Verkennen, hacken en tappen: mogen de AIVD en MIVD al genoeg of moet de wet nodig ruimer?
Inlichtingendiensten Het debat over een nieuwe wet voor de AIVD en MIVD is losgebarsten. De twee zeggen niet zonder ruimere bevoegdheden te kunnen, maar de toezichthouder waarschuwt. „Er staan veel rechten op het spel.”
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data98943044-453f6a.jpg)
„Er gebeuren héle grote dingen in Nederland”, zo zei scheidend toezichthouder Mariëtte Moussault vorige week tegen de Tweede Kamer. „Maar ik mag u niet zeggen hóe groot.”
Moussault was vijf jaar lang voorzitter van de Toetsingscommissie Inzet Bevoegdheden (TIB), de commissie die toestemming moet geven voordat de AIVD en de MIVD het internet mogen aftappen of computerservers mogen hacken. In haar laatste week in functie was ze naar de de Kamer geroepen om die te briefen over een nieuwe, tijdelijke wet, die de bevoegdheden van de geheime diensten sterk verruimt.
Moussault vindt het belangrijk dat er een goede discussie wordt gevoerd over de gevolgen voor de privacy van burgers. Daarom had ze graag verteld welke verstrekkende operaties de AIVD en de MIVD nú al uitvoeren, onder de huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) . Maar daar hebben de ministers Hanke Bruins Slot (Binnenlandse Zaken, CDA) en Kajsa Ollongren (Defensie, D66) een stokje voor gestoken. Op last van de twee ministers zijn enkele cruciale passages in het jaarverslag van de TIB over 2022 zwartgelakt, omdat ze staatsgeheime informatie zouden bevatten. Daardoor, zo zei Moussault tegen de Kamer, kan het debat over de nieuwe wet niet goed worden gevoerd. „Ik vind het echt héél vervelend”, zo zei Moussault, terwijl ze haar handen verontschuldigend ophief: „Maar ik heb geen zin om vijftien jaar te gaan zitten.”
De Kamer en de samenleving moeten hier goed over nadenken
De Tijdelijke wet cyberoperaties draait niet om details, zo heeft Moussault een dag eerder in een gesprek met NRC duidelijk gemaakt. De nieuwe wet maakt veel verdergaande inbreuk op grondrechten van burgers mogelijk. „We spreken meestal over het recht van privacy, maar eigenlijk staat er veel meer op het spel: het recht van meningsuiting, het recht van vrije vergadering. Het gaat om het medische geheim, om de journalistieke vrijheid.”
Sleepwet
In 2018 stemden de Nederlandse kiezers in een referendum tégen de Wet op de inlichtingen- en veiligheidsdiensten, die het mogelijk moest maken om ‘ongericht’ data van miljoenen burgers af te tappen op internationale glasvezelkabels. Om de ‘sleepwet’ er door te krijgen deden de toenmalige ministers Ronald Plasterk (Binnenlandse Zaken, PvdA) en Jeanine Hennis (Defensie, VVD) belangrijke toezeggingen. De kans dat er Nederlands verkeer zou worden verzameld was nagenoeg uitgesloten, zo stelden de ministers. Streamingdiensten als Netflix of YouTube zouden niet worden opgeslagen. Het aftappen van de kabel zou bovendien „zo gericht mogelijk” plaatsvinden, om de schending van de privacy van burgers zo klein mogelijk te houden. Elk verzoek om te tappen (of te hacken) zou moeten worden goedgekeurd door een nieuwe instantie: de Toetsingscommissie Inzet Bevoegdheden (TIB).
De beloften van Plasterk en Hennis stonden echter op gespannen voet met wat de AIVD en de MIVD van plan waren: het automatisch doorzoeken van zo groot mogelijke datasets van tientallen miljoenen gebruikers – niet alleen om Russische of Chinese hackers te kunnen volgen, maar vooral ook om nieuwe, potentiële dreigingen op het spoor te komen. „Per definitie zijn wij vaak op zoek naar een dreiging die we nog niet kennen”, zei generaal-majoor Jan Swillens, directeur van de MIVD, vorig jaar.
/s3/static.nrc.nl/images/gn4/stripped/data82992838-00b010.jpg)
Wat dat in de praktijk kan betekenen kan worden afgeleid uit de schaarse informatie die openbaar is gemaakt door de TIB en door een andere waakhond, de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD). In 2021 kreeg de TIB een verzoek tot toestemming voor ‘kabelinterceptie’ waarbij een enorme hoeveelheid data zou worden verzameld, waaronder „een significante hoeveelheid van het internetverkeer van Nederlandse burgers”. Deze data zouden bovendien „ongezien” worden gedeeld met een „buitenlandse partnerdienst”, mogelijk de Amerikaanse afluisterdienst NSA. Een disproportionele inbreuk op de privacy, oordeelde de TIB: het verzoek werd afgewezen.
Dergelijke afwijzingen hebben de afgelopen jaren tot frustratie bij de diensten geleid. Begin 2021 stelde een evaluatiecommissie onder leiding van oud-topdiplomate Renée Jones-Bos dat de Wiv was uitgelopen op „patstellingen”, en dat de wet daarom moest worden aangepast. Enkele maanden later lieten de diensthoofden Erik Akerboom (AIVD) en Jan Swillens (MIVD) weten dat onmiddellijk moest worden ingegrepen, omdat de diensten het zicht op cyberdreigingen dreigden te verliezen. De Tijdelijke wet cyberoperaties moest nog voor het einde van het jaar bij de Kamer liggen, zo was het plan.
