null

PlusAchtergrond

Nieuwe wet met vleugje ‘sleepnet’ moet geheime diensten meer slagkracht geven

Beeld REUTERS

Door een nieuwe wet kunnen de Nederlandse inlichtingendiensten AIVD en MIVD straks mogelijk vaker ‘ongericht’ het internet aftappen. Dat ligt gevoelig: het deel van de sleepwet dat Nederland niet wilde, lijkt nu alsnog een feit te worden.

Tobias den Hartog

Wat je kijkt op Netflix, welke Nederlandse sites je bezoekt, waar je op Spotify naar luistert: het kabinet heeft altijd bezworen dat zulke informatie niet op grote schaal zou worden afgetapt. Toch lijkt dat nu te (kunnen) gaan gebeuren. Het is allemaal gevolg van een wetsvoorstel waaraan nu wordt gewerkt. De inlichtingendiensten klagen namelijk dat de huidige uit 2017 stammende wet hen in de weg zit. Bij het opsporen van digitale dreiging, denk aan Russische hackers, mogen de diensten soms te weinig, klagen ze.

undefined

Het kabinet lijkt gevoelig voor die oproep. Uit een nieuw wetsvoorstel blijkt dat er nu plannen zijn het diensten meer bevoegdheden te geven. Kabinetsadviseur Raad van State oordeelde maandag dat -met wat aanpassingen- het kabinetsplan groen licht verdient.

Waar zit het probleem volgens de AIVD en MIVD?
Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) klagen al langer dat de wet hen beperkt. Eén klacht springt eruit: het gerichtheidscriterium zou in enkele gevallen moeten worden losgelaten. Om te begrijpen waarover het hier gaat, moeten we vijf jaar terug in de tijd.

In 2017 werd de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), door tegenstanders de sleepwet gedoopt, besproken en uiteindelijk goedgekeurd door het parlement. Dat was tegen de achtergrond van bijvoorbeeld de onthullingen van Edward Snowden over de Amerikaanse veiligheidsdienst NSA, waaruit bleek dat de Verenigde Staten ongelofelijke hoeveelheden data van onschuldige burgers hadden opgevangen, opgeslagen en geanalyseerd. Het was als een sleepnet dat over de zeebodem wordt gehaald en alles bovenhaalt wat er in het net blijft steken.

Na felle protesten stelde het kabinet nadrukkelijk dat niet op grote schaal te willen gaan doen. En om daarover te waken werd een extra toezichthouder, de Toetsingscommissie Inzet Bevoegdheden (TIB) aangesteld.

Het probleem volgens de diensten is echter dat de TIB heel hoge eisen stelt als de dienst vraagt om ‘ongericht’ de internetkabel af te mogen appen. Gevolg: in vier jaar is nog niet één keer de kabel afgetapt. De criteria zijn blijkbaar zo strikt dat de diensten het niet eens meer wagen de kabel af te tappen. “Wij kunnen op dit moment de digitale veiligheid van Nederland onvoldoende waarborgen,” zei MIVD-directeur Jan Swillens.

Wat willen de diensten?
Stel er is een doelwit. De diensten kunnen telefoons aftappen, een laptop hacken, reisbewegingen volgen. Maar wat als je juist nog géén target hebt, maar wel dreiging vreest? “Per definitie zijn wij vaak op zoek naar een dreiging die we vaak nog niet kennen,” zei Swillens eerder. De diensten willen daarom dat ook target discovery mogelijk wordt. Ofwel: ongericht meeluisteren en meekijken als de diensten een dreiging vermoeden.

Dat wil niet zeggen dat dit ongelimiteerd gaat gebeuren. De diensten willen deze methodiek toepassen bij zogenoemd snapshotting. Dat houdt concreet in: twee uur lang de internetkabels aftappen als ‘verkenning’ op gegevens die ‘inlichtingenwaarde’ kunnen hebben. Daarna wordt, op basis van de oogst, wél ‘zo gericht mogelijk’ verder gezocht. Toch is dat vergaand.

De TIB ziet hierin een trendbreuk. Het ‘gerichtheidsvereiste’ dat het kabinet eerder heeft beloofd, lijkt nu te worden losgelaten. Volgens de TIB is het daardoor te verwachten dat de diensten langdurig zullen kunnen beschikken over zeer veel internetgegevens van burgers. ‘Zo komen alle gegevens, ook die van personen die niet in aandacht van de dienst staan en dat nooit zullen staan, breder beschikbaar binnen de diensten,’ schrijft de TIB.

