Bijdrage Bert Hubert aan rondetafelgesprek 5 april 2023

(Op mobiele telefoons zijn de voetnoten klikbaar!). En zie ook reflectie na afloop van de presentaties.

Dank voor uw aandacht allemaal. Ik wil specifiek mijn voormalige collega's van de TIB bedanken voor hoe zij hun zorgen deelden vorige week. De TIB kan zich vanwege haar rol niet uitlaten over de bevoegdheden in de nieuwe wet. Ik ben vorig jaar opgestaptVertrek TIB, 9 september 2022 zodat ik dat wel kan doen.

De tekst van dit praatje staat ook op https://berthub.eu/tk (of scan de QR code) en is daar voorzien van tientallen voetnoten met onderbouwing, verwijzingen naar artikelen, interviews en andere documenten. Mijn verhaal wijkt sterk af van wat u eerder vandaag gehoord hebt, dus de overtuigende voetnoten zullen nodig zijn.

Deze week precies 20 jaar geleden begon ik bij de AIVD. Sindsdien heb ik alles wat los en vast zat getapt. Bij de TIB heb ik enorme hackoperaties rechtmatig beoordeeld — omdat ze goed uitgelegd en onderbouwd waren. U zou mogelijk schrikken als u wist wat er allemaal gebeurt onder de huidige wet. Mijn voormalige voorzitter Mariëtte Moussault zei dit hier vorige week ook, dus u hoeft het niet van mij alleen aan te nemenTechnische briefing door CTIVD en TIB, 30 maart 2023, NRC artikel 4 april 2023.. Maar, ik heb geen enkele moeite met geheime diensten. Ik weet ook dat de briljante hackers en tappers die ik daar ken oprecht werken om Nederland en de wereld veilig te houden. Ik ben geen privacy activist en niet tegen diensten, maar ik kom vandaag toch mijn beklag doen.

Nogmaals voor de duidelijkheid: ik ben hier niet om "Chinees en Russisch cybertuig" te beschermen. Sterker nog, ik vind dat hun aanwezigheid en activiteiten in Nederland veel harder en concreter aangepakt moeten worden. Een wet die claimt te gaan over 'cyberoperaties' zou dan moeten helpen. En ik zou ook helemaal voor zo'n wet zijn als die zou helpen.

Maar dat doet dit voorstel helemaal niet. Het voorstel pakt geen cybertuig aan, het voorstel maakt het met name makkelijker onschuldige Nederlanders af te luisteren en te hacken, en de opbrengst te delen met het buitenlandArtikelsgewijze samenvatting van het wetsvoorstel.

Het tweede waar ik moeite mee heb is dat dit wetsvoorstel niet oprecht aan u verkocht is, en ik leg dat graag uit.

Om te beginnen is het goed te weten dat de huidige wet al bijzonder ruim is. Zo mogen de diensten, als dat nodig is, iedere kabel afluisteren en de inhoud daarvan jaren opslaanArtikel 48 van de Wiv, "De diensten zijn bevoegd tot het [..] onderzoeks-opdrachtgericht aftappen, ontvangen, opnemen en afluisteren van elke vorm van telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk ongeacht waar een en ander plaatsvindt" ... "gegevens die zijn verzameld door uitoefening van de bevoegdheid als bedoeld in het eerste lid voor een periode van ten hoogste drie jaren na verwerving of na het ongedaan maken van de versleuteling worden bewaard". Ook mag die afgeluisterde data integraal naar een buitenlandse dienst gestuurd worden. Dat is nogal wat. De bestaande wet stelt daarom strenge eisen, en toenmalige ministers hebben concrete toezeggingen gedaan over de beschermde positie van verkeer van Nederlanders onderling.

