Met een nieuwe, tijdelijke wet moeten de Nederlandse inlichtingen- en veiligheidsdiensten sneller en effectiever hacken en wél op grote schaal internetverkeer kunnen aftappen. Het toezicht op de diensten AIVD en MIVD moet „dynamischer” worden. Het toezicht „verschuift”: van goedkeuring vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB) naar meer toezicht tijdens en na afloop van inlichtingenoperaties door de andere toezichthouder, de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD).

Vrijdag ging een langverwachte tijdelijke inlichtingenwet voor een periode van twee weken in consultatie. Voormalig minister Henk Kamp (Defensie, VVD) beklaagde zich begin dit jaar al over de problemen die de AIVD en MIVD ondervinden onder de huidige wet op de inlichtingen- en veiligheidsdiensten (Wiv) uit 2017. „Landen als Rusland en China kunnen doen wat ze willen, maar wij hebben ethische principes en regels.” Door vastgelopen discussies tussen de diensten en de toezichthouders kon ‘kabelinterceptie’ – het op grote schaal aftappen van internetverkeer – in de vier jaar sinds de wet van kracht is slechts zeer beperkt plaatsvinden.

De nieuwe wet – gericht op landen met een „actief cyberprogramma” – moet die problemen oplossen en de diensten beter in staat stellen de nationale veiligheid te bewaken. Het kabinet heeft grote zorgen over de toenemende ‘cyberdreiging’ van landen als China en Rusland die digitale aanvallen op Nederland en Nederlandse belangen uitvoeren, leest een persbericht bij het wetsvoorstel. „Deze cyberdreiging vereist een snelle en effectieve inzet van bestaande bevoegdheden.”

De wijzigingen komen volgens het kabinet neer op een verplaatsing van het toezicht: minder vooraf, meer tijdens en na operaties. Dat past beter bij het werk van de diensten, leest de memorie van toelichting bij het wetsvoorstel: het onderkennen van verborgen dreigingen – „je weet dat ze er moeten zijn, maar ze moeten nog aan het licht worden gebracht”.

De prijs van die verschuiving is dat het toezicht van de CTIVD bindend wordt. De diensten zijn straks verplicht aanwijzingen van die toezichthouder op te volgen. „Dat is echt een grote stap”, zegt Bart Jacobs, hoogleraar informatiebeveiliging en betrokken bij een evaluatie van de wet. „De ministeries en de diensten hebben dat moeten slikken.” Om te voorkomen dat discussies tussen de toezichthouder en de geheime diensten wéér vastlopen, wordt ook een beroepsprocedure bij de Raad van State mogelijk.

Jacobs valt op dat de toon van de inlichtingendiensten is veranderd. „Rond het referendum in 2018 over de inlichtingenwet probeerden ze vooral hun werk klein te maken: ze wilden de indruk schetsen dat het allemaal niet zo ingrijpend was. Nu lichten ze veel nadrukkelijker toe wat ze doen, met realistische voorbeelden.”

Niet zonder risico

Delen van de wetswijziging zijn niet zo controversieel, zegt Jacobs. „In de huidige wet zitten sommige zaken gewoon onhandig in elkaar.” Het gaat vooral over het hacken: hackers verschuilen zich vaak in computers van onschuldige burgers of bedrijven. Als de diensten ook die apparaten willen hacken, hoeven ze daar straks niet langer apart toestemming voor te krijgen van de TIB. Dat is niet zonder risico, merkt Lotte Houwing, beleidsadviseur bij burgerrechtenorganisatie Bits of Freedom, op. „De implicaties daarvan zijn potentieel verstrekkend. Wat gaan de diensten dan doen met de data die ze op die systemen aantreffen?”

Controversiëler zal het sneuvelen zijn van de eis dat inlichtingenoperaties ‘zo gericht mogelijk’ moeten zijn en dat de diensten niet langer toestemming hoeven te krijgen van de TIB voor ‘geautomatiseerde data-analyse’ van de onderschepte kabeldata. Het gerichtheidscriterium was een belangrijke waarborg die het kabinet toevoegde na het referendum over de ‘sleepnetwet’. Dat die eis vervalt bij de toets van de TIB, betekent niet dat deze verdwenen is, zegt Jacobs. „Het wordt later getoetst. Het is aan de CTIVD om vast te stellen of de operaties gericht genoeg zijn.” De TIB mag ook niet langer toetsen op technische risico’s van een hack of het gebruik van zogeheten zero days: onbekende kwetsbaarheden die software makkelijk te hacken maakt. Het is aan de diensten zelf om de risico’s in te schatten, leest de memorie.

De toezichthouders willen nog niet inhoudelijk reageren op het wetsvoorstel. TIB-voorzitter Mariëtte Moussault dreigde eerder met opstappen als er geen zinvolle toets meer uitgevoerd kon worden. Volgens Lotte Houwing wekt het kabinet ten onrechte de indruk dat het toezicht alleen verschuift. „In de praktijk mogen de bevoegdheden breder en ongerichter worden ingezet, terwijl het toezicht wordt afgeschaald. Achteraf controleren betekent dat de schade al geleden is.”