter of Fundamental Rights of the EU (insofar EU law is affected).

The protection of constitutional rights applies to the digital world. Said constitutional regulations and international regulations provide the framework to counter unlawful breaches. Said rights are not absolute, meaning that limitations can be established insofar they meet the requirements set by the Dutch constitution and the ECHR (and insofar European Union law is affected, the EU Charter). A limitation is permissible when it serves a legitimate purpose, is established by law, and the limitation is foreseeable and cognizable [=transparent]. Furthermore, the limitation must be necessary in a democratic society. Finally, the infringement must be proportional, which means that the government’s purpose of the infringement must be proportional in relation to the infringement on the right to privacy and/or the right to confidentiality of communications.

These requirements provide the framework for weighing the interests involved in encryption, such as the right to privacy and the right to confidentiality of communications, public and national security, and the prevention of criminal offenses. This framework, insofar it involves the special powers of the intelligence & security services, is also laid down in the Intelligence & Security Act of 2002 (‘Wiv2002’, Article 18 and Article 31). The obligations [for third parties] to cooperate with decryption laid down in the Wiv2002 (Article 24, third paragraph, and Article 25, seventh paragraph) and in the Code of Criminal Procedure (‘WvSv’, Article 126m, sixth member) can be invoked if the related special powers are exercised after such weighing.

Discussion and conclusion

Nowadays it is increasingly less often possible to break encryption. Furthermore, it is increasingly less often possible to demand unencrypted data from service providers. Increasingly often, modern uses of encryption mean that data is processed by the service providers only in encrypted form. Considering the importance of investigation and prosecution, and the interests involved with national security, these developments necessitate the search for new solutions.

Currently, there is no outlook on possibilities to, in a general sense, for instance via standards, weaken encryption products without compromising the security of digital systems that use encryption. For instance by introducing a technical doorway [=backdoor, exceptional access] in an encryption product that would enable prosecution services to access encrypted files, digital systems can become vulnerable to criminals, terrorists and foreign intelligence services. This would have undesirable consequences for the security of communicated and stored information, and the integrity of IT systems, which are increasingly important to the functioning of society.

In carrying out their legal tasks, prosecution services and intelligence & security services are partially relying on cooperation from providers of IT products and services. Given this dependence, consultation is necessary with providers regarding effective data provisioning in case of the use of their services by malicious persons, while taking into account everyone’s role and responsibilities, as well as the legal frameworks.

Given this discussion, we draw the following conclusion:

The government has the duty to protect the security of the Netherlands and to prosecute criminal offenses. The government emphasizes the necessity of lawful access to data and communication. Furthermore, governments, companies and citizens benefit from maximum security of digital systems. The government endorses the importance of strong encryption for internet security, for supporting the protection of citizens’ privacy, for confidential communication by the government and companies, and for the Dutch economy.

Therefore, the government believes that at this time it is not desirable to take restricting legal measures concerning the development, availability and use of encryption within the Netherlands. The Netherlands will propagate this conclusion, and the arguments that underlie it, internationally [recall: the Netherlands holds the Presidency of the Council of the EU in the first half of 2016; priorities (see slide 2) for the JHA Council include cybersecurity and efforts to tackle cybercrime, and priorities for the EU-US ministerial JHA meeting include data protection, PNR data, counterterrorism and jihadism]. Regarding the promotion of strong encryption, the Minister of Economic Affairs will follow-up on the intent of the amendment (Parliamentary Papers 2015-2016, 34300 XIII, nr.10) on the budget of the Ministry of Economic Affairs [=grant EUR 500k to OpenSSL].

(signed by the Minister of Security & Justice and the Minister of Economic Affairs)

Further reading:

EOF