UPDATE 2014-03-11: today, a new CTIVD oversight report was published, together with the Dutch cabinet’s response to the Dessens report. The report covers exercises of various telecom-related powers by the AIVD and MIVD. Concerning the undirected (bulk) collection of phone metadata from wireless sources, the CTIVD has now established that it has not been motivated as required by law: nothing is known about necessity, proportionality or subsidiarity of such collection. IMHO the new report — which only exists as a result of Snowden’s revelations — reemphasizes that up until today, oversight on Dutch SIGINT is broken.
UPDATE 2014-02-10: here (.pdf, in Dutch) are the answers from the Minister of the Interior and the Minister of Defense to the Parliamentary Questions concerning the metadata and the incorrect information supplied by the Minister of the Interior in October/November 2013. These will be debated in Parliament tomorrow.
UPDATE 2014-02-09b: post updated with citations from CTIVD report Nr. 28 and information about Article 26 WIV2002. If you see errors in my post, please report them to koot at cyberwar dot nl.
UPDATE 2014-02-09: also see this excellent post by Peter Koop (@electrospaces).

As reported on Dutchnews it was the Netherlands, not the U.S., who gathered info from 1.8 million phone calls. It concerns foreign intelligence, collected in the context of counter-terrorism and military operations abroad (e.g. Afghanistan). The legal powers exercised by (likely) the Dutch military intelligence & security agency MIVD in collecting the metadata involve Article 26 (SIGINT ‘search’) and Article 27 (SIGINT ‘selection’) of the Dutch Intelligence & Security Act of 2002 (WIV2002).

The MIVD published slides (.pdf, in Dutch), dated December 18th 2013, on the topic of interception, metadata and the WIV2002. Slide 5 lists Article 24-27 from the WIV2002 (italic parts are mine):

• Art. 24: directed penetration of automated work (requires permission from head of service or Minister)
  • This is the power the AIVD exercises to hack jihadist internet fora.  
• Art. 25: directed interception from the cablebound and non-cablebound (requires permission from Minister)
  • E.g. directional microphone, telephone tap (landline, GSM), data tap (IP, email).
    • One smartphone can technically involve two taps: one for voice, one for data. 
• Art. 26: exploration of interception from the ether (=’SIGINT search’)
  • source or destination must be foreign (i.e., domestic communication cannot be explored)
  • exploring and determining whether data is relevant to the agency’s statutory duties
• Art. 27-1: undirected interception from the ether
  • interception itself is undirected
  • to see what to target, for instance through metadata analysis or encryption detection
• Art. 27-3 (=’SIGINT selection’)
  • selecting and inspecting content (requires permission from Minister)
  • 27-3-a: selection by identity (name of person or organization)
  • 27-3-b: selection by technical characteristic (some identifying number, e.g. phone number or IP address)
  •  27-3-c: selection by keywords. Minister annually approves list of topics -> AIVD/MIVD determine the exact keywords per topic.

The oversight carried out by the Review Committee on the Intelligence and Security Services (CTIVD) on lawfulness of exercise of the Article 27-3 power by the general intelligence & security service AIVD is structurally broken: this is evident from CTIVD oversight reports 19, 26, 31 and 35 that cover 2008 to 2013. A single-page extract of the relevant paragraphs is available here (.pdf, in Dutch). Key problem: the oversight is based on analysis of motivation expressed in permission requests that the AIVD sends to the Minister of the Interior to get permission for exercising the Article 27-3 powers, and those requests keep lacking proper motivation.
Concerning the MIVD, CTIVD oversight report 28 (.pdf, in Dutch, 2011) describes problems in (among others) the exercise of Article 26 and Article 27 between 2007 and 2010. For oversight on the exercise of the Article 27 selection powers by the MIVD the same problem exists as for the AIVD: requests for permission (sent to the Minister of Defense in case of the MIVD) are insufficiently motivated, withholding the CTIVD from making a statement about legality. The Article 26 searching power is intended to identify the radio/satellite channels to include in bulk data collection. The report states the following concerning the exercise of Article 26 by the MIVD:

“The CTIVD notes that the reason for and purpose of conducting a SIGINT search focused on SIGINT selection can vary. At least the following common practices can be distinguished:

1. The searching of the bulk of communication to determine whether it is possible to generate the desired data using the selection criteria for which permission has been granted;
2. The searching of the bulk of communication to identify targets;
3. The searching of the bulk of communication for data from which, in the context of an expected new area of investigation, future selection criteria can be derived. “

Original Dutch: “De Commissie constateert dat de aanleiding voor en het doel van het uitvoeren van een searchactiviteit gericht op selectie gelegen kunnen zijn in meerdere zaken. Zij onderscheidt in ieder geval de volgende gangbare praktijken:
1. Het searchen van de bulk aan communicatie om te bepalen of met de selectiecriteria waarvoor toestemming is verkregen de gewenste informatie kan worden gegenereerd
2. Het searchen van de bulk aan communicatie om potentiële ‘targets’ te identificeren of te duiden;
3. Het searchen van de bulk aan communicatie naar gegevens waaruit, in het kader van een verwacht nieuw onderzoeksgebied, toekomstige selectiecriteria kunnen worden afgeleid.” 

The CTIVD stated that (1) is permissible and that (2) and (3) are not permissible (hence: unlawful); and that all three variations were observed in daily practice at the MIVD.

None of the above means that the bulk metadata collection by the NSO or the sharing of the data with the NSA is unlawful. It does mean that the Dutch Parliament should pay real close attention to the matter of oversight on the exercise of special powers, notably Article 24-27, in the upcoming debate on the renewal of the WIV2002. That debate will likely result in expansion of the legal power of undirected interception to cablebound communications, enabling the Dutch services to carry out TEMPORA-like programs. To my knowledge, the CTIVD has never investigated the lawfulness of the exercise of the hacking power provided by Article 24 WIV2002 — the article cited by the AIVD as being the power exercised to hack jihadist internet fora. The Dutch Parliament should also specifically pay attention to oversight on Article 24 WIV2002, considering that no public oversight information exists concerning the exercise of this power over the last decade.

The remainder of this post provides details and background on last week’s revelation that it was not the Americans, but the Dutch who collected the 1.8M telephony metadata records.

On February 4th 2014, a short letter (.pdf, in Dutch) was sent to the Dutch parliament by the minister of Defense (responsible for military intelligence & security agency MIVD) and the minister Interior (responsible for general intelligence & security agency AIVD). My translation of the letter:

On August 5th, the German weekly magazine Der Spiegel published a graph that would originate from one of the documents brought out by Snowden. The data available at that time made it likely that the number of 1.8 million would point to metadata of telephone traffic between the United States and The Netherlands. [Note: that graph published by Der Spiegel originates from BOUNDLESS INFORMANT. It shows “Netherlands – last 30 days” and the number “1.831.506”. The minister of the Interior claimed on Dutch television (October 30th 2013) and in Parliament (November 6th 2013) that it was not the Netherlands, but the U.S. who collected this data, and hence that such data had not shared by the AIVD with the NSA. He warned the U.S. that spying on allies is `unacceptable’. (Although in intelligence circles it is a widely known and accepted fact that friends do spy on friends to a certain extent.)]

Original Dutch: “Op 5 augustus jl. heeft het Duitse weekblad Der Spiegel een grafiek gepubliceerd die afkomstig zou zijn uit één van de documenten die door Snowden naar buiten zijn gebracht. De toen beschikbare gegevens maakten het aannemelijk dat het getal van 1,8 miljoen zou wijzen op metadata van telefoonverkeer tussen de Verenigde Staten en Nederland.”

However, additional information and according to further research and analysis of the published data have led to the following conclusion. The graph in question points out circa 1.8 million records of metadata that have been collected by the National Sigint Organization (NSO) in the context of counter-terrorism and military operations abroad. It is therefore expressly data collected in the context of statutory duties. The data are legitimately shared with the United States in the light of international cooperation on the issues mentioned above.

Original Dutch: “Aanvullende informatie en vervolgens nader onderzoek en analyse van de gepubliceerde gegevens hebben echter geleid tot de volgende conclusie. De bedoelde grafiek wijst op circa 1,8 miljoen records metadata die door de Nationale Sigint Organisatie (NSO) zijn verzameld in het kader van terrorismebestrijding en militaire operaties in het buitenland. Het betreft dus uitdrukkelijk data verzameld in het kader van de wettelijke taakuitoefening. De gegevens zijn rechtmatig gedeeld met de Verenigde Staten in het licht van internationale samenwerking op de hierboven genoemde onderwerpen.”

According to this WikiLeaks-disclosed cable of 2007 the NSO “will be comparable to the NSA in the U.S.” Some 120 people are currently reportedly involved in the NSO. The Ministry of Defense and the Ministry of the Interior are responsibly for the NSO. The NSO is governed by the Ministry of Defense and directed by the head of the MIVD and the head of the AIVD. The NSO is absorbed by the Dutch Joint Sigint Cyber Unit (JSCU) that will have some 350 employees. The NSO has two stations for interception: 1) satellite traffic is intercepted in Burum; 2) high-frequency radio traffic is intercepted at a Dutch military base in Eibergen. The NSO itself has no legal ground for sharing the data they collect: the data must have been shared by either the AIVD or the military MIVD. Considering that the letter mentions “military operations abroad”, the MIVD is likely the sharing party.

In Snowden-documents, the Netherlands is listed as a Third Party member of the (14 Eyes group that form the) SIGINT Seniors Europe (SSEUR). Peter Koop notes:

“Being a 3rd Party means that there’s a formal bilateral agreement between NSA and a foreign (signals) intelligence agency. Probably the main thing that distinguishes this from other, less formal ways of cooperating, is that among 3rd party partners, there’s also exchange of raw data, and not just of finished intelligence reports or other kinds of support. Also both parties have a Special Liaison Officer (SLO) assigned at each others agency.

It’s not quite clear what the initial 3rd Party agreements are called, but we know that later on specific points are often laid down in a Memorandum of Understanding (MoU). An example is the Memorandum of Understanding between NSA and the Israeli signals intelligence unit, which was published by The Guardian on September 11, 2013.”

