De Wet op Inlichtingen- en Veiligheidsdiensten 2017

Recent is er een nieuw wetsvoorstel gepresenteerd bedoeld om de AIVD en de militaire MIVD meer ruimte te geven om onderzoek te doen naar landen met een offensief cyberprogramma.

Op deze pagina bespreek ik de zwaarste bevoegdheden die de diensten hebben om hun werk te doen.

De Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (‘Wiv’) is een moderne wet die de Nederlandse inlichtingen- en veiligheidsdiensten, als het noodzakelijk is, juridisch toestemming geeft alles af te luisteren, te hacken of te laten kopiëren, waar ook ter wereld. Sleutel daarin is wel het stukje “als het noodzakelijk is”. De Wiv kent nu een robuust stelsel om de voorgenomen inzet van bevoegdheden vooraf op rechtmatigheid te toetsen.

De bevoegheden zijn gebaseerd op een wettelijk kader. Dankzij deze wet hebben de diensten vrijheid om hun werk te doen. Ze kunnen een veelheid van moderne middelen inzetten die hiervoor nodig zijn. Tegelijkertijd leven we in een rechtstaat waarin de overheid alleen als het echt noodzakelijk is inbreuk mag maken op het persoonlijk leven en het eigendom van burgers, en daarbij de risico’s hoort te beperken.

Toetsing en toezicht

Voor we van start gaan een kort stukje over hoe deze bevoegdheden gecontroleerd en ingezet worden. Om te beginnen hebben de diensten een intern traject waar goed wordt gekeken of een inzet wenselijk is, en naar eigen inzicht rechtmatig. Daarna gaan de in dit stuk genoemde soorten verzoeken naar de verantwoordelijke minister (Binnenlandse Zaken of Defensie) die het politieke besluit neemt of iets moet gebeuren.

Vervolgens toetst de externe Toetsingscommissie Inzet Bevoegdheden (TIB) of dit een rechtmatig besluit was. Dit vervult de vereiste vanuit Europees recht voor onafhankelijke externe toetsing (zie paragraaf 9.2.1 van de Memorie van Toelichting). Het oordeel van de TIB is bindend. Als er zoveel haast is dat er niet op de TIB gewacht kan worden is er ook de spoedprocedure (waarover later meer).

Overigens is de TIB ingericht voor snelle beslissingen, gemodelleerd naar de Rechter-commissaris. De TIB opereert op een wekelijkse cyclus, waarbij vrijwel alle besluiten binnen een paar dagen genomen worden.

Tijdens en na de eventuele uitvoering is er toezicht door de Commissie van Toezicht (CTIVD). De CTIVD kan constateren dat er onrechtmatige zaken plaatsgevonden hebben en een boze brief schrijven naar de minister. Dit oordeel is niet bindend, en minstens eenmaal hebben ministers ook geen gehoor gegeven aan de conclusies van de CTIVD.

Sommige zaken lenen zich beter voor toetsing vooraf dan voor alleen toezicht achteraf, zoals het bepalen van de technische risico’s van een inzet. Toezicht achteraf echter geeft als enige inzicht in of het hele traject rechtmatig en zinvol is. Toezicht achteraf is absoluut onmisbaar.

De CTIVD draagt ook bij aan de wetsvorming door rapporten te publiceren met beschouwingen over de toepassing van de wet in de praktijk. Het meest recente toezichtsrapport gaat over Automated OSINT door de AIVD en de MIVD.

Afluisteren, hacken, kopiëren

Afluisteren (artikel 47) kan zeer breed, en gaat bijvoorbeeld over microfoons, telefoontaps, internettaps, bij ‘officiële’ telefoonmaatschappijen (KPN, Vodafone, T-Mobile etc), maar ook bij iedere andere club die communicatiediensten biedt. Dit afluisteren mag met en zonder medewerking van de aanbieder gebeuren.

Ondertussen mogen geautomatiseerde werken (computers, telefoons, websites, mailboxen, auto’s, camera’s, routers, switches, printers) gehacked worden (artikel 45) om daar informatie uit te halen. Ook mogen gehackte apparaten voor verder afluisteren ingezet worden, of om toegang te krijgen tot weer andere computers.

