Beleid omgang onbekende kwetsbaarheden

De AIVD en MIVD hebben als kerntaak om dreigingen voor de nationale veiligheid tijdig te onderkennen en daarmee anderen in staat te stellen maatregelen te nemen. Hiertoe is cruciaal dat de diensten bijzondere bevoegdheden kunnen inzetten om achter de heimelijke intenties van kwaadwillenden te komen.

Zo kunnen zij bijvoorbeeld een kwaadwillende hacken om erachter te komen wat deze persoon precies van plan is. Soms werpen kwaadwillenden (digitale) barrières op, waardoor de diensten niet tijdig de dreiging kunnen onderkennen. In zo’n geval kunnen de diensten gebruik maken van een zwakke plek in de hard- en software van deze kwaadwillende persoon waarvan die niet bekend is bij de producent of leverancier van betreffende kwetsbaarheid: een onbekende kwetsbaarheid.

De nationale veiligheid is voor de AIVD en MIVD bij alle activiteiten leidend. De diensten doen onderzoek naar personen en organisaties die een dreiging vormen voor deze nationale veiligheid. Daarnaast hebben de diensten een beveiligingsbevorderende taak, waarbij wordt geadviseerd over beveiligingsmaatregelen. Zo’n maatregel kan bestaan uit het melden van een onbekende kwetsbaarheid aan hen die deze kunnen verhelpen. Het uitgangspunt bij onbekende kwetsbaarheden voor de diensten is: ‘melden, tenzij...’.

Klik hier (PDF, 37 KB) voor de uitgebreide versie van het beleid van de diensten over de omgang met onbekende kwetsbaarheden.

Hoe verwerven en verwerken de AIVD en MIVD bulkdatasets?

Bulkdatasets zijn bestanden die bestaan uit een grote hoeveelheid (een bulk) gegevens. Deze bestanden, die door derden worden aangeboden op het internet, kunnen door de AIVD en MIVD worden verworven vanuit hun kerntaak om de nationale veiligheid te beschermen. Ook kunnen de inlichtingen- en veiligheidsdiensten eventuele persoonsgegevens uit deze bulkdatasets verder verwerken. Deze gegevens worden door de AIVD en MIVD gebruikt om eventuele targets te onderkennen en identificeren.

Bulkdatasets verwerven: wat zijn de eisen?

Er gelden strenge eisen voor het verwerven van bulkdatasets. Dit gebeurt alleen als:

  • dit noodzakelijk is voor de taakuitvoering om de nationale veiligheid te beschermen (noodzakelijkheidsvereiste);
  • het middel in verhouding staat tot het beoogde doel (proportionaliteit);
  • er geen lichter middel beschikbaar is (subsidiariteit).

De hierboven genoemde vereisten worden uitgebreid toegelicht in het beleid van de AIVD en MIVD.

Klik hier (PDF, 49 KB) voor de uitgebreide versie van het beleid van de diensten over het verwerven en verwerken van bulkdatasets.