Techniek wint het van de wet

Politici twijfelen of de AIVD wel goed met data omgaat Vandaag adviseert een commissie over verruiming van de spionagewet

Verslaggever

Het afluisterschandaal rond de Amerikaanse geheime dienst NSA heeft het hart van de Nederlandse politiek bereikt. Zaterdag werden in NRC Handelsblad en nrc.next documenten van ex-NSA medewerker Edward Snowden onthuld waaruit blijkt dat de Nederlandse inlichtingendienst AIVD inbreekt op internetfora om daar kwaadaardige software te installeren. Daarmee kunnen de data van alle gebruikers ongezien worden weggesluisd.

In een reactie op het artikel noemde de AIVD ‘verdachte’ webfora een ‘legitiem doelwit’. Het gaat, aldus minister van Binnenlandse Zaken Ronald Plasterk, om jihadisten. Maar uit de verklaring van de AIVD blijkt dat ook andere groepen in de gaten worden gehouden. Misschien gaat het om neonazi’s en gewelddadige dierenactivisten. Maar misschien ook om voetbalhooligans of leden van de hackersgroep Anonymous.

Sinds het uitlekken van het schandaal rond de NSA is dit de zoveelste onthulling die vragen oproept over de manier waarop inlichtingendiensten wereldwijd data van burgers verzamelen, opslaan en analyseren. Spioneren in het internettijdperk heeft Orwelliaanse proporties aangenomen en dat roept steeds meer vragen op, ook bij politici.

Wet verruimen

Het is dan ook niet toevallig dat vandaag een commissie van wijzen onder leiding van de jurist Constant Dessens een rapport presenteert over de vraag of de Nederlandse wet op inlichtingen- en veiligheidsdiensten moet worden aangepast. Waarschijnlijk zal Dessens voorstellen doen om de wet te verruimen. Daardoor wordt het voor Nederlandse veiligheidsdiensten veel gemakkelijker om op grotere schaal ongericht data van internetgebruikers te verzamelen.

Inmiddels is de vraag hoe belangrijk dat nog is. Uit de NSA-stukken blijkt dat de veiligheidsdiensten met andere technieken – het hacken en leegtrekken van computers – ook al grote hoeveelheden data verzamelen. Deze techniek kan bovendien veel gerichter worden toegepast. Uit een document dat NRC vorige week publiceerde, blijkt dat de NSA op meer dan 50.000 punten in de wereld malware heeft geïnstalleerd om ongezien data af te tappen van computernetwerken. Deze zogeheten Computer Network Exploitation (CNE) is goedkoper en doeltreffender dan het aftappen van dikke glasvezelkabels waar ons dataverkeer over wordt getransporteerd.

Sleepnettechniek

Inbreken op webfora, zo lieten de AIVD en minister Plasterk weten, mag op grond van de wet op de Inlichtingen- en Veiligheidsdiensten. In die wet staat dat de diensten „een geautomatiseerd werk” mogen hacken. Maar in de toelichting op die wet uit 2002 staat óók dat het hier om stand-alone computers gaat. Daarmee wordt geïmpliceerd dat het gaat om een geïsoleerd apparaat van een verdachte persoon of organisatie die de geheime dienst wil volgen.

Met het hacken en leegtrekken van webfora gaat de AIVD een stap verder, zo stellen deskundigen. Hier worden de gegevens van vele honderden zo niet duizenden mensen verzameld die helemaal geen doelwit zijn van de geheime dienst. Hoogleraar informatierecht Nico van Eijk stelt dat dit niet is wat de wetgever bedoelde in 2002. Hij noemt de techniek een sleepnet waarmee de gegevens van mensen worden verzameld zonder dat zij verdachte zijn of zich verdacht gedragen. „Dit leidt tot een surveillancestaat.”

Internetfora

Van Eijk kreeg dit weekend bijval van Bert van Delden, voorzitter van het CTIVD – de commissie die toezicht houdt op de Nederlandse veiligheidsdiensten. „In gevallen dat internetfora niet alleen door kwaadwillenden bezocht worden, is de vraag lastiger te beantwoorden of hacken binnen de bevoegdheden van de AIVD valt”, zei Van Delden tegen Nieuwsuur. Zijn commissie onderzoekt deze vraag en rapporteert begin volgend jaar.

Met zijn antwoord maakt Van Delden duidelijk waar het debat over privacy naar toegaat. De praktijk van de inlichtingendiensten is door de komst van nieuwe informatietechnologie snel veranderd. Dát veiligheidsdiensten grote hoeveelheden data verzamelen, staat vast. Dat dat op sommige momenten gerechtvaardigd is, ook. De vraag is echter hoe veiligheidsdiensten in de praktijk omgaan met de gegevens van gewone burgers die geen kwaad in de zin hebben.

Over die praktijk is weinig of niets bekend. Het verklaart de permanente onrust in de Tweede Kamer en de groeiende roep om een parlementaire enquête naar de wijze waarop privacy van gewone burgers wordt gewaarborgd in het tijdperk van internetspionage.

    • Jan Meeus