De diensten moeten op dit moment ook toestemming vragen voor alleen al het ‘scannen’ of verkennen van servers, iets wat op internet de hele dag gebeurt door Jan en alleman.

Verder mogen de diensten bij hosters en aanbieders vragen om een kopie van computers en servers, en die kopie moet dan ook geleverd worden (artikel 54).

Doelstellingen, targets, non-targets, derden

Deze (en andere) bevoegdheden mogen toegepast worden voor onderzoek naar:

  • “Organisaties en personen die door de doelen die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat”
  • Specifieke landen

Dit zijn de doelen waar men onderzoek voor mag doen. De bevoegdheden mogen breed ingezet worden om deze doelen te bereiken. Er bestaat een Geïntegreerde Aanwijzing (‘de GA’) die hier vanuit de politiek richting aan geeft. Inzet is mogelijk op:

  • Targets: mensen en organisaties die direct betrokken zijn bij het te onderzoeken doel.
  • Non-targets: mensen en organisaties die hoewel ze zelf (mogelijk) niet staatsgevaarlijk zijn wel veel kennis hebben over targets, of op andere manier bij kunnen dragen. Traditioneel voorbeeld is de moeder of de chauffeur van een target
  • Derden: “stepping stones” die toegang kunnen geven tot targets. Typisch communicatiebedrijven of netwerkbeheerders

De wet is niet super duidelijk over non-targets en derden. De Wiv specificeert naar wat voor een onderwerpen en organisaties onderzoek gedaan mag worden, maar vermeldt alleen zijdelings het concept ‘derde’. ‘Non-target’ is nergens gedefinieerd, dat moet je er zelf in lezen. De Commissie van Toezicht heeft wel een definitie gemaakt. Iemand heeft het in de Wikipedia leuk samengevat.

Als concreet voorbeeld, in Operation Socialist hackte de UK afluisterdienst GCHQ de Belgische telefoonmaatschappij Belgacom om zo toegang te krijgen tot communicatiegegevens van targets in het Midden-Oosten.

Hiervoor werden eerst medewerkers van Belgacom gehacked om toegang te krijgen tot de systemen van Belgacom. De systeembeheerders kan je zien als derden die toegang gaven tot non-target Belgacom, waarbij Belgacom veel kennis in zich had over waar targets zich bevonden en hoe ze communiceerden. Het is ook mogelijk Belgacom zelf als derde te beschouwen, bijvoorbeeld als via dat bedrijf weer targets gehacked worden.

De essentie is in ieder geval dat de Wiv zegt waarom er afgeluisterd, gevolgd, gehacked of gekopieerd mag worden, zonder dat direct te koppelen aan wie. Wel worden er in artikel 26 voorwaarden gesteld aan onder andere de noodzakelijkheid.

De huidige wet en memorie van toelichting geven geen richting voor ‘strategische hacks’. Hierbij worden, zelfs in afwezigheid van concrete onderzoeksvragen naar personen, alvast posities ingenomen, zodat deze later mogelijk toegang kunnen geven tot relevante data.

Technische risico’s

Bij het hacken van derden en non-targets moet extra goed nagedacht worden. Het is nogal wat om een IT-dienstleverancier te voorzien van een achterdeur om heel iemand anders mee af te luisteren: de nood moet dan hoog zijn. In toezichtsrapport 53 stelt de CTIVD dat het hacken via derden alleen geoorloofd is als het onvermijdelijk is. De TIB ziet hier dan ook op toe.

Waar gehackt wordt vallen spaanders, en daarom kent de Wiv het begrip ’technische risico’s’. Voor de AIVD of MIVD een telefoonmaatschappij mogen hacken moet uitgelegd worden hoe ze dit gaan doen, zodat getoetst kan worden of de kans niet te groot is dat 112 uitvalt ergens na een vergissing. Verder is het zo dat als de beveiliging van een organisatie verzwakt wordt ook anderen daar gebruik van kunnen maken, iets wat specifiek speelt bij het mogelijk maken van afluisteren.

