De nieuwe wet is een aanvulling op de Wet op de inlichtingen- en veiligheidsdiensten uit 2017 (Wiv 2017), waarmee onder meer bulkinterceptie van internetverkeer mogelijk is gemaakt. Nadat een kleine meerderheid zich in 2018 via een raadgevend referendum tegen de nieuwe Wiv had uitgesproken werd bepaald dat dergelijke interceptie in elk geval ‘zo gericht mogelijk’ dient plaats te vinden.
In de praktijk bleken wettelijke eisen een effectief en flexibel opereren voor onze diensten in de weg te staan. De nieuwe wet maakt het makkelijker om computers en servers van Nederlandse burgers en bedrijven te bekijken wanneer die door een buitenland gehackt zijn. Vanuit de AIVD en de MIVD wordt benadrukt dat dit dringend nodig is in de strijd tegen cyberaanvallen vanuit landen als Rusland en China.
GroenLinks-PvdA eerst voor, toen tegen
Het debat in de Tweede Kamer besprak ik hier. Op 24 oktober 2023 is de wet aangenomen door de Tweede Kamer (in de oude samenstelling)
Op 12 maart 2024 ging de Eerste Kamer akkoord met de Tijdelijke Wet Cyberoperaties:
De stemming over de motie van senator Nicolaï (PvdD), om het delen van data te verbieden indien die zijn verkregen met sleepnetten, werd aangehouden. De wet kan naar verwachting op 1 juli 2024 in werking treden.
In de Tweede Kamer stemden zowel PvdA als GroenLinks nog voor, in de Eerste Kamer tegen. De tegenstemmende linkse partijen vrezen een digitaal sleepnet, net als Bits of Freedom. Het wetsvoorstel werd grondiger behandeld dan in de Tweede Kamer. De senatoren Mary Fiers (GroenLinks-PvdA), Peter Nicolaï en Alexander van Hattem van de PVV opvielen door gedetailleerd inzicht c.q. vasthoudend doorvragen.
Tweede Kamer onervaren
Het meest omstreden is de invoering van een ‘verkennende’ fase die voorafgaat aan de bulkinterceptie zoals die in de Wiv 2017 geregeld is. Deze is bedoeld om te bepalen welke datastromen voor daadwerkelijke bulkinterceptie in aanmerking komen. Omdat dit oriënterend is, is de eis van ‘zo gericht mogelijk’ voor deze fase vervallen. Dat is dermate ruim geformuleerd dat data in die fase in theorie zes maanden lang afgetapt en opgeslagen mogen worden. Bovendien mogen deze data met buitenlandse partnerdiensten worden gedeeld, iets wat de Raad van State nadrukkelijk heeft afgekeurd.
Hier had een stevig parlementair debat over gevoerd kunnen worden, maar de materie bleek voor menig Tweede Kamerlid te ingewikkeld. Als aanvulling op de toch al complexe Wiv 2017 maakt de Tijdelijke wet cyberoperaties deze regelgeving vrijwel ondoorgrondelijk. Wellicht is dit precies de bedoeling.
Bovendien verschafte het kabinet louter zinnige verduidelijking als Kamervragen zeer nauwkeurig geformuleerd waren, maar daarvoor ontbrak het parlementariërs aan de nodige achtergrondkennis. Hier wreekt zich mede de versnippering van de politieke partijen en het grote aantal nieuwe Kamerleden, waardoor veel ervaring op dit dossier verloren is gegaan.
Nieuwe informatie
De Eerste Kamer ging het beter doen. Op 24 januari 2024 kwamen er maar liefst 67 pagina's met antwoorden van minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie op vragen van de Eerste Kamer. Vervolgens hebben GroenLinks-PvdA, PvdD en PVV op 13 februari voor een tweede keer schriftelijke vragen ingediend, waarna de ministers op 28 februari met nog eens 35 pagina's aan antwoorden kwamen.
Eerste Kamerleden vroegen flink door over de grenzen van de toepassing, helaas dus de allerlaatste fase van wetgeving. Ze kregen van minister Hugo de Jonge (Binnenlandse Zaken) wel nieuwe informatie los. Zo zullen bijvoorbeeld via bulkinterceptie geen wijken worden afgeluisterd, maar worden taps geplaatst bij internetproviders en andere aanbieders.
Veel bleef evenwel vaag. Minister Hugo de Jonge (CDA), die demissionair Binnenlandse Zaken waarneemt, antwoordde dat de wet van toepassing is op de landen genoemd in de Geïntegreerde Aanwijzing. De bijlage is geheim, maar Rusland, China en Iran staan er zeker in.
Op de vraag van senator Fiers hoever de diensten mogen gaan wanneer "een digitale aanval (nog) niet (direct) te attribueren is aan een land" antwoordde de minister dat bij twijfel de nieuwe wet toegepast moet worden. Het zou immers zonde zijn om geen gebruik te maken van "de goudmijn" die het Nederlandse internetknooppunt AMS-IX is.
