De Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) wil toezicht gaan houden op de zerodaylekken waarover de AIVD en MIVD beschikken en vindt niet dat hiervoor een apart orgaan moeten worden opgericht, zoals D66 wil. Dat heeft de toezichthouder vandaag in een brief aan de Tweede Kamer laten weten.
De inlichtingendiensten hebben intern beleid opgesteld dat beschrijft hoe er met zerodaylekken moet worden omgegaan. Het gaat hier om kwetsbaarheden die niet bij de leverancier bekend zijn. Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen. "Deze argumenten zijn alle terug te voeren op de zorgplicht van artikel 23 van de Wiv 2017, meer in het bijzonder het zorgdragen voor geheimhouding van bronnen, modus operandi en huidig kennisniveau", zo stelt de CTIVD.
De toezichthouder wilde meer informatie over de manier waarop het beleid door de inlichtingendiensten in de praktijk wordt toegepast. Dit leidde vorig jaar tot drie bijeenkomsten tussen de CTIVD en AIVD/MIVD. "De eerste bijeenkomst stond in het teken van het beleid en de gevolgde werkwijze. In de tweede en derde bijeenkomst zijn de gemaakte afwegingen en beslissingen met betrekking tot de concrete bij de diensten aanwezige zerodays besproken", aldus de CTIVD. De toezichthouder meldt dat de diensten alle (recente) zerodays waar mogelijk hebben geïnventariseerd en daarna gewogen.
De CTIVD vindt dat de inlichtingendiensten zerodays moeten melden, tenzij er redenen zijn om dit niet te doen. Bij het toezicht op de diensten komt de CTIVD al zerodaylekken tegen. Het gaat hier volgens de toezichthouder om zeer gevoelige gegevens, die zicht geven op de werkwijze en in een aantal gevallen ook de bronnen en het huidig kennisniveau van de diensten. "Het betreft daarmee hoog gerubriceerde informatie. Aan de omgang met dit soort staatsgeheimen worden hoge eisen gesteld", aldus de toezichthouder.
Vorig jaar kwam D66-Kamerlid Kees Verhoeven met een wetsvoorstel om een "gespecialiseerd afwegingsorgaan" in het leven te roepen om een afweging over zerodaylekken te maken. De CTIVD ziet dit niet zitten. Niet alleen vereist het een aanzienlijke investering in mensen en middelen, maar vormt tevens een risico voor de geheimhouding van de informatie, zo stelt de toezichthouder in de brief aan de Tweede Kamer.
Afsluitend laat de CTIVD weten dat het vanuit haar expertise en met de beschikbaarheid van voldoende middelen prima toezicht kan houden op de zerodaylekken van de inlichtingendiensten en dat er geen aanvullende wetgeving nodig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.