In een reactie op BoF:
https://www.bof.nl/2018/02/16/oud-medewerker-aivd-gaat-de-mist-in-met-de-feiten/#comments
Wet op de inlichtingen- en
veiligheidsdiensten 2017
Terzijde. Het klopt, er bestaat de “Wet
van 3 december 1987, houdende regels betreffende de inlichtingen- en
veiligheidsdiensten” Het is echter moeilijk die wet te vergelijken met de Wiv 2002 en 2017. Vooral de toestemmingen vooraf en
het toezicht achteraf was niet of anders geregeld.
Wet 1987: ” de bevoegdheid om telefoons
te tappen was destijds niet wettelijk geregeld”. Dat gold voor geen enkele
bevoegdheid. Het afluisteren van een telefoon was een strafuitsluitingsgrond in
het Wetboek van Strafrecht, waarin het afluisteren van een telefoon als een
misdrijf werd gekwalificeerd. De uitsluitingsgrond gold specifiek voor de BVD
en er waren voorwaarden aan verbonden, zoals handtekeningen van maar liefst 4
ministers. Binnenlandse Zaken, Justitie en Verkeer en Waterstaat (ivm PTT) en
AZ.
Hacken
Ja! In de nieuwe wet op de inlichtingen- en veiligheidsdiensten (WIV2017)
is hacken ook toegestaan. Dat is een vorm van gerichte interceptie.
Dat is het verschil met OOG-interceptie, de Onderzoeks Opdracht Gerichte
interceptie.
Zowel hacken als OOG verloopt via de kabel, maar de term ongericht geeft
veel onduidelijkheid. Dat is verbasterd tot het sleepnet. Een verkeerde term,
want de AIVD kan niet zomaar met een ‘sleepnet’ het internet afstruinen.
De ongerichte interceptie komt bijvoorbeeld aan de orde als de AIVD
bepaalde ‘kenmerken’ weet die verbonden zijn aan Ddos aanvallen op banken. Dan
kun je dus op bepaalde kabels gaan zoeken naar het opduiken van die - zoals
techneuten dat noemen – ‘signatures’. Dat lukt je niet met hacken.
Wel kun je bij bedreigde instellingen of potentiële targets technische apparatuur aanbrengen die dergelijke aanvallen herkennen. Dat is ook niet ongericht en valt in Nederland onder de C taak, de beveiligingstaak van de AIVD.
Buitenlandse regimes op Nederlandse kabels?
Er moet onderscheid worden gemaakt tussen gerichte en ongerichte
interceptie. Dat laatste is keihard nodig. Denk aan de belangstelling van vele
(buitenlandse) organisaties, landen en regeringen die er moet zijn geweest voor
in de EU verblijvende Syriëgangers die natuurlijk communiceerden met familie,
vrienden en medestanders in hun 'oorlogsland van herkomst'.
Dan is het interessant om te achterhalen langs welke fibers dergelijke
communicatie loopt.
Als je dat lukt? Dan pas kan de volgende stap (met weer speciale
toestemming) worden gezet. Maar de AIVD krijgt geen aftapmogelijkheid gericht
op grote groepen Nederlanders.
Massaal en stelselmatig betaat niet
Wanneer BoF beweert dat met de nieuwe wet er straks
massaal en stelselmatig communicatie kan worden opgevist met een sleepnet,
vraag ik BoF niet alleen wat wordt bedoeld met ‘massaal en stelselmatig’, maar
ik beweer ook dat dit niet kan.
Ten eerste is deze bevoegdheid (met toestemming) simpelweg gekoppeld aan
een onderzoeksopdracht. Ja, natuurlijk wordt er soms veel naar binnen gehaald,
maar dat moet op relevantie worden beoordeeld en als het niet relevant is moet
het worden weggegooid. Ook daarop wordt toezicht uitgeoefend.
Verderop zegt BoF, dat de diensten alle communicatie die langs
de wifi-hotspots van een grote provider in een stad komt, mogen opvissen. Ook
dat kan niet, is te willekeurig, te bewerkelijk dus nauwelijks uitvoerbaar noch
werkbaar. Tijd, middelen, geld en personeel ontbreken simpelweg.
AIVD niet op zoek naar 'onschuldige' en
'schuldige' burgers
Daarnaast heeft BoF (en ook vele andere tegenstanders van
de WIV2017) het steeds over “onschuldige burgers” die niet in het vizier horen
van de geheime diensten.
Dit slaat natuurlijk in wezen nergens op. Veel retoriek. Geldt dit dan
alleen voor ‘schuldige’ burgers? Wie zijn dat? Hoe weet je nu wie schuldig is?
Los van het feit dat het een term is die voor de AIVD niet relevant is.
‘Schuld’ is een strafrechtelijke term.
"Zomaar" gegevens delen bestaat
niet
Een ander misverstand dat de BoF aanhaalt gaat
over gegevens die de geheime diensten binnen halen en on-geanalyseerd kunnen delen
met buitenlandse diensten.
Het delen van dit soort gegevens met buitenlandse diensten gebeurt slechts met
een beperkt aantal diensten, met diensten van wie de AIVD ook informatie
krijgt. Alleen diensten met wie de AIVD - na zorgvuldige weging - heel nauw
samenwerkt en vertrouwt.
Stel, je treft een laptop aan bij een target, dat aankomt op Schiphol, met
3 Terra aan gegevens. Hij komt uit het VK. Moet dan al die informatie op die
laptop eerst worden geanalyseerd? Natuurlijk niet. Je vraagt alles over dat
target aan de samenwerkende diensten in Groot-Brittannië en je kunt (behoort?) de nog niet
geanalyseerde gegevens gewoon alvast delen. Ze zijn namelijk relevant voor het
internationale (CTG-)onderzoek. Waarom? Omdat het target die bij zich had.
Privacy van ondergeschikt belang
Het delen van niet geëvalueerde gegevens wordt steeds besproken in relatie
tot data verkregen uit kabelgewonden interceptie. Maar het gebeurt ook op een
andere manier.
Denk aan de terrorist uit Rotterdam die na een tip van de AIVD werd
gearresteerd. Hij had een laptop bij zich met veel daarop opgeslagen data.
Tegenwoordig kun je meerdere terabytes kwijt op zelfs een extern opslag device.
Al snel bleek er een belangrijke link met een ander land binnen de CTG-groep.
Een land dat al met ernstige aanslagen te maken had gehad. Snelheid is dan
geboden. Dan gaan de NL-autoriteiten natuurlijk niet eerst al die data
analyseren of daar mogelijk iets tussen zit dat betrekking heeft op een
Nederlandse onderdaan. Dan wordt simpelweg alles gedeeld met de collegedienst in
kwestie. In de belangenafweging, terrorismedreiging versus bescherming van de
privacy van Nederlanders, is dat laatste echt van ondergeschikt belang.
De ontvangende dienst moet zich natuurlijk wel aan de afspraken houden over
de voorwaarden waaronder dergelijke informatie wordt verstrekt. Gebeurt dat
niet, dan heeft dat gevolgen voor de samenwerking. Op zichzelf bezien is dat
ook niet zo’n ingewikkeld besluit om te nemen, omdat de laptop in direct
verband stond met dat target en aldus alle informatie op die laptop op dat
moment als relevant kan worden beoordeeld.
Het delen van gegevens is sterk beperkt
Over het delen van nog grotere hoeveelheden data meestal verkregen uit
kabelgebonden interceptie die voorafgaand aan het delen niet uitputtend kan
worden beoordeeld, gelden voor verstrekking natuurlijk dezelfde eisen.
Bovendien zal dat met slechts een beperkter aantal diensten
gebeuren. Die moeten ook eerst door de weging komen (toestemming minister) om
op dat niveau überhaupt voor samenwerking in aanmerking te komen.
Lastig is soms de samenwerking met landen als de VS (Bertholee in College
Tour) en Israël, om er maar even twee te noemen. Die samenwerking vereist zeer
goede afspraken en toezicht op de nakoming daarvan. Dat laatste is weleens
lastig.
Natuurlijk zullen de AIVD en ook de MIVD proberen zoveel mogelijk
Nederlandse kenmerken (e-mailadressen, telefoonnummers) te verwijderen. Maar ook
dan geldt het vertrouwensbeginsel tussen de diensten heel sterk. Mocht een
collega dienst dat vertrouwen beschamen en bij voorbeeld data uit door een
Nederlandse dienst verstrekte dataset verkeerd gebruiken, dan heeft dat
gevolgen.
Uitwisseling vooral bij contra-terrorisme
Dergelijke datasets zullen overigens alleen voor de belangrijkste
onderzoeken worden gedeeld. Dus bij contra-terrorisme, bijvoorbeeld. Het is
goed je te realiseren dat ‘de kabel’ alleen voor de belangrijkste onderzoeken
betrokken kan worden. Niet voor radicalisering, economische veiligheid, die
soort minder belangrijke onderwerpen.
Geen opmerkingen:
Een reactie posten