“Het recht dient om de macht te beteugelen”, zo kopte eerder dit jaar een artikel in De Groene Amsterdammer over rechtsstaat versus veiligheidsstaat. Vanuit die gedachte is hier een verlanglijstje voor de nieuwe Wiv en de toekomst van onze IVD’en:
- Een drempel of schot tussen de hackbevoegdheid en de bevoegdheid tot ongerichte interceptie. Dessens adviseert bij kabelinterceptie verplichting tot medewerking van (voor IVD’en relevante) Nederlandse kabelaanbieders. Een voordeel aan het voorgestelde model is dat de kabelaanbieders in the loop zijn: ze worden betrokken in het proces, weten dat er iets speelt en zullen zo nodig een klacht kunnen indienen (bij de betrokken Minister, die vervolgens verplicht is de CTIVD te consulteren). Dessens zegt echter niets over de mogelijkheid van het inzetten van de hackbevoegdheid om ongerichte interceptie uit te voeren. Het kabinet stelt in november 2014 dat de diensten geen “onbeperkte en zelfstandige” toegang krijgen tot kabels, met als argument het genoemde model van werken. Het in the loop-model zal bij hacking doorgaans niet kunnen worden toegepast, omdat de eigenaar van het gehackte systeem/netwerk niet op de hoogte mag zijn van de hacking. Welke waarborg is er dan dat — in de verzamelfase van het nieuwe interceptiestelsel — via hacking niet alsnog situaties ontstaan die neigen naar “onbeperkte en zelfstandige” toegang? Denk hierbij aan de poging die door GCHQ is ondernomen om in te breken op de GRX routers van BICS/Belgacom, waarmee internationaal roaming telefoon- en internetverkeer zou kunnen worden onderschept en gemanipuleerd. Het verdient de overweging ongerichte interceptie via hacking uit te sluiten (schot), of, realistischer, in te perken (drempel) om “onbeperkte en zelfstandige” toegang reeds te vermijden in de verzamelfase — de fase waar de nieuwe eis van doelgerichtheid het meest ruim zal kunnen worden uitgelegd. (Hoe dat inperken zou kunnen, is dan een open vraag. Wellicht is het mogelijk ongerichte interceptie via hacking in beginsel slechts toe te staan in het kader van de buitenlandtaak, en/of voor doelwitten die zich fysiek in risicolanden of militaire uitzendgebieden bevinden. Wellicht zijn er betere mogelijkheden dan deze.)
- Opmerking: vermoedelijk zal de overheid
willen toestaan dat de hackbevoegdheid, die nu gericht is, voor ongerichte interceptie kan worden ingezetgeen drempel voorstellen. Het is mogelijk dat het nieuwe drie-fasen-interceptiestelsel punt (1) voldoende adresseert; dit zal moeten blijken uit het wetsvoorstel-in-wording (en vervolgens, na invoering van een nieuwe Wiv, uit CTIVD-toezichtsrapporten). Het is ook mogelijk dat de hackbevoegdheid nimmer zal worden ingezet voor een vorm van ongerichte interceptie.
- Opmerking: vermoedelijk zal de overheid
- Geen schrijftoegang tot kabelnetwerken, of regel de schrijftoegang nader. Het is nog onduidelijk welke toegang kabelaanbieders precies zullen moeten verlenen. Krijgen de IVD’en alleen leestoegang tot kabelnetwerken, of ook schrijftoegang? Kortom, biedt de verplicht te verlenen toegang de diensten de mogelijkheid die toegang in te zetten voor het uitoefenen van de hackbevoegdheid, bijvoorbeeld voor MitM-aanvallen zoals gezien in QUANTUM INSERT? Als zulke methoden mogelijk moeten zijn via de verplichte medewerking van kabelaanbieders, overweeg dan nadere regeling van de schrijftoegang: bijvoorbeeld een model waarbij een provider in the loop is bij het uitvoeren van gerichte MitM-aanvallen, zoals nu ook al het geval is bij gerichte interceptie ex Art.25 Wiv2002. Dan hebben de diensten wel de technische mogelijkheid, maar is er toch een zekere remmende factor.
