De datadrift van de AIVD

Door technologie is de rem op het verzamelen van informatie door inlichtingendiensten weggevallen. Wordt hiermee de privacy geschonden?

Inlichtingendiensten, zo vertelt hoogleraar informatierecht aan de Universiteit van Amsterdam Nico van Eijk, hebben de natuurlijke neiging om meer te verzamelen dan noodzakelijk is. Function creep, noemt hij het. Geef de AIVD de bevoegdheid om een computer in te breken en na verloop van tijd blijkt dat ze hele computersystemen hacken.

Dat de AIVD de wettelijke bevoegdheid heeft om in te breken op computers om toegang te krijgen tot informatiestromen, noemt Van Eijk begrijpelijk. Zo was dat ook in de wet bedoeld: als een doelwit informatie verborgen houdt, moet de AIVD toegang tot die informatie kunnen krijgen. Maar wat de diensten vervolgens met die toegang zijn gaan doen, is veel relevanter. Van Eijk: „Vroeger zat er een natuurlijke rem op de inzet van speciale bevoegdheden: er was simpelweg geen geld om iedereen in Nederland te tappen, omdat het veel te bewerkelijk was. Door de veranderende techniek is die rem weggevallen. De mogelijkheden zijn eindeloos. En de inlichtingendiensten gaan zelf niet op de rem staan.”

De AIVD gebruikt artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten (de bevoegdheid tot het „binnendringen in een geautomatiseerd netwerk”) om het computersysteem van webfora te hacken en door het installeren van kwaadaardige software kan de dienst vervolgens alle gegevens van de fora ophalen. Bij het binnenhalen van die gegevens maakt de dienst geen onderscheid tussen „targets” en willekeurige bezoekers. Iedereen is daarbij een doelwit. Daar zit de crux volgens Van Eijk. „Hier moet je een grens trekken. Hiermee sla je de weg in richting een surveillancestaat.”

Constant Hijzen, die aan de Universiteit Leiden promoveert op het werk van inlichtingendiensten, vindt deze hackmethode van de AIVD „vrij grof”. Ook hij wijst erop dat willekeurige mensen zo ongewild onder surveillance van inlichtingendiensten komen. Hijzen: „Als alle bezoekers onder de zoekactie vallen, zonder dat je weet wat de identiteiten van die mensen zijn, ga je ongericht te werk. In de redenatie van de AIVD zouden uiteindelijk alle 16 miljoen Nederlanders doelwit kunnen worden.”

Hoogleraar recht in de informatiesamenleving aan de universiteit Leiden Gerrit-Jan Zwenne oordeelt hard over het plaatsen van kwaadaardige software door de AIVD. „We weten te weinig van de AIVD en de MIVD en de inzet van dit soort middelen met een ongelooflijke privacyinbreuk. Het gebruik van deze technieken leidt tot veel macht, terwijl het toezicht daarop zacht gezegd nogal zwak is. De inzet van dit soort technieken zonder controle, betekent dat je een pijler onder de rechtsstaat wegzaagt. Onder het mom van het beschermen van de rechtsstaat, ondermijnt de AIVD diezelfde rechtsstaat.” Volgens één inlichtingenbron is het hacken van webfora al zeker twee jaar staande praktijk bij zowel AIVD als MIVD.