In the full Signal Profile diagram (.pdf) from BOUNDLESS INFORMANT about the Netherlands that was published today by NRC Handelsblad, the Sigint Activity Designator (SIGAD) “US-985Y” allegedly refers to the metadata that the MIVD provides to the NSA. Next to “US-985Y”, we see “1.831.506 Records” mentioned. The metadata concerns PSTN traffic, which can concern both mobile and landline communications. [UPDATE: the Minister stated that it did involve metadata about mobile calls, but about radio traffic and calls made via satellite phones.] Considering that the current Dutch law only permits undirected interception of non-cablebound communications (satellite and HF radio), landline traffic can only be legally intercepted if the end-to-end communication with the landline contains at least one wireless hop (e.g. Inmarsat).

The Dutch Parliament submitted a list of questions (.doc, in Dutch) that must be answered by the minister of the Interior (Ronald Plasterk / @RPlasterk) by February 10th, with the support of the minister of Defense (Jeanine Hennis / @JeanineHennis). On February 11th, the minister of the Interior will have to discuss these matters — and notably, explain the incorrect claims he made last October and November.

EOF

From Constant Hijzen (Twitter: @ConstantHijzen) I learned about the existence of the Geneva Centre for the Democratic Control of Armed Forces (DCAF). It was established in 2000 by the Swiss government and is described as follows on the DCAF website (original emphasis):

The Geneva Centre for the Democratic Control of Armed Forces – DCAF – is an international foundation whose mission is to assist the international community in pursuing good governance and reform of the security sector. The Centre provides in‐country advisory support and practical assistance programmes, develops and promotes norms and standards, conducts tailored policy research, and identifies good practices and recommendations to promote democratic security sector governance.

A lot of publications are available from DCAF — check it out. The publication Overseeing Intelligence Services: A Toolkit (2012, eds.: Hans Born & Aidan Wills) in the DCAF Handbooks series was pointed out to me by Hijzen and is particularly noteworthy:

DCAF’s toolkit on overseeing intelligence services is a compendium of booklets (tools) written by leading experts on intelligence governance from around the world. It provides policy-relevant information on the establishment and consolidation of independent bodies to oversee state organisations involved in the collection, analysis, production and dissemination of intelligence in the national security domain. The toolkit’s principal innovation is its provision of detailed guidance on the oversight of specific areas of intelligence services’ activities (please see below for a full list of the tools). Acknowledging that there is no single “best” approach to organising and conducting oversight, the toolkit’s guidance is based on examples from almost twenty countries.

The toolkit focuses primarily on oversight by parliamentary committees and expert non-parliamentary bodies (e.g. supreme audit institutions and data protection commissions) and, to a lesser extent, on oversight by (quasi)judicial bodies. The toolkit is, however, likely to be of broad interest to the following groups:

• persons involved in the design and establishment of oversight systems;
• civil society organisations and media that monitor and evaluate the work of oversight bodies;
• members of organisations that are subject to oversight by these bodies; and
• members and staffers of oversight bodies.

This publication has been made possible by the generous support of the Ministry of Foreign Affairs of the Netherlands.

The toolkit contains nine tools that can be downloaded in one file (.pdf, 1.8MB, 222 pages) or per tool (for each tool I cite a few sentences from its introductory chapter):

1. Tool 1: Introducing Intelligence Oversight (.pdf, Hans Born and Gabriel Geisler)
   

   “This tool introduces the reader to the subject of intelligence oversight, providing concise answers to the basic questions of who, what, when, how, and why. It also introduces readers to the other tools in this toolkit on intelligence oversight, which collectively provide more elaborate answers to these and other questions.. (…)”

• Tool 2: Establishing Effective Intelligence Oversight Systems (.pdf, Stuart Farson)
  

  “This tool examines one of the major topics of security sector reform: the establishment of effective intelligence oversight and accountability mechanisms (particularly legislative mechanisms) in transition states. An immediate question is: are the mechanisms used by established democracies appropriate models for states still in the process of developing and extending modes of democratic governance? The answer depends on the characteristics of the transition state with relevant considerations including the work that its intelligence services are asked to perform, the scope and scale of the services’ activities, and the specific threat environments in which the states exist. In analyzing these factors, one must also take into account broader issues, especially the degree to which the state has developed a democratic political culture and incorporated recognized democratic practices. (…)”

• Tool 3: Intelligence Transparency, Secrecy, and Oversight in a Democracy (.pdf, Laurie Nathan)
  

  “(…) This tool focuses on secrecy, openness, and provision of information in relation to intelligence oversight bodies. These bodies include parliament, a parliamentary intelligence oversight committee, the judiciary, a supreme audit institution (SAI), an independent inspector general of intelligence (as in Australia, New Zealand, and South Africa), and an expert intelligence oversight body (such as the Review Committee on the Intelligence and Security Services in the Netherlands). The tool outlines the political and conceptual debate around intelligence secrecy and transparency; presents good practice regarding legislation on protection of and access to information; and discusses the intelligence information that is required by parliament and other oversight bodies. It concludes with a set of recommendations. (…)”

• Tool 4: Conducting Oversight (.pdf, Monica den Boer)
  

  “(…) This tool explains how oversight bodies investigate the activities of intelligence services. It considers the widest possible range of oversight, from ad hoc investigations to long-term inquiries. In addition, it considers those situations in which multiple standing bodies have oversight responsibilities and those in which no permanent body exists, requiring the creation of a temporary body. (…)”

• Tool 5: Overseeing Information Collection (.pdf, Lauren Hutton)
  

  “The purpose of this tool is to examine the role that oversight bodies play in monitoring the information-collection functions of intelligence services. The production of intelligence is a multistep process, requiring tasking, planning, information collection, analysis, and dissemination. Yet of all these steps, it is the collection of information, especially through secret means, that remains the defining characteristic of intelligence services, at least in the public mind. Information collection is one of the most controversial aspects of intelligence work, and it presents an unusual set of challenges to oversight bodies charged with upholding democratic ideals. (…)”

• Tool 6: Overseeing the Use of Personal Data (.pdf, Ian Leigh)
  

  “This tool looks at how oversight bodies can ensure that intelligence services use personal data in compliance with the law governing the services. It aims to explain the role that oversight bodies play in examining how intelligence services store, access, and transfer personal data. It does not address the collection of personal data by intelligence services (covered in Hutton—Tool 5) or the sharing of personal data with domestic and foreign partners (covered in Roach—Tool 7). (…)”

• Tool 7: Overseeing Information Sharing (.pdf, Kent Roach)
  

  “This tool examines the challenges posed by increased information sharing to the oversight of intelligence services and other branches of government that collect, analyze, and distribute national security information.1 The term information sharing refers herein to information that is exchanged among intelligence services and partner agencies, whether they be foreign or domestic. Although the focus of this tool is principally on oversight bodies, it also considers the human rights and privacy implications of increased information sharing—which may be of interest to other entities such as the judicial and executive branches of government, the media, and civil society. (…)”

• Tool 8: Financial Oversight of Intelligence Services (.pdf, Aidan Wills)
  

  “(…) This tool presents a comparative overview of how democratic polities oversee the finances of intelligence services, from the formulation of budgets through to the ex post review of expenditures. Its aim is to highlight good practices. (…)”

• Tool 9: Handling Complaints about Intelligence Services (.pdf, Craig Forcese)
  

  “This tool focuses on the role that oversight bodies play in handling complaints about intelligence services from the public, as well as complaints raised by members of the intelligence services. The need for a complaint-handling system is particularly acute for intelligence services because they are ‘often trusted with exceptional powers, such as surveillance or security clearance, which, if used incorrectly or mistakenly, carry the risk of serious injustice to individuals.’ However, the justification for a complaint-handling system goes well beyond remedies for rights breaches. Complaint-handling mechanisms for intelligence services ‘can also bolster accountability by highlighting administrative failings and lessons to be learned, leading to improved performance.’ (…)”

EOF

Voor wie meer wil leren over terrorismebestrijding en de relatie met mensenrechten zijn de deliverables van het Europese project SECILE (@EuSECILE) goed leesvoer. Eerst een beschrijving van het SECILE project (bron):

SECILE (Securing Europe Through Counter-Terrorism: Impact, Legitimacy, and Effectiveness) is a part-EU funded project of assembled European human rights and legal research experts tasked with exploring the true impact of European counter-terrorism policy since 2001.

In the first European project of its kind, the project team will, over the next 18 months, look to assess and understand the extent to which various actors have been impacted by counter-terrorism legislation in Europe – from the citizen, to the legislator, to the security services, and the domestic courts.

SECILE loopt van oktober 2012 tot april 2014, draait gedeeltelijk op FP7-funding en heeft de volgende deelnemers: Statewatch, Durham University, Centre for Irish and European Security (CIES), National Maritime College of Ireland, Peace Research Institute Oslo (PRIO), King’s College London’s en de Supreme Court of the Republic of Latvia.

In deze post wordt uitgelegd welke onderzoeksvragen SECILE adresseert:

Counter-terrorism is full of difficult questions, such as: What is the level of threat? Who does it come from? How can we combat it? What prices are we prepared to pay to be—or to feel—safer? How can we put into action the political commitments to security that governments make? SECILE is fundamentally concerned with understanding how we can ask—and how we can properly answer—three of the other difficult questions about counter-terrorism:

1. What are the impacts of counter-terrorism on a whole range of actors (such as political institutions, individuals, communities, state security services, police, private corporations and NGOs)?
2. How can we assess whether or not counter-terrorist measures introduced by the European Union are legitimate? And what does legitimacy mean in this context?
3. How can we assess whether or not EU counter-terrorist measures are effective? What does ‘effectiveness’ mean in this context?

In Q4/2013 is een reeks rapporten opgeleverd. Hierbij de links naar de rapporten en de SECILE-blogpost bij elk rapport:

• rapport (.pdf; mirror) — Data Retention in Europe: A Case Study (Nov 6)
• rapport (.pdf; mirror) — Transposition of EU Counter-Terrorism Measures (Nov 26)
• rapport (.pdf; mirror) — Catalogue of EU Counter-Terrorism Measures (Dec 3)
• rapport (.pdf; mirror) — How does the EU assess its counter-terrorism law? (Dec 4)
• rapport (.pdf; mirror) — Democratic Perspectives on Impact, Legitimacy and Effectiveness in the Counter-Terrorism Context (Dec 6)
• rapport (.pdf; mirror) — Legal Understandings of Impact, Legitimacy and Effectiveness in the Context of Counter-Terrorism (Dec 6)
• rapport (.pdf; mirror) — Operational Perspectives on Impact, Legitimacy and Effectiveness in Counter-Terrorism (Dec 9)
• rapport (.pdf; mirror) — Societal Perspectives on Impact, Legitimacy and Effectiveness in the Counter-Terrorist Context (Dec 9)

Verder aanbevolen leesvoer over terrorisme:

• Mensenrechten en staatsveiligheid: verenigbare grootheden? Opschorting en beperking van mensenrechtenbescherming (2005, juridisch proefschrift van Jan-Peter Loof, Open Access)
• Terrorisme – Studies over terrorisme en terrorismebestrijding (2012, uitgeverij Kluwer, $$$).
• Handling ethical problems in counterterrorism: An inventory of methods to support ethical decisionmaking (.pdf, 2013, rapport door RAND Europe iov Rijksoverheid)

EOF

UPDATE 2014-01-19: Marcy Wheeler (@emptywheel) wrote a critique: The Tech Back Door in Obama’s New Spying Policy. James Oliphant (@jamesoliphant) of the National Journal wrote a critique: Obama’s NSA Proposals Fall Far Short of Real Change.

