De Algemene en Militaire Inlichtingen en Veiligheidsdiensten, AIVD en MIVD, hebben geen grondslag voor publiek private samenwerkingen in het cyberdomein, zo heeft de Commissie Toezicht op de Inlichtingen en Veiligheidsdiensten, CTIVD, in een zorgbrief aan de Tweede Kamer laten weten. Het kabinet kan zich hier niet in vinden en stelt dat het delen van informatie tussen de diensten en bedrijven binnen de wet plaatsvindt.

De gegevensuitwisseling tussen de diensten en private partijen bestaat uit bijvoorbeeld technische kenmerken van infrastructuur die aanvallers gebruiken of ingezette malware. Volgens de toezichthouder op de inlichtingendiensten bestaan er aanzienlijke risico s bij dit type samenwerkingen en bij de partijen met wie wordt samengewerkt. Dergelijke samenwerkingen op het gebied van cyberveiligheid tussen de diensten en private partijen zijn door de CTIVD dan ook als onrechtmatig beoordeeld.

De diensten mogen onder de Wet op de inlichtingen en veiligheidsdiensten 2017, Wiv 2017, gegevens uitwisselen met private partijen. In het geval van publiek private samenwerkingen in het cyberdomein vindt het ontvangen en verstrekken van gegevens op structurele basis plaats. Die moeten volgens de CTIVD daarom in onderlinge samenhang worden gezien. Er bestaan aanzienlijke risico s bij dit type samenwerkingen en bij de partijen met wie wordt samengewerkt. Zo dienen deze partijen andere belangen dan nationale veiligheid en ontbreekt toezicht op wat deze private partijen met de verkregen gegevens doen, aldus de toezichthouder.

Deze versturen we 3-4x per jaar.