20 februari 2018

AIVD deelt niet "zomaar" gegevens


In een reactie op BoF:
https://www.bof.nl/2018/02/16/oud-medewerker-aivd-gaat-de-mist-in-met-de-feiten/#comments

Wet op de inlichtingen- en veiligheidsdiensten 2017 


Terzijde. Het klopt, er bestaat de “Wet van 3 december 1987, houdende regels betreffende de inlichtingen- en veiligheidsdiensten” Het is echter moeilijk die wet te vergelijken met de Wiv 2002 en 2017. Vooral de toestemmingen vooraf en het toezicht achteraf was niet of anders geregeld.

Wet 1987: ” de bevoegdheid om telefoons te tappen was destijds niet wettelijk geregeld”. Dat gold voor geen enkele bevoegdheid. Het afluisteren van een telefoon was een strafuitsluitingsgrond in het Wetboek van Strafrecht, waarin het afluisteren van een telefoon als een misdrijf werd gekwalificeerd. De uitsluitingsgrond gold specifiek voor de BVD en er waren voorwaarden aan verbonden, zoals handtekeningen van maar liefst 4 ministers. Binnenlandse Zaken, Justitie en Verkeer en Waterstaat (ivm PTT) en AZ. 

Hacken
Ja! In de nieuwe wet op de inlichtingen- en veiligheidsdiensten (WIV2017) is hacken ook toegestaan. Dat is een vorm van gerichte interceptie. 
Dat is het verschil met OOG-interceptie, de Onderzoeks Opdracht Gerichte interceptie.  
Zowel hacken als OOG verloopt via de kabel, maar de term ongericht geeft veel onduidelijkheid. Dat is verbasterd tot het sleepnet. Een verkeerde term, want de AIVD kan niet zomaar met een ‘sleepnet’ het internet afstruinen.

De ongerichte interceptie komt bijvoorbeeld aan de orde als de AIVD bepaalde ‘kenmerken’ weet die verbonden zijn aan Ddos aanvallen op banken. Dan kun je dus op bepaalde kabels gaan zoeken naar het opduiken van die - zoals techneuten dat noemen – ‘signatures’. Dat lukt je niet met hacken.

Wel kun je bij bedreigde instellingen of potentiële targets technische apparatuur aanbrengen die dergelijke aanvallen herkennen. Dat is ook niet ongericht en valt in Nederland onder de C taak, de beveiligingstaak van de AIVD.

Buitenlandse regimes op Nederlandse kabels?
Er moet onderscheid worden gemaakt tussen gerichte en ongerichte interceptie. Dat laatste is keihard nodig. Denk aan de belangstelling van vele (buitenlandse) organisaties, landen en regeringen die er moet zijn geweest voor in de EU verblijvende Syriëgangers die natuurlijk communiceerden met familie, vrienden en medestanders in hun 'oorlogsland van herkomst'.

Dan is het interessant om te achterhalen langs welke fibers dergelijke communicatie loopt.
Als je dat lukt? Dan pas kan de volgende stap (met weer speciale toestemming) worden gezet. Maar de AIVD krijgt geen aftapmogelijkheid gericht op grote groepen Nederlanders.

Massaal en stelselmatig betaat niet

Wanneer BoF beweert dat met de nieuwe wet er straks massaal en stelselmatig communicatie kan worden opgevist met een sleepnet, vraag ik BoF niet alleen wat wordt bedoeld met ‘massaal en stelselmatig’, maar ik beweer ook dat dit niet kan.
Ten eerste is deze bevoegdheid (met toestemming) simpelweg gekoppeld aan een onderzoeksopdracht. Ja, natuurlijk wordt er soms veel naar binnen gehaald, maar dat moet op relevantie worden beoordeeld en als het niet relevant is moet het worden weggegooid. Ook daarop wordt toezicht uitgeoefend.

Verderop zegt BoF, dat de diensten alle communicatie die langs de wifi-hotspots van een grote provider in een stad komt, mogen opvissen. Ook dat kan niet, is te willekeurig, te bewerkelijk dus nauwelijks uitvoerbaar noch werkbaar. Tijd, middelen, geld en personeel ontbreken simpelweg.

AIVD niet op zoek naar 'onschuldige' en 'schuldige' burgers
Daarnaast heeft BoF (en ook vele andere tegenstanders van de WIV2017) het steeds over “onschuldige burgers” die niet in het vizier horen van de geheime diensten.
Dit slaat natuurlijk in wezen nergens op. Veel retoriek. Geldt dit dan alleen voor ‘schuldige’ burgers? Wie zijn dat? Hoe weet je nu wie schuldig is?
Los van het feit dat het een term is die voor de AIVD niet relevant is. ‘Schuld’ is een strafrechtelijke term.

