I’m reading Richard J. Aldrich’s book GCHQ – The Uncensored Story of Britains Most Secret Intelligence Agency (2010; available as 28MB .pdf here) and thought the following paragraphs about TEMPEST in the 1960s offer an interesting bit of historic perspective to modern day weakening of crypto (such as DUAL_EC) as part of NSA’s Bullrun and GCHQ’s Edgehill program:

What none of these accounts captures is the exquisite dilemma of offence versus defence. With Tempest, the conflicting demands of offensive sigint and defensive communications security were so complex as to make the head spin. The optimum solution was for GCHQ and NSA to be able to read the traffic of minor allies and neutral countries themselves, but to provide them with enough defensive expertise to make their communications immune to similar code-breaking efforts by the sigint specialists of the KGB. Tempest allowed GCHQ and NSA to launch innovative attacks on all sorts of machines that had not yet been broken, but this was only an unalloyed virtue if the Soviets were lagging behind in its use. This, in turn, raised another awkward question: how much did the Soviets know?

[…]

Stannard explained that the most awkward issue presented by Tempest was ‘how we may best distribute our responsibilities for advising our allies, particularly in NATO’. Tempest was a nuisance in terms of security, but of course it was beneficial for offensive sigint operations by GCHQ. The British did not want information about Tempest to spread to ‘countries or organisations from which signal intelligence is required’. Where the balance of advantage fell depended on the relative importance attached to either sigint or security. Understandably, perhaps, there were some arguments between GCHQ and LCSA over this matter. [Footnote 64: ‘What is Being Done About Radiation’, Stannard (D/LCSA), address to 38th mtg of the [Canadian] Cipher Policy Committee, Apr. 1958, File TS 1325-3 ‘Communications Security – Crypto Systems’, Canadian Department of National Defence, (…)]

Furthermore:

By the early 1960s the awkward NATO Tempest question was gradually being resolved. A handbook was provided to the European allies that explained how to install cypher equipment so as to minimise radiation risks from Tempest. [Footnote 65: The handbook was designated AMSP522.] However, LCSA emphasised that, within the inner circle constituted by the British, Americans and Canadians, the standard NATO briefing had always to be accompanied by ‘advice on certain aspects of the problem which it is undesirable to disseminate to NATO at large’. This circumlocutory language suggests that Britain was offering some of its NATO partners incomplete advice, leaving open certain avenues for exploitation. At the same time, GCHQ hoped fervently that the KGB was not using the same techniques. [Footnote 66: LCSC (59) 10 (Final), ‘Radiation: Review of Measures Taken or in Hand’, 19.06.59, File TS 1325-3 ‘Communications Security – Crypto Systems’, Canadian Department of National Defence, (…).]

At last, after two troublesome decades, Britain’s code-breakers and code-makers were finally getting to grips with Tempest. The issue, together with independent cryptography by European NATO allies and neutrals, had presented sensitive and costly problems. However, there had also been enormous achievements, many of which are still shrouded in deep secrecy, which provided continuous access to many streams of diplomatic traffic around the world. The main beneficiaries were K Division at GCHQ, whose task it was to read non-Soviet systems. However, these triumphs also owed much to the work of the unsung heroes of communications security, hiding out in one of Britain’s least-known secret service headquarters in Palmer Street in central London. In 1969, their last year of independent operation before they were merged with GCHQ, Fred Stannard’s colleagues declared that their secretive influence over cypher machines was the surest route to good intelligence: ‘There is no better way to successful Sigint than to influence selected target countries by Comsec advice to use a source of equipment desired by Sigint.’ This, they added with quiet satisfaction, ‘can sometimes be done’. [Footnote 67: Burrough to Ryland, 03.06.69, attached ‘Report of the CESD Working Party’, DEFE 32118, cited in Easter, ‘GCHQ and British External Policy in the 1960s’, p.692.]

EOF

NOTE: this page is also available in English.

UPDATE 2014-09-28: historische referentie toegevoegd: na een grote spionagezaak bij GCHQ adviseerde de Britse Security Commission in 1962 dat GCHQ als onderdeel van veiligheidsprocedures ook medische gegevens zou moeten doorlichten. Dat voorstel is destijds verworpen als “noodzakelijk noch gerechtvaardigd”.

UPDATE 2014-09-19: toegevoegd dat Artikel 13 derde lid de verwerking van gegevens over godsdienst of levensovertuiging, ras, gezondheid en seksuele leven verbiedt, en dat het vierde lid een uitzondering bepaalt van dat verbod. Gegevens over politieke gezindheid mogen door de diensten natuurlijk wél worden verwerkt.

De Wiv2002 heeft drie artikelen die bevoegdheden regelen waarmee de AIVD gegevens kan opvragen bij anderen. (Omwille van leesbaarheid laat ik de MIVD buiten beschouwing.) Ten eerste kan de AIVD op basis van Artikel 29 Wiv2002 abonneegegevens vorderen bij “aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten” in de zin van de Telecommunicatiewet. (op wiens naam staat dit telefoonnummer/IP-adres/enz.). Google, Twitter, Skype etc. zijn geen “aanbieders van openbare telecommunicatienetwerken/-diensten”; denk daarbij eerder aan telco’s (mobiel, vast, huurlijn) en internetproviders — maar dan weer niet SURFnet, want die heeft een besloten gebruikersgroep (studenten en onderwijsinstellingen) en wordt daarom niet als “openbaar” beschouwd. Zie hier de lijst van alle aanbieders van openbare elektronische telecommunicatienetwerken en hier de lijst van alle aanbieders van openbare elektronische telecommunicatiediensten.

Ten tweede kan de AIVD op basis van Artikel 28 Wiv2002 (Besluit ex Art.28; MvT) bij die aanbieders ook verkeersgegevens vorderen (wanneer is gebeld, met wie, op welke dag en tijd, hoe lang, vanaf welke locatie — dit kan evt. in real-time worden aangeleverd via een ‘stomme’ tap; denk verder ook aan metadata van internetverkeer).

Ten derde kan de AIVD op basis van Artikel 17 Wiv2002 om gegevens opvragen bij elk bestuursorgaan (politieregisters, GBA, kadaster, enz.), elke ambtenaar, elke verantwoordelijke voor een gegevensverwerking (in de zin van de Wbp) en “voorts een ieder die geacht wordt de benodigde gegevens te kunnen verstrekken” — dus incluis Google, zorgverzekeraars, banken, webwinkels, de slager en je buren, mits noodzakelijk voor de uitoefening van de taken, proportioneel en subsidiair:

Met Artikel 17 Wiv2002 mogen gegevens worden verzameld met betrekking tot de personen aangeduid in Artikel 13 Wiv2002:

1. De verwerking van persoonsgegevens door de Algemene Inlichtingen- en Veiligheidsdienst kan slechts betrekking hebben op personen:

   1. die aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat; [=ruim]

   2. die toestemming hebben verleend voor een veiligheidsonderzoek; [=beperkt]

   3. omtrent wie dat noodzakelijk is in het kader van het onderzoek betreffende andere landen; [=ruim]

   4. over wie door een andere inlichtingen- of veiligheidsdienst gegevens zijn ingewonnen; [=ruim]

   5. wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst; [=ruim]

   6. die werkzaam zijn of zijn geweest voor een dienst; [=beperkt]

   7. omtrent wie dat noodzakelijk is in het kader van het opstellen van de dreigings- en risicoanalyses, bedoeld in artikel 6, tweede lid, onderdeel e. [=ruim]

Artikel 28 en 29 mogen alleen voor de a-taak (nationale veiligheid) en d-taak (inlichtingentaak buitenland) worden ingezet. Artikel 17 mag voor alle taken worden ingezet, dus ook de b-taak (veiligheidsonderzoeken), de c-taak (veiligheidsmaatregelen bevorderen) en e-taak (dreigings- en risicoanalyses opstellen). Artikelen 28 en 29 zijn bijzondere bevoegdheden en met extra waarborgen omkleed, zoals een verslagleggingsplicht en een hoger toestemmingsregime. Artikel 17 is geen bijzondere bevoegdheid en niet met zulke waarborgen omkleed. Al enige tijd vroeg ik me twee dingen af:

1. Geeft Artikel 17 Wiv2002 slechts de bevoegdheid tot vragen of ook tot het vorderen van gegevens?
2. Kan Artikel 17 Wiv2002 worden ingezet om — zonder ministeriële goedkeuring — privécommunicatie te verwerven van Facebook enz.?

CTIVD-rapport 39 (.pdf, september 2014) beantwoordt beide vragen ontkennend. Op (genummerde) pagina 8 staat het volgende (markering is van mij):

Artikel 17 geeft de AIVD de bevoegdheid om bij de uitvoering van zijn taak, of ter ondersteuning daarvan, zich te wenden tot bestuursorganen, personen en instellingen die gegevens verwerken (informanten). Hieronder kunnen ook bedrijven worden begrepen die gegevens in verband met sociale media verwerken. Zo kan de AIVD een dergelijk bedrijf vragen vanaf welk IP-adres is ingelogd door een bepaalde gebruiker. Het aangezochte bedrijf is niet verplicht om de informatie te verstrekken; de verstrekking geschiedt vrijwillig. De AIVD mag enkel om informatie vragen voor zover dat noodzakelijk is voor een bepaald doel en ter vervulling van de wettelijke taken. Daarenboven is de Commissie in het algemeen van oordeel dat de AIVD slechts gebruik kan maken van een informant voor zover het tot de normale werkzaamheden van de informant behoort om kennis te nemen van de gevraagde gegevens of deze aan derden te verstrekken. Indien het de normale hoedanigheid van de menselijke bron te buiten gaat, dan dient deze als agent te worden aangemerkt.

Dus: Artikel 17 Wiv2002 biedt geen zelfstandige vorderingsbevoegdheid. Het antwoord op de tweede vraag staat in de paragraaf daarna:

De algemene bevoegdheid van artikel 17 biedt naar het oordeel van de Commissie onvoldoende grondslag om een verdergaande inbreuk te maken op de persoonlijke levenssfeer, zoals bij het verwerven van de inhoud van niet-openbare communicatie bijvoorbeeld van afgeschermde berichten op sociale media. In dat laatste geval wordt een dermate verregaande inbreuk gemaakt op de persoonlijke levenssfeer dat dit slechts geoorloofd is indien daarbij aanvullende waarborgen van toepassing zijn. Het gaat hierbij onder meer om vereisten aan het toestemmingsniveau, de motivering, de verslaglegging en het gebruik van de verworven gegevens. In de wet zijn die waarborgen verbonden met de toepassing van bijzondere bevoegdheden. Nu dergelijke wettelijke waarborgen bij artikel 17 ontbreken, is die bevoegdheid niet toereikend voor het verwerven van de inhoud van afgeschermde berichten.

Dus: Artikel 17 Wiv2002 kan niet worden ingezet om te vragen om vrijwillige verstrekking van de inhoud van niet-openbare communicatie. Vragen om vrijwillige verstrekking van andere gegevens kan wel: verkeersgegevens van Twitter, je aankoopgeschiedenis van een webwinkel. enzovoorts; het is maar net welk van die gegevens beschikbaar zijn. Artikel 17 Wiv2002 maakt zelf geen onderscheid in het soort gegevens dat kan worden gevraagd. (Natuurlijk blijft gelden dat de AIVD alleen gegevens mag verwerven én noodzakelijk bij de uitoefening van de a/b/c/d/e-taken, én proportioneel én subsidiair.)

Mogen met Artikel 17 financiële gegevens worden opgevraagd bij banken? Ja, omdat het bankgeheim door het derde lid buiten werking wordt gesteld. Dat blijkt uit deze paragraaf in CTIVD-rapport 20 (.pdf, 2009) over financieel-economische onderzoeken door de AIVD in de context van het Financieel Expertise Centrum (FEC) waaraan de AIVD deelneemt:

Blijkens het derde lid van artikel 17 WIV 2002 kunnen eventuele bij of krachtens de wet geldende voorschriften ten aanzien van de verstrekking van deze gegevens de AIVD niet worden tegengeworpen. Het bankgeheim, dat in de financiële wereld een belangrijke rol speelt, kan aldus in het kader van de gegevensverstrekking aan de AIVD opzij worden gezet.

Bij het FEC gaat het o.a. om onderzoek in het kader van de Europese bevriezingslijsten conform EC/2580/2001 (.pdf) van tegoeden van personen of organisaties die verdacht worden van betrokkenheid bij terroristische activiteiten.

Mogen met Artikel 17 medische gegevens worden opgevraagd? Het derde lid van Artikel 13 Wiv2002 bepaalt in beginsel een verbod hierop:

De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, gezondheid en seksuele leven vindt niet plaats.

Onder “gezondheid” en “seksueel leven” worden verstaan: seksualiteit, intiem levensgedrag, medische of psychologische kenmerken (cfr. Artikel 8 van de Europese Data Protection Directive 95/46/EC). Gegevens over politieke overtuigingen mogen door de diensten uiteraard wél worden verwerkt. Het vierde lid van Artikel 13 Wiv2002 bepaalt echter wel een uitzondering van het verbod op verwerking van gegevens over godsdienst of levensovertuiging, ras, gezondheid en seksuele leven:

De verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken vindt slechts plaats in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is.

