1: Het sleepnet

Wat moet er verbeteren? Er kan nu al gericht communicatie op internet (de kabel) en ongericht communicatie uit de lucht (bijvoorbeeld militair communicatieverkeer) worden onderschept door de geheime diensten. Met de nieuwe wet kan er straks massaal en stelselmatig communicatie opgevist worden met een sleepnet. Bijvoorbeeld alle communicatie die langs de wifi-hotspots van een grote provider in een stad komt, mogen ze opvissen. Onschuldige burgers horen niet in het vizier van de geheime diensten. Wij vinden dat deze bevoegdheid (art. 48 en verder) in zijn huidige vorm uit de wet moet. Hoe werkt het in de praktijk? /wp-content/uploads/2018/02/eenbeterewet-sleepnet.mp4 Wat staat er in de wet?



De nieuwe wet breidt de tapmogelijkheden van de diensten op internet flink uit. Waar dit voorheen alleen betrekking had op de communicatie van één of meerdere doelwitten, mogen de geheime diensten volgens de nieuwe wet een onbepaalde hoeveelheid communicatie over een onbepaalde hoeveelheid burgers onderscheppen. Daarbij gaat het zowel om de inhoud van de communicatie zelf als ook alle informatie over de communicatie (o.a. verzender, ontvanger, locatie en tijdstip). Zolang het tappen maar gebeurt in het kader van een “onderzoeksopdracht”. De onderzoeksopdrachten worden door de ministers van Binnenlandse Zaken en Defensie en de premier vastgesteld in de “Geïntegreerde Aanwijzing inlichtingen- en veiligheidsdiensten”. Wat er onder een “onderzoeksopdracht” moet worden verstaan is op voorhand niet exact te zeggen en dat zullen we ook niet weten want dat is geheim. Maar het zal hoogstwaarschijnlijk gaan om in algemene bewoordingen omschreven aandachtsgebieden van de geheime diensten – zoals het in kaart brengen van bepaalde netwerken van extremistische groeperingen.



De onbepaalde reikwijdte van de term “onderzoeksopdracht” geeft deze bevoegdheid een ongericht karakter. De mate van ongerichtheid van deze tapbevoegdheid hangt dus af van hoe de onderzoeksopdracht door de dan zittende regering en de geheime diensten ingevuld wordt. Eén ding staat vast, het vorige kabinet gaf tijdens de plenaire behandeling in de Tweede Kamer expliciet aan dat het wel degelijk de bedoeling is om met deze bevoegdheid stelselmatig en op grote schaal communicatie te vergaren en analyseren. Daar verandert de toezegging in het regeerakkoord van kabinet Rutte III niets aan.



Voordat de diensten op deze schaal mogen tappen hebben ze toestemming nodig van de Minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie deze toestemming van de minister voorafgaand aan de inzet goed te keuren, tenzij het een spoedgeval betreft. De toestemming kan geldig zijn voor een periode van maximaal een jaar en kan telkens verlengd worden.



De geheime diensten hebben vervolgens drie jaar de tijd om de onderschepte communicatie op relevantie te onderzoeken en selecteren. Bronnen

Wet op de inlichtingen- en veiligheidsdiensten 2017 :

: Gerichte interceptie: Artikel 47

Ongerichte (“onderzoeksopdrachtgerichte”) interceptie inclusief onderzoek en selectie: Artikel 48 t/m 50