Het ministerie van Binnenlandse Zaken laat weten dat gegevens die in de snapshot-fase worden verzameld niet zullen worden gebruikt voor onderzoeken. Ofwel: het kan hooguit de aanzet zijn voor een onderzoek naar een trend, niet het vertrekpunt voor de dienst om op een specifiek persoon te rechercheren, als het ware.

Welke informatie gaan de diensten zien?
Best veel. De TIB geeft als voorbeeld ene Jan uit Amsterdam die Nu.nl bezoekt. Zoiets mag straks op grote schaal worden vastgelegd. En de wet breidt dit verder uit. Eerder mochten de diensten niets tappen als het streamingsdiensten betrof, zoals bijvoorbeeld Netflix, Spotify of YouTube. Maar ook dat surfgedrag valt straks onder de wet, terwijl het kabinet in 2017 nog beloofde dat dit niet tot de interesse van de diensten zou gaan behoren.

Belangrijk is ook dat het wetsvoorstel de bewaartermijnen oprekt. Nu nog geldt dat anderhalf jaar na het binnenhalen de relevantie van de informatie nog eens bekeken moet worden. Als het voorstel het haalt is er straks geen maximale bewaartermijn meer.

Wat mogen ze met onderschepte gegevens doen?

De diensten willen gemakkelijker in data kunnen grazen. Via zogeheten geautomatiseerde data-analyse kan en mag nu al in bulkdata worden gezocht naar patronen en verbanden in telefoonverkeer. Ofwel: wie belt of mailt met wie? Is er een netwerk? Dat soort zoekvragen.

Hoewel daar algoritmes voor bestaan, is de toezichthouder hier volgens AIVD en MIVD een struikelblok. Die vraagt namelijk vooraf exact welke data de inlichtingenagenten willen bekijken en verwerken en draagt hen dan op ‘zo gericht mogelijk’ te zoeken. De veiligheidsdiensten willen dat dit wordt toegestaan zónder toets vooraf van de toezichtscommissie.

Maar er is meer. Dat de diensten kunnen aftappen, weten criminelen en terroristen natuurlijk ook. Stel dus dat een verdachte voortdurend nieuwe telefoons neemt. Nu nog moet de dienst, als ze het nieuwe nummer ontdekt hebben, nog naar de minister en de TIB om toestemming te vragen het nieuwe telefoonnummer ook af te mogen tappen. Dat ‘bijschrijven’ van een nummer vinden de diensten te lang duren. Vijandige hackers bijvoorbeeld, springen soms voortdurend van de ene computerserver over naar de volgende. Van die vertraging en dat gedoe willen de diensten ook af. Dat geldt dus ook voor burgers die zo’n telefoon of server gebruiken.

Mag de dienst straks dan op mijn router en server?

Eigenlijk wel, maar niet zonder reden. Nu nog moet toestemming worden gevraagd om te kunnen hacken bij ‘slachtoffers’. Zo gebruikte de Russische inlichtingendienst GRU routers in Nederland om aanvallen te kunnen uitvoeren. In het wetsvoorstel mogen de Nederlandse inlichtingendiensten die routers dan ook binnendringen, zonder toestemming vooraf.

Stel dus dat hackers de router van de familie Bakker gebruiken voor cyberaanvallen, dan mogen de diensten daar induiken. Er is wel achteraf (!) een toets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de parlementaire toezichthouder op de veiligheidsdiensten. Die kan een operatie stilleggen of de diensten terugfluiten.

Gaan de diensten hun zin krijgen?
Dat is nog de vraag. Uit het wetsvoorstel blijkt dat de oproepen van die diensten wel gehoor hebben gevonden bij het kabinet. De toezichthouders op de diensten zijn echter kritisch. Aan de vorige inlichtingenwet ging een referendum vooraf, waarbij het eerste wetsvoorstel werd afgewezen. Daarna werd de wet flink verbouwd, waarbij er juist veel aandacht was voor het ‘ongerichte’ aftappen. Dat werd toen dus uit de wet gehaald.

Nu komt dat er weer enigszins in, bij het snapshotten. De Raad van State adviseerde maandag positief over het wetsvoorstel, maar zegt wel dat gegevens die door ‘ongerichte’ verkenning zijn gevonden een ‘zo kort mogelijke’ bewaartermijn moeten krijgen. Ook zouden die gegevens niet uitgewisseld mogen worden met inlichtingendiensten van andere landen.

Het is aan de Tweede Kamer om te bepalen of het nieuwe wetsvoorstel door de beugel kan of dat er toch weer aan gesleuteld moet worden.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden