Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 december 2014

Met deze brief informeer ik uw Kamer naar aanleiding van het verzoek van het lid Van Raak (SP) tijdens de regeling van werkzaamheden op 24 november 2014 om een brief over de recente publiciteit over spionagesoftware die wordt aangeduid met «Regin» en die een zeer hoge graad van geavanceerdheid zou hebben. Tevens bied ik u in de bijlage de antwoorden aan op de schriftelijke vragen die zijn gesteld door de leden Schouw en Verhoeven (beiden D66) over de geheime malware die aangetroffen is binnen de systemen van de Europese Unie en de bedrijven in Europese lidstaten (Aanhangsel Handelingen II 2014/15, nr. 725). Deze vragen werden ingezonden op 27 november 2014.

De ontstane publiciteit van de afgelopen twee weken houdt verband met berichten in de Duitse en Belgische media rond 20 september 2013 over digitale spionageactiviteiten bij de Belgische telecomaanbieder Belgacom. De AIVD heeft toen geen aanwijzingen aangetroffen dat Nederland een direct doelwit was van deze aanval. Uw Kamer is op 11 oktober 2013 over de resultaten van dit onderzoek geïnformeerd middels een brief (Kamerstuk 26 643, nr. 290) en op 14 oktober 2013 met de beantwoording van Kamervragen van de leden Schouw en Verhoeven (Aanhangsel Handelingen II 2013/14, nr. 254).

Naar aanleiding van de berichtgeving van de afgelopen twee weken heeft de AIVD bekeken of er sprake is van een nieuw incident of dat de huidige berichtgeving nog steeds dezelfde aanval betreft. Dat laatste blijkt het geval te zijn. Er zijn thans geen indicaties dat Nederlandse instellingen en bedrijven direct slachtoffer zijn geworden van de Regin-malware.

Er zijn nationaal en Europees initiatieven ontplooid om te bezien of Amerikaanse inlichtingenactiviteiten in het digitale domein de Nederlandse en Europese belangen aantasten. Vanuit de EU is in de Working Group on data protection gesproken over de wenselijkheid van bescherming van privacyrechten voor burgers in de EU onder Amerikaans recht. Het ging hierbij om rechtsgelijkheid bij dataverwerking voor burgers in de EU en de VS. Ook is er aansluiting gezocht bij het acht-punten-programma van de Duitse Bondskanselier Merkel. In het programma staat versterking van de privacy centraal. Specifiek voor de inlichtingen- en veiligheidsdiensten gaat het om het ontwikkelen van normen voor samenwerking. De AIVD en MIVD zijn sinds de start van dit initiatief betrokken en dragen actief bij aan het proces. De gesprekken tussen de Europese en Amerikaanse inlichtingen- en veiligheidsdiensten onder leiding van de Duitse Bundesnachrichtendienst vinden plaats in een vertrouwelijke setting en daarover kan ik u niet in het openbaar inlichten.

Ook nationaal vindt samenwerking plaats bij het tegengaan van schadelijke cyberactiviteiten. De AIVD werkt nauw samen met verschillende partners, waaronder het Nationaal Cyber Security Centrum. Het doel is om dreigingen tijdig te identificeren, kwetsbaarheden in software te onderkennen, aanvallen te kunnen tegengaan en te adviseren over het tegengaan en het ongedaan maken van besmettingen.

Heimelijk uitgevoerde inlichtingenactiviteiten in en tegen Nederland zijn niet toelaatbaar. De AIVD en de MIVD zijn elk opgedragen deze activiteiten te onderkennen en tegen te gaan. Daarnaast ondersteunt en adviseert de AIVD belangendragers bij het versterken van hun weerstand tegen spionage.

Van «wegkijken» bij het aantreffen van spionagesoftware, zoals werd gesuggereerd door het lid van Raak tijdens de regeling van werkzaamheden, is geen sprake. Cybercriminaliteit en cyberspionage zijn de grootste bedreigingen voor onze digitale wereld, zoals ook beschreven in het Cybersecurity Beeld Nederland 4 van juli 2014 (Kamerstuk 26 643, nr. 322 (bijlage)). De impact van digitale aanvallen op de nationale veiligheid en het economisch welzijn van de samenleving kan bijzonder groot zijn. Cyber security heeft daarom de continue aandacht van de Nederlandse regering.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk