Convenant tussen AIVD, MIVD, Politie, NCSC, OM en NCTV inzake de samenwerking in de Cyber Intel/Info Cel (Convenant samenwerking CIIC)

Partijen:

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, te dezen vertegenwoordigd door de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD),

De Minister van Defensie, te dezen vertegenwoordigd door de directeur van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD),

De korpschef van politie,

Het College van Procureurs-generaal van het Openbaar Ministerie (OM), te dezen vertegenwoordigd door de voorzitter van het College,

De Minister van Justitie en Veiligheid, te dezen vertegenwoordigd door de directeur van het Nationaal Cyber Security Centrum (NCSC),

De Minister van Justitie en Veiligheid, te dezen vertegenwoordigd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV),

Overwegende dat:

  • een van de maatregelen in de Nederlandse Cybersecurity Agenda, die door het kabinet is opgesteld en door de Minister van Justitie en Veiligheid in april 2018 aan de Tweede Kamer is aangeboden1, is dat het landelijk situationeel beeld wordt versterkt met de inrichting van een samenwerkingsplatform met het oogmerk om binnen de wettelijke kaders meer en sneller handelingsperspectief met belanghebbende organisaties te kunnen delen, en hierdoor de digitale slagkracht van die organisaties te vergroten en de veiligheid in het digitale domein te versterken;

  • partijen in het kader van de uitvoering van de Nederlandse Cybersecurity Agenda, ten aanzien waarvan de NCTV coördinerend verantwoordelijk is, hebben besloten dat het, als onderdeel van bovengenoemd samenwerkingsplatform, noodzakelijk is dat er een Cyber Intel/Info Cel wordt ingesteld, waarbinnen de AIVD, de MIVD, de Politie, het NCSC en het OM relevante informatie over cyberdreigingen en -incidenten zullen samenbrengen en medewerkers van die partijen die informatie gezamenlijk zullen beoordelen, en van waaruit gegevens over cyberdreigingen, die blijkens deze beoordeling relevant zijn voor de taakuitoefening van partijen of het hierover informeren van andere belanghebbende organisaties, aan de deelnemende partijen kunnen worden verstrekt;

  • partijen deze cel juridisch wensen onder te brengen bij de AIVD en dientengevolge op de gegevensverwerking binnen dit organisatieonderdeel van de AIVD het bepaalde in de Wet op de inlichtingen- en veiligheidsdiensten 2017, waaronder de bepalingen over toezicht, van toepassing is;

  • partijen daarnaast de werkzaamheden in deze cel in fysieke zin wensen te laten plaatsvinden in de huisvesting van het NCSC;

  • partijen waar aangewezen, onder betrokkenheid van de functionarissen voor gegevensbescherming, met het oog op de beoogde verstrekking van gegevens aan de AIVD ten behoeve van de werkzaamheden in bovengenoemde cel, een privacy impact assessment hebben uitgevoerd;

  • partijen informatie, die zij ten behoeve van de werkzaamheden in deze cel aan de AIVD verstrekken, onverminderd zelf kunnen gebruiken voor hun eigen taakuitoefening, waaronder het aan andere partijen verstrekken hiervan in het kader van een bilaterale samenwerking;

  • deelname door partijen aan de samenwerking in deze cel de eigen taken, bevoegdheden en verantwoordelijkheden van die partijen onverlet laat;

  • partijen met dit convenant afspraken over het instellen van en de samenwerking in bovengenoemde cel wensen vast te leggen;

Gelet op:

  • De artikelen 8, 10, 17 tot en met 22, 25, uitgezonderd het eerste lid, onder d, 26, 38, 39, 61, 62, 65 tot en met 69, 86, 91, 93, 94, 97, 135 en 136 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017);

  • De artikelen 7, 17 en 24 van de Wet politiegegevens (Wpg);

  • Artikel 3 van de Politiewet 2012 (Pw 2012);

  • Artikel 52 van de Wet justitiële en strafvorderlijke gegevens (Wjsg);

  • Artikel 14 van het Besluit justitiële en strafvorderlijke gegevens (Bjsg);

  • Artikel 124 van de Wet op de rechterlijke organisatie (Wet RO);

  • De artikelen 3 en 20 van de Wet beveiliging netwerk- en informatiesystemen (Wbni);

  • Artikel 6, eerste lid, van de Algemene verordening gegevensbescherming (Avg);

Spreken het volgende af:

Artikel 1 (definities)

In dit convenant wordt verstaan onder:

a. CIIC:

Cyber Intel/Info Cel, bedoeld in artikel 3;

b. cyberdreiging:

dreiging van een cyberincident;

c. cyberincident:

gebeurtenis met een schadelijk effect op de beveiliging van netwerk- en informatiesystemen.2

Artikel 2 (doel convenant)

Het doel van dit convenant is het vastleggen van afspraken tussen partijen over het instellen van en de samenwerking in een Cyber Intel/Info Cel, ten behoeve van het versterken van een landelijk situationeel beeld ten aanzien van cyberdreigingen en -incidenten, het op basis daarvan door partijen in relatie tot die dreigingen en incidenten beter kunnen uitoefenen van hun wettelijke taken, het meer en sneller bieden van handelingsperspectief aan andere belanghebbende organisaties inzake cyberdreigingen, en het hierdoor vergroten van de digitale slagkracht van genoemde organisaties en versterken van de veiligheid in het digitale domein.

Artikel 3 (instellen en onderbrenging van CIIC)

Partijen komen overeen dat een Cyber Intel/Info Cel wordt ingesteld, waarin partijen, uitgezonderd de NCTV, in het belang van de nationale veiligheid informatie over cyberdreigingen en cyberincidenten bijeen zullen brengen, die informatie door medewerkers van die partijen gezamenlijk zal worden beoordeeld, en van waaruit op basis van die beoordeling relevant gebleken informatie over cyberdreigingen en cyberincidenten aan partijen ten behoeve van hun taakuitoefening of door tussenkomst van partijen aan andere belanghebbende organisaties met het oog op hen aangaande cyberdreigingen zal kunnen worden verstrekt, dat deze cel juridisch wordt ondergebracht bij de AIVD, en dat deze cel fysiek wordt ondergebracht bij het NCSC.

Artikel 4 (aanwijzing medewerkers van partijen)

  • 1. Partijen, uitgezonderd de NCTV en het OM, wijzen één of meer van hun medewerkers aan om werkzaamheden in de CIIC te verrichten.

  • 2. De politiechef van de landelijke eenheid, genoemd in artikel 91, eerste lid, van de Wiv 2017, draagt er zorg voor dat de in het eerste lid bedoelde medewerkers van de Politie worden aangewezen overeenkomstig artikel 91, tweede lid, van de Wiv 2017.

  • 3. De medewerkers van het NCSC, die op grond van het eerste lid worden aangewezen om werkzaamheden in de CIIC te verrichten, zullen die werkzaamheden op basis van een detacheringsovereenkomst bij de AIVD verrichten.

  • 4. De medewerkers van de MIVD, die op grond van het eerste lid worden aangewezen om werkzaamheden in de CIIC te verrichten, zullen die werkzaamheden in het kader van de samenwerking met de AIVD, bedoeld in artikel 86 van de Wiv 2017, verrichten.

  • 5. Het College van procureurs-generaal van het OM wijst een of meer medewerkers van het OM aan voor het overleg, bedoeld in artikel 93, tweede lid, van de Wiv 2017, in de gevallen waarin de werkzaamheden in de CIIC en de vervulling van de taak van het OM daartoe aanleiding geven.

  • 6. De medewerkers, die op grond van het eerste lid worden aangewezen om werkzaamheden te verrichten in de CIIC, zullen voorafgaand aan het verrichten van die werkzaamheden een A- veiligheidsonderzoek ondergaan.

Artikel 5 (verstrekking van gegevens aan CIIC)

  • 1. Partijen, uitgezonderd de NCTV, verstrekken ten behoeve van de werkzaamheden in de CIIC, met inachtneming van de voor hen geldende wettelijke kaders, meer in het bijzonder de artikelen 39, 61, 86, 93 en 94 van de Wiv 2017, de artikelen 7, 17 en 24 van de Wpg, artikel 52 van de Wjsg, artikel 14 van het Bsjg, de artikelen 3 en 20 van de Wbni, en artikel 6, eerste lid, van de Avg, al dan niet op rechtstreeks geautomatiseerde wijze, aan de AIVD, dan wel, in het geval van verstrekking door de AIVD, aan de in de CIIC werkzame ambtenaren, bij hen berustende gegevens aangaande cyberdreigingen en cyberincidenten, voor zover die naar hun oordeel relevant zijn voor de werkzaamheden in de CIIC.

  • 2. De in het eerste lid bedoelde verstrekking van gegevens laat de bevoegdheid van een partij tot gebruikmaking van de door die partij aangeleverde gegevens in het kader van de eigen taakuitvoering onverlet.

  • 3. De gegevens, die op grond van het eerste lid worden verstrekt ten behoeve van de werkzaamheden in de CIIC, worden na ontvangst daarvan, onder vermelding van de afkomst van die gegevens, opgenomen in een hiervoor specifiek bestemd informatiesysteem of hiervoor specifiek bestemd gedeelte van een informatiesysteem.

Artikel 6 (verwerking van gegevens in CIIC)

  • 1. De medewerkers, bedoeld in artikel 4, eerste lid, raadplegen, vergelijken en analyseren de op grond van artikel 5, eerste lid, door de partijen verstrekte gegevens in de CIIC, met inachtneming van het omtrent de verwerking van gegevens bepaalde in de Wiv 2017.

  • 2. De in het eerste lid bedoelde medewerkers oefenen bij hun werkzaamheden in de CIIC geen bevoegdheden tot het opsporen van strafbare feiten uit.

  • 3. De in het eerste lid bedoelde medewerkers oefenen bij hun werkzaamheden in de CIIC geen bijzondere bevoegdheden als bedoeld in paragraaf 3.2.5. van de Wiv 2017 uit.

Artikel 7 (verstrekking van gegevens vanuit CIIC)

  • 1. Verstrekking van de gegevens die door de partijen op grond van artikel 5, eerste lid, ten behoeve van de werkzaamheden in de CIIC zijn verstrekt, alsook van de op basis van die gegevens in de CIIC ontwikkelde analyses, aan andere onderdelen van de AIVD, aan andere partijen of aan andere personen of organisaties, geschiedt met inachtneming van het daaromtrent bepaalde in de Wiv 2017 en het bepaalde in het tweede lid van dit artikel.

  • 2. De op grond van artikel 5, eerste lid, aan de CIIC verstrekte gegevens onderscheidenlijk de vermelding daarvan in de op basis van die gegevens in de CIIC ontwikkelde analyses, worden aan andere onderdelen van de AIVD, aan andere partijen of aan andere personen of organisaties niet verstrekt onderscheidenlijk kenbaar gemaakt dan nadat hiervoor uitdrukkelijk toestemming is verleend door de partij waarvan de desbetreffende gegevens afkomstig zijn.

Artikel 8 (financiën)

De door deze samenwerking ontstane personele kosten worden gedragen door de partij waartoe dat personeel behoort. Partijen maken over de verdeling van de overige door deze samenwerking ontstane kosten nog nadere afspraken.

Artikel 9 (stuurgroep)

  • 1. Er is een stuurgroep, bestaande uit vertegenwoordigers van de partijen, die tot taak heeft om:

    • a. toe te zien op de uitvoering van de afspraken in dit convenant over de samenwerking in de CIIC;

    • b. afspraken te maken over de aard en omvang van de in artikel 3 bedoelde werkzaamheden in de CIIC en de door partijen hiervoor beschikbaar te maken personele capaciteit, geldelijke middelen en overige voorzieningen.

