Minister Dekker (VVD) voor Rechtsbescherming heeft een wetsvoorstel gepubliceerd dat belangrijke principes van de huidige privacywet grotendeels buiten werking stelt. Alle beschikbare relevante gegevens bij zowel overheid als bedrijven en instellingen kunnen straks voor elk denkbare overheidstaak worden gekoppeld om mensen door te lichten. Het parlement krijgt daarbij geen inspraak.

Op dit moment mag de overheid alleen gegevens gebruiken voor specifieke doelen en als dat absoluut noodzakelijk is. Met dit wetsvoorstel wordt dat omgedraaid. Het uitgangspunt voor het gebruik en delen van gegevens gaat van "nee, tenzij de noodzaak is aangetoond" naar "ja, tenzij er grote bezwaren zijn". Alle gegevens mogen zo in principe voor elke controlerende taak van de overheid worden ingezet, ook als ze voor een heel ander doel zijn verzameld en ook als ze bij andere (private) organisaties liggen.

De minister komt hier nu mee, omdat de nieuwe Europese privacywet AVG dit via een achterdeurtje mogelijk maakt. Volgens artikel 6, lid 3 AVG mogen gegevens ook voor andere doelen worden gebruikt als daar maar een wettelijke regeling voor is. Dit achterdeurtje is op voorstel van de Nederlandse regering in de wet gekomen.

Doorlichten

De belangrijkste reden voor dit wetsvoorstel is om meer ruimte te scheppen om burgers en bedrijven beter te kunnen controleren. Straks kunnen op elk denkbaar gebied waar de overheid een controlerende taak heeft, de gegevens van elke denkbare partij, ook van private bedrijven en instellingen, aan elkaar worden gekoppeld. Vervolgens wordt afwijkend gedrag gedefinieerd met bijbehorende criteria. Iedereen die binnen deze criteria van afwijkend gedrag valt, wordt er door het algoritme uitgepikt waarna opsporingsbeambten deze mensen nader onder de loep nemen.

Het algoritmen en de criteria die gebruikt worden om mensen eruit te pikken blijven geheim. D66, GroenLinks en de SP vinden dat een probleem, omdat algoritmen door mensen worden gemaakt en daardoor fouten en vooroordelen bevatten. Dit kan leiden tot onterechte verdachtmaking van mensen en discriminatie van bepaalde groepen. Minister Dekker (VVD) heeft al laten weten dat de algoritmen desondanks geheim blijven en dat mensen naar de rechter kunnen stappen als ze denken dat ze onrechtmatig behandeld worden.
SyRI

Het eerste samenwerkingsverband dat al op deze manier werkt, is het zogeheten SyRI-systeem. Met dit systeem worden gegevens van maar liefst 17 aandachtsgebieden over burgers samengevoegd om hen door te lichten op mogelijke fraude met uitkeringen of toeslagen. Over SyRI is veel onrust ontstaan vanwege de onbegrensde verzameling gegevens die aan elkaar wordt geknoopt. Burgerrechtenorganisaties, waaronder het Nederlands Juristencomité voor de Mensenrechten (NJCM) en Stichting Privacy First hebben daarom de staat voor de rechter gedaagd.

Met deze nieuwe wet zullen er vele SyRI-achtige systemen ontstaan voor de verschillende controlerende taken die de overheid uitvoert, zowel bij de landelijke overheid als bijvoorbeeld bij de gemeenten. Het kan met dit wetsvoorstel overal voor worden ingezet ter controle "op de naleving van wetten en voorschriften". Speciaal genoemd worden onder andere de controle op belastingheffing, op uitkeringen, op toeslagen, op subsidies, op het gebruik van voorzieningen, voor het handhaven van de openbare orde en het opsporen van verdachten.
Geen inspraak parlement

In dit wetsvoorstel is vrijwel niets concreet ingevuld of afgebakend. Alles kan op een later moment met een Algemene Maatregel van Bestuur door de minister zelfstandig worden ingevuld. Of het nu gaat om het specifieke doel waarvoor gegevens uitgewisseld worden, om welke gegevens het gaat, welke organisaties mee doen of de bewaartermijnen van gegevens, alles is vrij door de minister in te vullen.

Op deze manier geeft dit voorstel de minister een algemene vrijbrief om voor zelfstandig aan te wijzen doelen mensen en bedrijven door te lichten op geheime criteria. De minister hoeft nergens aparte instemming meer van het parlement voor te vragen als deze wet van kracht wordt. Zo stelt het kabinet met deze algemene vrijbrief het parlement op dit gebied nu en in de toekomst buiten werking.

Consequenties niet te overzien

Vanwege de open formulering is het voor zowel de Eerste als Tweede Kamer onmogelijk om de reikwijdte en de consequenties van dit wetsvoorstel te overzien. Worden burgers straks op elke activiteit of gedraging doorgelicht? Het parlement kan onmogelijk vooraf vaststellen of dat telkens wel voldoende noodzakelijk is, zoals dat volgens onder andere de Grondwet wel moet worden aangetoond. Het wetsvoorstel geeft verder geen enkel inzicht waarom het noodzakelijk is om het doorlichten van burgers zo vergaand met een algemene vrijbrief in te richten.

Als u trouwe lezer bent van deze website, weet u dat we altijd constructief mee proberen te denken. Maar dit wetsvoorstel gaat zo ver over de grenzen van vrijheid en privacy in onze samenleving, dat dit voorstel geheel van tafel moet. Ons advies aan het parlement is dan ook om zichzelf niet buiten werking te laten zetten. Neem geen wet aan die de overheid een vrijbrief geeft om mensen op elk denkbaar gebied door te lichten. Mocht er een noodzaak zijn om dat op een specifiek gebied te doen, dan dient de minister daarvoor fatsoenlijk langs het parlement te gaan, zodat men bij ieder voornemen van tevoren weet waar men toestemming voor geeft.

geworden

De minister hoeft nergens aparte instemming meer van het parlement voor te vragen als deze wet van kracht wordt. Zo stelt het kabinet met deze algemene vrijbrief het parlement op dit gebied nu en in de toekomst buiten werking.

Volgens artikel 6, lid 3 AVG mogen gegevens ook voor andere doelen worden gebruikt als daar maar een wettelijke regeling voor is.

Ik vind dit gewoon eng! Naar welk land zal ik gaan emigreren?

Ik dacht meer aan iets meer geciviliseerd.

Het parlement krijgt daarbij geen inspraak.

Vergeet de sleepwet. Het grootschalig koppelen van gegevens kan beginnen

Vergeet de sleepwet. Er staan nog engere voorstellen in de stijgers. Het “Wetsvoorstel gegevensverwerking door samenwerkingsverbanden” staat grootschalige koppeling van de gegevens die de overheid heeft verzameld toe. Hoe cynisch! Aan de ene kant schept de overheid de illusie van privacy door middels de AVG wetgeving smoelenboeken, klassefoto’s en ledenlijsten te verbieden. En daarnaast introduceert ze naast de sleepwet een veel engere realiteit. De grootschalige koppeling van gegevensverzamelingen. Big brother on steroïden.

Big brother
Het big brother gehalte van deze wet is enorm. Niet alleen overheidsinformatie kan gekoppeld worden, ook informatie van het bedrijfsleven is niet veilig. De toelichting op dit wetsvoorstel stelt: “Publiek-private samenwerking kan beide kanten voordelen opleveren. Er zit veel kennis over nieuwe ontwikkelingen, risico’s en technologieën bij het bedrijfsleven en ook kunnen private partijen over informatie beschikken die voor een integrale aanpak van maatschappelijke vraagstukken van belang is. Zowel de private partij als de publieke partij kan op basis van uitgewisselde informatie actie ondernemen of een interventie plegen die bijdraagt aan het voorkomen en bestrijden van criminaliteit. In het rapport van de Werkgroep Verkenning kaderwet gegevensuitwisseling werden de volgende voorbeelden van publiek-private verbanden genoemd: energiebedrijven bij de aanpak van hennepkwekerijen, curatoren bij het voorkomen van faillissementsfraude, financiële dienstverleners bij het tegengaan van witwassen en transportondernemingen bij de handel in verboden goederen.”

Daarnaast wordt het vertrouwelijke karakter van de AFM doorbroken: “De Autoriteit Financiële Markten kan, indien zij deelneemt aan een samenwerkingsverband als bedoeld in de Wet gegevensverwerking door samenwerkingsverbanden, in afwijking van artikel 63a, eerste lid, vertrouwelijke gegevens of inlichtingen, verkregen bij de vervulling van de haar ingevolge deze wet opgedragen taak, verstrekken aan dat samenwerkingsverband. Een samenwerkingsverband waar dus ook private partijen aan deelnemen…..

DNB moet ook meedoen: “De Nederlandsche Bank kan, indien zij deelneemt aan een samenwerkingsverband als bedoeld in de Wet gegevensverwerking door samenwerkingsverbanden gegevens of inlichtingen verkregen bij de vervulling van de haar ingevolge deze wet opgedragen taak, verstrekken aan dat samenwerkingsverband.”

Koppelingen die als ik de wet begrijp mogelijk zijn:
Reisgegevens van luchtvaartmaatschappijen koppelen aan sociale uitkeringen

Inboedelverzekeringen (waar verzekerd bedrag groter is dan het drempel bedrag voor het eigen vermogen volgens sociale zekerheidswetgeving) vergelijken met sociale uitkeringen. (heeft iemand nog niet aangegeven vermogen?).

Een bestandsvergelijking van het kenteken register met de sociale uitkeringen.

De klantenkaartgegevens van slijterijen en tabakswinkels gebruiken om drank en tabaksverslaafden op te sporen en deze “vrijblijvende” hulp bij afkicken aanbieden. Of om dit aan uitkeringsinstanties te verschaffen, of aan het CBR.

Klantenkaart gegevens van bouwmarkten analyseren op bijbeunende uitkeringstrekkers.

GSM locatie gegevens van de roze buurten verzamelen en analyseren zodat klanten en hoeren opgespoord kunnen worden, zodat mogelijk zwart geld wordt opgespoord.

Koppeling van de verkoopregisters van juweliers en goudhandelaren aan belastingdienst gegevens.

Conclusie
Op dit moment mag de overheid alleen gegevens gebruiken voor specifieke doelen en als dat absoluut noodzakelijk is. Het uitgangspunt voor het gebruik en delen van gegevens gaat in dit wetsvoorstel van “nee, tenzij de noodzaak is aangetoond” naar “ja, tenzij er grote bezwaren zijn”. Alle gegevens mogen zo in principe voor elke controlerende taak van de overheid worden ingezet, ook als ze voor een heel ander doel zijn verzameld en ook als ze bij andere (private) organisaties liggen.

Ik zie overigens geen specifieke uitsluitingsgronden voor medische gegevens (zoek in wettekst en toelichting op “medi” en u vindt geen treffers).

Het enge is daarnaast nog een keer dat de bevoegdheid om deze wet concreet in te vullen ligt bij de minister die met algemene maatregelen van bestuur buiten parlementaire controle om verder het kader gaat stellen voor deze wet.

Meer lezen op privacybarometer.nl

Een bestandsvergelijking van het kenteken register met de sociale uitkeringen

Nederland stemde tegen de ‘sleepwet’ en toch staat nu alles klaar voor grootschalig aftappen

Het gevreesde sleepnet is er sluipenderwijs toch gekomen. Hoewel een meerderheid van de Nederlanders in 2018 tegen de ‘sleepwet’ stemde, is grootschalig aftappen van communicatie via internetkabels technisch mogelijk en binnenkort praktijk. Hiermee worden eerdere beloften van oud-minister Ronald Plasterk verbroken, blijkt uit informatie van toezichthouders TIB en CTIVD en gesprekken met betrokkenen.

Tijdens de behandeling van de inlichtingenwet vijf jaar geleden werd het nog bangmakerij genoemd. De ‘sleepwet’ gaf inlichtingendiensten AIVD en MIVD ruimere bevoegdheden voor onder meer hacken en kabelinterceptie. Vooral over dat laatste bestonden zorgen. De angst was dat de metadata – waaruit is af te lezen met wie mensen communiceren of welke internetpagina’s ze bezoeken – van miljoenen Nederlanders zouden worden opgeslagen. Dat scenario werd weggewuifd: zelfs het aftappen van de communicatie van één wijk zou niet gebeuren.

De diensten konden deze kabelinterceptie lange tijd niet gebruiken, omdat deze technisch gerealiseerd moest worden. Uit gesprekken met betrokkenen, die anoniem willen blijven omdat ze niet met de pers mogen praten, blijkt dat AIVD en MIVD ervoor kozen om de interceptie in te richten bij grote kabelpartijen, denk aan Eurofiber en Relined. Deze bedrijven hebben een omvangrijk glasvezelnetwerk in Nederland en zijn ook aangesloten op trans-Atlantische internetkabels. Die keuze maakt het technisch mogelijk om véél meer communicatie af te tappen dan een enkele kabel bij een provider. Daardoor is interceptie niet beperkt tot buurt- of wijkniveau, maar regio-overstijgend. Een betrokkene: ‘Je hebt het dan in feite over heel Nederland.’

Toezichthouder CTIVD merkte daarom in maart op dat de praktijk van kabelinterceptie niet overeenkomt met eerdere beloften. ‘De CTIVD concludeert (...) dat de uitleg die is gegeven aan kabelinterceptie wringt met de aard van de bevoegdheid, het middel en met de uitvoering in de (technische) praktijk’, aldus de commissie in Toezichtsrapport 75.

Oud-D66-Kamerlid Kees Verhoeven reageert ‘pissig’. Na verschillende toezeggingen schaarde hij zich uiteindelijk achter de wet. ‘Wat de diensten nu willen en kunnen, is allesbehalve doelgericht. Het is niet in overeenstemming met wat de Kamer heeft gevraagd en ook niet met wat de Kamer destijds is beloofd.’

Aftappen van wijken
In aanloop naar de parlementaire behandeling van de wet, begin 2017, stelde de Kamer vragen over het sleepnet. Specifiek ging het over het aftappen van alle communicatie van een wijk of buurt. Minister van Binnenlandse Zaken Ronald Plasterk, destijds verantwoordelijk voor de AIVD, sloot dat expliciet uit.

‘Het intercepteren van alle communicatie in een bepaalde Nederlandse wijk of buurt voor een bepaalde periode (...) zal in geen geval de toetsing aan de wettelijke vereisten als proportionaliteit en subsidiariteit kunnen doorstaan. Een inzet om dergelijke redenen sluit ik uit’, verklaarde Plasterk.

Nadat zowel de Tweede als de Eerste Kamer akkoord was gegaan met de wet, volgde in 2018 een referendum. Ook toen werd het ‘wijkvoorbeeld’ veel aangehaald. Volgens de voorstanders van de wet zou het technisch onmogelijk zijn om een hele wijk af te tappen. Rob Bertholee, destijds hoofd van de AIVD, zei in februari 2018 bij tv-programma De Wereld Draait Door dat hij zich niet kon voorstellen dat de dienst de communicatie in een wijk zou aftappen. ‘Dat gaan we niet doen.’

Om toe te lichten wat kabelinterceptie zou inhouden, gaf Bertholee graag als voorbeeld dat iemand vanuit een stad in Syrië belt met een plaats in Nederland. ‘We zouden dat verkeer willen zien. Maar dan moeten we de provider vragen: van welke kabel, welke vezel, komt dat?’ De inzet werd zo geminimaliseerd, stelde hij gerust.

Het gaat in dat voorbeeld om de communicatie uit één Syrische stad via één Nederlandse provider naar één Nederlandse plek. Dit komt neer op de metadata van maximaal tienduizenden personen. NRC schreef: ‘Klopt het beeld van het aftappen van een hele wijk? Nee dus. Het aftappen van een wijk zou juridisch misschien kunnen, maar is technisch gezien erg onwaarschijnlijk.’ Toch hield een meerderheid van de Nederlanders bezwaren tegen de wet, waarna enkele aanpassingen werden gedaan voor de wet in werking trad.

Diensten willen verder gaan
Nu de technische mogelijkheden er zijn, willen de diensten daadwerkelijk verder gaan dan is toegezegd, blijkt uit twee aanvragen die AIVD en MIVD in 2021 deden voor kabelinterceptie en waarvoor ze ook toestemming kregen van de minister. Toezichthouder TIB wees ze vervolgens af als onrechtmatig omdat ze ‘niet proportioneel, niet subsidiair en niet zo gericht mogelijk’ waren.

In een toelichting schrijft de TIB dat één interceptie betrekking had op de communicatie van ‘miljoenen burgers’. Die communicatie wilden de diensten continu opslaan en zeker een jaar en mogelijk drie jaar bewaren. Opmerkelijk daarbij is dat de diensten volgens de TIB niet de moeite namen om te concretiseren wat de verwachte opbrengst zou zijn. Bovendien zou een deel ongezien met een buitenlandse dienst worden gedeeld. ‘Het was aannemelijk dat een significante hoeveelheid van het internetverkeer van onder anderen Nederlandse burgers zou worden opgeslagen’, schreef de TIB. Ook valt op dat diensten veel meer data willen opslaan dan uit het voorbeeld van Bertholee. Het gaat om alle communicatie en data in een bepaalde taal (bijvoorbeeld Arabisch).

Een nieuw wetsvoorstel, bedoeld om digitale dreigingen in kaart te brengen, maakt van deze theoretische mogelijkheid staande praktijk. Het criterium ‘zo gericht mogelijk’ wordt ondergeschikt en toetsing door de TIB wordt teruggedrongen. Daardoor is het straks makkelijker om grootschalig data binnen te halen. Het analyseren van die data (geautomatiseerde data-analyse) kan voortaan zonder toestemming van de TIB. Een eerdere toezegging van Plasterk dat streamingdiensten als Netflix en YouTube uit de datastroom worden gefilterd, komt ook te vervallen.

‘Het is echt willens en wetens proberen te doen wat de Kamer niet wil’, zegt Verhoeven. ‘En als de toezichthouder dan geen tandeloze tijger blijkt en aanvragen afwijst, wordt het toezicht verzwakt.’

Reactie Binnenlandse Zaken
Een woordvoerder van Binnenlandse Zaken zegt dat het ‘gerichtsheidsvereiste’ ook bij de nieuwe wet ‘bij vrijwel alle bevoegdheden’ van toepassing blijft. Het wordt enkel losgelaten bij het zogeheten ‘snapshotten’: twee uur lang de kabel intercepteren als verkenning. ‘Deze activiteit dient er juist toe om de daaropvolgende fase van kabelinterceptie ‘zo gericht mogelijk’ uit te kunnen voeren met een zo beperkt mogelijke inbreuk op de fundamentele rechten van burgers.’ Volgens de woordvoerder heeft het loslaten van de gerichtheidseis bij snapshotten ‘geen gevolg’ voor eerder gedane toezeggingen. ‘We blijven ook nog steeds recht doen aan de beleidsregels die zijn opgesteld in reactie op de uitslag van het referendum.’

Moeten ze dan wel in heel de EU aanpakken

Hoe wil de roverheid precies data beveiligd met TLS 1.2 of 1.3 aftappen?

Iedereen die een beetje van computers/telefoons af weet en dus nadenkt over zijn illegale zaakjes kan dat met een gerust hart anoniem blijven doen, anoniem lebara kaartje cash afrekenen, telefoon cash afrekenen en mediums gebruiken die alleen versleutelde data opsturen. Heel veel succes AIVD....

Inlichtingendiensten moeten grote bak data burgers verwijderen

Inlichtingendiensten AIVD en MIVD overtreden de wet door gegevens van burgers die geen onderwerp van onderzoek zijn, langdurig op te slaan. Dat concludeert de waakhond voor de inlichtingendiensten, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). De gegevens moeten worden verwijderd.

Het gaat daarbij niet om wat critici het 'sleepnet' noemen, waarmee de inlichtingendiensten via ongerichte internettaps data van veel mensen tegelijk kunnen binnenhalen. In plaats daarvan gaat het om grote hoeveelheden privégegevens die de dienst via bijvoorbeeld een hack binnenkrijgt. De privacy-impact van zo'n 'bulk-dataset' kan vergelijkbaar of zelfs groter dan bij een internettap zijn.

Zo zou een inlichtingendienst een telecomprovider kunnen hacken om de facturen van alle klanten in handen krijgen, om vervolgens van mogelijke terroristen de belgeschiedenis te achterhalen. Ook zou een mailprovider kunnen worden gekraakt. Om wat voor data het precies gaat, is niet bekend; het kan zowel Nederlanders als buitenlanders betreffen.