Dus een offensief cyberprogramma gericht tegen Nederland is weliswaar het criterium is voor toepassing van de wet, maar daarna valt elk soort onderzoek van de AIVD en de MIVD naar die landen onder de reikwijdte. Immers, de ‘whole-of-society approach’ van een Rusland en China nopen tot ‘breed’ reageren.
De vrees voor een sleepnet probeerde De Jonge niettemin te ontkrachten: het gaat louter om buitenlandse aanvallen, met de toepassing van de vier fases van ongerichte interceptie en een trechtering waarbij per stap steeds minder data overblijven.
Dat klopt voor de klassieke inlichtingenvergaring, maar cyber defence kent een andere methodiek, waarbij het juist van belang is om een zo breed mogelijk zicht op dataverkeer te hebben. Ondanks grondige voorbereiding is dit aspect ook de Eerste Kamer ontgaan: als activiteit komen de termen "cyber defence" en "cyber security" niet éénmaal voor in het schriftelijke verslag van het plenaire debat.
Foto of continue stroom tappen?
Van Hattem confronteerde minister De Jonge met het feit dat de facto over elke internetverbinding internationaal verkeer loopt, dus voor ‘verkenning’ in aanmerking kan komen. De Jonge erkent dit, maar antwoordde dat louter “statelijke actoren met een cyberdreiging" het doelwit vormen. Hier wreekt zich het ontbrekende inzicht in cyber defence, want buitenlandse actoren gebruiken Nederlandse digitale infrastructuur graag als dekmantel voor hun cyberaanvallen.
Data uit de verkennende fase die met buitenlandse partners worden gedeeld, mogen ze niet gebruiken voor nader inlichtingenonderzoek. Maar wat dan wel? Dat is evenmin duidelijk. Senator Nicolaï wilde dat weten, niet enkel het delen maar ook over de open deur voor buitenlandse diensten die operaties uitvoeren die onze eigen diensten niet mogen. Minister De Jonge reageerde daar tamelijk verontwaardigd op: hoe kon gedacht worden dat onze diensten zoiets zouden doen? Ik vind de vraag niet zo gek: sinds Snowden met vergelijkbare beschuldigingen kwam, is dit een zorg. De motie van Nicolaï ontraadde De Jonge.
Hoe tappen en filteren?
Elke hoeveelheid data mag voortaan worden getapt? Volgens De Jonge behelst dit een momentopname, in het jargon van de diensten een "snapshot". Volgens een rapport uit 2022 van toezichthouder CTIVD werd verkenning tot nu toe uitgevoerd door slechts twee uur per dag een ‘snapshot’ van een datastroom te maken. Blijft dit zo of is nu continu aftappen mogelijk zoals de wetstekst toelaat.
En hoe wordt gefilterd? NSA, de Britse GCHQ en Duitse BND plaatsen bij het ongericht aftappen van internetkabels filterapparatuur om mogelijk nuttige data direct te selecteren. Dat scheelt heel veel transport- en opslagcapaciteit
Als de snapshots niet beperkt blijven tot de genoemde twee uur per dag zal er dus ofwel direct gefilterd moeten worden, ofwel alleen metadata opgeslagen moeten worden. Dat kan in beide gevallen dan om grote hoeveelheden gaan.
Duidelijk of (opzettelijk?) vaag
De gang van zaken rond de Tijdelijke wet cyberoperaties doet het ergste vrezen voor de voorgenomen herziening van de Wiv 2017 als geheel. Kamerleden, journalisten en lobby’s zullen zich goed moeten voorbereiden. Kabinet, AIVD en MIVD zullen meer open en tegemoetkomend moeten zijn over de uitwerking van wetgeving in de praktijk.
Het optrekken van mist kan een strategie zijn om in de praktijk een vrijbrief te verkrijgen bij het uitvoeren van de wet. Echter, in een democratische rechtstaat die Nederland pretendeert te zijn moeten de samenleving en het parlement een zo goed mogelijke inschatting kunnen maken van noodzaak, risico’s en waarborgen.
Een ‘aardig’ detail: demissionair minister De Jonge zei in de Eerste Kamer nog dat hij die week maar liefst 105 lasten (aanvragen voor toestemming voor een inlichtingenoperatie) op zijn bureau kreeg. Sommige zijn een formaliteit, maar anderen worden grondiger besproken, op maandagochtend in overleg met de hoofden van de AIVD en de MIVD gebeurt. Spoedlasten gaan telefonisch, via een beveiligde verbinding.
De volgende wet moet werkbaarder, begrijpelijker, transparanter en duurzamer zijn.
*) Een korte versie van dit artikel verscheen eind maart eerst in de Volkskrant, en is aangevuld vanuit het oorspronkelijke artikel van Peter Koop op zijn uitstekende website Electrospaces