Beeld ANP XTRA

1. Legitimatie

De opbrengst van de traditionele telefoontap neemt af. Kwaadwillenden wijken steeds meer uit naar open en anonieme toegangspunten van het internet, zoals het wifi-netwerk van een restaurant of een hotel. Zij gebruiken chatfuncties in games en berichten- en videodiensten van sociale media. Dat doen zij doelbewust om onder de radar te kunnen blijven.



Dit is de legitimatie van het kabinet voor de nieuwe wet: datagebruik onttrekt zich aan het zicht van de diensten. Dat klopt gedeeltelijk. Ja, het is zo dat door de snelle toename van internetgebruik communicatie van burgers een stuk grilliger is. Mensen bellen via Skype, sturen berichten via Whatsapp, mailen, sms'en of chatten via een spelletje. Het is echter niet zo dat de geheime diensten totaal geen zicht hebben op wat er gebeurt. Met de huidige wet is het al mogelijk om het internetverkeer van een doelwit af te tappen. Ook is het mogelijk om diens smartphone te hacken, waardoor de diensten zicht krijgen op al het communicatieverkeer van iemand. Alleen: dat is bewerkelijk.

2. Angst

Wij gaan geen grote klem plaatsen op de GSM-providers in ons land. Wij gaan niet op zoek naar mensen die het woord 'bom' of 'ISIS' gebruiken in hun e-mails. We trekken niet in bulk internetverkeer naar binnen om te kijken welke mensen op zoek zijn naar kunstmest. Wij bekijken niet de YouTube-voorkeuren van Nederlandse burgers.



Het kabinet wil met deze passage de angst wegnemen dat de inlichtingendiensten massaal gaan spioneren met de nieuwe wet. Maar let op de woordkeuze: 'We trekken niet in bulk internetverkeer naar binnen'. Dat is slim gekozen, want wat de diensten straks wél doen, is grote hoeveelheden dataverkeer analyseren op zogeheten metadata: data die patronen tussen mensen en hun interacties inzichtelijk maken.

3. Privacy

Het analyseren van de metadata is ook van belang om inbreuken op de persoonlijke levenssfeer, bestaande uit het kennisnemen van de inhoud van communicatie, zo min mogelijk te laten plaatsvinden.



Hier gaat het over metadata. Dat zijn de gegevens van communicatie: welke toestellen hebben met welke toestellen contact, wie mailt met wie, vanaf waar en hoe laat. Deze data zijn van 'wezenlijk belang' voor de inlichtingendiensten. Dat geven ze zelf ook toe: 'Door analyse van deze gegevens (...) kan met betrekking tot een persoon een beeld worden verkregen omtrent zijn relatienetwerk, verplaatsingsgedrag e.d.' Het kabinet heeft lang gedaan alsof het verzamelen van deze gegevens niet zo ingrijpend was. In deze passage lijkt dat weer zo. Dat is flauw, want even verderop staat terecht: 'Het is evident dat daarmee (metadatanalyse, red.) onder omstandigheden een grote inbreuk op iemands persoonlijke levenssfeer kan worden gemaakt.'

4. Tappunten

De regering zal in 2017 één zogenaamde 'access-locatie' gereedmaken voor onderzoeksopdrachtgerichte interceptie. In de periode daarna wil de regering per jaar, tot 2020, uitbreiden met één 'access-locatie'.



Dit is misschien wel de interessante passage uit de nieuwe wet. Dit wil het kabinet dus gaan doen: een toegangspunt tot het internet aftappen. Wat wordt daarmee bedoeld? Erik Bais is eigenaar van internetprovider A2B Internet. Hij weet hoe het internet georganiseerd is. Bais: 'Als we kijken naar mogelijke locaties zijn er eigenlijk twee opties: of op die plekken waar de grote glasvezelkabels aan land komen of bij Amsterdamse datacentra die koppelingen maken tussen providers en diensten als Facebook, YouTube, Google.' Hij denkt dat de diensten naar de laatste locaties gaan. Telecity2 in Amsterdam zou dan weleens heel aantrekkelijk kunnen zijn. 'Amsterdam heeft een aantal sterk bekabelde datacenters, waar iedere zelfrespecterende netwerkleverancier aanwezig is, omdat daar het meeste dataverkeer in Nederland wordt uitgewisseld.'