Verder zijn sommige hacktechnieken zo krachtig dat ze niet uit moeten lekken. De NSA heeft dit in Amerika ooit laten gebeuren en daar had de wereld vreselijk last van. Ook dit valt onder technische risico’s die (tot op heden) vooraf getoetst worden.

Bijvangst

Als de diensten iemand afluisteren of hacken is er altijd bijvangst. Dit kunnen huisgenoten zijn of andere mensen die contact hebben met het target.

Dit speelt zowel bij klassiek afluisteren als bij het hacken en kopiëren van servers. Ook een server kan vol staan met data en communicatie die niet relevant is.

Bijvangst moet goed gewogen worden, want de pijn (privacyschending van mensen die er niks mee te maken hebben) moet wel in verhouding staan tot de ernst van de situatie. Het is natuurlijk het makkelijkste als de bevoegdheid wordt ingezet op een (telefoon)lijn, server of geautomatiseerd werk dat in exclusief gebruik is door het target, maar die luxe is er niet altijd.

Een land of aan een land gelieerde hackers kunnen bijvoorbeeld een legitieme server gehacked hebben, en mogelijk wil je toch weten wat ze daar aan het doen zijn. Dat soort afwegingen moeten volgens Europese jurisprudentie voorzien worden van ‘robust supervision, by an independent authority in a position to assess the necessity and proportionality of the action being taken’.

Soms is het technisch mogelijk bijvangst snel te verwijderen, nog voor mensenogen ze gezien hebben. Desondanks is alleen al het opslaan van bijvangst een risico (zie ook randnummer 330 van Big Brother Watch and others v The United Kingdom). Ook diensten worden weleens gehacked, of raken data kwijt, of hebben interne datalekkage.

Bijschrijven (artikel 47 lid 7)

Diensten moeten snel kunnen reageren, maar ook moeten ze toestemming hebben voor hun handelen. Dit kan weleens botsen en daarom kunnen toestemmingen tot op zekere hoogte zonder verdere procedures aangepast worden. Als een target bijvoorbeeld nog een extra telefoonnummer, internetaansluiting of account blijkt te hebben kunnen deze direct ‘bijgeschreven’ worden, zonder een nieuwe aanvraag of (externe) toetsing.

Ook is het mogelijk om toestemming te krijgen om een hele organisatie af te luisteren, en de toestemming omvat dan de huidige leden van die organisatie. Als een club vervolgens nog meer leden blijkt te hebben kunnen de technische kenmerken van deze leden ook bijgeschreven worden, zonder verdere procedure. Dit werkt ook op informele organisaties, je hoeft niet bij de KvK ingeschreven te staan.

Wat overigens niet kan is het bijschrijven van derden of non-targets, of überhaupt hele andere mensen, ook al zijn ze van belang voor het onderzoek. Dat vergt een nieuw verzoek zodat overwogen kan worden of deze nieuwe mensen ‘de lat halen’: is het rechtmatig en noodzakelijk om ook deze mensen in het onderzoek te betrekken?

Zoals beschreven mogen diensten ook vragen om een kopie van servers (artikel 54). Hierbij is het volgens de wet echter niet mogelijk nieuwe computers van dezelfde personen of organisatie bij een andere aanbieder bij te schrijven, terwijl het wel voor de hand zou liggen dat dit kan.

Bulk afluisteren van communicatie

Er is ook een ingewikkelde juridische constructie om complete kabels of radiofrequenties af te mogen luisteren (artikel 48), ook als er nog geen specifiek target in beeld is. Wel moet de kabel (or radiofrequentie) ‘zo gericht als mogelijk’ gekozen zijn voor de communicatie die men zoekt. Dit levert grote bakken gegevens op waar, cruciaal, de diensten niet zomaar kennis van mogen nemen. Harde schijven vol internet, telefonie, email, maar er gebeurt nog (vrijwel) niets mee.

De diensten kunnen specifieke personen of onderwerpen aanvragen waarop ze dan in “de bak” mogen selecteren (artikel 50). En eenmaal geselecteerd mag er wel kennisgenomen worden van die gegevens. Dit kan dan ook oude communicatie opleveren die al veel eerder was opgenomen.