"In de wet staat dat die gegevens anderhalf jaar mogen worden bewaard, maar ze hebben ze veel langer bewaard", zegt Addie Stehouwer, die over de klachten bij de CTIVD gaat. "Daarbij gaat het ook om gegevens waarvan ze weten dat ze nooit relevant zullen zijn."

Bindend
Het oordeel komt na een klacht van actiegroep Bits of Freedom. Het is niet de eerste keer dat de toezichthouder hiervoor waarschuwt, maar nu is het oordeel bindend. "We zijn heel blij met de uitspraak, en dat deze gegevens nu moeten worden vernietigd", zegt Lotte Houwing van Bits of Freedom.

Dat de gegevens nu wel echt moeten worden verwijderd, komt door een inconsistentie in de inlichtingenwet. Als de CTIVD zelf onderzoek doet, kan de toezichthouder alleen adviezen uitbrengen. Het kabinet en het parlement hoeven daar in principe niets mee te doen. Maar als iemand een klacht indient, kan de toezichthouder wél een bindend oordeel opleggen.

"We hebben onze klacht ingediend omdat de diensten de wet overtreden, maar de ministers er niets mee deden", zegt Houwing. "Het is problematisch dat dit gebeurt en dat ons systeem van toezicht niet in staat is om dat zelf op te lossen."

Anderhalf jaar
Volgens de toezichthouder slaan de inlichtingendiensten de gegevens van 'onschuldige' burgers veel te lang op als ze een bulk-dataset in handen krijgen. De diensten hebben anderhalf jaar de tijd om de interessante gegevens uit zo'n dataset te halen en daarna moet de rest worden weggegooid, maar dat gebeurt niet: in plaats daarvan worden alle gegevens of een groot deel ervan bewaard.

In de praktijk blijkt het namelijk ondoenlijk gigantische datasets binnen de wettelijke termijn van een jaar tot anderhalf jaar inhoudelijk te beoordelen. Daarom bestempelen de diensten datasets in hun geheel als 'relevant'; volgens die logica mochten alle gegevens worden bewaard, ook als daar nog gegevens van burgers tussen zaten die helemaal niet relevant zijn voor een onderzoek.

De CTIVD waarschuwt niet voor het eerst dat dat van de wet helemaal niet mag. Al in 2019 schreef de CTIVD dat de manier waarop de gigantische datasets worden behandeld, niet deugt. In 2020 kregen de diensten opnieuw een tik op de vingers, en oordeelde de CTIVD dat een aantal datasets moest worden vernietigd. Dat gebeurde vervolgens niet.

Geitenpaadje
Wel kwamen de ministers van Binnenlandse Zaken en Defensie met een juridisch geitenpaadje om de diensten toch verder te laten werken met de datasets, omdat ze zo belangrijk zouden zijn. Maar niet alleen hielden de diensten zich niet aan de voorwaarden van dat geitenpaadje, het geitenpaadje deugt ook niet, schrijft de CTIVD.

Naar vijf datasets deed de toezichthouder verder onderzoek, en in die gevallen konden de AIVD en de MIVD bovendien niet duidelijk aantonen hoe nuttig de datasets nu precies waren voor het onderzoek. Ook hadden AIVD-medewerkers veel makkelijker toegang tot datasets dan de bedoeling is.

Verscherpt toezicht
Ook het aftappen ligt onder een vergrootglas. Eerder kondigde de CTIVD aan verscherpt toezicht te houden op het op grote schaal aftappen. Sinds dat verscherpte toezicht hebben de diensten opnieuw de wet overtreden: ze tapten meer af dan waarvoor ze toestemming kregen, schreef de CTIVD afgelopen vrijdag aan de Kamer.

Intussen wil het kabinet de inlichtingendiensten tijdelijk meer bevoegdheden geven in onderzoeken naar digitale dreigingen. Daarbij mogen de diensten ook makkelijker in bulk-datasets zoeken en aftappen, schreef de Volkskrant, die de wet heeft ingezien.

De AIVD wilde niet ingaan op het besluit; de MIVD was niet bereikbaar voor commentaar.

Surfgedrag burgers kan door inlichtingendiensten straks mogelijk op grote schaal worden afgetapt

Door een nieuwe wet kunnen geheime diensten AIVD en MIVD straks mogelijk vaker ‘ongericht’ het internet aftappen. Dat ligt gevoelig: het deel van de sleepwet dat Nederland niet wilde lijkt nu alsnog een feit te worden.

Wat je kijkt op Netflix, welke Nederlandse sites je bezoekt, wat je luistert op Spotify; het kabinet heeft altijd gezworen dat zulke informatie niet op grote schaal zou worden afgetapt. Toch lijkt dat nu te (kunnen) gaan gebeuren. Het is allemaal gevolg van een wetsvoorstel waaraan nu wordt gewerkt.

De geheime diensten klagen namelijk dat de huidige wetgeving, uit 2017, hen in de weg zit. Bij het opsporen van digitale dreigingen - denk aan Russische hackers - mogen de diensten soms te weinig, klagen ze. Het kabinet lijkt gevoelig voor die oproep. Uit een nieuw wetsvoorstel blijkt dat er nu plannen zijn de diensten meer bevoegdheden te geven. Kabinetsadviseur Raad van State oordeelde maandag dat het plan met wat aanpassingen groen licht verdient.

Waar zit het probleem?
De AIVD en diens militaire evenknie MIVD klagen al langer dat de wet hen beperkt. Eén klacht springt in het oog: het gerichtheidscriterium zou in enkele gevallen moeten worden losgelaten. Daarvoor moeten we even vijf jaar terug. Destijds werd de inlichtingenwet Wiv, door tegenstanders de sleepwet genoemd, besproken en uiteindelijk goedgekeurd door het parlement. Dat was wel tegen de achtergrond van bijvoorbeeld de onthullingen van Edward Snowden over de NSA, waaruit bleek dat de Amerikanen ongelofelijke hoeveelheden data van onschuldige burgers hadden opgevangen, opgeslagen en geanalyseerd.

Het was als zoeken naar een speld in een hooiberg, ofwel: een sleepnet over een bodem halen en kijken wat er in het net blijft steken. Dat was juist iets wat het kabinet na felle protesten stelde niet op grote schaal te willen gaan doen. En om daarover te waken werd een extra toezichthouder, de Toetsingscommissie Inzet Bevoegdheden (TIB) aangesteld.

Het probleem volgens de diensten is echter dat de TIB heel hoge eisen stelt als de dienst vraagt om ‘ongericht’ de internetkabel af te tappen. Gevolg: in vier jaar is nog niet één keer de kabel afgetapt. De criteria zijn blijkbaar zo strikt dat de diensten het niet eens meer wagen om de kabel af te tappen. ,,Wij kunnen op dit moment de digitale veiligheid van Nederland onvoldoende waarborgen”, aldus Jan Swillens, directeur van de MIVD, onlangs.

Wat willen de diensten?
Stel, er is een doelwit. De diensten kunnen telefoons tappen, een laptop hacken of reisbewegingen volgen. Maar wat als je juist nog géén doelwit hebt, maar wel dreiging vreest? ,,Per definitie zijn wij vaak op zoek naar een dreiging die we vaak nog niet kennen”, zei Swillens eerder. De diensten willen daarom dat ook target discovery mogelijk wordt. Ofwel: ongericht meeluisteren en meekijken als de diensten een dreiging vermoeden.

Dat wil niet zeggen dat dit ongelimiteerd gaat gebeuren. De diensten willen dit toepassen bij zogenoemde snapshotting. Dat houdt concreet in: twee uur lang de internetkabels aftappen als ‘verkenning’ op gegevens die ‘inlichtingenwaarde’ kunnen hebben. Daarna wordt, op basis van de oogst, wél weer ‘zo gericht mogelijk’ verder gezocht. Toch is dat vergaand. De toezichthouder van de diensten, de TIB, ziet dan ook een trendbreuk. Was het ‘gerichtheidsvereiste’ eerder nog beloofd door het kabinet, nu lijkt dat te worden losgelaten. ‘Dat maakt het te verwachten dat de diensten langdurig gaan beschikken over zeer veel internetgegevens van burgers’, aldus de TIB. Ook schrijft de TIB: ‘Zo komen alle gegevens, ook die van personen die niet in aandacht van de dienst staan en dat nooit zullen staan, breder beschikbaar binnen de diensten.’

Het ministerie van Binnenlandse Zaken laat wel weten dat ‘gegevens die in de snapshotfase worden verzameld niet worden gebruikt voor onderzoeken’. Ofwel: het kan hooguit de aanzet zijn voor een onderzoek naar een trend, niet het vertrekpunt voor de dienst om een specifiek iemand te onderzoeken.

Welke informatie van ons gaan de diensten zien?
Nou, best veel. De TIB geeft het voorbeeld: Jan uit Amsterdam bezoekt Nu.nl, zoiets mag straks op grote schaal worden vastgelegd. En de wet breidt dit ook verder uit. Eerder mochten de diensten niets tappen als het streamingsdiensten betrof, zoals bijvoorbeeld Netflix, Spotify of YouTube. Maar ook dat surfgedrag valt straks onder de wet, terwijl het kabinet in 2017 nog beloofde dat dit niet tot de interesse van de diensten ging behoren. Belangrijk is ook dat het wetsvoorstel de bewaartermijnen oprekt. Nu nog geldt dat anderhalf jaar na het binnenhalen van informatie de relevantie nog eens bekeken moet worden. Maar straks is er, als het voorstel het haalt, geen maximale termijn meer.

En wat mag je met onderschepte gegevens? De diensten willen liefst gemakkelijker in data kunnen grazen. Via zogeheten geautomatiseerde data-analyse (GDA) kan en mag nu al in bulkdata worden gezocht naar patronen en verbanden in telefoonverkeer. Ofwel: wie belt of mailt met wie, is er een netwerk, dat soort zoekvragen. Daar zijn algoritmes voor. Maar hier is de toezichthouder nog struikelblok, vinden de diensten, want die vraagt vooraf exact welke data de inlichtingenagenten willen bekijken en verwerken, en dragen hen dan op ‘zo gericht mogelijk’ te zoeken. De wens van AIVD en MIVD: dit toestaan zónder toets vooraf van de toezichtcommissie.

Maar er is meer. Dat de diensten kunnen aftappen, dat weten criminelen en terroristen natuurlijk ook. Stel dus dat een verdachte voortdurend een nieuwe telefoon neemt. Nu nog moet de dienst, als ze het nieuwe nummer ontdekt hebben, naar de minister en de TIB om toestemming te vragen het volgende nummer ook te mogen tappen. Dat ‘bijschrijven’ van een nummer duurt hen te lang, vinden de diensten. Vijandige hackers bijvoorbeeld, springen soms voortdurend van de ene computerserver over naar de volgende. Van die vertraging en dat gedoe willen de diensten ook af. Let op: ook als burgers die telefoon of server gebruiken.

Mag de dienst dan op mijn router en server?
Niet zonder reden, maar eigenlijk wel. Nu nog moet er toestemming worden gevraagd om te kunnen hacken bij ‘slachtoffers’. Zo gebruikte de Russische inlichtingendienst GRU routers in Nederland om aanvallen te kunnen uitvoeren. In het wetsvoorstel mogen onze inlichtingendiensten die routers dan ook binnendringen, zonder toestemming vooraf. Stel dus dat hackers de router van de familie Bakker gebruiken voor cyberaanvallen, dan mogen de diensten daar induiken. Er is wel een toets van de toezichthouder CTIVD, achteraf (!), die de operatie stil kan leggen of de diensten kan terugfluiten.

Gaan de diensten hun zin krijgen?
Dat is nog de vraag. Uit het wetsvoorstel blijkt dat de oproepen van die diensten wel gehoor hebben gevonden bij het kabinet. Maar de toezichthouders op de diensten zijn kritisch. Aan de vorige inlichtingenwet ging een referendum vooraf, waarbij Nederland het eerste wetsvoorstel afwees. Daarna werd de wet flink verbouwd, waarbij er juist veel aandacht was voor het ‘ongerichte’ aftappen. Dat werd toen dus uit de wet gehaald.

Nu komt dat er weer enigszins in, bij het snapshotten. De Raad van State adviseerde maandag best positief over het wetsvoorstel, maar zegt wel dat gegevens die door ‘ongerichte’ verkenning zijn gevonden ‘zo kort mogelijk’ bewaard zouden moeten worden. Ook zouden die gegevens niet uitgewisseld moeten worden met geheime diensten van andere landen. Het is aan de Tweede Kamer of het nieuwe wetsvoorstel door de beugel kan of dat er toch weer aan gesleuteld moet worden.

Belangrijk is ook dat het wetsvoorstel de bewaartermijnen oprekt. Nu nog geldt dat anderhalf jaar na het binnenhalen van informatie de relevantie nog eens bekeken moet worden. Maar straks is er, als het voorstel het haalt, geen maximale termijn meer.

Wat je kijkt op Netflix, welke Nederlandse sites je bezoekt, wat je luistert op Spotify; het kabinet heeft altijd gezworen dat zulke informatie niet op grote schaal zou worden afgetapt. Toch lijkt dat nu te (kunnen) gaan gebeuren. Het is allemaal gevolg van een wetsvoorstel waaraan nu wordt gewerkt.

Toch fijn die vvd stemmers! Bedankt he

Toch fijn die vvd stemmers! Bedankt he

Kabinet wil dat inlichtingendiensten bulkdatasets langer kunnen bewaren

Het kabinet wil dat inlichtingendiensten AIVD en MIVD de bulkdatasets die ze verzamelen langer kunnen bewaren dan nu het geval is. Een "nota van wijziging" die dit mogelijk moet maken is gisteren gepresenteerd. Het publiek kan tot 16 januari volgend jaar op het voorstel reageren.

De AIVD en MIVD hebben bulkbevoegdheden waardoor ze grote hoeveelheden gegevens kunnen verzamelen van miljoenen mensen, waarvan het overgrote deel gaat over mensen waar de diensten geen onderzoek naar doen of zullen gaan doen. Dat doen de inlichtingendiensten naar eigen zeggen om een klein deel binnen te kunnen halen dat wél relevant is voor een onderzoek. Vervolgens moeten alle gegevens die niet relevant zijn zo snel mogelijk worden vernietigd. De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard.

Eerder dit jaar oordeelde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren. Waar Bits of Freedom stelde dat de beslissing van de CTIVD laat zien dat de geheime diensten zich niet laten begrenzen door regelgeving, stelt het kabinet dat de beslissing bevestigt dat de huidige wetgeving tekort schiet voor de omgang met bulkdatasets.

Eerder deze maand werd een wetsvoorstel dat de AIVD en MIVD meer bevoegdheden geeft voor onderzoek naar landen met een offensief cyberprogramma naar de Tweede Kamer gestuurd. Het kabinet wil nu door middel van een nota van wijziging het wetsvoorstel op twee punten wijzigen. Zo komt er een voorafgaande bindende toets op een toestemming voor de real-time verzameling van verkeers- en locatiegegevens.

Daarnaast mogen de inlichtingendiensten, na toestemming van de CTIVD, bulkdatasets langer bewaren. In de toestemmingsaanvraag om een bulkdataset langer te bewaren moet onderbouwd worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar.

De ministers van Binnenlandse Zaken en Defensie kunnen bij de Raad van State in beroep gaan tegen de beslissing van de CTIVD. Via Internetconsultatie.nl kan er tot 16 januari op de nota worden gereageerd. Daarna worden de reacties verwerkt en de nota van wijziging voor advies aan de Raad van State aangeboden. De AIVD verwacht dat de wijziging op het wetsvoorstel in het tweede kwartaal van volgend jaar bij de Tweede Kamer kan worden ingediend.

Toch fijn die vvd stemmers! Bedankt he

Natuurlijk moet elke stap van de burgers gevolgd kunnen worden.

Je hebt blijkbaar geen idee dat ze alles al van je weten

Nu is het nog registeren, geef het 2-3 jaar voordat er beleid op gaat worden gemaakt.

Zo hoeven transportbedrijven of koeriersdiensten de CO2-uitstoot van hun vloot niet in kaart te brengen, maar een grote thuiszorgorganisatie bijvoorbeeld wel.

Ter illustratie: https://www.dumpert.nl/item/100048435_d82c0020

Ter illustratie:

Toezichthouder kritisch over plan kabinet om bulkdata AIVD langer te bewaren

Het kabinet wil dat inlichtingendiensten AIVD en MIVD de bulkdatasets die ze verzamelen langer kunnen bewaren dan nu het geval is, maar de Toetsingscommissie Inzet Bevoegdheden (TIB) is op meerdere punten kritisch en pleit voor aanpassingen aan het plan. Dat blijkt uit een reactie van de toezichthouder op de nota van wijziging bij het wetsvoorstel Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma.

De AIVD en MIVD hebben bulkbevoegdheden waardoor ze grote hoeveelheden gegevens kunnen verzamelen van miljoenen mensen, waarvan het overgrote deel gaat over mensen waar de diensten geen onderzoek naar doen of zullen gaan doen. Dat doen de inlichtingendiensten naar eigen zeggen om een klein deel binnen te kunnen halen dat wél relevant is voor een onderzoek. Vervolgens moeten alle gegevens die niet relevant zijn zo snel mogelijk worden vernietigd. De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard.

Eerder dit jaar oordeelde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren. Waar Bits of Freedom stelde dat de beslissing van de CTIVD laat zien dat de geheime diensten zich niet laten begrenzen door regelgeving, stelt het kabinet dat de beslissing bevestigt dat de huidige wetgeving tekort schiet voor de omgang met bulkdatasets.

Vorige maand werd een wetsvoorstel dat de AIVD en MIVD meer bevoegdheden geeft voor onderzoek naar landen met een offensief cyberprogramma naar de Tweede Kamer gestuurd. Het kabinet besloot eind december door middel van een nota van wijziging het wetsvoorstel op twee punten te wijzigen. Zo komt er een voorafgaande bindende toets op een toestemming voor de real-time verzameling van verkeers- en locatiegegevens.

Daarnaast mogen de inlichtingendiensten, na toestemming van de CTIVD, bulkdatasets langer bewaren. In de toestemmingsaanvraag om een bulkdataset langer te bewaren moet onderbouwd worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. De TIB, die toeziet op de inzet van speciale bevoegdheden door de inlichtingendiensten, heeft op meerdere punten kritiek.

Relevantie
Het TIB stelt dat bulkdatasets voor het merendeel gegevens bevatten van personen of organisaties die niet in aandacht van de geheime diensten staan en daar ook nooit zullen staan. "Door een voortdurende opslag van gegevens van deze personen of organisaties wordt hun privacy blijvend geschonden", aldus de toezichthouder. Het is dan ook belangrijk om snel te beoordelen of verzamelde bulkdatasets relevant zijn.

De nota van het kabinet laat de eis om bulkdatasets zo snel mogelijk te beoordelen echter vallen. De TIB vreest dat dit in de praktijk zal betekenen dat de beoordeling van de relevantie van bulkdatasets in de praktijk helemaal niet meer zal plaatsvinden. "Gelet op het belang van het zo klein mogelijk houden van de inbreuk die wordt gemaakt op de privacy van personen of organisaties die niet in onderzoek zijn acht de TIB het aangewezen dat het vereiste van een zo spoedig mogelijke relevantiebeoordeling wordt gehandhaafd", aldus de toezichthouder.

Bewaartermijn
Een ander punt dat de TIB graag veranderd ziet is de mogelijkheid om de termijn voor de beoordeling van bulkdatasets op relevantie te verlengen. Er is geen maximum gesteld op deze mogelijkheid. De TIB is bang dat bulkdatasets waarschijnlijk jarenlang zullen worden bewaard door de diensten. "De voortdurende bewaring maakt een inbreuk op de privacy van personen of organisaties die niet in onderzoek zijn", laat de toezichthouder in de reactie weten.

Eerder had de Raad van State opgemerkt dat het Europees Hof voor de Rechten van de Mens een onbegrensde termijn voor bewaring van bulkdata waarschijnlijk niet zal accepteren. De Raad van State heeft hier nadrukkelijk in zijn advies op gewezen en in overweging gegeven hier nader op in te gaan. In de toelichting bij de nota van wijziging is echter geen expliciete aandacht besteed aan de opmerkingen van de Raad van State.

Er wordt slechts verwezen naar de eerder gegeven overwegingen met betrekking tot grondrechtelijke en mensenrechtelijke aspecten en wordt er gesteld dat deze overwegingen “onverkort van toepassing zijn”. Volgens de TIB is gelet op het expliciete advies van de Raad van State daarover dat niet zonder meer begrijpelijk. "Zeker als geconstateerd moet worden dat in deze toelichting geen expliciete aandacht is geschonken aan een langere, niet gemaximeerde bewaartermijn."

