Kabel, hotspots en chatapps aftappen

Woensdag debatteert de Tweede Kamer over de vernieuwde Wet op de inlichtingen- en veiligheidsdiensten of WIV. Het voorstel breidt de bevoegdheden van de Nederlandse inlichtingendiensten AIVD en MIVD verregaand uit en de aanpassingen aan de wet zijn dan ook erg omstreden. We zetten de wijzigingen, standpunten daarover en kritiek erop nog een keer op een rij, want de gevolgen zijn groot. De bevoegdheden raken immers de privacy van miljoenen burgers. We leveren met zijn allen weer een deel van onze privacy in, in ruil voor, zo is de bedoeling, meer veiligheid.

Waarom een aanpassing van de wet?

Minister Plasterk van Binnenlandse Zaken en de inlichtingendiensten zelf benadrukken dat de WIV dringend aan modernisering toe is. De huidige WIV stamt uit 2002, een tijd waarin smartphones nog niet bestonden, Internet Explorer oppermachtig was en mensen vijftig euro per maand betaalden voor een 1,5Mbit/s-verbinding. In 2013 is daarom besloten de WIV 2002 aan te passen aan de moderne tijd.

De inlichtingendiensten konden hun taak niet meer adequaat uitvoeren, concludeerde een rapport, omdat bijna alle datastromen via kabels verlopen. Die kabelgebonden communicatie is nu nog voor een belangrijk deel buiten bereik van de AIVD; de dienst mag wel kabels aftappen, maar alleen specifiek gericht op personen. Niet-kabelgerichte communicatie, zoals die verloopt via radioverkeer, satellieten en mobiele telefonie, mag wel ongericht onderschept en geanalyseerd worden, maar volgens de AIVD is dat onvoldoende in de huidige tijd. De dienst claimt dat bepaalde handelingen via internet, zoals voorbereidingen voor aanslagen en hacks van bedrijven en overheidsinstellingen, in de praktijk niet tijdig worden opgemerkt.

AIVD-hoofdkantoor

Wat houdt dat in: ongericht aftappen?

Het ongericht mogen aftappen van de kabel is de belangrijkste aanpassing in het voorstel dat nu op tafel ligt. De hernieuwde WIV geeft de AIVD die mogelijkheid, maar wat betekent dat nu, ongericht aftappen van de kabel? Critici spreken van een sleepnet, de minister en inlichtingendiensten hebben het tegenwoordig eufemistisch over 'onderzoeksopdrachtgerichte interceptie'.

De dienst claimt dat bepaalde handelingen via internet niet
tijdig worden opgemerkt

De diensten mogen straks grote hoeveelheden kabelverkeer onderscheppen van een grote groep internetgebruikers, om zo bij de persoon of personen uit te komen die ze nog niet op de radar hadden. Dat aftappen gebeurt bij accesslocaties, oftewel providers en internetknooppunten. In 2017 beginnen ze met een enkele accesslocatie en elk jaar komt er een bij. Het proces vindt in drie stappen plaats: het onderscheppen zelf, de selectie van de opbrengst en de geautomatiseerde data-analyse. Vooral die laatste stap, de analyse van historische gegevens, voornamelijk metadata, is van belang. Over hoe dit in zijn werk gaat, is echter weinig bekend.

Wel zeker is dat het gaat om het herkennen en in kaart brengen van verdachte patronen op basis van bigdata-analyse. In 2013 bleek dat Defensie een contract had gesloten met het Israëlische bedrijf Nice Systems. Onder de naam Project Argo II zou Nice werken aan systemen 'om informatie uit communicatiemiddelen te verwerken tot inlichtingen'. Tegenwoordig lijkt het bedrijf zich meer te richten op toepassingen van big data voor customer relations, maar op een oude pagina zijn bijvoorbeeld nog de NiceTrack Mass Detection Center- of NiceTrack Pattern Analyzer-producten zichtbaar, bedoeld om landelijk data te onderscheppen, te monitoren, te analyseren en op te slaan.

Zijn er voorbeelden van ongericht aftappen?

In de Memorie van Toelichting bij de WIV-herziening worden enkele voorbeelden gegeven van wat straks wel en niet mogelijk is. Het is bijvoorbeeld niet de bedoeling 'om alle communicatie in de stad Den Haag een maand lang te verzamelen, om dan te bezien of voor de diensten relevante gegevens zijn binnengehaald'. Wel kan straks communicatie via de kabel geanalyseerd worden aan de hand van bekende nicknames van de planners van aanslagen, om contacten tussen planners van aanslagen in een land in het Midden-Oosten en Nederlandse sympathisanten te onderkennen.

Veel aansprekender zijn de voorbeelden uit een document dat via Publeaks in de openbaarheid kwam. Genoemd worden het aftappen van het verkeer van tweehonderd gebruikers van een chat-app in een stad naar een bepaald land en het monitoren van verkeer van publieke wifi-hotspots in een stad naar een bepaald land.

Wat mag de AIVD straks nog meer?

De WIV geeft de AIVD en MIVD meer nieuwe bevoegdheden, terwijl andere passages in de wet moeten verduidelijken wat in de praktijk al mag. Onder dit laatste valt bijvoorbeeld het 'hacken van systemen via een systeem van een derde'. Hacken mogen de inlichtingendiensten al, maar in de wet stond nog niet expliciet dat ze dit ook 'via via' mogen, dus bijvoorbeeld een router van de een hacken om bij de computer van de ander te komen of van een laptop van persoon A naar een nas van persoon B.

Meer omstreden is de uitbreiding bij artikel 39, Raadpleging van informanten. De diensten kunnen nu al iedereen om informatie vragen, maar straks kunnen ze expliciet om 'geautomatiseerde toegang tot databases' verzoeken. Dat kan bijvoorbeeld gaan om databases van providers, aanbieders van online opslag, medische organisaties, banken, enzovoort. Die moeten daarvoor wel toestemming geven, maar de vraag is hoeveel diensten, bedrijven en organisaties een verzoek om mee te werken durven te weerstaan.

Daarnaast is het aantal diensten die moeten meewerken aan verzoeken om informatie te overhandigen of taps te plaatsen, verruimd. Op basis van de huidige wet zijn aanbieders van openbare telecommunicatienetwerken verplicht mee te werken. De nieuwe wet breidt dit uit tot 'providers van allerlei soorten communicatiediensten'. Hieronder vallen cloudopslagdiensten, internet-of-thingsnetwerken, maar ook over-the-topdiensten, zoals WhatsApp, Skype en FaceTime. Die diensten kunnen niet gedwongen worden om end-to-endencryptie ongedaan te maken of om achterdeurtjes in te bouwen. De AIVD probeert zelf de encryptie van chatdiensten te doorbreken of te omzeilen.

Het is niet de bedoeling om alle communicatie in de stad Den Haag een maand lang te verzamelen

Verder is de 'ontsleutelingsplicht' verruimd. In de WIV 2002 is de verplichting om mee te werken aan het ontsleutelen beperkt tot iedereen die kennis heeft van het ongedaan maken van de versleuteling. De aanpassing breidt dit uit naar iedereen van wie redelijkerwijs vermoed wordt dat hij iets weet over de wijze van versleuteling van gesprekken, telecommunicatie of gegevensoverdracht. Diegene is verplicht alle informatie te verstrekken die kan helpen bij de decryptie.

Welke grenzen zijn er gesteld?

Omdat de bevoegdheden van de geheime diensten een grote inbreuk op de persoonlijke levenssfeer van veel burgers kunnen vormen, moeten er voldoende waarborgen zijn om misbruik te voorkomen. Het huidige voorstel bevat enkele beperkingen van de bevoegdheden en toezichtmechanismen. Zo moeten verzamelde gegevens die niet relevant zijn, verwijderd en vernietigd worden. De toets of gegevens daadwerkelijk relevant zijn, moet daarnaast 'zo spoedig mogelijk' worden uitgevoerd. Voor 'onderzoeksopdrachtgerichte interceptie' is de maximale bewaartermijn vastgelegd op een periode van drie jaar. Daarna moeten ook die gegevens verwijderd worden.

