De AIVD en MIVD mogen nu al op basis van de huidige wet gericht online communicatie onderscheppen van één of meerdere doelwitten. Het maakt daarbij niet uit of de communicatie draadloos (bijvoorbeeld via satellietcommunicatie) of via de kabel (internet) verloopt. Deze bevoegdheid blijft ook in de nieuwe wet bestaan. De geheime diensten kunnen dus al communicatie die via internet verloopt onderscheppen. Maar dat moet dan wel gericht. Ze kunnen nu ook al – veelal militaire communicatie – ongericht uit de ether onderscheppen.

De nieuwe wet breidt de tapmogelijkheden van de diensten op internet flink uit. Waar dit voorheen alleen betrekking had op de communicatie van één of meerdere doelwitten, mogen de geheime diensten volgens de nieuwe wet een onbepaalde hoeveelheid communicatie over een onbepaalde hoeveelheid burgers onderscheppen. Daarbij gaat het zowel om de inhoud van de communicatie zelf als ook alle informatie over de communicatie (o.a. verzender, ontvanger, locatie en tijdstip). Zolang het tappen maar gebeurt in het kader van een “onderzoeksopdracht”. De onderzoeksopdrachten worden door de ministers van Binnenlandse Zaken en Defensie en de premier vastgesteld in de “Geïntegreerde Aanwijzing inlichtingen- en veiligheidsdiensten”. Wat er onder een “onderzoeksopdracht” moet worden verstaan is op voorhand niet exact te zeggen en dat zullen we ook niet weten want dat is geheim. Maar het zal hoogstwaarschijnlijk gaan om in algemene bewoordingen omschreven aandachtsgebieden van de geheime diensten – zoals het in kaart brengen van bepaalde netwerken van extremistische groeperingen.

De onbepaalde reikwijdte van de term “onderzoeksopdracht” geeft deze bevoegdheid een ongericht karakter. De mate van ongerichtheid van deze tapbevoegdheid hangt dus af van hoe de onderzoeksopdracht door de dan zittende regering en de geheime diensten ingevuld wordt. Eén ding staat vast, het vorige kabinet gaf tijdens de plenaire behandeling in de Tweede Kamer expliciet aan dat het wel degelijk de bedoeling is om met deze bevoegdheid stelselmatig en op grote schaal communicatie te vergaren en analyseren. Daar verandert de toezegging in het regeerakkoord van kabinet Rutte III niets aan.

Voordat de diensten op deze schaal mogen tappen hebben ze toestemming nodig van de Minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie deze toestemming van de minister voorafgaand aan de inzet goed te keuren, tenzij het een spoedgeval betreft. De toestemming kan geldig zijn voor een periode van maximaal een jaar en kan telkens verlengd worden.

De geheime diensten hebben vervolgens drie jaar de tijd om de onderschepte communicatie op relevantie te onderzoeken en selecteren. Bronnen

• Wet op de inlichtingen- en veiligheidsdiensten 2017:
• Gerichte interceptie: Artikel 47
• Ongerichte (“onderzoeksopdrachtgerichte”) interceptie inclusief onderzoek en selectie: Artikel 48 t/m 50
• Toetsing door toetsingscommissie: Artikel 36
• Vaststellen Geïntegreerde Aanwijzing: Artikel 6
• “Stelselmatig en op grote schaal” tappen: Reactie Kabinet Rutte II op amendement nr. 34 van Kees Verhoeven (D66)

Geheime diensten uit verschillende landen wisselen met elkaar inlichtingen uit. Ook de Nederlandse geheime diensten doen dit. Deze uitwisseling vindt plaats op basis van vertrouwen: je kan immers nooit goed controleren wat er met de uitgewisselde inlichtingen in het buitenland gebeurt.

De uitwisseling van inlichtingen kan plaatsvinden in het kader van een samenwerkingsrelatie die er met een buitenlandse dienst bestaat. Voordat de diensten een samenwerkingsrelatie aangaan moeten ze onder andere rekening houden met de eerbiediging van de mensenrechten in het land van de buitenlandse dienst. Maar het is ook mogelijk om gegevens te verstrekken aan buitenlandse diensten waarmee geen samenwerkingsrelatie bestaat. In dat geval hoeft zo’n formele afweging niet plaats te vinden. Wat de Nederlandse diensten óók mogen doen is gegevens die ze verzameld hebben maar nog niet hebben geanalyseerd, uitwisselen met buitenlandse geheime diensten. Deze gegevens noemt men “ongeëvalueerde gegevens”. Het gaat dan bijvoorbeeld om grote hoeveelheden gegevens die de diensten met behulp van de sleepnetbevoegdheid hebben vergaard en nog niet hebben geanalyseerd op relevantie.

Op het moment dat deze gegevens aan buitenlandse diensten verstrekt worden, zijn ze nog niet geanalyseerd door de Nederlandse diensten. Dit betekent dat de diensten niet precies weten waarover deze gegevens gaan. Ze kunnen dus geen volledige inschatting maken wat de gevolgen zullen zijn van het delen van deze niet-geanalyseerde gegevens met het buitenland.

In het geval dat de geheime diensten niet-geanalyseerde gegevens verstrekken aan buitenlandse diensten, moet de betrokken minister hiervoor toestemming geven. Er vindt geen voorafgaande toetsing door een rechter of onafhankelijke toetsingscommissie plaats. Bronnen

• Wet op de inlichtingen- en veiligheidsdiensten 2017:
• Uitwisseling gegevens met buitenlandse diensten zonder samenwerkingsrelatie: Artikel 64
• Uitwisseling gegevens met buitenlandse diensten samenwerkingsrelatie: Artikel 89
• Criteria voor samenwerkingsrelatie: Artikel 88

De AIVD en MIVD werken regelmatig met informanten samen om gegevens te verzamelen. Een informant kan in principe iedereen zijn die bereid is om vrijwillig gegevens aan de geheime diensten te verstrekken. Denk dus aan bedrijven, overheidsdiensten, maatschappelijke organisaties of individuele personen die toegang tot gegevens hebben die voor de diensten interessant zijn. Deze samenwerking vindt uiteraard in het geheim plaats.

De bevoegdheid om via informanten gegevens te verzamelen is in de nieuwe wet opgenomen als een reguliere bevoegdheid van de diensten. Voor de inzet van deze reguliere bevoegdheid is dus geen voorafgaande toestemming van de minister en een goedkeuring van de toetsingscommissie vereist. De diensten kunnen direct voor onbepaalde duur gegevens verzamelen via informanten. De nieuwe wet bouwt deze samenwerking met informanten verder uit. Informanten kunnen ook meewerken door de diensten rechtstreeks geautomatiseerd toegang te verlenen tot hun databestanden of hun databestanden aan de diensten te geven. Met rechtstreeks geautomatiseerde toegang bedoelt de wetgever een online verbinding tussen de geheime dienst en de verstrekkende partij waarbij de geheime diensten direct en zonder dat hieraan een mens te pas komt gegevens kunnen opvragen. En als partijen hun databestanden aan de diensten geven dan zullen deze hierdoor gaan grasduinen op zoek naar profielen of naar patronen – al dan niet in combinatie met andere bestanden.

Een voorbeeld van vrijwillige samenwerking tussen de AIVD en een specifieke groep overheidsdiensten op basis van deze bevoegdheid vormt de Contra-terrorisme Infobox (CT-Infobox). In dit samenwerkingsverband wisselen de geheime dienstem met de volgende diensten gegevens uit: Fiscale Inlichtingen- en Opsporingsdienst – Economische Controledienst (FIOD-ECD), Immigratie- en Naturalisatiedienst (IND), de Landelijke Eenheid van de Nationale Politie, Koninklijke Marechaussee (KMar), Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Openbaar Ministerie (OM). Bronnen

• Wet op de inlichtingen- en veiligheidsdiensten 2017
• Inzet van informanten: Artikel 39
• Memorie van Toelichting:
• Beschrijving van ‘realtime toegang’: pagina 76
• Beschrijving van de data-analyses die de diensten kunnen uitvoeren op de databestanden die ze van informanten ontvangen: pagina 77.

De AIVD en MIVD mogen volgens de nieuwe wet niet alleen apparaten van een doelwit hacken maar ook de apparaten van derden. ‘Derden’ zijn alle andere personen en organisaties die geen doelwit van de diensten zijn maar een ‘technisch gerelateerde partij’. Dat zijn dus alle partijen waarbij de geheime diensten via een technische link bij het doelwit kunnen uitkomen. Het gaat daarbij niet alleen om partijen die bijvoorbeeld netwerken aansluiten of technische diensten leveren, maar ook om familieleden, vrienden of andere personen die bijvoorbeeld op hetzelfde netwerk aangesloten zijn als een doelwit.

Voordat de diensten mogen hacken, hebben ze toestemming nodig van de minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie (TIB) de toestemming van de minister vooraf goed te keuren, tenzij het een spoedgeval betreft. De minister kan toestemming geven voor een periode van drie maanden, maar kan dat ook steeds weer verlengen. Voor het hacken van apparaten maken de geheime diensten gebruik van kwetsbaarheden in hardware en software. Regelmatig zijn deze kwetsbaarheden nog niet bij de leverancier van de hardware of software bekend. De leverancier of andere partijen hebben dan nog niet de kans gehad om de kwetsbaarheid te repareren via een update, patch of nieuwe versie. Dit worden ‘onbekende kwetsbaarheden’ (zero-day vulnerabilities) genoemd.

De wet zelf bepaalt niets over het gebruik van onbekende kwetsbaarheden. Volgens de toelichting bij de wet mogen de geheime diensten deze wel verzamelen en gebruiken en zijn ze niet wettelijk verplicht deze direct te melden bij de betrokken partijen en/of het Nationaal Cyber Security Centrum (NCSC). Volgens de toelichting kunnen er “wettelijke argumenten (zoals het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn” om kennis over onbekende kwetsbaarheden achter te houden. Onlangs oordeelde de toezichthouder op de geheime diensten (CTIVD) dat er bij de geheime diensten tekortkomingen bestaan in de omgang met onbekende kwetsbaarheden. De werkwijze en relevante afwegingen voor het al dan niet melden bleken niet te zijn uitgewerkt en vastgelegd. Ook constateerde de toezichthouder dat de verslaglegging onvoldoende was. Dit maakte interne controle en extern toezicht niet goed mogelijk. Het vorige kabinet heeft toegezegd maatregelen te nemen om deze tekortkomingen in de toekomst te voorkomen. Het is nog niet bekend of deze maatregelen genomen zijn en waaruit deze maatregelen bestaan.

Onbekende kwetsbaarheden kunnen tot heel veel maatschappelijke en persoonlijke schade leiden. De kwetsbaarheid in een mobiele telefoon van een terreurverdachte is ook een kwetsbaarheid in de mobiele telefoon van elke andere gebruiker. Deze kwetsbaarheden kunnen bovendien niet alleen door de Nederlandse geheime diensten maar óók door buitenlandse diensten, criminelen en andere kwaadwillenden misbruikt worden. Dat al die partijen geïnteresseerd zijn in onbekende kwetsbaarheden blijkt uit de flinke bedragen die hiervoor betaald worden op de zwarte markt.

