UPDATE 2014-03-11: today, a new CTIVD oversight report was published, together with the Dutch cabinet’s response to the Dessens report. The report covers exercises of various telecom-related powers by the AIVD and MIVD. Concerning the undirected (bulk) collection of phone metadata from wireless sources, the CTIVD has now established that it has not been motivated as required by law: nothing is known about necessity, proportionality or subsidiarity of such collection. IMHO the new report — which only exists as a result of Snowden’s revelations — reemphasizes that up until today, oversight on Dutch SIGINT is broken.  

UPDATE 2014-03-09: Bart Jacobs schrijft in zijn essay Gerichtheid moet in het DNA van inlichtingendiensten zitten (.pdf, 6 maart 2014): “[…] Waarom is er wereldwijd zoveel onrust ontstaan over de onthullingen van Edward Snowden? Ik denk in essentie omdat ze aantonen dat de Amerikaanse en Britse inlichtingendiensten NSA en GCHQ deze gerichtheid uit het oog verloren hebben. De techniek lijkt ze te benevelen, waardoor ze het gevoel verloren hebben voor wat gepast, geaccepteerd, of zelfs gerechtvaardigd is. […]”. Gegeven wat in het ruwe bronmateriaal van Snowden is te vinden is Jacobs’ analyse moeilijk te weerspreken.

Noodzakelijkheid, proportionaliteit en subsidiariteit: dat zijn de drie voorwaarden waaraan moet worden voldaan voordat de inzet door de AIVD en MIVD van bijzondere bevoegdheden zoals gerichte interceptie (‘aftappen’), ongerichte interceptie (‘sleepnettaps’) en binnendringen in geautomatiseerd werk (‘hacken’) door toezichthouder CTIVD als rechtmatig wordt beoordeeld. Is de inzet van de bevoegdheid noodzakelijk voor het onderzoek waarbinnen de inzet plaatsvindt? Weegt de privacyinbreuk op tegen het belang van het onderzoek? Is er een minder inbreukmakend alternatief om hetzelfde doel te bereiken? Deze afwegingen moeten, in beginsel, voorafgaand aan elke inzet van een bijzondere bevoegdheid worden gemaakt door de AIVD en de MIVD. Bij enkele van de onthulde programma’s van de NSA en GCHQ kunnen vragen worden gesteld over noodzakelijkheid, proportionaliteit en subsidiariteit.

Scheidend CTIVD-voorzitter Bert van Delden werd in december 2013 geciteerd op Nu.nl:

De toezichthouder deed de afgelopen tijd onderzoek naar de activiteiten van de Nederlandse diensten. ‘NSA-achtige praktijken’ kwam Van Delden daarbij niet tegen. (…) De werkwijze van de Amerikanen is volgens hem niet vergelijkbaar met die van de Nederlanders. Dat verschil is niet alleen een kwestie van cultuur, maar komt volgens hem ook door het ‘bijna onbeperkte budget’ van de Amerikaanse afluisterdienst NSA.

Geen ‘NSA-achtige praktijken’ door de Nederlandse diensten, dus? Hierover het volgende. Ten eerste: de notie van ‘budgetgrootte’ is relatief. Gegevensverwerking wordt steeds goedkoper, en dus kun je met gelijkblijvend budget steeds meer doen. Het plaatje hieronder uit het AIVD-jaarverslag over 2012 geeft de ontwikkeling van het budget weer: van 50 miljoen euro in 2000 tot 200 miljoen euro in 2012; en thans wat gecorrigeerd door bezuinigingen (als die gehandhaafd blijven).

Van Delden werd in hetzelfde artikel nogmaals geciteerd:

‘Je moet niet bezuinigingen op onze veiligheidsdiensten, maar je moet ze ook geen honderden miljoenen geven, want dan gaan ze zulke dingen doen‘, waarschuwt de vertrekkende CTIVD-voorzitter.

Bdudgetgrootte als bepalende factor voor de interne cultuur, dus (al moet Van Delden’s opmerking waarschijnlijk niet te zwaar worden gewogen).

Ten tweede is het begrip ‘NSA-achtige praktijken’ natuurlijk vaag. De AIVD zal behoeften en ambities hebben die — naar verhouding — vergelijkbaar zijn met die van de NSA: al was het maar om quid pro quo te kunnen blijven spelen met buitenlandse diensten. Zo blijkt uit het boek The Snowden Files nogmaals dat GCHQ zich zorgen maakt over de eigen informatiepositie in relatie tot behoud van het Britse “lidmaatschap” van de Five Eyes community. GCHQ c.s. blijven daarom zoeken naar verbetering en uitbreiding van methoden voor digitale spionage onder programma’s als Mastering The Internet en Global Telecoms Exploitation. Zoals Constant Hijzen opmerkt over wat via Snowden is onthuld:

Dit is geen schandaal, maar een praktijk die het gevolg is van de recente technologisering en groei van het inlichtingen- en veiligheidsapparaat.

Bekend is dat GCHQ de AIVD in 2008 adviseerde over de juridische aspecten van bulkinterceptie:

The Dutch have some legislative issues that they need to work through before their legal environment would allow them to operate in the way that GCHQ does. We are providing legal advice on how we have tackled some of these issues to Dutch lawyers.

Uit deze woorden kan natuurlijk niet worden geconcludeerd dat de AIVD zou willen werken “in the way that GCHQ does”. Echter geven de aanschaf van ARGO II, zie ook hier (de supercomputer waarover de MIVD+AIVD nu beschikken voor de verwerking van grote hoeveelheden data, naar verluidt geleverd door het Israëlische NICE Systems), het uitzicht op een bevoegdheid voor ongerichte interceptie van kabelgebonden communicatie (die het tappen van glasvezelverbindingen etc. mogelijk zal maken) en de verwijzingen naar “grote gegevensstromen” in recente AIVD-jaarverslagen geven evenwel een aanwijzing dat de te verwachten werkwijzen nu toch ook weer niet volledig buiten het spectrum vallen van de werkwijzen van de NSA en GCHQ waarover nieuwsberichten zijn verschenen. Het AIVD-jaarverslag over 2010 vermeldt:

(…) Op een aantal ICT-gebieden moet de AIVD excelleren om het verdergaande technologiegebruik door onderzoekssubjecten het hoofd te kunnen bieden. Dit geldt in het bijzonder voor de strategisch-operationele doelen waarbij ook internationale informatiestromen verwerkt moeten worden. Op deze gebieden moet innovatieve technologie worden ingezet om te kunnen omgaan met de uitdagingen van cryptotechnologie, grootschalige data-analyse en cyberwarfare. De AIVD verwacht dat deze uitdagingen de komende jaren de ICT-ontwikkelagenda zullen blijven bepalen.

Het AIVD-jaarverslag over 2011 vermeldt:

Het werk van de AIVD is in hoge mate afhankelijk van het vermogen om snel grote hoeveelheden informatie te verwerken en te analyseren. Zo kunnen vroegtijdig bedreigingen van de nationale veiligheid worden onderkend. De AIVD moet daarom kunnen beschikken over moderne, kostenefficiënte en goedwerkende informatiesystemen die ten aanzien van de ondersteuning van operationeel inlichtingenwerk internationaal voorop lopen. Om dit te realiseren heeft de AIVD in 2011 een structurele ICT-investeringsimpuls gekregen die wordt aangewend voor het versterken van de capaciteit van Signals intelligence (Sigint), het verwerken van omvangrijke internationale datastromen, ICT-voorzieningen voor Regionale Inlichtingendiensten en waarborgen voor de continuïteit van de informatiesystemen van de dienst. (…) Een nieuwe versie van het AIVD-systeem voor de verwerking en analyse van Sigint-opbrengsten is opgeleverd.

Het AIVD-jaarverslag over 2012 vermeldt:

Overheden moeten kunnen inspelen op de snelle veranderingen in de digitale infrastructuur en de voortdurende aanwas van nieuwe communicatiekanalen: discussiefora, sociale media, ‘cloud computing’. Terroristen, extremisten en inlichtingendiensten van andere landen maken gebruik van deze communicatiekanalen, en beveiligen hun communicatie bovendien met steeds betere encryptie. hierdoor wordt het gemakkelijker om activiteiten aan het oog van opsporingsinstanties en inlichtingen- en veiligheidsdiensten te onttrekken.

Deze ontwikkelingen van digitale technologieën en de groeiende omvang van datastromen (‘big data’) nopen tot permanente investeringen, zowel in materiaal als in kennis en expertise. de investeringsimpuls van de afgelopen jaren is in 2012 voortgezet. er zijn investeringen gedaan voor het onderscheppen, beheren, verwerken en bewerken van grote informatiestromen. Bij deze investeringen kiest de aivd doelbewust voor het aangaan en uitbouwen van strategische samenwerkingsallianties met nationale en internationale partners.

[…]
De aivd heeft een systeem ontwikkeld waarin zeer snel nieuwe bronnen ontsloten en doorzoekbaar gemaakt kunnen worden. hoewel het systeem opgezet is voor sigint-data, is het zo ontworpen dat het ook gebruikt kan worden om grote hoeveelheden data uit andere bronnen snel op te slaan en doorzoekbaar te maken.
Voor nadere analyse van deze grote hoeveelheden data heeft de aivd applicaties ontwikkeld die rapportages en statistieken over specifieke trends kunnen produceren. Op het gebied van de analyse van sigint-data zijn wij samenwerkingsverbanden aangegaan met buitenlandse collega-diensten.

De AIVD en MIVD zijn dus, net als de NSA en GCHQ, bezig met grote gegevensstromen. Dat waren ze al binnen de in 2003 opgerichte Nationale Sigint Organisatie (NSO) met ARGO I, maar dat wordt dankzij ARGO II en nieuwe bevoegdheden straks uitgebreid binnen de Joint Sigint Cyber Unit (JSCU).

Ze kunnen niet anders, waarschijnlijk. In het Dessens-rapport wordt losjes geschat dat 80%-90% van het digitale maatschappelijke verkeer momenteel buiten het ongerichte blikveld van de diensten valt. Het toestaan van ongerichte kabelgebonden interceptie betekent wel dat ook in Nederland waakzaamheid is geboden tegen ‘NSA-achtige praktijken’. De Nederlandse wetgeving is al redelijk ruim; hoewel ik moet toegeven dat ik niet tot in detail weet in hoeverre ‘NSA-achtige praktijken’ in Nederland juridisch mogelijk zijn zoals in de VS mogelijk zijn dankzij FISA Section 702 (de juridische basis voor PRISM), PATRIOT Section 215 (de juridische basis voor bulkverzameling van metadata van telefoongesprekken) en Executive Order 12333 (dat de president de bevoegdheid geeft foreign intelligence programma’s uit te laten voeren buiten het zicht van het in de VS gebruikelijke rechterlijke toezicht en waarover de VS informatie weigert te verstrekken aan de EU). Heeft Ashkan Soltani’s betoog dat technologie, niet wetgeving, de remmende factor is voor Amerikaanse spionage ook relevantie voor Nederland?

In het Tempora-programma heeft GCHQ zich vanaf 2008 toegang verschaft tot inmiddels zo’n 200 glasvezelverbindingen. Ze zouden anno 2011 van 46 verbindingen gelijktijdig (alle?) data kunnen verzamelen en de volledige data tot drie dagen bewaren, de metadata tot dertig dagen. Het mag worden verondersteld dat de Nederlandse diensten een gelijksoortig programma opbouwen zodra ze de wettelijke bevoegdheid krijgen. Selectie uit ongericht verzamelde gegevens mag onder het huidige Artikel 27 derde lid WIV2002 op identiteit (persoon of organisatie), nummer, technisch kenmerk of trefwoorden. “Nut en noodzaak moeten altijd worden aangetoond”, vindt de cie-Dessens.

In het OPTIC NERVE programma heeft GCHQ in zes maanden tijd webcambeelden verzameld van wereldwijd 1.8 miljoen gebruikers van Yahoo webcam chat zonder dat die gebruikers ergens van werden verdacht. GCHQ wil er nieuwe targets mee ontdekken, en experimenteren met gezichtsherkenning om bestaande targets te vinden in de gegevensstromen. Gaan de Nederlandse diensten ook dit soort dingen doen? Is dat noodzakelijk? Is het proportioneel? Is er een minder inbreukmakend alternatief om het (niet nader bekende) doel te bereiken?

Het ontbreekt aan informatie waarmee de buitenstaander dat kan bepalen. Dat bemoeilijkt een eerlijk debat — de andere kant van het verhaal, die van de diensten, mist. Het ontbreken van informatie houdt dystopische straw man argumenten overeind: redeneringen van het type “ik wil niet in een wereld leven waar X”, waarbij X gewoon simpelweg niet aan de orde is, maar dat niet kenbaar is voor wie het argument maakt. Het zou goed kunnen zijn dat ongerichte kabelgebonden interceptie “onder de streep” volstrekt redelijk en wenselijk is, gegeven de taakstellingen van de diensten en de actuele situatie in de wereld: dat die nieuwe bevoegdheid aantoonbaar bijdraagt aan de veiligheid van onze strijdkrachten in het buitenland, aan het voorkomen van terroristische aanslagen in het binnenland, en nimmer wordt gebruikt op een manier die in strijd is met democratische beginselen.

