1: Het sleepnet
De nieuwe wet breidt de tapmogelijkheden van de diensten op internet flink uit. Waar dit voorheen alleen betrekking had op de communicatie van één of meerdere doelwitten, mogen de geheime diensten volgens de nieuwe wet een onbepaalde hoeveelheid communicatie over een onbepaalde hoeveelheid burgers onderscheppen. Daarbij gaat het zowel om de inhoud van de communicatie zelf als ook alle informatie over de communicatie (o.a. verzender, ontvanger, locatie en tijdstip). Zolang het tappen maar gebeurt in het kader van een “onderzoeksopdracht”. De onderzoeksopdrachten worden door de ministers van Binnenlandse Zaken en Defensie en de premier vastgesteld in de “Geïntegreerde Aanwijzing inlichtingen- en veiligheidsdiensten”. Wat er onder een “onderzoeksopdracht” moet worden verstaan is op voorhand niet exact te zeggen en dat zullen we ook niet weten want dat is geheim. Maar het zal hoogstwaarschijnlijk gaan om in algemene bewoordingen omschreven aandachtsgebieden van de geheime diensten – zoals het in kaart brengen van bepaalde netwerken van extremistische groeperingen.
De onbepaalde reikwijdte van de term “onderzoeksopdracht” geeft deze bevoegdheid een ongericht karakter. De mate van ongerichtheid van deze tapbevoegdheid hangt dus af van hoe de onderzoeksopdracht door de dan zittende regering en de geheime diensten ingevuld wordt. Eén ding staat vast, het vorige kabinet gaf tijdens de plenaire behandeling in de Tweede Kamer expliciet aan dat het wel degelijk de bedoeling is om met deze bevoegdheid stelselmatig en op grote schaal communicatie te vergaren en analyseren. Daar verandert de toezegging in het regeerakkoord van kabinet Rutte III niets aan.
Voordat de diensten op deze schaal mogen tappen hebben ze toestemming nodig van de Minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie deze toestemming van de minister voorafgaand aan de inzet goed te keuren, tenzij het een spoedgeval betreft. De toestemming kan geldig zijn voor een periode van maximaal een jaar en kan telkens verlengd worden.
De geheime diensten hebben vervolgens drie jaar de tijd om de onderschepte communicatie op relevantie te onderzoeken en selecteren. Bronnen
- Wet op de inlichtingen- en veiligheidsdiensten 2017:
- Gerichte interceptie: Artikel 47
- Ongerichte (“onderzoeksopdrachtgerichte”) interceptie inclusief onderzoek en selectie: Artikel 48 t/m 50
- Toetsing door toetsingscommissie: Artikel 36
- Vaststellen Geïntegreerde Aanwijzing: Artikel 6
- “Stelselmatig en op grote schaal” tappen: Reactie Kabinet Rutte II op amendement nr. 34 van Kees Verhoeven (D66)
2: De uitwisseling van gegevens
De gegevens die de geheime diensten binnen halen (o.a. via het sleepnet) kunnen worden gedeeld met buitenlandse diensten, zonder deze gegevens eerst te analyseren. Door gegevens uit te wisselen die de geheime diensten niet eerst zelf geanalyseerd hebben, weten ze niet waar de gegevens precies over gaan. Ze kunnen dus onvoldoende een inschatting maken van de gevolgen van het delen van deze gegevens. Stel je voor dat jouw bezoek aan websites die kritisch berichten over een buitenlandse politieke leider worden gedeeld met dat desbetreffende land? Dat is onacceptabel.
De mogelijkheid om ongeëvalueerde gegevens te verstrekken aan het buitenland moet uit de wet worden geschrapt (zie art. 64 en 88).
De uitwisseling van inlichtingen kan plaatsvinden in het kader van een samenwerkingsrelatie die er met een buitenlandse dienst bestaat. Voordat de diensten een samenwerkingsrelatie aangaan moeten ze onder andere rekening houden met de eerbiediging van de mensenrechten in het land van de buitenlandse dienst. Maar het is ook mogelijk om gegevens te verstrekken aan buitenlandse diensten waarmee geen samenwerkingsrelatie bestaat. In dat geval hoeft zo’n formele afweging niet plaats te vinden. Wat de Nederlandse diensten óók mogen doen is gegevens die ze verzameld hebben maar nog niet hebben geanalyseerd, uitwisselen met buitenlandse geheime diensten. Deze gegevens noemt men “ongeëvalueerde gegevens”. Het gaat dan bijvoorbeeld om grote hoeveelheden gegevens die de diensten met behulp van de sleepnetbevoegdheid hebben vergaard en nog niet hebben geanalyseerd op relevantie.
