Bijlage III. Begrippenlijst. CTIVD nr. 53. bij het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en MIVD in 2015

Vergelijkbare documenten
Bijlage II. Begrippenlijst. CTIVD nr. 55

Bijlage IV. Begrippenlijst. CTIVD nr. 52

Bijlage III. Begrippenlijst. CTIVD nr. 54. bij het toezichtsrapport over de uitvoering van inzageverzoeken persoonsgegevens door de AIVD en de MIVD

Bijlage V. CTIVD nr. 60

Bijlage I. Opzet en methodiek. CTIVD nr. 53. bij het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en MIVD in 2015

Bijlage III. Specifieke gevallen. CTIVD nr. 52

Inleiding. Inleiding: Nederlandse I&V-diensten. Inhoud. Technische briefing

TOEZICHTSRAPPORT. inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD. CTIVD nr. 38.

Bijlage I. CTIVD nr. 56. Bij het toezichtsrapport over de multilaterale gegevensuitwisseling door de AIVD over (vermeende) jihadisten

Tweede Kamer der Staten-Generaal

Toezichtsrapport. CTIVD nr. 55. Over het verwerven van door derden op internet aangeboden bulkdatasets door de AIVD en de MIVD.

Bijlage II. Toetsingskader. CTIVD nr. 53. bij het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en MIVD in 2015

Bijlage II. CTIVD nr. 57. Bij het toezichtsrapport over de gegevensverstrekking door de AIVD binnen Nederland over (vermeende) jihadisten

TOEZICHTSRAPPORT. inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en de MIVD. CTIVD nr. 38.

Toezichtsrapport. CTIVD nr. 52. Over de inzet van bijzondere bevoegdheden jegens advocaten en journalisten door de AIVD en de MIVD.

Bijlage III. CTIVD nr. 57. Bij het toezichtsrapport over de gegevensverstrekking door de AIVD binnen Nederland over (vermeende) jihadisten

Convenant AIVD MIVD. De Minister van Binnenlandse Zaken en Koninkrijksrelaties en. de Minister van Defensie,

Privacyreglement versie 1.2, d.d

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Privacyreglement en internet gebruik

Verschillen tussen de Wiv 2002 en de Wiv 2017

Bewerkersovereenkomst

Onderzoeks opzet en methodiek

Datum 3 oktober 2014 Onderwerp Berichtgeving over verzamelen gegevens door Belastingdienst en uitwisselen met andere overheidsinstanties

Procedure meldplicht datalekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

TOEZICHTSRAPPORT. inzake onderzoek door de AIVD op sociale media. CTIVD nr. 39. [16 juli 2014]

Bijlage II Kwaliteitsverbeteringen

onderzoek en privacy WAT ZEGT DE WET

8.50 Privacyreglement

Privacyreglement Esma dienstverlening (februari 2018)

Voorwaarden Verwerking persoonsgegevens (Bewerkersovereenkomst)

De Militaire Inlichtingenen

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

Privacyreglement Stichting Houtdatwerkt

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

VERWERKING VAN PERSOONSGEGEVENS

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Bijlage I. CTIVD nr. 60

Bijlage I. CTIVD nr. 60

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

11064/09 nes/jel/sv 1 DG H 3A

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Referendum over de Wet op de inlichtingen- en veiligheidsdiensten 2017

Concept-wetsvoorstel Wet op de inlichtingen- en veiligheidsdiensten 20XX; wettekst (consultatieversie juni 2015)

Toezichtsrapport. CTIVD nr. 47. inzake de inzet van de afluisterbevoegdheid door de MIVD. juni 2013 juni 2015

THUISZORG GEZELLIG PRIVACYREGLEMENT T HUISZORG GEZELLIG VECHTSTRAAT AS ZWOLLE

Privacy proof organisatie? Okkerse & Schop Advocaten biedt u een juridische Privacy QuickScan

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

TOEZICHTSRAPPORT. inzake. de inzet van enkele langlopende agentenoperaties door de AIVD. CTIVD nr. 37. [17 april 2014]