In 2021 hebben de diensten een verzoek gedaan om daadwerkelijk de inhoud van een grote internetkabel met een buitenlandse dienst te delen. Als TIB vonden wij dit niet rechtmatig, omdat de diensten niet uit konden (of wilden) leggen waarom dat nodig wasPagina 2 uit het jaarverslag 2021 van de TIB: "Bij het eerste verzoek was het aannemelijk dat een significante hoeveelheid van het internetverkeer van onder andere Nederlandse burgers zou worden opgeslagen en een deel daarvan ongezien zou worden gedeeld met een buitenlandse partnerdienst. Daartegenover stond geen concrete beschrijving van de te verwachten opbrengst die deze interceptie kon rechtvaardigen.".

Het huidige wetsvoorstel omvat, mogelijk door deze afwijzing, een nieuw afluisterartikel wat door geen toezichthouder tegengehouden kan worden. Met als uitsluitende grond dat men wil weten of er staatshackers op een kabel zittenBNR Big Five interview met Erik Akerboom, artikel 6 van de nieuwe wet mag men iedere verbinding een jaar lang afluisteren. De Raad van State vond dit ver gaan, en adviseerde vast te leggen dat deze data dan niet naar het buitenland magAdvies Raad van State. "Wel acht zij het cruciaal dat in het voorstel wordt gewaarborgd dat gegevens die zijn verkregen met het verkennen van de kabel niet mogen worden uitgewisseld met buitenlandse diensten.".

De ministeries reageerden hierop door expliciet vast te leggen dat dit wel zal gebeurenMemorie van Toelichting. "In het kader van dit technisch onderzoek is het soms noodzakelijk ondersteuning te krijgen van een buitenlandse collegadienst. Hierbij worden de voor dat technisch onderzoek benodigde gegevens aan de desbetreffende collegadienst verstrekt.".

Waar de huidige wet nog een belangrijke beperking bevat over het bulk tappen van verkeer van Nederlanders onderling wordt werkelijk iedere beperking in de nieuwe wet stilletjes ongedaan gemaaktParagraaf 3.3.3 MvT. "Om het middel effectief ten behoeve van een onderzoek in te zetten, is het dus niet mogelijk om gegevensstromen enkel op basis van technische eigenschappen, zoals de oorsprong of bestemming van communicatie of de soort (streaming)dienst die wordt aangeboden, uit te sluiten.".

We hebben nu dus een wetsvoorstel waarbij een verzoek om de telefoonkabels die de Tweede Kamer in- en uitgaan te tappen, vrijwel niet door de TIB onrechtmatig te toetsen is. Toezichthouders zitten er namelijk om aan de wet te toetsen, en niet om te bepalen of iets een goed idee is. En als de wet zegt dat er geen nadere onderbouwing nodig is, dan is er verder niet veel meer te doen. De data mag ondertussen ook naar buitenlandse diensten.

Laat dit even goed op u inwerken.

We zullen vandaag veel horen dat het bindend toezicht verschuift van vooraf naar achteraf. Verbazingwekkend genoeg krijgt de CTIVD in deze wet helemaal geen bindend toezicht op dit "verkenningsartikel", noch enig ander aftapartikelArtikel 6 van de nieuwe wet en 48 van de oude wet staan niet genoemd in artikel 12, waar het bindend toezicht opgesomd staat. Toch is het u zo uitgelegd.

Kortom, vanaf nu mogen de diensten vrijwel zonder inhoudelijke opgaaf van redenen iedere kabel afluisteren, en de inhoud delen met het buitenland, en geen toezichthouder kan er iets mee.

Maar hoe kan dit nou? De diensten gingen toch geen hele wijken afluisteren? Dat wilde toch niemand? Dat wil men wel. Ik ben toenmalig minister Henk Kamp zeer erkentelijk dat hij duidelijk zei dat het de bedoeling was "dikke netwerkkabels die hier aan land komen" te tappenNRC, Defensieminister Henk Kamp: ‘De handen zijn ons op de rug gebonden’. "Een ander ding zijn dikke netwerkkabels die in Nederland aan land komen. De Wiv uit 2017 was bedoeld om ook interceptie op die kabels mogelijk te maken. Dat is sindsdien nog niet gebeurd, omdat de toezichthouder een aanvraag van de MIVD of AIVD steeds afwijst". Ook recent door BoF ge-WOO'de documenten zijn hier helder over: "Niet ontkennen"Bulkverzameling "gegevens binnenhalen van miljoenen burgers: niet ontkennen".

