Oud-medewerker AIVD gaat de mist in met de feiten
Oud-medewerker van de AIVD Kees Jan Dellebeke mengt zich regelmatig in het publieke debat over de nieuwe wet voor de geheime diensten. We zijn het meestal niet met elkaar eens, maar waarderen het zeer dat hij bereid is om zo actief aan het publieke debat deel te nemen en zijn positie in opiniestukken en debatten te verdedigen.
Foto: Simon P. Little
Toch moeten we naar aanleiding van zijn opiniestuk op Netkwesties even ingrijpen en een aantal onjuistheden en misverstanden die hierin staan rechtzetten…
Sleepnet niet beperkt tot gedragsgegevens
“BoF stelt dat in de Wiv is geregeld dat er ‘bijvoorbeeld ongefilterde communicatie tussen een stad als Utrecht en Syrië wordt onderschept, waarbij telefoongesprekken van onschuldige (!) burgers worden afgeluisterd en e-mailtjes meegelezen’. Nee, providers verstrekken slechts metadata, telefoonnummers en IP-adressen, niet de inhoud van gesprekken of van e-mails!”
Hier gaat Dellebeke de mist in. In tegenstelling tot wat hij suggereert is het sleepnet (of OOG-interceptie zoals voorstanders van de nieuwe wet het liever zelf noemen) niet beperkt tot het onderscheppen van ‘metadata’, ook wel gedragsgegevens genoemd. Laten we even de letterlijke tekst uit de wet zelf erbij pakken:
Artikel 48, lid 1
De diensten zijn bevoegd tot het met een technisch hulpmiddel onderzoeksopdrachtgericht aftappen, ontvangen, opnemen en afluisteren van elke vorm van telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk ongeacht waar een en ander plaatsvindt,(…)
De wettekst is wat dat betreft glashelder: elke vorm van telecommunicatie, dus zowel de inhoud als de metadata, mogen de geheime diensten onderscheppen. Ook de toelichting bij de wet, de Memorie van Toelichting, is glashelder.
Memorie van Toelichting (p. 97) bij de wet:
In het kabinetsstandpunt is voorts aangegeven dat het gebruik van de geïntercepteerde telecommunicatie zowel kan zien op de desbetreffende metadata («verkeersgegevens») als op de inhoud van de telecommunicatie.
Wat Dellebeke stelt in zijn opiniestuk klopt dus niet.
Impact van het sleepnet vele male groter dan tappen satellietcommunicatie
“BoF stelt ook dat de diensten nu meer gegevens mogen binnenhalen dan voorheen. Dat ‘voorheen’ is betrekkelijk: ze mochten sinds 2002 al massaal data via de ether binnenhalen, maar communicatie verloopt meer en meer via kabels. Het verloren terrein mag, ter compensatie, worden aangevuld door interceptie op de kabel.”
De geheime diensten mogen inderdaad onder de huidige wet ongericht communicatie onderscheppen via de ether. Maar de hoeveelheid en aard van de gegevens die via de ether kan worden binnengehaald is echt van een andere orde dan de gegevens die via de kabel (lees: het internet) kunnen worden verzameld.
Allereerst richt de tapmogelijkheid via de ether zich in het bijzonder tot communicatieverkeer dat via satellieten verloopt. Het tappen van satellietcommunicatie wordt klaarblijkelijk (p. 92-93) met name ingezet om buitenlands communicatieverkeer te onderscheppen. Met het sleepnet wordt het straks ook mogelijk om op grote schaal en stelselmatig communicatie via de kabel (lees: internet) in Nederland te onderscheppen.
Daarnaast zorgt de voortdenderende digitalisering ervoor dat steeds meer aspecten van ons leven direct of indirect verweven zijn met het internet. De hoeveelheid gegevens die over de kabel gaat neemt dagelijks alleen maar toe en die gegevens geven een steeds intiemere kijk in ons privéleven. Dat is totaal onvergelijkbaar met de situatie in 2002 en totaal onvergelijkbaar met de inbreuk die satellietinterceptie oplevert. De impact van het sleepnet is dus vele male groter dan het onderscheppen van satellietcommunicatie.
Get your facts straight
“Vóór het jaar 2002 was er helemaal geen wet en moesten de diensten in het geheim, soms met toestemming van de minister vooraf maar nauwelijks controle achteraf, operaties opzetten voor de bestrijding van terrorisme.”
Dat klopt niet. Ook voor het jaar 2002 was er een wet voor de geheime diensten, te weten de “Wet van 3 december 1987, houdende regels betreffende de inlichtingen- en veiligheidsdiensten” oftewel de Wiv 1987.
En om dan maar even echt compleet te zijn: in 1993 werd deze wet nog op onderdelen gewijzigd. Saillant detail: de Raad van State oordeelde in 1994 dat de wet uit 1987 in strijd was met het Europees Verdrag tot bescherming van de Rechten van de Mens. Deze uitspraak van de Raad van State was dan ook de directe aanleiding (p. 4) om de wet uit 1987 te vervangen voor de huidige wet (Wiv 2002).
“Wanneer het ‘analoge’ werk van de BVD van de vorige eeuw wordt afgezet tegen het ‘digitale’ van de AIVD anno 2018, is duidelijk dat nu wel wettelijk is vastgelegd wat de diensten vóór 2002 in het geheim op eigen houtje deden.”
Dit klopt wederom dus niet. Ook vóór 2002 was er een wet waar de geheime diensten zich aan moesten houden. Dat die wet in strijd was met internationaal recht en Nederland dus genoodzaakt was om met een nieuwe wet te komen, staat wel vast. En dat ook deze wet, de wet uit 2002, inmiddels niet meer voldoet aan de minimumnormen van het Europees Verdrag voor de Rechten van de Mens, is ook geen verrassing.
Rob den Hertogh
Waar zijn wij eigenlijk mee bezig, want het is en blijft vechten tegen de bierkaai!
B@S
Hulde dus aan BOF an andere organisaties dat ze blijven vechten voor onze grondrechten.
Zie jij heden ten dage nog ergens een bierkaai? 🙂
Criticaster Paul
In de politiek heeft: zeggen en doen statistisch weinig relatie. Bij de geheime diensten weet je zeker dat wat ze zeggen maar het topje van de ijsberg is en waarschijnlijk niet klopt!
1984 was after and before!!
Revolution please ONCE more!!!
keesjan dellebeke
Het klopt, er bestaat de “Wet van 3 december 1987, houdende regels betreffende de inlichtingen- en veiligheidsdiensten” Het is moeilijk wetten onderling te vergelijken.
Wiv 2002 en 2017 vergelijken ligt wel voor de hand.
Wet 1987: ” de bevoegdheid om telefoons te tappen was destijds niet wettelijk geregeld”. Dat gold voor geen enkele bevoegdheid. Het afluisteren van een telefoon was een strafuitsluitingsgrond in het Wetboek van Strafrecht, waarin het afluisteren van een telefoon als een misdrijf werd gekwalificeerd. De uitsluitingsgrond gold specifiek voor de BVD en er waren voorwaarden aan verbonden, zoals handtekeningen van maar liefst 4 ministers. Binnenlandse Zaken, Justitie en Verkeer en Waterstaat (ivm PTT) en AZ.
Ja! In de nieuwe wet is hacken ook toegestaan, dat is een vorm van gerichte interceptie. Dat is het verschil met OOG-interceptie. Onderzoeks Opdracht Gerichte interceptie.
Zowel hacken als OOG verloopt via de kabel, maar de term ongericht geeft veel onduidelijkheid. Dat is verbasterd tot het sleepnet. Een verkeerde term, want de AIVD kan niet zomaar met een ‘sleepnet’ het internet afstruinen.
De ongerichte interceptie komt bijvoorbeeld aan de orde als de AIVD bepaalde ‘kenmerken’ weet die verbonden zijn aan recentelijke Ddos aanvallen op banken. Dan kun je dus op bepaalde kabels gaan zoeken naar het opduiken van die – zoals techneuten dat noemen – ‘signatures’. Dat lukt je niet met hacken.
Wel kun je bij bedreigde instellingen of potentiële targets technische apparatuur aanbrengen die dergelijke aanvallen herkennen. Dat is ook niet ongericht en valt in Nederland onder de C taak, de beveiligingstaak van de AIVD.
Er moet onderscheid worden gemaakt tussen gerichte en ongerichte interceptie. Dat laatste is keihard nodig. Denk aan de belangstelling van vele (buitenlandse) organisaties, landen en regeringen die er moet zijn geweest voor uit de EU afkomstige Syriëgangers die natuurlijk communiceerden met familie, vrienden en medestanders in de oorlogslanden van herkomst.
Dan is het interessant om te achterhalen langs welke fibers dergelijke communicatie loopt.
Als je dat lukt? Dan pas kan de volgende stap worden gezet. Maar de AIVD krijgt geen aftapmogelijkheid gericht op grote groepen Nederlanders.
Wanneer BoF beweert dat met de nieuwe wet er straks massaal en stelselmatig communicatie kan worden opgevist met een sleepnet, vraag ik BoF niet alleen wat wordt bedoeld met ‘massaal en stelselmatig’, maar ik beweer ook dat dit niet kan.
Ten eerste is deze bevoegdheid (met toestemming) simpelweg gekoppeld aan een onderzoeksopdracht. Ja, natuurlijk wordt er soms veel naar binnen gehaald, maar dat moet op relevantie worden beoordeeld en als het niet relevant is moet het worden weggegooid. Ook daarop wordt toezicht uitgeoefend.
Verderop zegt BoF, dat de diensten alle communicatie die langs de wifi-hotspots van een grote provider in een stad komt, mogen opvissen. Ook dat kan niet, is te willekeurig en is bovendien onwerkbaar.
Tot slot heeft BoF en ook vele andere tegenstanders) het steeds over “onschuldige burgers” die niet in het vizier horen van de geheime diensten.
Dit slaat natuurlijk in wezen nergens op. Veel retoriek. Geldt dit dan alleen voor ‘schuldige’ burgers? Wie zijn dat? Hoe weet je nu wie schuldig is?
Los van het feit dat het een term is die voor de AIVD niet relevant. ‘Schuld’ is een strafrechtelijke term.
Een ander misverstand dat de BoF aanhaalt gaat over gegevens die de geheime diensten binnen halen en on-geanalyseerd kunnen delen met buitenlandse diensten.
Een opmerking vooraf.
Het delen van dit soort gegevens met buitenlandse diensten gebeurt slechts met een beperkt aantal diensten, met diensten van wie de AIVD ook informatie krijgt. Alleen diensten met wie de AIVD – na zorgvuldige weging – heel nauw samenwerkt en vertrouwt.
Stel, je treft een laptop aan bij een target dat aankomt op Schiphol, met 3 Terra aan gegevens. Hij komt uit het VK. Moet dan al die informatie op die laptop eerst worden geanalyseerd? Natuurlijk niet. Je vraagt alles over dat target aan de samenwerkende diensten in Groot-Brittannië je kunt de nog niet geanalyseerde gegevens gewoon alvast delen. Ze zijn namelijk relevant voor het internationale (CTG-)onderzoek. Waarom? Omdat het target dat bij zich had.
Verder nog.
Het delen van niet geëvalueerde gegevens wordt steeds besproken in relatie tot data verkregen uit kabelgewonden interceptie. Maar het gebeurt ook op een andere manier.
Denk aan de terrorist uit Rotterdam die na een tip van de AIVD werd gearresteerd. Hij had een laptop bij zich met veel daarop opgeslagen data. Tegenwoordig kun je meerdere terrabytes kwijt op zelfs een extern opslagdevice. Al snel bleek er een belangrijke link met België, een land binnen de CTG-groep dat al met ernstige aanslagen te maken had gehad. Snelheid is dan geboden. Dan gaan de NL-autoriteiten natuurlijk niet eerst al die data analyseren of daar mogelijk iets tussen zit dat betrekking heeft op een Nederlandse onderdaan. Dan wordt simpelweg alles gedeeld met de Belgische collegedienst. In de belangenafweging, terrorismedreiging in België versus bescherming van de privacy van Nederlanders, is dat laatste echt van ondergeschikt belang.
De ontvangende (Belgische) dienst moet zich natuurlijk wel aan de afspraken houden over de voorwaarden waaronder dergelijke informatie wordt verstrekt. Gebeurt dat niet, dan heeft dat gevolgen voor de samenwerking. Op zichzelf bezien is dat ook niet zo’n ingewikkeld besluit om te nemen, omdat de laptop in direct verband stond met dat target en aldus alle informatie op die laptop op dat moment als relevant kan worden beoordeeld.
Over het delen van nog grotere hoeveelheden data meestal verkregen uit kabelgebonden interceptie die voorafgaand aan het delen niet uitputtend kan worden beoordeeld, gelden voor verstrekking natuurlijk dezelfde eisen. Bovendien zal dat met slechts een beperkter aantal diensten gebeuren. Die moeten ook eerst door de weging komen (toestemming minister) om op dat niveau überhaupt voor samenwerking in aanmerking te komen.
Lastig is soms de samenwerking met landen als de VS (Bertholee in College Tour) en Israël, om er maar even twee te noemen. Die samenwerking vereist zeer goede afspraken en toezicht op de nakoming daarvan. Dat laatste is weleens lastig.
Natuurlijk zullen de AIVD en ook de MIVD proberen zoveel mogelijk Nederlandse kenmerken (emailadressen, telefoonnummers) te verwijderen. Maar ook dan geldt het vertrouwensbeginsel tussen de diensten heel sterk. Mocht een collegedienst dat vertrouwen beschamen en bij voorbeeld data uit door een Nederlandse dienst verstrekte dataset verkeerd gebruiken, dan heeft dat gevolgen.
Dergelijke datasets zullen overigens alleen voor de belangrijkste onderzoeken worden gedeeld. Dus bij contra-terrorisme, bijvoorbeeld. Het is goed te realiseren dat ‘de kabel’ alleen voor de belangrijkste onderzoeken betrokken kan worden. Niet voor radicalisering, economische veiligheid, dat soort minder belangrijke onderwerpen.
David Korteweg
Allereerst dank voor je uitgebreide en inhoudelijke reactie. Discussie op de inhoud juichen we toe. Toch zijn we het op inhoudelijke punten niet met elkaar eens. Zie hieronder mijn reactie:
Gelukkig zijn we het daar over eens. De wet ui 1987 was inderdaad erg summier en is met de wet in 2002 substantieel gewijzigd. Dit was destijds ook noodzakelijk. De wet uit 2002 en de nieuwe wet uit 2017 lijken inderdaad op meer punten op elkaar. De nieuwe wet is op onderdelen zeker een verbetering ten opzichte van de wet uit 2002 maar schiet op een aantal onderdelen ook tekort. Welke onderdelen dat volgens ons zijn, mag inmiddels wel duidelijk zijn.
Niet voor niets oordeelde de Raad van State dat die wet uit ‘87 in strijd was met het EVRM. Het is inmiddels lang en breed geldend recht dat wanneer er sprake is van een privacy-inmenging door de overheid, waaronder de geheime diensten, artikel 8 EVRM vereist dat deze inmenging bij wet moet zijn voorzien en dat men niet zomaar wegkomt met een heel breed en algemeen geformuleerde bevoegdheid (of strafuitsluitingsgrond) zonder goede wettelijke en procedurele waarborgen. Dat geldt in het bijzonder als het gaat om bevoegdheden die in het geheim worden ingezet, wat bij de geheime diensten uiteraard het geval is.
