Bert Hubert, toezichthouder op de geheime diensten, legt zijn functie neer vanwege grote zorgen over een aanstaande inlichtingenwet. Hubert was sinds 2019 de technische expert van de Toetsingscommissie Inzet Bevoegdheden (TIB). De TIB keurt vooraf hacks, kabeltaps en andere gevoelige operaties van inlichtingendiensten AIVD en de MIVD goed.
Hubert, een software-ontwikkelaar met een verleden bij de AIVD, schrijft vrijdag in zijn ontslagbrief aan premier Mark Rutte (VVD) dat hij „als persoon” moeite heeft met de voorgestelde uitbreidingen van de bevoegdheden van de diensten én zich af te vragen hoe zinvol de controle van de TIB onder de nieuwe wet nog zal zijn. „De diensten krijgen veel ruimere bevoegdheden en daar voel ik me niet goed bij”, zegt hij in een toelichting op zijn vertrek tegen NRC. „Die gaan veel te ver.”
De ministeries van Binnenlandse Zaken en Defensie willen met een nieuwe wet de inlichtingendiensten effectiever maken door bijvoorbeeld het aftappen van internetkabels en het hacken van apparaten makkelijker te maken. De wet is tijdelijk en geldt alleen voor operaties die gericht zijn tegen landen met „offensieve cyberprogramma’s” zoals China en Rusland.
Het toezicht op de diensten wordt ingrijpend gewijzigd: de toets vooraf wordt beperkt en in plaats daarvan moet de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) tijdens en na operaties in de gaten houden of de diensten zich aan de wet houden. Dat zou sneller en ‘dynamischer’ zijn en beter passen bij het werk van de diensten, vindt het kabinet. Deze maand moet het wetsvoorstel naar het parlement gaan.
Verantwoordelijke ministers Hanke Bruins Slot (Binnenlandse Zaken, CDA) en Kajsa Ollongren (Defensie, D66) spreken over een verschuiving van het toezicht op de diensten. Van een verschraling van het toezicht is volgens hen geen sprake. Deelt u dat oordeel?
„Eén van de grootste problemen in dit wetsvoorstel is dat de AIVD en MIVD onder de nieuwe wet iedere internetkabel een jaar lang af mogen luisteren, met als enige opgave van reden dat ze graag willen weten wat voor communicatie daarover gaat. Dat is een compléte verschraling van het toezicht. Een toezichthouder die straks de wet volgt, kan heel moeilijk paal en perk aan het tappen stellen. Ik noem het een zelflikkend ijsje: de wet voor het tappen is zijn eigen grondslag geworden – we mogen het doen omdat het in de wet staat. Nu moeten de diensten aan de TIB uitleggen waarom ze een kabel interessant vinden, omdat er bijvoorbeeld internetverkeer op zit naar een specifiek gebied, of van interessant personen.
:format(webp)/s3/static.nrc.nl/bvhw/files/2022/01/data80285785-543d88.jpg)
„Een toets vooraf is ook vrij efficiënt. Vergelijk het met een bouwvergunning. Je vraagt aan de gemeente of je een halve meter beton mag storten. De gemeente zegt dan: dat is prima zolang het beton niet dikker wordt dan dat. Toezicht achteraf is veel meer werk. Straks loopt de toezichthouder op de bouwplaats rond en moet het zelf vragen gaan stellen of onderzoek doen: hoe dik is het beton? Waarom is het eigenlijk zo dik? Als de vergunning ondeugdelijk is, omdat er informatie ontbreekt, kan de gemeente ook aan de burger vragen om zijn verzoek opnieuw te doen. Bij de diensten kan dat straks niet meer. Ingrijpen kan pas als het beton er al ligt.”
U heeft zelf gewerkt bij de AIVD. Toch zegt u: de verruiming van bevoegdheden gaat me te ver.
„Je kan altijd zeggen: met oneindige bevoegdheden zou een dienst de wereld veiliger kunnen maken. Maar je moet een balans zoeken: hoeveel inbreuk op de privacy en de persoonlijke levenssfeer willen we hebben? In de huidige wet (de Wet op de inlichtingen- en veiligheidsdiensten uit 2017) zit het met die balans wel goed. Die wet is ruim, bevat flinke bevoegdheden, en daar moet dus stevig toezicht op worden gehouden.
„Juist omdat wij nu afwegingen maken, kan er nu een hoop als dat moet. Ik noem dat het Bataclan-criterium: we worden doodgeschoten op straat dus vinden we de nood nu zo hoog dat we dingen toestaan die normaal niet zouden kunnen. Je kan je voorstellen dat rond een inval in Oekraïne ook een hoop overwegingen de andere kant uit kunnen vallen. En als je dan nu aankomt met een wet waardoor de diensten iedere kabel, zonder opgaaf van reden uit de grond kunnen trekken om er een jaar lang een kopie van te maken. Dan denk ik: wat zijn we aan het doen?”
Er wordt straks veel te veel verzameld?
„Voor de diensten is het onderscheid tussen wat ze verzamelen en wat ze gebruiken heel fundamenteel – het stelsel van de binnenbak (wat ze gebruiken voor hun onderzoeken) en de buitenbak (wat ze verzamelen). De diensten menen dat je pas afgeluisterd bent als je data in de binnenbak zit. Dat resoneert niet in de buitenwereld, maar het is wel waar: de diensten kijken – tot nu toe – weinig in de buitenbak.
„ In de nieuwe wet, dat is nog zo’n dingetje, staat dat de computer van de diensten wél naar al die verzamelde gegevens kan kijken, dat heet dan geautomatiseerde data-analyse. En de TIB gaat daar niet meer over. Het spannende is dat niemand nog weet wat die geautomatiseerde data-analyse inhoudt. Het verzamelen van data waar je niks mee doet heeft wel degelijk risico’s. Kijk naar het nieuws van deze week: een oud-AIVD’er stond voor de rechter omdat hij 102 computers mee had genomen en KPN kreeg een boete van 450.000 euro omdat de tapkamer onvoldoende beveiligd was. En vergeet niet: alle inlichtingendiensten zijn wel eens gehackt.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data84120588-f458b4.jpg)
„Wat ook zo fascinerend is: twee jaar geleden zegt het Europese Hof van Justitie dat het opvragen van de telefoongegevens ook door een TIB getoetst moet worden. Dat was een nieuw inzicht, want bij iemands telefoongegevens zitten ook de locaties van de zendmasten. Als je de telefoongegevens opvraagt, ben je eigenlijk iemand digitaal aan het volgen. Dat moet opgenomen worden in de Wet op de inlichtingen- en veiligheidsdiensten, concludeerde ook een evaluatiecommissie in Nederland. Maar dat heeft men nu even niet overgenomen.”
Wat zegt dat?
„Ik twijfel dan of de wet wel oprecht is. Het was niet zo heel moeilijk geweest om dit ook te fixen, maar wonderlijk genoeg hebben ze dat niet gedaan. Kijk ook naar de verschillende versies van het wetsvoorstel die opgesteld zijn. In de eerste publieke versie stond dat de toezichthouders niet met elkaar mochten praten zonder de AIVD op de hoogte te stellen. Dat is alsof de Arbeidsinspectie zijn onverwachte inspecties moet gaan aankondigen.”
„In de allereerste versie, die nooit publiek is geweest, mochten de TIB en de CTIVD helemaal niet met elkaar praten. Dat artikel is later na een hoop gedonder gesneuveld, maar daarin zie je wel dat er iets onoprechts zit in de wet. Als je écht voor dynamisch toezicht bent, dan had je ook een open verbinding tussen de twee toezichthouders mogelijk moeten maken. Het zegt me dat dit wetsvoorstel niet is begonnen om het toezicht te verbeteren. Dan wil je gewoon minder pottenkijkers.”