Daniël van der Tuin

Share this post

Wob-documenten: Rijk wil grote hoeveelheden data surveilleren via cyberwaakhond NCSC

danielvdtuin.substack.com
Wob-documenten

Wob-documenten: Rijk wil grote hoeveelheden data surveilleren via cyberwaakhond NCSC

De epidemie werd aangegrepen om zorgdata te gaan surveilleren. Wetgeving moet het mogelijk maken om alle bedrijfs- en overheidsdata te centraliseren bij het Rijk, die dit zonder instemming kan delen.

Daniël van der Tuin
Apr 28, 2022
33
Share this post

Wob-documenten: Rijk wil grote hoeveelheden data surveilleren via cyberwaakhond NCSC

danielvdtuin.substack.com
55
Share

Het ministerie van Justitie en Veiligheid wil dat het Nationaal Cyber Security Centrum (NCSC) de bevoegdheid krijgt om dreigingsinformatie breder te delen dan alleen met vitale organisaties en de Rijksoverheid. Een wetsvoorstel moet dit mogelijk maken. Wob-documenten laten zien dat de epidemie door het Rijk is aangegrepen voor meer digitale surveillance. De wet maakt het mogelijk om enorme hoeveelheden data onder centraal toezicht te stellen van het Rijk. Uit onderzoek blijkt dat de wet in strijd is met de AVG.

Het onderzoek is van Van den Bos en Van der Tuin

Deze week werd bekend dat de ‘gegevenswet’ naar de Tweede Kamer gaat. Hiermee krijgt het NCSC meer bevoegdheden om digitale dreigingsinformatie te verzamelen en te delen. Het Security Centrum heeft momenteel alleen een wettelijke grondslag om dit soort informatie te verstrekken aan vitale organisaties en de Rijksoverheid. De nieuwe wet maakt het voor de overheid technisch mogelijk maken om een kollossale hoeveelheid informatie op één plek te centraliseren. Deze data kan worden geanalyseerd en zonder instemming van burgers als dreigingsinformatie worden gedeeld.

NCTV: Beleidsopdrachtgever van het NCSC

Het Nationaal Cyber Security Centrum (NCSC) werd opgericht in 2012 en is onderdeel van het Ministerie van Justitie en Veiligheid. De beleidsopdrachtgever is het Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)1. Naar eigen zeggen is het NCSC opgericht om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Bijvoorbeeld door te waarschuwen voor een DDoS aanval. Het werk van de dienst zou belangrijk zijn om het betalingsverkeer op gang te houden, voor schoon water uit de kraan en om droge voeten te houden.

Coronacrisis: voet tussen deur zetten bij zorgsector

De cyberbeveiligingdienst analyseert al langere tijd enorme hoeveelheden data uit allerlei netwerk- en informatiesystemen. Wanneer er sprake is van een vermeende dreiging, dan wordt dit via schakelorganisaties doorgegeven aan overheidsinstanties. Als het NCSC het nodig vindt, dan speelt zij hierbij ook persoonsgegevens en andere data door, zodat er actie kan worden ondernomen. De dienst heeft op dit moment al toegang tot heel wat datastromen waarin zij is geïnteresseerd. De coronacrisis is echter aangegrepen om een voet tussen de deur te krijgen in de medische sector, die tot voor kort niet als vitaal werd aangemerkt.

NCTV houdt zich bezig met ‘strijd tegen desinformatie’

Terwijl het NCSC zicht bezig houdt met cybersecurity, houdt zijn beleidsopdrachtgever NCTV zich onder andere bezig met het informeren van burgers over wat zij noemt desinformatie. De ‘terrorismewaakhond’ schrijft bijvoorbeeld in de brochure Kennen ze jou ergens van?: “Ook landen zetten digitale middelen in voor eigen gewin: van het verspreiden van desinformatie tot aan spionage en sabotage. Er zijn ook zogenoemde statelijke actoren die op grote schaal persoonsgegevens verzamelen.”2 Hierbij wordt niet vermeld dat het NCSC toegang heeft tot allerlei gevoelige gegevens, terwijl het Rijk ook steeds meer data gebruikt om de bevolking regeringsgezind te houden.

