Nieuws

AIVD en MIVD kunnen en willen steeds meer hacken – en dat wringt steeds vaker met de wet

Door technische mogelijkheden kunnen en willen de Nederlandse inlichtingendiensten steeds meer data achterhalen. Deze – voornamelijk – hackoperaties staan op gespannen voet met de wet en zijn niet altijd proportioneel. Dat blijkt uit het jaarverslag van toezichtcommissie Toetsing Inzet Bevoegdheden (TIB).

Huib Modderkolk
Kantoor van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in Zoetermeer.  Beeld ANP
Kantoor van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in Zoetermeer.Beeld ANP

Het aantal verzoeken van de AIVD en MIVD om te mogen afluisteren en hacken, nam in 2021 met bijna driehonderd toe tot 3.071. De grote meerderheid van die verzoeken werd toegewezen, maar een groeiend aantal verzoeken van de AIVD (3,3 procent, tegenover 1,9 procent in 2020) werd afgewezen.

Opvallend is dat de toezichtcommissie 54 van de ruim drieduizend verzoeken ‘niet proportioneel’ achtte. TIB-voorzitter Mariëtte Moussault: ‘De diensten willen steeds meer en ze kunnen steeds meer. Dan gaat het vooral over hackoperaties.’

Verder valt op dat de AIVD en MIVD twee journalisten afluisterden, terwijl ze daarvoor geen toestemming hadden. Waarschijnlijk gaat het over buitenlandse journalisten. Moussault: ‘We letten buitengewoon scherp op het afluisteren van journalisten. Daar is niet voor niets een aparte procedure voor. Soms is sprake van een grijs gebied: bij bloggers en buitenlandse journalisten is het niet altijd makkelijk te weten of ze journalist zijn.’

Zero day

Een ander heikel punt was de inzet van een onbekende softwarekwetsbaarheid, ook wel zero day genoemd, om een systeem binnen te komen. Dat ligt gevoelig, omdat het ook tegen andere personen en organisaties kan worden gebruikt. De AIVD informeerde de TIB niet over de kwetsbaarheid, terwijl de dienst die informatie wel had.

‘Ik vond dat heel kwalijk’, zegt Moussault. ‘De TIB en de minister zijn onjuist geïnformeerd. Zorgelijk, want het kan als boemerang tegen ons gebruikt worden, omdat de kwetsbaarheid onversleuteld werd ingezet. Daardoor loop je het risico dat anderen het onderscheppen en ook gaan gebruiken.’

De diensten wilden twee keer kabelinterceptie toepassen. De TIB oordeelde in beide gevallen dat de inzet ‘niet proportioneel’ was. Het is een van de bevoegdheden waar de diensten graag meer ruimte zouden willen krijgen.

Oud-minister van Defensie Henk Kamp beklaagde zich begin dit jaar nog dat de handen van de diensten zijn gebonden. Een opmerking die slecht viel bij de TIB. ‘De diensten kunnen en mogen al heel erg veel’, reageert Moussault. Vooral de toevoeging van Kamp dat landen als China en Rusland kunnen doen wat ze willen, terwijl Nederland ‘ethische regels en principes heeft’, stak haar. ‘Dat suggereert dat die principes en regels ons in de weg staan, dat vind ik zorgelijk en zelfs kwalijk. Dan zaag je aan de poten van de rechtsstaat.’

Twee hobbels

In de aanloop naar een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten zouden die organisaties alvast meer ruimte willen krijgen. Moussault begrijpt die behoefte vanuit het perspectief van de diensten, maar ziet ook ‘flinke hobbels’ in het voorstel. Twee aspecten licht ze uit.

Zo mogen toezichthouders TIB en CTIVD straks geen informatie uitwisselen voordat ze de minister en het diensthoofd op de hoogte hebben gesteld. ‘Dat is van de gekke en maakt effectief toezicht onmogelijk. Dat is een flink punt waarvan ik hoop dat het eruit gaat.’

Het tweede is dat AIVD en MIVD de technische risico’s bij hacken niet meer hoeven te beschrijven. Moussault: ‘Ik begrijp dat je niet altijd weet wat je gaat tegenkomen. Vergelijk het met een operatie: de chirurg weet niet hoe een patiënt reageert. Hij weet wel of het een darm-, oog- of teenoperatie gaat zijn. In grote lijnen is het dus wel duidelijk, net zoals bij hacken. Die informatie willen wij hebben. Waar zeggen wij en een minister anders ja tegen?’

Meer over