Toezichtscommissie I&V-diensten dreigde geheime operaties te openbaren

 

Voorzitter toezichthouder Moussault slaat ’zwijgplicht’ in de wind

Zij dreigde geheime operaties te openbaren

Uit het artikel in NRC van dinsdag 4 april 2023 * over de invoering van de nieuwe “Tijdelijke wet cyberoperaties“ blijkt dat de voorzitter van de Toetsingscommissie Inzet Bevoegdheden (TIB), Mariette Moussault, graag had verteld welke verstrekkende operaties de AIVD en de MIVD uitvoeren. Zij vindt een goede discussie over de privacy van burgers belangrijker dan werken voor de staatsveiligheid.

Opmerkelijk voor een toezichthouder van ‘geheime’ diensten is dat Moussault  geen enkel begrip toont voor de ‘zwijgplicht’. Het is ronduit beschamend dat zij pas besluit haar mond te houden nadat haar duidelijk is gemaakt dat er sancties zullen worden toegepast op het openbaar maken van de AIVD- en de MIVD-operaties. 

Dat deze mogelijke openbaring van geheimen, een strafbaar feit, door uitspraken van ministers moesten worden verijdeld is volkomen in strijd met de bewering van het Tweede Kamerlid Renske Leijten (SP) dat deze “onafhankelijke toezichthouder heel goed weet wat wel en niet gezegd kan worden”.

Ondanks de wettelijk opgelegde discretie doet Moussault in deze krant uitlatingen die rechtstreeks uit de mond van een verongelijkt stampvoetend kind hadden kunnen komen. Zij kan nu makkelijk ongecontroleerd kletsen tegenover een ieder die haar verhaal naar believen gelooft en vervolgens dupliceert. NRC citeert haar bittere bewering dat de ‘Tijdelijke wet cyberoperaties’ verdergaande inbreuk op grondrechten van burgers mogelijk maakt.

Op  vragen over welke grondrechten inbeuk wordt gemaakt, antwoordt Moussault in vage bewoordingen: “We spreken meestal over het recht van privacy, maar eigenlijk staat er veel meer op het spel: het recht van meningsuiting, het recht van vrije vergadering. Het gaat om het medische geheim, om de journalistieke vrijheid.”

Het hele land wordt afgeluisterd

Om vervolgens luidkeels te roeptoeteren: “Er gebeuren héle grote dingen in Nederland, maar ik mag u niet zeggen hóe groot.” Dit is te gemakkelijk en ongenuanceerd stennis maken: “De AIVD en MIVD krijgen teveel macht, maar ik mag hier verder niets over zeggen omdat (het) staatsgeheime informatie zou zijn.”

Een ander (oud-)lid van de TIB, Bert Hubert, nota bene een ex-AIVD'er, gooit olie op het door hemzelf ontstoken vuur door zonder enige gene de Tweede Kamer een horrorscenario te schetsen: ‘Het plan is om het hele land af te luisteren’. Een onbetwistbare leugen! 

Moussault stelt dat het debat over de nieuwe “Tijdelijke wet cyberoperaties“ niet goed kan worden gevoerd en vindt een goede discussie over de privacy van burgers belangrijker dan het werk van de staatsveiligheid. Maar ook weer niet zo belangrijk om de consequenties van openbaarmaking van AIVD- en de MIVD-operaties te ondergaan: “(..) ik heb geen zin om vijftien jaar te gaan zitten.”

In de discussie ‘privacy versus veiligheid’ is Moussault vast niet vergeten dat de diensten AIVD en MIVD niet zelf mogen bepalen welke onderzoeken moeten worden uitgevoerd. De regering bepaalt hun onderzoeksgebieden samen met andere ministeries. Dit heet de 'Geïntegreerde Aanwijzing op de Inlichtingen- en Veiligheidsdiensten'. Naar de precieze uitvoering van de werkzaamheden, de modus operandi, blijft het gissen; we moeten tegenstanders niet wijzer maken dan ze al zijn.

