In gesprek met de AIVD over het ‘sleepnet’

Wouter Moraal raakte met enkele medewerkers van de AIVD in gesprek over de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (WIV). Hij verbaasde zich er over dat zij de schadelijke gevolgen van de massale gegevensverzameling, het 'sleepnet', zo licht opnamen. Aan de hand van enkele van hun reacties legt hij uit wat de bezwaren zijn van de verruiming van de bevoegdheden die de nieuwe wet moet bieden.  Wat is dat ‘sleepnet’ dat in het nieuwe voorstel voor de Wet op de inlichtingen- en veiligheidsdiensten staat eigenlijk? In de de nieuwe versie van de Wiv staat onder andere dat de internetstroom in Nederlandse kabels door de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) mogen worden onderschept en substantiële porties door hen mogen worden geanalyseerd en bewaard. Zo mogen ze bijvoorbeeld als ze daar reden toe zien al het verkeer naar een land als Syrië of alle WhatsAppjes vanuit een stad als Amersfoort monitoren. Deze nieuwe bevoegdheid wordt ook wel het ‘sleepnet’ genoemd, vanwege het grootschalige karakter. Want ook internetverkeer van massa’s onschuldige mensen wordt op deze manier ‘gevangen’. Meer over wat er in het wetsvoorstel staat vind je in het dossier van Bits of Freedom of je kunt het wetsvoorstel zelf lezen. De enigen die vooraf goedkeuring moeten verlenen voor de inzet van deze bevoegdheid zijn de minister van Binnenlandse Zaken (voor de AIVD) of de minister van Defensie (voor de MIVD) en een nog op te richten toetsingcommissie (de toetsingscommissie inzet bevoegdheden) die de rechtmatigheid van het besluit van de minister toetst.

Door: Foto: Sicco2007 (cc)
Foto: Gerard Van der Leun (cc)

Kamermeerderheid stemt voor afschaffing privacy

ANALYSE - Als het aan de Tweede Kamer ligt, krijgen de inlichtingen- en veiligheidsdiensten bevoegdheid om het internetgedrag van miljoenen burgers ongericht en op grote schaal af te tappen met een sleepnet.

In de schaduw van de net begonnen campagne voor de Tweede Kamerverkiezingen op 15 maart heeft een rechts-conservatieve Kamermeerderheid vorige week nog even snel ingestemd met een even extreem-autoritair als waanzinnige aanslag op onze privacy. De aftapbevoegdheid van de geheime dienst kent nauwelijks enige beperkingen. In het wetsvoorstel zijn wel de algemene beginselen proportionaliteit, subsidiariteit en noodzakelijkheid opgenomen maar deze beginselen hebben weinig betekenis als deze niet leiden tot substantiële wettelijke beperkingen van de aftapbevoegdheden om de privacy van burgers te waarborgen. Hierdoor hebben de geheime diensten een te grote autonomie om te bepalen wat proportioneel en noodzakelijk is. Ondanks deze bijna onbeperkte bevoegdheid om internetgegevens van burgers op grote schaal af te tappen, framet Plasterk dit als doelgericht en proportioneel door deze interceptie onderzoeksopdrachtgericht te noemen. Als de onderzoeksopdracht breed genoeg is, wat het geval is bij fenomeenonderzoeken van de AIVD, dan wordt grootschalige interceptie noodzakelijk en proportioneel geacht. Dit biedt dus geen enkele waarborg voor de privacy van de burger.

Geen noodzaak

Lezen: Bedrieglijk echt, door Jona Lendering

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Lezen: Het wereldrijk van het Tweestromenland, door Daan Nijssen

In Het wereldrijk van het Tweestromenland beschrijft Daan Nijssen, die op Sargasso de reeks ‘Verloren Oudheid‘ verzorgde, de geschiedenis van Mesopotamië. Rond 670 v.Chr. hadden de Assyriërs een groot deel van wat we nu het Midden-Oosten noemen verenigd in een wereldrijk, met Mesopotamië als kernland. In 612 v.Chr. brachten de Babyloniërs en de Meden deze grootmacht ten val en kwam onder illustere koningen als Nebukadnessar en Nabonidus het Babylonische Rijk tot bloei.

Foto: Alex Proimos (cc)

Drogredeneringen rondom Argo II

ANALYSE - De AIVD en MIVD hebben vooruitlopend op een uitbreiding van hun wettelijke bevoegdheden surveillancetechnologie aangeschaft die hen in staat moet stellen om “kabelgebonden” telecommunicatie categorisch te monitoren.  Het ongericht uitgooien van sleepnetten dus, waarbij achteraf wordt bekeken wat bijvangst is en wat echt interessant is. De codenaam voor dit project is Argo II. Er worden een aantal redenen voor aangevoerd die bedrieglijk zijn.

Als eerste de stelling dat het noodzakelijk is om “cyberaanvallen” te detecteren en Nederlandse doelwitten daartegen te beschermen. De onthullingen over de praktijken van de NSA worden daarbij aangevoerd om nut en noodzaak aan te tonen. Zie bijvoorbeeld dit blog van Ronald Prins, die met zijn bedrijf Fox-IT te zeer onderdeel is van het kleine Nederlandse inlichtingenwereldje om zijn uitlatingen op dit terrein niet serieus te nemen. Kort samengevat komt zijn redenering er op neer dat als de AIVD al het internetverkeer zou kunnen monitoren, ze ook in staat zou zijn inbraakpogingen op Nederlandse doelen te detecteren en daarop zou kunnen handelen. De AIVD als onze nationale firewall en virusscanner.

Om te beginnen is het fout om te denken dat we een inbraakpoging bij voorbaat kunnen herkennen. Je moet een gevaar eerder meegemaakt hebben om het te kunnen herkennen. Juist zeer gerichte aanvallen van het kaliber Stuxnet zullen niet herkenbaar zijn vanwege de nieuwheid. En voor zover het om minder verfijnde aanvallen gaat op basis van reeds bekende patronen is het maar de vraag of de AIVD de beste partij is om hiertegen te waken. Internet Service Providers (ISP’s) en andere dienstverleners van potentiële doelen, zoals Ronald Prins zijn eigen Fox-IT, kunnen hier een veel nuttigere rol in spelen. Sterker nog, hier zit potentieel toegevoegde waarde. Niet dat hier geen rol voor de AIVD en het Nationaal Cyber Security Centrum (NCSC) voor is weggelegd, sterker nog, zijn zijn essentieel voor het delen van informatie. Juist over relatief nieuwe aanvallen. In die zin is het dan ook zo jammer dat de huidige Brusselse voorstellen van een meldplicht voor beveiligingsincidenten van Eurocommissaris Kroes uitgaan van eenrichtingsverkeer: wel een meldplicht aan de overheid, maar geen waarschuwingsplicht voor diezelfde overheid. Normaal gesproken krijg ik een wat vieze smaak in mijn mond van publiek/private samenwerkingen, maar dit onderwerp is er één dat zich bij uitstek voor wederkerigheid en symbiose tussen publieke en private sector leent. Dezelfde of grotere effectiviteit door dichter bij de doelwitten te gaan tappen en tegelijkertijd een paar onsjes minder inbreuk op onze privacy.