- Nadere regeling van de hackbevoegdheid. Een tap is een tap. Maar de ene hack is de andere hack niet. Inbreken op GRX routers van BICS/Belgacom (zie punt #1) en het hacken van webfora zijn niet hetzelfde als het compromitteren van één smartphone. Toch valt alles onder het brede Art.24 Wiv2002. Gelukkig stelt de commissie-Dessens dat de hackbevoegdheid onder Ministeriële toestemming moet vallen — een duidelijke weeffout in de Wiv2002. Maar dreigt de hackbevoegdheid, ook gezien de wijdverspreide en zeer invasieve hackingactiviteiten van de NSA en GCHQ, niet een catch-all te worden voor alle informatiebehoeften van de IVD’en? Zo ja, dan verdient het de overweging de hackbevoegdheid nader te regelen — bijvoorbeeld geïnspireerd door de fasen in de cyber kill chain (reconnaissance, weaponization, delivery, exploitation, installation, command & control, en actions on target), en/of op basis van de mate waarin sprake is van infrastructuur die ook door non-targets wordt gebruikt; er zijn vast mogelijkheden. Het huidige Art.24 Wiv2002 is te algemeen, te generiek, te vrijblijvend. Merk op dat de CTIVD in rapport 38 stelt:
Wel constateert de Commissie dat technologische ontwikkelingen het vandaag de dag mogelijk maken om bestaande bevoegdheden op nieuwe, niet altijd door de wetgever voorziene, manieren in te zetten.
Zo’n situatie is thans ook aan de orde bij het begrip “verwerken” in de Wbp; daarover merkte de AIV in het adviesrapport internetvrijheid (.pdf, blz. 43 en 67) nog op dat regelgeving onbedoelde effecten kan hebben als regels toepassing krijgen in een gebied waarvoor zij niet zijn ontworpen. Laat de nieuwe Wiv geen kiertjes hebben die via creatieve juridische interpretaties tot ongewenste uitkomsten kunnen leiden.
- Een verbod op elke medewerking, passief of actief, aan het inbouwen van kwetsbaarheden in het ontwerp of de implementatie van internetstandaarden, software en hardware die worden gebruikt door het algemene publiek. Zie Bullrun (NSA) en Edgehill (GCHQ). Passief meewerken (weten en niets doen) of actief werken (uitvoerend) aan programma’s zoals Bullrun en Edgehill ondermijnt het langetermijnbelang van een vrij en veilig internet, zoals dit recent nog is uitgedragen door de AIV in het advies over internetvrijheid (.pdf, december 2014). Er is reeds discussie over wat de JSCU met gevonden kwetsbaarheden zou moeten doen (zie hier (.pdf), maar dat is een andere kant van het verhaal. De JSCU zal beslist ook kwetsbaarheden inkopen van commerciële handelaren; een markt waar onder meer Corien Prins (UvT) bedenkingen bij heeft.
- Effectief, werkend toezicht op de selectie uit bulk intercepts. In toezichtsrapporten 19, 26, 28, 31 en 35 — een periode van vijf jaar omspannend — heeft de CTIVD steeds moeten concluderen dat de inzet van Art.27 Wiv2002 derde lid (bulk intercepts doorzoeken op personen, organisaties, technische kenmerken, of trefwoorden) niet of onvoldoende is gemotiveerd; zie deze samenvatting (.pdf). Het voorstel om ongerichte kabelinterceptie toe te laten betekent dat deze bevoegdheid, waar dus terugkerende en nog onopgeloste problemen van toepassing zijn, significant wordt uitgebreid. Plasterk stelde (.pdf) hierover in december 2013 in antwoord op vragen van Kamerlid Schouw (D66):
Op dit vlak zijn en worden maatregelen getroffen. Deze zijn erop gericht de CTIVD in staat te stellen in toekomstige rapporten tot een oordeel te komen.
