Gisteren (5 april) was er een technische briefing van de AIVD en MIVD over de tijdelijke wet cyberoperaties, gevolgd door een rondetafelgesprek met deskundigen. Vorige week was er een technische briefing door de toezichthouders TIB en CTIVD.

Mijn spreektekst met veel klikbare voetnoten ter verduidelijking staat hier. Er was een goeie opkomst van geïnteresseerden en Kamerleden, en er waren goede en goed geïnformeerde vragen.

Verder schreven de media over de bijeenkomsten: De Correspondent, NRC, Trouw, AD, GeenStijl

De AIVD, MIVD en Ronald Prins betogen dat enkele of al deze artikelen de nieuwe wet niet goed uitleggen. Het is daarom goed om deze Twitterthread van Ronald te lezen. Zijn standpunt uit het rondetafelgesprek is hier te vinden. De reactie van Lotte Houwing van Bits of Freedom is zeer inzichtelijk. Lees ook vooral de andere position papers, waarvan er veel positief zijn over de nieuwe wet. Dit ter contrast met de andere mening uit mijn spreektekst.

Ik wil de drie bijeenkomsten hier niet nog een keer dunnetjes overdoen, maar sommige dingen in het verhaal van AIVD en MIVD en enige experts klopten zo slecht dat ik het daar toch over wil hebben.

Ik had niet genoeg handouts van de tekst-met-voetnoten voor het hele publiek. Dank voor uw komst overigens!

De AIVD en MIVD waren met een zware delegatie, beide diensthoofden, het hoofd van de wetgevingsafdeling Binnenlandse Zaken, en volgens AIVD-gebruik, een technisch expert met alleen een voornaam. Dat zijn de beste experts overigens. Ook op academisch vlak was er een stevige delegatie (bijzondere of aanstaande) hoogleraren. Verder was er gelukkig ook plek voor de expertise van Bits of Freedom.

Bijschrijven hacks mag wel en gebeurt ook veel

De diensthoofden vertelden dat als Chinese hackers naar een nieuwe server verhuizen er een nieuw toestemmingsverzoek ingediend moet worden, en dat dit drie weken duurt. Dat is alleen helemaal niet zo. Als hackers servers huren of kopen kunnen deze administratief en zonder enige nieuwe toetsing bijgeschreven worden op een hacklast. Dit gebeurt dan ook heel veel.

De toestemming om extra apparaten en servers bij te schrijven staat kraakhelder in artikel 45 lid 8 van de Wiv 2017:

“[Een verleende toestemming omvat] tevens de bevoegdheid om binnen te dringen in een ander geautomatiseerd werk van die persoon of organisatie voor zover dat in de plaats treedt van of een aanvulling is op het geautomatiseerde werk waar oorspronkelijk de toestemming voor is verleend”

De diensthoofden en juristen zijn of niet goed voorgelicht over hun eigen wet, of ze gaven een onjuiste voorstelling van zaken. Ik vind dit voor zo’n belangrijke bijeenkomst toch echt wel pijnlijk. Veel van de gisteren door hun genoemde voorbeelden van hoe hackers vastlopen kunnen daarom niet feitelijk correct zijn. Hoofd Swillens van de MIVD schetste letterlijk hoe het drie weken zou kosten een IP adres bij te schrijven, en dat is gewoon niet wat er in de wet staat.

Wat wel klopt is dat je in een toestemming Chinese hackers te hacken geen onschuldige Nederlanders bij kunt schrijven, ook niet als hun kabelmodem gehacked is door Chinezen. De CTIVD eist bovendien dat voor het hacken van dit soort non-targets er bijvoorbeeld een concrete aanwijzing moet zijn voor een direct gevaar voor de nationale veiligheid.

In de nieuwe wet mag iedereen administratief bijgeschreven worden als ‘ie gehacked is of zou zijn. De CTIVD kan dan achteraf toetsen of dat terecht was.

De “foto” van het verkenningsartikel

Volgens de nieuwe wet mogen diensten met een zeer beperkte onderbouwing iedere kabel een jaar lang opslaan, en de data zes maanden bewaren, en delen met buitenlandse diensten ter analyse. Dit ter verkenning, en niet om al die data uit te werken.

Concreet misleidend is dat deze bevoegdheid in de sessie steeds werd neergezet als een “foto” van wat er gebeurt op een kabel, zodat je gerichter kunt tappen. Dat is een mooi beeld, maar het is wel een foto van zes maanden lang. Ook de heer Akerboom benadrukte op BNR eerder dat de kabel permanent gemonitord moet worden in hun visie. Dat is geen foto.

Ook was men minder dan transparant over de extreem minimale vereisten waar zo’n verzoek tot een jaar verkennen aan moet voldoen. Het is waar dat de TIB nog steeds die extreem minimale eisen zal toetsen, maar veel te toetsen valt er niet meer.

Terloops beweerden enkele geraadpleegde experts later in de bijeenkomst vol overtuiging dat de CTIVD bindend toezicht zou krijgen op dit verkenningsartikel. Ook na enige tijd zoeken vond men dit niet terug in de wet, want het staat er namelijk niet. De CTIVD krijgt het zo geroemde bindend toezicht alleen op een heel kleine selectie artikelen.

400 mensen zitten verzoeken te typen

Ook werd er concreet geclaimd dat 400 mensen en hackers aan juridische documenten voor de TIB zitten te werken, en die zouden 20.000 pagina’s per jaar produceren.

Ook zou de TIB vooraf details vragen over hacks die in een vroeg stadium nog niet geleverd kunnen worden. Nou zou dit in een ver verleden best zo geweest kunnen zijn, maar in ieder geval in mijn tijd was dit niet zo.

“Stg Geheim”

De heer Swillens had tot mijn starre verbazing een dikke stapel papier bij zich met daarin “alle verzoeken van afgelopen week”. Dit zijn zeer staatsgeheime documenten, en als ik ooit in een openbare sessie met zo’n stapel papier had staan zwaaien (of zelfs maar bij me had gehad) was ik in grote problemen gekomen.

Maar, terugkomend op die vreselijke eisen die de TIB zou stellen aan hackverzoeken, misschien moet iemand eens een recente stapel verzoeken evalueren om te kijken of dat ook echt zo is. De TIB kan zich niet zelf verweren tegen dit verwijt namelijk.

Ik zou dan ook kijken waarom sommige van die verzoeken zo groot zijn. Er zijn afdelingen bij de diensten die hele romans opleveren met verhaallijnen die beginnen in 1890 (dit is geen metafoor, het is echt zo).

Het is overigens ook wat moeilijk voorstelbaar dat de TIB met een paar mensen het fulltime typewerk van 400 dienstmedewerkers zou kunnen lezen.

De bulkdatasets

De MIVD beklaagde zich (zoals vaker) dat ze 5 bulkdatasets hadden moeten vernietigen, en insinueerde dat dit zeer gevaarlijk was, en patroon van hoe men geen kant op kon met de huidige wet.

In een zeer, zeer uitgebreide klachtenprocedure bleek dat de diensten, ondanks maanden van interviews en onderzoek, niet aan konden of wilden geven wat ze hadden aan die vijf te lang bewaarde datasets:

“De noodzakelijkheid, proportionaliteit en subsidiariteit om [de] bulkdatasets langer te bewaren wordt niet of slechts in algemene zin beschreven.”

Men heeft alle kansen gehad in de zeer grondige klachtenprocedure te komen met argumenten waarom die sets bewaard moesten worden.

Het doet pijn om zowel de directeur van de MIVD als eerder zijn plaatsvervanger zo weinig respect te horen hebben voor de klachtenprocedure waar ze echt alle kansen hebben gehad om het nut van die sets aan te tonen.

Eisen Europees verdrag rechten van de mens

De heer Van der Woude (hoofd constitutionele zaken bij Binnenlandse Zaken) meldde enkele malen dat de nieuwe wet voor hacken voldoet aan de eisen van het Europees hof voor de rechten van de mens. Dat is strikt gezien waar. Het EHRM heeft namelijk nog geen eisen gesteld aan hacken omdat er nog nooit een zaak over is geweest. Wel zijn er allemaal eisen aan bulkinterceptie waardoor duidelijk is wat het EHRM zou zeggen in een zaak. Expert Paul Bovend’Eert op dit gebied zei het later in de sessie ook helder, er is geen twijfel dat hacks op burgers vooraf toetsing vereisen.

Het is flauw om een woordspelletje te doen dat de wet voldoet aan niet bestaande eisen van het EHRM.

Afsluitend

Ik heb in twee interviews gezegd dat ik de nieuwe wet onoprecht vind en dat vind dat we bedonderd worden over de inhoud. Dat zijn best grote woorden, maar gegeven het bovenstaande zijn die woorden denk ik niet onredelijk.

Verder blijf ik iedereen van harte aanraden concreet te kijken wat er in de wet en memorie van toelichting staat. Want het gebeurt helaas weleens dat er op hoog niveau een beeld wordt geschetst wat toch echt niet klopt.