Overgangsrecht
Een ander kritiekpunt betreft de overgangsregeling in de nota van het kabinet. Op het moment dat de wet in werking treedt mag de minister ook voor bulkdatasets die eerder zijn verkregen, en eigenlijk op grond van de inlichtingenwet Wiv 2017 nog moeten worden beoordeeld, toestemming geven voor verlenging van de beoordelingstermijn. Dit heeft betrekking op alle bulkdatasets die op het moment van inwerkingtreding van deze wet maximaal anderhalf jaar eerder zijn verkregen.

De TIB vindt dat slechts in bijzondere, zwaarwegende omstandigheden sprake kan zijn van een verlenging voor gegevens die eerder zijn verkregen en waarvoor de diensten anderhalf jaar de tijd hebben gehad deze te beoordelen. "Een andere uitleg van artikel 27 Wiv 2017 – die er op neerkomt dat telkens opnieuw dezelfde gegevens kunnen worden verworven na vernietigen van de eerder verworven gegevens – beschouwt de TIB als omzeiling van een waarborg en daarmee als U-bochtconstructie", aldus de toezichthouder.

Via Internetconsultatie.nl kan er tot en met vandaag 16 januari op de nota worden gereageerd. Daarna worden de reacties verwerkt en de nota van wijziging voor advies aan de Raad van State aangeboden. De AIVD verwacht dat de wijziging op het wetsvoorstel in het tweede kwartaal bij de Tweede Kamer kan worden ingediend.

Ik verwacht niet dat het kabinet gaat luisteren naar de TIB.

„Er gebeuren héle grote dingen in Nederland”, zo zei scheidend toezichthouder Mariëtte Moussault vorige week tegen de Tweede Kamer. „Maar ik mag u niet zeggen hóe groot.”

Moussault was vijf jaar lang voorzitter van de Toetsingscommissie Inzet Bevoegdheden (TIB), de commissie die toestemming moet geven voordat de AIVD en de MIVD het internet mogen aftappen of computerservers mogen hacken. In haar laatste week in functie was ze naar de de Kamer geroepen om die te briefen over een nieuwe, tijdelijke wet, die de bevoegdheden van de geheime diensten sterk verruimt.

Moussault vindt het belangrijk dat er een goede discussie wordt gevoerd over de gevolgen voor de privacy van burgers. Daarom had ze graag verteld welke verstrekkende operaties de AIVD en de MIVD nú al uitvoeren, onder de huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) . Maar daar hebben de ministers Hanke Bruins Slot (Binnenlandse Zaken, CDA) en Kajsa Ollongren (Defensie, D66) een stokje voor gestoken. Op last van de twee ministers zijn enkele cruciale passages in het jaarverslag van de TIB over 2022 zwartgelakt, omdat ze staatsgeheime informatie zouden bevatten. Daardoor, zo zei Moussault tegen de Kamer, kan het debat over de nieuwe wet niet goed worden gevoerd. „Ik vind het echt héél vervelend”, zo zei Moussault, terwijl ze haar handen verontschuldigend ophief: „Maar ik heb geen zin om vijftien jaar te gaan zitten.”

De Kamer en de samenleving moeten hier goed over nadenken

De Tijdelijke wet cyberoperaties draait niet om details, zo heeft Moussault een dag eerder in een gesprek met NRC duidelijk gemaakt. De nieuwe wet maakt veel verdergaande inbreuk op grondrechten van burgers mogelijk. „We spreken meestal over het recht van privacy, maar eigenlijk staat er veel meer op het spel: het recht van meningsuiting, het recht van vrije vergadering. Het gaat om het medische geheim, om de journalistieke vrijheid.”

Sleepwet
In 2018 stemden de Nederlandse kiezers in een referendum tégen de Wet op de inlichtingen- en veiligheidsdiensten, die het mogelijk moest maken om ‘ongericht’ data van miljoenen burgers af te tappen op internationale glasvezelkabels. Om de ‘sleepwet’ er door te krijgen deden de toenmalige ministers Ronald Plasterk (Binnenlandse Zaken, PvdA) en Jeanine Hennis (Defensie, VVD) belangrijke toezeggingen. De kans dat er Nederlands verkeer zou worden verzameld was nagenoeg uitgesloten, zo stelden de ministers. Streamingdiensten als Netflix of YouTube zouden niet worden opgeslagen. Het aftappen van de kabel zou bovendien „zo gericht mogelijk” plaatsvinden, om de schending van de privacy van burgers zo klein mogelijk te houden. Elk verzoek om te tappen (of te hacken) zou moeten worden goedgekeurd door een nieuwe instantie: de Toetsingscommissie Inzet Bevoegdheden (TIB).

De beloften van Plasterk en Hennis stonden echter op gespannen voet met wat de AIVD en de MIVD van plan waren: het automatisch doorzoeken van zo groot mogelijke datasets van tientallen miljoenen gebruikers – niet alleen om Russische of Chinese hackers te kunnen volgen, maar vooral ook om nieuwe, potentiële dreigingen op het spoor te komen. „Per definitie zijn wij vaak op zoek naar een dreiging die we nog niet kennen”, zei generaal-majoor Jan Swillens, directeur van de MIVD, vorig jaar.

Wat dat in de praktijk kan betekenen kan worden afgeleid uit de schaarse informatie die openbaar is gemaakt door de TIB en door een andere waakhond, de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD). In 2021 kreeg de TIB een verzoek tot toestemming voor ‘kabelinterceptie’ waarbij een enorme hoeveelheid data zou worden verzameld, waaronder „een significante hoeveelheid van het internetverkeer van Nederlandse burgers”. Deze data zouden bovendien „ongezien” worden gedeeld met een „buitenlandse partnerdienst”, mogelijk de Amerikaanse afluisterdienst NSA. Een disproportionele inbreuk op de privacy, oordeelde de TIB: het verzoek werd afgewezen.

Dergelijke afwijzingen hebben de afgelopen jaren tot frustratie bij de diensten geleid. Begin 2021 stelde een evaluatiecommissie onder leiding van oud-topdiplomate Renée Jones-Bos dat de Wiv was uitgelopen op „patstellingen”, en dat de wet daarom moest worden aangepast. Enkele maanden later lieten de diensthoofden Erik Akerboom (AIVD) en Jan Swillens (MIVD) weten dat onmiddellijk moest worden ingegrepen, omdat de diensten het zicht op cyberdreigingen dreigden te verliezen. De Tijdelijke wet cyberoperaties moest nog voor het einde van het jaar bij de Kamer liggen, zo was het plan.

Woensdag, anderhalf jaar later, begint eindelijk de parlementaire behandeling met een rondetafelconferentie in de Tweede Kamer, waarin verschillende experts hun licht over de nieuwe wet laten schijnen.