TIB schiet haar doel voorbij

Deze Toetsingscommissie zou een onafhankelijke commissie moeten zijn. Zij toetst vooraf of de inzet van specifieke bijzondere bevoegdheden door de AIVD en de MIVD ‘rechtmatig’ is. Praktisch gezien houdt dit onder andere in dat de TIB verzocht wordt toestemming te verlenen voor bijvoorbeeld ‘kabelinterceptie’, waarna de verkregen data, deels en mits opportuun, zouden kunnen worden gedeeld met ‘buitenlandse zusterdiensten’. Soms worden de verzoeken van de diensten door de TIB afgewezen met als reden; een disproportionele inbreuk op de privacy. Maar de TIB is toch geen privacy waakhond?

Wanneer gaat privacy boven cyberdreigingen?

Wordt het een keuze tussen twee goede of twee kwade zaken? Veiligheid of privacy? Uiteindelijk verlangen burgers vooral veiligheid. Door krachtige interventie moet het vertrouwen van de burgers in de overheid groeien. Het wantrouwen in die overheid zal alleen maar toenemen wanneer de privacy door kwaadwillenden, waaronder buitenlandse mogendheden, stelselmatig wordt geschonden. Om deze en andere redenen is het noodzakelijk dat de ‘Tijdelijke wet cyberoperaties’ wordt ingevoerd. Veiligheidsdiensten zijn door wettelijk opgelegde geheimhouding echter aan handen en voeten gebonden en kunnen geen adequate voorlichting geven over de meeste dreigingen die ons boven het hoofd kunnen hangen.

De voorzitter van de TIB, Mariëtte Moussault, weet dit. In deze functie zou zij daarom de veiligheid van Nederland boven haar eigen opvattingen inzake privacy moeten stellen. Zittende en toekomstige leden van de TIB moeten het credo omarmen; “de toezichthouder is meer dan een privacy waakhond”.

Conclusie

Veiligheid van Nederland gaat boven subjectieve opvattingen inzake privacy 

In de aanloop naar de invoering van de ‘Tijdelijke wet cyberoperaties’ had de voorzitter van de Toetsingscommissie Inzet Bevoegdheden (TIB), Mariette Moussault, graag verteld over operaties die de AIVD en de MIVD uitvoeren. Zij vindt dat door deze nieuwe wet de veiligheidsdiensten teveel inbreuk kunnen maken op grondrechten van burgers. Omdat zij door twee ministers is verboden staatsgeheime informatie te verstrekken, maakt zij luidkeels stennis in de media. Zij speelt vals spel omdat zij weet dat de inlichtingendiensten geen adequaat tegenspel kunnen bieden, noch informatie kunnen geven over de werkelijke dreigingen die ons boven het hoofd hangen.

Elke toekomstige  voorzitter van de TIB, zou de veiligheid van Nederland boven de eigen, subjectieve opvattingen inzake privacy moeten stellen. Deze toezichthouder is meer dan een privacy waakhond.

 

* https://www.nrc.nl/nieuws/2023/04/04/mogen-aivd-en-mivd-al-genoeg-of-moet-wet-ruimer-a4161325?s=09

Relaties tussen AIVD en MIVD en private digitale beveiligers

Hoe ver reikt de bewuste strategie voor coöperatie?

Chief Information Security Officers

De overstap van digitale specialisten van AIVD en MIVD naar het nieuwe bedrijf Eye staat niet op zichzelf. Dat is al tientallen jaren het geval. 

Triangular is een recenter voorbeeld en ook Ronald Prins switchte voor de tweede keer van publieke naar private sfeer. Blijven er 'innige relaties' bestaan?

Niet achter de geraniums

De AIVD heeft al sedert de jaren '70/'80, toen nog BVD,  (ex-)werknemers met specifieke technische kennis zien vertrekken naar de private sector; security en andere beveiligingsbedrijven. Vaak waren dat medewerkers die na hun pensioengerechtigde leeftijd de diensten moesten verlaten maar zich te jong voelden om 'achter de geraniums te gaan zitten’. Vervolgens bleken zij in de private sector meestal loyale aanspreekpunten voor de dienst(en): meer betrouwbare ogen en oren in de samenleving is een prettige bijkomstigheid.