Onduidelijk was (en is) welke maatregelen dat betreft. In november 2014 kondigde (.pdf) het kabinet een nieuwe interceptiestelsel aan, waarin de (flexibele) notie “doelgericht” is opgenomen, die relatief aan de fase van interceptie (verzamelen, voorverwerken, verwerken) zal moeten worden geïnterpreteerd, en bedoeld lijkt te zijn om het ongerichte zoveel mogelijk gericht te maken. Mogelijk is dat één van de maatregelen waar Plasterk op doelde. De vraag is nu: biedt die toevoeging wat de IVD’en nodig hebben om inzet van deze bevoegdheid in de praktijk juridisch voldoende te onderbouwen, en dus wat de CTIVD nodig heeft om zich in de toekomst niet meer te hoeven onthouden van rechtmatigheidsoordelen op dit onderdeel? Zo ja, waaruit blijkt dat? Welke andere maatregelen “zijn en worden” getroffen door de Minister?
- Wettelijk verankerde cijfermatige transparantie. En dan het liefst betekenisvol en ondubbelzinnig. In België is sinds 1991 bij wet verankerd dat de toezichthouder rapporteert over het aantal gegeven machtigingen. België is qua structuur vergelijkbaar met Nederland: ze hebben de ADIV (=MIVD) en de VSSE (=AIVD), met vergelijkbare taakstellingen, en eveneens een onafhankelijke toezichthouder, het Vaste Comité I, dat eveneens uit drie deskundigen bestaat. Als publicatie schadelijk zou zijn, biedt de wet de mogelijkheid voor de toezichthouder die informatie geheim te houden. Maar dat doet het Vaste Comité I niet. Zo zien we de volgende tabel terug in het activiteitenverslag 2013 (.pdf) (Engelse versie; bron):
“Specific” or “exceptional” investigative power (W.I&V 1998): Authorization level # 2013 (ADIV) # 2013 (VSSE) observation using technical means, in public places and private places accessible to the public or observation, with or without the use of technical means, of private places which are not accessible to the public (Article 18/2, §1, 1°) Head of service + give notice to oversight body 14 109 inspection, using technical means, of public places, private places accessible to the public and closed objects located in these places (Article 18/2, §1, 2°) Head of service + give notice to oversight body 0 0 consulting data identifying the sender or addressee of a letter or the owner of a PO box (Article 18/2, §1, 3°) Head of service + give notice to oversight body 0 0 measures used to identify the subscriber or habitual user of an electronic communication service or the means of electronic communication used; (Article 18/2, §1, 4°) Head of service + give notice to oversight body 66 613 measures used to find call information for electronic communication methods (Article 18/2, §1, 5°) Head of service + give notice to oversight body 15 136 localisation of the origin or destination of electronic communications. (Article 18/2, §1, 5°) Head of service + give notice to oversight body 36 224 observation, with or without the use of technical means, among others in private places which are not accessible to the public, or in premises used for professional purposes or as a residence for a lawyer, doctor or journalist (Article 18/2, §2, 1°) Oversight body (unanimous prior consent) 1 6 inspection, with or without the use of technical means, among others of private places which are not accessible to the public or premises used for professional purposes or as a residence for a lawyer, doctor or journalist and of closed objects found in these places (Article 18/2, §2, 2°) Oversight body (unanimous prior consent) 0 6 setting up or appealing to a legal entity to support operational activities and appealing to officers of the service, under a false identity or in a false capacity (Article 18/2, §2, 3°) Oversight body (unanimous prior consent) 0 0 opening and reading letters, either sent via a postal service or not (Article 18/2, §2, 4°) Oversight body (unanimous prior consent) 0 6 collecting data on bank accounts and bank transactions (Article 18/2, §2, 5°) Oversight body (unanimous prior consent) 5 11 intrusion into a computer system, with or without the use of technical means, false signals, false codes or false capacities (Article 18/2, §2, 6°) [hacking] Oversight body (unanimous prior consent) 0 12 tapping, listening to and recording communication (Article 18/2, §2, 7°) Oversight body (unanimous prior consent) 17 81 Hier staat voor ADIV en VSSE uitgesplitst hoe vaak een methode is toegepast. Het Vaste Comité I vermeldt elders in het rapport ook hoe vaak deze categorieën bevoegdheden zijn ingezet voor elk van de taakstellingen van de diensten.