Van de MIVD is bekend dat ze “generieke identiteiten” gebruikte om binnen ongericht geïntercepteerde niet-kabelgebonden data nieuwe targets te ontdekken: een praktijk die de CTIVD niet rechtmatig achtte, en vervolgens de facto adviseerde te legaliseren. [De exacte bewoording van de CTIVD luidde (.pdf): “De Commissie geeft in overweging te bezien of het, met inachtneming van de privacybescherming, noodzakelijk is dat aan de MIVD (en de AIVD) ruimere bevoegdheden worden toegekend die beter aansluiten op deze (gewenste) praktijk”).] Hoe sterk is onze democratie op dat punt? Het gebruik van generieke identiteiten als sleepnet zal in elk geval één van de onderdelen van de nieuwe Wiv zijn die op gespannen voet staat met democratische beginselen. Het hangt natuurlijk allemaal samen met wat de samenleving van de diensten verwacht: zie ook de betogen van Constant Hijzen.

Bij bevoegdheden die toestemming van de Minister van BZK of Defensie eisen wordt de afweging over noodzakelijkheid, proportionaliteit en subsidiariteit (als het goed is) verwoord in het toestemmingsverzoek. Het rechtmatigheidstoezicht op deze bevoegdheden door de CTIVD vindt primair plaats op basis van die toestemmingsverzoeken. Uit de toezichtsrapporten blijkt dat dit mechanisme in praktijk bij de AIVD goed werkt voor de inzet voor gerichte interceptie. Uit die rapporten blijkt ook dat dit mechanisme vooralsnog niet goed werkt voor ongerichte interceptie: de CTIVD onthoudt zich al jarenlang van een rechtmatigheidsuitspraak als gevolg van gebrekkige motivatie in de toestemmingsverzoeken. (Over de inzet van de hackbevoegdheid is weinig bekend; er is geen CTIVD-rapport dat in enige omvang ziet op de inzet van dat artikel.)

Voor het gericht monitoren van jihadistische fora hebben onze diensten in elk geval geen bevoegdheid tot ongerichte interceptie nodig, daartoe volstaat de hackbevoegdheid (Artikel 24 WIV2002) in combinatie met andere bestaande bevoegdheden. Misschien zou de hackbevoegdheid  een nieuw juridisch jasje kunnen krijgen dat beter rekening houdt met de aard van systemen en infrastructuur die zowel door (enkele) targets als (heel veel) non-targets wordt gebruik. En waarin nader wordt geregeld wat onze diensten mogen doen met gehackte systemen. Of de diensten Computer Network Exploitation (CNE) mogen bedrijven in de vorm van het achterlaten van malware op computernetwerken, zoals de NSA al op >50,000 netwerken heeft gedaan en zoals bij Belgacom is aangetroffen. Of de diensten ongerichte MitM-aanvallen mogen uitvoeren.

Iets dat juridisch mag (c.q. juridisch kan worden rechtgepraat met taalspelletjes) is niet automatisch moreel goed. De AIVD moet vooral onderscheid maken tussen targets en non-targets, ook al in de fase van verzameling: het principe van discriminatie in de Just Intelligence Principles van Ross Bellaby. Hoe zit het, in het licht van de opkomst van intelligencegestuurd politiewerk (.pdf), eigenlijk met de vervagende grens tussen inlichtingen en opsporing, de scheiding die bewust na WOII is ingevoerd en in Artikel 9 WIV2002 is vastgelegd? Welke juridisch nét toegestane gegevensverzamelingen, -koppelingen en -verrijkingen liggen in het verschiet, indachtig Travel Intelligence en het (destijds weliswaar verworpen) post-Madrid voorstel om gegevens te kunnen vorderen bij private partijen? Vragen genoeg. Voor nu moeten we allemaal met belangstelling uitkijken naar de kabinetsreactie op het Dessens-rapport (die verschijnt mogelijk op 10 maart) en het nieuwe Wiv-wetsvoorstel.

EOF