UPDATE 2016-05-04: de lijst van updates/actualiteiten is naar de bodem verplaatst.

In voetnoot 257 van het Dessens-rapport (.pdf, zie p.133) staat het volgende over tapstatistieken van de AIVD/MIVD (vetgedrukte markering is van mij):

In 2010 heeft de Minister van BZK dergelijke gegevens verstrekt over de inzet van telefoontaps door de AIVD en de MIVD (Kamerstukken II 2009/10, 30 517, nr. 21) nadat de Tweede Kamer in een motie daarom gevraagd had. De Minister heeft dit soort verzoeken sindsdien geweigerd met als argument dat meerjaarlijkse gegevens teveel inzicht zouden geven in de werkwijze van de diensten. De CTIVD heeft onlangs geconstateerd dat ‘van een aanmerkelijke kans op schade aan de nationale veiligheid’ geen sprake is als er een meerjaarlijks overzicht van de tapstatistieken van de AIVD beschikbaar zou zijn (toezichtrapport 33, (2012), blz. 27).

Openheid in de vorm van (meerjarige) statistieken over inzet van bijzondere bevoegdheden, zoals het huidige Artikel 25 (afluisteren), maar liefst ook Artikel 24 (hackbevoegdheid) en Artikel 27 (SIGINT-selectie), is betekenisvolle transparantie: het stelt de samenleving en de (volledige) Tweede Kamer (i.p.v. alleen de besloten Commissie IVD aka ‘Commissie Stiekem’ die thans uit fractievoorzitters bestaat) in staat om, naast het rechtmatigheidstoezicht van de CTIVD, een vinger aan de pols te houden van de omvang van de activiteiten van de IVD’s. De cie-Dessens stelt terecht het volgende (p.133):

Een zo groot mogelijke mate van transparantie draagt bij aan maatschappelijk vertrouwen en draagvlak voor het werk van de diensten. Tegelijkertijd draagt transparantie bij aan de waarborging van grondrechten. Overheidsorganen moeten zich openstellen voor daadwerkelijke publieke controle. Dit is bijvoorbeeld mogelijk door meer actieve openbaarmaking van gegevens die in het verleden door de diensten zijn verwerkt. De transparantie kan ook bevorderd worden door royaler cijfermatige informatie te verstrekken over de activiteiten van de diensten.

Openheid over (de omvang van) inzet van de hack- en SIGINT-bevoegdheden zal geen eenvoudig vraagstuk zijn, net zo min als het vraagstuk over tapstatistieken, maar het lijkt me wenselijk dat ook dáárover wordt nagedacht. Waar in redelijkheid niet kan worden gesproken van `aanmerkelijke kans op schade aan de nationale veiligheid’, past het openheid te overwegen. Zeker gezien de vervagende grens tussen inlichtingen- en opsporingsdiensten en gezien de verwachte uitbreiding van de SIGINT-bevoegdheid naar kabelgebonden communicatie.

Hieronder citeer ik enkele relevante paragrafen van pagina 20 en verder uit CTIVD-toezichtsrapport 33 – De rubricering van staatsgeheimen door de AIVD (.pdf, 2012), waar in Dessens’ voetnoot 257 aan wordt gerefereerd, over de interne rubriceringsvoorschriften van de AIVD (hyperlinks en tekst in [] zijn van mij):

In het [beveiligingsplan van de AIVD] wordt de AIVD gekenmerkt als een “staatsgeheimenfabriek” waarin wordt gewerkt met “(veelal) staatsgeheime productiemiddelen (medewerkers, bronnen, hulpmiddelen en methodieken)” en waarbij “(veelal) staatsgeheime halffabrikaten en eindproducten (informatie)” worden vervaardigd. Gelet op de enorme hoeveelheid gerubriceerde documenten die de AIVD op jaarbasis produceert, kan de Commissie niet anders dan deze typering onderschrijven.Het beleidsdocument stelt het volgende:

“(…) inbreuken op de vertrouwelijkheid of veiligheid tasten de slagkracht, effectiviteit en geloofwaardigheid van de dienst aan omdat:

• bronnen, medewerkers en relaties fysieke, geestelijke of maatschappelijke schade oplopen;
• vertrouwelijke informatie wordt gecompromitteerd;
• lopende onderzoeken gefrustreerd worden;
• interstatelijke betrekkingen, politieke verhoudingen, opsporings- en vervolgingsbelangen, de privacy van individuen geschaad of verstoord worden;
• het imago van en het zorgvuldig opgebouwde vertrouwen in de AIVD aangetast worden;
• de voorbeeldfunctie van de dienst waar het gaat om veiligheid en vertrouwelijkheid niet waargemaakt wordt;
• zij een negatieve invloed hebben op de bereidheid van bronnen en relaties om samen te werken met of informatie te verstrekken aan de AIVD.“

De voornoemde redenen zijn niet in alle gevallen op zichzelf voldoende om informatie staatsgeheim te rubriceren maar geven de ongewenste gevolgen aan van een inbreuk op de vertrouwelijkheid of veiligheid. Het belang van een degelijk beveiligingsbeleid van de AIVD wordt hiermee onderstreept.

[…]

In het beveiligingsplan is het volgende opgenomen ten aanzien van staatsgeheimen bij de AIVD.

“Staatsgeheimen bij de dienst betreffen de volgende categorieën. Gegevens:

• die zicht bieden op het actuele kennisniveau van de dienst. Hieronder wordt begrepen het enkele gegeven of een persoon of organisatie al dan niet bekend is bij de dienst;
• waaruit niet open bronnen kunnen worden afgeleid;
• waaruit een niet algemeen bekende werkwijze van de dienst kan worden afgeleid;
• aangaande de identiteit van medewerkers;
• die betrekking hebben op de beveiliging van het gebouw en de inrichting van de dienst.”

[…]

Naar aanleiding van een aangenomen motie in de Tweede Kamer is het totale aantal ingezette taps (artikel 25 Wiv 2002) in 2009 openbaar gemaakt [Voetnoot 80: Kamerstukken II 2009/10, 30 517, nr. 21: “In totaal zijn er ex art. 25 Wiv 2002 in 2009 1.078 taps geplaatst door de AIVD en 53 door de MIVD”]. Deze informatie werd tot dat moment door de AIVD als staatsgeheime informatie aangemerkt. In navolging van het openbaar worden van deze informatie heeft de AIVD een inzageverzoek ontvangen waarin werd gevraagd om inzage in de tapstatistieken van meerdere jaren. Inzage werd door de AIVD geweigerd met als redengeving dat deze informatie zicht biedt op de modus operandi van de AIVD. De Commissie is van oordeel dat een meerjaarlijks overzicht van de tapstatistieken niet als staatsgeheime informatie kan worden aangemerkt. Aangezien enkel inzage werd gevraagd in de totale hoeveelheid taps zal het voor een derde niet inzichtelijk zijn door welke factoren deze hoeveelheid wordt beïnvloed of op welke wijze het totale aantal taps is belegd binnen de AIVD. Indien het aantal taps in een bepaald jaar hoger is dan het jaar daarvoor kan dit velerlei oorzaken hebben, waarover een buitenstaander weliswaar vermoedens kan hebben maar waarover hij geen duidelijkheid kan verkrijgen. De Commissie wijst in dit verband op veranderende onderzoeksprioriteiten, nieuwe opgekomen onderzoeksonderwerpen, capacitaire beperkingen of de subsidiaire toepassing van andere (bijzondere) bevoegdheden. Zelfs indien het totaal aantal taps gelijk is gebleven sluit dit uit dat hieraan een significant andere interne verdeling ten grondslag ligt, zowel wat betreft het type tap als het onderzoeksgebied. Het is de vraag wat de schade voor de nationale veiligheid zou kunnen zijn indien wordt overgegaan tot de openbaarmaking van de desbetreffende gegevens. De nationale veiligheid zal met name kunnen worden geschaad indien personen of organisaties die de AIVD onderzoekt, door kennisneming van de werkwijze van de dienst, het gedrag hierop kunnen aanpassen waardoor de AIVD minder goed in staat zal zijn om zijn wettelijke taak te vervullen. [Voetnoot 81: Zie bijv. Kamerstukken II 1997/98, 25 877, nr. 3, p. 68; Kamerstukken II 1999/2000, 25 877, nr. 8, p. 122.] Behoudens de situatie dat bekend wordt dat de AIVD (bijna) geen taps inzet, acht de Commissie het niet waarschijnlijk dat een persoon of organisatie op basis van de enkele wetenschap van het totale aantal taps zijn gedrag hierop kan aanpassen, anders dan door het besluit te nemen om niet langer gebruik te maken van enig telecommunicatiemiddel. Van een aanmerkelijke kans op schade aan de nationale veiligheid is hier dus geen sprake.

De CTIVD geeft in datzelfde rapport op (genummerde) pagina 7 het volgende overzicht van rubriceringsgrondslagen:

De grondslagen voor rubricering zijn nader gedefinieerd in de bijlage “Toelichting op de artikelen VIRBI 2013” van het VIRBI.

Er worden bij “nationale veiligheid” zes belangen onderkend (bron: begrippenlijst ministerie van J&V):

UPDATES (van recent naar oud)

UPDATE 2016-05-04: Bits of Freedom bericht dat de bestuursrechter in hun hoger beroep heeft uitgesproken dat de minister de AIVD-tapstatistieken niet mag geheimhouden zonder uitleg te geven voor die geheimhouding. Dus: openbaarmaken of fatsoenlijk motiveren waarom dat niet kan (terwijl dat in andere landen zoals België en Duitsland al jarenlang wel gebeurt). Bits of Freedom heeft de minister twee jaar geleden gevraagd die statistieken openbaar te maken. (Zoals daarvóór en daarná ook anderen dat hebben gedaan, waaronder Reporter Radio.)

UPDATE 2016-01-29: …en de minister zegt in reactie op kamervragen dat ie, conform de uitspraak van de RvS, een nieuw besluit zal nemen.

UPDATE 2016-01-13: Minister moet geheimhouding statistieken taps AIVD beter motiveren (Nu.nl) – berichtgeving over de uitspraak van de Raad van State in het hoger beroep van de zaak van de journalist van Reporter Radio.

UPDATE 2015-08-29: op 2 juli 2015 heeft het kabinet het Wiv-wetsvoorstel in consultatie gebracht; zie hier een (lange en Engelstalige) post met enkele details over dat voorstel. Joris van Hoboken en ik hebben gezamenlijk een reactie ingestuurd op de consultatie, waarin ook een oproep om cijfermatige transparantie is opgenomen. Er zijn in totaal 557 openbare reacties; zie hier een selectie daaruit. De CTIVD laat in haar jaarverslag 2014-2015, dat verscheen vóór de consultatie, ook (opnieuw) blijken voorstander te zijn van cijfermatige transparantie.

UPDATE 2014-12-10: het is onder Artikel 85 Wiv2002 verboden voor aanbieders van telecommunicatie statistieken te publiceren over tapverzoeken.

UPDATE 2014-10-23: in de rechtszaak van Reporter Radio tegen de AIVD heeft de Haagse rechter geoordeeld, deels op basis van vertrouwelijke stukken, dat de AIVD tapstatistieken niet openbaar hoeft te maken. Het oordeel luidt als volgt:

UPDATE 2014-10-08: @MauritsMartijn schrijft op de Correspondent: Waarom wil Plasterk niet vertellen hoe vaak zijn geheime dienst afluistert?

UPDATE 2014-10-07: betekenisvol toeval: de CTIVD heeft vandaag rapport 40 (.pdf) gepubliceerd en noemde daarin oorspronkelijk statistieken t.a.v. inzet door AIVD van Art.25/Art.27 Wiv2002, maar die statistieken zijn door de Minister van BZK gecensureerd. Overigens is censuur in het publieke deel van een CTIVD-rapport niet uniek: ook in eerdere CTIVD-rapporten is het wel eens voorgekomen dat markeringen zijn aangebracht, bijvoorbeeld in CTIVD-rapport 26 inzake de d-taak van de AIVD (inlichtingentaak buitenland).

UPDATE 2014-10-06: zich baserend op de hieronder vetgemarkeerde opmerking van de CTIVD eist Reporter Radio a.s. donderdag bij de rechter in Den Haag openbaarmaking van alle AIVD-tapstatistieken over de jaren 2002-2008 en 2010-2012 (over 2009 waren reeds statistieken openbaar).

EOF

UPDATE 2017-09-13: further updates/additions moved to the bottom.

UPDATE 2015-02-05: new EU Factsheet on EU Intelligence Analysis Center (IntCen).

On November 27th 2013, the Dutch cabinet responded (in Dutch) to parliamentary questions about EU IntCen. The response is only available in Dutch; here is my English translation.

1 Are you familiar with the European FOIA request to the European External Action Service (EEAS) for information about the secret European EU Intelligence Analysis Centre (Intcen) service?

Yes.

2 Is it true that Member States voluntarily transmit intelligence to IntCen, and what is the nature of this intelligence?

Yes. Expatriate staff of civilian intelligence and security services of several EU Member States are deployed as analysts together with European officials in the EU Intelligence Centre (IntCen). The IntCen was established to make strategic analyses on the basis of intelligence of the various Member States, with the purpose of common foreign and security policy, and on the area of counter-terrorism.
IntCen is not an intelligence service, does not have special powers and therefore does not carry out intelligence gathering itself. IntCen also does not process personal data, it focuses solely on strategic analyses.
The contributions from the Member States are provided on a voluntary basis. The IntCen sends questions (requests for information) to the Member States, both to the Ministries of Foreign Affair as well as the respective intelligence and security services. The information that is shared can be  characterized as analytical material, in which available intelligence, insofar a contributing service can or is willing to release it, is processed. This component determines the [secrecy] classification of the information.

3 What is the legal basis for the organization and activities of IntCen?

IntCen was established shortly after the attacks of 9/11 by the Council of Europe as organic part of the Council Secretariat. Its name was EU SITCEN (EU Situation Centre, in Dutch: “situatiecentrum van de Europese Unie”). The Council Decision of July 26th 2010 to establish the organization and functioning of the European External Action Service (EEAS) (OJ L 201, 3.8.2010, p 30), determined in Article 4, paragraph sub a, third indent, that EU SITCEN has become part of the European External Action Service, under the direct authority and direct responsibility of the High Representative.
Through an internal decision by mid-March 2012, the EU SITCEN changed its name and has since been called EU IntCen. The core tasks of producing strategic analyses have not changed.
Given that SitCen only prepares strategic analyses, does not process personal data, does not gather intelligence and that information from the Member States is provided only on a voluntary basis, the Council considered that the establishment of SitCen did not require a special legal basis, and that SitCen could be set up in a similar manner as every organic part of the Council Secretariat. Additionally, the SitCen being part of the Council, it is subject to the same rules and legal control as the Council and the Council Secretariat. This situation has not changed with the transfer of SitCen to the European External Action Service, with the proviso that SitCen is expressly mentioned in the Council decision quoted above as one of the services which are transferred to the European External Action Service.

4 What is the formal legal status of IntCen? How does the legal status of IntCen relate to the legal status of the EEAS?

As indicated above, IntCen is an integral part of the EEAS, and thus operates within the same legal framework. This means in particular that the rules on the protection of personal data as they apply to the EU institutions are fully applicable to IntCen. Also, the European data protection controller is authorized to carry out oversight.
Moreover, all other rules that normally apply to the European institutions fully apply to IntCen. These rules include the rules on access to documents, the financial regulation, the rules on staff (including ethical standards for EU staff). All legal means normally available against decisions of European institutions are also open to the acts of IntCen as part of the EEAS. The European Ombudsman and the European Court of Justice are fully authorized to oversee the legality of acts of IntCen.

5 With which parties does IntCen share her gathered intelligence and analyses?

Analyses of IntCen be shared with the Member States of the European Union, and with relevant decision makers within the European Commission, EEAS and in some cases the Council, provided that such employees are in possession of the necessary ‘clearance’ issued by the Member States themselves.

6. Does IntCen use information and analysis of the Dutch intelligence and security services? If so, how is oversight on IntCen carried out by the Dutch Parliament, the judiciary, experts or other possible means?

Yes, the Netherlands is one of the Member States that analyzes information provided to IntCen. One AIVD officer is permanently detached at IntCen in Brussels. A secure digital connection with this officer is used for daily contact between the AIVD and IntCen.
For each of the intelligence and security services that share intelligence analyses with IntCen, their own national legal framework and monitoring mechanisms apply. In the case of the Netherlands, the information shared with IntCen is collected within the framework of the Dutch Intelligence and Security Act (Wiv2002) and under the supervision of the Dutch Review Committee on the Intelligence and Security Services (CTIVD).

7 How does IntCen relate to the Dutch intelligence and security services?

IntCen is one of the recipients of the intelligence analyses of the AIVD and the analyses of IntCen are shared with the AIVD.

8 Does the Dutch Court of Justice have jurisdiction in the event that the activities of the IntCen exceed the mandate or the legal basis of EU law? If so, what? If not, why not?

See the answer to question 4.

9 Does IntCen process personal data in the context of its intelligence activities? Is IntCen permitted to process personal data? If so, under what conditions? If so, how is the oversight on the processing of personal data organized?

No, IntCen does not carry out intelligence activities and does not process personal data. Also see the answer to questions 2 and 4.

10 To what extent is IntCen bound by privacy regulations of the European Union?

As indicated in the answer to question 4, all the European regulations on privacy fully apply to IntCen.

Full EU factsheet as published on 2015-02-05 (mirrored below for posterity):

Factsheet on EU Intelligence Analyses Center (INTCEN)

Summary: 5 February 2015, Brussels – The EU Intelligence Analysis Centre (EU INTCEN) is the exclusive civilian intelligence function of the European Union, providing indepth analysis for EU decision makers. Its analytical products are based on intelligence from the EU Member States’ intelligence and security services.

EU INTCEN’s mission is to provide intelligence analyses, early warning and situational awareness to the High Representative of the European Union for Foreign Affairs and Security Policy, Ms Federica Mogherini and to the European External Action Service (EEAS).

The Centre does this by monitoring and assessing international events, focusing particularly on sensitive geographical areas, terrorism and the proliferation of weapons of mass destruction and other global threats. EU INTCEN also offers its services to the various EU decision making bodies in the fields of the Common Foreign and Security Policy (CFSP), the Common Security and Defence Policy (CSDP) and counterterrorism (CT), as well as to the Member States. EU INTCEN is not an operational agency and does not have any collection capability. The operational level of intelligence is the member states’ responsibility. EU INTCEN only deals with strategic analysis.

History

The creation of the EU INTCEN – or the EU Situation Centre (EU SITCEN) as it was called until 2012 – is intimately linked to the establishment of the European Security and Defence Policy (ESDP) and the creation of the post of High Representative in 1999. The development of the ESDP crisis management capabilities, and deployment of both civilian and military missions, made it clear that a broader intelligence analysis structure was needed. The events of 11 September 2001 and the increasing threats of global terrorism also emphasised the need of timely and accurate intelligence analysis to support EU policy making.

In 2002, EU SITCEN was established in the Council General Secretariat, directly attached to the office of the High Representative, Dr Javier Solana. The same year, staff from Member States’ intelligence services were seconded to EU SITCEN. In 2005, EU SITCEN was reinforced by the arrival of a team of counter-terrorist experts seconded from Member States’ security services. This enabled EU SITCEN to provide the Council with strategic terrorism threat assessments based on intelligence from national services.

In 2007, the EU SITCEN reinforced its collaboration with the EU Military Staff (EUMS) Intelligence Directorate by concluding a functional arrangement, the so-called Single Intelligence Analysis Capacity (SIAC). All intelligence assessments issued to Member States are joint products prepared under SIAC. With the entry into force of the Lisbon Treaty on 1 December 2009, EU SITCEN came under the authority of the High Representative of the European Union for Foreign Affairs and Security Policy/Vice-President of the Commission. On 1 January 2011, the EU SITCEN was transferred to the European External Action Service (EEAS). Following organisational changes in the EEAS in March 2012, the EU SITCEN was renamed into EU Intelligence Analysis Centre (EU INTCEN).

Main functions and tasks

•  Provide exclusive information that is not available overtly or provided elsewhere to the High Representative/Vice President and the PSC, based on contributions from Member States’ intelligence and security services;
•  Provide assessments and briefings and a range of products based on intelligence and open sources to the High Representative/Vice President and to the EEAS, to the various EU decision making bodies in the fields of CSFP/CSDP and CT, as well as to the Member States;
•  Act as a single entry point in the EU for classified information coming from Member States’ civilian intelligence and security services;
•  Support and assist the President of the European Council and the President of the European Commission in the exercise of their respective functions in the area of external relations.

 Sources, products and services

EU INTCEN’s analytical products are based on information provided by Member States’ security and intelligence services, open sources (media, websites, blogs etc.), diplomatic reporting, consular warden networks, international organisations, NGOs, CSDP missions and operations, EU Satellite Centre, visits and field trips.

EU INTCEN offers its customers the following products:

• Intelligence assessments: Long-term strategic papers, mainly based on intelligence.
• Intelligence reports: Follow-up of a crisis or an event, or a thematic paper focusing on a specific topic of current interest.
• Intelligence summaries: Focusing on current important events with a short intelligence based analysis.
• Threat assessments: Focusing on risks for EU personnel in a given country.

In addition to these products, EU INTCEN gives ad-hoc briefings, e.g. to the HR/VP, EU Special Representatives, various Council bodies and the European Parliament.

Structure

The EU INTCEN is a Directorate of the EEAS, reporting directly to the High Representative. It is composed of two Divisions: The Analysis Division and the General and External Relations Division.

Staff

The majority of EU INTCEN staff are EU officials and temporary agents. Furthermore a number of national experts from the security and intelligence services of the EU Member States are seconded to EU INTCEN.

Budget

The EU INTCEN does not have its own budget. All expenditure is paid from the EEAS budget. The needs for staff and budget are assessed in the same way and through the same procedures as for other EEAS departments. The EEAS budget is broken down and managed for the headquarters as a whole by nature of expenditure (e.g. staff, buildings, information and communication technologies) and not by department.

Legal basis

The EU INTCEN (EU Intelligence Analysis Centre) is the successor of the EU Situation Centre (EU SITCEN), which is mentioned in Article 4, paragraph 3, sub (a), third indent of the Council Decision (2010/427/EU) of 26 July 2010 on establishing the organisation and functioning of the European External Action Service. The reference to the EU SITCEN in the Council Decision serves as legal basis for EU INTCEN, which took over the intelligence and analytical tasks of EU SITCEN.

UPDATES (new to old)

UPDATE 2018-12-xx: Intelligence Support for EU Security Policy – Options for Enhancing the Flow of Information and Political Oversight (mirror: .pdf). Abstract: “Since 2015, security cooperation between European Union (EU) member states has progressed at an accelerated pace. For the Union’s foreign, security, and defence policy, there is the prospect that increased cooperation and enhanced arms cooperation will create more international capacity to act. As far as internal security is con­cerned, the continuing threat of terrorism is spurring the establishment of a “Euro­pean Security Union” based on an intensive exchange of information between security authorities. In the shadow of these developments is the question of the extent to which European intelligence cooperation should also be promoted. In this particularly sensitive area, no steps towards integration that would attract public attention are to be expected. However, existing approaches to intelligence support for EU security policy should be deepened and better monitored.”

UPDATE 2017-10-05: German spy officials dismiss calls to create European intelligence agency (IntelNews)

UPDATE 2017-09-13: EU intelligence agency not a priority (Nikolaj Nielsen, EU Observer)

UPDATE 2017-07-17: Counter-terrorism recommendations from 2006 declassified (Statewatch) — policy paper drafted on the basis of IntCen papers (IntCen was then known as Joint Situation Centre, or SitCen); refers to the Dutch-initiated Terrorism Work Group (TWG). Also, unrelated: a Master’s Thesis: Intelligence Effectiveness in the EU in the New Security Environment (.pdf, by Constantin-Marian Birsan, U.S. Naval Postgraduate School, December 2012) and another Master’s Thesis: The Post-9/11 European Union Counterterrorism Response: Legal-Institutional Framework (.pdf, by Bozenko Devoic, U.S. Naval Postgraduate School, December 2012).

UPDATE 2015-02-11: Secrecy reigns at the EU’s Intelligence Analysis Centre (.pdf, 2013, Statewatch) — analysis by Chris Jones / Statewatch.

UPDATE 2015-02-09: the Draft Council Conclusions on Counter-Terrorism (.pdf, Feb 6) state: “Reinforcing, within the existing parameters, the role of EU INTCEN as the hub for strategic intelligence assessment at EU level, including on counter-terrorism”. I.e., no new mandate for EU intelligence centre.

UPDATE 2013-11-05: Viviane Reding: “The NSA needs a counterweight. My [proposal is] to set up a European Intelligence Service by 2020.”

EOF

In deze eerdere post staan twintig stellingnames in het privacy- en veiligheidsdebat die in het rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron; mirror) worden bediscussieerd, en de bijhorende beleidsconsequenties van elke stellingname. Dat rapport geeft ook tien handvatten voor de balans tussen veiligheid en privacy: die vormen “de kern en de richting” van het advies. Deze handvatten kunnen worden opgevat als richtlijnen voor goed, serieus debat. Het uitgangspunt is dat alle deelnemers streven naar een open, democratische rechtsstaat.

Dat “Toon zelfbeheersing” één van de handvatten is onderschrijft m.i. de noodzaak van deze handvatten: zowel privacy als veiligheid vinden een oorsprong in de kern van ons mens-zijn, ze zijn diep in onze emotie geworteld. De handvatten zijn hoogst relevant voor het debat over de vernieuwing van de Wiv-wetgeving: in de discussie over de uitbreiding van AIVD/MIVD-bevoegdheden (ongerichte kabelgebonden SIGINT) moet worden gezocht naar realistische verwachtingen t.a.v. zowel privacy als (on)veiligheid.

Enfin, hierbij die tien handvatten, en bij elk handvat de concrete aanbevelingen van Muller, Kummeling en Bron:

1. Verketter niet Noch privacy, noch veiligheid kan ontbreken in een democratische rechtsstaat. Beide zijn nodig voor een optimale kwaliteit van de rechtsstaat. Het verketteren van hetzij de veiligheidsclaim, hetzij het privacybelang ter ondersteuning van het eigen standpunt is een zwaktebod. Privacy is niet de schuilplaats van het kwaad. Veiligheidsinstanties willen niet ten koste van de rechtsstaat de veiligheid handhaven. Wie zich op slechts één van de zijden van de balans beroept, geeft daarmee aan slechts een deelbelang na te streven en niet het algemeen belang.
2. Hemel niet op Erken dat er hoe dan ook afwegingen tussen grondrechten nodig zijn en dat er niet één grondrecht is dat hoe dan ook doorslaggevend is of een kritische succesfactor vormt voor succes. Deze afweging geldt dus ook voor privacy en veiligheid. Veiligheidsinspanningen zijn te allen tijde onderworpen aan eisen van proportionaliteit, subsidiariteit en efficiency. Privacyinbreuken kunnen gerechtvaardigd zijn wanneer aan de eisen van doelbinding en noodzakelijkheid is voldaan. Privacy noch veiligheid heeft een veto in de discussie. De ene waarde kan en mag het niet winnen van de andere.
3. Durf het eigen belang te relativeren in het belang van het evenwicht Het gegeven dat de democratische rechtsstaat bestaat bij de gratie van steeds nieuwe evenwichten tussen grondrechten, houdt in dat er steeds bereidheid moet bestaan een ander grondrecht als zwaarderwegend te erkennen bij een bepaald thema. De kwaliteit van het veiligheidsbeleid zal toenemen naarmate privacy integraal onderdeel ervan uitmaakt en vice versa. In het huidige publieke debat levert de verhouding tussen deze twee grondrechten de meeste spanning op. Je zou kunnen zeggen: privacy en veiligheid zijn tot elkaar veroordeeld. Erken deze spanning en weeg steeds beide belangen mee. Stellingen zoals ‘privacy bestaat niet meer’ doen geen recht aan het belang ervan.
4. Toon zelfbeheersing Veiligheid en privacy zijn oneindige grootheden. Er is altijd behoefte aan meer van elk van hen en daardoor dreigt dat de hoeders van deze belangen zich structureel tekortgedaan voelen. Wij gaan er hier vanuit dat er een balans moet bestaan tussen privacy en veiligheid. Dat betekent dat er niet gestreefd kan worden naar de maximale realisatie van veiligheid of privacy. Dat veronderstelt echter zelfbeheersing van de organisaties die zich primair met privacy of met veiligheid bezighouden. Streven naar maximalisatie van een van beide is ongewenst omdat daarmee het geheel van de balans in gevaar komt.
5. Betrek beide thema’s in het debat Wanneer voorstellen worden gedaan met betrekking tot of rakend aan privacy of veiligheid, betrek daarin dan steeds het ‘andere’ belang. Neem een veiligheidsparagraaf op in rapportages, voorstellen en speeches over privacy (zijn of lijken er risico’s te zijn voor optimalisering van veiligheid en welke oplossingen zijn daarvoor) en neem evenzo een privacyparagraaf op in veiligheidsvoorstellen (welke consequenties zijn of lijken er te zijn voor privacy en welke oplossingen zijn daarvoor).
6. Benadruk het nastreven van een gemeenschappelijk doel Zowel privacy als veiligheid streeft uiteindelijk een gemeenschappelijk doel na, dat onder verschillende noemers te vatten is: vrijheid, de democratische rechtsstaat, vertrouwen. Dit doel overkoepelt het specifieke belang van de veiligheidsmaatregel of de privacymaatregel. Een geloofwaardige overheid die vertrouwen geniet van burgers ontwikkelt dat vertrouwen door veiligheid en privacybescherming optimaal na te streven zodat maximale vrijheid voor de burger ontstaat. Dit is maximale vrijheid van inbreuken zoals dreiging van criminaliteit en terrorisme én maximale vrijheid van overheidsinmenging.
7. Definieer burgerschap in termen van privacy en veiligheid In het huidige publieke debat heeft privacy de naam van een belang dat alleen wordt nagestreefd door hen die iets te verbergen hebben. Burgers die zich aan de wet houden, zouden niets te verbergen hebben en (dus) ook geen privacy willen. Deze tegenstelling is misleidend. Wie privacy wil heeft immers niet per se iets te verbergen, maar claimt het legitieme recht om met rust gelaten te worden. Goed burgerschap uit zich juist door het nastreven van zowel veiligheid als het hooghouden van privacy. Dat veronderstelt wel dat zowel voor burgers als voor operationele diensten meer kennis beschikbaar moet zijn over de verschillende aspecten van privacy en de waarde daarvan. Voorlichting dient daarvoor een nadere invulling te krijgen.
8. Durf elkaars ambassadeur te zijn Voor de kwaliteit van het publieke debat zou het goed zijn wanneer erkende nastrevers van één van beide belangen zich uit gaan spreken voor het andere belang: de voorzitter van het CBP die een lans breekt voor veiligheidsmaatregelen en een hoofdcommissaris die zich inzet voor privacybescherming. Natuurlijk met respect voor wettelijke taken en bevoegdheden waar men aan gebonden is. Maar een dergelijke positionering voorkomt dat de schroom om in veiligheidsdebatten het privacybelang naar voren te brengen (en andersom) afneemt. Dit veronderstelt aan beide kanten voldoende kennis en inzichten in elkaars handelen en functioneren.
9. Voorkom polarisatie Op de vertegenwoordigers van het veiligheidsveld en het privacyveld rust een dure plicht om (verdere) polarisatie tussen deze thema’s te voorkomen. Dat betekent onder meer, naast het vermijden van verketteren van de ander en het ophemelen van het eigen belang: houd geen polls meer over de afweging tussen veiligheid en privacy, het gaat immers niet om óf/óf, maar én/én. Dat betekent tevens dat bij incidenten op het terrein van veiligheid en privacy niet eenvoudig het belang van een van beide waarden moet worden benadrukt.
10. Terrorisme is niet de maat Discussies over privacy en veiligheid verzanden al heel snel in debatten over terrorismebestrijding en de (valse) afweging tussen catastrofaal terrorisme en het verbod op het koppelen van bestanden. Erken dat terrorisme een uitzonderlijk fenomeen is dat uitzonderlijke maatregelen vergt, maar erken daarnaast dat terrorismebestrijding niet de maat is waarlangs de kwaliteit van de democratische rechtsstaat en het belang van privacy worden afgemeten.

EOF

UPDATE 2014-01-09: nieuwe post toegevoegd met de tien handvatten voor het balanceren van veiligheid en privacy.

In 2007 verscheen het rapport Veiligheid en privacy – Een zoektocht naar een nieuwe balans (.pdf, 2007, Muller, Kummeling en Bron; mirror), waarbij het CBP een speciale conferentie organiseerde. Het rapport bevat een discussie van tien stellingen vanuit het privacyperspectief en tien stellingen vanuit het veiligheidsperspectief.

De stellingen zijn (bijvoorbeeld) handig ter inspiratie en raadpleging voor het debat over vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten van 2002 (Wiv2002). Eén van de auteurs, E.R. Muller, is trouwens ook lid van de cie-Dessens die de Wiv2002 in het afgelopen jaar heeft geëvalueerd. Om die reden citeer ik hieronder alle stellingen, en bij elk van de stellingen de consequenties die de stelling heeft voor veiligheid en veiligheidsbeleid (voor de stellingen vanuit privacyperspectief) of voor privacy en privacybeleid (voor de stellingen vanuit veiligheidsperspectief).

Deze stellingnames zijn onder meer relevant in het toezichtsvraagstuk. Ter herinnering: is de status quo is dat het toezicht op SIGINT faalt.