Op het moment dat deze gegevens aan buitenlandse diensten verstrekt worden, zijn ze nog niet geanalyseerd door de Nederlandse diensten. Dit betekent dat de diensten niet precies weten waarover deze gegevens gaan. Ze kunnen dus geen volledige inschatting maken wat de gevolgen zullen zijn van het delen van deze niet-geanalyseerde gegevens met het buitenland.
In het geval dat de geheime diensten niet-geanalyseerde gegevens verstrekken aan buitenlandse diensten, moet de betrokken minister hiervoor toestemming geven. Er vindt geen voorafgaande toetsing door een rechter of onafhankelijke toetsingscommissie plaats. Bronnen
- Wet op de inlichtingen- en veiligheidsdiensten 2017:
- Uitwisseling gegevens met buitenlandse diensten zonder samenwerkingsrelatie: Artikel 64
- Uitwisseling gegevens met buitenlandse diensten samenwerkingsrelatie: Artikel 89
- Criteria voor samenwerkingsrelatie: Artikel 88
3: Toegang tot databases
Bits of Freedom vindt dat de geheime diensten niet die druk bij een persoon or organisatie neer moet leggen. De wet moet hierop aangepast worden. Er zal hier meer toezicht op moeten komen, zoals toestemming van de minister en de toetsingscommissie.
De bevoegdheid om via informanten gegevens te verzamelen is in de nieuwe wet opgenomen als een reguliere bevoegdheid van de diensten. Voor de inzet van deze reguliere bevoegdheid is dus geen voorafgaande toestemming van de minister en een goedkeuring van de toetsingscommissie vereist. De diensten kunnen direct voor onbepaalde duur gegevens verzamelen via informanten. De nieuwe wet bouwt deze samenwerking met informanten verder uit. Informanten kunnen ook meewerken door de diensten rechtstreeks geautomatiseerd toegang te verlenen tot hun databestanden of hun databestanden aan de diensten te geven. Met rechtstreeks geautomatiseerde toegang bedoelt de wetgever een online verbinding tussen de geheime dienst en de verstrekkende partij waarbij de geheime diensten direct en zonder dat hieraan een mens te pas komt gegevens kunnen opvragen. En als partijen hun databestanden aan de diensten geven dan zullen deze hierdoor gaan grasduinen op zoek naar profielen of naar patronen – al dan niet in combinatie met andere bestanden.
Een voorbeeld van vrijwillige samenwerking tussen de AIVD en een specifieke groep overheidsdiensten op basis van deze bevoegdheid vormt de Contra-terrorisme Infobox (CT-Infobox). In dit samenwerkingsverband wisselen de geheime dienstem met de volgende diensten gegevens uit: Fiscale Inlichtingen- en Opsporingsdienst – Economische Controledienst (FIOD-ECD), Immigratie- en Naturalisatiedienst (IND), de Landelijke Eenheid van de Nationale Politie, Koninklijke Marechaussee (KMar), Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Openbaar Ministerie (OM). Bronnen
- Wet op de inlichtingen- en veiligheidsdiensten 2017
- Inzet van informanten: Artikel 39
- Memorie van Toelichting:
- Beschrijving van ‘realtime toegang’: pagina 76
- Beschrijving van de data-analyses die de diensten kunnen uitvoeren op de databestanden die ze van informanten ontvangen: pagina 77.
4: Zero-days
De geheime diensten moeten onbekende zwakke plekken daarom altijd op verantwoorde wijze melden bij de maker van de software. Op basis van de nieuwe wet hoeft dat niet. Dit moet aangepast worden in de wet.
Voordat de diensten mogen hacken, hebben ze toestemming nodig van de minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie (TIB) de toestemming van de minister vooraf goed te keuren, tenzij het een spoedgeval betreft. De minister kan toestemming geven voor een periode van drie maanden, maar kan dat ook steeds weer verlengen. Voor het hacken van apparaten maken de geheime diensten gebruik van kwetsbaarheden in hardware en software. Regelmatig zijn deze kwetsbaarheden nog niet bij de leverancier van de hardware of software bekend. De leverancier of andere partijen hebben dan nog niet de kans gehad om de kwetsbaarheid te repareren via een update, patch of nieuwe versie. Dit worden ‘onbekende kwetsbaarheden’ (zero-day vulnerabilities) genoemd.
De wet zelf bepaalt niets over het gebruik van onbekende kwetsbaarheden. Volgens de toelichting bij de wet mogen de geheime diensten deze wel verzamelen en gebruiken en zijn ze niet wettelijk verplicht deze direct te melden bij de betrokken partijen en/of het Nationaal Cyber Security Centrum (NCSC). Volgens de toelichting kunnen er “wettelijke argumenten (zoals het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn” om kennis over onbekende kwetsbaarheden achter te houden. Onlangs oordeelde de toezichthouder op de geheime diensten (CTIVD) dat er bij de geheime diensten tekortkomingen bestaan in de omgang met onbekende kwetsbaarheden. De werkwijze en relevante afwegingen voor het al dan niet melden bleken niet te zijn uitgewerkt en vastgelegd. Ook constateerde de toezichthouder dat de verslaglegging onvoldoende was. Dit maakte interne controle en extern toezicht niet goed mogelijk. Het vorige kabinet heeft toegezegd maatregelen te nemen om deze tekortkomingen in de toekomst te voorkomen. Het is nog niet bekend of deze maatregelen genomen zijn en waaruit deze maatregelen bestaan.