Het is dan ook van groot belang dat alle ontdekte kwetsbaarheden zo snel mogelijk gerepareerd worden. Het achterhouden van kwetsbaarheden maakt dit onmogelijk en maakt onze digitale infrastructuur onveiliger. Waartoe dit achterhouden van kwetsbaarheden kan leiden, werd het afgelopen jaar wel duidelijk. De wereldwijde gevolgen van de twee virussen WannaCry en NotPetya geven een idee hoe snel het fout kan gaan. Beide virussen waren gebaseerd op onbekende kwetsbaarheden die al geruime tijd bekend waren bij de Amerikaanse geheime dienst NSA. Maar door het geheim houden van deze onbekende kwetsbaarheden, liepen alle gebruikers van deze kwetsbare software het risico dat iemand met kwade intenties deze kwetsbaarheid ook zou ontdekken en misbruiken. Dat is dus ook gebeurd en zou een goede wake up call moeten zijn. Bronnen

• Wet op de inlichtingen- en veiligheidsdiensten 2017:
• Hackbevoegdheid: artikel 45
• Memorie van Toelichting:
• Beschrijving van wat een ‘technisch gerelateerde partij’ is: p. 78.
• Toelichting op inzet onbekende kwetsbaarheden: p. 236
• Standpunt kabinet Rutte II over gebruik onbekende kwetsbaarheden
• Rapport van de CTIVD over de inzet van de hackbevoegdheid

De AIVD en de MIVD staan onder toezicht van de Commissie van Toezicht voor de Inlichtingen- en Veiligheidsdiensten, ook wel de CTIVD genoemd. De CTIVD is een onafhankelijk orgaan dat toetst of de AIVD en MIVD zich wel houden aan de wet. Zij toetst het handelen van de geheime diensten achteraf op rechtmatigheid, maar niet op doelmatigheid. Er wordt dus niet beoordeeld of de diensten wel effectief werken.

De CTIVD toetst dus ook niet vooraf óf de geheime diensten een bepaald middel, bijvoorbeeld het hacken van een apparaat, mogen inzetten. Bij de inzet van bijzondere bevoegdheden vindt er wel een rechtmatigheidstoets vooraf plaats, maar niet door de CTIVD. Dit gebeurt door een nieuwe toetsingscommissie (TIB). Het toezicht bestaat uit het doen van onderzoek naar het handelen van de diensten. Om dit onderzoek uit te voeren heeft de CTIVD verschillende bevoegdheden. Zo heeft zij direct toegang tot de systemen en alle relevante gegevens die de geheime diensten verwerken. De CTIVD kan ook vragen stellen aan de medewerkers van de geheime diensten. Zij zijn verplicht om de vragen van de CTIVD te beantwoorden en kunnen ook onder ede gehoord worden.

Van dit onderzoek brengt de CTIVD verslag uit in een toezichtsrapport. Hierin staan de bevindingen en aanbevelingen van de CTIVD. Het toezichtsrapport wordt met de betrokken minister gedeeld, die het vervolgens met de Eerste en Tweede Kamer kan delen. De bevindingen van de CTIVD, dus of er wel of niet rechtmatig is gehandeld door de diensten, zijn niet bindend. De CTIVD kan de verantwoordelijke minister wel inlichten en adviseren. Maar het is uiteindelijk aan de minister om te bepalen of het iets met de bevindingen en adviezen van de CTIVD doet.

In tegenstelling tot andere toezichthouders, zoals bijvoorbeeld de Autoriteit Consument & Markt, kan de CTIVD geen juridische consequenties verbinden aan een overtreding van de wet door de diensten. Het kan dus niet de geheime diensten bevelen om bijvoorbeeld een bepaalde praktijk te stoppen of gegevens te vernietigen of bij een overtreding een administratieve boete opleggen. Bronnen

• Wet op de inlichtingen- en veiligheidsdiensten 2017:
• Taakomschrijving CTIVD: artikel 97
• Uitoefening van toezicht: artikel 112, 113
• Bevoegdheden CTIVD bij toezicht: artikel 107, 108, 109, 110, 111
• Toetsingscommissie (TIB): artikel 32
• Overzicht onderzoeken CTIVD