5. Sleepnet

De diensten hebben ook tot taak (nagenoeg) ongekende dreigingen op te sporen en handelend vermogen te creëren. Hierbij kan het onder meer gaan om nog niet onderkende terroristische cellen. Het is van belang om te weten of er vertakkingen zijn naar Nederland vanuit cellen in Frankrijk, België of Syrië/Irak.



Dit is een voorbeeld dat de geheime diensten graag gebruiken. Zij zien dat terroristische organisaties zoals IS gebruikmaken van zogeheten 'slapende cellen': een groep terroristen die zich laat opgaan in een gemeenschap om op commando toe te slaan. Om te weten wie deze mensen zijn, moeten de diensten internetverkeer tussen Nederland en Syrië analyseren, maar ook die tussen Nederland en België of Nederland en Frankrijk. Dit kunnen zij tot een jaar doen, met eventueel verlenging van een jaar. Op de binnengehaalde data kan vervolgens drie maanden analyse worden toegepast. Bais: 'Wat men feitelijk doet is onderlinge verbanden vastleggen. Welk accounts, telefoons, pc's, IP-adressen hebben contact met elkaar?' Dat doen de diensten door aan metadata-analyse te doen. Op basis van een onderzoeksopdracht bekijken ze wie met wie mailt. Bais: 'Stel dat men zou kijken naar een chatapplicatie. Men zou vervolgens per provider het verkeer van die chatapp kunnen monitoren. Op die manier kun je een sleepnet opbouwen dat alle onderlinge communicaties tussen gebruikers in Nederland en daarbuiten inzichtelijk maakt.'

6. Rookgordijn

De regering betracht maximale transparantie over de inzet van de nieuwe bevoegdheid tot onderzoeksopdrachtgerichte interceptie.



Onderzoeksopdrachtgericht is het nieuwe toverwoord van het kabinet. Kenmerk van de nieuwe bevoegdheden is dat ze 'ongericht' zijn. Dat vond men bij het kabinet te grootschalig klinken. Toen werd het 'doelgericht' en nu dus 'onderzoeksopdrachtgericht'. Het komt eigenlijk allemaal op hetzelfde neer: de geheime diensten willen zicht krijgen op (mogelijke) dreigingen en relevante communicatie inzien en opslaan. Dat doen ze straks door onder andere internetverkeer te analyseren en zo doelwitten te selecteren. Ton Siedsma van privacyorganisatie Bits of Freedom: 'De voorbeelden laten duidelijk zien hoe ruim - ontzettend ruim - de onderzoeksopdrachtgerichte interceptie gezien moet worden. Het is gewoon een sleepnet. De vage omschrijvingen in de Memorie van Toelichting laten daarbij helaas zien dat de beperkingen moeten komen van het toezicht, niet van de regering'

7. Slimme apparaten

Het kan betekenen dat de diensten ook slimme apparaten (zoals koelkasten, horloges, auto's e.d. die zijn uitgerust met computerfuncties) zouden kunnen hacken.



De wet is zo breed mogelijk opgezet om nieuwe technologische ontwikkelingen voor te zijn. De geheime diensten mogen een 'geautomatiseerd werk' hacken. Onder die definitie valt echter steeds meer, zoals het kabinet hier erkent.

8. Hacken

De bevoegdheid tot het binnendringen van een geautomatiseerd werk is gericht van aard. Hierbij zetten de diensten diverse technische capaciteiten in, waarbij bijvoorbeeld onderkende zwakheden in de door het onderzoeksubject gebruikte beveiliging door de diensten zullen worden benut.



Dit is een heel gevoelig punt. Om computers, smartphones of camera's te kunnen hacken zal de geheime dienst gebruikmaken van kwetsbaarheden in software. Software die ook gebruikt wordt door onschuldige burgers, met kwetsbaarheden waar ook criminelen gebruik van willen maken. Is het niet in het belang van iedere burger dat software zo veilig mogelijk is? Het kabinet geeft antwoord: 'Het gebruik en misbruik van dergelijke kwetsbaarheden kan al naar gelang de systemen die het betreft grote maatschappelijke gevolgen hebben. Mede in het licht van het beleid van de overheid met betrekking tot cybersecurity kan dit vragen oproepen. Wij zijn ons van deze spanning bewust, maar het belang van de nationale veiligheid dient onder omstandigheden te prevaleren.'