Onbekende kwetsbaarheden kunnen tot heel veel maatschappelijke en persoonlijke schade leiden. De kwetsbaarheid in een mobiele telefoon van een terreurverdachte is ook een kwetsbaarheid in de mobiele telefoon van elke andere gebruiker. Deze kwetsbaarheden kunnen bovendien niet alleen door de Nederlandse geheime diensten maar óók door buitenlandse diensten, criminelen en andere kwaadwillenden misbruikt worden. Dat al die partijen geïnteresseerd zijn in onbekende kwetsbaarheden blijkt uit de flinke bedragen die hiervoor betaald worden op de zwarte markt.
Het is dan ook van groot belang dat alle ontdekte kwetsbaarheden zo snel mogelijk gerepareerd worden. Het achterhouden van kwetsbaarheden maakt dit onmogelijk en maakt onze digitale infrastructuur onveiliger. Waartoe dit achterhouden van kwetsbaarheden kan leiden, werd het afgelopen jaar wel duidelijk. De wereldwijde gevolgen van de twee virussen WannaCry en NotPetya geven een idee hoe snel het fout kan gaan. Beide virussen waren gebaseerd op onbekende kwetsbaarheden die al geruime tijd bekend waren bij de Amerikaanse geheime dienst NSA. Maar door het geheim houden van deze onbekende kwetsbaarheden, liepen alle gebruikers van deze kwetsbare software het risico dat iemand met kwade intenties deze kwetsbaarheid ook zou ontdekken en misbruiken. Dat is dus ook gebeurd en zou een goede wake up call moeten zijn. Bronnen
- Wet op de inlichtingen- en veiligheidsdiensten 2017:
- Hackbevoegdheid: artikel 45
- Memorie van Toelichting:
- Beschrijving van wat een ‘technisch gerelateerde partij’ is: p. 78.
- Toelichting op inzet onbekende kwetsbaarheden: p. 236
- Standpunt kabinet Rutte II over gebruik onbekende kwetsbaarheden
- Rapport van de CTIVD over de inzet van de hackbevoegdheid
5: Toezicht op de diensten
De toezichthouder moet meer tanden krijgen, als de diensten
in overtreding zijn moet dit direct door de CTIVD gestopt
kunnen worden. De wet moet worden aangepast zodat de
oordelen van de toezichthouder bindend zijn.
De CTIVD toetst dus ook niet vooraf óf de geheime diensten
een bepaald middel, bijvoorbeeld het hacken van een
apparaat, mogen inzetten. Bij de inzet van bijzondere
bevoegdheden vindt er wel een rechtmatigheidstoets vooraf
plaats, maar niet door de CTIVD. Dit gebeurt door een nieuwe
toetsingscommissie (TIB).
Het toezicht bestaat uit het doen van onderzoek naar het
handelen van de diensten. Om dit onderzoek uit te voeren
heeft de CTIVD verschillende bevoegdheden. Zo heeft zij
direct toegang tot de systemen en alle relevante gegevens
die de geheime diensten verwerken. De CTIVD kan ook vragen
stellen aan de medewerkers van de geheime diensten. Zij zijn
verplicht om de vragen van de CTIVD te beantwoorden en
kunnen ook onder ede gehoord worden.
Van dit onderzoek brengt de CTIVD verslag uit in een
toezichtsrapport. Hierin staan de bevindingen en
aanbevelingen van de CTIVD. Het toezichtsrapport wordt met
de betrokken minister gedeeld, die het vervolgens met de
Eerste en Tweede Kamer kan delen.
De bevindingen van de CTIVD, dus of er wel of niet
rechtmatig is gehandeld door de diensten, zijn niet bindend.
De CTIVD kan de verantwoordelijke minister wel inlichten en
adviseren. Maar het is uiteindelijk aan de minister om te
bepalen of het iets met de bevindingen en adviezen van de
CTIVD doet.
In tegenstelling tot andere toezichthouders, zoals
bijvoorbeeld de Autoriteit
Consument & Markt, kan de CTIVD geen
juridische consequenties verbinden aan een overtreding van
de wet door de diensten. Het kan dus niet de geheime
diensten bevelen om bijvoorbeeld een bepaalde praktijk te
stoppen of gegevens te vernietigen of bij een overtreding
een administratieve boete opleggen.
Bronnen