Zie commentaar hierboven. Hacken is echt een ander middel dan tappen. Voor wat betreft de term sleepnet, zie ook deze blog met uitleg over het gebruik van die term. Iedereen is erbij gebaat als het beestje bij de naam genoemd wordt. De nieuwe wet gaat weliswaar over meer dan alleen het sleepnet, maar de belangrijkste wijziging is toch wel de enorme uitbreiding van de aftapmogelijkheden van de geheime diensten. We noemen de nieuwe mogelijkheid voor de geheime diensten om op grote schaal en stelselmatig (online) gegevens te verzamelen van grote groepen mensen om daar vervolgens in te zoeken een sleepnet. We doen dit omdat het goed te vergelijken is met deze manier van vissen. Het grote nadeel van deze methode is dat je behalve het doelwit waar je naar vist ook een heleboel bijvangst hebt die niet in het net thuishoort. Die bijvangst bestaat uit de gegevens van onschuldige burgers en die kan bovendien, zonder dat de gegevens geëvalueerd zijn, uitgewisseld worden met buitenlandse geheime diensten.
Wij hebben nooit gezegd dat het sleepnet ‘zomaar’ of ‘willekeurig’ kan worden ingezet. Het gaat ons juist om het massale en stelselmatige karakter.
De aard van het sleepnet c.q. OOG-interceptie neemt onherroepelijk met zich mee dat je bij het onderscheppen van communicatie die bijvoorbeeld over ‘een fiber’ van een bepaalde aanbieder loopt ook de communicatie binnenhaalt van burgers die geen doelwit van de diensten zijn.
Die vraag kan beter aan het kabinet gesteld worden. De voormalige ministers Plasterk en Hennis gaven namens het kabinet Rutte-II tijdens de plenaire behandeling in de Tweede Kamer zelf expliciet aan dat bij het sleepnet (OOG-interceptie) “[…] wel degelijk stelselmatig en op een zekere (grote) schaal data worden vergaard en geanalyseerd. Dit op voorhand uit te sluiten miskent de aard van [het sleepnet].”
De formulering van een onderzoeksopdracht richt zich niet specifiek op doelwitten maar zal veelal ruimer en meer thematisch (“onderzoek naar terugkeerders vanuit land X”) geformuleerd zijn. De binnengehaalde gegevens moeten inderdaad op relevantie beoordeeld worden, maar daarvoor krijgt men wel drie jaar de tijd en binnen die drie jaar kunnen de gegevens ongeëvalueerd, dus zonder dat ze op relevantie zijn geselecteerd, aan buitenlandse diensten worden verstrekt.
Dit is een concreet voorbeeld waar voormalig minister Plasterk notabene zelf mee kwam. Zie: https://nos.nl/artikel/2100411-plasterk-denkt-na-over-aftappen-chat-apps-en-wifi-hotspots.html. Waarom zou dit volgens de wet niet kunnen als het wel binnen de reikwijdte van “de onderzoeksopdracht” valt?
Met onschuldige burgers hebben we het uiteraard niet over mensen die niet schuldig zijn in strafrechtelijke zin. Het strafrecht heeft gelukkig niet het alleenrecht op de betekenis van het woord ‘schuld’ of ‘onschuld’. ‘Schuld’ is evengoed een civielrechtelijke term en buiten de juridische koker heeft het nog vele andere betekenissen. Door te spreken over ‘onschuldige burgers’ wordt zonder onnodig gebruik van jargon duidelijk gemaakt dat met de nieuwe interceptiebevoegdheid ook de gegevens van burgers die geen doelwit van de diensten zijn als bijvangst worden binnengehaald.
De wet is helder: ongeëvalueerde gegevens kunnen ook verstrekt worden aan buitenlandse diensten waarmee de AIVD helemaal geen samenwerkingsrelatie heeft. Zie artikel 64 Wiv 2017.
Dat relevante gegevens, onder strikte voorwaarden, gedeeld worden met buitenlandse diensten begrijpen we en daar zijn we ook niet principieel op tegen.
Het is juist die combinatie van het op grote schaal onderscheppen van communicatie met het sleepnet én de mogelijkheid om de vergaarde gegevens ongeëvalueerd te delen met het buitenland wat zo problematisch is. Ook Prof. Abels, die we toch een voorstander van de nieuwe wet kunnen noemen, heeft hierop grote kritiek.
Als al die gegevens als relevant kunnen worden beoordeeld, dan hebben we te maken met een andere situatie. Zie vorige commentaar.
Nergens uit de wet of openbare beleidsregels volgt dat deze gegevens met een beperkter aantal diensten zal worden gedeeld.
Zo’n vernauwing van de mogelijkheid om datasets te delen kan ik zeker volgen, maar volgt niet uit de wet, toelichting of openbare beleidsregels van de diensten zelf. Er is dan ook geen enkele aanleiding om aan te nemen dat een dergelijke beperking ook echt geldt.
keesjan dellebeke
Heel langzaam komen standpunten van de juridisch, theoretische buitenstaander en praktische uitvoerder van de dienst zelf, een beetje tot elkaar.
Hierin wreekt zich ook de theorie ‘het mag’ en ‘het staat in de wet’ en de praktijk ‘het mag, maar wij doen en/of kunnen het niet.’
Ook in heel veel andere wetten staan theoretische mogelijkheden die nooit worden gepraktiseerd. Heel simpel; een politieman heeft een wapen en hij mag schieten. Maar, wanneer doet hij dat of moet hij dat doen, dat is een ander praktisch verhaal.
Samen eens dat hacken iets anders is dan tappen, dat is op uitgebreide schaal terug te vinden op het internet. Interceptie is slechts woordgebruik.
Jammer dat een minister van BZK, Plasterk, met regelmaat wordt geciteerd omdat hij minister is terwijl de beste man er zelf niets van snapte. Geen goede graadmeter, deze man, naar mijn mening.
Als het zo is dat er ‘een enorme uitbreiding van de aftapmogelijkheden ontstaat, wordt vergeten dat de vaardigheden van kwaadwillenden hiervan de oorzaak en de noodzaak zijn. Bovendien zal door het opdrogen van de oude mogelijkheden tot interceptie moeten worden gecompenseerd: de netto opbrengst voor de AIVD zal na ‘afvalscheiding'(95%) niet veel groter zijn dan 15 jaar geleden.
Ook onder de WIV2002 werd bij het onderscheppen van communicatie ook gegevens als bijvangst binnengehaald en verwijderd. In de WIV2017 is ook daar meer toezicht op.
Wat is mis om een archief aan te leggen van binnengehaalde gegevens? Tot ergernis van heel veel journalisten en nog veel meer (universitaire) onderzoekers zijn de archieven van de geheime diensten al jarenlang zo gesloten als een pot, ergo veilig voor buitenstaanders.
Daarnaast bieden (nationale) archieven (ook bij redacties van media en universiteiten) een fantastische en helaas ook broodnodige basis voor het verrichten van betrouwbaar werk. Dus drie jaar is kort.
Over het verstrekken van gegevens aan buitenlandse diensten verwijs ik naar min eerder commentaar. Ja, het moet kunnen in bepaalde zwaarwegende zaken, daarom in de wet opgenomen, Het is zeker usance weet ik uit ervaring.
Het is intern beleid voorzichtig om te gaan met het verstrekken van gegevens aan andere diensten, zelfs al staat dat niet in de wet. Integriteit bestaat ook binnen de muren van de diensten.
Afrondend, het onderling begrip tussen theoretici en practici moet beter. Discussie als deze dragen daartoe bij.
Slordig dat de overheid nauwelijks van zich laat horen, al zal volledige eensgezindheid over dit onderwerp ook dan uitgesloten blijken.
keesjan dellebeke
Correctie:
Over het verstrekken van gegevens aan buitenlandse diensten verwijs ik naar min eerder commentaar. Ja, het moet kunnen in bepaalde zwaarwegende zaken, daarom is de mogelijkheid in de wet opgenomen, Het is zeker GEEN usance weet ik uit ervaring.