[Dutch] CTIVD over Wiv20xx: ‘hacking van non-target als zelfstandige informatiebron niet toestaan’

De CTIVD stelt in hoofdstuk 3.5 van haar reactie op het Wiv-voorstel (genummerde p.44-45) dat de hackbevoegdheid niet tegen een non-target zou moeten mogen worden ingezet om dat non-target vervolgens als zelfstandige bron van informatie te gebruiken:

De CTIVD plaatst enkele kanttekeningen bij de bevoegdheid via het geautomatiseerde werk van een derde binnen te dringen in het geautomatiseerde werk van het onderzoekssubject (artikel 30, lid 1, onder b). Hiermee is in feite sprake van het toepassen van een bijzondere bevoegdheid tegen een non-target. Dit is vergelijkbaar met het toepassen van een telefoontap tegen iemand in de omgeving van een target omdat het target zelf niet beschikt over een telefoon. De CTIVD heeft onder omstandigheden toegestaan dat een bijzondere bevoegdheid wordt ingezet tegen een non-target. Hierbij komt wel extra gewicht toe aan het noodzakelijkheids-, proportionaliteits- en subsidiariteitsvereiste. Een non-target mag slechts dan het onderwerp van onderzoek zijn indien het redelijkerwijs niet mogelijk is op een andere wijze zicht te krijgen op het target.

Uit het concept-wetsvoorstel en de memorie van toelichting kan de CTIVD niet afleiden dat het binnendringen in het geautomatiseerde werk van een derde voor de diensten slechts mogelijk wordt geacht indien het target zelf onbereikbaar is. Het uitgangspunt zou moeten zijn dat het geautomatiseerde werk van het target het doelwit is. Volgens de CTIVD zou het concept-wetsvoorstel dit uitgangspunt expliciet moeten maken. Slechts in uitzonderingsgevallen kan hiervan worden afgeweken. In de aanvraag moet gemotiveerd worden aangegeven waarom hiertoe is overgegaan zodat deze overweging kan worden getoetst.

De CTIVD mist de noodzakelijke waarborgen die ervoor dienen te zorgen dat het binnendringen in het geautomatiseerde werk van een derde enkel dient om binnen te dringen in het werk van het onderzoekssubject. En dus bijvoorbeeld niet om te dienen als zelfstandige bron van informatie.

In de MvT heet het dat zich “operationele kansen tot het benutten van zwakheden kunnen voordoen bij technische randgebruikers”. Inbreken op systemen van een non-target, mogelijk een ISP, telco of hosting provider, om die als zelfstandige bron van informatie (of als springplank voor toekomstige digitale aanvallen?) te gebruiken, vindt de CTIVD dus alleen in (niet nader omschreven) uitzonderingsgevallen toelaatbaar. Maar als eenmaal in het kader van operatie X toegang is verkregen tot een non-target, dan zal die toegang allicht mogen worden hergebruikt voor lopende operatie Y — zoals dat volgens CTIVD-toezichtsrapporten ook gebeurt en toelaatbaar is bij sigint-opbrengsten (dwz: opbrengsten die ihkv een bepaalde operatie zijn verworven en relevantie hebben voor andere operaties, mogen ook voor die andere operaties worden gebruikt; niet onlogisch). Het zal bij derdensystemen in de regel gaan om computers van individuen in de sociale nabijheid van het target (educated guess). Maar ook infrastructuur van een ISP of telco die in regio X veel gebruikers heeft zijn derdensystemen, en het kan voor een dienst tandenknarsen zijn om eenmaal verworven toegang direct na een kortlopende operatie ongedaan te maken (backdoor verwijderen, verworven sleutels/wachtwoorden/etc. vergeten van het non-target en de N-1 non-targets onder diens gebruikers, etc.).

EOF