Het blijkt dat de diensten hun eigen wet niet goed uitleggen. Bevoegdheden die daar "afluisteren" heten worden in interviews en documenten stelselmatig omschreven als niet afluisteren. Vrij Orwelliaans.

Voor ons ligt een wet waarmee niet alleen hele wijken afgeluisterd kunnen worden, het hele land mag er mee afgeluisterd worden. En de diensten menen dat dat geen afluisteren is, want het is slechts ter verkenning (en om te delen met buitenlandse diensten). U zult dit verschil vandaag nog vaak horen. Maar als mijn kabel naar de AIVD wordt gekopieerd en daar jaren wordt opgeslagen en geanalyseerd, en mogelijk met het buitenland wordt gedeeld, dan voel ik me toch echt afgeluisterd. Hoe voelt dat bij u?

Als er potentieel enge wetgeving wordt voorgesteld is de reactie vaak dat het er wel zo staat, maar dat het in de praktijk wel mee zal vallen, "dat zouden ze toch niet doen". Nou is dat al een niet al te beste basis om je rechtsstaat op te bouwen, maar ik vrees dat de diensten het in de praktijk "wel gaan doen".

Ik ga nu twee voorbeelden noemen die dit illustreren, waarbij ik in het midden laat of deze verzoeken van de diensten ook uitgevoerd zijn.

Voorbeeld 1

De huidige wet kent geen beperking dat alleen targets afgeluisterd of gehacked mogen worden. Dus het is al mogelijk "non-targets" en "derden" te hacken. De CTIVD heeft als lapmiddel in 2017 bovenwettelijke eisen gesteld dat dit alleen kan als er een direct gevaar voor de nationale veiligheid bestaatCTIVD toezichtrapport 53, paragraaf 4.7 en 4.8. "Bij zwaarwegende operationele belangen kan gedacht worden aan situaties waarin sprake is van één of meer concrete aanwijzingen dat er ten aanzien van het uiteindelijke target een direct gevaar voor de nationale veiligheid bestaat".

Regelmatig leidt dit tot strubbelingen, omdat de diensten heel graag verkeer van burgers willen afluisteren om hun doelen te bereiken. Als voorbeeld, TIB en diensten kwamen ooit in een grote bezetting bijeen, omdat AIVD en MIVD toe wilden lichten waarom ze burgers thuis wilden hacken/tappen omdat een van hun apparaten mogelijk was gehacked. Volgens CTIVD-beleid kan dit alleen bij "zwaarwegende operationele belangen", maar daar was niets van gebleken. Ook was er al ruim zicht op de activiteiten van de hackers op andere manieren.

We troffen in dat overleg een muur van onbegrip aan. We moeten toch verder? Natuurlijk moeten deze families en MKB-ers getapt of gehacked worden. Ik vroeg nog, kan je die mensen niet vragen of je hun gehackte apparaat mag hebben? Veel te veel werk. En misschien zouden die mensen het wel verklappen.

Het bleek technisch gezien mogelijk op afstand de data van de hackers te scheiden van de data van de gezinnen, waardoor die niet in AIVD systemen zou belanden. Op de vraag waarom men dit dan niet deed kwam het antwoord dat dit te veel gedoe was en misschien niet betrouwbaar zou zijn.

Ik ben toen uit mijn slof geschoten of men niet doorhad dat je burgers niet kunt bespioneren "omdat het makkelijker" is. Iedereen keek me glazig aan alsof ik een soort fossiel was met m'n burgerrechten. "Wij zijn het toch!" is de houding — het is helemaal niet erg als de AIVD/MIVD je privacy schendt, want wij zijn ok! Dit is een heel gevaarlijke houding.

[Later kwam er nog een schriftelijke reactie dat men huishoudens niet wilde benaderen over dit soort dingen want burgers zouden geen enkele reden hebben om mee te werken.]

Ik was echt geschokt over deze minachting van van gewone mensen thuis, die je gewoon lekker moet kunnen hacken of tappen als het zo uitkomt.