UPDATE 2014-01-17: The Register ‘translated’ it to plain English: Those NSA ‘reforms’ in full: El Reg translates US Prez Obama’s pledges – Filleting fact from fiction.

On January 17th 2014, the U.S. Presidential Policy Directive (PPD-28) on Signals Intelligence Activities (.pdf) was published and Obama gave a speech. Guardian has a piece on this, and ACLU commented on the speech. Here is an excerpt from PPD-28 (emphasis is mine):

The United States, like other nations, has gathered intelligence throughout its history to ensure that national security and foreign policy decisionmakers have access to timely, accurate, and insightful information.The collection of signals intelligence is necessary for the United States to advance its national security and foreign policy interests and to protect its citizens and the citizens of its allies and partners from harm. At the same time, signals intelligence activities and the possibility that such activities may be improperly disclosed to the public pose multiple risks. These include risks to: our relationships with other nations, including the cooperation we receive from other nations on law enforcement, counterterrorism, and other issues; our commercial, economic, and financial interests, including a potential loss of international trust in U.S. firms and the decreased willingness of other nations to participate in international data sharing, privacy, and regulatory regimes; the credibility of our commitment to an open, interoperable, and secure global Internet; and the protection of intelligence sources and methods.

In addition, our signals intelligence activities must take into account that all persons should be treated with dignity and respect, regardless of their nationality or wherever they might reside, and that all persons have legitimate privacy interests in the handling of their personal information.

In determining why, whether, when, and how the United States conducts signals intelligence activities, we must weigh all of these considerations in a context in which information and communications technologies are constantly changing. The evolution of technology has created a world where communications important to our national security and the communications all of us make as part of our daily lives are transmitted through the same channels. This presents new and diverse opportunities for, and challenges with respect to, the collection of intelligence – and especially signals intelligence. The United States Intelligence Community (IC) has achieved remarkable success in developing enhanced capabilities to perform its signals intelligence mission in this rapidly changing world, and these enhanced capabilities are a major reason we have been able to adapt to a dynamic and challenging security environment. [Footnote 1: For the purposes of this directive, the terms “Intelligence Community” and “elements of the Intelligence Community” shall have the same meaning as they do in Executive Order 12333 of December 4, 1981, as amended (Executive Order 12333).] The United States must preserve and continue to develop a robust and technologically advanced signals intelligence capability to protect our security and that of our partners and allies.  Our signals intelligence capabilities must also be agile enough to enable us to focus on fleeting opportunities or emerging crises and to address not only the issues of today, but also the issues of tomorrow, which we may not be able to foresee.

Advanced technologies can increase risks, as well as opportunities, however, and we must consider these risks when deploying our signals intelligence capabilities. The IC conducts signals intelligence activities with care and precision to ensure that its collection, retention, use, and dissemination of signals intelligence account for these risks. In light of the evolving technological and geopolitical environment, we must continue to ensure that our signals intelligence policies and practices appropriately take into account our alliances and other partnerships; the leadership role that the United States plays in upholding democratic principles and universal human rights; the increased globalization of trade, investment, and information flows; our commitment to an open, interoperable and secure global Internet; and the legitimate privacy and civil liberties concerns of U.S. citizens and citizens of other nations.

Presidents have long directed the acquisition of foreign intelligence and counterintelligence [Footnote 2: For the purposes of this directive, the terms “foreign intelligence” and “counterintelligence” shall have the same meaning as they have in Executive Order 12333. Thus, “foreign intelligence” means “information relating to the capabilities, intentions, or activities of foreign governments or elements thereof, foreign organizations, foreign persons, or international terrorists,” and “counterintelligence” means “information gathered and activities conducted to identify, deceive, exploit, disrupt, or protect against espionage, other intelligence activities, sabotage, or assassinations conducted for or on behalf of foreign powers, organizations, or persons, or their agents, or international terrorist organizations or activities.” Executive Order 12333 further notes that “[i]ntelligence includes foreign intelligence and counterintelligence.”] pursuant to their constitutional authority to conduct U.S. foreign relations and to fulfill their constitutional responsibilities as Commander in Chief and Chief Executive. They have also provided direction on the conduct of intelligence activities in furtherance of these authorities and responsibilities, as well as in execution of laws enacted by the Congress. Consistent with this historical practice, this directive articulates principles to guide why, whether, when, and how the United States conducts signals intelligence activities for authorized foreign intelligence and counterintelligence purposes. [Footnote 3: Unless otherwise specified, this directive shall apply to signals intelligence activities conducted in order to collect communications or information about communications, except that it shall not apply to signals intelligence activities undertaken to test or develop signals intelligence capabilities.]

Section 1. Principles Governing the Collection of Signals Intelligence.

Signals intelligence collection shall be authorized and conducted consistent with the following principles:

• (a) The collection of signals intelligence shall be authorized by statute or Executive Order, proclamation, or other Presidential directive, and undertaken in accordance with the Constitution and applicable statutes, Executive Orders, proclamations, and Presidential directives.
• (b) Privacy and civil liberties shall be integral considerations in the planning of U.S. signals intelligence activities. The United States shall not collect signals intelligence for the purpose of suppressing or burdening criticism or dissent, or for disadvantaging persons based on their ethnicity, race, gender, sexual orientation, or religion. Signals intelligence shall be collected exclusively where there is a foreign intelligence or counterintelligence purpose to support national and departmental missions and not for any other purposes.
• (c) The collection of foreign private commercial information or trade secrets is authorized only to protect the national security of the United States or its partners and allies. It is not an authorized foreign intelligence or counterintelligence purpose to collect such information to afford a competitive advantage to U.S. companies and U.S. business sectors commercially.
• (d) Signals intelligence activities shall be as tailored as feasible. In determining whether to collect signals intelligence, the United States shall consider the availability of other information, including from diplomatic and public sources. Such appropriate and feasible alternatives to signals intelligence should be prioritized.

Section 2. Limitations on the Use of Signals Intelligence Collected in Bulk

[…]

In particular, when the United States collects nonpublicly available signals intelligence in bulk, it shall use that data only for the purposes of detecting and countering:

• (1) espionage and other threats and activities directed by foreign powers or their intelligence services against the United States and its interests;
• (2) threats to the United States and its interests from terrorism;
• (3) threats to the United States and its interests from the development, possession, proliferation, or use of weapons of mass destruction;
• (4) cybersecurity threats;
• (5) threats to U.S. or allied Armed Forces or other U.S or allied personnel; and
• (6) transnational criminal threats, including illicit finance and sanctions evasion related to the other purposes named in this section.

In no event may signals intelligence collected in bulk be used for the purpose of suppressing or burdening criticism or dissent; disadvantaging persons based on their ethnicity, race, gender, sexual orientation, or religion; affording a competitive advantage to U.S. companies and U.S. business sectors commercially; or achieving any purpose other than those identified in this section.

[…]

The DNI shall maintain a list of the permissible uses of signals intelligence collected in bulk.  This list shall be updated as necessary and made publicly available to the maximum extent feasible, consistent with the national security.

[…]

EOF

UPDATE 2016-05-04: de lijst van updates/actualiteiten is naar de bodem verplaatst.

In voetnoot 257 van het Dessens-rapport (.pdf, zie p.133) staat het volgende over tapstatistieken van de AIVD/MIVD (vetgedrukte markering is van mij):

In 2010 heeft de Minister van BZK dergelijke gegevens verstrekt over de inzet van telefoontaps door de AIVD en de MIVD (Kamerstukken II 2009/10, 30 517, nr. 21) nadat de Tweede Kamer in een motie daarom gevraagd had. De Minister heeft dit soort verzoeken sindsdien geweigerd met als argument dat meerjaarlijkse gegevens teveel inzicht zouden geven in de werkwijze van de diensten. De CTIVD heeft onlangs geconstateerd dat ‘van een aanmerkelijke kans op schade aan de nationale veiligheid’ geen sprake is als er een meerjaarlijks overzicht van de tapstatistieken van de AIVD beschikbaar zou zijn (toezichtrapport 33, (2012), blz. 27).

Openheid in de vorm van (meerjarige) statistieken over inzet van bijzondere bevoegdheden, zoals het huidige Artikel 25 (afluisteren), maar liefst ook Artikel 24 (hackbevoegdheid) en Artikel 27 (SIGINT-selectie), is betekenisvolle transparantie: het stelt de samenleving en de (volledige) Tweede Kamer (i.p.v. alleen de besloten Commissie IVD aka ‘Commissie Stiekem’ die thans uit fractievoorzitters bestaat) in staat om, naast het rechtmatigheidstoezicht van de CTIVD, een vinger aan de pols te houden van de omvang van de activiteiten van de IVD’s. De cie-Dessens stelt terecht het volgende (p.133):

Een zo groot mogelijke mate van transparantie draagt bij aan maatschappelijk vertrouwen en draagvlak voor het werk van de diensten. Tegelijkertijd draagt transparantie bij aan de waarborging van grondrechten. Overheidsorganen moeten zich openstellen voor daadwerkelijke publieke controle. Dit is bijvoorbeeld mogelijk door meer actieve openbaarmaking van gegevens die in het verleden door de diensten zijn verwerkt. De transparantie kan ook bevorderd worden door royaler cijfermatige informatie te verstrekken over de activiteiten van de diensten.