Het wetsvoorstel roept ook een nieuwe toezichtscommissie in het leven. Dat is de zogenaamde Toetsingscommissie Inzet Bevoegdheden, oftewel TIB. Deze bestaat uit drie leden, waarvan er minimaal twee uit de rechterlijke macht komen. Het derde lid kan bijvoorbeeld beschikken over specifieke technische kennis, mocht deze nodig zijn. Als er voor de inzet van een bijzondere bevoegdheid toestemming van de minister nodig is, is het een van de taken van de nieuwe commissie om de goedkeuring van de inzet te controleren op rechtmatigheid. Als de commissie vindt dat die ontbreekt, komt de toestemming te vervallen en gaat de inzet niet door.

De voorziene toezichtsprocedure in het wetsvoorstel. Bron: MvT

Ook na en tijdens de inzet van een bevoegdheid is er toezicht. Hiervoor is weer een ander orgaan verantwoordelijk: de Ctivd, die eveneens uit drie leden bestaat. Deze commissie rapporteert haar bevindingen en neemt klachten van burgers in ontvangst, bijvoorbeeld over de inzet van bevoegdheden. Naar aanleiding van een klacht moet de Ctivd een bindend advies kunnen uitbrengen, waaraan de minister gehoor moet geven.

Voor het delen van gegevens met buitenlandse diensten gelden eveneens bepaalde beperkingen. Zo worden alleen gegevens gedeeld die rechtmatig zijn verkregen. Daarnaast worden gegevens alleen gedeeld met landen 'met eerbied voor mensenrechten en met democratische inbedding'. De laatste twee waarborgen zijn toestemming van de minister en toezicht door de Ctivd.

Welke kritiek is er op de uitbreiding van bevoegdheden?

Het wetsvoorstel heeft in de afgelopen jaren veel stof doen opwaaien, doordat verschillende organisaties en instellingen er kritiek op hebben geleverd. Zo werd het voorstel in oktober bij de Tweede Kamer ingediend, ondanks kritiek van de Raad van State. Het adviesorgaan was het niet eens met de rol van de TIB en stelde voor om de commissie te schrappen en het hele toezicht bij de Ctivd neer te leggen. Hierover zei de minister dat dit zou neerkomen op 'een slager die zijn eigen vlees keurt'. Daarnaast bestaat er twijfel of de TIB wel over voldoende informatie beschikt om de inzet van bevoegdheden te beoordelen. Verdere kritiek aan het voorstel was bijvoorbeeld afkomstig van een groep van 29 wetenschappers en de Nederlandse privacywaakhond.

De bewaartermijn moet voldoen aan het criterium 'noodzaak' en niet aan 'mogelijk nuttig'

Een ander heikel punt is de bewaartermijn van de verzamelde gegevens. Er gaan verschillende stemmen op dat deze te lang is. Toen de regering de lange termijn verdedigde en zei dat niet meteen duidelijk is of bepaalde gegevens later nuttig kunnen zijn, stelde de Raad van State dat de bewaartermijn moet voldoen aan het criterium 'noodzaak' en niet aan het criterium 'mogelijk nuttig'.

Ook de 'onderzoeksopdrachtgerichte interceptie' stuit op weerstand. Zo startte de burgerrechtenorganisatie Bits of Freedom een actie om de invoering hiervan te voorkomen met de site geensleep.net. De organisatie vindt dat het 'sleepnet' een te grote inbreuk op de persoonlijke levenssfeer vormt en wijst erop dat straks grote internetknooppunten als de AMS-IX toegankelijk zijn voor de diensten. Deze kritiek kwam terug in de zienswijze van hoogleraar Bart Jacobs, die stelde dat het knooppunt bovendien interessant is voor buitenlandse diensten.

De Ctivd bracht eind januari zelf een standpunt over het voorstel naar buiten. Daarin zegt de commissie dat er al veel is verbeterd, maar dat er ook nog een aantal punten openstaat. De organisatie wijst erop dat het ontbreekt aan heldere wettelijke normen waaraan de inzet van de bevoegdheden kan worden getoetst.