Woensdag, anderhalf jaar later, begint eindelijk de parlementaire behandeling met een rondetafelconferentie in de Tweede Kamer, waarin verschillende experts hun licht over de nieuwe wet laten schijnen.
Iedereen maakt zich zorgen over cyberaanvallen van China en Rusland
Verkennen, tappen en hacken
In de nieuwe wet worden de bevoegdheden van AIVD en MIVD fors opgerekt. Zo mogen de diensten straks zonder toestemming computers van ‘non-targets’ (lees: nietsvermoedende burgers) hacken, als die in een onderzoek opduiken. Er is dan geen toets meer nodig voor geautomatiseerde data-analyse van afgetapte data, door steeds slimmere AI-systemen die miljoenen e-mails kunnen beoordelen op vragen als: „Wie is een terrorist?” Met de nieuwe wet vervalt het verbod om streamingdiensten af te tappen, en mag ook Nederlands internetverkeer worden afgevangen. Om internetverkeer te ‘verkennen’ is het straks geoorloofd álle inhoud van een glasvezelkabel zes maanden op te slaan. Die data mogen ook met buitenlandse diensten worden gedeeld, ook al raadt de Raad van State dit af.
Volgens de AIVD en MIVD is de nieuwe wet onontbeerlijk in de strijd tegen landen met een „offensief cyberprogramma”, zoals Rusland, China of Iran. Maar is dat zo? Na twee jaar mislukkingen en afwijzingen kregen de inlichtingendiensten in het eerste kwartaal van 2022 – onder de huidige wet – toestemming om een internationale glasvezelkabel te tappen. Na de Russische invasie in Oekraïne op 24 februari was de „inlichtingenbehoefte van de diensten urgenter geworden”, zo meldt de CTIVD. De ‘kabelinterceptie’ ging over één thema en was zo opgezet dat alleen data van bekende targets van de diensten (zoals Russische hackers) werden opgeslagen. Daarmee werd waarschijnlijk voldaan aan het criterium dat de interceptie ‘zo gericht mogelijk’ moet zijn. Minister van Defensie Ollongren meldde later dat de MIVD een belangrijke rol heeft gespeeld bij de verdediging van Oekraïne tegen Russiche cyberaanvallen.
De CTIVD geeft veel details over de succesvolle kabelinterceptie, maar in het jaarverslag van de TIB is de passage over de operatie grotendeels zwart gemaakt. Daardoor is niet duidelijk waarom de toezichthouder na alle afwijzingen nu wél toestemming had gegeven. Moussault wil niet ingaan op wat er zwart gelakt is, maar wil wel kwijt dat het niet de bedoeling was om staatsgeheimen te openbaren.
Voormalig lid van de TIB Bert Hubert, die in september van het afgelopen jaar opstapte en daarom weet heeft van de operatie, is uitgesprokener. „Van sommige dingen die zwart zijn gemaakt weet ik dat het niet gaat om staatsgeheimen, maar om zaken die ongemakkelijk zijn om te vermelden.”
Tweede Kamerlid Renske Leijten (SP) noemt het weglakken van passages in het jaarverslag „kafkaësk”. „We hebben het over een onafhankelijke toezichthouder die heel goed weet wat wel en niet gezegd kan worden.”
Leijten is kritisch over de haast waarmee het wetsvoorstel moet worden behandeld. „Er is een kunstmatige urgentie gecreëerd. De oorlog in Oekraïne wordt nu door de diensten gebruikt om wat niet gelukt is bij de ‘sleepwet’ alsnog erdoorheen te krijgen.”
VVD-Kamerlid Queeny Rajkowski, als ‘rapporteur’ verantwoordelijk voor de procedure rond de wet, is het daar niet mee eens. „Elke week die we wachten is een risico, maar we willen zéker niet de zorgvuldigheid uit het oog verliezen.”
Een meerderheid van de Tweede Kamer lijkt de tijdelijke wet te zullen steunen. „Iedereen maakt zich zorgen over de cyberaanvallen van China en Rusland”, zegt woordvoerder Alexander Hammelburg (D66). „De huidige wet is daarvoor ontoereikend.”
„We hebben geen keus”, zegt Rajkowski.
Scheidend TIB-voorzitter Mariëtte Moussault waarschuwt echter voor al te snelle conclusies. „Je kunt nu al de kabel aftappen op een manier die de TIB rechtmatig vindt. Maar de diensten willen méér. Daar zullen de Kamer en samenleving verdomd goed over moeten nadenken.”
‘Waardevolle bijdrage’
In een reactie laten de ministeries van Binnenlandse Zaken en Defensie weten dat in de voorgelegde versie van het jaarverslag van de TIB „staatsgeheime informatie” stond. „De TIB heeft er voor gekozen om deze zinsdelen niet aan te passen, maar zwart te lakken”, aldus de departementen. In de informatie van de CTIVD stond volgens de ministeries géén geheime gegevens.
Volgens Binnenlandse Zaken en Defensie leveren de AIVD en de MIVD een „waardevolle bijdrage” aan de Oekraïense verdediging tegen „grootschalige Russische digitale aanvallen”. „De Oekraïense digitale verdediging is niet gegarandeerd”, schrijven de ministeries. „Waarschijnlijk kan dit succes alleen volgehouden worden zolang de westerse steun net zo intensief en adaptief blijft als de cyberoperaties van de Russische inlichtingendienst.”
Geen opmerkingen:
Een reactie posten
Opmerking: Alleen leden van deze blog kunnen een reactie posten.