Openheid over (de omvang van) inzet van de hack- en SIGINT-bevoegdheden zal geen eenvoudig vraagstuk zijn, net zo min als het vraagstuk over tapstatistieken, maar het lijkt me wenselijk dat ook dáárover wordt nagedacht. Waar in redelijkheid niet kan worden gesproken van `aanmerkelijke kans op schade aan de nationale veiligheid’, past het openheid te overwegen. Zeker gezien de vervagende grens tussen inlichtingen- en opsporingsdiensten en gezien de verwachte uitbreiding van de SIGINT-bevoegdheid naar kabelgebonden communicatie.

Hieronder citeer ik enkele relevante paragrafen van pagina 20 en verder uit CTIVD-toezichtsrapport 33 – De rubricering van staatsgeheimen door de AIVD (.pdf, 2012), waar in Dessens’ voetnoot 257 aan wordt gerefereerd, over de interne rubriceringsvoorschriften van de AIVD (hyperlinks en tekst in [] zijn van mij):

In het [beveiligingsplan van de AIVD] wordt de AIVD gekenmerkt als een “staatsgeheimenfabriek” waarin wordt gewerkt met “(veelal) staatsgeheime productiemiddelen (medewerkers, bronnen, hulpmiddelen en methodieken)” en waarbij “(veelal) staatsgeheime halffabrikaten en eindproducten (informatie)” worden vervaardigd. Gelet op de enorme hoeveelheid gerubriceerde documenten die de AIVD op jaarbasis produceert, kan de Commissie niet anders dan deze typering onderschrijven.Het beleidsdocument stelt het volgende:

“(…) inbreuken op de vertrouwelijkheid of veiligheid tasten de slagkracht, effectiviteit en geloofwaardigheid van de dienst aan omdat:

• bronnen, medewerkers en relaties fysieke, geestelijke of maatschappelijke schade oplopen;
• vertrouwelijke informatie wordt gecompromitteerd;
• lopende onderzoeken gefrustreerd worden;
• interstatelijke betrekkingen, politieke verhoudingen, opsporings- en vervolgingsbelangen, de privacy van individuen geschaad of verstoord worden;
• het imago van en het zorgvuldig opgebouwde vertrouwen in de AIVD aangetast worden;
• de voorbeeldfunctie van de dienst waar het gaat om veiligheid en vertrouwelijkheid niet waargemaakt wordt;
• zij een negatieve invloed hebben op de bereidheid van bronnen en relaties om samen te werken met of informatie te verstrekken aan de AIVD.“

De voornoemde redenen zijn niet in alle gevallen op zichzelf voldoende om informatie staatsgeheim te rubriceren maar geven de ongewenste gevolgen aan van een inbreuk op de vertrouwelijkheid of veiligheid. Het belang van een degelijk beveiligingsbeleid van de AIVD wordt hiermee onderstreept.

[…]

In het beveiligingsplan is het volgende opgenomen ten aanzien van staatsgeheimen bij de AIVD.

“Staatsgeheimen bij de dienst betreffen de volgende categorieën. Gegevens:

• die zicht bieden op het actuele kennisniveau van de dienst. Hieronder wordt begrepen het enkele gegeven of een persoon of organisatie al dan niet bekend is bij de dienst;
• waaruit niet open bronnen kunnen worden afgeleid;
• waaruit een niet algemeen bekende werkwijze van de dienst kan worden afgeleid;
• aangaande de identiteit van medewerkers;
• die betrekking hebben op de beveiliging van het gebouw en de inrichting van de dienst.”

[…]

Naar aanleiding van een aangenomen motie in de Tweede Kamer is het totale aantal ingezette taps (artikel 25 Wiv 2002) in 2009 openbaar gemaakt [Voetnoot 80: Kamerstukken II 2009/10, 30 517, nr. 21: “In totaal zijn er ex art. 25 Wiv 2002 in 2009 1.078 taps geplaatst door de AIVD en 53 door de MIVD”]. Deze informatie werd tot dat moment door de AIVD als staatsgeheime informatie aangemerkt. In navolging van het openbaar worden van deze informatie heeft de AIVD een inzageverzoek ontvangen waarin werd gevraagd om inzage in de tapstatistieken van meerdere jaren. Inzage werd door de AIVD geweigerd met als redengeving dat deze informatie zicht biedt op de modus operandi van de AIVD. De Commissie is van oordeel dat een meerjaarlijks overzicht van de tapstatistieken niet als staatsgeheime informatie kan worden aangemerkt. Aangezien enkel inzage werd gevraagd in de totale hoeveelheid taps zal het voor een derde niet inzichtelijk zijn door welke factoren deze hoeveelheid wordt beïnvloed of op welke wijze het totale aantal taps is belegd binnen de AIVD. Indien het aantal taps in een bepaald jaar hoger is dan het jaar daarvoor kan dit velerlei oorzaken hebben, waarover een buitenstaander weliswaar vermoedens kan hebben maar waarover hij geen duidelijkheid kan verkrijgen. De Commissie wijst in dit verband op veranderende onderzoeksprioriteiten, nieuwe opgekomen onderzoeksonderwerpen, capacitaire beperkingen of de subsidiaire toepassing van andere (bijzondere) bevoegdheden. Zelfs indien het totaal aantal taps gelijk is gebleven sluit dit uit dat hieraan een significant andere interne verdeling ten grondslag ligt, zowel wat betreft het type tap als het onderzoeksgebied. Het is de vraag wat de schade voor de nationale veiligheid zou kunnen zijn indien wordt overgegaan tot de openbaarmaking van de desbetreffende gegevens. De nationale veiligheid zal met name kunnen worden geschaad indien personen of organisaties die de AIVD onderzoekt, door kennisneming van de werkwijze van de dienst, het gedrag hierop kunnen aanpassen waardoor de AIVD minder goed in staat zal zijn om zijn wettelijke taak te vervullen. [Voetnoot 81: Zie bijv. Kamerstukken II 1997/98, 25 877, nr. 3, p. 68; Kamerstukken II 1999/2000, 25 877, nr. 8, p. 122.] Behoudens de situatie dat bekend wordt dat de AIVD (bijna) geen taps inzet, acht de Commissie het niet waarschijnlijk dat een persoon of organisatie op basis van de enkele wetenschap van het totale aantal taps zijn gedrag hierop kan aanpassen, anders dan door het besluit te nemen om niet langer gebruik te maken van enig telecommunicatiemiddel. Van een aanmerkelijke kans op schade aan de nationale veiligheid is hier dus geen sprake.

De CTIVD geeft in datzelfde rapport op (genummerde) pagina 7 het volgende overzicht van rubriceringsgrondslagen:

De grondslagen voor rubricering zijn nader gedefinieerd in de bijlage “Toelichting op de artikelen VIRBI 2013” van het VIRBI.

Er worden bij “nationale veiligheid” zes belangen onderkend (bron: begrippenlijst ministerie van J&V):

UPDATES (van recent naar oud)

UPDATE 2016-05-04: Bits of Freedom bericht dat de bestuursrechter in hun hoger beroep heeft uitgesproken dat de minister de AIVD-tapstatistieken niet mag geheimhouden zonder uitleg te geven voor die geheimhouding. Dus: openbaarmaken of fatsoenlijk motiveren waarom dat niet kan (terwijl dat in andere landen zoals België en Duitsland al jarenlang wel gebeurt). Bits of Freedom heeft de minister twee jaar geleden gevraagd die statistieken openbaar te maken. (Zoals daarvóór en daarná ook anderen dat hebben gedaan, waaronder Reporter Radio.)

UPDATE 2016-01-29: …en de minister zegt in reactie op kamervragen dat ie, conform de uitspraak van de RvS, een nieuw besluit zal nemen.

UPDATE 2016-01-13: Minister moet geheimhouding statistieken taps AIVD beter motiveren (Nu.nl) – berichtgeving over de uitspraak van de Raad van State in het hoger beroep van de zaak van de journalist van Reporter Radio.

UPDATE 2015-08-29: op 2 juli 2015 heeft het kabinet het Wiv-wetsvoorstel in consultatie gebracht; zie hier een (lange en Engelstalige) post met enkele details over dat voorstel. Joris van Hoboken en ik hebben gezamenlijk een reactie ingestuurd op de consultatie, waarin ook een oproep om cijfermatige transparantie is opgenomen. Er zijn in totaal 557 openbare reacties; zie hier een selectie daaruit. De CTIVD laat in haar jaarverslag 2014-2015, dat verscheen vóór de consultatie, ook (opnieuw) blijken voorstander te zijn van cijfermatige transparantie.

UPDATE 2014-12-10: het is onder Artikel 85 Wiv2002 verboden voor aanbieders van telecommunicatie statistieken te publiceren over tapverzoeken.

UPDATE 2014-10-23: in de rechtszaak van Reporter Radio tegen de AIVD heeft de Haagse rechter geoordeeld, deels op basis van vertrouwelijke stukken, dat de AIVD tapstatistieken niet openbaar hoeft te maken. Het oordeel luidt als volgt:

UPDATE 2014-10-08: @MauritsMartijn schrijft op de Correspondent: Waarom wil Plasterk niet vertellen hoe vaak zijn geheime dienst afluistert?

UPDATE 2014-10-07: betekenisvol toeval: de CTIVD heeft vandaag rapport 40 (.pdf) gepubliceerd en noemde daarin oorspronkelijk statistieken t.a.v. inzet door AIVD van Art.25/Art.27 Wiv2002, maar die statistieken zijn door de Minister van BZK gecensureerd. Overigens is censuur in het publieke deel van een CTIVD-rapport niet uniek: ook in eerdere CTIVD-rapporten is het wel eens voorgekomen dat markeringen zijn aangebracht, bijvoorbeeld in CTIVD-rapport 26 inzake de d-taak van de AIVD (inlichtingentaak buitenland).

UPDATE 2014-10-06: zich baserend op de hieronder vetgemarkeerde opmerking van de CTIVD eist Reporter Radio a.s. donderdag bij de rechter in Den Haag openbaarmaking van alle AIVD-tapstatistieken over de jaren 2002-2008 en 2010-2012 (over 2009 waren reeds statistieken openbaar).

EOF

UPDATE 2017-09-13: further updates/additions moved to the bottom.

UPDATE 2015-02-05: new EU Factsheet on EU Intelligence Analysis Center (IntCen).

On November 27th 2013, the Dutch cabinet responded (in Dutch) to parliamentary questions about EU IntCen. The response is only available in Dutch; here is my English translation.

1 Are you familiar with the European FOIA request to the European External Action Service (EEAS) for information about the secret European EU Intelligence Analysis Centre (Intcen) service?

Yes.

2 Is it true that Member States voluntarily transmit intelligence to IntCen, and what is the nature of this intelligence?

Yes. Expatriate staff of civilian intelligence and security services of several EU Member States are deployed as analysts together with European officials in the EU Intelligence Centre (IntCen). The IntCen was established to make strategic analyses on the basis of intelligence of the various Member States, with the purpose of common foreign and security policy, and on the area of counter-terrorism.
IntCen is not an intelligence service, does not have special powers and therefore does not carry out intelligence gathering itself. IntCen also does not process personal data, it focuses solely on strategic analyses.
The contributions from the Member States are provided on a voluntary basis. The IntCen sends questions (requests for information) to the Member States, both to the Ministries of Foreign Affair as well as the respective intelligence and security services. The information that is shared can be  characterized as analytical material, in which available intelligence, insofar a contributing service can or is willing to release it, is processed. This component determines the [secrecy] classification of the information.

3 What is the legal basis for the organization and activities of IntCen?

IntCen was established shortly after the attacks of 9/11 by the Council of Europe as organic part of the Council Secretariat. Its name was EU SITCEN (EU Situation Centre, in Dutch: “situatiecentrum van de Europese Unie”). The Council Decision of July 26th 2010 to establish the organization and functioning of the European External Action Service (EEAS) (OJ L 201, 3.8.2010, p 30), determined in Article 4, paragraph sub a, third indent, that EU SITCEN has become part of the European External Action Service, under the direct authority and direct responsibility of the High Representative.
Through an internal decision by mid-March 2012, the EU SITCEN changed its name and has since been called EU IntCen. The core tasks of producing strategic analyses have not changed.
Given that SitCen only prepares strategic analyses, does not process personal data, does not gather intelligence and that information from the Member States is provided only on a voluntary basis, the Council considered that the establishment of SitCen did not require a special legal basis, and that SitCen could be set up in a similar manner as every organic part of the Council Secretariat. Additionally, the SitCen being part of the Council, it is subject to the same rules and legal control as the Council and the Council Secretariat. This situation has not changed with the transfer of SitCen to the European External Action Service, with the proviso that SitCen is expressly mentioned in the Council decision quoted above as one of the services which are transferred to the European External Action Service.

4 What is the formal legal status of IntCen? How does the legal status of IntCen relate to the legal status of the EEAS?

As indicated above, IntCen is an integral part of the EEAS, and thus operates within the same legal framework. This means in particular that the rules on the protection of personal data as they apply to the EU institutions are fully applicable to IntCen. Also, the European data protection controller is authorized to carry out oversight.
Moreover, all other rules that normally apply to the European institutions fully apply to IntCen. These rules include the rules on access to documents, the financial regulation, the rules on staff (including ethical standards for EU staff). All legal means normally available against decisions of European institutions are also open to the acts of IntCen as part of the EEAS. The European Ombudsman and the European Court of Justice are fully authorized to oversee the legality of acts of IntCen.

5 With which parties does IntCen share her gathered intelligence and analyses?

Analyses of IntCen be shared with the Member States of the European Union, and with relevant decision makers within the European Commission, EEAS and in some cases the Council, provided that such employees are in possession of the necessary ‘clearance’ issued by the Member States themselves.

6. Does IntCen use information and analysis of the Dutch intelligence and security services? If so, how is oversight on IntCen carried out by the Dutch Parliament, the judiciary, experts or other possible means?

Yes, the Netherlands is one of the Member States that analyzes information provided to IntCen. One AIVD officer is permanently detached at IntCen in Brussels. A secure digital connection with this officer is used for daily contact between the AIVD and IntCen.
For each of the intelligence and security services that share intelligence analyses with IntCen, their own national legal framework and monitoring mechanisms apply. In the case of the Netherlands, the information shared with IntCen is collected within the framework of the Dutch Intelligence and Security Act (Wiv2002) and under the supervision of the Dutch Review Committee on the Intelligence and Security Services (CTIVD).

7 How does IntCen relate to the Dutch intelligence and security services?

IntCen is one of the recipients of the intelligence analyses of the AIVD and the analyses of IntCen are shared with the AIVD.

8 Does the Dutch Court of Justice have jurisdiction in the event that the activities of the IntCen exceed the mandate or the legal basis of EU law? If so, what? If not, why not?

See the answer to question 4.

9 Does IntCen process personal data in the context of its intelligence activities? Is IntCen permitted to process personal data? If so, under what conditions? If so, how is the oversight on the processing of personal data organized?

No, IntCen does not carry out intelligence activities and does not process personal data. Also see the answer to questions 2 and 4.

10 To what extent is IntCen bound by privacy regulations of the European Union?

As indicated in the answer to question 4, all the European regulations on privacy fully apply to IntCen.

Full EU factsheet as published on 2015-02-05 (mirrored below for posterity):

Factsheet on EU Intelligence Analyses Center (INTCEN)

Summary: 5 February 2015, Brussels – The EU Intelligence Analysis Centre (EU INTCEN) is the exclusive civilian intelligence function of the European Union, providing indepth analysis for EU decision makers. Its analytical products are based on intelligence from the EU Member States’ intelligence and security services.

EU INTCEN’s mission is to provide intelligence analyses, early warning and situational awareness to the High Representative of the European Union for Foreign Affairs and Security Policy, Ms Federica Mogherini and to the European External Action Service (EEAS).

The Centre does this by monitoring and assessing international events, focusing particularly on sensitive geographical areas, terrorism and the proliferation of weapons of mass destruction and other global threats. EU INTCEN also offers its services to the various EU decision making bodies in the fields of the Common Foreign and Security Policy (CFSP), the Common Security and Defence Policy (CSDP) and counterterrorism (CT), as well as to the Member States. EU INTCEN is not an operational agency and does not have any collection capability. The operational level of intelligence is the member states’ responsibility. EU INTCEN only deals with strategic analysis.

History

The creation of the EU INTCEN – or the EU Situation Centre (EU SITCEN) as it was called until 2012 – is intimately linked to the establishment of the European Security and Defence Policy (ESDP) and the creation of the post of High Representative in 1999. The development of the ESDP crisis management capabilities, and deployment of both civilian and military missions, made it clear that a broader intelligence analysis structure was needed. The events of 11 September 2001 and the increasing threats of global terrorism also emphasised the need of timely and accurate intelligence analysis to support EU policy making.

In 2002, EU SITCEN was established in the Council General Secretariat, directly attached to the office of the High Representative, Dr Javier Solana. The same year, staff from Member States’ intelligence services were seconded to EU SITCEN. In 2005, EU SITCEN was reinforced by the arrival of a team of counter-terrorist experts seconded from Member States’ security services. This enabled EU SITCEN to provide the Council with strategic terrorism threat assessments based on intelligence from national services.

In 2007, the EU SITCEN reinforced its collaboration with the EU Military Staff (EUMS) Intelligence Directorate by concluding a functional arrangement, the so-called Single Intelligence Analysis Capacity (SIAC). All intelligence assessments issued to Member States are joint products prepared under SIAC. With the entry into force of the Lisbon Treaty on 1 December 2009, EU SITCEN came under the authority of the High Representative of the European Union for Foreign Affairs and Security Policy/Vice-President of the Commission. On 1 January 2011, the EU SITCEN was transferred to the European External Action Service (EEAS). Following organisational changes in the EEAS in March 2012, the EU SITCEN was renamed into EU Intelligence Analysis Centre (EU INTCEN).

Main functions and tasks

•  Provide exclusive information that is not available overtly or provided elsewhere to the High Representative/Vice President and the PSC, based on contributions from Member States’ intelligence and security services;
•  Provide assessments and briefings and a range of products based on intelligence and open sources to the High Representative/Vice President and to the EEAS, to the various EU decision making bodies in the fields of CSFP/CSDP and CT, as well as to the Member States;
•  Act as a single entry point in the EU for classified information coming from Member States’ civilian intelligence and security services;
•  Support and assist the President of the European Council and the President of the European Commission in the exercise of their respective functions in the area of external relations.

 Sources, products and services

EU INTCEN’s analytical products are based on information provided by Member States’ security and intelligence services, open sources (media, websites, blogs etc.), diplomatic reporting, consular warden networks, international organisations, NGOs, CSDP missions and operations, EU Satellite Centre, visits and field trips.

EU INTCEN offers its customers the following products:

• Intelligence assessments: Long-term strategic papers, mainly based on intelligence.
• Intelligence reports: Follow-up of a crisis or an event, or a thematic paper focusing on a specific topic of current interest.
• Intelligence summaries: Focusing on current important events with a short intelligence based analysis.
• Threat assessments: Focusing on risks for EU personnel in a given country.

In addition to these products, EU INTCEN gives ad-hoc briefings, e.g. to the HR/VP, EU Special Representatives, various Council bodies and the European Parliament.

Structure

The EU INTCEN is a Directorate of the EEAS, reporting directly to the High Representative. It is composed of two Divisions: The Analysis Division and the General and External Relations Division.

Staff

The majority of EU INTCEN staff are EU officials and temporary agents. Furthermore a number of national experts from the security and intelligence services of the EU Member States are seconded to EU INTCEN.

Budget

The EU INTCEN does not have its own budget. All expenditure is paid from the EEAS budget. The needs for staff and budget are assessed in the same way and through the same procedures as for other EEAS departments. The EEAS budget is broken down and managed for the headquarters as a whole by nature of expenditure (e.g. staff, buildings, information and communication technologies) and not by department.

Legal basis

The EU INTCEN (EU Intelligence Analysis Centre) is the successor of the EU Situation Centre (EU SITCEN), which is mentioned in Article 4, paragraph 3, sub (a), third indent of the Council Decision (2010/427/EU) of 26 July 2010 on establishing the organisation and functioning of the European External Action Service. The reference to the EU SITCEN in the Council Decision serves as legal basis for EU INTCEN, which took over the intelligence and analytical tasks of EU SITCEN.

UPDATES (new to old)

UPDATE 2018-12-xx: Intelligence Support for EU Security Policy – Options for Enhancing the Flow of Information and Political Oversight (mirror: .pdf). Abstract: “Since 2015, security cooperation between European Union (EU) member states has progressed at an accelerated pace. For the Union’s foreign, security, and defence policy, there is the prospect that increased cooperation and enhanced arms cooperation will create more international capacity to act. As far as internal security is con­cerned, the continuing threat of terrorism is spurring the establishment of a “Euro­pean Security Union” based on an intensive exchange of information between security authorities. In the shadow of these developments is the question of the extent to which European intelligence cooperation should also be promoted. In this particularly sensitive area, no steps towards integration that would attract public attention are to be expected. However, existing approaches to intelligence support for EU security policy should be deepened and better monitored.”

UPDATE 2017-10-05: German spy officials dismiss calls to create European intelligence agency (IntelNews)

UPDATE 2017-09-13: EU intelligence agency not a priority (Nikolaj Nielsen, EU Observer)

UPDATE 2017-07-17: Counter-terrorism recommendations from 2006 declassified (Statewatch) — policy paper drafted on the basis of IntCen papers (IntCen was then known as Joint Situation Centre, or SitCen); refers to the Dutch-initiated Terrorism Work Group (TWG). Also, unrelated: a Master’s Thesis: Intelligence Effectiveness in the EU in the New Security Environment (.pdf, by Constantin-Marian Birsan, U.S. Naval Postgraduate School, December 2012) and another Master’s Thesis: The Post-9/11 European Union Counterterrorism Response: Legal-Institutional Framework (.pdf, by Bozenko Devoic, U.S. Naval Postgraduate School, December 2012).

UPDATE 2015-02-11: Secrecy reigns at the EU’s Intelligence Analysis Centre (.pdf, 2013, Statewatch) — analysis by Chris Jones / Statewatch.

UPDATE 2015-02-09: the Draft Council Conclusions on Counter-Terrorism (.pdf, Feb 6) state: “Reinforcing, within the existing parameters, the role of EU INTCEN as the hub for strategic intelligence assessment at EU level, including on counter-terrorism”. I.e., no new mandate for EU intelligence centre.

UPDATE 2013-11-05: Viviane Reding: “The NSA needs a counterweight. My [proposal is] to set up a European Intelligence Service by 2020.”

EOF

In deze eerdere post staan twintig stellingnames in het privacy- en veiligheidsdebat die in het rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron; mirror) worden bediscussieerd, en de bijhorende beleidsconsequenties van elke stellingname. Dat rapport geeft ook tien handvatten voor de balans tussen veiligheid en privacy: die vormen “de kern en de richting” van het advies. Deze handvatten kunnen worden opgevat als richtlijnen voor goed, serieus debat. Het uitgangspunt is dat alle deelnemers streven naar een open, democratische rechtsstaat.

Dat “Toon zelfbeheersing” één van de handvatten is onderschrijft m.i. de noodzaak van deze handvatten: zowel privacy als veiligheid vinden een oorsprong in de kern van ons mens-zijn, ze zijn diep in onze emotie geworteld. De handvatten zijn hoogst relevant voor het debat over de vernieuwing van de Wiv-wetgeving: in de discussie over de uitbreiding van AIVD/MIVD-bevoegdheden (ongerichte kabelgebonden SIGINT) moet worden gezocht naar realistische verwachtingen t.a.v. zowel privacy als (on)veiligheid.

Enfin, hierbij die tien handvatten, en bij elk handvat de concrete aanbevelingen van Muller, Kummeling en Bron:

1. Verketter niet Noch privacy, noch veiligheid kan ontbreken in een democratische rechtsstaat. Beide zijn nodig voor een optimale kwaliteit van de rechtsstaat. Het verketteren van hetzij de veiligheidsclaim, hetzij het privacybelang ter ondersteuning van het eigen standpunt is een zwaktebod. Privacy is niet de schuilplaats van het kwaad. Veiligheidsinstanties willen niet ten koste van de rechtsstaat de veiligheid handhaven. Wie zich op slechts één van de zijden van de balans beroept, geeft daarmee aan slechts een deelbelang na te streven en niet het algemeen belang.
2. Hemel niet op Erken dat er hoe dan ook afwegingen tussen grondrechten nodig zijn en dat er niet één grondrecht is dat hoe dan ook doorslaggevend is of een kritische succesfactor vormt voor succes. Deze afweging geldt dus ook voor privacy en veiligheid. Veiligheidsinspanningen zijn te allen tijde onderworpen aan eisen van proportionaliteit, subsidiariteit en efficiency. Privacyinbreuken kunnen gerechtvaardigd zijn wanneer aan de eisen van doelbinding en noodzakelijkheid is voldaan. Privacy noch veiligheid heeft een veto in de discussie. De ene waarde kan en mag het niet winnen van de andere.
3. Durf het eigen belang te relativeren in het belang van het evenwicht Het gegeven dat de democratische rechtsstaat bestaat bij de gratie van steeds nieuwe evenwichten tussen grondrechten, houdt in dat er steeds bereidheid moet bestaan een ander grondrecht als zwaarderwegend te erkennen bij een bepaald thema. De kwaliteit van het veiligheidsbeleid zal toenemen naarmate privacy integraal onderdeel ervan uitmaakt en vice versa. In het huidige publieke debat levert de verhouding tussen deze twee grondrechten de meeste spanning op. Je zou kunnen zeggen: privacy en veiligheid zijn tot elkaar veroordeeld. Erken deze spanning en weeg steeds beide belangen mee. Stellingen zoals ‘privacy bestaat niet meer’ doen geen recht aan het belang ervan.
4. Toon zelfbeheersing Veiligheid en privacy zijn oneindige grootheden. Er is altijd behoefte aan meer van elk van hen en daardoor dreigt dat de hoeders van deze belangen zich structureel tekortgedaan voelen. Wij gaan er hier vanuit dat er een balans moet bestaan tussen privacy en veiligheid. Dat betekent dat er niet gestreefd kan worden naar de maximale realisatie van veiligheid of privacy. Dat veronderstelt echter zelfbeheersing van de organisaties die zich primair met privacy of met veiligheid bezighouden. Streven naar maximalisatie van een van beide is ongewenst omdat daarmee het geheel van de balans in gevaar komt.
5. Betrek beide thema’s in het debat Wanneer voorstellen worden gedaan met betrekking tot of rakend aan privacy of veiligheid, betrek daarin dan steeds het ‘andere’ belang. Neem een veiligheidsparagraaf op in rapportages, voorstellen en speeches over privacy (zijn of lijken er risico’s te zijn voor optimalisering van veiligheid en welke oplossingen zijn daarvoor) en neem evenzo een privacyparagraaf op in veiligheidsvoorstellen (welke consequenties zijn of lijken er te zijn voor privacy en welke oplossingen zijn daarvoor).
6. Benadruk het nastreven van een gemeenschappelijk doel Zowel privacy als veiligheid streeft uiteindelijk een gemeenschappelijk doel na, dat onder verschillende noemers te vatten is: vrijheid, de democratische rechtsstaat, vertrouwen. Dit doel overkoepelt het specifieke belang van de veiligheidsmaatregel of de privacymaatregel. Een geloofwaardige overheid die vertrouwen geniet van burgers ontwikkelt dat vertrouwen door veiligheid en privacybescherming optimaal na te streven zodat maximale vrijheid voor de burger ontstaat. Dit is maximale vrijheid van inbreuken zoals dreiging van criminaliteit en terrorisme én maximale vrijheid van overheidsinmenging.
7. Definieer burgerschap in termen van privacy en veiligheid In het huidige publieke debat heeft privacy de naam van een belang dat alleen wordt nagestreefd door hen die iets te verbergen hebben. Burgers die zich aan de wet houden, zouden niets te verbergen hebben en (dus) ook geen privacy willen. Deze tegenstelling is misleidend. Wie privacy wil heeft immers niet per se iets te verbergen, maar claimt het legitieme recht om met rust gelaten te worden. Goed burgerschap uit zich juist door het nastreven van zowel veiligheid als het hooghouden van privacy. Dat veronderstelt wel dat zowel voor burgers als voor operationele diensten meer kennis beschikbaar moet zijn over de verschillende aspecten van privacy en de waarde daarvan. Voorlichting dient daarvoor een nadere invulling te krijgen.
8. Durf elkaars ambassadeur te zijn Voor de kwaliteit van het publieke debat zou het goed zijn wanneer erkende nastrevers van één van beide belangen zich uit gaan spreken voor het andere belang: de voorzitter van het CBP die een lans breekt voor veiligheidsmaatregelen en een hoofdcommissaris die zich inzet voor privacybescherming. Natuurlijk met respect voor wettelijke taken en bevoegdheden waar men aan gebonden is. Maar een dergelijke positionering voorkomt dat de schroom om in veiligheidsdebatten het privacybelang naar voren te brengen (en andersom) afneemt. Dit veronderstelt aan beide kanten voldoende kennis en inzichten in elkaars handelen en functioneren.
9. Voorkom polarisatie Op de vertegenwoordigers van het veiligheidsveld en het privacyveld rust een dure plicht om (verdere) polarisatie tussen deze thema’s te voorkomen. Dat betekent onder meer, naast het vermijden van verketteren van de ander en het ophemelen van het eigen belang: houd geen polls meer over de afweging tussen veiligheid en privacy, het gaat immers niet om óf/óf, maar én/én. Dat betekent tevens dat bij incidenten op het terrein van veiligheid en privacy niet eenvoudig het belang van een van beide waarden moet worden benadrukt.
10. Terrorisme is niet de maat Discussies over privacy en veiligheid verzanden al heel snel in debatten over terrorismebestrijding en de (valse) afweging tussen catastrofaal terrorisme en het verbod op het koppelen van bestanden. Erken dat terrorisme een uitzonderlijk fenomeen is dat uitzonderlijke maatregelen vergt, maar erken daarnaast dat terrorismebestrijding niet de maat is waarlangs de kwaliteit van de democratische rechtsstaat en het belang van privacy worden afgemeten.

EOF

UPDATE 2014-01-09: nieuwe post toegevoegd met de tien handvatten voor het balanceren van veiligheid en privacy.

In 2007 verscheen het rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron; mirror), waarbij het CBP een speciale conferentie organiseerde. Het rapport bevat een discussie van tien stellingen vanuit het privacyperspectief en tien stellingen vanuit het veiligheidsperspectief.

De stellingen zijn (bijvoorbeeld) handig ter inspiratie en raadpleging voor het debat over vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten van 2002 (Wiv2002). Eén van de auteurs, E.R. Muller, is trouwens ook lid van de cie-Dessens die de Wiv2002 in het afgelopen jaar heeft geëvalueerd. Om die reden citeer ik hieronder alle stellingen, en bij elk van de stellingen de consequenties die de stelling heeft voor veiligheid en veiligheidsbeleid (voor de stellingen vanuit privacyperspectief) of voor privacy en privacybeleid (voor de stellingen vanuit veiligheidsperspectief).

