Brief regering : Reactie op de brief van de CTIVD inzake de grondslag voor publiek- private samenwerkingen in het cyberdomein

33 321
Defensie Cyber Strategie

30 821
Nationale Veiligheid

Nr. 1280
BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES EN VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 februari 2025

Op 17 februari heeft de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten
(CTIVD) uw Kamer een brief gestuurd inzake de grondslag voor publiek-private samenwerking.
Wij zijn de CTIVD erkentelijk voor hun aandacht voor het belang en de inbedding van
publiek-private samenwerking. Met deze brief sturen wij u een beleidsreactie op deze
brief van de CTIVD.

De AIVD en de MIVD (hierna: de diensten) werken samen met het bedrijfsleven in het
cyberdomein. In deze samenwerking worden gegevens uitgewisseld zodat een beter beeld
van gekende en ongekende dreigingen in het cyberdomein kan worden verkregen en bedrijven
zich kunnen weren tegen dreigingen. Het gaat hierbij om het bij elkaar brengen van
puzzelstukjes die in gezamenlijkheid een beter beeld geven van de dreiging die Nederland
raakt of dreigt te raken. Een voorbeeld daarvan is dat er analyses van malware bestanden
en domeinnamen worden uitgewisseld waarvan bekend is dat deze van een statelijke actor
afkomstig zijn. Dit draagt bij aan een betere weerbaarheid en daarmee een betere bescherming
van de nationale veiligheid. Niet alleen van Nederland, maar ook van haar bondgenoten.
Deze vormen van samenwerking passen bij de oproep die in de motie-Rajkowski wordt
gedaan om de diensten en private bedrijven dreigingsinformatie te laten uitwisselen.1

In deze brief zetten wij uiteen hoe wij de aanbevelingen van de CTIVD in de praktijk
willen toepassen, dit in het bijzonder door het vergroten van de voorzienbaarheid
van samenwerkingen, op welke grondslag de diensten samenwerken met private partijen
en tot slot op welke wijze we bij de herziening van de Wiv 2017 omgaan met publiek-private
samenwerking.

Verkorte weergave standpunt CTIVD

In het kader van publiek-private samenwerking vindt er ontvangst en verstrekking van
gegevens plaats door de AIVD en MIVD. De CTIVD heeft in december 2023 aan de diensthoofden
kenbaar gemaakt dat het verstrekken van gegevens op grond van artikel 62 van de Wiv
2017 in de huidige omstandigheden vanwege een ontoereikende grondslag onrechtmatig
is. De CTIVD ziet deze publiek-private samenwerkingsverbanden als een vorm van «structurele»
samenwerking, waarbij het ontvangen en verstrekken van gegevens op regelmatige basis
plaatsvindt en die daarom in onderlinge samenhang dient te worden beschouwd. De CTIVD
heeft om die reden geoordeeld dat artikelen 39 en 62 van de Wiv 2017 niet voldoen
als grondslag voor deze vorm van publiek-private samenwerking. Zij stelt dat er behoefte
is aan een regeling die recht doet aan deze samenwerkingsverbanden met daarin de juiste
waarborgen.

De CTIVD stelt voor om op basis van artikel 96 van de Wiv 2017 een algemene maatregel
van bestuur (AMvB) op te stellen om in een kader te voorzien van publiek-private samenwerkingen.

Visie op samenwerking

De samenwerking met private partijen bestaat uit een wederzijdse uitwisseling van
gegevens. Het betreft gegevens die technisch van aard zijn, zoals technische kenmerken
van infrastructuur die actoren gebruiken of stukjes malware die worden gebruikt bij
cyber-aanvallen. Deze bedrijven worden bevraagd als informant. De diensten verstrekken
gegevens aan deze partijen. De verstrekking onder dit samenwerkingsverband wordt op
dit moment enkel gedaan in het kader van het versterken van de digitale weerbaarheid
van Nederland en zijn bondgenoten.

De CTIVD en wij delen het grote belang van deze samenwerking. De CTIVD merkt terecht
op dat het belangrijk is dat in het kader van de voorzienbaarheid deze werkwijze goed
is geborgd.

Vanzelfsprekend geldt voor samenwerkingsverbanden dat daar risico’s mee gemoeid kunnen
zijn. Daar zijn de diensten zich van bewust. In dat kader passen de diensten een waarborgenkader
toe om risico’s van een samenwerking in kaart te brengen en eventueel te mitigeren.
Deze waarborgen zijn een aanvulling op het wettelijke kader. Een voorbeeld hiervan
is dat iedere partij wordt gewogen. Dit wordt vastgelegd in een samenwerkingsbeschrijving.
Eventuele restrisico’s worden uiteindelijk door de diensthoofden gewogen en beoordeeld.
Ook wordt het type gegevens dat wordt verstrekt nadrukkelijk gewogen en is de partij
waarmee wordt samengewerkt gehouden aan geheimhouding van de informatie die zij ontvangen.
Een ander voorbeeld daarvan is dat alle gegevens die worden uitgewisseld en de bijbehorende
toestemmingen centraal worden opgeslagen door de diensten. Op die manier zijn de uitgewisselde
gegevens overzichtelijk na te gaan (ook voor de CTIVD).

Het wettelijk kader voor publiek-private samenwerkingen in het cyberdomein

Zoals hierboven beschreven worden bedrijven op basis van de informantenbevoegdheid
bevraagd, op grond van artikel 39 Wiv 2017. Artikel 62 van de Wiv 2017 voorziet in
een grondslag voor de diensten om extern gegevens te verstrekken. De wet verbindt
hieraan bepaalde voorwaarden. De verstrekking moeten worden gedaan in het kader van
de goede taakuitvoering van de diensten. Ook moet het de ontvangende partij aangaan.
Daarnaast moet de verstrekking noodzakelijk, proportioneel en zorgvuldig zijn. Zolang
dat het geval is, biedt de Wiv 2017 ruimte om de gegevens te verstrekken. De wet noch
de wetsgeschiedenis maakt onderscheid tussen incidentele en structurele verstrekking.
Het al dan niet structurele karakter van de samenwerking speelt volgens ons dan ook
geen rol bij de beoordeling van de rechtmatigheid daarvan.

Om die reden concluderen wij dat de verstrekking van gegevens in het kader van de
bestaande samenwerking met private partijen in het cyberdomein binnen de reikwijdte
van artikel 62 van de Wiv 2017 valt. Het standpunt van de CTIVD dat deze verstrekkingen
niet rechtmatig zijn kunnen wij dan ook niet volgen. De al enige tijd geleden gedane
aanbeveling van de CTIVD om een grondslag middels een AMvB in te richten zal in dit
licht geen oplossing bieden, aangezien er met een AMvB geen nieuwe grondslag kan worden
gecreëerd.

Vergroten voorzienbaarheid

De aanbeveling van de CTIVD om een kader op te stellen en daarmee de voorzienbaarheid
te vergroten nemen wij zoals gezegd over. De vraag is vervolgens op welke wijze. De
CTIVD stelt zoals besproken voor om dit in een AMvB te regelen. Wij kiezen voor een
andere route, die beter tot het door ons en de CTIVD gewenste resultaat zal leiden,
namelijk het opstellen en publiceren van beleidsregels. We gaan graag met de CTIVD
in gesprek om hier nader van gedachten over te wisselen.

Het is niet mogelijk om het via een AMvB te doen, omdat de vereisten uit artikel 96
van de Wiv 2017, alsmede de memorie van toelichting, zeggen dat de AMvB betrekking
heeft op een concreet samenwerkingsverband. De samenwerkingspartner moet in de AMvB
worden aangeduid. Gezien het staatsgeheime karakter van de samenwerkingen kan daarin
niet worden voorzien. Dat zou ook betekenen dat voor elke nieuwe samenwerking een
AMvB zou moeten worden opgesteld. Dat is in het licht van de uitvoerbaarheid geen
wenselijke optie.

Beleidsregels samenwerkingsverbanden

Daarom zullen wij beleidsregels voor samenwerkingsverbanden opstellen en deze publiceren.
Dat sluit ook aan bij het oordeel van de Evaluatiecommissie Wiv 2017 dat het passend
is om dergelijke regelingen in beleidsregels op te nemen.2 In deze beleidsregels zal onder meer worden stilgestaan bij het aangaan van samenwerkingsverbanden,
de voorwaarden en de waarborgen. Hierbij dient wel te worden opgemerkt dat in deze
beleidsregels niet concreet kan worden aangegeven welke partijen bij de publiek-private
samenwerkingen betrokken zijn.

Herziening Wiv 2017 en publiek-private samenwerking

Bij de herziening van de Wiv 2017 wordt actief aandacht besteed aan het wettelijk
kader aangaande het thema samenwerking, waaronder publiek-private samenwerking.3 Het belang van deze samenwerkingen neemt naar alle waarschijnlijkheid in de toekomst
alleen maar toe. Het opnemen van een voorzienbare regeling met duidelijke waarborgen
kan bijdragen aan de structurering van deze samenwerkingen. De inzichten van de CTIVD
over publiekprivate samenwerkingen worden dan ook actief betrokken bij de uitwerking
van het wetsvoorstel.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.J.M. Uitermark

De Minister van Defensie,
R.P. Brekelmans