De vraag luidt of de AIVD/MIVD bij vertrek van medewerkers afspraken hebben gemaakt met Eye. Zoals bedrijven, opgericht door oud-medewerkers van inlichtingendiensten in de VS en Israël, nog steeds ‘innige relaties’ kunnen onderhouden met de inlichtingendiensten.

Maar waarom zou een inlichtingendienst die zeer goed in staat is om coverfirma's op te bouwen - die op geen enkele wijze een zichtbare link hebben naar de diensten - nu wel verantwoordelijk willen/moeten zijn voor eventueel door de dienst gestuurde activiteiten van personeel van bijvoorbeeld Eye-verzekeringen? 

Jacht- en Visclub

AIVD en MIVD onderhouden verschillende professionele relaties met bedrijven. Ten eerste zijn dat voor de hand liggende contacten met Nederlandse en internationale multinationals, maar ook kleinere bedrijven. Deze contacten bestaan deels om uitvoering te kunnen geven aan de in de Wet op de Inlichtingen- en Veiligheidsdiensten opgenomen C-taak: het bevorderen van veiligheidsmaatregelen tegen concrete of voorstelbare dreigingen bij vitale instanties - van overheid tot bedrijfsleven - die van essentieel belang zijn voor het maatschappelijke leven.

Omdat de veiligheidsdiensten ook inlichtingendiensten zijn gebruiken zij deze contacten ook voor vertrouwelijke gegevensvergaring. Soms wordt structureel samengewerkt in officiële semi-intellectuele bijeenkomsten met lezingen en borrels. Voorbeelden daarvan waren de 'de Jachtclub' en 'de Visclub' door Constant Hijzen genoemd in zijn boek 'Vijandbeelden'.

In ‘de Jachtclub’ zaten beveiligingsambtenaren (BVA's) binnen de overheid, en in ‘de Visclub’ de beveiligingsinspecteurs (BVI's) van bedrijven die onderdeel waren van de vitale industrie. Deze BVA’s en BVI’s doorliepen de basiscursus van de veiligheidsdienst met het doel om het contact met de rest van het overheidsapparaat en het bedrijfsleven te onderhouden. Later speelden deze veiligheidsfunctionarissen een belangrijke rol in het spotten van betrouwbare gesprekspartners in binnen- en buitenland.

Ten tweede zijn er diverse bedrijven en andere organisatievormen -  de zogeheten undercover firma's - die de AIVD en MIVD zelf oprichten om in het geheim te kunnen werken. Waarover hier niets meer!

Triangular en Hunt&Hackett

Tot slot zijn er bedrijven zoals Eye, maar ook andere. Zo noemt Eye onder het kopje ‘vertrouwde partners’ de firma's 'Triangular Group' en 'Cyberveilig Nederland'. Triangular Group Intelligence, onderdeel van Triangular Group is in 2014 opgericht door ex-medewerkers van inlichtingendiensten en Special Forces, Ray Klaassens en Onno van Boven. Ze posten op hun LinkedIn pagina: ‘Wij zijn ontzettend blij met onze nieuwe partner EYE! EYE is een zeer gerenommeerde partij op het gebied van cybersecurity met wortels binnen onze Nederlandse inlichtingendiensten.’

Cyberveilig Nederland is de belangenvereniging van de cybersecurity sector waarin inmiddels een ruime en groeiende achterban van cybersecurity dienstverleners is vertegenwoordigd. 

Deze vereniging is de samensteller van het Cybersecurity Woordenboek. 

Dat Eye Control BV en de Triangular Group nauwe relaties hebben met Cyberveilig Nederland ligt voor de hand. Minder bekend is dat deze vereniging ook twee oud-AIVD'ers in de hoogste gelederen kent.

Ook Ronald Prins, oud-AIVD medewerker, oprichter van Fox-IT en recent lid van de  Toetsingscommissie Inzet Bevoegdheden (TIB), richtte deze maand een nieuw cybersecurity bedrijf (Hunt & Hackett) op. 

Prins: "Ik kan mijn kracht beter inzetten om Nederland via een bedrijf veiliger te maken dan dat ik dan via de overheidszijde kon.” 

Opnieuw zag Prins dat inlichtingendiensten door bestaande wet- en regelgeving gemuilkorfd worden en wil zelf de statelijke actoren Rusland, China en Iran gaan bestrijden. 

