Inlichtingendiensten grijpen Oekraïne-crisis aan om bevoegdheden uit te breiden
Category:blogEen nog geheim wetsvoorstel, ingezien door de Volkskrant, geeft de AIVD en de MIVD meer ruimte tot grootschalige internet-surveillance.
De Nederlandse inlichtingendiensten grijpen de oorlog in Oekraïne aan om meer bevoegdheden te verkrijgen. Ze waarschuwen dat een wetswijziging van cruciaal belang is. In een nog geheim conceptwetsvoorstel, deels ingezien door de Volkskrant, staat dat ze in bepaalde gevallen zonder toestemming vooraf mogen hacken en tappen, en dat ze ‘kabelinterceptie’ – het op grote schaal tappen van internetverkeer – ongericht mogen inzetten. De voorstellen staan op gespannen voet met recente uitspraken van het Europees Hof voor de Rechten van de Mens (EHRM).
Inlichtingendiensten AIVD en MIVD beklagen zich al langer over de inlichtingenwet uit 2017. De diensten vinden dat ze niet snel genoeg kunnen handelen bij digitale dreigingen. Vooral de toets vooraf door toezichtscommissie TIB en het verplicht in kaart brengen van risico’s bij hackoperaties zitten hen dwars. Daarnaast is kabelinterceptie – het op grote schaal tappen van internetverkeer – veel complexer en duurder gebleken dan gedacht. De systemen om kabelinterceptie mogelijk te maken hebben miljoenen euro’s gekost, maar de interceptie zelf wordt amper ingezet.
Vorige week gebruikte MIVD-directeur Jan Swillens in talkshow Op1 de ontdekking van een Russisch digitaal aanvalsnetwerk om te pleiten voor ruimere bevoegdheden. ‘Wij kunnen op dit moment de digitale veiligheid van Nederland onvoldoende waarborgen’, zei hij onder meer. En: ‘Om die digitale veiligheid goed te waarborgen, wil je weten wat de tegenstander wil doen. Dan moet je op een goede inlichtingenpositie terechtkomen. Het liefst wil je in zijn telefoon kijken of zijn e-mails meelezen.’ Swillens wil ‘een werkende wet.’ Oud-MIVD-directeur Pieter Cobelens hield eerder, in relatie tot de oorlog in Oekraïne, een vergelijkbaar betoog.
Vrij spel voor inlichtendiensten
Uit het conceptvoorstel blijkt dat het kabinet een aantal veranderingen wil. Zo wil men geautomatiseerde data-analyse (GDA) toestaan zonder toets van de toezichtscommissie. GDA is het geautomatiseerd in bulkdata zoeken naar patronen en verbanden tussen netwerken, telefoons en computers. Het vormt een ernstige inbreuk op de persoonlijke levenssfeer. Nu moeten de diensten eerst duidelijk maken welke gegevens ze willen verwerken, welke bulkbestanden ze daarvoor gebruiken (bijvoorbeeld passagiersgegevens) en waarom dat ‘zo gericht mogelijk is’. Het voorstel is om dat los te laten en breder zoeken toe te staan.
Een tweede voorstel is om kabelinterceptie ook mogelijk te maken voor zogeheten target discovery, ook wel ‘onbekende doelwitten’ genoemd. Ongericht meekijken en -luisteren, dus. Dat betekent dat als de AIVD of MIVD vermoedt dat er een bepaalde digitale dreiging is, de diensten op grote schaal internetverkeer kunnen aftappen en daarin zelf kunnen zoeken. De toetsingscommissie, die nu toeziet op het tappen met vooraf bekende doelwitten en selecties, wordt buitenspel gezet. Een ingewijde: ‘Dit betekent dat de diensten feitelijk zeggen: vertrouw ons maar, wij weten wel wat we doen.’
Ook wil het kabinet het mogelijk maken om niet-exclusieve apparaten ‘bij te schrijven’. Als een doelwit van de diensten van apparaat wisselt – of een Russische hackgroep van computerserver naar computerserver gaat – hoeven AIVD en MIVD hierdoor niet steeds opnieuw om toestemming te vragen. Dat moet wel als ze ineens bij een totaal ander apparaat uitkomen, bijvoorbeeld een router van een particulier. Niet kunnen bijschrijven is een doorn in het oog van de diensten en vertraagt hun werk. Een ander voorstel is om bij de ontdekking van een aanvalsnetwerk, zoals de Russische groep die Nederlandse routers had gehackt, de mogelijkheid te bieden om Nederlandse slachtoffers, zonder toets vooraf, te mogen hacken. Ook hier krijgen de diensten feitelijk vrij spel.
In strijd met Europees recht
Dit lijkt in strijd met het Europees recht. Het kabinet had eerder een juridisch advies gevraagd over de aanpassing van de inlichtingenwet en recente uitspraken van het Europees hof. Dat advies was in januari klaar en werd vorige week naar de Kamer gestuurd – na de Russische invasie. Opvallend genoeg pleiten de auteurs daarin juist voor versterking van de TIB, de Toetsingscommissie Inzet Bevoegdheden. ‘De ontwikkeling van jurisprudentie laat zien dat het EHRM tegenwoordig strengere eisen stelt aan de inrichting van een stelsel van toezicht op de inlichtingen- en veiligheidsdiensten.’ Zij adviseren de TIB te verzwaren door er een rechtscollege van te maken. Ook schrijven zij dat de verwerking van gegevens, zoals de selectie, ‘voorwerp dient te zijn van een autorisatie vooraf.’ Daar wil het kabinet nu juist in sommige gevallen van af.
Bij urgente dreigingen kunnen AIVD en MIVD nu al zonder toestemming opereren. Deze spoedprocedure werkt volgens ingewijden prima en wordt wekelijks ingezet. Sommige bronnen menen echter dat de slagkracht van de diensten wel degelijk in gevaar is. ‘Hacken en het in kaart brengen van technische risico’s zijn onmogelijk voor de diensten. Snelheid is bij hacken echt relevant’, zegt een bron.
Een andere bron wijt de problemen vooral aan de technische complexiteit en stroefheid van het toezichtstelsel. Weer een ander maakt zich zorgen over de voorgestelde wijzigingen. ‘Straks verdwijnt ons hele internet in een computer voor target discovery, met toezicht achteraf.’
Grote inbreuk op privacy
Die zorgen deelt beveiligingsexpert Matthijs Koot, die er in 2015 al voor waarschuwde: ‘Het toestaan van bulkverwerking in het kader van de nationale veiligheid vormt een reëel risico voor de bescherming van de democratie en de rechten van personen die in of via Nederland communiceren.’ Hij vergelijkt de mogelijkheid voor target discovery met het Britse OPTIC-NERVE-programma. Koot: ‘Onder dat programma verzamelde de Britse inlichtingendienst webcambeelden van miljoenen Yahoo-chatgebruikers met de bedoeling deze te onderzoeken op beeldpatronen. 3 tot 11 procent – honderdduizenden privéchats – bevatten seksueel expliciete beelden. Dat is een grote inbreuk op de privacy van betrokkenen, zeker als deze geen onderwerp van onderzoek zijn.’
Dat de diensten de situatie in Oekraïne aangrijpen voor de wetswijziging, wekt verbazing. De oorlog is tot nu toe niet gepaard gegaan met grootschalige digitale aanvallen. Bovendien is in het verleden gebleken dat de AIVD en MIVD goed zicht hebben op Russische hackgroepen. Bronnen bevestigen dat. ‘De AIVD zit continu in verschillende hackgroepen’, zei een inlichtingenbron eerder. Wanneer het wetsvoorstel naar de Kamer gaat, is nog onduidelijk.