Reactie op de brief van de CTIVD inzake de grondslag voor publiek- private samenwerkingen in het cyberdomein
Informatie- en communicatietechnologie (ICT)
Brief regering
Nummer: 2025D06601, datum: 2025-02-17, bijgewerkt: 2025-02-26 13:39, versie: 3 (versie 1, versie 2)
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-26643-1280).
Gerelateerde personen:- Eerste ondertekenaar: J.J.M. Uitermark, minister van Binnenlandse Zaken en Koninkrijksrelaties (Ooit Nieuw Sociaal Contract kamerlid)
- Mede ondertekenaar: R.P. Brekelmans, minister van Defensie (Ooit VVD kamerlid)
Onderdeel van kamerstukdossier 26643 -1280 Informatie- en communicatietechnologie (ICT).
Onderdeel van zaak 2025Z02915:
- Indiener: J.J.M. Uitermark, minister van Binnenlandse Zaken en Koninkrijksrelaties
- Medeindiener: R.P. Brekelmans, minister van Defensie
- Volgcommissie: vaste commissie voor Defensie
- Voortouwcommissie: vaste commissie voor Binnenlandse Zaken
- : IVD-aangelegenheden (tot nader order uitgesteld) (Commissiedebat), vaste commissie voor Binnenlandse Zaken
- 2025-02-18 15:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2025-03-13 11:30: Procedurevergadering commissie Binnenlandse Zaken (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
- 2025-06-17 20:00: Extra procedurevergadering commissie BiZa (groslijst controversieel verklaren) (Procedurevergadering), vaste commissie voor Binnenlandse Zaken
Preview document (🔗 origineel)
| Tweede Kamer der Staten-Generaal | 2 |
| Vergaderjaar 2024-2025 |
26 643 Informatie- en communicatietechnologie (ICT)
33 321 Defensie Cyber Strategie
30 821 Nationale Veiligheid
Nr. 1280 BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES EN VAN DEFENSIE
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 17 februari 2025
Op 17 februari heeft de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) uw Kamer een brief gestuurd inzake de grondslag voor publiek-private samenwerking. Wij zijn de CTIVD erkentelijk voor hun aandacht voor het belang en de inbedding van publiek-private samenwerking. Met deze brief sturen wij u een beleidsreactie op deze brief van de CTIVD.
De AIVD en de MIVD (hierna: de diensten) werken samen met het bedrijfsleven in het cyberdomein. In deze samenwerking worden gegevens uitgewisseld zodat een beter beeld van gekende en ongekende dreigingen in het cyberdomein kan worden verkregen en bedrijven zich kunnen weren tegen dreigingen. Het gaat hierbij om het bij elkaar brengen van puzzelstukjes die in gezamenlijkheid een beter beeld geven van de dreiging die Nederland raakt of dreigt te raken. Een voorbeeld daarvan is dat er analyses van malware bestanden en domeinnamen worden uitgewisseld waarvan bekend is dat deze van een statelijke actor afkomstig zijn. Dit draagt bij aan een betere weerbaarheid en daarmee een betere bescherming van de nationale veiligheid. Niet alleen van Nederland, maar ook van haar bondgenoten. Deze vormen van samenwerking passen bij de oproep die in de motie-Rajkowski wordt gedaan om de diensten en private bedrijven dreigingsinformatie te laten uitwisselen.1
In deze brief zetten wij uiteen hoe wij de aanbevelingen van de CTIVD in de praktijk willen toepassen, dit in het bijzonder door het vergroten van de voorzienbaarheid van samenwerkingen, op welke grondslag de diensten samenwerken met private partijen en tot slot op welke wijze we bij de herziening van de Wiv 2017 omgaan met publiek-private samenwerking.
Verkorte weergave standpunt CTIVD
In het kader van publiek-private samenwerking vindt er ontvangst en verstrekking van gegevens plaats door de AIVD en MIVD. De CTIVD heeft in december 2023 aan de diensthoofden kenbaar gemaakt dat het verstrekken van gegevens op grond van artikel 62 van de Wiv 2017 in de huidige omstandigheden vanwege een ontoereikende grondslag onrechtmatig is. De CTIVD ziet deze publiek-private samenwerkingsverbanden als een vorm van «structurele» samenwerking, waarbij het ontvangen en verstrekken van gegevens op regelmatige basis plaatsvindt en die daarom in onderlinge samenhang dient te worden beschouwd. De CTIVD heeft om die reden geoordeeld dat artikelen 39 en 62 van de Wiv 2017 niet voldoen als grondslag voor deze vorm van publiek-private samenwerking. Zij stelt dat er behoefte is aan een regeling die recht doet aan deze samenwerkingsverbanden met daarin de juiste waarborgen.
De CTIVD stelt voor om op basis van artikel 96 van de Wiv 2017 een algemene maatregel van bestuur (AMvB) op te stellen om in een kader te voorzien van publiek-private samenwerkingen.
Visie op samenwerking
De samenwerking met private partijen bestaat uit een wederzijdse uitwisseling van gegevens. Het betreft gegevens die technisch van aard zijn, zoals technische kenmerken van infrastructuur die actoren gebruiken of stukjes malware die worden gebruikt bij cyber-aanvallen. Deze bedrijven worden bevraagd als informant. De diensten verstrekken gegevens aan deze partijen. De verstrekking onder dit samenwerkingsverband wordt op dit moment enkel gedaan in het kader van het versterken van de digitale weerbaarheid van Nederland en zijn bondgenoten.