  • 2. De stuurgroep evalueert daarnaast de uitvoering en werking van dit convenant, voor het eerst een half jaar na inwerkingtreding hiervan en daarna jaarlijks.

  • 3. De stuurgroep voert periodiek, en ten minste vier maal per jaar, overleg.

  • 4. De stuurgroep kan besluiten tot het instellen van een werkgroep, met daarin vertegenwoordigers van de partijen, die belast zal zijn met de voorbereiding van of het adviseren over het door de stuurgroep uitvoeren van de in het eerste lid bedoelde taken.

  • 5. De stuurgroep kan regels stellen omtrent de eigen werkwijze.

Artikel 10 (communicatie)

Partijen spreken af dat communicatie met derden over de in dit convenant bedoelde samenwerking zal plaatsvinden na afstemming met de andere partijen. De in de eerste volzin bedoelde afstemming vindt plaats onder coördinatie van de NCTV, voor zover de communicatie specifiek de uitvoering van de Nederlandse Cybersecurity Agenda betreft.

Artikel 11 (afdwingbaarheid)

Dit convenant is niet in rechte afdwingbaar.

Artikel 12 (geschillen)

Alle geschillen tussen partijen in verband met dit convenant worden in goed onderling overleg tussen de partijen beslecht.

Artikel 13 (wijziging)

  • 1. Indien zich omstandigheden voordoen die aanleiding kunnen geven dit convenant te wijzigen, zullen partijen over de noodzaak hiertoe in onderling overleg treden.

  • 2. Elke partij kan de andere partijen schriftelijk verzoeken dit convenant te wijzigen. Wijzigingen van dit convenant behoeven de schriftelijke instemming van alle partijen.

Artikel 14 (opzegging)

  • 1. Elke partij kan dit convenant met inachtneming van een opzegtermijn van twee maanden schriftelijk opzeggen, onder vermelding van de reden hiervoor.

  • 2. Wanneer een partij dit convenant opzegt, blijft dit voor de overige partijen in stand, voor zover de inhoud en strekking ervan zich daartegen niet verzet.

Artikel 15 (inwerkingtreding en duur)

Dit convenant treedt in werking op de datum van ondertekening door de laatste van de partijen en wordt voor onbepaalde tijd aangegaan.

Artikel 16 (publicatie in Staatscourant)

  • 1. De tekst van dit convenant wordt uiterlijk binnen een maand na ondertekening door de laatste van de partijen gepubliceerd in de Staatscourant.

  • 2. Bij wijziging van dit convenant vindt het eerste lid overeenkomstige toepassing.

  • 3. Van opzegging van dit convenant wordt melding gemaakt in de Staatscourant.

Artikel 17 (slotbepaling)

Dit convenant wordt aangehaald als: Convenant samenwerking CIIC.

Aldus overeengekomen en in zesvoud opgemaakt,

Te Den Haag op 26 mei 2020

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, namens deze, E.S.M. Akerboom, de directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst

Te Den Haag op 20 mei 2020

De Minister van Defensie, namens deze, J.R. Swillens, de directeur van de Militaire Inlichtingen- en Veiligheidsdienst

Te Den Haag op 13 mei 2020

De korpschef van politie, H.P. van Essen

Te Den Haag op 12 mei 2020

Het College van procureurs-generaal, namens deze, G.W. van der Burg, de voorzitter van het College

Te Den Haag op 6 mei 2020

De Minister van Justitie en Veiligheid, namens deze, H.L. de Vries, de directeur van het Nationaal Cyber Security Centrum

Te Den Haag op 28 mei 2020

De Minister van Justitie en Veiligheid, namens deze, P.J. Aalbersberg, de Nationaal Coördinator Terrorismebestrijding en Veiligheid

X Noot
1

Kamerstukken II 2017/18, 26 643, nr. 536

X Noot
2

Vgl. artikel 4 NIB-richtlijn (Richtlijn (EU) 2016/148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie).

Naar boven