De Algemene en Militaire Inlichtingen- en Veiligheidsdiensten (AIVD en MIVD) hebben geen grondslag voor publiek-private samenwerkingen in het cyberdomein, zo heeft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een 'zorgbrief' aan de Tweede Kamer laten weten. Het kabinet kan zich hier niet in vinden en stelt dat het delen van informatie tussen de diensten en bedrijven binnen de wet plaatsvindt.

De gegevensuitwisseling tussen de diensten en private partijen bestaat uit bijvoorbeeld technische kenmerken van infrastructuur die aanvallers gebruiken of ingezette malware. Volgens de toezichthouder op de inlichtingendiensten bestaan er aanzienlijke risico’s bij dit type samenwerkingen en bij de partijen met wie wordt samengewerkt. Dergelijke samenwerkingen op het gebied van cyberveiligheid tussen de diensten en private partijen zijn door de CTIVD dan ook als onrechtmatig beoordeeld.

De diensten mogen onder de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) gegevens uitwisselen met private partijen. In het geval van publiek-private samenwerkingen in het cyberdomein vindt het ontvangen en verstrekken van gegevens op structurele basis plaats. Die moeten volgens de CTIVD daarom in onderlinge samenhang worden gezien. "Er bestaan aanzienlijke risico’s bij dit type samenwerkingen en bij de partijen met wie wordt samengewerkt. Zo dienen deze partijen andere belangen dan nationale veiligheid en ontbreekt toezicht op wat deze private partijen met de verkregen gegevens doen", aldus de toezichthouder.

Voor dergelijke structurele samenwerkingen biedt de Wiv 2017 volgens de CTIVD geen grondslag. Daardoor zijn er ook onvoldoende waarborgen en leidt dit in de praktijk tot onrechtmatig handelen van de inlichtingendiensten, zo staat in de zorgbrief vermeld. De toezichthouder vraagt de politiek nu om bij de herziening van de Wiv 2017 voor een dergelijke grondslag te zorgen of dit voor nu via een Algemene Maatregel van Bestuur te regelen.

'Bevraagd als informant'

"Deze bedrijven worden bevraagd als informant. De diensten verstrekken gegevens aan deze partijen. De verstrekking onder dit samenwerkingsverband wordt op dit moment enkel gedaan in het kader van het versterken van de digitale weerbaarheid van Nederland en zijn bondgenoten", laat minister Uitermark van Binnenlandse Zaken in een brief aan de Tweede Kamer weten. De bewindsman erkent dat er bij samenwerkingsverbanden risico’s gemoeid kunnen zijn. De minister voegt toe dat het al dan niet structurele karakter van de samenwerking volgens hem geen rol speelt bij de beoordeling van de rechtmatigheid daarvan.

In een reactie op het advies van de CTIVD laat de minister verder weten dat er beleidsregels voor samenwerkingsverbanden worden opgesteld en gepubliceerd. "In deze beleidsregels zal onder meer worden stilgestaan bij het aangaan van samenwerkingsverbanden, de voorwaarden en de waarborgen." Afsluitend stelt de bewindsman dat bij de herziening van de Wiv 2017 ook aandacht wordt besteed aan de publiek-private samenwerking (pdf).