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Bewerkersovereenkomst

2. In deze overeenkomst (de Verwerkersovereenkomst) wordt onder de volgende begrippen verstaan:

Uw kenmerk Koninkrijksrelaties Mevrouw drs. K.H. Ollongren Turfmarkt 147. Ons kenmerk 2511 DP Den Haag 2018/0194

Eerste Kamer der Staten-Generaal

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

Privacyreglement AMK re-integratie

Privacyreglement van Stichting 070Watt;

Protocol datalekken Samenwerkingsverband ROOS VO

PRIVACYREGLEMENT PERSOONSGEGEVENS STICHTING SAMEN. Europees brede Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Burgemeester en wethouders van Boxmeer; Gelezen het voorstel van burgemeester en wethouder van Boxmeer d.d. 21 mei 2002 B E S L U I T E N :

verantwoordelijke: de Algemeen directeur/bestuurder van het CVD

1. Begripsbepalingen In dit reglement wordt verstaan onder:

Bewerkersovereenkomst Jouw Omgeving voor kleine praktijken: jouwhulp.nl

BEWERKERSOVEREENKOMST

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

THUISZORG GEZELLIG PRIVACYREGLEMENT V1.0 TER PELKWIJKPARK SH ZWOLLE

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

SWPBS vanuit juridisch oogpunt

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Privacyreglement. 1. Begripsbepalingen

Eén verantwoordelijke

Eindbalans Wiv 2017: een werkbare wet

Privacyreglement 1. Begripsbepalingen

REGLEMENT BESCHERMING PERSOONSGEGEVENS

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Persoonsgegevens Persoonsgegevens zijn alle gegevens die informatie geven over u en waarmee u rechtstreeks of indirect identificeerbaar bent.

Privacyverklaring. Fondsenplatform Privacyverklaring versie 2.0

2018 Privacy Reglement

PRIVACY STATEMENT MYMICROZOO.COM

Privacy reglement / Geheimhouding

Privacyreglement Interactive Blueprints BV

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

gewoondoenreintegratie

Staatsblad van het Koninkrijk der Nederlanden

Bijlage 1: Bewerkersovereenkomst AFAS business consultancy en support

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

BLAD GEMEENSCHAPPELIJKE REGELING

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

Bijlage I. CTIVD nr. 57. Bij het toezichtsrapport over de gegevensverstrekking door de AIVD binnen Nederland over (vermeende) jihadisten

AVG - Algemene Verordening Gegevensbescherming. Privacy voorwaarden. Algemeen In deze privacy voorwaarden wordt verstaan onder:

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Transcriptie:

Bijlage III Begrippenlijst bij het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en MIVD in 2015 CTIVD nr. 53 8 maart 2017

Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten CTIVD nr. 53 BIJLAGE III bij het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en MIVD in 2015 Afdelingshoofd (MIVD) Applicatie Bewerker (AIVD) Bijschrijven Bijzondere bevoegdheid Buitenlandse dienst Bulkdata Bureauhoofd (MIVD) Functionaris binnen de MIVD die hiërarchisch als volgt is ingebed in de organisatie: directeur, afdelingshoofd, bureauhoofd, sectiehoofd. Een computerprogramma waarmee bepaalde taken uitgevoerd kunnen worden (bijvoorbeeld Microsoft Word, waarmee tekst verwerkt kan worden). De diensten maken gebruik van applicaties voor bijvoorbeeld de opslag, ontsluiting en analyse van gegevens. De bewerker is de dienstmedewerker die onder meer nieuwe gegevens beoordeelt en op basis daarvan de aanzet doet voor inlichtingenproducten, de koers van het team en de eventuele inzet van bevoegdheden. Bij de MIVD kan deze taak zijn belegd bij een analist. Met het bijschrijven worden andere geautomatiseerde werken (van dezelfde persoon of organisatie) of andere leden van een organisatie in een verzoek om toestemming opgenomen, die een aanvulling zijn op of in de plaats treden van de daarin al genoemde. Een bevoegdheid van de dienst die een specifieke inbreuk op de persoonlijke levenssfeer maakt. De toepassing van een bijzondere bevoegdheid heeft veelal een geheim karakter. De bijzondere bevoegdheden en de voorwaarden waaronder deze mogen worden toegepast zijn neergelegd in de artikelen 20 t/m 30 van de Wiv 2002 (bijvoorbeeld tappen of de inzet van een agent). Zie ook directe inzet / indirecte inzet. Een inlichtingen- en/of veiligheidsdienst van een ander land. Ongeëvalueerde gegevens; in de regel grote hoeveelheden metadata. Functionaris binnen de MIVD die hiërarchisch als volgt is ingebed in de organisatie: directeur, afdelingshoofd, bureauhoofd, sectiehoofd. Compartimentering Het in de praktijk brengen van het need to know beginsel uit artikel 35 Wiv 2002 in de zin dat binnen de AIVD of de MIVD ervoor wordt zorg gedragen dat informatie alleen aan medewerkers verstrekt wordt voor zover dat noodzakelijk is voor een goede uitvoering van de aan hen opgedragen taken. Credentials Cyber Inloggegevens (bijvoorbeeld gebruikersnaam en wachtwoord). Datgene dat samenhangt met de digitale of virtuele wereld, waaronder het internet. 1

Derde Directe inzet Directeur (AIVD) Directeur-Generaal (AIVD) Directeur (MIVD) E-mailaccount Encryptie Exploit Fysieke hack Geautomatiseerd werk Geëvalueerde gegevens Gegevensverwerking (verwerking van gegevens) Gericht Hack op afstand Hacken Personen of organisaties die zelf niet een target zijn en waartegen geen bijzondere bevoegdheden worden ingezet. Deze derden kunnen wel in een onderzoek van de AIVD of de MIVD betrokken raken, bijvoorbeeld doordat zij gebruik maken van dezelfde communicatiemiddelen. In het kader van de hackbevoegdheid gaat het dan doorgaans om een technische gerelateerde partij wier geautomatiseerde werk wordt gebruikt om binnen te dringen in het geautomatiseerd werk van het target. De inzet van een bijzondere bevoegdheid die specifiek is gericht op een verschoningsgerechtigde zelf. Functionaris binnen de AIVD die hiërarchisch als volgt is ingebed in de organisatie: directeur-generaal, directeur, unithoofd, teamhoofd. Functionaris die de leiding heeft over de AIVD, ook wel het hoofd genoemd. Binnen de AIVD is de directeur-generaal hiërarchisch als volgt ingebed in de organisatie: directeur-generaal, directeur, unithoofd, teamhoofd. Functionaris die de leiding heeft over de MIVD. Binnen de MIVD is de directeur hiërarchisch als volgt ingebed in de organisatie: directeur, afdelingshoofd, bureauhoofd, sectiehoofd. E-mail is elektronisch postverkeer. Een e-mailgebruiker gebruikt een account om e-mails te verzenden en te ontvangen. Een e-mailaccount kan aangevraagd worden bij een Internet Service Provider (bijvoorbeeld KPN) of een andere aanbieder van e-maildiensten (bijvoorbeeld Hotmail of Gmail). Het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden. Software, gegevens of opeenvolging van commando s die gebruikmaken van een kwetsbaarheid in software en/of hardware om ongewenste functies en/of gedrag te veroorzaken. Een hack waarbij het geautomatiseerd werk (tijdelijk) in handen is van één van de diensten. Een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen (bijvoorbeeld een computer, een computernetwerk, een mobiele telefoon of een server). Gegevens die op relevantie zijn beoordeeld. Elke handeling of elk geheel van handelingen met betrekking tot gegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding, of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1 sub f Wiv 2002). Als van tevoren kan worden aangegeven op welke personen, organisatie of technisch kenmerk de gegevensverwerving gericht is. Een hack op een geautomatiseerd werk buiten het directe fysieke bereik van de diensten, bijvoorbeeld via het internet. Het binnendringen in een geautomatiseerd werk. 2