Verstrengeling Koninklijke Landmacht en NCSC

Aan het NCSC zit ook een militair tintje, want uit wob-documenten blijkt dat het samenwerkt met de Koninklijke Landmacht. Eerder werd al bekend dat Defensie zich sinds de epidemie is gaan bezig houden met het observeren van invloedrijke burgers en journalisten die kritisch staan tegenover het regeringsbeleid. Dat doet zij via de 109 Open Source Intelligence-compagnie en de informatie wordt wijd gedeeld binnen het Rijk. Uit officiële documenten blijkt nu dat deze activiteiten al veel verder terug voeren: de eerste omgevingsanalyses dateren van 2012 en mogelijk zelfs eerder.

Justitie had tijdens de epidemie grote haast met spoedwet

De gegevenswet die nu voorligt, moet het mogelijk maken dat het NCSC zich kan gaan bezig houden met veiligheidsvraagstukken van allerlei bedrijven en organisaties. Wob-documenten laten zien dat deze ontwikkeling tijdens de epidemie in gang is gezet: het ministerie van Justitie en Veiligheid had namelijk vroeg tijdens de epidemie grote haast met een spoedwet. Hiermee kon het NCSC ook cyberhulp gaan verlenen aan ziekenhuizen, farmaceuten en de gehele medische industrie.

De vraag rijst waarom het NCSC zich tijdens de epidemie met de zorgsector ging bemoeien. Enerzijds waren alle ziekenhuizen namelijk al aangesloten bij Z-CERT, een expertisecentrum voor cybersecurity in de zorg. Ook werd eerder in een memorie van toelichting besloten dat de zorg geen vitale aanbieder is. Het valt niet uit te sluiten dat de waakhond de crisis heeft aangegrepen om haar speelveld te vergroten: uit interne documenten blijkt namelijk dat de NCTV een strategie heeft wanneer zij taken wil uitvoeren die buiten de wet vallen. Bijvoorbeeld door een grondslag te creëren.

NCSC bemoeide zich ook met dreigingen rond vaccinontwikkeling

Het NCSC ging zich tijdens de epidemie ook met andere ontwikkelingen in de zorg bezig houden, zoals veiligheidsvraagstukken rond de coronamelder. Deze applicatie werd ontegenzeggelijk gebruikt als voorloper van het door de Europese Unie gewenste coronapaspoort. Officiële documenten laten zien dat de NCSC zich hierna ook ging bemoeien met andere initiatieven rond de coronacrisis. Zo constateerde de instantie in het begin van de epidemie een potentiële dreiging voor medische technologie en vaccinontwikkeling. De veiligheidsbeambten vonden dat er daarom beheersmaatregelen nodig waren.

Centralisatie van data: Nationaal Detectie Netwerk

De veiligheidsdiensten zijn steeds meer betrokken bij het digitale domein. Om de cybersecurity operatie mogelijk te maken werkt het NCSC samen met de AIVD en MIVD aan het Nationaal Detectie Netwerk (NDN). Via dit netwerk worden dreigingsbeelden aan allerlei organisaties en bedrijven beschikbaar gesteld.3 Om dit systeem te laten functioneren, lezen de veiligheidsdiensten grote hoeveelheden data uit van de aangesloten organisaties.

Hierbij wordt ook zeer gevoelige ‘restdata’ uitgelezen, die door de diensten als bijvangst wordt bestempeld. Het gaat onder andere om persoonsgegevens, e-mailadressen, IP-adressen en mogelijk ook medische data. De beschikbare data wordt vervolgens gespiegeld aan een database waarin bijvoorbeeld verdachte IP-adressen en gebruikers zijn genoteerd. Het gevolg is dat allerlei persoonsinformatie uit allerlei branches op een centrale plek komt te staan. De NCSC kan deze data vervolgens analyseren en zonder instemming delen met derden.

