Geheime diensten wissen via hacken verkregen data niet

Volgens de toezichthouder hebben de diensten “geen beleid, laat staan werkwijzen” om verzamelde gegevens na verloop van tijd weer te vernietigen.

Exterieur van de Algemene Inlichtingen- en Veiligheidsdienst in Zoetermeer. Robin van Lonkhuijsen / ANP

De Nederlandse inlichtingendiensten AIVD en MIVD verzuimen structureel gegevens te vernietigen die ze hebben verkregen door te hacken. Daarmee handelen ze onrechtmatig, schrijft de toezichthouder van de geheime diensten CTIVD dinsdag in een rapport.

De AIVD en de MIVD mogen van de wet bijvoorbeeld smartphones of e-mailaccounts van ‘targets’ hacken, als ze toestemming krijgen van de minister. Dat kan gaan om apparaten die fysiek in beslag worden genomen, maar ook hacken op afstand. Bij het bewaren van gegevens moeten ze zich volgens een toezegging in de Tweede Kamer uit 2014 houden aan maximale bewaartermijnen. De toezichthouder schrijft dat zowel de AIVD als de MIVD:

“in het geheel geen beleid, laat staan werkwijzen heeft om verzamelde gegevens al dan niet na verloop van tijd te vernietigen.”

De conclusie roept vragen op, mede omdat de Tweede Kamer in februari akkoord is gegaan met een nieuwe wet op de inlichtingendiensten. De geheime diensten krijgen daarbij met grote hoeveelheden data te maken. De AIVD en MIVD mogen volgens het wetsvoorstel data van burgers via de kabel in bulk te onderscheppen, een techniek die door critici ook wel ‘sleepnet’ wordt genoemd.

Het kan bijvoorbeeld gaan over Facebookverkeer tussen Nederland en Syrië of het aftappen van een bepaalde wijk voor een bepaalde periode. Enorme hoeveelheden persoonlijke data die daarmee worden vergaard - met veel bijvangst van onschuldige burgers - moeten ze binnen drie jaar vernietigen. Naast het in bulk onderscheppen van gegevens mogen de diensten volgens het voorstel ook hacken via servers van niet-verdachte buitenstaanders om bij hun doelwit te komen. De Eerste Kamer moet zich nog buigen over het wetsvoorstel.

Zero days

De geheime diensten gaan volgens de toezichthouder ook onzorgvuldig om met zogeheten zero days. Dat zijn voor de fabrikant onbekende fouten in programmeercode van software die als ingang gebruikt kunnen worden voor hackers. Hacken via zero days is omstreden omdat zolang een kwetsbare plek niet ‘gedicht’ wordt, criminelen deze ingangen in software mogelijk ook weten te vinden. Geheime diensten mogen wettelijk hacken via zero days, maar helder beleid over het achteraf melden van dit soort zwakke plekken bij de fabrikant ontbreekt, schrijft de toezichthouder.

De CTIVD concludeert verder dat de geheime diensten doorgaans weloverwogen en volgens de wet te werk gaan bij de keuze voor het hacken en ze zouden zich goed bewust zijn van dat ze ingrijpen in de persoonlijke levenssfeer van de target.

Ministers Plasterk (Binnenlandse Zaken) en Hennis-Plasschaert (Defensie) schreven dinsdag aan de Tweede Kamer de aanbevelingen van de CTIVD over te nemen.