Wat weten we over Nederland? Als gevolg van een TK-motie zijn er twee feiten bekend over gerichte interceptie uitgevoerd in, alleen, het jaar 2009: 1078 taps door AIVD, 53 door MIVD. In oktober 2014 weigerde een rechter openbaarmaking van AIVD-statistieken over andere jaren, deels op basis van geheime informatie. In december 2014 nam de CTIVD statistieken op in een nieuw toezichtsrapport, maar die werden vervolgens door de Minister gecensureerd (gotspe!).
De CTIVD stelt in toezichtsrapport 33 (2012) dat “van een aanmerkelijke kans op schade aan de nationale veiligheid” geen sprake is als meerjaarlijkse tapstatistieken van de AIVD openbaar zouden zijn. Conclusie 13.15 (p.57) luidt dan ook:
De Commissie is van oordeel dat een meerjaarlijks overzicht van de tapstatistieken niet als staatsgeheime informatie kan worden aangemerkt.
In het Dessens-rapport (2013) staat:
Een zo groot mogelijke mate van transparantie draagt bij aan maatschappelijk vertrouwen en draagvlak voor het werk van de diensten. Tegelijkertijd draagt transparantie bij aan de waarborging van grondrechten. Overheidsorganen moeten zich openstellen voor daadwerkelijke publieke controle.
Daarna herhaalt de cie-Dessens de eerdere opmerking van de CTIVD:
Dit is bijvoorbeeld mogelijk door meer actieve openbaarmaking van gegevens die in het verleden door de diensten zijn verwerkt. De transparantie kan ook bevorderd worden door royaler cijfermatige informatie te verstrekken over de activiteiten van de diensten.
De deskundigen van de CTIVD en de cie-Dessens voelen dus wel wat voor cijfermatige transparantie. Wat zou de geheime informatie zijn op basis waarvan de Minister en de rechter dit afwijzen? Was die informatie bekend bij de CTIVD en de cie-Dessens ten tijde van de hier geciteerde opmerkingen? Op welke wijze kan het verschil tussen België en Nederland worden verklaard? Is er in Nederland sprake van blinde koppigheid, of toch van argumenten die daadwerkelijk nopen tot geheimhouding? [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en)]
- Meer middelen voor de CTIVD. Feit is dat de CTIVD, die in 2002 per Wiv2002 is opgericht, pas in 2008 een eerste toezichtsrapport publiceerde dat ziet op interceptiebevoegdheden. Feit is dat de CTIVD pas in 2014 ontdekte dat in 2011, 2012 en 2013 onrechtmatigheden zijn begaan bij hacking en acquisitie van gegevens van social media. Zal dit soort achterstand opnieuw optreden naar mate hacking en ongerichte interceptie uitgebreider en ingewikkelder worden? De samenleving is gebaat bij structureel actuele en brede coverage in de onderzoeken die de CTIVD uitvoert. Dat kost tijd en personeel. In 2014 was het budget van de CTIVD zo’n 9 ton; in 2015 is het 1 miljoen euro (bron). Is dat voldoende? Beschikt de CTIVD nu over alle benodigde kennis, zoals kennis over de werking van IT, om kritisch door te vragen bij de IVD’en? Op 23 december 2014 heeft de CTIVD een kenniskring aangekondigd (.pdf) waar o.a. hoogleraar computerbeveiliging Bart Jacobs lid van is; dat is een stap in de goede richting.
- Een structureel derubriceringsprogramma binnen de AIVD. Een actieve verplichting tot derubricering is reeds wettelijk aan de AIVD opgelegd ingevolge het VIR-BI, maar daar komt in de praktijk niets van terecht, zo blijkt uit CTIVD-rapport 33 (2012). Er is in 2014 toegezegd dat de BVD-archieven nog in 2014 aan het Nationaal Archief worden overgedragen, maar daarmee is de kous niet af. Het is belangrijk dat een structureel en werkend derubriceringsprogramma wordt opgericht, zoals dat ook het geval is in de VS en het VK.
- [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en) dd 2014, de oproep AIVD, open je archief! van Constant Hijzen dd 2012, en, in algemenere zin, de nota Open de oester van Duyvendak dd 2005]
- [UPDATE 2015-03-10: een recent inspectierapport van Erfgoedinspectie over de informatiehuishouding bij de AIVD, stelt het volgende over de kwestie van archivering vs. vernietiging van agenten- en informantendossiers, waarover al sinds 1991 een meningsverschil bestaat tussen de AIVD en het Nationaal Archief: “Het langlopende en nog steeds niet afgeronde traject om te komen tot een selectielijst en met name een bewaartermijn voor de agenten- en informantendossiers, toont aan dat de in artikel 2 van het Archiefbesluit voorgeschreven belangenafweging onvoldoende houvast biedt om tot een oplossing te komen als het gaat om strijdige belangen.”]
- [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en) dd 2014, de oproep AIVD, open je archief! van Constant Hijzen dd 2012, en, in algemenere zin, de nota Open de oester van Duyvendak dd 2005]
- Rubricering per alinea, niet per document. Uit CTIVD-rapporten wordt duidelijk dat de AIVD informatie per document rubriceert en niet per alinea. Dat leidt er volgens de CTIVD toe dat alle informatie in een document wordt gerubriceerd op het niveau dat (alleen) past bij de meest gevoelige passages. Het is wenselijk dat voortaan per alinea wordt gerubriceerd. In de VS en het VK is dat standaardprocedure. [Zie eventueel ook Notities over transparantie en geheimhouding (re: IVD’en)]
- Nadere duiding van het begrip “onvermijdelijk”. De IVD’en mogen gegevens verwerken over “godsdienst of levensovertuiging, ras, gezondheid en seksuele leven” alleen indien wordt voldaan aan de eisen van noodzakelijkheid (Art. 12, tweede lid, Wiv2002) en onvermijdelijkheid (Art. 13, vierde lid, Wiv2002). Hoe wordt “onvermijdelijk” geïnterpreteerd? Gaat het nadrukkelijk om bijvangst? Of staat de Wiv toe dat — en nu geef ik een wat extreem scenario — de AIVD toegang krijgt tot gegevens in het landelijke DBC Informatie Systeem (DIS) en tot de CBS-sleutel waarmee die data tot personen kan worden herleid? Zulke informatie kan in voorkomende gevallen van waarde zijn voor de beïnvloeding van personen en/of hun omgeving. In de MvT van de Wiv2002 staat de volgende toelichting, waarin geen voorbeelden (of hints) zijn opgenomen van scenarios die niet kunnen worden gebaseerd op deze uitzonderingsregel:
Met het begrip «onvermijdelijk» wordt beoogd aan te geven dat bij de verwerking van een gegeven als hier bedoeld aan een zwaarder criterium dient te worden voldaan, dan aan het in artikel 12, tweede lid, neergelegde noodzakelijkheidscriterium. Bij het vastleggen van deze categorie gegevens zullen de diensten dus extra terughoudend moeten zijn. Het zal echter onvermijdelijk zijn om bijvoorbeeld de godsdienstige of levensovertuiging van personen of organisaties te registreren in de gevallen dat anti-democratische, staatsgevaarlijke of anti-militaristische activiteiten worden ontplooid waarbij de daders hun godsdienstige overtuiging als motief aanvoeren voor hun activiteiten. Hierbij kan bijvoorbeeld worden gedacht aan de terroristische gifgas-aanslagen in Japan door leden van een godsdienstige sekte, of aan de activiteiten van andere godsdienstige sekten, zoals in de Verenigde Staten (Waco, Texas). Ook zal registratie van de godsdienstige overtuiging onvermijdelijk zijn als het gaat om terroristische activiteiten van bepaalde godsdienstige splintergroeperingen, bijvoorbeeld binnen radicale moslim-organisaties.
EOF