Indirecte inzet Inlichtingentaak IP-adres JSCU Kwetsbaarheid Logging Malware Non-target Ontsluiting Ongeëvalueerde gegevens Ongericht Onrechtmatig De inzet van een bijzondere bevoegdheid die niet specifiek is gericht op een verschoningsgerechtigde zelf, maar waarbij wel vertrouwe lijke communicatie van of met hen wordt onderschept omdat de persoon jegens wie de inzet is gericht contact heeft me een verschoningsgerechtigde, (bijvoorbeeld) een cliënt van de advocaat of een bron van de journalist is. Het doen van onderzoek naar andere landen en het potentieel en de strijdkrachten van andere mogendheden (zie artikel 6, tweede lid, aanhef d en artikel 7, tweede lid, aanhef a en e Wet op de inlichtingenen veiligheidsdiensten). Iedere afzonderlijke computer die via IP met andere computers communiceert heeft een uniek adres, het IP-adres. Het IP-adres identificeert de aansluiting van de computer met het internet, vergelijkbaar met een telefoonnummer. Joint Sigint Cyber Unit, gezamenlijke eenheid van de AIVD en de MIVD die zich bezighoudt met de verwerking van gegevens op het gebied van sigint en cyber. Eigenschap van een informatiesysteem (of een onderdeel daarvan) die een kwaadwillende partij de kans geeft om de legitieme toegang tot informatie of functionaliteit te verhinderen en te beïnvloeden dan wel ongeautoriseerd te benaderen. Het volledig geautomatiseerd integraal vastleggen van gegevens over de uitvoering van een hack. Samentrekking van malicious software. Malware is de term die tegenwoordig als generieke aanduiding wordt gebruikt voor onder andere virussen, wormen en Trojaanse paarden. Een persoon of organisatie uit de omgeving van het target jegens wie een bijzondere bevoegdheid wordt ingezet ten einde via deze persoon of organisatie zicht te krijgen op een target. Een non-target is zelf niet in onderzoek bij de AIVD of MIVD. Het toegankelijk of doorzoekbaar maken van gegevens. Alle gegevens zowel metagegevens als inhoudelijke gegevens en zowel gericht als ongericht verworven gegevens die nog niet zijn beoordeeld op relevantie voor de taakuitvoering. Als niet van tevoren kan worden aangegeven op welke persoon, organisatie of technisch kenmerk de gegevensverwerving gericht is. De CTIVD komt tot het oordeel onrechtmatig als sprake is van strijdigheid met de wet of als de motivering zodanig gebrekkig is dat herstel ervan niet mogelijk is. Hierbij wordt rekening gehouden met de aard van de belangen waarop een inbreuk wordt gemaakt. De CTIVD ziet haar aanbevelingen, indien en voor zover zij door de betrokken minister(s) zijn overgenomen, ook in de berichtgeving aan het parlement, als onderdeel van de op de AIVD en de MIVD toepasselijke wet- en regelgeving. Het handelen van de AIVD en de MIVD dat hiermee niet in overeenstemming is, is derhalve ook onrechtmatig. 3

Onzorgvuldig Operationeel proces Organisatie Patch Responsible disclosure Server Signals intelligence (sigint) De CTIVD komt tot het oordeel onzorgvuldig als sprake is van een tekortkoming die herstelbaar is. In eerdere toezichtsrapporten ging het dan meestal om een gebrekkige motivering. Op basis van eigen nader onderzoek van de CTIVD bleek dan dat ondanks een tekortkoming in de motivering toch aan de wettelijke vereisten (beginselen van noodzakelijkheid, proportionaliteit en subsidiariteit) is voldaan. Van een onzorgvuldige werkwijze is sprake als deze rechtens tekortschiet, maar de risico s daarvan zich niet of nauwelijks hebben gerealiseerd. Het combineren van verworven gegevens met andere (reeds beschikbare) gegevens waarna de gegevens worden geduid en geanalyseerd om rapportages op te stellen die desgewenst aan de verantwoordelijke instanties kunnen worden verstrekt. Een duurzaam samenwerkingsverband met een gemeenschappelijke doelstelling, die kenbaar is voor zijn leden. Een patch (letterlijk: pleister ) kan bestaan uit reparatiesoftware of kan wijzigingen bevatten, die direct in een programma worden doorgevoerd om het desbetreffende programma te repareren of te verbeteren. Praktijk van het verantwoord melden van aangetroffen beveiligingslekken. Hierbij worden afspraken gehanteerd die er doorgaans op neerkomen dat de melder de ontdekking niet deelt met derden totdat het lek verholpen is, en de getroffen partij geen juridische stappen tegen de melder zal ondernemen. Een computer of een programma dat diensten verleent aan andere programma s (of gemeenschappelijke voorzieningen levert). Inlichtingen die verzameld worden uit opgevangen elektronische signalen. Taakuitvoering De uitvoering van de taken zoals die zijn omschreven in artikel 6 lid 2 Wiv 2002 (AIVD) en artikel 7 lid 2 Wiv 2002 (MIVD). Target Teamhoofd (AIVD) Uitwerken Unithoofd (AIVD) Veiligheidstaak Verschoningsgerechtigde Een persoon of organisatie waar de AIVD en MIVD onderzoek naar verricht (artikel 13 Wiv 2002). Functionaris binnen de AIVD die hiërarchisch als volgt is ingebed in de organisatie: directeur-generaal, directeur, unithoofd, teamhoofd. De schriftelijke verslaglegging van de opbrengst van de inzet van een bijzondere bevoegdheid. Functionaris binnen de AIVD die hiërarchisch als volgt is ingebed in de organisatie: directeur-generaal, directeur, unithoofd, teamhoofd. Taak gericht op het onderkennen van dreigingen voor het voortbestaan van de democratische rechtsorde (artikel 6, tweede lid, aanhef d Wet op de inlichtingen- en veiligheidsdiensten), dan wel voor de veiligheid of andere gewichtige belangen van de staat, of voor de veiligheid en de paraatheid van de krijgsmacht (artikel 7, tweede lid, aanhef c Wet op de inlichtingen- en veiligheidsdiensten). Een persoon met een maatschappelijke vertrouwensfunctie, in die zin dat eenieder vertrouwelijk met deze persoon moet kunnen communiceren. Op grond van deze functie komt aan zijn communicatie extra bescherming toe. 4

Vertrouwelijke communicatie Webforum Werkwijze Wiv 2002 Wiv 20.. Zero day kwetsbaarheid Communicatie toevertrouwd aan een verschoningsgerechtigde, maar niet in zijn hoedanigheid als privépersoon of andere professionele hoedanigheid. Digitale publieke discussiepagina s op het internet. Op sommige forums dienen bezoekers zich aan te melden om toegang te krijgen. Via deze pagina s kunnen de bezoekers veelal ook onderling berichten uitwisselen. Het schriftelijke beleid van de diensten en/of de werkwijze die in de praktijk wordt gehanteerd. Wet op de inlichtingen- en veiligheidsdiensten 2002. Deze wet geldt ten tijde van het onderzoek door de CTIVD. Voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten, dat in oktober 2016 bij de Tweede Kamer is ingediend en op 14 februari 2017 door de Tweede Kamer is aangenomen. Een kwetsbaarheid waarvoor nog geen patch beschikbaar is, omdat de maker daarvan nog geen tijd heeft gehad om een patch maken en/of omdat deze hem nog niet bekend is. Dit wordt ook wel een onbekende kwetsbaarheid genoemd. 5

T 070 315 58 20 I F 070 381 71 68 E info@ctivd.nl I www.ctivd.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback