ANALYSE - De AIVD en MIVD hebben vooruitlopend op een uitbreiding van hun wettelijke bevoegdheden surveillancetechnologie aangeschaft die hen in staat moet stellen om “kabelgebonden” telecommunicatie categorisch te monitoren. Het ongericht uitgooien van sleepnetten dus, waarbij achteraf wordt bekeken wat bijvangst is en wat echt interessant is. De codenaam voor dit project is Argo II. Er worden een aantal redenen voor aangevoerd die bedrieglijk zijn.
Als eerste de stelling dat het noodzakelijk is om “cyberaanvallen” te detecteren en Nederlandse doelwitten daartegen te beschermen. De onthullingen over de praktijken van de NSA worden daarbij aangevoerd om nut en noodzaak aan te tonen. Zie bijvoorbeeld dit blog van Ronald Prins, die met zijn bedrijf Fox-IT te zeer onderdeel is van het kleine Nederlandse inlichtingenwereldje om zijn uitlatingen op dit terrein niet serieus te nemen. Kort samengevat komt zijn redenering er op neer dat als de AIVD al het internetverkeer zou kunnen monitoren, ze ook in staat zou zijn inbraakpogingen op Nederlandse doelen te detecteren en daarop zou kunnen handelen. De AIVD als onze nationale firewall en virusscanner.
Om te beginnen is het fout om te denken dat we een inbraakpoging bij voorbaat kunnen herkennen. Je moet een gevaar eerder meegemaakt hebben om het te kunnen herkennen. Juist zeer gerichte aanvallen van het kaliber Stuxnet zullen niet herkenbaar zijn vanwege de nieuwheid. En voor zover het om minder verfijnde aanvallen gaat op basis van reeds bekende patronen is het maar de vraag of de AIVD de beste partij is om hiertegen te waken. Internet Service Providers (ISP’s) en andere dienstverleners van potentiële doelen, zoals Ronald Prins zijn eigen Fox-IT, kunnen hier een veel nuttigere rol in spelen. Sterker nog, hier zit potentieel toegevoegde waarde. Niet dat hier geen rol voor de AIVD en het Nationaal Cyber Security Centrum (NCSC) voor is weggelegd, sterker nog, zijn zijn essentieel voor het delen van informatie. Juist over relatief nieuwe aanvallen. In die zin is het dan ook zo jammer dat de huidige Brusselse voorstellen van een meldplicht voor beveiligingsincidenten van Eurocommissaris Kroes uitgaan van eenrichtingsverkeer: wel een meldplicht aan de overheid, maar geen waarschuwingsplicht voor diezelfde overheid. Normaal gesproken krijg ik een wat vieze smaak in mijn mond van publiek/private samenwerkingen, maar dit onderwerp is er één dat zich bij uitstek voor wederkerigheid en symbiose tussen publieke en private sector leent. Dezelfde of grotere effectiviteit door dichter bij de doelwitten te gaan tappen en tegelijkertijd een paar onsjes minder inbreuk op onze privacy.
Met als groot voordeel dat het in één klap een opt-in regime wordt wat veel minder kwetsbaar is voor function creep. Want een AIVD die het internetverkeer op virussen controleert zal allicht ook op steekwoorden over wat de AIVD op dat moment als een bedreiging van de democratische rechtsstaat ervaart gaan controleren. En juist recent is weer gebleken dat de AIVD niet alleen jihadisten, extreem-links en extreem-rechts als zodanig beschouwd, maar blijkbaar ook de organisatoren van geweldloze studentendemonstraties.
Twee andere denkfouten werden door de Volkskrant opgetekend uit de mond van nota bene de voorzitter van de Commissie Toezicht Inlichtingen- en Veiligheids Diensten (CTIVD), de toezichthouder van de AIVD, Bert van Delden. Juist degene die beroepshalve kritisch zou moeten staan tegenover wensen van de AIVD om haar bevoegdheden uit te breiden vond het ‘niet zo gek’ dat de dienst vooruitlopend op een wettelijke uitbreiding van haar bevoegdheden al technologie insloeg bij een, naar het zich laat aanzien Israëlische, leverancier van surveillancetechnologie. Juist Van Delden zou zich bewust moeten zijn van de wetsgeschiedenis van de Wet op de inlichtingen- en veiligheidsdiensten 2000 (Wiv2000). Die staat de AIVD alleen toe om ongericht te tappen op radioverkeer. Deze restrictie vloeit voort uit het feit dat Nederland op de vingers was getikt door het Europese Hof van de Rechten van de Mens die het eerdere tapgedrag van de AIVD als disproportioneel had aangemerkt. Zolang Nederland geen constitutionele toetsing van wetgeving heeft is het Europees Hof voor Rechten van de Mens (EHRM) blijkbaar broodnodig om ons op het rechte pad te houden. De uitzondering voor niet-kabelgebonden, internationale telecommunicatie is een logische uitzondering als je bedenkt dat dit in de praktijk veelal om satellietverkeer zal gaan wat in ten tijde van het wetsvoorstel voor de Wiv2000, in 1998, niet of nauwelijks gericht getapt kon worden. De AIVD én haar toezichthouder, die blijkbaar haar rol grotelijks verzaakt, maakt van deze nood en deugd en vraagt zich anno 2013 blijkbaar luidop af waarom ze dit alleen maar met satellietverkeer mag. Terwijl de regel kinderlijk eenvoudig blijft: sleepnetten mogen niet, tenzij het echt niet anders kan.
De andere drogredenering van het wetsvoorstel is dat als de techniek verandert de bevoegdheden automatisch uitgebreid moeten worden. Wat daarbij gemakshalve vergeten wordt, is dat bij iedere bevoegdheid ook waarborgen horen en sleepnetvisserij inherent een essentiële waarborg mist: die van proportionaliteit zoals vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). En ook nog eens artikel 10 van onze Grondwet, al is dat een wassen neus. Er is eerder reden voor een pleidooi om het onderscheppen van satellietverkeer aan aanvullende restricties te onderwerpen, de techniek is immers voortgeschreden en verwijdering van bijvangst zal in een eerder stadium mogelijk zijn dan eerst.
Als laatste moet worden opgemerkt dat uit het nu al aanschaffen van deze technologie (waarbij de vraag rijst of de Mossad niet in de toekomst over de schouders van de AIVD kan meekijken) vooruitlopend op de bevoegdheden een minachting voor de parlementaire democratie blijkt. Men denkt op voorhand dat de wetgevende macht ieder verzoek van de uitvoerende macht als vanzelfsprekend zal inwilligen. Het is tekenend voor de teloorgang van de toch van oudsher al imperfecte trias politica in Nederland dat men dit kan aannemen zonder dat er koppen rollen.
Reacties (9)
Op de eerste plaat, Redactie van Sargasso, mijn welgemeende complimenten voor de wijze waarop jullie op dit onderwerp doorgaan. Driewerf bravo!
Op de tweede plaats: uitstekend artikel!
Eensch met 1.
Ik snap ergens ook het probleem niet. Wanneer er een verdenking + gerechtelijk bevel is mogen alle registers open. Tot die tijd gaat het de overheids niets aan wie wat doet.
Is het lastig om toestemming te krijgen? Fix dát probleem. Is er te weinig mankracht om mensen gericht te volgen? Pak dát aan. Maar een sleepnet uit willen zetten omdat de rest te kort zou schieten..? Hou toch op man.
Er zou ook software moeten komen waarmee wij kunnen zien wie ons volgt en wat ze er mee doen, de omgekeerde wereld is daarmee veel mooier.
Gat in de markt? Ik wil er wel voor betalen.
Ach Ronald Prins, de man die software aan o.a. Iran verkoopt waarmee dissidenten opgespoord kunnen worden die vervolgens gemarteld en opgehangen worden. Moet je daar trots op zijn??? Diezelfde Ronald Prins werkt met zijn bedrijf Fox-IT ook mee aan illegale activiteiten in opdracht van de overheid. Om precies te zijn de heren Teeven en Opstelten. Zo plaatst Fox-IT via het internet strafbare content op laptops en/of PC’s van criminelen die ze anders met geen mogelijkheid veroordeeld kunnen krijgen. Dit soort criminele overheidsactiviteiten zijn in het buitenland overigens al heel normaal. In Zweden sprak ik op Öland een keer een ondergedoken geheim agent wiens baas mede hierdoor achter de tralies is verdwenen. Lees deze wikipagina maar eens goed door: https://en.wikipedia.org/wiki/Tony_Stigsson
@Daan:
Onderbouwing? Bronnen?
‘Want een AIVD die het internetverkeer op virussen controleert zal allicht ook op steekwoorden over wat de AIVD op dat moment als een bedreiging van de democratische rechtsstaat ervaart gaan controleren.’
Zal ik dan maar een paar steekwoorden (kleine greep) verklappen?:
AIVD, MIVD, CTIVD, NSA, Mossad, GCHQ
Gevaarlijke netwerkers in NL (niet noodzakelijk digitaal)?:
Bert van Delden; Ronald Prins; Rob de Wijk; Ronald-Fred-Ivo; en verder zo’n beetje alle namen van iedereen die parlementair betrokken is en verder alle IT-bedrijven die een graantje mee proberen te pikken.
NIEUW MEEDOGENLOOS VIRUS UIT DE USA, ISRAEL EN GB MAAKT INTERNET EN RECHTSSTATEN TOTAAL ONBETROUWBAAR —–
AL SINDS SINT JUTTEMUS NAUWKEURIG GEPLAND
•en de vooruitgang hopeloos vertraagd•
Naam: GlobalSuxNet
Mijn welgemeende minachting voor die club met hun tsunami van misinformatie.
(idd goed stuk, peace)
@3: Net als die anti-virus programmas:
een gat in de markt zo groot als een bodemloze put!
@4: Met dieven vangt men dieven.
De auteur van het stuk, maar ook de meeste reaguurders hier, schijnen een niet onbelangrijk detail over het hoofd te zien: Argo II verwerft geen informatie maar verwerkt de verkregen informatie tot inlichtingen.
Dat is al een paar keer publiek gemaakt:
https://zoek.officielebekendmakingen.nl/kst-29924-103.html
https://www.bof.nl/live/wp-content/uploads/Antwoorden-Kamervragen-Van-Raak-afluisteren-internetverkeer-19-juni-2013-2.pdf
@8: Alweer een drogredenering rondom Argo II:
“AIVD en MIVD kochten een systeem dat alleen zinvol gebruikt kan worden als ongericht kabels worden getapt: Argo II. Dat is in strijd met de wet. Waarom koopt onze overheid voor 17 miljoen euro een systeem dat ze niet mag gebruiken? En waarom was de Tweede Kamer niet van de aanschaf van dit illegale systeem op de hoogte?”
http://politiek.thepostonline.nl/column/waarom-was-kamer-hoogte-argo-ii/
Dat ze nu ook al ongericht tappen zou me niets verbazen: tenslotte zijn ze daar al voor op de vingers getikt. Maar blijkbaar kan het huidige systeem de hoeveelheid data niet of niet snel genoeg aan, of kun je uit de beschikbare data veel meer bruikbare informatie destilleren als je de gegevensverwerking anders opzet.
Alleen: HET MAG NIET!