Overigens is het bovenstaande geen geheime modus van de diensten - ze beschrijven de behoefte dit te doen concreet in de MvT, en er is zelfs een persberichtParagraaf 3.2.5 van de Memorie van Toelichting, Persbericht MIVD.

Voor ons ligt echt een enge wet.

In het nieuwe wetsvoorstel kunnen mogelijk gehackte burgers en bedrijven automatisch door de diensten gehacked of afgeluisterd worden. Dit gaat met een puur administratieve handeling ("bijschrijving")Wetsvoorstel, artikelen 5, 9 en 10. De eerder genoemde bijeenkomst zou onder de nieuwe wet dus niet meer plaatsgevonden hebben. Ik ben benieuwd hoe het Europees Hof voor de Rechten van de Mens hierover denkt, overigens.

Voorbeeld 2

Mogen de diensten ook totaal ongerelateerde bedrijven hacken? Met een zogeheten "strategische hack" op een infrastructuurbedrijf kunnen diensten veel leren, zoals locatiegegevens van mensen en apparatuur. Te denken valt aan ieder bedrijf met een cruciale positie in communicatie of softwaretechniek, of bedrijven/apps met locatiegegevensBBC, "Fitness app Strava lights up staff at military bases", Artikel De Correspondent over Polar fitness-app.

De wet is nu niet duidelijk of de diensten dit mogen. De MvT van het voorstel zegt dat het voortaan magParagraaf 2.2.2 van de Memorie van Toelichting. Maar het is nogal wat om als dienst in de infrastructuur van de wereld in te breken. Dat vergt het verzwakken van beveiliging en het installeren van nieuwe afluister- of hackfunctionaliteit.

Het is nu nog zo dat de TIB geïnformeerd moet worden over de technische risico's van een operatie. En over diverse voorgenomen strategische hacks werd de TIB dan ook geïnformeerd.

We vroegen ooit door — hoe zou het aangebrachte gat in het strategische bedrijf beveiligd worden? Kwam er monitoring op om te kijken of geen andere diensten of hackers door de nieuw aangebrachte deur binnen zouden komen?

Als een individueel target een computerprobleem krijgt door de AIVD is dat begrijpelijk en proportioneel. Maar als je in een infrastructuurbedrijf zit waar honderden miljoenen of zelfs miljarden mensen gebruik van maken dan ligt dat anders.

Wederom stuitten we op een muur van onbegrip. Wij zijn zo goed bij de AIVD/MIVD dat deze hack geen 24/7 monitoring behoeft. Overigens is al eerder opgevallen dat (spoed)verzoeken om te hacken nooit in het weekend verstuurd wordenArtikel 5 Jaarverslag TIB 2022, pagina 26.

Deze observaties zijn extra relevant daar de diensten in het nieuwe voorstel niet meer vooraf hoeven te beschrijven wat de technische risico's van (strategische) operaties zijnArtikel 5 van de nieuwe wet. Hacken kan belangrijke dingen ook danig beschadigen.

Spoed

Toen dit wetsvoorstel voor het eerst geïntroduceerd werd claimde men dat het het vooral ging om snelheid. De TIB zou vertragend werken. Na geruime tijd kregen de diensten pas de vraag wat er mis was met de bestaande spoedprocedure, waarmee diensten al aan de slag kunnen nog voor dat de TIB geoordeeld heeft. Een minister kan telefonisch toestemming geven, en dankzij een vervangingsrooster is er altijd een minister beschikbaar.

De diensten beweerden toen dat de spoedprocedure "eerder regel dan uitzondering" was geworden. Ik vond dit vreemd, want in mijn tijd was dat nooit zo. Het net uitgekomen jaarverslag van de TIB bevestigt dat iedere dienst gemiddeld 1 keer per week de spoedprocedure inzet - een klein percentage van de duizenden verzoeken per jaarParagraaaf 4.4 uit het jaarverslag 2022 van de TIB.

Er zijn sinds 2018 veel suggesties geweest om tot "bandbreedte" afspraken te komen over hackverzoeken waarmee de diensten meer armslag krijgen, maar dit is nooit opgepakt. Uit de WOO-documenten van Bits of Freedom blijkt ook dat op geen enkel moment overwogen is om tot praktische afspraken te komen om de toestemmingsprocedures te versnellen.

Het lijkt er dus op dat ook zonder deze wet er afdoende mogelijkeden zijn om sneller te kunnen handelen, en dat de diensten een weinig oprecht beeld geschetst hebben hierover.

ChatGPT

Ik wil het kort hebben over algoritmes en "geautomatiseerde data-analyse" (GDA). De Wiv 2017 maakt het mogelijk om, met toestemming vooraf, met algoritmes afgeluisterde data te onderzoeken (in de woorden van de diensten bent u dan nog niet afgeluisterd, overigens).

Omdat in 2015 niemand wist wat algoritmes allemaal in zouden houden was hier expliciete toestemming van de TIB voor nodig. In 2015 had men gelijk, want inmiddels is er een nieuw algoritme, ChatGPT. Ik heb het zelf nog even geprobeerd, ChatGPT is gaarne bereid berichtjes te analyseren op gevaarlijke contentTranscript gesprek met ChatGPT.

De mogelijkheden en kansen zijn eindeloos, maar de risico's ook. Dit soort algoritmes vertelt niet hoe ze besloten hebben dat jouw berichtje terroristisch van aard was. Het is daarom onvoorstelbaar jammer dat in het wetsvoorstel het toezicht vooraf op algoritmes wordt opgeheven.

Samenvattend

Deze wet is ons gepresenteerd als een tijdelijke en kleine aanpassing, waarbij het toezicht wat "verduidelijkt" wordt, zodat hackers beter aangepakt kunnen worden. Ik hoop dat nu duidelijk is dat deze wet met name leidt tot het tappen en hacken van Nederlanders op veel grotere schaal.

De samenvatting dat "toezicht verschuift van vooraf naar achteraf" klopt gewoon niet — beide toezichthouders moeten zich aan de veel ruimere criteria houden. En de CTIVD krijgt helemaal geen bindend toezicht op de afluisterartikelen.

Om juist nu het toezicht op algoritmes te verzwakken lijkt me een groot probleem. En ook het argument van de spoed werkt niet niet om deze wet te rechtvaardigen.

Afsluitend

Ik zou nog veel meer willen vertellen. Zoals dat de CTIVD weliswaar veel meer technisch toezicht zal moeten houden, maar geen technisch lid krijgt (!). Of hoe het bindend toezicht een enorm complexe juridische operatie is, en het maar de vraag is of de CTIVD (met al maanden een stapel vacatures) vanuit hun op meerdere manieren ongeschikte pand adequaat toezicht kan houden.

Niet alleen is er geen tijd om nu meer te vertellen, maar ik mag ook veel niet vertellen. Zoals de TIB al in haar jaarverslag 2022 zei, de diensten hebben inmiddels het begrip staatsgeheim zeer ver opgerekt. De TIB kon daardoor niet zeggen wat zij wilde zeggen, en dat probleem heb ik nu ookPagina 6 uit het jaarverslag 2022 van de TIB. "Toch is door de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie besloten dat meerdere passages als staatsgeheim aangemerkt dienen te worden. De TIB heeft deze passages in het jaarverslag zwartgelakt. Daardoor zijn sommige passages niet goed meer te begrijpen en kan de TIB de samenleving niet informeren zoals zij had beoogd". Mocht daar behoefte aan bestaan ben ik natuurlijk gaarne bereid uw Commissie voor de Inlichtingen- en Veiligheidsdiensten vertrouwelijk in te lichten.

Ik dank u voor uw aandacht. Ik hoop dat we in wat volgt een concrete en heldere discussie kunnen hebben over wat deze wet exact doet tegen buitenlandse hackers (niet genoeg), en wat deze wet wel betekent voor hoe Nederlanders makkelijker en vaker afgeluisterd (echt) en gehacked kunnen worden.