Dus: alléén medische gegevens (c.q. gegevens over godsdienst/levensovertuiging, ras of seksueel leven) mag niet, maar wél als aanvulling op een bestaande gegevensverwerking — mits dat naast noodzakelijk ook “onvermijdelijk” is (het lijkt dan ook niet plausibel dat men bijvoorbeeld op basis van GPS- en belgegevens gedragspatronen probeert te herkennen die sympomatisch zijn voor depressie; iets dat in voorkomend geval een middel zou kunnen zijn om kwetsbaarheid van targets en hun omgeving in kaart te brengen). Toelichting op de onvermijdelijkheidsvereiste staat hier:

In artikel 13, vierde lid, is aansluitend bepaald dat de verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken slechts plaats vindt in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is. Met het begrip «onvermijdelijk» wordt beoogd aan te geven dat bij de verwerking van een gegeven als hier bedoeld aan een zwaarder criterium dient te worden voldaan, dan aan het in artikel 12, tweede lid, neergelegde noodzakelijkheidscriterium. Bij het vastleggen van deze categorie gegevens zullen de diensten dus extra terughoudend moeten zijn. Het zal echter onvermijdelijk zijn om bijvoorbeeld de godsdienstige of levensovertuiging van personen of organisaties te registreren in de gevallen dat anti-democratische, staatsgevaarlijke of anti-militaristische activiteiten worden ontplooid waarbij de daders hun godsdienstige overtuiging als motief aanvoeren voor hun activiteiten. Hierbij kan bijvoorbeeld worden gedacht aan de terroristische gifgas-aanslagen in Japan door leden van een godsdienstige sekte, of aan de activiteiten van andere godsdienstige sekten, zoals in de Verenigde Staten (Waco, Texas). Ook zal registratie van de godsdienstige overtuiging onvermijdelijk zijn als het gaat om terroristische activiteiten van bepaalde godsdienstige splintergroeperingen, bijvoorbeeld binnen radicale moslim-organisaties.

Hierbij een paar gedachten over de verwerking van gegevens over seksualiteit, intiem levensgedrag, medische of psychologische kenmerken. Ingevolge het beroepsgeheim mogen zorgverleners (artsen, psychologen, etc.) niet zomaar patiëntgegevens verstrekken. Wel bestaan er uitzonderingsgronden van het medisch beroepsgeheim: zie de KNMG Handreiking beroepsgeheim en politie/justitie. Maar zorgverleners zijn niet de enige die beschikken over medische gegevens.

Zorgverzekeraars verwerken medicijn- en zorgdeclaraties, en vallen niet onder het medisch beroepsgeheim (uitgezonderd artsen die bij zorgverzekeraars werken). Dat kennis over medicijngebruik zeer privacygevoelig kan zijn, is helder: gebruik van SSRI’s wordt geassocieerd met angst en depressie, gebruik van quetiapine met psychose, methylfenidaat met ADHD, enzovoorts. Dat zorgdeclaraties zeer privacygevoelig kunnen zijn, is ook helder. Bij de invoering van de DBC-systematiek werd alle tweedelijns zorgverlening verplicht DBC’s te registreren: somatisch, chirurgie, KNO, maar ook de GGZ. Hierbij moeten zorgverleners op zorgdeclaraties een prestatiecode vermelden, en die code bevat diagnose-informatie. De prestatiecode heeft het formaat AAA BBB CCC DDD, waarbij AAA = zorgtype, BBB = diagnose, CCC = verblijf, DDD = behandeling. De codelijsten voor DBC’s in de GGZ staan hier. De diagnosehoofdgroepen zoals ze bij de zorgverzekeraar bekend worden zijn de volgende:

001 = Overige stoornissen in de kindertijd
002 = Pervasieve ontwikkelingsstoornissen
003 = Aandachtstekortstoornissen en gedragsstoornissen
004 = Restgroep diagnoses
005 = Aanpassingsstoornissen
006 = Andere aandoeningen en problemen die een reden voor zorg kunnen zijn
007 = Delirium, dementie en amnestische en andere cognitieve stoornissen
008 = Aan alcohol gebonden stoornis
009 = Overige aan een middel gebonden stoornissen
010 = Schizofrenie en andere psychotische stoornissen
011 = Depressieve stoornissen
012 = Bipolaire en overige stemmingsstoornissen
013 = Angststoornissen
014 = Persoonlijkheidsstoornissen
015 = Somatoforme stoornissen
016 = Eetstoornis

Zorgverzekeraars beschikken dus over diagnose-informatie. Dankzij de enorme inspanningen van psychiater Kaspar Mengelberg (@DeVrijPsych) bestaat er voor (uitsluitend) GGZ-zorgverleners een opt-out-regeling, waarbij de diagnose-code mag worden vervangen door “000”. Van Mengelberg begreep ik dat GGZ-zorgverleners bij instellingen niet of minder gebruikmaken van deze regeling dan vrijgevestigde psychiaters en psychotherapeuten. En dat zorgverzekeraars patiënten pesten met adminstratief gedoe als er geen volledige DBC op de zorgdeclaratie staat.

Maar dan is er nog het landelijke DBC Informatie Systeem (DIS). Alle zorgverleners, ook de GGZ-zorgverleners, zijn verplicht gedetailleerde diagnose-informatie in gepseudonimiseerde vorm aan te leveren aan dit systeem. Zie hier (.pdf, 2012) een visualisatie van de informatiestromen. Over de pseudonimisatie het volgende (.pdf, 2012, beantwoording van Kamervragen):

Door de toegepaste pseudonimisering zijn in het DBC-Informatiesysteem (DIS) geen personen te herleiden. Voor het CBS is een situatie gecreëerd waardoor het CBS de DIS-gegevens kan koppelen met de Gemeentelijke Basisadministratie (GBA). Dat gaat als volgt in zijn werk. De DIS-gegevens worden eerst opgestuurd aan een zogenaamde trusted third party, die de DIS-pseudoniemen omzet in een speciaal CBS-pseudoniem en deze naar het CBS verstuurt. Het CBS stuurt vervolgens de benodigde GBA-gegevens versleuteld en dus onherkenbaar naar de trusted third party, die deze GBA-gegevens van hetzelfde CBS-pseudoniem voorziet als voor de DIS-gegevens, en de gepseudonimiseerde GBA-gegevens naar het CBS verstuurt. Daarmee kan het CBS dan de DIS-gegevens aan de GBA-gegevens koppelen. De DIS-pseudoniemen worden dus niet geïdentificeerd door deze procedure. Ten behoeve van statistische doeleinden is het CBS wettelijk gerechtigd om persoonsgegevens te verwerken (CBS-wet, artikel 35).

Het CBS is dus, technisch gezien, in staat op DIS-gegevens te koppelen aan geïdentificeerde personen. Identificatie wordt alleen voorkomen door procedurele maatregelen. Dat wil niet zeggen dat identificatie ooit op het verzoek van de AIVD zal gebeuren (je kunt je het schandaal wel indenken). Maar het behoeft geen betoog dat informatie over de gezondheid van personen, zeker de geestelijke gezondheid, relevant is bij het uitoefenen van ten minste de a-taak en d-taak (nationale veiligheid en inlichtingen buitenland: hoe kunnen we een target beïnvloeden?) en voor de b-taak (veiligheidsonderzoeken: is een sollicitant voor deze vertrouwensfunctie beïnvloedbaar? NB: jaarlijks vinden bij de AIVD zo’n dertig- tot veertigduizend veiligheidsonderzoeken plaats, waarvan 1500 op het hoogste A-niveau). Ter illustratie van het laatste punt, hierbij een citaat uit Richard Aldrich’s boek over GCHQ. In de nasleep van een grote spionagezaak bij GCHQ (een senior GCHQ-ambtenaar bleek KGB-agent te zijn geworden) deed de Britse Security Commission in 1962 aanbevelingen voor versterking van personele veiligheidsprocedures. Eén van die aanbevelingen betrof het doorlichten van medische gegevens. Aldrich stelt:

Benson Buffham, a former Deputy Director of NSA who had recently served as the American Liaison Officer to GCHQ, or ‘SUSLO’, visited London to confer on security, and made it very clear that the Americans were keen to see the polygraph arrive at GCHQ. The Security Commission also recommended that vetting teams should be granted access to medical records in order to check for problems such as depression. However, this was shot down immediately by the BMA’s Civil Service Medical Officers Group as ‘neither necessary nor justified’. [Footnote 46: Woods (BMA) to Duffton (SCPS GCHQ Main Branch), RVW/JNLlFB, 15.12.83, MSS.84/3II 9, GCHQ-UR WMRC.]

Kortom, er bestaan scenario’s waarin een inlichtingendienst toegang zou kunnen willen hebben tot medische gegevens. (Waarmee niet is gezegd dat van zulke toegang ooit sprake is geweest.) Informatie over gezondheid kan worden verworven door observatie en navraag in de sociale omgeving, maar minder risicovol is het (laten) raadplegen van medische gegevensbestanden. Vroeger vormde homosexualiteit een bezwarende omstandigheid tijdens antecedenten-/veiligheidsonderzoek; gelukkig zijn we dat stadium voorbij. Maar gezondheid, zeker geestelijke gezondheid, is en blijft natuurlijk een relevant onderwerp voor veiligheidsonderzoeken, waarbij het immers allemaal draait om iemands betrouwbaarheid en kwetsbaarheid voor chantage.

Conclusie: om toegang te krijgen tot medische informatie hoeft geen medisch beroepsgeheim te worden doorbroken. Zie ook Zembla’s De jacht op uw medische gegevens (april 2014). De vraag is of de CTIVD Artikel 17 Wiv2002 voldoende bevoegdheid vindt bieden om medische informatie te krijgen. Het bankgeheim bleek er in elk geval niet van toepassing.

[UPDATE 2017-11-24: de AIVD stelt op haar website sinds kort het volgende t.a.v. medische gegevens, waarin expliciet staat dat medische gegevens noodzakelijk en onvermijdelijk kunnen zijn in de context van radicalisering:

[…] Wij mogen alleen gericht medische gegevens van een persoon verzamelen als dat onvermijdelijk is om een dreiging goed te kunnen inschatten. Het vormt een aanvulling op andere gegevens die al verwerkt zijn.

[…]

In een uiterst geval kan het bijvoorbeeld noodzakelijk zijn om meer te weten over de psychische stoornis en eventuele medicatie van een radicaliserende persoon. Op zo´n moment bekijken wij of wij zijn arts kunnen vragen om de benodigde informatie.

Iedereen kan door de dienst worden gevraagd om informatie te verstrekken die voor onze onderzoeken van belang is. Artsen zijn daar niet van uitgezonderd. De arts beslist dan zelf vrijwillig of hij hieraan wil meewerken. Hij is dat niet verplicht.

[…]

Wij mogen niet inbreken in databestanden met medische gegevens of patiëntendossiers van willekeurige personen door middel van hacken. [sic]

Dus: de diensten mogen een arts om informatie vragen, en de arts mag dat weigeren. De laatste zin over de hackbevoegdheid heeft kenmerken van een (zalvende) halve waarheid, omdat 1) daar ineens wordt gesproken over “willekeurige personen” ipv een “radicaliserende persoon”, en 2) andere bevoegdheden zoals interceptie (artsen hebben trouwens niet de uitzonderingspositie die journalisten en advocaten in de Wiv2017 wél hebben) en informatieverzoeken aan anderen die relevante informatie kunnen hebben over “de psychische stoornis en eventuele medicatie van een radicaliserende persoon”, wat in theorie dus ook DBC-gegevens bij zorgverzekeraars of bij het DIS kan betreffen. Ten overvloede: ]

Een zijstapje naar Amerika. Het DoD hanteert het begrip “medical intelligence” (.pdf, 2014) en definieert dat als volgt:

(…) the product of collection, evaluation, and all-source analysis of worldwide health threats and issues, including foreign medical capabilities, infectious disease, environmental health risks, developments in biotechnology and biomedical subjects of national and military importance, and support to force protection.

De National Geospational Agency (NGA) en NSA leveren daarbij “support for medical intelligence and medical intelligence-related requirements”, allicht gebruikmakend van de mogelijkheden die de PATRIOT ACT biedt (hoeveel medische gegevens over Nederlanders staan eigenlijk op IT-systemen van organisaties die ook in de VS actief zijn?). Het is plausibel dat bij uitzondering nu en dan ook gegevens over individuele, geïdentificeerde personen zullen worden verwerkt. Ook bij het invullen van een ESTA-verklaring wordt op individueel niveau een medische vraag gesteld: “Do you have a communicable disease; physical or mental disorder; or are you a drug abuser or addict?” In datzelfde formulier geef je ook je NAW- en paspoortgegevens.

Terug naar Nederland en het hoofdonderwerp van deze blogpost. De Nederlandse regering heeft in 2006 wél een zelfstandige vorderingsbevoegdheid voorgesteld in het post-Madrid wetsvoorstel tot wijziging van de Wiv2002. Het ging daarbij ook expliciet over verstrekking van financiële informatie aan de AIVD (zie Artikel 29a lid 1, onder a). Destijds was de vorderingsbevoegdheid één van de controversiële onderdelen in het (uiteindelijk ingetrokken) wetsvoorstel waartegen de Eerste Kamer pareerde, onder meer op basis van CBP-advies (.pdf, 2007). Het is nu even afwachten of elementen uit dat ingetrokken wetsvoorstel terugkomen in het voorstel dat het kabinet binnenkort (?) zal doen voor wijziging van de Wiv. De commissie-Dessens heeft in haar evaluatie van de Wiv2002 elk geval geen aanbevelingen gedaan ten aanzien van Artikel 17 Wiv2002 of Artikel 29a in het ingetrokken voorstel.