"Zomaar" gegevens delen bestaat niet
Een ander misverstand dat de BoF aanhaalt gaat over gegevens die de geheime diensten binnen halen en on-geanalyseerd kunnen delen met buitenlandse diensten.

Het delen van dit soort gegevens met buitenlandse diensten gebeurt slechts met een beperkt aantal diensten, met diensten van wie de AIVD ook informatie krijgt. Alleen diensten met wie de AIVD - na zorgvuldige weging - heel nauw samenwerkt en vertrouwt.

Stel, je treft een laptop aan bij een target, dat aankomt op Schiphol, met 3 Terra aan gegevens. Hij komt uit het VK. Moet dan al die informatie op die laptop eerst worden geanalyseerd? Natuurlijk niet. Je vraagt alles over dat target aan de samenwerkende diensten in Groot-Brittannië en je kunt (behoort?) de nog niet geanalyseerde gegevens gewoon alvast delen. Ze zijn namelijk relevant voor het internationale (CTG-)onderzoek. Waarom? Omdat het target die bij zich had.

Privacy van ondergeschikt belang
Het delen van niet geëvalueerde gegevens wordt steeds besproken in relatie tot data verkregen uit kabelgewonden interceptie. Maar het gebeurt ook op een andere manier.

Denk aan de terrorist uit Rotterdam die na een tip van de AIVD werd gearresteerd. Hij had een laptop bij zich met veel daarop opgeslagen data. Tegenwoordig kun je meerdere terabytes kwijt op zelfs een extern opslag device. Al snel bleek er een belangrijke link met een ander land binnen de CTG-groep. Een land dat al met ernstige aanslagen te maken had gehad. Snelheid is dan geboden. Dan gaan de NL-autoriteiten natuurlijk niet eerst al die data analyseren of daar mogelijk iets tussen zit dat betrekking heeft op een Nederlandse onderdaan. Dan wordt simpelweg alles gedeeld met de collegedienst in kwestie. In de belangenafweging, terrorismedreiging versus bescherming van de privacy van Nederlanders, is dat laatste echt van ondergeschikt belang.

De ontvangende dienst moet zich natuurlijk wel aan de afspraken houden over de voorwaarden waaronder dergelijke informatie wordt verstrekt. Gebeurt dat niet, dan heeft dat gevolgen voor de samenwerking. Op zichzelf bezien is dat ook niet zo’n ingewikkeld besluit om te nemen, omdat de laptop in direct verband stond met dat target en aldus alle informatie op die laptop op dat moment als relevant kan worden beoordeeld.

Het delen van gegevens is sterk beperkt
Over het delen van nog grotere hoeveelheden data meestal verkregen uit kabelgebonden interceptie die voorafgaand aan het delen niet uitputtend kan worden beoordeeld, gelden voor verstrekking natuurlijk dezelfde eisen. Bovendien zal dat met slechts een beperkter aantal diensten gebeuren. Die moeten ook eerst door de weging komen (toestemming minister) om op dat niveau überhaupt voor samenwerking in aanmerking te komen.

Lastig is soms de samenwerking met landen als de VS (Bertholee in College Tour) en Israël, om er maar even twee te noemen. Die samenwerking vereist zeer goede afspraken en toezicht op de nakoming daarvan. Dat laatste is weleens lastig.
Natuurlijk zullen de AIVD en ook de MIVD proberen zoveel mogelijk Nederlandse kenmerken (e-mailadressen, telefoonnummers) te verwijderen. Maar ook dan geldt het vertrouwensbeginsel tussen de diensten heel sterk. Mocht een collega dienst dat vertrouwen beschamen en bij voorbeeld data uit door een Nederlandse dienst verstrekte dataset verkeerd gebruiken, dan heeft dat gevolgen.

Uitwisseling vooral bij contra-terrorisme
Dergelijke datasets zullen overigens alleen voor de belangrijkste onderzoeken worden gedeeld. Dus bij contra-terrorisme, bijvoorbeeld. Het is goed je te realiseren dat ‘de kabel’ alleen voor de belangrijkste onderzoeken betrokken kan worden. Niet voor radicalisering, economische veiligheid, die soort minder belangrijke onderwerpen.




Geen opmerkingen:

Wegingsnotitie inlichtingendiensten in categorie ‘kantklossen’

Minister-president Rutte,  ‘champions league kantklosser' Na het referendum over de in de volksmond en door sommige media genoem...