De CTIVD en wij delen het grote belang van deze samenwerking. De CTIVD merkt terecht op dat het belangrijk is dat in het kader van de voorzienbaarheid deze werkwijze goed is geborgd.
Vanzelfsprekend geldt voor samenwerkingsverbanden dat daar risico’s mee gemoeid kunnen zijn. Daar zijn de diensten zich van bewust. In dat kader passen de diensten een waarborgenkader toe om risico’s van een samenwerking in kaart te brengen en eventueel te mitigeren. Deze waarborgen zijn een aanvulling op het wettelijke kader. Een voorbeeld hiervan is dat iedere partij wordt gewogen. Dit wordt vastgelegd in een samenwerkingsbeschrijving. Eventuele restrisico’s worden uiteindelijk door de diensthoofden gewogen en beoordeeld. Ook wordt het type gegevens dat wordt verstrekt nadrukkelijk gewogen en is de partij waarmee wordt samengewerkt gehouden aan geheimhouding van de informatie die zij ontvangen. Een ander voorbeeld daarvan is dat alle gegevens die worden uitgewisseld en de bijbehorende toestemmingen centraal worden opgeslagen door de diensten. Op die manier zijn de uitgewisselde gegevens overzichtelijk na te gaan (ook voor de CTIVD).
Het wettelijk kader voor publiek-private samenwerkingen in het cyberdomein
Zoals hierboven beschreven worden bedrijven op basis van de informantenbevoegdheid bevraagd, op grond van artikel 39 Wiv 2017. Artikel 62 van de Wiv 2017 voorziet in een grondslag voor de diensten om extern gegevens te verstrekken. De wet verbindt hieraan bepaalde voorwaarden. De verstrekking moeten worden gedaan in het kader van de goede taakuitvoering van de diensten. Ook moet het de ontvangende partij aangaan. Daarnaast moet de verstrekking noodzakelijk, proportioneel en zorgvuldig zijn. Zolang dat het geval is, biedt de Wiv 2017 ruimte om de gegevens te verstrekken. De wet noch de wetsgeschiedenis maakt onderscheid tussen incidentele en structurele verstrekking. Het al dan niet structurele karakter van de samenwerking speelt volgens ons dan ook geen rol bij de beoordeling van de rechtmatigheid daarvan.
Om die reden concluderen wij dat de verstrekking van gegevens in het kader van de bestaande samenwerking met private partijen in het cyberdomein binnen de reikwijdte van artikel 62 van de Wiv 2017 valt. Het standpunt van de CTIVD dat deze verstrekkingen niet rechtmatig zijn kunnen wij dan ook niet volgen. De al enige tijd geleden gedane aanbeveling van de CTIVD om een grondslag middels een AMvB in te richten zal in dit licht geen oplossing bieden, aangezien er met een AMvB geen nieuwe grondslag kan worden gecreëerd.
Vergroten voorzienbaarheid
De aanbeveling van de CTIVD om een kader op te stellen en daarmee de voorzienbaarheid te vergroten nemen wij zoals gezegd over. De vraag is vervolgens op welke wijze. De CTIVD stelt zoals besproken voor om dit in een AMvB te regelen. Wij kiezen voor een andere route, die beter tot het door ons en de CTIVD gewenste resultaat zal leiden, namelijk het opstellen en publiceren van beleidsregels. We gaan graag met de CTIVD in gesprek om hier nader van gedachten over te wisselen.
Het is niet mogelijk om het via een AMvB te doen, omdat de vereisten uit artikel 96 van de Wiv 2017, alsmede de memorie van toelichting, zeggen dat de AMvB betrekking heeft op een concreet samenwerkingsverband. De samenwerkingspartner moet in de AMvB worden aangeduid. Gezien het staatsgeheime karakter van de samenwerkingen kan daarin niet worden voorzien. Dat zou ook betekenen dat voor elke nieuwe samenwerking een AMvB zou moeten worden opgesteld. Dat is in het licht van de uitvoerbaarheid geen wenselijke optie.
Beleidsregels samenwerkingsverbanden
Daarom zullen wij beleidsregels voor samenwerkingsverbanden opstellen en deze publiceren. Dat sluit ook aan bij het oordeel van de Evaluatiecommissie Wiv 2017 dat het passend is om dergelijke regelingen in beleidsregels op te nemen.2 In deze beleidsregels zal onder meer worden stilgestaan bij het aangaan van samenwerkingsverbanden, de voorwaarden en de waarborgen. Hierbij dient wel te worden opgemerkt dat in deze beleidsregels niet concreet kan worden aangegeven welke partijen bij de publiek-private samenwerkingen betrokken zijn.
Herziening Wiv 2017 en publiek-private samenwerking
Bij de herziening van de Wiv 2017 wordt actief aandacht besteed aan het wettelijk kader aangaande het thema samenwerking, waaronder publiek-private samenwerking.3 Het belang van deze samenwerkingen neemt naar alle waarschijnlijkheid in de toekomst alleen maar toe. Het opnemen van een voorzienbare regeling met duidelijke waarborgen kan bijdragen aan de structurering van deze samenwerkingen. De inzichten van de CTIVD over publiekprivate samenwerkingen worden dan ook actief betrokken bij de uitwerking van het wetsvoorstel.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.J.M. Uitermark
De Minister van Defensie,
R.P. Brekelmans