Uit de kabinetsreactie op het CBP-rapport inzake het post-Madrid voorstel tot wijziging van de Wiv2002 blijkt overigens dat het antwoord van personen/organisaties aan wie een Artikel 17-verzoek is gericht, niet altijd “ja” luidt:

De derde reden die genoemd dient te worden voor het niet voldoen van de vrijwillige arrangementen, hoewel deze situatie zich slechts bij uitzondering voordoet, is het feit dat sommige instanties weigeren informatie te verstrekken aan de diensten. Deze terughoudendheid vindt haar oorsprong wellicht in een verstrekkende servicegerichtheid richting de klanten of afnemers van betrokken instantie. Een verplichte informatieverstrekking biedt op dit punt zeker voordeel voor de betreffende bestuursorganen, financiële dienstverleners en vervoerders. Indien het overleggen van informatie niet op vrijwillige basis, maar op grond van een wettelijke verplichting geschiedt, is er geen enkele ruimte voor enige verwijtbaarheid door klanten aan deze organen en instanties. Uit de contacten die de diensten hebben met potentiële informatieleveranciers blijkt keer op keer dat zij juist vragen om een verplichting tot informatieverstrekking. Zij zijn van mening dat een informatieverplichting kenbaarheid en voorzienbaarheid schept met betrekking tot de gegevensverstrekking, waardoor duidelijk aan klanten en afnemers gepresenteerd kan worden op welke gronden verstrekking kan plaatsvinden.

Verder leesvoer:

• 2014-09-05: Overzicht Wiv2002-toetsingskader AIVD-onderzoek met/op sociale media, webfora (dit blog)
• 2012-xx-xx: De Regionale Inlichtingendienst. Ongecontroleerd balanceren op en over de grens van rechtmatigheid (.pdf, mr. Sven Brinkhoff, Nederlands Juristenblad 87:30)

EOF

UPDATE 2014-09-05: this page is also available in Dutch.

Yesterday I blogged about the new oversight report (.pdf, in Dutch) concerning the activities of the Dutch General Intelligence & Security Service (AIVD) involving social media, such as acquiring the databases of web forums through hacking, human sources and/or exchange with foreign partners. The (non-classified) appendix to that report provides an overview of the legal framework that the oversight committee applied in the course of writing the report. Here is my translation of that overview, including links to the relevant parts of the Dutch Intelligence & Security Act of 2002 (Wiv2002). Feel free to ask questions (bear in mind that I’m not a legal expert, though).

Passive investigation on social media

Requirement	Implementation
Legal basis	Articles 6 and 12 Wiv 2002
Definition	Investigation through open sources
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source or reliability (12)
Limitation	– only use third party data if necessary (13)
	– in case of more than small infringement on rights, review the intent and the nature of the methods and data collection
	– systematic targeted investigation (20)
	– operating under a cover (21)

Observation of persons on social media

Requirement	Implementation
Legal basis	Article 20 Wiv 2002
Definition	Person-focused investigation which, considering duration, location, intensity, frequency or tools must be qualified as systematic
Approval	By team leader
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source or reliability (12)
	– motivation (20)
	– reporting (33)
	– only use third party data if necessary (13)
Limitation	– only use third party data if necessary (13)
	– necessity, proportionality and subsidiarity (18, 31, 32)

Active investigation by agents on social media

Requirement	Implementation
Legal basis	Article 21 Wiv 2002
Definition	Operating with agents on social media, possibly using a cover
Approval	By director or head of unit, extension by team leader
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source of reliability (12)
	– motivation
	– reporting (21, sixth member, 33)
Limitation	– necessity, proportionality and subsidiarity (18, 31, 32)
	– prohibition on unacceptable incitement: ‘Tallon criterium’ (21, fourth member)
	– safety of the agent (15)
	– criminal offenses exist only with approval and instruction (21, third member)

Acquisition of social media databases

Requirement	Implementation
Legal basis	Articles 17, 21, 24, 59 Wiv 2002
Definition	The collection of (parts of) databases from social media
Approval	Depends on authority
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source of reliability (12)
	– motivation (21, 24)
	– reporting (33)
Limitation	– only use third party data if necessary (13)
	– proportionality and subsidiarity (31, 32)
	– necessary for the a-task [national security] or d-task [foreign intelligence], unless article 17 is the legal basis (18)

Using and storing social media databases

Requirement	Implementation
Legal basis	Articles 6 and 12 Wiv 2002
Definition	Analyzing, using, storing the data
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source of reliability (12)
	– data security, among others against unauthorized processing (16)
	– authorization policy (16, 35)
Limitation	– removing and destroying when data loses meaning (43)
	– the Commission previously recommended regulating retention periods by law, as well as regulating the processing of metadata
	– only use third party data if necessary (13)
	– necessary for the a-task [national security] or d-task [foreign intelligence], unless the data were acquired on the legal basis of article 17 (18)

Exchanging social media data collections

Requirement	Implementation
Legal basis	Articles 36 or 59 Wiv 2002
Definition	Providing data collections to a foreign service and/or receiving data collections from a foreign service
Approval	By team leader, or head of unit (36) of minister (59)
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source of reliability (12)
	– keep notes (42)
	– third-party rule (37)
Limitation	– necessary for its own task (36) or
	– in the interest the foreign service represents (59)

Person-focused querying of social media data collections

Requirement	Implementation
Legal basis	Articles 17, 21 and 59 Wiv 2002
Definition	Person-focused searching in databases through human sources or foreign services
Requirements	– use for a specific purposes, only insofar necessary (12)
	– appropriateness, diligence, making note of source of reliability (12)
	– writing down the instruction to agents (21, sixth member)
	– motivating if comparable to article 28
Limitation	– proportionality and subsidiarity (31, 32)
	– necessary for the a-task [national security] or d-task [foreign intelligence], unless article 17 is the legal basis (18)

Related posts:

• 2014-09-14: Article 17 Wiv2002: the AIVD’s legal basis for asking third parties for voluntary provisioning of information (this blog)
• 2014-09-04: Oversight report: Dutch intel agency AIVD acted unlawful regarding social media, webfora (this blog)

EOF

UPDATE 2014-09-05: this page is also available in English.

Het nieuwe CTIVD-toezichtsrapport (.pdf) inzake onderzoek door de AIVD op sociale media heeft een (openbare) bijlage met daarin een overzicht van de toetsingskaders voor de verschillende methoden die de AIVD toepast — denk daarbij aan het verwerven van de databases van webfora via hacking, menselijke bronnen en/of uitwisseling met internationale partners. Hier is een HTML-versie van dat overzicht, inclusief links naar de wetteksten:

Passief onderzoek op sociale media

Vereiste	Uitwerking
Grondslag	Artikelen 6 en 12 Wiv 2002
Definitie	Onderzoek op open bronnen
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
Begrenzing	– gegevens van derden slechts betrekken indien noodzakelijk (13)
	– meer dan geringe inbreuk op grondrechten, zoals de persoonlijke levenssfeer, onder meer te toetsen aan de intentie, de aard van de methoden en de opslag van gegevens
	– stelselmatig (target-)gericht onderzoek (20)
	– opereren onder dekmantel (21)

Observatie van personen op sociale media

Vereiste	Uitwerking
Grondslag	Artikel 20 Wiv 2002
Definitie	Persoonsgericht onderzoek dat naar duur, plaats, intensiteit, frequentie of hulpmiddelen als stelselmatig moet worden aangemerkt
Toestemming	Door teamhoofd
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– motivering (20)
	– verslaglegging (33)
	– gegevens van derden slechts betrekken indien noodzakelijk (13)
Begrenzing	– gegevens van derden slechts betrekken indien noodzakelijk (13)
	– noodzakelijkheid, proportionaliteit en subsidiariteit (18, 31, 32)

Actief onderzoek door agenten op sociale media

Vereiste	Uitwerking
Grondslag	Artikel 21 Wiv 2002
Definitie	Opereren met agenten op sociale media, eventueel met gebruik van dekmantel
Toestemming	Door directeur of unithoofd, verlenging door teamhoofd
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– motivering
	– verslaglegging (21, zesde lid, 33)
Begrenzing	– noodzakelijkheid, proportionaliteit en subsidiariteit (18, 31, 32)
	– verbod op instigatie: ‘Tallon-criterium’ (21, lid 4)
	– veiligheid van de agent (15)
	– strafbare feiten alleen met toestemming en instructie aanwezig is (21, lid 3)

Verwerving van gegevensverzamelingen van sociale media

Vereiste	Uitwerking
Grondslag	Artikelen 17, 21, 24, 59 Wiv 2002
Definitie	De verzameling van (gedeelten van) gegevensverzamelingen van sociale media
Toestemming	Afhankelijk van de bevoegdheid
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– motivering (21, 24)
	– verslaglegging (33)
Begrenzing	– gegevens van derden slechts betrekken indien noodzakelijk (13)
	– proportionaliteit en subsidiariteit (31, 32)
	– noodzakelijk voor de a- of d-taak, tenzij artikel 17 de grondslag vormt (18)

Ontsluiten en bewaren van gegevensverzamelingen van sociale media

Vereiste	Uitwerking
Grondslag	Artikelen 6 en 12 Wiv 2002
Definitie	Analyseren, ontsluiten, bewaren van de gegevens
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– beveiliging van gegevens, o.m. tegen onbevoegde verwerking (16)
	– autorisatiebeleid (16, 35)
Begrenzing	– verwijderen en vernietigen wanneer gegevens betekenis verliezen (43)
	– de Commissie heeft eerder aanbevolen om bij wet in bewaartermijnen te voorzien voor ruwe gegevens alsmede in een regeling voor de verwerking van metagegevens
	– gegevens van derden slechts betrekken indien noodzakelijk (13)
	– noodzakelijk voor de a- of d-taak, tenzij de gegevens op grond van artikel 17 zijn verworven (18)

Uitwisselen van gegevensverzamelingen van sociale media

Vereiste	Uitwerking
Grondslag	Artikelen 36 of 59 Wiv 2002
Definitie	Verstrekken van gegevensverzameling aan een buitenlandse dienst en/of ontvangen van gegevensverzameling van een buitenlandse dienst
Toestemming	Door teamhoofd of unithoofd (36) of minister (59)
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– aantekening bijhouden (42)
	– derdepartijregel (37)
Begrenzing	– noodzakelijk voor de eigen taak (36) of
	– in het belang dat de buitenlandse dienst behartigt (59)

(Persoons)gericht bevragen van gegevensverzamelingen van sociale media

Vereiste	Uitwerking
Grondslag	Artikelen 17, 21 en 59 Wiv 2002
Definitie	(Target)gericht zoeken in gegevensverzameling via menselijke bronnen of buitenlandse diensten
(Vorm)vereisten	– uitoefening voor een bepaald doel, slechts voor zover noodzakelijk (12)
	– behoorlijkheid, zorgvuldigheid, bron- of betrouwbaarheidsvermelding (12)
	– vastleggen instructie aan agent (21, zesde lid)
	– motiveren indien gelijk te stellen met artikel 28
Begrenzing	– proportionaliteit en subsidiariteit (31, 32)
	– noodzakelijk voor de a- of d-taak, tenzij artikel 17 de grondslag vormt (18)

Gerelateerde berichten:

• 2014-09-12: Artikel 17 Wiv2002: vrijwillige verstrekking van gegevens op verzoek van de AIVD (dit blog)
• 2014-09-04: Oversight report: Dutch intel agency AIVD acted unlawful regarding social media, webfora (dit blog)

EOF

UPDATE 2014-12-21: it is somewhat remarkable that CTIVD did not address this topic — especially hacking of web fora — in earlier publications, e.g. in 2011, 2012 or 2013. Possibly the CTIVD viewed hacking as less infringing because it does not require prior approval from the Minister, and the CTIVD rather spent its limited resources on investigating the use of interception powers, which do require prior approval from the Minister.
UPDATE 2014-09-05: addendum: Overview of legal framework used to assess Dutch intelligence activities involving social media 

Remember the media report “Dutch intelligence agency AIVD hacks internet forums” by NRC Handelsblad in November 2013? The oversight report (.pdf, in Dutch) released today by the Dutch Review Committee on the Intelligence and Security Services (CTIVD) concludes that in the period January 1st 2011 to January 1st 2014, certain activities carried out by the AIVD related to social media, including webfora, were carried out unlawfully. The general picture is certainly not one of lawlessness abound at the AIVD — all cases of hacking were found to have been carried out lawfully —, but various instances of unlawfulness were found related to lack of (legally required) reporting, lack of (legally required) approval, lack of (legally required) motivation, and violation of (legally required) proportionality.

Translation of the summary (emphasis is mine):

Social media play a large role in social interaction in the present time. For the AIVD, social media have thereby become an important source of intelligence. Because of the extent of communication on social media and the ease of participating, the meaning of messages cannot always be quickly determined: is a threatening tweet a serious indication of profound radicalization or a desperate expression of an angry teenager? Society may expect from the AIVD that the service responds appropriately to developments on social media in the course of carrying out its tasks. Concerning these activities, in the present investigation, the Commission inquired into whether the AIVD acts in accordance with the law.

Given the tasks of the AIVD, it is important that it remains secret whom is investigated and how. This secrecy allows room for speculation, especially since in 2013 information has come out about the activities of some foreign services. In relation to the AIVD, media reports and public discussions were often about the following questions:

• how does the AIVD use social media?
• what is the AIVD allowed to do concerning social media, and does the AIVD respect the law?
• what does the AIVD do with data collected from social media?
• how does the AIVD cooperate with foreign services?

The Commission has taken these questions into account on the basis of factual research and file research at the AIVD and the legal framework of the Dutch Intelligence & Security Act of 2002. The research was focused on the period between January 1st 2011 and January 1st 2014.