Toetsing door toetsingscommissie: Artikel 36

Vaststellen Geïntegreerde Aanwijzing: Artikel 6

“Stelselmatig en op grote schaal” tappen: Reactie Kabinet Rutte II op amendement nr. 34 van Kees Verhoeven (D66) De AIVD en MIVD mogen nu al op basis van de huidige wet gericht online communicatie onderscheppen van één of meerdere doelwitten. Het maakt daarbij niet uit of de communicatie draadloos (bijvoorbeeld via satellietcommunicatie) of via de kabel (internet) verloopt. Deze bevoegdheid blijft ook in de nieuwe wet bestaan. De geheime diensten kunnen dus al communicatie die via internet verloopt onderscheppen. Maar dat moet dan wel gericht. Ze kunnen nu ook al – veelal militaire communicatie – ongericht uit de ether onderscheppen.De nieuwe wet breidt de tapmogelijkheden van de diensten op internet flink uit. Waar dit voorheen alleen betrekking had op de communicatie van één of meerdere doelwitten, mogen de geheime diensten volgens de nieuwe wet een onbepaalde hoeveelheid communicatie over een onbepaalde hoeveelheid burgers onderscheppen. Daarbij gaat het zowel om de inhoud van de communicatie zelf als ook alle informatie over de communicatie (o.a. verzender, ontvanger, locatie en tijdstip). Zolang het tappen maar gebeurt in het kader van een “onderzoeksopdracht”.De onderzoeksopdrachten worden door de ministers van Binnenlandse Zaken en Defensie en de premier vastgesteld in de “Geïntegreerde Aanwijzing inlichtingen- en veiligheidsdiensten”. Wat er onder een “onderzoeksopdracht” moet worden verstaan is op voorhand niet exact te zeggen en dat zullen we ook niet weten want dat is geheim. Maar het zal hoogstwaarschijnlijk gaan om in algemene bewoordingen omschreven aandachtsgebieden van de geheime diensten – zoals het in kaart brengen van bepaalde netwerken van extremistische groeperingen.De onbepaalde reikwijdte van de term “onderzoeksopdracht” geeft deze bevoegdheid een ongericht karakter. De mate van ongerichtheid van deze tapbevoegdheid hangt dus af van hoe de onderzoeksopdracht door de dan zittende regering en de geheime diensten ingevuld wordt.Eén ding staat vast, het vorige kabinet gaf tijdens de plenaire behandeling in de Tweede Kamer expliciet aan dat het wel degelijk de bedoeling is om met deze bevoegdheid stelselmatig en op grote schaal communicatie te vergaren en analyseren. Daar verandert de toezegging in het regeerakkoord van kabinet Rutte III niets aan.Voordat de diensten op deze schaal mogen tappen hebben ze toestemming nodig van de Minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie deze toestemming van de minister voorafgaand aan de inzet goed te keuren, tenzij het een spoedgeval betreft. De toestemming kan geldig zijn voor een periode van maximaal een jaar en kan telkens verlengd worden.De geheime diensten hebben vervolgens drie jaar de tijd om de onderschepte communicatie op relevantie te onderzoeken en selecteren.Bronnen

2: De uitwisseling van gegevens

Wat moet er verbeteren? Internationale samenwerking tussen geheime diensten is belangrijk, maar mag niet zover gaan dat gegevens over onschuldige burgers in handen komen van buitenlandse geheime diensten. Dit dreigt nu wel te gebeuren met de nieuwe wet.



De gegevens die de geheime diensten binnen halen (o.a. via het sleepnet) kunnen worden gedeeld met buitenlandse diensten, zonder deze gegevens eerst te analyseren. Door gegevens uit te wisselen die de geheime diensten niet eerst zelf geanalyseerd hebben, weten ze niet waar de gegevens precies over gaan. Ze kunnen dus onvoldoende een inschatting maken van de gevolgen van het delen van deze gegevens. Stel je voor dat jouw bezoek aan websites die kritisch berichten over een buitenlandse politieke leider worden gedeeld met dat desbetreffende land? Dat is onacceptabel.



De mogelijkheid om ongeëvalueerde gegevens te verstrekken aan het buitenland moet uit de wet worden geschrapt (zie art. 64 en 88). Hoe werkt het in de praktijk? https://eenbeterewet.nl/wp-content/uploads/2018/02/eenbeterewet-internationale-gegevensuitwisseling2.mp4 Wat staat er in de wet?



De uitwisseling van inlichtingen kan plaatsvinden in het kader van een samenwerkingsrelatie die er met een buitenlandse dienst bestaat. Voordat de diensten een samenwerkingsrelatie aangaan moeten ze onder andere rekening houden met de eerbiediging van de mensenrechten in het land van de buitenlandse dienst. Maar het is ook mogelijk om gegevens te verstrekken aan buitenlandse diensten waarmee geen samenwerkingsrelatie bestaat. In dat geval hoeft zo’n formele afweging niet plaats te vinden. Wat de Nederlandse diensten óók mogen doen is gegevens die ze verzameld hebben maar nog niet hebben geanalyseerd, uitwisselen met buitenlandse geheime diensten. Deze gegevens noemt men “ongeëvalueerde gegevens”. Het gaat dan bijvoorbeeld om grote hoeveelheden gegevens die de diensten met behulp van de sleepnetbevoegdheid hebben vergaard en nog niet hebben geanalyseerd op relevantie.



Op het moment dat deze gegevens aan buitenlandse diensten verstrekt worden, zijn ze nog niet geanalyseerd door de Nederlandse diensten. Dit betekent dat de diensten niet precies weten waarover deze gegevens gaan. Ze kunnen dus geen volledige inschatting maken wat de gevolgen zullen zijn van het delen van deze niet-geanalyseerde gegevens met het buitenland.



In het geval dat de geheime diensten niet-geanalyseerde gegevens verstrekken aan buitenlandse diensten, moet de betrokken minister hiervoor toestemming geven. Er vindt geen voorafgaande toetsing door een rechter of onafhankelijke toetsingscommissie plaats. Bronnen

Wet op de inlichtingen- en veiligheidsdiensten 2017 :

: Uitwisseling gegevens met buitenlandse diensten zonder samenwerkingsrelatie: Artikel 64

Uitwisseling gegevens met buitenlandse diensten samenwerkingsrelatie: Artikel 89

Criteria voor samenwerkingsrelatie: Artikel 88 Geheime diensten uit verschillende landen wisselen met elkaar inlichtingen uit. Ook de Nederlandse geheime diensten doen dit. Deze uitwisseling vindt plaats op basis van vertrouwen: je kan immers nooit goed controleren wat er met de uitgewisselde inlichtingen in het buitenland gebeurt.De uitwisseling van inlichtingen kan plaatsvinden in het kader van een samenwerkingsrelatie die er met een buitenlandse dienst bestaat. Voordat de diensten een samenwerkingsrelatie aangaan moeten ze onder andere rekening houden met de eerbiediging van de mensenrechten in het land van de buitenlandse dienst. Maar het is ook mogelijk om gegevens te verstrekken aan buitenlandse diensten waarmee geen samenwerkingsrelatie bestaat. In dat geval hoeft zo’n formele afweging niet plaats te vinden.Wat de Nederlandse diensten óók mogen doen is gegevens die ze verzameld hebben maar nog niet hebben geanalyseerd, uitwisselen met buitenlandse geheime diensten. Deze gegevens noemt men “ongeëvalueerde gegevens”. Het gaat dan bijvoorbeeld om grote hoeveelheden gegevens die de diensten met behulp van de sleepnetbevoegdheid hebben vergaard en nog niet hebben geanalyseerd op relevantie.Op het moment dat deze gegevens aan buitenlandse diensten verstrekt worden, zijn ze nog niet geanalyseerd door de Nederlandse diensten. Dit betekent dat de diensten niet precies weten waarover deze gegevens gaan. Ze kunnen dus geen volledige inschatting maken wat de gevolgen zullen zijn van het delen van deze niet-geanalyseerde gegevens met het buitenland.In het geval dat de geheime diensten niet-geanalyseerde gegevens verstrekken aan buitenlandse diensten, moet de betrokken minister hiervoor toestemming geven. Er vindt geen voorafgaande toetsing door een rechter of onafhankelijke toetsingscommissie plaats.Bronnen

3: Toegang tot databases

Wat moet er verbeteren? Volgens de nieuwe wet kan elke organisatie of persoon samenwerken met de geheime diensten door hen toegang te geven tot hun databases. Denk dan aan toegang tot de database van bijvoorbeeld onderwijsinstellingen, banken of je persoonlijke documenten bij een cloudprovider. Het zomaar weggeven van die gegevens kan een hele grote privacy-inbreuk opleveren. Men hoeft niet mee te werken met de geheime diensten, maar het is de vraag of men dit durft te weigeren.



Bits of Freedom vindt dat de geheime diensten niet die druk bij een persoon or organisatie neer moet leggen. De wet moet hierop aangepast worden. Er zal hier meer toezicht op moeten komen, zoals toestemming van de minister en de toetsingscommissie. Hoe werkt het in de praktijk? /wp-content/uploads/2018/02/eenbeterewet-realtime-toegang.mp4 Wat staat er in de wet?



De bevoegdheid om via informanten gegevens te verzamelen is in de nieuwe wet opgenomen als een reguliere bevoegdheid van de diensten. Voor de inzet van deze reguliere bevoegdheid is dus geen voorafgaande toestemming van de minister en een goedkeuring van de toetsingscommissie vereist. De diensten kunnen direct voor onbepaalde duur gegevens verzamelen via informanten. De nieuwe wet bouwt deze samenwerking met informanten verder uit. Informanten kunnen ook meewerken door de diensten rechtstreeks geautomatiseerd toegang te verlenen tot hun databestanden of hun databestanden aan de diensten te geven. Met rechtstreeks geautomatiseerde toegang bedoelt de wetgever een online verbinding tussen de geheime dienst en de verstrekkende partij waarbij de geheime diensten direct en zonder dat hieraan een mens te pas komt gegevens kunnen opvragen. En als partijen hun databestanden aan de diensten geven dan zullen deze hierdoor gaan grasduinen op zoek naar profielen of naar patronen – al dan niet in combinatie met andere bestanden.



Een voorbeeld van vrijwillige samenwerking tussen de AIVD en een specifieke groep overheidsdiensten op basis van deze bevoegdheid vormt de Contra-terrorisme Infobox (CT-Infobox). In dit samenwerkingsverband wisselen de geheime dienstem met de volgende diensten gegevens uit: Fiscale Inlichtingen- en Opsporingsdienst – Economische Controledienst (FIOD-ECD), Immigratie- en Naturalisatiedienst (IND), de Landelijke Eenheid van de Nationale Politie, Koninklijke Marechaussee (KMar), Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Openbaar Ministerie (OM). Bronnen Wet op de inlichtingen- en veiligheidsdiensten 2017

Inzet van informanten: Artikel 39

Memorie van Toelichting :

: Beschrijving van ‘realtime toegang’: pagina 76

Beschrijving van de data-analyses die de diensten kunnen uitvoeren op de databestanden die ze van informanten ontvangen: pagina 77. De AIVD en MIVD werken regelmatig met informanten samen om gegevens te verzamelen. Een informant kan in principe iedereen zijn die bereid is om vrijwillig gegevens aan de geheime diensten te verstrekken. Denk dus aan bedrijven, overheidsdiensten, maatschappelijke organisaties of individuele personen die toegang tot gegevens hebben die voor de diensten interessant zijn. Deze samenwerking vindt uiteraard in het geheim plaats.De bevoegdheid om via informanten gegevens te verzamelen is in de nieuwe wet opgenomen als een reguliere bevoegdheid van de diensten. Voor de inzet van deze reguliere bevoegdheid is dus geen voorafgaande toestemming van de minister en een goedkeuring van de toetsingscommissie vereist. De diensten kunnen direct voor onbepaalde duur gegevens verzamelen via informanten.De nieuwe wet bouwt deze samenwerking met informanten verder uit. Informanten kunnen ook meewerken door de diensten rechtstreeks geautomatiseerd toegang te verlenen tot hun databestanden of hun databestanden aan de diensten te geven. Met rechtstreeks geautomatiseerde toegang bedoelt de wetgever een online verbinding tussen de geheime dienst en de verstrekkende partij waarbij de geheime diensten direct en zonder dat hieraan een mens te pas komt gegevens kunnen opvragen. En als partijen hun databestanden aan de diensten geven dan zullen deze hierdoor gaan grasduinen op zoek naar profielen of naar patronen – al dan niet in combinatie met andere bestanden.Een voorbeeld van vrijwillige samenwerking tussen de AIVD en een specifieke groep overheidsdiensten op basis van deze bevoegdheid vormt de Contra-terrorisme Infobox (CT-Infobox). In dit samenwerkingsverband wisselen de geheime dienstem met de volgende diensten gegevens uit: Fiscale Inlichtingen- en Opsporingsdienst – Economische Controledienst (FIOD-ECD), Immigratie- en Naturalisatiedienst (IND), de Landelijke Eenheid van de Nationale Politie, Koninklijke Marechaussee (KMar), Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Openbaar Ministerie (OM).Bronnen

4: Zero-days

Wat moet er verbeteren? Dit is de benaming voor het gebruik maken van onbekende zwakke plekken in software. Die noemen we onbekend, omdat de maker van de software ze nog niet kent. De geheime diensten gebruiken deze zwakke plekken om apparaten te hacken. Het probleem hierbij is dat iedereen die gebruik maakt van die software die zwakke plek dan heeft, de maker van de software niet op de hoogte is, het niet kan oplossen en daarmee ook andere overheden of criminelen hun gang kunnen gaan. Want het zijn niet alleen de geheime diensten die hier naar speuren. Door deze zwakke plekken niet te melden bij de maker, maken de geheime diensten ons niet veiliger maar juist onveiliger. Het is namelijk een illusie om te denken dat alleen de Nederlandse geheime diensten die kwetsbaarheden vinden.



De geheime diensten moeten onbekende zwakke plekken daarom altijd op verantwoorde wijze melden bij de maker van de software. Op basis van de nieuwe wet hoeft dat niet. Dit moet aangepast worden in de wet. Hoe werkt het in de praktijk? /wp-content/uploads/2018/02/eenbeterewet-Kwetsbaarheden2.mp4 Wat staat er in de wet?



Voordat de diensten mogen hacken, hebben ze toestemming nodig van de minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie (TIB) de toestemming van de minister vooraf goed te keuren, tenzij het een spoedgeval betreft. De minister kan toestemming geven voor een periode van drie maanden, maar kan dat ook steeds weer verlengen. Voor het hacken van apparaten maken de geheime diensten gebruik van kwetsbaarheden in hardware en software. Regelmatig zijn deze kwetsbaarheden nog niet bij de leverancier van de hardware of software bekend. De leverancier of andere partijen hebben dan nog niet de kans gehad om de kwetsbaarheid te repareren via een update, patch of nieuwe versie. Dit worden ‘onbekende kwetsbaarheden’ (zero-day vulnerabilities) genoemd.



De wet zelf bepaalt niets over het gebruik van onbekende kwetsbaarheden. Volgens de toelichting bij de wet mogen de geheime diensten deze wel verzamelen en gebruiken en zijn ze niet wettelijk verplicht deze direct te melden bij de betrokken partijen en/of het Onlangs



Onbekende kwetsbaarheden kunnen tot heel veel maatschappelijke en persoonlijke schade leiden. De kwetsbaarheid in een mobiele telefoon van een terreurverdachte is ook een kwetsbaarheid in de mobiele telefoon van elke andere gebruiker. Deze kwetsbaarheden kunnen bovendien niet alleen door de Nederlandse geheime diensten maar óók door buitenlandse diensten, criminelen en andere kwaadwillenden misbruikt worden. Dat al die partijen geïnteresseerd zijn in onbekende kwetsbaarheden blijkt uit de flinke bedragen die hiervoor betaald worden op de zwarte markt.



Het is dan ook van groot belang dat alle ontdekte kwetsbaarheden zo snel mogelijk gerepareerd worden. Het achterhouden van kwetsbaarheden maakt dit onmogelijk en maakt onze digitale infrastructuur onveiliger. Waartoe dit achterhouden van kwetsbaarheden kan leiden, werd het afgelopen jaar wel duidelijk. De Bronnen Wet op de inlichtingen- en veiligheidsdiensten 2017 :

: Hackbevoegdheid: artikel 45

Memorie van Toelichting :

: Beschrijving van wat een ‘technisch gerelateerde partij’ is: p. 78.