Samenwerkingsverbanden van diverse cybersecurity bedrijven hebben vanzelfsprekend blijvende aandacht van onze veiligheidsdiensten. Ongetwijfeld worden er met deze organisaties open en wellicht zelfs zakelijke relaties onderhouden, want dat levert beide partijen voordelen op.

Bedrijven als frontorganisatie?

Samenwerking is al intensief. In een vacature roept de MIVD (dus de militaire inlichtingendienst) op te solliciteren als cybersecurity-professional bij Defensie om relaties met het bedrijfsleven te onderhouden: ‘Defensie werkt samen met tal van Nederlandse en internationale bedrijven. Bij sommige opdrachten krijgen die bedrijven bijzondere informatie en/of staatgeheimen in handen. Als cybersecurity-professional zorg jij dat deze informatie altijd veilig is. Hoe? Door dagelijks in gesprek te gaan met bedrijven en die veiligheid te toetsen. Of dat nu bij de ZZP’ers op een zolderkamer is of met de leider van een multinational… Als een van de weinige medewerkers van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) laat jij je gezicht zien in de commerciële buitenwereld.’

Zoveel wordt duidelijk: wie een mooie entree wil maken in de wereld van digitale beveiliging kan zich als specialist ontwikkelen bij AIVD en MIVD, met een uitstekende opleiding in deze complexe wereld van de cybersecurity. Daarna kunnen ze als volleerde specialisten de lucratieve overstap maken naar het bedrijfsleven.

 Hoe ver reikt de bewuste strategie voor coöperatie?

Een belangrijke reden voor de overgang is ook: bedrijven zijn anders dan AIVD en MIVD niet gebonden aan de strenge voorwaarden van de inlichtingenwet (Wiv 2017). Maar ze vallen net als elk bedrijf of elke burger wel als ‘doelwit’ onder de informantenbevoegdheid (Art. 39 Wiv).  De diensten zijn bevoegd zich (..) te wenden tot (..) eenieder die geacht wordt de benodigde gegevens te kunnen verstrekken.

Maar daarmee hoeven ze niet verloren te zijn voor de nationale veiligheid. Boeiend is de vraag of er sprake is van verdergaande formele samenwerking tussen de diensten en bedrijven. Zo blijft er beslist een band tussen bovengenoemde beveiligingsinstanties en de oude werkgevers AIVD en MIVD. Eens een ‘spion’, altijd een ‘spion’. En de inlichtingenwereld is er niet naar om dat aan de grote klok te hangen.

Eens een ‘spion’, altijd een ‘spion’

Dat geldt zeker voor de volgende intrigerende vraag: zetten de AIVD en MIVD, net als collega’s in de Verenigde Staten en Israël, met de hulp van oud-medewerkers bij bedrijven in gezamenlijkheid een gestructureerd soort van frontorganisatie op teneinde effectiever te kunnen werken dan in louter het overheidsdomein onder een strenge wetgeving?

Bestaat er een interessant programma om specialisten bij de AIVD en MIVD op te leiden voor latere functies in de complexe wereld van de cybersecurity? Cybersecurity instanties die zich niet of nauwelijks aan de Nederlandse inlichtingenwet hoeven te houden en tegelijkertijd ten behoeve van de diensten vallen onder de 'informantenbevoegdheid', artikel 39 WIV.  Ja, want de diensten zijn bevoegd zich (..) te wenden tot (..) eenieder die geacht wordt de benodigde gegevens te kunnen verstrekken.

Er blijft beslist een band tussen bovengenoemde beveiligingsbedrijven in de 'nieuwe wereld' en de oude werkgevers AIVD en MIVD. 

Eens een ‘spion’, altijd een ‘spion’.

Echter de vraag of en hoe deze bedrijven in Nederland operationeel worden ingezet, zal niet worden beantwoord. Vanwege de ‘heilige compartimentering’ binnen de inlichtingendienst zullen slechts weinigen het echt weten. En wat dan nog?

Dit is een bewerking van het artikel in 'Netkwesties' van 2 oktober 2020 

https://www.netkwesties.nl/1460/boeiende-relaties-tussen-aivd-en-mivd.htm