De roodgemarkeerde delen acht ik persoonlijk het meest relevant voor het debat over de Wiv-vernieuwing, specifiek: de wettelijke inkadering van de hackbevoegdheid (Art. 24 Wiv2002), de afluisterbevoegdheid (Art.25 Wiv2002) en de SIGINT-bevoegdheden (Art.26/27 Wiv2002).

Stellingen P1 t/m P10 zijn vanuit het privacyperspectief, stellingen V1 t/m V10 zijn vanuit het veiligheidsperspectief.

In een volgende post volgen de tien handvatten die Muller, Kummeling en Bron in hun rapport geven voor de balans tussen veiligheid en privacy.

Het privacyperspectief

P1. Privacy is een basisvoorwaarde voor het functioneren van een democratische rechtsstaat

Consequenties voor veiligheid en veiligheidsbeleid:
– In het kader van de zoektocht naar de balans tussen privacy en veiligheid dient de privacy net zo’n dominant perspectief als veiligheid te zijn omdat dit de beste garantie biedt op een discussie met respect voor behoud van noodzakelijke vrijheden.
– Anders dan sommige politici beweren gaat veiligheid niet per se boven privacy. Het benadrukken van het belang van privacy is het benadrukken van vertrouwen in de rechtsstaat.

P2. Privacy en veiligheid zijn keerzijden van dezelfde medaille

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij veiligheidsbevorderende maatregelen dient beseft te worden dat de maatregelen op zichzelf kunnen aantasten wat zij beogen te beschermen.
– Vrijheid is een meerduidig begrip en betekent niet alleen ‘afwezigheid van terrorisme’. Inbreuken op vrijheden dienen zo gering mogelijk te zijn, vanuit welk perspectief ook bekeken.

P3. Privacy blijft, want privacybesef en -behoefte zijn diepgeworteld in de samenleving

Consequenties voor veiligheid en veiligheidsbeleid:
– Het beroep op de publieke opinie (‘de burgers willen het’) legitimeert niet in algemene zin privacybeperkende maatregelen.
– Pas na een uitvoerig publiek (parlementair) debat, waarna burgers daadwerkelijk geïnformeerd kunnen zijn over de inhoud van bepaalde maatregelen en na daadwerkelijke, verantwoorde, raadpleging van burgers kan de stelling worden betrokken ‘dat het volk het wil’.
– Helderheid over de omvang van privacybeperking is nodig: in voorstellen wordt wel benadrukt wat men ‘wint’ (veiligheid) maar niet wat men ‘verliest’ (vrijheid). Er dient aandacht te komen voor het gegeven dat wat de samenleving als geheel verliest, misschien groter is dan wat de samenleving wint.

P4. Bij discussies over privacy en veiligheid is nuancering noodzakelijk

Consequenties voor veiligheid en veiligheidsbeleid:
– Privacy is niet lastiger te definiëren dan andere grondrechten en is net als andere grondrechten onderwerp van afwegingen.
– De veiligheidsclaim verdient nuancering: niet elke veiligheidsbehoefte vergt vergaande inbreuken op het grondrecht privacy.

P5. Uitgangspunt bij het denken over privacy in Nederland dient niet zozeer de Grondwet te zijn, als wel het EVRM

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij de motivering van privacybeperkende maatregelen zal sterker gelet moeten worden op proportionaliteit en subsidiariteit. Daarbij gaat het er niet alleen om dat een grotere dreiging een zwaarder ingrijpen rechtvaardigt, maar ook dat een zwaarder ingrijpen een steviger motivering en meer waarborgen vereist.
– Gelet op het primaat van de vrijheid zal op degenen die inbreuken willen maken op de vrijheid omwille van de veiligheid de bewijslast van de noodzaak daartoe moeten liggen.

P6. De nuchtere noodzakelijke afweging van belangen, i.h.b. de proportionaliteit, staat te zeer onder de invloed van de dreiging van terrorisme

Consequenties voor veiligheid en veiligheidsbeleid:
– Bij privacybeperkende maatregelen, zouden beperkte strekking, tijdelijkheid en evaluatie steeds het uitgangspunt moeten zijn
– De vaststelling van de proportionaliteit en subsidiariteit van inbreuken is geen taak voor inlichtingen- en veiligheidsdiensten. Zij vragen om een diepgaand publiek (politie, parlementair) debat.

P7. De huidige (informationele) privacybescherming staat niet in de weg aan een effectieve bestrijding van terrorisme

Consequenties voor veiligheid en veiligheidsbeleid:
– Er kan niet op voorhand worden gesteld dat uitbreiding van bevoegdheden met betrekking tot de garing en verwerking van gegevens nodig is: de wet biedt al voldoende mogelijkheden.
– Met het oprekken van bestaande wetgeving in de praktijk moet worden opgepast. Het inzetten van AIVD-informatie in het strafrecht is een voorbeeld van een grens die bereikt wordt, immers voor het verzamelen van AIVD-informatie is geen redelijk vermoeden van schuld nodig.
– Juist omdat er zoveel mogelijk is, zal de gegevensverwerking transparant en controleerbaar moeten zijn en daarvoor zijn vele verbeteringen mogelijk. Zie ook stelling 8.

P8. Privacybeperkende maatregelen en technieken hebben onvermijdelijk ongewenste neveneffecten

Consequenties voor veiligheid en veiligheidsbeleid:
– De huidige veiligheidspolitiek kent een aantal ongewenste neveneffecten, die deels kunnen worden voorkomen door de balans met privacy te zoeken.
– Veiligheidsbeleid dreigt te worden gebaseerd op verouderde gegevens en kan verregaande consequenties voor onschuldige burgers hebben.
– Veiligheidsbeleid wordt zwaar belast door de noodzaak nieuw verkregen informatie te onderzoeken. De focus op het kernprobleem dreigt daardoor verloren te gaan.
– Er zal verschuiving van criminaliteit plaatsvinden die erop gericht is toegang te krijgen tot de over het individu opgeslagen informatie.

P9. De extra complexiteit van de bescherming van de informationele privacy vereist dat er ruim baan wordt gegeven voor de onafhankelijke toezichthouder, het CBP

Consequenties voor veiligheid en veiligheidsbeleid:
– Gelet op het belang van grondrechten voor de democratische samenleving (stelling 1) en het feit dat privacy en veiligheid de keerzijden van dezelfde medaille vormen (stelling 2) dient het CBP in een zo vroeg mogelijk stadium van het wetgevingsproces te worden ingeschakeld en dient het ruim baan te krijgen voor het weergeven van standpunten in het politieke en publieke debat.

P10. Het probleem is niet de noodzaak tot extra informatie, maar de onmogelijkheid om de reeds beschikbare info op een zinvolle wijze te gebruiken

Consequenties voor veiligheid en veiligheidsbeleid:
– Veiligheidsinstanties dienen bereid te zijn de kwaliteit van hun eigen interne organisatie en de mogelijkheden van verbetering daarin te betrekken bij de afweging of extra bevoegdheden noodzakelijk zijn.

Het veiligheidsperspectief

V1. Veiligheid blijft

Consequenties voor privacy en privacybeleid:
– Veiligheid zal een van de belangrijkste zorgen van de burgers blijven. Veiligheid zal nooit volledig zijn.
– Subjectieve onveiligheid is dominant zichtbaar in het dagelijks leven van burgers. Subjectieve privacyschending is net zo actueel, maar wordt niet direct gevoeld.
– Privacy zal ook komende jaren onder druk blijven staan door constante en intensieve aandacht voor veiligheid. Privacy vormt geen grote zorg voor de burgers. Privacybeperkingen ten behoeve van veiligheid worden door burgers niet zichtbaar als ernstig ervaren. Individuele burgers worden zelf nauwelijks direct geconfronteerd met ongewenste beperkingen van privacy.

V2. Veiligheid wordt breder en integraler

Consequenties voor privacy en privacybeleid:
– Privacy staat niet alleen in relatie tot sociale veiligheid maar ook in relatie tot fysieke veiligheid. Fysieke veiligheidsrisico’s en privacyschendingen zijn geen onderwerp van discussie.
– Een breed concept veiligheid zal meer intensief koppelen van informatie betekenen en dus verzamelen, analyseren en verspreiden van meer informatie. De toegankelijkheid van alle verzamelde informatie wordt intensiever en gaat over de grenzen van sectoren heen. De rol van informatieverzamelaars en beheerders van bestanden wordt steeds crucialer.

V3. Veiligheid is informatie en technologie

Consequenties voor privacy en privacybeleid:
– Informatie is macht in het veiligheidsbeleid. De grote rol van informatie binnen veiligheidsbeleid maakt privacy cruciaal.
– Subjectiviteit van onveiligheid is cruciaal, datzelfde kan gesteld worden ten aanzien van de subjectiviteit van privacyschendingen. De relatie tussen mediaberichtgeving en privacy is cruciaal voor de beeldvorming van privacybeleid. Er is te weinig bekend bij media en burgers over privacy en privacyschendingen en er is geen privacymonitor in de veiligheidssector.
– De mogelijkheden voor rechtsbescherming tegen privacyschendingen zijn moeizaam en beperkt. Het CBP heeft het officiële monopolie op privacybescherming; andere (overheids) instanties voelen zich daardoor niet verantwoordelijk en particuliere instanties spelen geen of een beperkte rol.

V4. Veiligheidszorg is management van verwachtingen

Consequenties voor privacy en privacybeleid:
– Privacy is ook management van verwachtingen; privacybeleid doet niets aan management van verwachtingen. Er is geen goed zicht op de feitelijke verwachtingen van burgers ten aanzien van privacy.
– Politici, politie en justitie doen onjuiste uitspraken over privacy en veiligheid. Er bestaat te weinig kennis bij deze groepen over precieze mogelijkheden en echte beperkingen. Politici die aangeven dat niet iedere privacybescherming moet worden opgegeven in de strijd voor veiligheid zijn schaars.
– Er is geen gedeeld beeld van een acceptabel privacyniveau bij welke dreiging van veiligheid, zowel op micro- als op macroniveau. Er is geen gedeeld beeld van privacyrisico’s bij burgers, bedrijven, politiek, bestuur en ambtenaren.

V5. Veiligheidszorg is big business

Consequenties voor privacy en privacybeleid:
– Financiële belangen maken dat het bon ton is om je af te zetten tegen privacy. Privacy kost velen geld; het streven is dure privacy te minimaliseren. Aan privacybescherming is geen geld te verdienen: privacy is very small business. Weinigen zijn financieel afhankelijk van privacybescherming.
– Er is geen concurrentie tussen privacybeschermers; er is een monopolie.
– Veiligheid is een product; onduidelijk is of dat ook van privacy gezegd kan worden.

V6. Veiligheidszorg betekent steeds meer en verdergaande bevoegdheden voor veiligheidsorganisaties

Consequenties voor privacy en privacybeleid:
– De groei van bevoegdheden in het kader van veiligheidsbeleid zal doorgaan evenals de roep om beperking van privacy.
– In de praktijk bestaat er een grondrecht op veiligheid. Het formele grondrecht op privacy vinden burgers minder belangrijk dan het feitelijke grondrecht op veiligheid.
– Er is weinig onderzoek naar de effectiviteit van de ‘veiligheidsbevorderende’ bevoegdheden alsmede naar het werkelijke effect van meer bevoegdheden op de privacy.
– Er is geen ondergrens gedefinieerd van privacybescherming bij stijgende onveiligheid. De mogelijkheden van tijdelijke privacybeperkingen zijn niet goed in beeld gebracht.

V7. Veiligheidszorg is een brede verantwoordelijkheid

Consequenties voor privacy en privacybeleid:
– Bij privacybescherming past ook geen overheidsmonopolie. Burgers en bedrijven moeten een eigen verantwoordelijkheid hebben ten aanzien van privacybescherming zodat privacybescherming – net als veiligheid – een brede verantwoordelijkheid voor velen wordt.
– Privacybescherming wordt te veel extern opgelegd en is te weinig een eigen norm.
– Er wordt te weinig aandacht besteed aan en er zijn te weinig voorzieningen voor de preventie van privacyschendingen. Organisaties kunnen maar beperkt advies vragen hoe verantwoord om te gaan met privacy in relatie tot veiligheid.

V8. Veiligheidszorg is lokaal en internationaal

Consequenties voor privacy en privacybeleid:
– Privacybescherming is net als veiligheidsbeleid niet alleen lokaal en nationaal maar ook internationaal. Privacynormen zouden een meer internationaal karakter moeten hebben.
– Er is te weinig inzicht in de wijze waarop de relatie privacy en veiligheid in andere landen vorm is gegeven en er bestaat te weinig beeld over de verschillen en overeenkomsten in de waarde die aan privacy wordt gehecht in de verschillende landen; het ontbreekt aan een helder vergelijkende studie.
– De bestaande internationale instrumenten, zoals OESO-richtlijnen, Verdrag van Straatsburg, EU-richtlijnen, zijn vooral gericht op het faciliteren van gegevensuitwisseling in het kader van economisch verkeer of het toezicht op het vreemdelingenverkeer (Schengen-SIS). De relatie veiligheid en privacy is op internationaal niveau nog onvoldoende doordacht.

V9. Nederlands veiligheidsbestel is onvolkomen

Consequenties voor privacy en privacybeleid:
– Veranderingen in het veiligheidsbestel hebben consequenties voor de privacybescherming. De complexiteit van de samenwerking stelt specifieke eisen aan de privacybescherming. Het veiligheidsbestel moet aansluiting zoeken bij het privacybestel.
– Privacybescherming speelt ten onrechte geen rol in het debat over het veiligheids- en politiebestel.
– Privacybescherming moet zich ook richten op andere organisaties in de veiligheidsketen en op de verschillende fasen in de veiligheidsketen.

V10. Veiligheid en veiligheidszorg zijn cruciale indicatoren voor de kwaliteit van een samenleving

Consequenties voor privacy en privacybeleid:
– Privacy en privacybeleid zijn tevens cruciale indicatoren voor de kwaliteit van een samenleving.
– Er bestaat een balans tussen het belang van veiligheid en van privacy afhankelijk van de specifieke situatie en tijdstip.
– Er is behoefte aan een algemene privacyindicator waarmee wordt aangegeven welke activiteiten worden verricht om de privacy te realiseren.

EOF

On Wednesday November 27th 2013 at SPUI25 in Amsterdam, a symposium took place entitled “NSA: vadertje staat, beschermt u wel?” (English: “NSA: the friendly govt that protects you?”). These were the speakers:

• Simon Davies (privacy advocate, founder of Privacy International, guest at the University of Amsterdam until April 2014);
• Marieke de Goede (Professor of Politics at the University of Amsterdam);
• Christiaan Alberdingk Thijm (lawyer, founding partner of bureau Brandeis);
• Nico van Eijk (Professor of Media and Telecommunications Law at the University of Amsterdam).

I could not attend the symposium myself, but fortunately Jeroen van der Ham was kind enough to keep notes, and to let me publish those. One of the more remarkable paragraphs:

Simon [Davies] calls for aggressive action, civil disobedience, to destroy the infrastructure that makes this possible. We have moved beyond institutional solutions, and harder measures are required.

Here are Jeroen’s full notes:

The evening takes place in a packed SPUI25 in Amsterdam, with many young interested law students, and other curious attendees. After a brief introduction by prof. Nico van Eijk, Simon Davies takes the stages and enlightens us on how we got here.In 1976 it all started in a hotelroom in the famous hotel of Watergate. The Church commission investigated the approach of the NSA and concluded that the NSA was engaged in unlawful activities, and oversight was lacking. There was little public outcry when it became clear that the NSA would stop spying on American citizens.

In 1982 the novel The Puzzle Palace was published detailing many of the goings on inside the NSA. Again there was almost no outcry. In 1988 The New Statesman published a column describing the existence of the ECHELON program. December 1997, Simon Davies (finally) published the column “Spies like US”, which warns about the extent of the ECHELON program in Europe. This finally lead to a EU report in 2001, published just before the summer break, which was consequently largely ignored. Summarizing, there has been almost no political or journalistic covering of these affairs, until now. Snowden embodies two important pillars on which a strong journalistic covering of the NSA affair can be built:

1. Snowden is an interesting `dramatis persona`, his past and future are very much unclear, and his present is the stuff of spy novels.
2. The media very much owns this story. Snowden has worked with journalists who know own the files, and there is nothing that prevents this story from coming out further, or to be questioned.

This is very much in contrast with the revelations published by the Observer based on interviews with Wayne Madsen. A crafted barrage of critique on the person and the source made the Observer pull the story, just a day after it published it on its front page.

Simon concludes that the world has changed. In 1976 the intelligence agencies were like angels/demons who would sweep in on the world to grab bits and pieces of intelligence. In 2001 this changed into large silos of data that the agencies sifted through, yet there was no exchange of data on a large scale.

Now in 2013 the world is enveloped in a large matrix of surveillance, with frequent exchange of information between almost all intelligence agencies.

Simon calls for aggressive action, civil disobedience, to destroy the infrastructure that makes this possible. We have moved beyond institutional solutions, and harder measures are required.

Marieke de Goede draws a parallel with the Terrorism Financing Tracking Program (TFTP) which was revealed in 2006 when it became clear that SWIFT was secretly sharing all finance information with the US intelligence agencies.

In the US the public outcry over this died down quickly when it became clear that most US citizens were not affected, only if they transferred money to foreigners.

Marieke argues that there are three important points in these kind of stories:

1. Shoot the messenger: the source is attacked as much as possible, be it the newspaper, the leaker, etc. This was obvious in the Snowden affaire. 
2. Focus on Analystics: Where is the data collected from and what is it used for. In PRISM and SYNAPSE it became clear that the NSA is “pulling an intelligence string” where they take one piece of intelligence and try to use their haystack to discover relations to others.
3. What can the concept of ‘Privacy’ do? After the TFTP affair the EU fought for a new agreement with the US regarding the financial transaction data.

It has now become clear that in practice the oversight has become effectively worthless. Finally Marieke points to an overview article by Bigo et al [0].

Just before the panel discussion Christiaan Alberdingk Thijm provides a summary of the lawsuit against the Dutch government. They wanted to litigate the NSA, but it is more realistic to target the AIVD/MIVD. They are targeting the exchange program the AIVD and MIVD have with the NSA where they receive illegally obtained intelligence. Their defense is that it is not common for agencies to ask where data comes from, meaning that agencies may obtain & use intelligence that was not collected in accordance with the rule of law [1].

In the suit they are asking that this exchange of illegally obtained information is stopped, any data gathered in this way is deleted, and to allow citizens inquiry into whether they were wiretapped. If the AIVD and MIVD are unsure about where data comes from, that they do not use it.

The panel discussion starts with an addition by Simon Davies saying that the whole matrix is the result of political risk aversion. The matrix may not be the best metaphor, Simon would welcome better suggestions.

He suggests that we look to technology to evade detection, and perhaps even go on the offensive to create uncertainty in surveillance. I remark that the technology activists are saying that technology (encryption) only postpones the problem, it does not eliminate it. We need a more widespread attack on this problem.

Oversight is probably not a solution. The FISA court has already shown to be virtually worthless, and the hard-fought arrangements regarding SWIFT are also practically useless since the NSA can either not provide an answer, or someone is a “nexus of terrorism”, in which case they will not answer either.

Even worse, the existence of these kind of arrangements can be seen as legitimization of the data collection!

It is pointed out that we are dealing with an international problem, with differing national laws. Christiaan also points to similar cases where the European Court decided that national security is not an end-all argument, e.g. the Klass case [2].

The question raises whether ‘terrorism’ is just an excuse, to which Simon answers that it is, but were it not for terrorism, then some other excuse would be found.

It was an interesting and lively debate, with unfortunately a slightly depressing outcome.

[0] http://www.ceps.eu/book/mass-surveillance-personal-data-eu-member-states-and-its-compatibility-eu-law
[1] https://www.aivd.nl/algemene-onderdelen/serviceblok/veelgestelde-vragen/#WaaromgebruiktdeAIVDinformatievanbuitenlandsedienstendiemisschiennietopeennettemanierisverkregen
[2] http://hub.coe.int/c/document_library/get_file?uuid=ec21d8f2-46a9-4c6e-8184-dffd9d3e3e6b&groupId=10227

EOF