Cyberwaakhond NCSC heeft toegang tot data uit alle branches

Voor onderzoeksdoeleinden kan het NCSC naar eigen zeggen dreigings- en incidentinformatie verkrijgen uit allerlei netwerken en informatiesystemen, bijvoorbeeld van ziekenhuizen maar ook van veiligheidsregio’s, politieke partijen of beheerders van parkeervoorzieningen. Naast data van de Rijksoverheid wordt er ook data gesurveilleerd van bedrijven, zoals distributeurs, containeroverslagbedrijven en IT-leveranciers. Het beeld ontstaat dat het NCSC ondertussen data surveilleert van een enorme hoeveelheid data uit een groeiend aantal branches. Technisch gezien heeft zij ook toegang tot deze data.

NCTV: Wettelijke grondslag creëren voor gewenste taken

De gegevenswet die nu naar de Tweede Kamer gaat, moet een wettelijke basis bieden voor taken die het NCSC al uitvoert en waarvoor tijdens de epidemie een spoedwet is opgesteld. Deze gang van zaken komt niet uit de lucht vallen. In de wob-documenten is een strategie van de NCTV aangetroffen, die aangeeft welke routes de terrorismewaakhond kan nemen als zij taken wil uitvoeren waar het geen bevoegdheid voor heeft. In het geval van de gegevenswet lijkt de dienst eenvoudigweg een wettelijke grondslag te hebben gecreëerd voor taken die het al uitvoert en wil blijven uitvoeren. Een andere mogelijkheid die het NCTV hanteert is om illegale activiteiten voort te zetten en de risico's te accepteren.

Conclusies van het onderzoek

  • Data van de medische industrie wordt gesurveilleerd
    Het NCSC wilde tijdens de epidemie zorgdata gaan surveilleren. Hiervoor was geen wettelijke grondslag maar deze wordt nu alsnog gecreëerd. De gegevenswet zet de deur open om technisch gezien alle data uit overheids- en bedrijfsnetwerken te centraliseren door de Nederlandse overheid.

  • Persoonsgegevens zonder instemming uitlezen en delen
    Het NCSC heeft een controlerende rol maar het komt in aanraking met data van een groot aantal overheids- en bedrijfsnetwerken. Dreigingsbeelden, inclusief persoonsgegevens en mogelijk gevoelige medische data, kan het zonder instemming van de betrokken organisaties met derden delen.

  • Concurrentievervalsing voor private aanbieders
    Het NCSC is een afdeling van het ministerie van Justitie en Veiligheid, die nu proactief opsporingshandelingen gaat uitvoeren. Dit is normaal gesproken geen taak van het ministerie. Er ontstaat hiermee concurrentievervalsing voor private aanbieders.

  • Alle data in de maatschappij wordt gecentraliseerd
    De vraag rijst of de Nederlandse overheid wel toegang moet krijgen tot alle dataverkeer in de maatschappij en dit moet centraliseren, zonder dat hier toezicht op wordt gehouden en zonder duidelijkheid over inperking van deze surveillance op grote hoeveelheden data.

  • Autoriteit Persoonsgegevens: er worden persoonsgegevens gebruikt

    Volgens een advies van de Autoriteit Persoonsgegevens wordt er in de uitvoering van het wetsvoorstel vaak gebruik gemaakt van namen, e-mailadressen, wachtwoorden, IP-adressen en andere persoonsgegevens van zowel plegers als slachtoffers van cybercriminaliteit.

  • Geen rechtmatigheidstoetsing aan AVG mogelijk

    Er wordt in het wetsvoorstel gesproken over ‘andere’ persoonsgegevens die als ‘bijvangst’ wordt afgevangen. Wat hiermee bedoeld wordt, staat niet omschreven. Hierdoor kan er geen rechtmatigheidstoetsing aan de Algemene verordening gegevensbescherming (AVG) plaatsvinden. Het is ook niet duidelijk met welk doel bijvangst gedeeld wordt met andere partijen.

  • De zorgsector was al voorzien van cybersecurity

    De wet zelf en de uitvoering van de wet zijn duidelijk in strijd met de AVG. Het Rijk probeert op basis van artikel 23 van de AVG te redeneren naar noodzaak in het kader van nationale veiligheid. Dit valt echter niet te rijmen met uitlatingen dat de zorg al is voorzien van cybersecurity.

  • Het werkelijke doel van gegevensuitwisseling is onduidelijk
    Het is niet duidelijk wat het werkelijke doel van de gegevensuitwisseling is, onder meer omdat in officiële overheidsdocumenten te lezen is: ”Voor welke gegevensuitwisseling gaan we eerst een Algemene Maatregel van Bestuur (AMvB) maken?”.

  • De Europese Unie wil een digitale eengemaakte markt

    Samen met de Algemene verordening gegevensbescherming4 en de eIDAS-verordening5 wil de Europese Unie met de “Europese netwerk- en informatieveiligheid richtlijn” een vrije en veilige digitale eengemaakte markt tot stand brengen.

  • Gegevenswet is onderdeel van invoering digitale identiteit
    De gegevenswet is onderdeel van de invoering van de digitale identiteit. Met de wetswijziging wordt hiervoor legitimiteit gecreëerd. De NCSC heeft echter geen rechtspersoonlijkheid en wordt door de minister aangewezen. De vraag is waarom deze weg bewandeld wordt.

  • Overheden maakten zich schuldig aan cybercriminaliteit

    Het uitgangspunt van de hierboven beschreven praktijk is dat de overheid te vertrouwen is. De ervaring leert echter dat juist overheden zich in het verleden aan cybercriminaliteit schuldig hebben gemaakt. Nota bene het NCTV vestigt hier aandacht op in haar publiekscampagnes over desinformatie.

  • NCTV handelt in strijd met de wet
    Het NCTV handelt willens en wetens in strijd met de wet. Dat is vanzelfsprekend niet acceptabel omdat dit de basis van de rechtsstaat ondermijnt. De vraag is waarom er voor het handhaven van digitale veiligheid niet is gekozen voor een onafhankelijke rechtspersoon met een controlesysteem.

1

https://www.ncsc.nl/onderwerpen/partners-van-het-ncsc

2

https://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2020/oktober/8/infosheet-kennen-ze-jou-ergens-van/Kennen+Ze+Jou+Ergens+Van+Infosheet.pdf

3

https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2019/mei/01/nationaal-detectie-netwerk-infosheet/Nationaal_Detectie_Netwerk_DEF.pdf

4

https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/algemene-verordening-gegevensbescherming-avg

5

https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/identiteit/eidas

33
Share this post

Wob-documenten: Rijk wil grote hoeveelheden data surveilleren via cyberwaakhond NCSC

danielvdtuin.substack.com
55
Share

Discussion about this post

Frank Ruesink
May 3, 2022

Hoi Daniel, wederom dank voor je uitwerking. Graag één aanpassingen van mijn kant doorvoeren. Ik sprak Hugo de Jonge op 16 april 2020 i.p.v. 20 mei 2020. Succes met al het werk. Frank. Hierbij nog even de video waar ook de datum staat: https://www.youtube.com/watch?v=SgO-SsAlncQ

Expand full comment
Reply
Share
2 replies by Daniël van der Tuin and others
JanenInge van Triest
Apr 28, 2022

China was een lichtend voorbeeld voor Trudeau in corona aanpak. Jaja...dat belooft veel goeds met al de WEF poppenspelers

Expand full comment
Reply
Share
53 more comments...

No posts

Ready for more?

© 2024 Daniël van der Tuin
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture
Share