Het is belangrijk te begrijpen dat het idee van de wet is dat de diensten ‘alvast’ informatie af kunnen luisteren, zonder er naar te mogen kijken.

Om dingen wel werkbaar te houden mag deze opgenomen communicatie wel door specifieke mensen bekeken worden om te kijken wat er in de bak zit (artikel 49). Deze mensen mogen hun collega’s niet vertellen wat ze gezien hebben, behalve door aantekeningen te maken van welke communicatie er plaatsvindt.

Al deze bevoegdheden worden door de TIB vooraf getoetst, want het is nogal wat om hele kabels of satellieten af te luisteren.

Ook is het mogelijk voor de diensten om toestemming te vragen voor “geautomatiseerde data analyse” (GDA, artikel 60). Hierbij gaat een computer in de bak kijken en de gegevens mogelijk combineren met extra databestanden, en daarna melden algoritmes wat er gevonden is.

De wet en memorie van toelichting specificeren niet heel veel over wat GDA precies is (‘big data’, ‘machinaal leren’) maar laten het over aan de diverse toetsingsmechanismes (intern en extern) om te bepalen of het een goed idee is. Er zijn vormen van GDA denkbaar die eigenlijk niet anders zijn dan selectie, waar ook specifiek toestemming voor nodig is. Daarom wordt de toepassing van GDA ook extern getoetst door de TIB.

Spoedprocedure (artikel 37)

Om diverse redenen kan het nodig zijn om direct te handelen. De diensten kunnen in zo’n geval mondeling toestemming krijgen van hun minister en direct aan de slag gaan. Wel moeten ze dan achteraf alsnog een verzoek indienen, wat dan nog afgewezen zou kunnen worden.

Uit het jaarverslag 2020 van de toetsingscommissie inzet bevoegdheden:

De spoedprocedure is in de afgelopen periode bij 2,1% van de verzoeken van de AIVD en 1,0% van de verzoeken van de MIVD toegepast.

Dit gebeurt dus regelmatig.

Bevorderen of treffen van maatregelen (artikel 73)

De diensten zijn bevoegd tot het bevorderen of treffen van maatregelen ter bescherming van door de desbetreffende dienst te behartigen belangen, al dan niet met behulp van een technisch hulpmiddel.

Dit is een zelden genoemd artikel met een zeer interessante geschiedenis. In de vorige Wiv heeft de kamer dagen vergaderd over wat er allemaal mogelijk zou zijn volgens de voorganger van dit artikel:

Zo zal geen enkel belang van de dienst bij een goede taakuitvoering kunnen nopen tot bijvoorbeeld het (verlenen van medewerking bij het) plegen van een moord. (pagina 34 van de memorie van toelichting van de Wiv 2003)

Ook het nieuwe artikel 73 maakt het voor de dienst mogelijk strafbare feiten te plegen mits die noodzakelijk zijn en proportioneel tot het te beschermen belang.

Specifiek lijkt het duidelijk dat met dit artikel gevaarlijke internetservers buiten werking gesteld zouden kunnen worden, bijvoorbeeld. Curieus genoeg hoeft artikel 73 niet extern getoetst te worden, de minister kan er zelf voor tekenen.

Samenvattend

De diensten beschikken over een moderne wet, met flexibiliteit voor bijschrijven waar nodig, ruimte voor handelen ‘met spoed’ en ook nog een artikel waarmee maatregelen getroffen kunnen worden om onheil af te wenden.

Er is de mogelijkheid om in bulk kabels en de ether af te luisteren, zodat de communicatie zeker gesteld kan worden voor toekomstig onderzoek. Door de grootschaligheid hiervan is toegang tot deze data gekoppeld aan concrete onderzoeken, die getoetst worden op noodzakelijkheid en rechtmatigheid. Hiermee worden beide doelen gehaald: de informatie is beschikbaar en er is sprake van noodzakelijkheid als basis voor het gebruik ervan.

Dit alles in overeenkomst met recente Europese jurisprudentie.