Deze stellingnames zijn onder meer relevant in het toezichtsvraagstuk. Ter herinnering: is de status quo is dat het toezicht op SIGINT faalt.

De roodgemarkeerde delen acht ik persoonlijk het meest relevant voor het debat over de Wiv-vernieuwing, specifiek: de wettelijke inkadering van de hackbevoegdheid (Art. 24 Wiv2002), de afluisterbevoegdheid (Art.25 Wiv2002) en de SIGINT-bevoegdheden (Art.26/27 Wiv2002).

Stellingen P1 t/m P10 zijn vanuit het privacyperspectief, stellingen V1 t/m V10 zijn vanuit het veiligheidsperspectief.

In een volgende post volgen de tien handvatten die Muller, Kummeling en Bron in hun rapport geven voor de balans tussen veiligheid en privacy.

Het privacyperspectief

P1. Privacy is een basisvoorwaarde voor het functioneren van een democratische rechtsstaat

Consequenties voor veiligheid en veiligheidsbeleid:
– In het kader van de zoektocht naar de balans tussen privacy en veiligheid dient de privacy net zo’n dominant perspectief als veiligheid te zijn omdat dit de beste garantie biedt op een discussie met respect voor behoud van noodzakelijke vrijheden.
– Anders dan sommige politici beweren gaat veiligheid niet per se boven privacy. Het benadrukken van het belang van privacy is het benadrukken van vertrouwen in de rechtsstaat.

P2. Privacy en veiligheid zijn keerzijden van dezelfde medaille

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij veiligheidsbevorderende maatregelen dient beseft te worden dat de maatregelen op zichzelf kunnen aantasten wat zij beogen te beschermen.
– Vrijheid is een meerduidig begrip en betekent niet alleen ‘afwezigheid van terrorisme’. Inbreuken op vrijheden dienen zo gering mogelijk te zijn, vanuit welk perspectief ook bekeken.

P3. Privacy blijft, want privacybesef en -behoefte zijn diepgeworteld in de samenleving

Consequenties voor veiligheid en veiligheidsbeleid:
– Het beroep op de publieke opinie (‘de burgers willen het’) legitimeert niet in algemene zin privacybeperkende maatregelen.
– Pas na een uitvoerig publiek (parlementair) debat, waarna burgers daadwerkelijk geïnformeerd kunnen zijn over de inhoud van bepaalde maatregelen en na daadwerkelijke, verantwoorde, raadpleging van burgers kan de stelling worden betrokken ‘dat het volk het wil’.
– Helderheid over de omvang van privacybeperking is nodig: in voorstellen wordt wel benadrukt wat men ‘wint’ (veiligheid) maar niet wat men ‘verliest’ (vrijheid). Er dient aandacht te komen voor het gegeven dat wat de samenleving als geheel verliest, misschien groter is dan wat de samenleving wint.

P4. Bij discussies over privacy en veiligheid is nuancering noodzakelijk

Consequenties voor veiligheid en veiligheidsbeleid:
– Privacy is niet lastiger te definiëren dan andere grondrechten en is net als andere grondrechten onderwerp van afwegingen.
– De veiligheidsclaim verdient nuancering: niet elke veiligheidsbehoefte vergt vergaande inbreuken op het grondrecht privacy.

P5. Uitgangspunt bij het denken over privacy in Nederland dient niet zozeer de Grondwet te zijn, als wel het EVRM

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij de motivering van privacybeperkende maatregelen zal sterker gelet moeten worden op proportionaliteit en subsidiariteit. Daarbij gaat het er niet alleen om dat een grotere dreiging een zwaarder ingrijpen rechtvaardigt, maar ook dat een zwaarder ingrijpen een steviger motivering en meer waarborgen vereist.
– Gelet op het primaat van de vrijheid zal op degenen die inbreuken willen maken op de vrijheid omwille van de veiligheid de bewijslast van de noodzaak daartoe moeten liggen.

P6. De nuchtere noodzakelijke afweging van belangen, i.h.b. de proportionaliteit, staat te zeer onder de invloed van de dreiging van terrorisme

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij privacybeperkende maatregelen, zouden beperkte strekking, tijdelijkheid en evaluatie steeds het uitgangspunt moeten zijn
– De vaststelling van de proportionaliteit en subsidiariteit van inbreuken is geen taak voor inlichtingen- en veiligheidsdiensten. Zij vragen om een diepgaand publiek (politie, parlementair) debat.

P7. De huidige (informationele) privacybescherming staat niet in de weg aan een effectieve bestrijding van terrorisme

Consequenties voor veiligheid en veiligheidsbeleid:
– Er kan niet op voorhand worden gesteld dat uitbreiding van bevoegdheden met betrekking tot de garing en verwerking van gegevens nodig is: de wet biedt al voldoende mogelijkheden.
– Met het oprekken van bestaande wetgeving in de praktijk moet worden opgepast. Het inzetten van AIVD-informatie in het strafrecht is een voorbeeld van een grens die bereikt wordt, immers voor het verzamelen van AIVD-informatie is geen redelijk vermoeden van schuld nodig.
– Juist omdat er zoveel mogelijk is, zal de gegevensverwerking transparant en controleerbaar moeten zijn en daarvoor zijn vele verbeteringen mogelijk. Zie ook stelling 8.

P8. Privacybeperkende maatregelen en technieken hebben onvermijdelijk ongewenste neveneffecten

Consequenties voor veiligheid en veiligheidsbeleid:
– De huidige veiligheidspolitiek kent een aantal ongewenste neveneffecten, die deels kunnen worden voorkomen door de balans met privacy te zoeken.
– Veiligheidsbeleid dreigt te worden gebaseerd op verouderde gegevens en kan verregaande consequenties voor onschuldige burgers hebben.
– Veiligheidsbeleid wordt zwaar belast door de noodzaak nieuw verkregen informatie te onderzoeken. De focus op het kernprobleem dreigt daardoor verloren te gaan.
– Er zal verschuiving van criminaliteit plaatsvinden die erop gericht is toegang te krijgen tot de over het individu opgeslagen informatie.

P9. De extra complexiteit van de bescherming van de informationele privacy vereist dat er ruim baan wordt gegeven voor de onafhankelijke toezichthouder, het CBP

Consequenties voor veiligheid en veiligheidsbeleid:
– Gelet op het belang van grondrechten voor de democratische samenleving (stelling 1) en het feit dat privacy en veiligheid de keerzijden van dezelfde medaille vormen (stelling 2) dient het CBP in een zo vroeg mogelijk stadium van het wetgevingsproces te worden ingeschakeld en dient het ruim baan te krijgen voor het weergeven van standpunten in het politieke en publieke debat.

P10. Het probleem is niet de noodzaak tot extra informatie, maar de onmogelijkheid om de reeds beschikbare info op een zinvolle wijze te gebruiken

Consequenties voor veiligheid en veiligheidsbeleid:
– Veiligheidsinstanties dienen bereid te zijn de kwaliteit van hun eigen interne organisatie en de mogelijkheden van verbetering daarin te betrekken bij de afweging of extra bevoegdheden noodzakelijk zijn.

Het veiligheidsperspectief

V1. Veiligheid blijft

Consequenties voor privacy en privacybeleid:
– Veiligheid zal een van de belangrijkste zorgen van de burgers blijven. Veiligheid zal nooit volledig zijn.
– Subjectieve onveiligheid is dominant zichtbaar in het dagelijks leven van burgers. Subjectieve privacyschending is net zo actueel, maar wordt niet direct gevoeld.
– Privacy zal ook komende jaren onder druk blijven staan door constante en intensieve aandacht voor veiligheid. Privacy vormt geen grote zorg voor de burgers. Privacybeperkingen ten behoeve van veiligheid worden door burgers niet zichtbaar als ernstig ervaren. Individuele burgers worden zelf nauwelijks direct geconfronteerd met ongewenste beperkingen van privacy.

V2. Veiligheid wordt breder en integraler

Consequenties voor privacy en privacybeleid:
– Privacy staat niet alleen in relatie tot sociale veiligheid maar ook in relatie tot fysieke veiligheid. Fysieke veiligheidsrisico’s en privacyschendingen zijn geen onderwerp van discussie.
– Een breed concept veiligheid zal meer intensief koppelen van informatie betekenen en dus verzamelen, analyseren en verspreiden van meer informatie. De toegankelijkheid van alle verzamelde informatie wordt intensiever en gaat over de grenzen van sectoren heen. De rol van informatieverzamelaars en beheerders van bestanden wordt steeds crucialer.

V3. Veiligheid is informatie en technologie

Consequenties voor privacy en privacybeleid:
– Informatie is macht in het veiligheidsbeleid. De grote rol van informatie binnen veiligheidsbeleid maakt privacy cruciaal.
– Subjectiviteit van onveiligheid is cruciaal, datzelfde kan gesteld worden ten aanzien van de subjectiviteit van privacyschendingen. De relatie tussen mediaberichtgeving en privacy is cruciaal voor de beeldvorming van privacybeleid. Er is te weinig bekend bij media en burgers over privacy en privacyschendingen en er is geen privacymonitor in de veiligheidssector.
– De mogelijkheden voor rechtsbescherming tegen privacyschendingen zijn moeizaam en beperkt. Het CBP heeft het officiële monopolie op privacybescherming; andere (overheids) instanties voelen zich daardoor niet verantwoordelijk en particuliere instanties spelen geen of een beperkte rol.

V4. Veiligheidszorg is management van verwachtingen

Consequenties voor privacy en privacybeleid:
– Privacy is ook management van verwachtingen; privacybeleid doet niets aan management van verwachtingen. Er is geen goed zicht op de feitelijke verwachtingen van burgers ten aanzien van privacy.
– Politici, politie en justitie doen onjuiste uitspraken over privacy en veiligheid. Er bestaat te weinig kennis bij deze groepen over precieze mogelijkheden en echte beperkingen. Politici die aangeven dat niet iedere privacybescherming moet worden opgegeven in de strijd voor veiligheid zijn schaars.
– Er is geen gedeeld beeld van een acceptabel privacyniveau bij welke dreiging van veiligheid, zowel op micro- als op macroniveau. Er is geen gedeeld beeld van privacyrisico’s bij burgers, bedrijven, politiek, bestuur en ambtenaren.

V5. Veiligheidszorg is big business

Consequenties voor privacy en privacybeleid:
– Financiële belangen maken dat het bon ton is om je af te zetten tegen privacy. Privacy kost velen geld; het streven is dure privacy te minimaliseren. Aan privacybescherming is geen geld te verdienen: privacy is very small business. Weinigen zijn financieel afhankelijk van privacybescherming.
– Er is geen concurrentie tussen privacybeschermers; er is een monopolie.
– Veiligheid is een product; onduidelijk is of dat ook van privacy gezegd kan worden.

V6. Veiligheidszorg betekent steeds meer en verdergaande bevoegdheden voor veiligheidsorganisaties

Consequenties voor privacy en privacybeleid:
– De groei van bevoegdheden in het kader van veiligheidsbeleid zal doorgaan evenals de roep om beperking van privacy.
– In de praktijk bestaat er een grondrecht op veiligheid. Het formele grondrecht op privacy vinden burgers minder belangrijk dan het feitelijke grondrecht op veiligheid.
– Er is weinig onderzoek naar de effectiviteit van de ‘veiligheidsbevorderende’ bevoegdheden alsmede naar het werkelijke effect van meer bevoegdheden op de privacy.
– Er is geen ondergrens gedefinieerd van privacybescherming bij stijgende onveiligheid. De mogelijkheden van tijdelijke privacybeperkingen zijn niet goed in beeld gebracht.

V7. Veiligheidszorg is een brede verantwoordelijkheid

Consequenties voor privacy en privacybeleid:
– Bij privacybescherming past ook geen overheidsmonopolie. Burgers en bedrijven moeten een eigen verantwoordelijkheid hebben ten aanzien van privacybescherming zodat privacybescherming – net als veiligheid – een brede verantwoordelijkheid voor velen wordt.
– Privacybescherming wordt te veel extern opgelegd en is te weinig een eigen norm.
– Er wordt te weinig aandacht besteed aan en er zijn te weinig voorzieningen voor de preventie van privacyschendingen. Organisaties kunnen maar beperkt advies vragen hoe verantwoord om te gaan met privacy in relatie tot veiligheid.

V8. Veiligheidszorg is lokaal en internationaal

Consequenties voor privacy en privacybeleid:
– Privacybescherming is net als veiligheidsbeleid niet alleen lokaal en nationaal maar ook internationaal. Privacynormen zouden een meer internationaal karakter moeten hebben.
– Er is te weinig inzicht in de wijze waarop de relatie privacy en veiligheid in andere landen vorm is gegeven en er bestaat te weinig beeld over de verschillen en overeenkomsten in de waarde die aan privacy wordt gehecht in de verschillende landen; het ontbreekt aan een helder vergelijkende studie.
– De bestaande internationale instrumenten, zoals OESO-richtlijnen, Verdrag van Straatsburg, EU-richtlijnen, zijn vooral gericht op het faciliteren van gegevensuitwisseling in het kader van economisch verkeer of het toezicht op het vreemdelingenverkeer (Schengen-SIS). De relatie veiligheid en privacy is op internationaal niveau nog onvoldoende doordacht.

V9. Nederlands veiligheidsbestel is onvolkomen

Consequenties voor privacy en privacybeleid:
– Veranderingen in het veiligheidsbestel hebben consequenties voor de privacybescherming. De complexiteit van de samenwerking stelt specifieke eisen aan de privacybescherming. Het veiligheidsbestel moet aansluiting zoeken bij het privacybestel.
– Privacybescherming speelt ten onrechte geen rol in het debat over het veiligheids- en politiebestel.
– Privacybescherming moet zich ook richten op andere organisaties in de veiligheidsketen en op de verschillende fasen in de veiligheidsketen.

V10. Veiligheid en veiligheidszorg zijn cruciale indicatoren voor de kwaliteit van een samenleving

Consequenties voor privacy en privacybeleid:
– Privacy en privacybeleid zijn tevens cruciale indicatoren voor de kwaliteit van een samenleving.
– Er bestaat een balans tussen het belang van veiligheid en van privacy afhankelijk van de specifieke situatie en tijdstip.
– Er is behoefte aan een algemene privacyindicator waarmee wordt aangegeven welke activiteiten worden verricht om de privacy te realiseren.

EOF

On Wednesday November 27th 2013 at SPUI25 in Amsterdam, a symposium took place entitled “NSA: vadertje staat, beschermt u wel?” (English: “NSA: the friendly govt that protects you?”). These were the speakers:

• Simon Davies (privacy advocate, founder of Privacy International, guest at the University of Amsterdam until April 2014);
• Marieke de Goede (Professor of Politics at the University of Amsterdam);
• Christiaan Alberdingk Thijm (lawyer, founding partner of bureau Brandeis);
• Nico van Eijk (Professor of Media and Telecommunications Law at the University of Amsterdam).

I could not attend the symposium myself, but fortunately Jeroen van der Ham was kind enough to keep notes, and to let me publish those. One of the more remarkable paragraphs:

Simon [Davies] calls for aggressive action, civil disobedience, to destroy the infrastructure that makes this possible. We have moved beyond institutional solutions, and harder measures are required.

Here are Jeroen’s full notes:

The evening takes place in a packed SPUI25 in Amsterdam, with many young interested law students, and other curious attendees. After a brief introduction by prof. Nico van Eijk, Simon Davies takes the stages and enlightens us on how we got here.In 1976 it all started in a hotelroom in the famous hotel of Watergate. The Church commission investigated the approach of the NSA and concluded that the NSA was engaged in unlawful activities, and oversight was lacking. There was little public outcry when it became clear that the NSA would stop spying on American citizens.

In 1982 the novel The Puzzle Palace was published detailing many of the goings on inside the NSA. Again there was almost no outcry. In 1988 The New Statesman published a column describing the existence of the ECHELON program. December 1997, Simon Davies (finally) published the column “Spies like US”, which warns about the extent of the ECHELON program in Europe. This finally lead to a EU report in 2001, published just before the summer break, which was consequently largely ignored. Summarizing, there has been almost no political or journalistic covering of these affairs, until now. Snowden embodies two important pillars on which a strong journalistic covering of the NSA affair can be built:

1. Snowden is an interesting `dramatis persona`, his past and future are very much unclear, and his present is the stuff of spy novels.
2. The media very much owns this story. Snowden has worked with journalists who know own the files, and there is nothing that prevents this story from coming out further, or to be questioned.

This is very much in contrast with the revelations published by the Observer based on interviews with Wayne Madsen. A crafted barrage of critique on the person and the source made the Observer pull the story, just a day after it published it on its front page.

Simon concludes that the world has changed. In 1976 the intelligence agencies were like angels/demons who would sweep in on the world to grab bits and pieces of intelligence. In 2001 this changed into large silos of data that the agencies sifted through, yet there was no exchange of data on a large scale.

Now in 2013 the world is enveloped in a large matrix of surveillance, with frequent exchange of information between almost all intelligence agencies.

Simon calls for aggressive action, civil disobedience, to destroy the infrastructure that makes this possible. We have moved beyond institutional solutions, and harder measures are required.

Marieke de Goede draws a parallel with the Terrorism Financing Tracking Program (TFTP) which was revealed in 2006 when it became clear that SWIFT was secretly sharing all finance information with the US intelligence agencies.

In the US the public outcry over this died down quickly when it became clear that most US citizens were not affected, only if they transferred money to foreigners.

Marieke argues that there are three important points in these kind of stories:

1. Shoot the messenger: the source is attacked as much as possible, be it the newspaper, the leaker, etc. This was obvious in the Snowden affaire. 
2. Focus on Analystics: Where is the data collected from and what is it used for. In PRISM and SYNAPSE it became clear that the NSA is “pulling an intelligence string” where they take one piece of intelligence and try to use their haystack to discover relations to others.
3. What can the concept of ‘Privacy’ do? After the TFTP affair the EU fought for a new agreement with the US regarding the financial transaction data.

It has now become clear that in practice the oversight has become effectively worthless. Finally Marieke points to an overview article by Bigo et al [0].

Just before the panel discussion Christiaan Alberdingk Thijm provides a summary of the lawsuit against the Dutch government. They wanted to litigate the NSA, but it is more realistic to target the AIVD/MIVD. They are targeting the exchange program the AIVD and MIVD have with the NSA where they receive illegally obtained intelligence. Their defense is that it is not common for agencies to ask where data comes from, meaning that agencies may obtain & use intelligence that was not collected in accordance with the rule of law [1].

In the suit they are asking that this exchange of illegally obtained information is stopped, any data gathered in this way is deleted, and to allow citizens inquiry into whether they were wiretapped. If the AIVD and MIVD are unsure about where data comes from, that they do not use it.

The panel discussion starts with an addition by Simon Davies saying that the whole matrix is the result of political risk aversion. The matrix may not be the best metaphor, Simon would welcome better suggestions.

He suggests that we look to technology to evade detection, and perhaps even go on the offensive to create uncertainty in surveillance. I remark that the technology activists are saying that technology (encryption) only postpones the problem, it does not eliminate it. We need a more widespread attack on this problem.

Oversight is probably not a solution. The FISA court has already shown to be virtually worthless, and the hard-fought arrangements regarding SWIFT are also practically useless since the NSA can either not provide an answer, or someone is a “nexus of terrorism”, in which case they will not answer either.

Even worse, the existence of these kind of arrangements can be seen as legitimization of the data collection!

It is pointed out that we are dealing with an international problem, with differing national laws. Christiaan also points to similar cases where the European Court decided that national security is not an end-all argument, e.g. the Klass case [2].

The question raises whether ‘terrorism’ is just an excuse, to which Simon answers that it is, but were it not for terrorism, then some other excuse would be found.

It was an interesting and lively debate, with unfortunately a slightly depressing outcome.

[0] http://www.ceps.eu/book/mass-surveillance-personal-data-eu-member-states-and-its-compatibility-eu-law
[1] https://www.aivd.nl/algemene-onderdelen/serviceblok/veelgestelde-vragen/#WaaromgebruiktdeAIVDinformatievanbuitenlandsedienstendiemisschiennietopeennettemanierisverkregen
[2] http://hub.coe.int/c/document_library/get_file?uuid=ec21d8f2-46a9-4c6e-8184-dffd9d3e3e6b&groupId=10227

EOF