Ga naar de inhoud
Noodzakelijk of buitensporig?

Oud-toezichthouders verdeeld over nieuwe wet die AIVD meer ruimte geeft

Oud-toezichthouders op de geheime diensten Ronald Prins en Bert Hubert Beeld © ANP, Olivier Middendorp

Het internetverkeer van miljoenen Nederlanders komt in handen van de AIVD, vreest Bert Hubert. Uit onvrede over een wet die de geheime dienst die ruimte geeft, stapte hij op bij de toezichthouder die daar nu op controleert. Zijn voorganger Ronald Prins vindt de wet noodzakelijk. Een gesprek met twee oud-toezichthouders op de geheime diensten, die lijnrecht tegenover elkaar staan.

Nederland is doelwit van 'een permanente stroom cyberaanvallen', waarschuwt de AIVD. Landen als China, Rusland, Iran en Noord-Korea spioneren, zoeken waardevolle bedrijfsgeheimen of mogelijkheden om te saboteren.

Nederland is interessant voor buitenlandse hackers, onder meer vanwege innovatieve bedrijven en de internationale organisaties die hier gevestigd zijn. Zo probeerden Russische spionnen in 2018 de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te hacken. In maart werd bekend dat Russische hackers in routers van particulieren en mkb'ers zit, ook in Nederland.

Nederland
Lees ook:
Nederland stopt Russische hackoperatie tegen chemische wapenwaakhond

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) proberen personen, bedrijven, organisaties en de overheid te beschermen tegen buitenlandse hackers. De geheime diensten mogen daarbij ver gaan. Bijvoorbeeld door aanvallers terug te hacken of internetkabels af te tappen.

Om te voorkomen dat zij té ver gaan, moeten zij toestemming vragen voor de meest ingrijpende werkwijzen. De AIVD en MIVD mogen niet hacken of aftappen zonder akkoord van een speciale toetsingscommissie. Dit moet voorkomen dat gegevens van miljoenen onschuldige Nederlanders zonder goede controle vooraf bij de diensten belanden.

Wat verandert deze wet?

  • Aftappen: De diensten mogen internetkabels aftappen, om later te kijken of de communicatie iets interessants bevat. Daarbij hoeven ze niet meer vooraf aan te tonen dat de tap 'zo gericht mogelijk' is. De verzamelde gegevens mogen een half jaar lang bewaard worden.
  • Hacken: De diensten mogen nu apparaten hacken die door buitenlandse hackers gebruikt worden, bijvoorbeeld van Nederlandse bedrijven of gezinnen. In maart maakte de MIVD bijvoorbeeld bekend dat Russische hackers in Nederlandse routers zaten.

In een wet die vandaag naar de Tweede Kamer is gestuurd, staat dat de geheime diensten een grootschalige tap niet meer 'zo gericht mogelijk' hoeven uit te voeren. De AIVD en MIVD mogen sinds vier jaar internetkabels aftappen, maar dat komt niet van de grond omdat de Toetsingscommissie Inzet Bevoegdheden (TIB) hier kritisch naar kijkt.

'Sleepnet uitgooien'

Zonder akkoord van de TIB mogen de geheime diensten niet op grote schaal aftappen. Deze bevoegdheid is omstreden: tegenstanders spreken van het uitgooien van een 'sleepnet', waarbij internetverkeer van onschuldige burgers in handen komt van de geheime diensten. De wet die de diensten op grote schaal laat tappen, wordt door activisten daarom 'sleepwet' genoemd.

Het wetsvoorstel van vandaag is bedoeld om de geheime diensten in internetverkeer te zoeken waar Chinese, Russische of Iraanse hackers zich bevinden en wat zij doen. De AIVD en MIVD mogen niet-relevante gegevens een half jaar bewaren.

Oud-toezichthouders verdeeld

Ronald Prins en Bert Hubert hebben allebei voor de AIVD gewerkt, voordat zij achter elkaar toezichthouder bij de TIB werden. Prins (toezichthouder van april 2018 tot juni 2020) is voorstander. De wet is volgens hem nodig om Nederland goed te kunnen beschermen tegen buitenlandse hackers. Zijn opvolger Hubert (december 2020 tot september 2022) is tegen. Hij stapte in september uit de TIB omdat hij zich niet in de plannen kan vinden.

Toezichthouder
Lees ook:
Toezichthouder geheime diensten weg uit onvrede over nieuwe inlichtingenwet

Moet ik me zorgen maken dat de AIVD mijn telefoon- en internetverkeer verzamelt en bekijkt? Ik ben toch niet interessant?

Prins: "De diensten verzamelen veel, maar kijken er niet per se in detail naar jouw communicatie. Is jouw privacy geschonden als niemand ernaar kijkt? Ze tappen niet omdat ze het alleen maar leuk vinden, maar kijken naar mensen die voor hen interessant zijn. Als ze steeds meer data binnenhalen, wordt het alleen maar moeilijker om conclusies te trekken."

Hubert: "Je kan zeggen dat je niets te verbergen hebt, maar als de AIVD in alle cafés een microfoon plaatst of meeschrijft op jouw huisfeestje, ga je toch een ander gesprek voeren. Voor alles wat de dienst opslaat, geldt dat het verkeerd kan uitpakken. Er zijn ook andere risico's: elke geheime dienst is al eens gehackt. En vind je het over een paar jaar, met een heel ander kabinet, nog steeds oké dat jouw gegevens daar binnen kunnen komen?"

Is deze wet noodzakelijk?

Prins: "Ja. Als de Russen, Chinezen of Iraniërs inbreken, wil je ze achterna. Toen ik nog bij de TIB zat, raakte ik gefrustreerd omdat de diensten allerlei ellende op zich af zien komen, maar met de handen op de rug gebonden zijn. Als ze hackers willen volgen, moeten ze telkens opnieuw toestemming vragen als ze een nieuwe computer tegenkomen. Voordat je toestemming hebt, is die hacker al lang vertrokken."

Hubert: "Er zit zeker een kern in deze wet. De diensten willen hackers volgen als ze zich naar een andere server verplaatsen. Het is stom dat ze dan opnieuw toestemming moet vragen. Dat duurt drie weken. Kan dat proces niet beter? Verzoeken die ik zag, konden echt wel efficiënter. Toestemming vragen gaat vaak om verlenging, bijvoorbeeld om iemand nog eens drie maanden te mogen tappen. Je hoeft een verzoek dan niet helemaal van a tot z opnieuw in te dienen, maar kunt ook verwijzen naar het eerste verzoek met drie regels aanvullende informatie. Er kan kritischer gekeken worden naar hoe de diensten nu al sneller kunnen werken."

Geheime
Lees ook:
Geheime dienst AIVD rolt Russisch spionagenetwerk op in Nederland

Wat is het grootste risico als de wet er níét komt?

Prins: "Dat we niet zien wat Rusland en China uitspoken. Elk jaar verhogen ze hun capaciteiten. Ze hacken alles wat los en vast zit. Ik heb in mijn tijd bij de TIB gezien welke ellende op Nederland afkomt. Je wilt weten waar Rusland, China en Iran naar zoeken en wie de slachtoffers zijn. Nu moeten de diensten toestemming vragen voor elke nieuwe computer die ze tijdens een operatie ontdekken en ook willen hacken. Je bent telkens drie weken verder. Intussen is de hacker allang vertrokken."

Hubert: "Ik zie geen risico's als de wet er niet komt. Toen ik nog bij de TIB zat en verzoeken goedkeurde, heb ik niet iets gezien waarvan ik dacht: dit kunnen ze niet aan. Als er echt haast is, kunnen de diensten nu via een spoedprocedure al zonder TIB-toestemming hacken of tappen. Zij hoeven dan alleen maar de minister te bellen. Het grootste risico wat ik kan bedenken, is dat je die niet aan de lijn kunt krijgen. Maar dat proces is goed ingericht; dat vind ik zelf geen geloofwaardig argument."

AIVD
Lees ook:
AIVD mag in nieuwe wet op grote schaal internet aftappen

Wat is het grootste risico als de wet er wél komt?

Prins: "Ik zie geen risico's als deze wet er komt. Ik ken de argumenten van tegenstanders. Maar ik heb liever dat mijn geheimen op het AIVD-hoofdkwartier in Zoetermeer liggen, dan in China of Rusland. Dat is de prijs die ik graag betaal. Het alternatief is erger. We worden overspoeld door hackers die alles maar weghalen. De Chinezen willen weten wat wij uitvinden, zodat ze het kunnen namaken. Ons economisch verdienvermogen staat op het spel. De Russen doen aan technische en diplomatieke spionage. Dat raakt aan onze democratische vrijheid. Dáár zit het risico. We moeten niet vergeten waarom we inlichtingendiensten hebben: om ons te beschermen."

Hubert: "Het grootste risico vind ik dat de diensten grootschalig internetverkeer aftappen en analyseren met algoritmes. Ik snap dat ze dat willen, want het zijn spannende tijden. Nu is er vooraf toezicht op, straks niet meer. Wat als de AIVD de verkeerde mensen aanwijst als target? Een algoritme kan niet vertellen waarom, maar trekt wel conclusies. Dan gaat de AIVD graven, met in het achterhoofd dat de computer iets heeft gezegd – en dat er dus wel een kern van waarheid in zit. Dan is iedereen die naar Saoedi-Arabië vliegt omdat die in de olie werkt of familie bezoekt, een terrorist of iemand die terrorisme financiert. Als alles goed gaat, is het niet erg. Maar als het dubbeltje de andere kant op valt, zit je in een naar hoekje."

Buitenlandse
Lees ook:
Buitenlandse spionnen actief op LinkedIn: 'Check voor je connect'

Voordat de nieuwe wet van kracht wordt, moeten de Tweede en daarna de Eerste Kamer nog akkoord gaan. Het is onduidelijk hoelang dat precies gaat duren. In dat proces kan (een deel van de) wet nog veranderen.

Hoewel het wetsvoorstel de situatie in eerste instantie voor vier jaar zal veranderen, verwachten Prins en Hubert dat de wijzigingen later alsnog definitief worden. De 'normale' inlichtingenwet - die in 2018 in werking trad - is namelijk alweer aan herziening toe. Deskundigen denken dat de veranderingen van de tijdelijke wet worden opgenomen in de aanpassingen van die grote wet, de Wet op de inlichtingen en veiligheidsdiensten (Wiv).