Toelichting op inzet onbekende kwetsbaarheden: p. 236

Standpunt kabinet Rutte II over gebruik onbekende kwetsbaarheden

Rapport van de CTIVD over de inzet van de hackbevoegdheid De AIVD en MIVD mogen volgens de nieuwe wet niet alleen apparaten van een doelwit hacken maar ook de apparaten van derden. ‘Derden’ zijn alle andere personen en organisaties die geen doelwit van de diensten zijn maar een ‘technisch gerelateerde partij’. Dat zijn dus alle partijen waarbij de geheime diensten via een technische link bij het doelwit kunnen uitkomen. Het gaat daarbij niet alleen om partijen die bijvoorbeeld netwerken aansluiten of technische diensten leveren, maar ook om familieleden, vrienden of andere personen die bijvoorbeeld op hetzelfde netwerk aangesloten zijn als een doelwit.Voordat de diensten mogen hacken, hebben ze toestemming nodig van de minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie (TIB) de toestemming van de minister vooraf goed te keuren, tenzij het een spoedgeval betreft. De minister kan toestemming geven voor een periode van drie maanden, maar kan dat ook steeds weer verlengen.Voor het hacken van apparaten maken de geheime diensten gebruik van kwetsbaarheden in hardware en software. Regelmatig zijn deze kwetsbaarheden nog niet bij de leverancier van de hardware of software bekend. De leverancier of andere partijen hebben dan nog niet de kans gehad om de kwetsbaarheid te repareren via een update, patch of nieuwe versie. Dit worden ‘onbekende kwetsbaarheden’ (zero-day vulnerabilities) genoemd.De wet zelf bepaalt niets over het gebruik van onbekende kwetsbaarheden. Volgens de toelichting bij de wet mogen de geheime diensten deze wel verzamelen en gebruiken en zijn ze niet wettelijk verplicht deze direct te melden bij de betrokken partijen en/of het Nationaal Cyber Security Centrum (NCSC). Volgens de toelichting kunnen er “wettelijke argumenten (zoals het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn” om kennis over onbekende kwetsbaarheden achter te houden.Onlangs oordeelde de toezichthouder op de geheime diensten (CTIVD) dat er bij de geheime diensten tekortkomingen bestaan in de omgang met onbekende kwetsbaarheden. De werkwijze en relevante afwegingen voor het al dan niet melden bleken niet te zijn uitgewerkt en vastgelegd. Ook constateerde de toezichthouder dat de verslaglegging onvoldoende was. Dit maakte interne controle en extern toezicht niet goed mogelijk. Het vorige kabinet heeft toegezegd maatregelen te nemen om deze tekortkomingen in de toekomst te voorkomen. Het is nog niet bekend of deze maatregelen genomen zijn en waaruit deze maatregelen bestaan.Onbekende kwetsbaarheden kunnen tot heel veel maatschappelijke en persoonlijke schade leiden. De kwetsbaarheid in een mobiele telefoon van een terreurverdachte is ook een kwetsbaarheid in de mobiele telefoon van elke andere gebruiker. Deze kwetsbaarheden kunnen bovendien niet alleen door de Nederlandse geheime diensten maar óók door buitenlandse diensten, criminelen en andere kwaadwillenden misbruikt worden. Dat al die partijen geïnteresseerd zijn in onbekende kwetsbaarheden blijkt uit de flinke bedragen die hiervoor betaald worden op de zwarte markt.Het is dan ook van groot belang dat alle ontdekte kwetsbaarheden zo snel mogelijk gerepareerd worden. Het achterhouden van kwetsbaarheden maakt dit onmogelijk en maakt onze digitale infrastructuur onveiliger. Waartoe dit achterhouden van kwetsbaarheden kan leiden, werd het afgelopen jaar wel duidelijk. De wereldwijde gevolgen van de twee virussen WannaCry en NotPetya geven een idee hoe snel het fout kan gaan. Beide virussen waren gebaseerd op onbekende kwetsbaarheden die al geruime tijd bekend waren bij de Amerikaanse geheime dienst NSA. Maar door het geheim houden van deze onbekende kwetsbaarheden, liepen alle gebruikers van deze kwetsbare software het risico dat iemand met kwade intenties deze kwetsbaarheid ook zou ontdekken en misbruiken. Dat is dus ook gebeurd en zou een goede wake up call moeten zijn.Bronnen

5: Toezicht op de diensten