De diensten hebben volop gebruikgemaakt van de zogenaamde informantenbevoegdheid. Die kunnen ze inzetten om bulkdata bij elkaar te hacken zonder de strenge waarborgen die gelden voor andere bevoegdheden om bulkdata te vergaren. Bits of Freedom waarschuwde daartegen bij monde van Lotte Houwing al in een vroeg stadium
De periode van 1,5 jaar kwam in de Wiv 2017 als uiterste bewaartermijn, wat ruim is, want je zou zeggen dat verdachten eerder getraceerd moeten worden. Maar dat valt in de praktijk nog tegen. Syrië-verdachten (niet SyRi-verdachten, dat mag niet meer) komen na jaren mogelijk terug naar onze natie en dan zijn oude bestanden wellicht behulpzaam volgens de diensten.
De toezichthouder op de inlichtingendiensten, CTIVD, stelt deze week in rapport nr 70 vast dat de AIVD en MIVD hun via de ‘hackbevoegdheid’ verzamelde gegevens veel te lang bewaart met een claim dat alle data na 1,5 jaar nog van belang (kunnen) zijn: ‘De wijze waarop de AIVD en de MIVD de relevantiebeoordeling hebben uitgevoerd, beoordeelt de CTIVD als onrechtmatig…’ En dus moeten deze bulkdatasets worden vernietigd.
Maar vervolgt haar conclusie niettemin met: ‘De diensten passen bij de verdere verwerking van bulkdatasets aanvullende waarborgen toe, die niet in de wet zijn vastgelegd. De CTIVD beoordeelt deze als een voldoende uitwerking van de eisen die de wet stelt aan behoorlijke en zorgvuldige gegevensverwerking.’
Deze opvallende paradox is het gevolg van de gesplitste onderzoeksvragen in rapport nr 70, over de rechtmatigheid van het hacken en de verzameling, en vervolgens over de verwerking van data. Het onderzoek behelsde de periode van 1 mei 2018, de datum van inwerkingtreding van de Wiv 2017, tot 1 november 2019. Samengevat luiden de uitkomsten:
Onderzoeksvraag 1: hacken
Deelvraag 1: Vond het verzamelen van bulkdatasets met de hackbevoegdheid in de onderzoeksperiode plaats op basis van een rechtmatig verzoek tot toestemming volgens de TIB (toetsingscommissie)?
Antwoord: Van de 16 onderzochte operaties had de TIB drie keer een toestemmingsverzoek afgewezen. Dit is onrechtmatig, zo erkende de AIVD die daarop zei de data van die drie te vernietigen. Eén keer beriep de dienst zich voor een bulkverzameling nog op de vorige wet Wiv 2002, onder welke de minister verleende. Ook dit was een wetsovertreding. Alle overtredingen vonden plaats in de eerste drie maanden na inwerkingtreding van de Wiv 2017.
Deelvraag 2: Zijn de technische risico’s die zich bij de inzet van de hackbevoegdheid kunnen voordoen in de toestemmingsverzoeken in overeenstemming met de praktijk omschreven?
Antwoord: De risico’s worden doorgaans als laag of afwezig omschreven. Het achteraf reconstrueren van de risico’s van het hacken bleek moeilijk, en het toetsen daarvan kon de CITVD niet. Een probleem zag de toezichthouder niet, temeer daar de TIB dit oppakte.
Deelvraag 3: Hebben de diensten aan de opruimplicht voldaan?
Antwoord: Ja, maar de CTIVD kon niet uit alle verslagen opmaken welke hulpmiddelen voor het hacken op welk moment waren verwijderd. Dit is een tekortkoming. Ook duurt het opruimen soms (te) lang.
Deelvraag 4: Hebben de diensten van de uitvoering van de hackbevoegdheid aantekening gehouden?
Antwoord: Jazeker, de Computer Network Exploitation (CNE) van AIVD en MIVD samen voert de logging goed uit, die was goed te controleren.
Onderzoeksvraag 2: dataverwerking
Deelvraag 1: Hoe gaan de AIVD en de MIVD om met de wettelijke eisen voor de beoordeling van de relevantie van de verzamelde bulkdata?
Antwoord: gegevens die niet binnen de uiterste termijn van 1,5 jaar als relevant zijn beoordeeld, moeten AIVD en MIVD volgens de WIV 2017vernietigen. Alles wat daarvoor al niet-relevant blijkt, moet terstond foetsie gemaakt worden. Maar ja, wat is relevant? Dat maken ze zelf uit: ‘De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.’
De bruiloft van Grapperhaus
Dat laatste is een qua logica onjuiste opmerking van de CTIVD, want betreft een gok op de toekomst. Zo kan de AIVD menen dat data van minister Grapperhaus en zijn schoonmoeder er wel toe doen want hij heeft nog een bruiloft op de planning staan met een gerede kans op wetsovertreding. Dus kan Nico van Eijk (foto) als voorzitter van de CTIVD niet vaststellen dat de data ‘nooit relevant’ zullen worden. Het criterium waarmee de diensten hun databakken in de kast houden is immers: ‘je kan nooit weten’.
Maar de diensten maken van dit taalkundig willekeurige criterium handig gebruik c.q. misbruik bij de beoordeling van toekomstige relevantie ,volgens de CTIVD: ‘Dit heeft tot gevolg dat de diensten de daarin opgeslagen gegevens zonder definitieve vernietigingstermijn kunnen blijven bewaren en dat vernietiging na anderhalf jaar dus niet langer aan de orde is.’
AIVD en MIVD verklaren de gegevens als ‘relevant’ en klaar is Kees. ‘Een kunstgreep’ om de bewaartermijn van de datasets te kunnen verlengen, maar ook ‘onrechtmatig’ om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren, Dus, zegt de CTIVD, deze bulkdatasets terstond vernietigen, conform de wettelijk eis.
Deelvraag 2: In hoeverre geven de AIVD en de MIVD uitvoering aan procedurele waarborgen voor de verdere verwerking van bulkdatasets die via een hack zijn verzameld?
Antwoord: De diensten hanteren zelf aanvullende, niet in de wet vastgelegde waarborgen voor de
toegang tot, en het gebruik van de verzamelde bulkdatasets; opgesteld vanuit wettelijke vereisten zoals de zorgplicht voor de rechtmatigheid en kwaliteit van dataverwerking. Zo is er een ‘buitenbak-binnenbak’ verdeling en toestemming nodig om erin te mogen neuzen. De CTIVD keurt dit goed
Passagiersgegevens massaal bewaard
In Rapport 71 rapporteert de CTIVD over passagiersgegevens van luchtvaartmaatschappijen (‘API’ of Advance Passenger Information, niet de PNR of Passenger Name Records) die de AIVD en MIVD in bulk verzamelen bij de Koninklijke Marechaussee, voordat we instappen. Van miljoenen Nederlanders legden de diensten naam, geboortedatum, nationaliteit, luchthaven van vertrek en aankomst vast.
Dit is dus bulkverzameling, maar ze nemen daarvoor niet de vereiste waarborgen in acht. De CTIVD stelt vast dat er geen gegevens verwijderd zijn van de verzamelperiode, begin januari tot eind augustus 2019. Ook dat was fout.
Ministers: niet vernietigen
Er ontbreken goede regels voor deze bulkdata vanuit de informantenbevoegdheid verzameld, louter zijn er algemene vereisten. Deze kun je wel toepassen zoals de CITVD heeft gedaan, maar volstaan niet. Goed toetsen is niet mogelijk. De Wiv 2017 moet worden aangevuld volgens de CTIVD. In hun reactie op het rapport zeggen de ministers Ollongren (Binnenlandse Zaken) en Bijleveld (Defensie) deze aanbeveling te onderschrijven. Het wordt meegenomen in de evaluatie van de WIV die over een paar maanden openbaar wordt. Maar in oktober komen er al nieuwe regels voor de onmiddellijke toepassing. De regels gaan over gebruik, toegang, bewaartermijnen en delen met buitenlandse diensten.
Echter, de ministers zijn het oneens met de belangrijke vaststelling van wettelijke overtreding door de CTIVD: ze vinden de beoordeling op relevantie van een aantal bulkdatasets wel conform de Wiv 2017 want die biedt een ‘open norm’. De diensten hoeven ze ook niet te vernietigen, want ze zijn echt belangrijk.
Datapakhuizen hard nodig
Ollongren en Bijleveld benadrukken dat de bulkdatasets van groot belang voor het werk van de AIVD en de MIVD zijn, om ‘bredere patronen en netwerken te onderkennen en daardoor nieuwe dreigingen tijdig te voorspellen…en daarmee van groot belang voor de veiligheid van de Nederlandse samenleving.’
Bulkdatasets hebben vooral betrekking op dreiging vanuit het buitenland waarvoor niet de gerichte middelen voorhanden zijn die in Nederland kunnen worden ingezet. ‘De rapporten gaan dus niet over bulkdata die is verkregen met onderzoeksopdracht gerichte interceptie (OOG-interceptie).’ Dit ‘sleepnet’ is wel met waarborgen omkleed.
Met behulp van bulkdata zijn, schrijven de ministers, is kennis vergaard over:
locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied;
de inzet van Improvised Explosive Devices (IED’s) tegen Nederlandse militairen;
de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland;
de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.
Waarom behoud van die bulkdata nodig is, schrijven ze niet. Details en bewijzen ontbreken, maar komen in de Commissie voor de Inlichtingen- en Veiligheidsdiensten (Commissie-Stiekem) over het voetlicht.
Gissen en neuzen
Hoe het er in de praktijk aan toe gaat, blijft schimmig zoals dat hoort bij het metier. Dat het al gerapporteerd wordt dat diensten de regels makkelijk overtreden, is geen usance in de hele wereld. Er staat zelfs een keer in het rapport: ‘Deze gegevensverwerkingen zijn onrechtmatig bevonden omdat deze niet passen binnen de taakstelling van de afdeling.’
Wat is dat? Is op haarkleur of leeftijd of ras onderzocht? Nee, medewerkers lieten analyses op de data los die ze na wisseling van functie niet meer mochten toepassen. Zeg maar een gevalletje-Van Persie van onbevoegd neuzen Maar hoe gaat dat in de praktijk? Een beetje AIVD-hacker kan wellicht ook met social engineering bij een collega wat bulkdatasetjes bietsen.
Het moet leuk werken zijn bij de AIVD en MIVD. Die hackbevoegdheid gaat ver, zo leest art. 45 van de Wiv 2017 (pdf), een licentie voor staatsmisdaad: het toestaan van gebruik van ‘valse signalen, valse sleutels, valse hoedanigheid’ om systemen binnen te dringen en ook de bevoegdheid tot ‘het doorbreken van enige beveiliging’ en het mogen kraken van elke encryptie. Een ideale werkplek voor digitale boeven om hun loopbaan legaal voort te zetten…