When the Dutch Intelligence & Security Act of 2002 was written, the Internet did not have the role it currently has, and social media were still emergent. The application of “classical” powers in the “new” digital context, such as the use of agents and observation on internet, forces the AIVD to think about how the national security must be guaranteed in relation to privacy protection and the legal safeguards therefore. The service must, after all, act strictly in accordance with the law. This means, among others, that every infringement on privacy rights must be based on law, and can only be made if it is necessary. This infringement should be in a reasonable proportion to the purpose and no less infringing means must be available. In the development of new techniques, the AIVD must be constantly aware of this, and fundamental questions need to be recognized timely.

The Commission notes that the Dutch Intelligence & Security Act of 2002 provides, on most aspects, a sufficient legal framework to assess legality of the use of social media. In addition, the Commission notes that the AIVD undertakes many efforts to maintain the technical developments on the area of social media. The policy of the AIVD that describes the safeguards for privacy protection has, however, lagged behind in some areas. Notably the motivation of the use of powers and the reporting of operations (instructions, yields) lags behind of what may be expected of a lawfully operating service. The Commission understands that in the pioneering phase, it was not immediately clear how these essential safeguards had to get a permanent place in practice, but now that the AIVD is beyond the pioneering phase, it can be expected that the applied methods are embedded into solid procedures.

The interaction between users of social media partly takes place in the public domain. Just like everyone else, the AIVD can take note of that. The AIVD may collect this data on the basis of its general powers. An important boundary to this data collection is the degree of invasion of privacy. Once an activity constitutes an infringement of privacy, a specific legal basis must be present. In addition, this activity should also increasingly be surrounded with safeguards as the infringement is more severe. The Commission has in its investigation into data collection on the basis of the general powers not found any wrongdoing.

Because of the gravity of the infringement of privacy, in this investigation focus was mostly given to some special powers, such as the use of agents. On social media, communication takes place that is relevant to the tasks of the AIVD. The AIVD responds to this by deploying agents on these media. They may use fictitious identities in this. Agents also may, under strict conditions, commit crimes, for example in order to remain in sync with the circle in which the agents are deployed.

The Commission has studied several agent operations. Concerning external agents, the Commission finds that the AIVD acts carefully and heedfully. However, concerning the AIVD’s own employees, the operations often lack proper reporting. In five agent operations involving AIVD employees using a virtual [sic?] identity on social media, the lack of reporting is such that those operations are found to have been carried out unlawfully. For the security of the agents, the internal accountability and the external oversight by the Commission, the reports are of crucial importance. The lack of reporting is also found in operations that involve an approval to commit crimes. The Commission finds that hereby also this approval has been executed unlawfully. Recently, however, the AIVD has recognized several problems in the guidance and support of the agents operating online, and started efforts to improve on this.

Providers of social media often store metadata or content of communications in data sets. This also happens with web forums. The AIVD can perform targeted queries on such data sets through various methods. When necessary, the AIVD may also attempt to acquire the entire data set. This can be achieved through various methods, such as human sources, hacking, or a foreign service. The more generic a data set is, it can be said that its collection is less targeted. In that case, more stringent requirements apply to the advance motivation, specifically a heavier assessment of proportionality. In these cases, data are collected about persons that are not relevant to the tasks of the AIVD.

The Commission finds that the motivations for the collection of a large number of web forums are insufficient. Concerning five agent operations in which webfora have been collected, the Commission finds that the motivations are such insufficient that the approvals for this were given unlawfully. In most cases, however, the Commission is convinced that the collection of these webfora was necessary and fits within the tasks of the AIVD. In four (other than aforementioned) cases, the Commission finds that the collection of certain webfora was not proportional, and therefore unlawful. This concerned larger webfora for which the expected yield is not proportional to the infringement of privacy of users of the webfora that were not targeted as part of ongoing investigations.

Data collected by the AIVD through the use of special powers in the context of the security task or intelligence task of the AIVD, can be used for other tasks as well, such as carrying out security screenings. The Commission is of the opinion that this only applies to evaluated data; data that, after (metadata) analysis, have actually been found to be relevant to an operational investigation. Making the unevaluated (raw) data of webfora accessible for the purpose of security screenings is unlawful. The law does not provide an adequate legal basis for this.

As the Commission has stated in a previous oversight report, the law does not prescribe a retention period for unevaluated (raw) data. The Commission recommends the AIVD, in anticipation of a possible change of the law, to establish retention periods itself. In the current investigation it was examined whether the acquired webfora can be retained of good grounds. The Commission finds that the AIVD was allowed to retain the data concerning the webfora studied, insofar it was lawfully acquired.

Because communication via social media is hardly bound to national borders, the investigations of the AIVD related to social media often touch upon the interests and legal systems of other countries. On the one hand, the targets of the service are often active internationally. On the other hand, operating in an online context, such as by an AIVD agent, often involves data collection that are (also) relevant to other countries. The mutual interest of working together can hardly be overestimated. Web forums can contains very large amounts of data that are not only important to the Netherlands. The Commission emphasizes the importance of good agreements with foreign services in order to reduce the risk that relevant data are overlooked.

The Commission has found no indications that the AIVD circumvents its own powers through cooperation with foreign services. Furthermore, the Commission has found no unlawfulness in respect of operations that the AIVD has conducted. Here, in general, the AIVD acts carefully and thoughtfully, and sufficient reporting is done.

Finally, the Commission has paid particular attention to the AIVD sharing acquired webfora with foreign services. In nearly all examined cases, the AIVD acted lawfully. The following exceptions were found to that general picture. The AIVD has acquired a number of webfora at the request of foreign services. If a webforum is acquired for a foreign service while that forum is not important to an ongoing investigation of the AIVD, that constitutes the provision of support to the foreign service. The Commission finds that the AIVD acted unlawfully in four cases, because Ministerial approval was lacking. In a fifth case, the AIVD shared a webforum with a foreign service while the Commission finds that its acquisition by the AIVD was not proportional. The acquisition and then sharing of this forum thus was unlawful.

What’s next in the Netherlands? This:

• the Dutch government still needs to respond responded (Nov 2014) to the EU Court of Justice’s rejection (Apr 2014) of the EU Data Retention Directive;
• the Dutch Cybercrime III bill, that among others would legalize LE hacking, has been approved by the Dutch cabinet and the Council of State of the Netherlands is currently being consulted for advice. The bill will then be treated in our Parliament and, later on, our Senate;
• the Dutch government is expected to propose a bill in 2014 to change the Dutch Intelligence & Security Act of 2002. The current law was reviewed in 2013, and one of the reviewers’ recommendations is to extend the SIGINT power from only non-cable communications (e.g. satellite, radio) to all communications. That could make it legally possible for the Dutch intelligence agencies, specifically by their Joint Sigint Cyber Unit (JSCU), to carry out programs such as seen in GCHQ’s Tempora and NSA’s DANCINGOASIS, or participate in NSA’s RAMPART-A. The Dutch intelligence agencies can currently only carry out SIGINT on non-cable communications such as radio and satellite. Considering that the motivation for the use of the existing SIGINT powers has been structurally insufficient for years, I’m a bit worried;
• the CTIVD is expected to publish three more oversight reports in 2014:
  • the use of SIGINT powers by the AIVD in the period September 2012 to August 2013 [now available];
  • the cooperation between the AIVD and foreign services;
  • the cooperation between the MIVD (=military) and foreign services.

Related posts:

• 2014-09-14: Article 17 Wiv2002: the AIVD’s legal basis for asking third parties for voluntary provisioning of information (this blog)
• 2014-09-05: Overview of legal framework used to assess Dutch intelligence activities involving social media (this blog)

EOF

UPDATE 2017-06-17: updates moved to bottom.

Earlier this week I blogged about the 13 best practices to “reduce terrorist use of the internet” that were the outcome of the somewhat controversial Clean IT project (2011-2013). Today, August 29th 2014, the Dutch government announced (in Dutch) a “strengthening” of their “integral approach” to cope with jihadism & radicalization, and part of that seems to be the implementation of several of the Clean IT best practices. Here is my translation of the relevant paragraph in today’s announcement:

Social media

The government wants to fight the distribution of radicalizing, hate-mongering, violent jihadist online information. Producers and distributors of online jihadist propaganda and the digital platforms they abuse will be identified. This information will be actively shared with the competent authorities and relevant service providers (including internet services).

An expert team of the National Police will focus on fighting the online distribution of those data. This team will inform the Public Prosecutor about potentially punishable expressions (under existing expression offenses). If application of the voluntary behavioral code does not lead to removal, a criminal warrant can follow. The team will also make agreements with internet companies about effective blocking.

Internet companies who persist in facilitating ‘listed’ terrorist organizations by distributing jihadist content, will be addressed. Furthermore, an actualized list of online jihadist (social media) websites will be published. Communities, professionals and parents can use this list to warn their social environment.

Specifically, the 38 step action plan (.pdf, in Dutch) states the following under action #29 (I translated from Dutch):

• 29. Fighting distribution of radical, hate-mongering jihadist content
  
  • Concerned citizens can report jihadist (terrorist, hate-mongering and violence-glorifying) content on the Internet and social media.
  • Producers and distributors of online jihadist propaganda and the digital platforms they abuse are identified.
  • This information is actively shared with the competent authorities and relevant service providers (including Internet services).
  • A specialist team from the National Police fights online jihadist content. This team informs the Public Prosecutor about potentially criminal statements (under existing offences of expression). If the voluntary code of conduct does not lead to removal, a criminal warrant may follow. The bill Cybercrime III is proposed to further improve this procedure (Notice and Takedown).
  • This team makes agreements with Internet companies on effective blocking and provides them referrals to evaluate the content against their own terms of use (Notice and Take Action).
  • Internet companies that persist (after being informed) in facilitating ‘listed’ terrorist organizations by distributing jihadist content, will be addressed either based on an adaptation of EU Regulation 2580/2001 (.pdf) in conjunction with the national sanctions regime against terrorism in 2002, or on the basis of national regulations to be determined.
  • The specialist team will monitor independently, but works closely together with the online citizen hotline.
  • An updated list of online jihadist (social media) websites will be published. This list can be used by, among others, communities, professionals and parents to warn their social environment.

So, the government essentially proposes a voluntary code of conduct for “internet companies” (29d) and, if they don’t comply, intends to enforce content removal through currently non-existing legislation (29f). Note that a leaked draft (.pdf) of the Clean IT project listed under “to be discussed” the proposal of taking obedience of internet companies into account when awarding public contracts.

A key question is to what extent this plan will turn out to impose new (and possibly extrajudicial?) restrictions on freedom of expression, as internet companies will also have to assess content against there own Terms & Conditions. How exactly will the National Police and internet companies in practice distinguish terrorist content from non-terrorist content? As stated here and here by Rejo Zenger (Bits of Freedom), it should be legality of content, not the question of whether content is in good taste, that should determine whether content should be removed/blocked. The final, public deliverable (.pdf, January 2013; unofficial HTML version available here) of the Clean IT project contains ample claims concerning human rights and freedoms, as shown in the aforementioned previous post. Let’s see how those claims hold up.

As a reminder: the Clean IT project sought, through a “structured public-private dialogue” and consensus, methods to “reduce terrorist use of the internet”. The following governments participated in the Clean IT project:

• Austria (Federal Ministry of the Interior);
• Belgium (Coordination Unit for Threat Analysis);
• Denmark;
• Hungary (Counter-terrorism Centre);
• Germany (Federal Ministry of the Interior);
• Greece (Hellenic Police);
• Netherlands (National Coordinator for Counterterrorism and Security);
• Portugal (Polícia Judiciária);
• Romania (Romanian Intelligence Service).
• Spain (Centro Nacional de Coordinación Antiterrorista);
• United Kingdom (Office for Security and Counter Terrorism).

I don’t know whether any other countries (participants or non-participants of the Clean IT project) have implemented, or are planning to implement, any policies resembling the 13 best practices recommended in the final deliverable of the Clean IT project.

Related (academic):

• 2015-xx-xx: Terrorism, Communication and New Media: Explaining Radicalization in the Digital Age (Archetti, Perspectives on Terrorism, Vol 9, No 1)
• 2014-xx-xx: The Taliban and Twitter: Tactical Reporting and Strategic Messaging (2014, Bernatis, Perspectives on Terrorism, Vol 8, No 6)
• 2014-xx-xx: Making ‘Noise’ Online:An Analysis of the Say No to Terror Online Campaign (Aly, Weimann-Saks & Weimann, in Perspective on Terrorism Vol 8, No 5)
• 2013-xx-xx/2014-xx-xx: Bibliography: Terrorism and the Media (including the Internet): part 1 (2013) and part 2 (2014)

Related (other):

• 2015-02-24: France seeks Silicon Valley allies in war on terror (DefenceTalk / AP)
• 2014-09-01: Kabinet wil notice/takedown van extremistische uitingen opvoeren (in Dutch; Arnoud Engelfriet)
• 2014-08-30: 10 Things You Need to Know About Reporting on Terrorists on Social Media (IntelWire)
• 2014-08-29: Actieprogramma – Integrale Aanpak Jihadisme – Overzicht maatregelen en acties (.pdf, in Dutch; Rijksoverheid)
• 2014-08-29: Kamerbrief Integrale Aanpak Jihadisme (.pdf, in Dutch; Rijksoverheid)
• 2014-08-29: De vrijheid van misselijkheid (in Dutch; Rejo Zengers / Bits of Freedom)
• 2014-08-28: Het criterium is strafbaarheid, niet smakeloosheid (in Dutch; Rejo Zengers / Bits of Freedom)
• 2014-08-24: Gruwelijke foto’s: waar ligt de grens tussen sensatie en censuur? (in Dutch; Sterre Sprengers / De Correspondent)
• 2013-01-18: Reducing terrorist use of the Internet (.pdf; Clean IT project) [UPDATE 2015-04-30: the Clean IT project website is back online, as archive]
• 2011-09-25: The slide from “self-regulation” to corporate censorship (.pdf, EDRi)

UPDATES (from new to old)

UPDATE 2019-03-05: Informal Internet Censorship: The Counter Terrorism Internet Referral Unit (CTIRU) (Open Rights Group)

UPDATE 2017-10-20: G7 and web giants [Google, Facebook and Twitter] agree to block terrorist propaganda (Dawn.com)

UPDATE 2017-06-17: “Politie te kort door bocht in strijd tegen jihadisme“; good read, in Dutch, from Rejo Zenger (Twitter: @rejozenger) of Bits of Freedom, critically reflecting on efforts of the Dutch police, planned to start per September 2017, to fight online terrorist propaganda, e.g. calls for jihad, by directly requesting communication service providers (Facebook, Twitter, etc.) to remove content. No warrant or court is involved, unless providers don’t comply; in that case, prosecution might be considered. In an NOS news item on Dutch televison, academic Jelle van Buuren (Leiden University) points out that the role of online propaganda in radicalization should not be overestimated; and that aspects such as social contacts, and ‘what happens on the streets’, play a role in radicalization as well.

UPDATE 2015-07-01: EU Observer reports: “The EU’s police agency Europol on Wednesday launched its web unit tasked to hunt down online extremist propaganda. Europol’s director Rob Wainwright said the unit is “aimed at reducing terrorist and extremist online propaganda.” The unit consists of over a dozen Europol officials and experts from national authorities.” The name of the unit is the European Union Internet Referral Unit (IRU).

UPDATE 2015-06-02: EDRi reports that the European Commission is set to launch a related initiative in 2015.

UPDATE 2015-03-04: on March 12-13, the JHA ministers meet again, and according to the Dutch govt’s annotated agenda (.doc, in Dutch) for that meet, “cooperation is sought with the private sector and Europol to detect [Dutch: “opsporen”] content that propagates terrorism and violent extremism, and for developing strategic communication to provide a counter-narrative against terrorist ideologies and that promotes tolerance, non-discrimination and fundamental freedoms.”

UPDATE 2014-xx-xx/2015-xx-xx: relevant reading: Terrorism, Communication and New Media: Explaining Radicalization in the Digital Age (2015, Archetti, in Perspectives on Terrorism Vol 9, No 1) and The Taliban and Twitter: Tactical Reporting and Strategic Messaging (2014, Bernatis, in Perspectives on Terrorism Vol 8, No 6).

UPDATE 2015-01-30: a joint statement (.pdf, Jan 30) following an informal meeting on Jan 29/30 2015 of the EU Member States’ ministers for Justice & Home Affairs promotes the idea of “cooperat[ing] closely with the industry and to encourage them to remove terrorist and extremist content from their platforms”: “We reiterate the urgent need for further actions addressing radicalization to terrorism not only on EU but also on national and local level. The internet plays a significant role in radicalization. In this regard, we must strengthen our efforts to cooperate closely with the industry and to encourage them to remove terrorist and extremist content from their platforms. The further possibilities to detect and remove illegal content, in full respect of fundamental rights, fundamental freedoms and in full accordance to national legislation. The possible creation of effective counter-narratives, notably on social media, should also be explored. In this context, Internet referral capabilities, also through Check-the-web, could be developed within Europol to support efforts of Member States in detecting illegal content and improving exchange of information. The development of different preventive projects within the future RAN Centre of Excellence and the maximum use of the Syria Strategic Communication Advisory Team (SSCAT) should also be strengthened.”

UPDATE 2015-01-11: in a joint statement (.pdf) following the Charlie Hebdo attacks, the interior ministers of France, Germany, Latvia, Austria, Belgium, Denmark, Spain, Italy, the Netherlands, Poland, Sweden and the U.K. stated while the internet must remain “in scrupulous observance of fundamental freedoms, a forum for free expression, in full respect of the law,” ISPs need to help “create the conditions of a swift reporting of material that aims to incite hatred and terror and the condition of its removing, where appropriate/possible”. Seven out of the twelve countries that signed the statement have participated in the Clean IT Project: it is clear that the — Dutch-chaired — Clean IT Project resulted in the current ‘critical mass’ behind the policy objective of voluntary censorship. Recall that one of the topics that was internally scheduled to be discussed during the Clean IT Project was whether non-compliant ISPs should be excluded from government contracts. It’s not clear what happened to that idea; hopefully it was rejected at a very early stage, and will not be (re)introduced into the policy debate.

UPDATE 2014-12-20: Dutch readers may also want to browse http://www.polarisatie-radicalisering.nl (website made by the NCTV; contains a lot of information and reports).

UPDATE 2014-10-14: the Dutch Hosting Provider Association (DHPA), that represents Dutch ISP’s, posted a press release (in Dutch) stating the DHPA opposes the Dutch govt’s voluntary censorship plan. The NCTV responded (.pdf, in Dutch) by calling upon ISPs to cooperate in fighting online radicalization within the available legal means (thus implying the NCTV considers voluntary censorship to be within such means).

UPDATE 2014-09-01: Dutch readers: see Arnoud Engelfriet’s take on this: Kabinet wil notice/takedown van extremistische uitingen opvoeren.

EOF

UPDATE 2015-07-01: EU Observer reports: “The EU’s police agency Europol on Wednesday launched its web unit tasked to hunt down online extremist propaganda. Europol’s director Rob Wainwright said the unit is “aimed at reducing terrorist and extremist online propaganda.” The unit consists of over a dozen Europol officials and experts from national authorities.” The name of the unit is the European Union Internet Referral Unit (IRU).

UPDATE 2015-06-02: EDRi reports that the European Commission is set to launch a related initiative in 2015.

UPDATE 2015-04-07: following a FOIA request, more documents from the Clean IT project are now public, totaling some 150 pages: here (.pdf) and here (.pdf).

UPDATE 2014-08-29b: today the Dutch government announced today a “strengthening” of their approach to cope with jihadism & radicalization, and that “strengthening” appears to include the implementation of several of the recommendations made by the Clean IT project. More about that here.

UPDATE 2014-08-29: relevant reading from EDRi: The slide from “self-regulation” to corporate censorship (.pdf, 2011). Thx @jmcest!

UPDATE 2014-08-28: for clarity of exposition, I moved the unofficial HTML version of the “Reducing terrorist use of the Internet” publication to a separate location.

Considering the recent media reports on the use of social media by extremists (Islamic State, etc.), now seems a good time to bring to attention, once more, the outcome of the EU-funded Clean IT project (2011-2013), i.e., 13 best practices for “reducing terrorist use of the internet”.

We should at all times remain vigilant and defend our rights and freedoms; that remains true within the context of the practices recommended by the partners of the Clean IT project, that essentially boil down to a framework for voluntary censorship (and “voluntary” is relative: peers could be pressured into cooperating). It would be much better if societies are defensible against extremist propaganda, rather than relying on removing or blocking content. As stated by Rejo Zenger (Bits of Freedom), it should be legality of content, not whether we perceive it to be in good taste, that determines what content should be removed/blocked. And legality is determined in court, not elsewhere. But considering the fact that the recommendations exist and are likely to be (partially or fully) implemented and/or promoted by some of the governmental & private-sector partners of Clean IT, it’s useful to spend some attention to them.

The 13 best practices were established through a “structured public-private dialogue” and consensus between partners of the Clean IT project. These were the initial governmental partners:

• Belgium (Coordination Unit for Threat Analysis);
• Germany (Federal Ministry of the Interior);
• Netherlands (National Coordinator for Counterterrorism and Security);
• Spain (Centro Nacional de Coordinación Antiterrorista);
• United Kingdom (Office for Security and Counter Terrorism).

These were governmental partners that later joined:

• Austria (Federal Ministry of the Interior);
• Denmark;
• Greece (Hellenic Police);
• Hungary (Counter-terrorism Centre);
• Portugal (Polícia Judiciária);
• Romania (Romanian Intelligence Service).

The Clean IT project received opposition concerning the role of the involved private partners and various observations made from a leaked draft (.pdf) of the “detailed recommendations document”, dated August 2012. The final, public deliverable of the Clean IT Project was published (.pdf) in January 2013 by the Dutch National Coordinator for Security and Counterterrorism (NCTV). It should be noted, though, that the proposals that caused opposition were input for discussion, not its output: in the leaked draft, nearly all of them are listed under “to be discussed”. The final, public deliverable does not include any of the proposals that had evident ground for opposition, such as real name policies (i.e., kill online anonymity), legalizing filtering/surveillance of employee’s internet connections, and making consumers and companies liable for various behaviors, such as “knowingly” linking to “terrorist content” or lack of acting upon it. From the final, public deliverable:

p. 9: “The EU has further identified the following offences as being linked to terrorist activities: ‘public provocation to commit a terrorist offence, recruitment for terrorism, and training for terrorism’ which can also be committed in the online environment (Framework Decision 2008/919/JHA [.pdf], 28 November 2008, amending the 2002 Framework Decision).”

p.9: “In this document ‘terrorist use of the Internet’ refers to the use of the Internet for terrorist purposes, which is illegal, including for public provocation (radicalisation, incitement, propaganda or glorification), recruitment, training (learning), planning and organizing terrorist activities.”

p.12: “It is often difficult to determine which content on the Internet is illegal, also because illegality depends on the context in which it is presented and can differ worldwide and even between EU Member States.”

p.12: “Illegal content itself does not always lead to radicalisation and terrorist acts, while content that does contribute to radicalisation is not always illegal.”

p.12: “Organizations choose on a voluntary basis to commit to the general principles, to join the dialogue that has started with the Clean IT project, and/or to implement the best practices described in this document.”

p.15: “Any action taken to reduce the terrorist use of the Internet, whether by governments or by private entities, must comply with national provisions, EU and other international legal instruments, and respect fundamental rights and civil liberties, including access to the Internet, freedoms of expression and assembly, the right to privacy and data protection.”

p.15: “This document does not suggest action which cannot be introduced by legislation for constitutional or human rights reasons.”

p.15: “Actions to reduce terrorist use of the Internet must be effective, proportionate and legitimate. (…)”

p.15: “In cases of suspected terrorist use of the Internet, when an activity is not deemed unequivocally illegal, but might be considered as harmful, organizations (i.e. competent authorities and ISPs) will first try to resolve the situation among themselves as quickly as possible within their respective legal obligations and competences. At all times, organizations have the right to refer the case to the competent court or seek other legal remedy which the applicable laws provide.”

p.17: “The partners in the Clean IT project consider the following best practices to be useful in reducing terrorist use of the Internet, provided they are implemented in compliance with the general principles. Therefore the best practices are to be conducted within the limits of applicable legislation and respect fundamental rights and civil liberties. Implementing best practices is voluntary and is the full responsibility of each individual organization.”

Of course, the road to hell is paved with good intentions, and we don’t know what happens behind closed doors; and judicial oversight seems optional rather than mandatory in the recommendations.

Here is an unofficial HTML version of the entire final, public deliverable of the Clean IT project.

Here are the 13 best practices:

1. Best Practice 1: Legal framework
   • Challenge: Terrorist use of the Internet is not always clearly explained, while it can be difficult to apply existing legislation on unlawful terrorist activities to the technical reality of cyberspace. Every EU Member State uses its own sovereign powers to implement legislation, but these are not always tailored to the increased and cross-border terrorist use of the Internet. Differences between national legislation make it complicated for competent authorities and Internet companies to deal with terrorist use of the Internet.
   • Best practice: The legal framework to reduce the terrorist use of the Internet should be clearly explained to users, NGOs, competent authorities and Internet companies to make their work more effective. Increased efforts and international cooperation will help to reduce terrorist use of the Internet.
   • Explanatory note: All measures taken to reduce terrorist use of the Internet must be in accordance with human rights and fundamental rights and freedoms. All Member States’ regulation is based on the implementation of the EU Framework Decision of 13 June 2002 on combating terrorism and EU Framework Decision 2008/919/JHA [.pdf] of 28 November 2008. More analysis and explanation of differences in Member States’ legislation will help practitioners in reducing the international aspects of terrorist use of the Internet. Member States should have clear procedures in place to end terrorist use of the Internet. The legal framework to reduce terrorist use of the Internet must be clearly explained to users, NGOs, Internet companies and competent authorities to make their work more effective. Also youth protection legislation protects in some countries against terrorist use of the Internet. Governments should not put too much pressure on organizations when explaining legislation, e.g. by threatening to use (legitimate but) very invasive measures. Putting too much emphasis on terrorist use of the Internet could also have a chilling effect on freedom of expression. Explanation of legislation should be balanced and based on adequate analysis of relevant (national) legislation.
2. Best Practice 2: Government policies
   
   • Challenge: Governments should take an active role in reducing terrorist use of the Internet. However, policies on reducing terrorist use of the Internet are not always comprehensive, clearly defined or explained, governments differ in being able to keep up with the rapidly developing Internet while for some governments, dialogue with Internet companies and NGOs is rather new. In addition, policies on reducing terrorist use of the Internet differ between governments, which limits synergy.
   • Best Practice: Governments that have a strategy in place are willing to lead in reducing terrorist use of the Internet and are well equipped to do so. Governments strive for efficient international cooperation and stimulate cooperation with Internet companies and NGOs to reduce terrorist use of the Internet.
   • Explanatory note: Many governments include reducing terrorist use of the Internet as an integral part of their security strategies and in foreign policy and stimulate international cooperation in this field. Governments should make sure competent authorities have enough capacity to deal effectively with the use of the Internet for all kinds of terrorist purposes. The time needed for international (legal) action against content in another country could be reduced. Some governments strive for good cooperation between competent authorities and Internet companies. Internet companies and competent authorities could be assisted by governments by sharing information on terrorist use of the Internet (see also the best practices “Awareness” and “Sharing abuse data“). Governments could stimulate self-regulation by Internet companies and organize programs to educate web moderators.
3. Best Practice 3: Terms and conditions
   • Challenge: Not all Internet companies state clearly in their terms and conditions that they will not tolerate terrorist use of the Internet on their platforms, and how they define terrorism. This makes it more difficult to decide what to do when they are confronted with (potential) cases of terrorist incitement, recruitment and training on their platform.
   • Best Practice: Some Internet companies do explicitly include terrorist use of the Internet, with a definition or examples, in their terms and conditions, stating that such use is unacceptable. Some Internet companies effectively enforce this policy.
   • Explanatory note: This best practice does not require any EU standard. Internet companies can define and/or give examples of what is terrorist use of their services, and do so for legal, ethical or business reasons. In this best practice “Internet companies” does not refer to access providers. Access providers should refrain from including terrorist use of the Internet in their terms and conditions, as access-blocking is not a recommendable option. Terms and conditions do not create new legal rights for third parties, but solely govern and clarify the relationship between the respective Internet company and its customer. In contrast, the illegality of terrorist use of the Internet affects the relationship between the customer and the (Member State, representing the interests of the) general public. It is recommended that companies have sufficiently staffed and capable abuse departments and are consistent and transparent in how they deal with abuse of their networks and violations of their terms and conditions. Small and medium Internet companies might not have the capacity to maintain a well-staffed abuse department and understand the language in which potential terrorist use of their service takes place. In this case it would be best to forward possible cases of terrorist use of the Internet to hotlines, referral units or competent authorities.
4. Best Practice 4: Awareness
   • Challenge: Terrorist use of the Internet is currently not widely known or understood. The public in general, but especially vulnerable groups like children, teenagers and young adults and the circle that surrounds them are largely unaware that they are being targeted by terrorists and terrorist groups for incitement and recruitment. Professionals like frontline workers should know what to do when they are confronted with terrorist content or someone who is radicalizing.
   • Best Practice: Cyber security awareness, education and information programs exist in a number of EU Member States, and some of them include terrorist use of the Internet.
   • Explanatory note: In increasing awareness, education and information on terrorist use of the Internet, best results might be expected if governments, competent authorities, Internet companies cooperate in and NGOs lead awareness programs. Increased awareness amongst Internet users will probably lead to more reports of terrorist use of the Internet. Governments have specific knowledge about terrorist activities and threats. It would help Internet companies in becoming more aware of terrorist use of the Internet if this kind of information is shared actively by governments. It is important to address Internet users in general, and vulnerable persons in particular, about the dangers of the Internet and how to recognize online signs of radicalisation. Awareness programs should be creative and appeal to the younger generation. This can be done by involving youth in developing programs, using the latest technology, involving former radicals and victims and implementing counter-narrative policies. Awareness programs should inform where to find help on or report terrorist use of the Internet, as well as provide examples of known cases of terrorist use of the Internet. Awareness projects should inform about the full extent of terrorist programs using the Internet, including radicalisation starting from hate speech, address psychological effects and group dynamics in radicalisation, and provide examples of this. Awareness programs should not violate the right to non-discrimination, while creating a culture of fear and stigmatisation must be avoided.
5. Best Practice 5: Flagging mechanisms
   • Challenge: Internet users currently do not have enough easy ways of reporting terrorist use of social media. In addition, Internet users are not used to reporting what they believe is illegal. As a consequence, some terrorist use of the Internet is currently not brought to the attention of Internet companies and competent authorities.
   • Best Practice: Some websites with user-generated content offer simple and user-friendly flagging systems on their platforms, having a separate, specific category for terrorist use of their service.
   • Explanatory note: Flagging is a useful method of notifying Internet companies about potential terrorist use of the Internet. User-friendly flagging systems have a separate, specific category to flag cases of terrorism. The service providers should also explain to their users how these flagging systems work and otherwise stimulate its use. This practice is primarily meant for social media or websites that provide user-generated content, but it could be considered to make the technology more widely available where this is technologically possible. Flagged content means that possible illegal content is brought to the attention of the service provider, and from that point they are not excluded from liability for the information stored on their networks (E-commerce directive, 2000/31/EC of 8 June 2000, article 14e). Anonymous flagging should be possible and respected, while Internet companies can also extend a higher credibility status to trusted flagging organizations, like specialized NGOs. Higher credibility statuses should serve to prioritize handling reports. Individual users could also be provided higher credibility status based on their (calculated) reputation in successfully reporting abuse. Abuse of the flagging mechanism should be prevented as much as possible. Governments and competent authorities should primarily use formal ways of notifying Internet companies. In some Member States flagging is also regarded as a formal notification. If governments and competent authorities use flagging systems apart from their formal/legal procedures, they make clear this is exclusively meant as bringing the alleged terrorist use of the Internet to the actual knowledge of the provider (see also the best practice of notice and take action).
6. Best Practice 6: End-user browser mechanism
   • Challenge: While content portals (like social networks, image or video portals) can offer “flagging” opportunities, other platforms (like hosted websites) often lack such a mechanism. Moreover, there is not one international, user-friendly reporting mechanism available to all Internet users, irrespective of which part of the Internet they are using at the moment they notice what they think is terrorist use of the Internet.
   • Best Practice: A browser-based reporting mechanism could be developed to allow end users to report terrorist use of the Internet.
   • Explanatory note: Webhosting companies and other content platform providing Internet companies that do not offer a single point for reporting to end-users, do not want terrorist use of their networks, but are technically, economically, legally and/or practically limited in detection of their clients’ content. If those clients do not have proper reporting mechanisms for abuse, Internet users cannot report the terrorist use of the Internet in a user-friendly way. In those cases, these Internet companies can play an intermediary role. In some countries Internet companies in coordination with competent authorities offer banners that clients can add to their website on a voluntary basis to report alleged illegal content. Similar mechanisms exist for phishing sites, spam and malware, as an option or add-on in browsers or mail client software. A more systematic approach to help Internet companies to be notified by Internet users about alleged terrorist use of the Internet is a reporting mechanism that is implemented in the standard distribution of a browser, or, as a fallback solution only, is offered as a plugin for browsers. This is a user-friendly notification tool to Internet companies that do not offer flagging tools or do not have effective abuse departments. This mechanism should also be considered for the browsers of mobile devices and their operating systems. While being developed, at for example the EU-level, the mechanism should have an open architecture, allowing non-EU organizations to start using it as well later on. The reporting mechanism will send an automated signal to the Internet company involved, which will allow them to contact their client (the content owner) so the client can take appropriate action. The client and or the host can also contact the competent authorities if necessary (see the best practice of referral units). The system works only for known hosts: hosts that register to this service. As such a mechanism needs to be organized and developed, a pilot is recommended to experiment and evaluate the added value of this system, as well as to solve legal/jurisdictional, organizational, procedural and technical issues. Abuse of the reporting mechanism should be prevented as much as possible.
7. Best Practice 7: Referral units and hotlines
   • Challenge: Internet companies do have potential cases of terrorist use of the Internet reported to them, but they often lack the required specialist knowledge about terrorism to determine whether it is illegal. Determining what is illegal is primarily a law enforcement role. In other cases, Internet companies lack the language skills they need to make a judgment on the meaning and therefore on the legality of the content or other terrorist activity. In addition, some existing industry operated hotlines do not (explicitly) include terrorist use of the Internet as one of the abuse areas that could be reported to them. As a consequence, a large number of potential cases of terrorist use of the Internet are not dealt with adequately.
   • Best Practice: Some governments and competent authorities maintain one or more referral organization(s), to which Internet companies, NGOs and end-users can report potential cases of terrorist activity on the Internet. The referral organization analyzes whether content is illegal and takes appropriate action if necessary. Some industry operated hotlines do explicitly aim to also handle terrorist use of the Internet.
   • Explanatory note: Well-organized referral units (public sector) and hotlines (private sector), having an appropriate team behind them with the needed competences and skills, will help Internet service providers to handle notifications about terrorist use of the Internet more effectively and efficiently. This is especially the case if Internet service providers are not sure whether possible terrorist use of the Internet that is reported to them is illegal or not. The role of a public sector operated referral unit is to assess Internet content and where it is deemed unlawful to have the material removed and coordinate any prosecutions for offences which may have been identified. For regional and local police units the referral unit offers more expertise in dealing with (potential) terrorist use of the Internet. Referral units need to be advertised and promoted. Referral units’ authority must be grounded in legislation, while any referral unit must work according to local legislation and within its jurisdiction. As legislation differs between EU Member States, referral units’ activities might differ as well. Referral units should be in regular contact with relevant Internet companies, also to ensure actions are coordinated as much as necessary. Internet companies should only refer cases in which it is reasonable to think there is terrorist use of the Internet, not refer all that is reported to them. As cases of terrorist use of the Internet can be transnational, referral units need excellent working relations with referral units in other Member States and outside the EU. Private sector hotlines provide a mechanism for the public to report content or use of the Internet that they suspect to be illegal. Hotlines analyze the reports to determine if the content is illegal under their national legislation, and if so, will perform a “trace” on the web to identify where it appears to be located (source country). With this data, the hotline will then pass the information to the relevant stakeholders (internet service provider or competent authority) for further action. Referral units and hotlines should technically be able to receive all kinds of terrorist use of the Internet (e.g. websites, videos, messages, emails, profiles) and if both exist within one Member State they should have excellent cooperation. Referral units and hotlines would benefit from a points of contact system as proposed in best practice number 9. As a secondary task referral units and hotlines can contribute to awareness, education and information efforts on terrorist use of the Internet. For example, governments and competent authorities could help Internet companies by sharing information on specific phenomena of illegal content and have programs to educate web moderators. Governments can also subsidize competent NGOs that substantially contribute to reducing terrorist use of the Internet and radicalizing content on the Internet.
8. Best Practice 8: Notice and take action procedures
   • Challenge: When Internet companies are notified of probable cases of terrorist use of the Internet, the procedure to handle these reports is not always effective and efficient. Internet companies have liabilities both to respond to the reporter and to protect the services they deliver to their users. Sometimes competent authorities notify Internet companies to bring terrorist use of the Internet to the actual knowledge of the provider. From their formal role competent authorities can also order Internet companies to remove illegal content. The difference between these two actions is not always clear to Internet companies. In addition, when competent authorities give an order to remove content, these orders suffer sometimes from being insufficiently specific or inappropriate to the company being approached.
   • Best Practice: Some individual Internet companies have their own effective and efficient notice and take action procedures and some have agreed to use a standard for notice and take action. In some EU Member States competent authorities apply a standard for take down orders.
   • Explanatory note: Legally there are two forms of reporting alleged illegal content:
     • (1) a notification brings the content to the actual knowledge of the Internet service provider.
     • (2) an order is a binding request to an Internet service provider by a competent authority.

     
     Notifications Notice and take action applies to any service provided that consists of the storage of information provided by a recipient of the service, for example: providers of chat boxes, e-mail services, file sharing, hosting, social networks, e-commerce sites, and web forums. Effective notice and take action procedures imply that notified unequivocally illegal content is removed as fast as possible. This best practice will only work if the quality of notifications is sufficient. Notifications should be specific (unambiguously identify the material in question), proportionate (matching the offence and limiting collateral damage to other users) and appropriate to the service offered by the Internet company. In case of terrorist use of the Internet it is important to contextualize the terrorist content and describe how it is breaching (national) legislation. If competent authorities send an insufficient notification, the Internet company addressed should always reply as soon as possible and explain in detail the insufficiency. (Insufficient reports by other organizations or by individuals should merely be replied to with a standardized message stating the report was insufficient.) If it is unclear whether the content is illegal or not, effective notice and take action procedures make clear that Internet service providers have an intermediary role to avoid status-quo situations. The ultimate goal is that every notification is handled carefully and that appropriate action is taken (which is not necessarily the take down of the content). However, in some EU Member States it is possible for the service provider to ask the reporter and the content provider to settle the dispute and to wait for a final decision. This situation should always be limited in time. If the content is kept online in the meantime, the service provider can ask the reporter for a promise of indemnification. Notice and take action procedures should be surrounded with clear procedures and guarantees for the right of free speech and the right to a fair trial.

     Orders From the perspective of Internet companies the above mentioned qualifications for notices should at least also apply for formal orders by competent authorities. Internet companies would like to easily recognize the competent authorities, especially if they are based in other countries.

9. Best Practice 9: Points of contact
   • Challenge: Governments, Internet companies, competent authorities and NGOs do not always know whom to contact on the issue of terrorist use of the Internet.
   • Best Practice: Some governments, competent authorities, Internet companies and NGOs have points of contact for terrorist use of the Internet.
   • Explanatory note: A network of trusted and listed points of contact facilitates cooperation between organizations committed to reducing the terrorist use of the Internet. Points of contact are experts able to represent their organization, preferably on a daily or even 24/7 basis. To establish a professional system of points of contacts, detailed working procedures and a central database, facilitated by an EU (level) organization, will be required. These points of contact should be identified by role and their contact details published. Where possible the people occupying these roles should remain in them for a reasonable period and develop relations with their most important counterparts in other organizations.
10. Best Practice 10: Cooperation in investigations
    • Challenge: When competent authorities suspect illegal use of the Internet for terrorist purposes and contact Internet companies to assist in investigations of third parties, cooperation between the two is not always effective and efficient.
    • Best Practice: Some Internet companies and competent authorities have agreed on how to cooperate efficiently, effectively and lawfully in investigations of probable illegal terrorist activity on the Internet.
    • Explanatory note: The legal base and purpose of competent authorities’ investigations should always be clarified. It should be made clear what the legal status of the request for cooperation is: if it is mandatory, based on legislation, or voluntary, at the discretion of the Internet company to which the request is directed. Cooperation should be standardized, but human contact remains important. Internet companies have very different backgrounds and fields of activities, but have in common that they want to reduce terrorist use of the Internet. Exchanging knowledge can improve mutual understanding and lead to better cooperation in investigations. Competent authorities should respect the technical integrity of the company involved in the investigations (“do not pull the plug on the servers which might affect other entities than the ones targeted in the operations”). If an investigation needs additional efforts made by Internet companies that already took reasonable precautions to reduce terrorist use of the Internet, it is reasonable they ask for standardized adequate compensation by government.
11. Best Practice 11: Sharing abuse information
    • Challenge: Most Internet companies have to deal with few cases of terrorism on their platforms. When illegal content is removed, terrorists often try and succeed to post it on other Internet companies’ services.
    • Best Practice: Some Internet companies share information on other kinds of abuse of their network with each other, using a trusted intermediate partner organization. This private sector practice could be extended to include confirmed illegal terrorist use of the Internet.
    • Explanatory note: Systems to share known abuse information via a trusted third partner organization and its databases with known abuse information already exist. These systems often make use of e-mail as it is reliable. Data with a time-stamp is exchanged using formats like xarf (http://x-arf.org) that allows the exchange of many kinds of abuse data like videos, pictures, IP-addresses, email addresses. Only data that is formally confirmed as terrorist use of the Internet, taking into account national legislation, including privacy and data protection legislation, should be added to these systems. Competent authorities and NGOs might help start such a sharing system by providing the information on formally confirmed terrorist use of the Internet they possess. Gathering information for this system should be done by providing information on a case by case basis, from cases of confirmed terrorist use of the Internet. Matching the information in the system with information on the Internet companies’ service will enable to assess more efficiently whether this content is illegal. The legal status of the trusted third party organization, its tasks and competencies, procedures (of information gathering and qualification) and guidelines must be clear and transparent.
12. Best Practice 12: Voluntary end-user controlled services
    • Challenge: Various kinds of voluntary end-user controlled services exist to identify, log access to or block unwanted or illegal content. However, voluntary end-user controlled services rarely include terrorist use of the Internet. Technology for detecting, logging access to or blocking terrorist use of the Internet is often not mature enough to be precise and effective and risks blocking content that should be free to access.
    • Best Practice: Parental and other voluntary end-user controlled services that effectively address terrorist use of the Internet.
    • Explanatory note: In general, blocking and filtering options are considered a “bad practice”, especially if it is used at state level or if it is otherwise forced on Internet users. Filtering and controlling access on private networks cannot stop illegal web use completely — it is predominantly a tool to prevent accidental and/or casual exposure to illegal content. Filtering by Internet access companies at infrastructure level should not be promoted. Nevertheless, at a parental/end-user level individuals should not be limited in the possibilities to protect themselves or their children from what they believe is inappropriate. Vendors have already categorized and have the potential to control access to some “terrorist, race-hate, extremism” content through the use of keywords, phrases and known website addresses. This can be a helpful tool e.g. for parents who want to protect their children from radicalization attempts. All voluntary end-user controlled services must comply with EU and/or Member States regulations, i.e. on data protection and privacy. Development of accurate sources of information on what constitutes terrorist use of the Internet in each jurisdiction is considered a priority, to which the founding of an authoritative Research and Advisory Organization, as is described in the next best practice, could contribute. Any website addresses list or other information on what should be regarded as terrorist use of the Internet should be (treated) jurisdiction specific and be optional to implement by providers of these filtering services and end-users. Content that is blocked by using such information should have an optional information page that displays the reason, jurisdiction, contact information and method to redress inaccuracies of the supplier of this information.
13. Best Practice 13: Research and advisory organization
    • Challenge: The understanding of what is terrorist use of the Internet is the result of many individual public and private organizations studying terrorist use of the Internet and sharing their expertise. In terrorist use of the Internet there is no single coordinating and academic authoritative body to which all organizations involved are likely to refer.
    • Best Practice: An academic network (on sub-national, national and/or international level) that is respected by all parties, to expand existing knowledge on terrorist use of the Internet, and how best to reduce it.
    • Explanatory note: An organization as proposed here should be part of a university and would be able to provide research and advice on terrorist use of the Internet throughout the EU and in each individual Member State. This organization should (among others) gather and combine the research that has been done on terrorist use of the Internet, and share this with others in its network. The organization should act independently, i.e. without political interference. The organization should (among others) facilitate meetings between and projects of academics and practitioners. Possible fields of work are:
      • Legislation, regulation and jurisprudence;
      • Academic work on the subject;
      • Known terrorist use of the Internet;
      • Information on the technologies used by terrorists.

EOF

Even als notitie voor mezelf, hierbij de lijst van gegevens die door openbare elektronische communicatiediensten onder de Wet bewaarplicht telecommunicatiegegevens (MvT), de Nederlandse implementatie van de Europese dataretentierichtlijn, gedurende zes maanden moeten worden opgeslagen. Deze lijst betreft een bijlage behorende bij artikel 13.2a van de Telecommunicatiewet. Ter opfrissing: het Europese Hof van Justitie heeft die richtlijn in april 2014 afgekeurd. De Nederlandse regering moet nog reageren op die uitspraak (houd hier een oogje in ‘t zeil).

(Tekst geldend op: 25-08-2014)

Bijlage behorende bij artikel 13.2a van de Telecommunicatiewet

In deze bijlage wordt verstaan onder:

1. telefoondienst: oproepen (met inbegrip van spraak, voicemail, conference call of call-gegevens), aanvullende diensten (met inbegrip van call forwarding en call transfer), messaging- en multimediadiensten (met inbegrip van short message service (SMS), enhanced media service (EMS) en multimedia service (MMS);

2. gebruikersidentificatie: een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of internetcommunicatiedienst;

3. celidentiteit (Cell ID): de unieke code van een cel van waaruit een mobiele telefoonoproep werd begonnen of beëindigd.

In deze bijlage worden als gegevens, bedoeld in artikel 13.2a van de wet, aangewezen de volgende gegevens:

1. Bij telefonie over een mobiel of een vast netwerk:

   1. het telefoonnummer van de oproeper en het telefoonnummer (de telefoonnummers) die werden opgeroepen en, in het geval van aanvullende diensten zoals call forwarding of call transfer, het nummer (de nummers) waarnaar de verbinding is doorgeleid.

   2. namen en adressen van de betrokken abonnees of geregistreerde gebruikers;

   3. datum en tijdstip van aanvang en einde van de verbinding;

   4. de gebruikte telefoondienst;

   5. bij mobiele telefonie:

      • de International Mobile Subscriber Identity (IMSI) van de oproepende en van de opgeroepen deelnemer;

      • de International Mobile Equipment Identity (IMEI) van de oproepende en de opgeroepen deelnemer;

      • in geval van vooraf betaalde anonieme diensten, datum en tijdstip van de eerste activering van de dienst en aanduiding (Cell ID) van de locatie waaruit de dienst is geactiveerd;

      • de locatieaanduiding bij het begin van de verbinding;

      • gegevens voor het identificeren van de geografische locatie van cells middels referentie aan hun locatieaanduidingen gedurende de periode dat communicatiegegevens worden bewaard.

2. Bij internettoegang, e-mail over het internet en internettelefonie:

   1. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;

   2. de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt;

   3. naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;

   4. datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker;

   5. datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone;

   6. de gebruikte internetdienst;

   7. het inbellende nummer voor een inbelverbinding;

   8. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie.

EOF

Met diens toestemming citeer ik hier de reactie van Wob-goeroe Roger Vleugels op de internetconsultatie Wet voorkomen misbruik Wob, die op 19 augustus j.l. sloot (hyperlinks zijn van mij):

Utrecht, 18 augustus 2014

Reactie voor internetconsultatie inzake Wet voorkoming misbruik Wob

Het onder de aandacht brengen en indienen van het onderhavige wetsvoorstel is niet integer. Viermaal niet integer.

1. Het doel wordt al bediend door wetsvoorstel voor een nieuwe Wob

Al jaren wordt gewerkt aan een nieuwe Wob. Dit wetsvoorstel is al langs de Raad van State; al voor een tweede keer in de Kamer ingediend en in behandeling. Volgende maand is er een hearing in de Kamer.

In dat wetsvoorstel zit al een ontkoppeling van de Wet dwangsom. De precieze vormgeving van de anti-misbruik bepaling in dat wetsvoorstel komt de komende maanden aan bod in de Kamerbehandeling.

Al jaren is dit wetsvoorstel voor een nieuwe Wob, en sinds zijn aantreden gesteund door Minister Plasterk, de weg waarlangs het misbruik gestopt moet worden.

Het is niet integer om dwars door dit zorgvuldige proces nu met een wetsvoorstel te komen vooral rond misbruik. Er is ook geen enkele noodzaak want het lopende traject voor een nieuwe Wob is sneller.

Tot tegen het reces heette het uit de mond van Minister Plasterk dat hij het misbruik via het wetsvoorstel voor een nieuwe Wob wilde aanpakken. Toch kwam vlak voor het reces het wetsvoorstel dat object is van deze internetconsultatie.

Je moet maar durven om een democratisch proces zo te frustreren. De handelswijze van Minister Plasterk is alleen te verklaren vanuit de dwang van de VVD die via de Ministerraad, meer precies via Minister Opstelten, de facto, qua Wob, onder curatele gesteld is [meer hierover in de volgende paragraaf.]

2. Dit wetsvoorstel is de doodsteek voor de nieuwe Wob

Een van de factoren die in de Kamer voor enige urgentie bij de behandeling van het wetsvoorstel voor een nieuwe Wob zorgt, is dat in dat wetsvoorstel de ontkoppeling met de Wet dwangsom geregeld wordt.

Door dit nu apart te regelen in de Wet voorkoming misbruik Wob verliest het wetsvoorstel voor een nieuw Wob een groot deel van zijn urgentie.

Vanaf het begin waren er in de Kamer aarzelingen bij de noodzaak voor een nieuwe Wob. Eén van de samenbindende factoren vormde het aanpakken van het misbruik in dat voorstel.

Als dat er nu uitgaat valt te vrezen dat de Kamer de behandeling van het wetsvoorstel voor een nieuwe Wob geen urgentie meer zal geven.

Zeer merkwaardig is de orkestratie inzake misbruik. Op enig moment, meer hierover in de volgende paragraaf, ontstond aandacht voor misbruik van de Wob, verondersteld misbruik want in die hele campagne, die vooral gevoerd werd door de VNG, enkele gemeenten en de Kamerwoordvoerders voor de Wob van de VVD en de PvdA, werd nooit aangegeven wat de omvang van dat misbruik zou zijn. Iets stellen verplicht tot onderbouwen, leek hier niet te gelden.

Hiervoor spreek ik over de Kamerwoordvoerder voor de Wob van de PvdA. Meer precies moet dat zijn één van de twee PvdA Wob-woordvoerders.

De ene, Manon Fokke, wil het misbruik aanpakken onmiddellijk en los van het wetsvoorstel voor een nieuwe Wob en zit daarmee op één lijn met de VVD.

De andere, Astrid Oosenbrug wil dat via het wetsvoorstel voor een nieuwe Wob en zit daar mee op de lijn van de indieners van de nieuwe Wob, GL en D66, en op de lijn van Minister Plasterk.

Althans zat. Vanwege de druk van de VVD en het Fokke deel van de PvdA besloot de Ministerraad vlak voor het reces dat er niet meer gewacht moest worden op het wetsvoorstel voor een nieuwe Wob.

Minister Plasterk kwam de facto onder curatele van de Ministerraad en moest het spoor van misbruik aanpak via het wetsvoorstel voor een nieuwe Wob verlaten wat resulteerde in de indiening van het voorstel waar deze consultatie over handelt.

3. Misbruik door verzoekers is een non-issue

Inmiddels liggen er meerdere onderzoeken uitgevoerd in opdracht van Minister Plasterk die aantonen dat er amper sprake is van misbruik van de Wob. Nergens gaat het om meer dan enkele zaken per orgaan per jaar, met twee uitzonderingen: de politie en de gemeenten [althans een klein deel van de gemeenten].

Bij die twee uitzonderingen is het misbruik sinds medio 2013 overigens fors aan het afne-men. Bij de politie vooral door de invoering van een al jaren eerder geteste andere manier van boete-inning waardoor de bulk van de Wob-verzoeken per definitie niet meer kan. Bij gemeenten doordat daar eindelijk serieuzer omgegaan wordt met Wob-verzoeken wat onder andere te zien is in sneller beslissen.

Inzake die laatste opmerking is zeer van belang dat in een van de onderzoeken die BZK liet uitvoeren [dat van het SEO] klip en klaar naar voren kwam dat het maken van een beslissing in verreweg de meeste Wob-verzoeken minder dan 10 werkdagen vergt.

Deze constatering onderbouwd dat het meer dan vreemd is dat Nederland, als één van de weinige landen ter wereld, toch een beslistermijn van 2×28 dagen kent.

Tegelijk wordt met die 10 dagen constatering het geklaag over boetes die betaald moeten worden bij termijnoverschrijding nog merkwaardiger. Immers een ingebrekestelling geeft na die eerste 2×28 dagen eerst 14 dagen wachttijd en daarna bouwt de boete heel langzaam op. Het duurt in totaal vier maanden alvorens dat boetebedrag van 1260 bereikt is. Vier maanden voor iets dat 10 dagen werk kost.

Misbruik benoemen als een issue is niet integer. Het een urgentie geven in een apart wetsvoorstel los van het wetsvoorstel voor een nieuwe Wob is bizar. Het is bovendien het schofferen van het parlement dat zeer ver is met het voorstel voor een nieuwe Wob.

4. Disproportioneel en onbehoorlijk

Het is de vraag of het rechtmatig is als de met afstand grootste misbruiker van de Wob, de overheid, stappen onderneemt naar verzoekers toe zonder tegelijk ook het misbruik door de overheid aan te pakken.

De overheid als misbruiker? In rond de 50% van alle zaken wordt de wettelijke maximumtermijn voor de primaire beslissing overschreden [dat is die wereldwijd uniek langzame 2×28 dagen]; weigergrond Wob artikel 10.2.g wordt bijzonder vaak onrechtmatig ingezet wat mag blijken uit dat hij bijna even vaak sneuvelt bij bezwaar en beroep; reeksen illegale weigergronden worden gehanteerd, enz. enz.

Het is ook zeer de vraag of het rechtmatig is dat degene die een wet zeer halfwas invoert, zo is er amper formatie voor Wob-ambtenaren; zo is er geen opleiding voor Wob-ambtenaren, iets mag zeggen over misbruik van die wet door verzoekers.

Omstreeks de invoering van de Wob is door de toenmalige minister van BZK, Rood, gezegd dat er sprake is van een integere invoering als er per departement tot wel 50 Wob-ambtenaren aangesteld zouden worden. Er is er nu niet één met 5.

De Ministers Donner en Spies schreven aan de Kamer dat de regering niks zou voorstellen dat strijdig is met het Verdrag van Tromso. Nu komen met een verplichting tot informeel overleg is dat.

Bovendien: Als verzoekers nu overleg aanbieden, bij verzoek of later, wordt dit door organen amper gebruikt voor verheldering of informele schikking. Als een orgaan er op ingaat is het louter om één reden: pogen het verzoek in te perken.

Een eerste vereiste lijkt het dat de overheid met verzoeken tot overleg normaal leert omgaan en dat de overheid verzoekers behulpzaam is op manieren zoals de Awb voorschrijft. Tot dat moment al spreken over verplichte overleggen is, opnieuw, niet integer.

Resumerend

Voor mijn cliënten, meest persorganen, voerde ik de afgelopen 25 jaar tegen de 5.000 Wob-procedures. De teloorgang van de openbaarheid sinds midden jaren 00 is stuitend.

Als docent Freedom of information geef ik colleges in dik een dozijn landen. Het zien verworden van Nederland van min of meer voorloper tot hekkensluiter is tenenkrommend.

Ik vind het beschamend deze consultatie te schrijven. Sterker nog het wordt steeds beschamender om in Nederland met openbaarheid van bestuur bezig te zijn.

De Wob heeft als één van de kerndoelen het stimuleren van goede bestuursvoering. De gang van zaken rond dit wetsvoorstel toont aan dat dat nog zeer veel investering behoeft.

Roger Vleugels

Juridisch adviseur Wob
Docent Wob
Wetgevingsadviseur nieuwe Wob

Related:

• 2014-08-16: Mijn reactie op de internetconsultatie Wet voorkomen misbruik Wob (dit blog)
• 2014-02-23: Roger Vleugels: Wobben in 10 minuten (dit blog)
• 2014-01-30: documenten incl. initiatiefwet Woo bij Tweede Kamer-vergadering over Voorstel van wet van de leden Voortman en Schouw houdende regels over de toegankelijkheid van informatie van publiek belang (Tweede Kamer)
• 2013-12-05: Initiatiefwet Woo moet Wob vervangen (Binnenlands Bestuur)
• 2013-12-03: Kosten en baten voor de overheid van wijzigingen van de Wet openbaarheid van bestuur (rapport van SEO Economisch Onderzoek)

EOF

In reactie op mijn betoog Versleutel alles tegen glurende AIVD (26 mei 2014, CIO) ontving ik een mailtje van iemand die wil weten hoe digitale communicatie te beschermen. De aanleiding van mijn betoog was trouwens dat de inzet van ongerichte interceptie van ethercommunicatie structureel onvoldoende wordt gemotiveerd, blijkens rapporten van toezichthouder CTIVD, en dat die bevoegdheid nu juist wordt uitgebreid naar kabelcommunicatie — inclusief zgn. ‘search’ op binnenlandse communicatie dat bijvoorbeeld mag worden toegepast om potentiële toekomstige targets te identificeren — zonder dat duidelijk is of en hoe dat structurele probleem (dixit CTIVD) wordt opgelosl.

Ik heb even de tijd genomen voor een antwoord, en wil die hier delen.

Dit is het bericht dat ik ontving:

Onlangs las ik uw artikel over versleuteling van alle digitale communicatie. Alhoewel ik op zich niets te verbergen heb, weet je het maar nooit in de huidige complexe wereld wie wie bespiedt! Alleen het woordje versleuteling kan al de nodige alarmbellen doen afgaan!

Kunt u een aanbeveling maken hoe of met welk pakket de versleuteling gedaan kan worden. Terwijl ik dit schrijf bedenk ik me dat hier (en ook in uw artikel) gesproken wordt over communicatie. Ik kan me goed voorstellen dat je je eigen gegevens op je eigen computer versleutelt, zodat bij inbraak hierin geen of minder schade kan worden toegebracht. Zelfs is de vracht of dit laatste wel juist is: misschien is het zo dat er hierbij geen twee keuzes zijn: de zaak is veilig (door versleuteling) of helemaal niet! Dit in analogie met het feit dat een vrouw ook niet een beetje zwanger kan zijn.

Maar hoe zit het met communicatie naar buiten. Wordt mijn uitgaande e-mail wel versleuteld en kan dan een willekeurige ontvanger deze dan nog wel lezen. Of moet je je computer (ik heb een Apple Mac) zodanig inrichten dat je een open gedeelte en een versleuteld gedeelte hebt. En ook hoe zit het met een externe Cloud die je gebruikt of (in mijn geval) een Airport Time Capsule die continue een backup maakt van alle wijzigingen En ‘ten slotte’ (bij elke vraag of statement komen er weer nieuwe bij) hoe veilig is de versleuteling-software? Wie zegt dat daarin geen geheim achterdeurtje ingebouwd is.

Mijn antwoord was als volgt (NB: ik geef niet op alle onderwerpen die de verzender noemt antwoord):

In het kader van dat CIO-artikel heb ik de volgende gedachten:

Kort antwoord: alle gegevens moeten tijdens transport zijn beveiligd met TLS. Gebruik TLS-versie 1.1 of hoger, sta alleen ciphers uit de categorie ‘HIGH’ toe met voor key agreement een Perfect Forward Secrecy (PFS)-enabled algoritme zoals ECDH. Voor end-to-end-beveiliging kun je PGP gebruiken, hoewel dat een steile leercurve heeft en geen PFS biedt.

Langer antwoord: bij een holistische aanpak van privacy/beveiliging moet worden nagedacht over gegevens in alle toestanden. Dus: in opslag, in transport en in verwerking. Voor wat ik in het CIO-artikel betoog, is primair van belang dat gegevens zo min mogelijk onversleuteld worden *getransporteerd*. Uit de Snowden-documenten blijkt bijvoorbeeld dat GCHQ toegang heeft tot zo’n 1500 glasvezelkabels kabels en mid-2012 probes heeft geplaatst op 200 glasvezelkabels. Als die kabels onversleutelde communicatie van miljoenen mensen dragen, is het wel wat *erg* eenvoudig om massaal heimelijk af te luisteren, en liggen misbruik en function creep op de loer. Persoonlijk vind ik het wenselijk dat de inlichtingendiensten (in bepaalde gevallen) afhankelijk zijn van medewerking van de IT-dienstverleners. Dat biedt de kans aan die bedrijven om tegenmacht te bieden, bijvoorbeeld door verplichtingen tot bepaalde vormen van medewerking bij de rechter aan te vechten. Daarmee is de discussie niet definitief beslecht, maar wordt de (te) scheve machtsbalans gecorrigeerd.

Mijn persoonlijke mening is dat de telecomsector, IT-dienstverleners en andere bedrijven op architectureel niveau aandacht zouden moeten hebben voor deze materie. [Je vraagt je altijd af of op dat niveau reeds druk wordt uitgeoefend vanuit inlichtingendiensten; zie in dat kader het verhaal over Room 641A bij AT&T.]

In reactie op een van je vragen: uitgaande mail wordt anno 2014 nog steeds dikwijls niet met TLS beveiligd tijdens transport. En als het *wel* beveiligd is, gaat het vaak alleen om de eerste link: de verbinding tussen jouw computer en de SMTP-server die je gebruikt voor het verzenden. De verbindingen tussen die SMTP-server en andere SMTP-servers in het pad naar de ontvanger zijn te vaak niet beveiligd.

Ik ben skeptisch over alles dat met clouds te maken heeft. In veel gevallen lijkt de houding niet veel anders dan “gooi maar over de schutting en het zit wel goed”. Er is sprake van een single-point-of-failure, en aanbieders bieden vaak geen of weinig garanties t.a.v. bescherming en beschikbaarheid van gebruikersdata. Ook op clouds kunnen gegevens ontoegankelijk raken.

Er is geen eenvoudig antwoord of turn-key-solution, omdat alles afhangt van de vraag wat er precies beschermd moet worden en tegen welke bedreiging, en zelfs als dat duidelijk is, blijft het complex. Je zou de situatie daartoe uit kunnen denken in attack trees en gebruikmaken van threat modeling en de optionele Windows-tooling.

Het klopt absoluut dat versleutelingssoftware achterdeurtjes kan bevatten. Het is schier onmogelijk om te bewijzen dat er geen achterdeurtjes zijn. En als die er in het origineel niet zijn, kunnen vervalste versies van de software worden verspreid die *wel* een achterdeurtje bevatten. Zie bijvoorbeeld het verhaal over een valse versie van de Tor-software voor geanonimiseerd browsen.

Ik kan geen specifieke pakketten aanraden, maar mijn voorkeur gaat uit naar open source software. Die kan net zo kwetsbaar zijn als gesloten software, maar iedereen die dat kan en wil, kan precies nagaan wat de software doet en verbeteringen aanbrengen.

Nogmaals: er is geen eenvoudig antwoord of turn-key-solution.

Addendum: TLS is natuurlijk geen panacee. Het is niet uitgesloten dat de Joint Sigint Cyber Unit (JSCU) certificaten van willekeurige domeinen kan (laten) ondertekenen door één van de sub-CA’s van de Staat der Nederlanden Root CA (of een andere CA, want SdN valt allicht te veel op). Dan kan met TLS-intercepting proxy’s, al dan niet in combinatie met QUANTUM-achtige methoden (DNS-injectie, HTTP-injectie), de inhoud van communicatie alsnog worden geïntercepteerd, afhankelijk van welke toegang de diensten hebben tot de netwerken van ISP’s en IT-dienstverleners. Maar actieve manipulatie van internetverkeer is complexer en risicovoller dan passief luisteren, en zal minder waarschijnlijk (grootschalig) ongericht worden ingezet. Hoewel we niet moeten vergeten dat de ongericht onderschepte niet-kabelgebonden communicatie op trefwoorden mag en wordt doorzocht; die behoefte zal er ook zijn voor kabelgebonden communicatie. Certificate pinning en DNS-based Authentication of Named Entities (DANE) werpen nieuwe drempels op, en met SSL Observatory-methoden zouden veranderingen in aangeboden TLS-certificaten kunnen worden gedetecteerd.

Om verdere drempels op te werpen is het van belang dat privacy en veiligheid serieus worden meegenomen tijdens de ontwikkeling van nieuwe IETF-internetstandaarden. RFC 7258 (mei 2014) en de initiatieven van o.a. Barnes et al. (juli 2014) en Dukhovni (augustus 2014) zijn stappen in de goede richting.

En ja, gezien alle complexiteit zullen we tot op zekere hoogte simpelweg moeten hopen dat de protocollen geen ernstige ontwerpfouten blijken te bevatten en dat ze veilig worden geïmplementeerd, dus niet zoals OpenSSL of software die servercertificaten niet goed valideert. En dat er geen al te grote onbekende doorbraken zijn/komen in cryptoanalyse. En ja, er zijn veiligere besturingssystemen nodig: zie het pragmatische multi-VM-model van Qubes OS en de meer fundamentele aanpak van microkernel-modellen zoals seL4 (tegenwoordig open source) en de kernel van MINIX 3. En ja, we willen ook hardware zonder achterdeurtjes, dat de gyroscoop op onze smartphone niet stiekem als always-on microfoon kan worden gebruikt, dat onze apparaten niet verbinden met valse WiFi-hotspots of valse GSM/CDMA2000/UMTS/LTE-basisstations (die ook al niet meer aan overheden zijn voorbehouden: bij DefCon 2010 demonstreerde Chris Paget een IMSI-catcher voor 2G op basis van een USRP; in 2013 demonstreerde iSec de interceptie van GSM-gesprekken en sms-berichten via geherprogrammeerde Verizon network extenders; en dan is er nog OpenBTS), en dat ook de firmware geen kwetsbaarheden bevat. En dan is er nog de mens.

EOF