Iedereen maakt zich zorgen over cyberaanvallen van China en Rusland

Verkennen, tappen en hacken
In de nieuwe wet worden de bevoegdheden van AIVD en MIVD fors opgerekt. Zo mogen de diensten straks zonder toestemming computers van ‘non-targets’ (lees: nietsvermoedende burgers) hacken, als die in een onderzoek opduiken. Er is dan geen toets meer nodig voor geautomatiseerde data-analyse van afgetapte data, door steeds slimmere AI-systemen die miljoenen e-mails kunnen beoordelen op vragen als: „Wie is een terrorist?” Met de nieuwe wet vervalt het verbod om streamingdiensten af te tappen, en mag ook Nederlands internetverkeer worden afgevangen. Om internetverkeer te ‘verkennen’ is het straks geoorloofd álle inhoud van een glasvezelkabel zes maanden op te slaan. Die data mogen ook met buitenlandse diensten worden gedeeld, ook al raadt de Raad van State dit af.

Volgens de AIVD en MIVD is de nieuwe wet onontbeerlijk in de strijd tegen landen met een „offensief cyberprogramma”, zoals Rusland, China of Iran. Maar is dat zo? Na twee jaar mislukkingen en afwijzingen kregen de inlichtingendiensten in het eerste kwartaal van 2022 – onder de huidige wet – toestemming om een internationale glasvezelkabel te tappen. Na de Russische invasie in Oekraïne op 24 februari was de „inlichtingenbehoefte van de diensten urgenter geworden”, zo meldt de CTIVD. De ‘kabelinterceptie’ ging over één thema en was zo opgezet dat alleen data van bekende targets van de diensten (zoals Russische hackers) werden opgeslagen. Daarmee werd waarschijnlijk voldaan aan het criterium dat de interceptie ‘zo gericht mogelijk’ moet zijn. Minister van Defensie Ollongren meldde later dat de MIVD een belangrijke rol heeft gespeeld bij de verdediging van Oekraïne tegen Russiche cyberaanvallen.

De CTIVD geeft veel details over de succesvolle kabelinterceptie, maar in het jaarverslag van de TIB is de passage over de operatie grotendeels zwart gemaakt. Daardoor is niet duidelijk waarom de toezichthouder na alle afwijzingen nu wél toestemming had gegeven. Moussault wil niet ingaan op wat er zwart gelakt is, maar wil wel kwijt dat het niet de bedoeling was om staatsgeheimen te openbaren.

Voormalig lid van de TIB Bert Hubert, die in september van het afgelopen jaar opstapte en daarom weet heeft van de operatie, is uitgesprokener. „Van sommige dingen die zwart zijn gemaakt weet ik dat het niet gaat om staatsgeheimen, maar om zaken die ongemakkelijk zijn om te vermelden.”

Tweede Kamerlid Renske Leijten (SP) noemt het weglakken van passages in het jaarverslag „kafkaësk”. „We hebben het over een onafhankelijke toezichthouder die heel goed weet wat wel en niet gezegd kan worden.”

Leijten is kritisch over de haast waarmee het wetsvoorstel moet worden behandeld. „Er is een kunstmatige urgentie gecreëerd. De oorlog in Oekraïne wordt nu door de diensten gebruikt om wat niet gelukt is bij de ‘sleepwet’ alsnog erdoorheen te krijgen.”

VVD-Kamerlid Queeny Rajkowski, als ‘rapporteur’ verantwoordelijk voor de procedure rond de wet, is het daar niet mee eens. „Elke week die we wachten is een risico, maar we willen zéker niet de zorgvuldigheid uit het oog verliezen.”

Een meerderheid van de Tweede Kamer lijkt de tijdelijke wet te zullen steunen. „Iedereen maakt zich zorgen over de cyberaanvallen van China en Rusland”, zegt woordvoerder Alexander Hammelburg (D66). „De huidige wet is daarvoor ontoereikend.”

„We hebben geen keus”, zegt Rajkowski.

Scheidend TIB-voorzitter Mariëtte Moussault waarschuwt echter voor al te snelle conclusies. „Je kunt nu al de kabel aftappen op een manier die de TIB rechtmatig vindt. Maar de diensten willen méér. Daar zullen de Kamer en samenleving verdomd goed over moeten nadenken.”

‘Waardevolle bijdrage’
In een reactie laten de ministeries van Binnenlandse Zaken en Defensie weten dat in de voorgelegde versie van het jaarverslag van de TIB „staatsgeheime informatie” stond. „De TIB heeft er voor gekozen om deze zinsdelen niet aan te passen, maar zwart te lakken”, aldus de departementen. In de informatie van de CTIVD stond volgens de ministeries géén geheime gegevens.

Volgens Binnenlandse Zaken en Defensie leveren de AIVD en de MIVD een „waardevolle bijdrage” aan de Oekraïense verdediging tegen „grootschalige Russische digitale aanvallen”. „De Oekraïense digitale verdediging is niet gegarandeerd”, schrijven de ministeries. „Waarschijnlijk kan dit succes alleen volgehouden worden zolang de westerse steun net zo intensief en adaptief blijft als de cyberoperaties van de Russische inlichtingendienst.”

Minister verlengt opnieuw eindtermijn bulkdataset inlichtingendiensten

Demissionair minister Ollongren van Defensie heeft voor de tweede keer de eindtermijn van een bulkdataset van de inlichtingendiensten, die eigenlijk binnenkort vernietigd zou moeten worden, met één jaar verlengd. De AIVD en MIVD hebben bulkbevoegdheden waardoor ze grote hoeveelheden gegevens kunnen verzamelen van miljoenen mensen, waarvan het overgrote deel gaat over mensen waar de diensten geen onderzoek naar doen of zullen gaan doen.

Dat doen de inlichtingendiensten naar eigen zeggen om een klein deel binnen te kunnen halen dat wél relevant is voor een onderzoek. Vervolgens moeten alle gegevens die niet relevant zijn zo snel mogelijk worden vernietigd. De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard. In 2022 oordeelde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren.

Het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' maakt het mogelijk om bulkdatasets, na toestemming van de CTIVD, langer te bewaren. De termijn kan steeds met een jaar worden verlengd. Vanaf de derde verlenging zal er extra streng worden getoetst of dit nodig is. De Eerste Kamer moet nog over het wetsvoorstel stemmen en zal dit waarschijnlijk begin maart doen.

Eind vorig jaar werd bekend dat de CTIVD een voorschot op het wetsvoorstel neemt en er een overgangsregeling is. Daardoor is het mogelijk om de eindtermijn van bulkdatasets die de inlichtingendiensten eigenlijk zouden moeten vernietigen te verlengen, ook al is wetsvoorstel waarin dit wordt geregeld nog niet aangenomen. Na het verlengen van de eindtermijn van een bulkdataset in januari heeft minister Ollongren dit opnieuw voor een andere bulkdataset gedaan. De CTIVD heeft het besluit van de bewindsvrouw onderzocht en goedgekeurd, zo staat in een brief aan de Tweede Kamer (pdf).

Oh ik dacht de Russen

Het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma'