Het was een indrukwekkende scoop waar Nieuwsuur en de Volkskrant gisteren mee kwamen. Medewerkers van de Nederlandse geheime diensten blijken te zijn geïnfiltreerd in een groep Russische hackers en ontdekten daar hoe de Russen op hun beurt waren binnengedrongen in de computers van het Amerikaanse ministerie van Buitenlandse Zaken, het Witte Huis en de Democratische Partij. 

Nederlandse spionnen doen het al jaren. In 2013 lekte klokkenluider Edward Snowden documenten waaruit bleek dat de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) zich toegang had verschaft tot verschillende webfora en daar de gegevens van gebruikers zeker stelde. Het leidde toen tot felle reacties onder deskundigen, die het een ‘ongelooflijke privacyinbreuk’ noemden en een opmaat naar ‘een surveillancestaat’.

De AIVD hackt. Dat mag volgens de wet. Maar wat betekent dit voor de gewone burger, in een tijd waarin het internet steeds meer grip krijgt op ons leven? 

Juridisch dekkende term

De omschrijving in de huidige Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv), die uit 2002 stamt, is summier en onduidelijk over wat precies wel en niet door de beugel kan. In 2014 kreeg de geheime dienst een tik op de vingers van de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), die achteraf het werk van de spionnen controleert. De AIVD had webfora gehackt en daarbij heimelijk informatie over de forumleden binnengehaald. Dat was volgens de toezichthouder ‘disproportioneel’.  

De nieuwe Wiv is een stuk explicieter over hacken, of ‘binnendringen in een geautomatiseerd werk’ zoals de wetschrijvers het met een juridisch dekkende term omschrijven. Dat was hard nodig, legt de regering uit in de toelichting bij de wet, want ‘toegang tot de smartphone of tablet [is] tegenwoordig vaak relevanter dan bijvoorbeeld het binnentreden in een woning of het inzetten van een telefoontap.’ Dus is nu bijvoorbeeld vastgelegd dat diensten via ‘derden’ kunnen hacken, oftewel proberen om via een ander stiekem in de laptop van een vermeende terrorist te kruipen. Via diens moeder, de buurman of de medehuurder op de server van de internetprovider. Daarover straks meer. 

Het Internet of Things rukt op en meer gebruiksvoorwerpen gaan online: de auto, het horloge en de koelkast

Hacken doen de diensten samen, vanuit het Zoetermeerse hoofdkantoor van de AIVD. Daar zit de Joint Sigint Cyber Unit (JSCU) die de virtuele wereld verkent, op zoek naar bijvoorbeeld vijandige ‘statelijke actoren’, zoals Russische, Iraanse of Noord-Koreaanse hackers die met steun van hun regering de Nederlandse digitale infrastructuur verkennen. Indien nodig duiken de JSCU-medewerkers ook gericht in de soft- en hardware van een target. Nu zijn dat vooral nog servers, computers, smartphones en tablets, maar dat rijtje wordt allengs langer. Het zogenaamde Internet of Things (IoT) rukt op en meer en meer gebruiksvoorwerpen gaan online en veranderen in communicatiemiddelen: de auto, de thermostaat, het horloge en de koelkast. 

Hoewel hacken in de nieuwe Wiv heel wat meer om het lijf heeft, blijft de wet povertjes, zeggen critici. Ja, er zijn waarborgen. Als de AIVD en MIVD het digitale leven van burgers binnendringen, gebeurt dat op last van de minister en is toestemming nodig van de commissie Toetsing Inzet Bevoegdheden (TIB). Maar omdat de nieuwe wet ‘techniekneutraal’ is, zijn de mogelijkheden grenzeloos. Straks mag alles. Tot vreugde van de AIVD, zegt de juridisch medewerker van de dienst die ik voor mijn eerdere artikelen sprak: ‘Het is niet slim om allerlei zaken exclusief te maken, vandaar dat we blij zijn met de benadering. We moeten kijken naar de ontwikkelingen van de tegenstander en daarop anticiperen.’

Kristallen bol

Daar zit een keerzijde aan. Ronald van Raak, Tweede Kamerlid voor de SP, schetste die grenzeloosheid beeldend in zijn bijdrage aan het Wiv-debat, begin vorig jaar. Hij begon zijn betoog in Singapore, waar detectoren zien of mensen roken, of wanneer ze illegaal afval weggooien. De overheid van de Aziatische stadstaat monitort continu waar burgers zich bevinden en wat ze doen. Van Raak: ‘The Wall Street Journal heeft Singapore omschreven als een soort digitale kristallen bol met informatie over alles, over de mensen en de gebouwen, over de hele stad.’ Tel daarbij de slimme gadgets, van het rompertje dat bijhoudt hoe de baby slaapt, de digitale butler die op je stem reageert, tot de 24/7 filmende contactlens van Sony en je krijgt een aardig beeld van wat het IoT nu al vermag.

Waar ligt de grens bij hacken door de geheime dienst?

Gebruikersgemak, voor burger en overheid. Maar ook voor spionnen. Van Raak: ‘Geheime diensten die met je meekijken en meelezen als je aan het mailen of aan het daten bent, als je je geliefde belt of als je bankzaken doet. Ook als je niet zelf met die computer of telefoon werkt, kunnen deze apparaten door anderen worden gebruikt als camera of microfoon. In de toekomst kan het ook via chips in het lichaam.’

Dat is een schrikbeeld voor Kamerlid Van Raak. Hij zet het dik aan, maar de kern van zijn betoog herbergt een valide vraag: waar ligt de grens bij hacken door de geheime dienst? ‘Techniekneutraal klinkt logisch,’ zegt David Korteweg, jurist van online burgerrechtenorganisatie Bits of Freedom. ‘Maar de techniek schrijdt voort, dus de inbreuk is vaak potentieel veel groter. Terwijl de bevoegdheden en waarborgen in de wet geschreven zijn met de huidige technische mogelijkheden in gedachten. Het gaat om het binnentreden van geautomatiseerde werken, zeg maar alles wat verbinding kan maken met het internet. Met het oprukkende Internet of Things is dat straks bijna alles.’ 

Pacemaker

Die onbeperktheid baart ook Nico van Eijk zorgen. De hoogleraar en directeur van het Amsterdamse Instituut voor Informatierecht (IViR) haalt een eerder in de debatten genoemd voorbeeld aan. Van Eijk: ‘Je kan een pacemaker op afstand besturen. Dat werkt in het voordeel van een patiënt. Maar wat als een geheime dienst met diezelfde techniek de pacemaker van een politieke tegenstander kan uitschakelen? Of nog geraffineerder: ervoor zorgen dat de frequentie zo wordt afgesteld dat die persoon eerder vermoeid raakt bij onderhandelingen?’

Daar zou je in de wet eigenlijk afspraken over moeten maken, vindt de hoogleraar informatierecht. ‘Bijvoorbeeld door je af te vragen: houdt het op bij de integriteit van het menselijk lichaam? Gaan we bij mensen nanochips inbrengen, zodat ze vervolgens kunnen worden gepeild? Ik vind dat we daar eigenlijk eerst een bredere maatschappelijke discussie over zouden moeten voeren.’ Het was ook de conclusie van de Tilburgse onderzoekers die vorig jaar in opdracht van het ministerie van Binnenlandse Zaken een Privacy Impact Assessment deden op het Wiv-wetsvoorstel. ‘Als het niet de bedoeling is om ongebreidelde massale surveillance van burgers toe te staan, moeten nu piketpalen worden geslagen in de witte vlekken die ontstaan bij zeer ruim en technologie-onafhankelijk geformuleerde bevoegdheden,’ schrijven ze. 

Het advies van de Amsterdamse en Tilburgse academici is helder: trek de grenzen, want we betreden terra incognita. Wat nu een volstrekt logische aanpassing van de wet is, geënt op de huidige technologie, kan over een tijdje leiden tot letterlijk onbegrensd gebruik en misbruik.

Miljoenen versus één

Wie wil hacken, moet weten waar de zwakte van zijn tegenstander zit. Staat er ergens een achterdeurtje open, oftewel: zijn er ‘kwetsbaarheden in het geautomatiseerd werk’? Met die kennis kan je ongemerkt binnensluipen. Als zo’n kwetsbaarheid in hard- of software onbekend is, heet dat een zero day. Zolang de producent er geen weet van heeft en via updates het gat dicht, heb je vrij spel. 

Dat geldt voor hackende criminelen, maar evenzo voor politie- en inlichtingendiensten. De AIVD en MIVD mogen gebruikmaken van dergelijke kwetsbaarheden. Logisch, want anders heeft hacken geen zin. Maar wat doe je als spion met die kennis? D66-Kamerlid Kees Verhoeven verwoordde dat dilemma begin vorig jaar als volgt in de discussie met de verantwoordelijke ministers: ‘Hou je een onbekende kwetsbaarheid open zodat je een terrorist kunt hacken, met tegelijkertijd het risico dat miljoenen mensen het slachtoffer kunnen worden van hacken via diezelfde kwetsbaarheid die gebruikt wordt door criminelen of buitenlandse inlichtingendiensten? Of laat je die kwetsbaarheid dichten, zodat miljoenen mensen veilig zijn voor hacks, met als risico dat je een mogelijke terrorist niet kunt hacken?’

Miljoenen versus één, het klonk als een retorische vraag. Minister Plasterk kwam met een vaag antwoord. ‘De vraag [is] relevant of die kwetsbaarheid een gevolg is van onachtzaamheid, of die al publiek bekend is en hoeverre er schade optreedt als die kwetsbaarheid niet onmiddellijk wordt gemeld. Dat moet dan worden afgewogen tegen het belang om gebruikmakend van die kwetsbaarheid bijvoorbeeld een bron te achterhalen, een terrorist te achterhalen en op die manier informatie te vergaren.’

Een grijze markt

Daar kan je alle kanten mee op. Dat manco kent de huidige wet ook al, constateerde toezichthouder CTIVD vorig jaar. Het zijn de medewerkers van de Joint Sigint Cyber Unit die beslissen of ze de zero day wel of niet melden, daarbij alle voors en tegens afwegend. ‘De door de medewerkers van de JSCU te volgen werkwijze is echter niet vastgelegd,’ concludeerde de CTIVD. ‘In de praktijk is het melden van onbekende kwetsbaarheden daarmee sterk afhankelijk van de door de individuele medewerkers van de JSCU gemaakte afwegingen en is het niet goed mogelijk daar interne controle en extern toezicht op uit te oefenen.’

Dat lijkt in de nieuwe wet niet anders geregeld, tot verbazing van Bits of Freedom-jurist Korteweg. ‘Door het niet te melden, hou je een grijze markt in stand, waarbij geheime diensten zelf op zoek gaan naar zero days of ze kopen bij hackers. We hebben het gezien bij WannaCry. Dat was een kwetsbaarheid die de Amerikaanse National Security Agency op de plank had liggen, die naar buiten is gelekt en daarna misbruikt. Dat heeft wereldwijd consequenties gehad. Wij vinden dat je zero days daarom zo snel mogelijk moet melden.’

'De diensten hebben die zero days nodig om te kunnen hacken'

Eerder adviseerde Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit, om in de nieuwe wet de diensten te verplichten om kwetsbaarheden volgens de gangbare responsible disclosure richtlijnen publiek te maken. ‘Zeg binnen een maand aan de fabrikant te melden, en binnen een halfjaar publiek te maken. Omdat reparatie en installatie altijd enige tijd vergen, hebben de diensten dan nog ruim de gelegenheid er hun offensieve voordeel mee te doen.’ 

Het is er niet van gekomen. Daargelaten of Jacobs termijn een redelijke is, wordt in de nieuwe Wiv met geen woord gerept over dergelijke richtlijnen. Dat de wet veel openlaat, lijkt me overduidelijk. Hoe erg is dat? De voorbeelden van wat een door de Nederlandse AIVD verzwegen zero day allemaal teweeg kan brengen, klinken eerlijk gezegd nogal uitvergroot. Is het nodig om dat scherper in de Wiv op te nemen? Een voormalige AIVD’er die ik erover spreek, moet niets hebben van mogelijke beperkingen op het gebruik van kwetsbaarheden. ‘De diensten hebben die zero days nodig om te kunnen hacken. Het is ook niet zo dat door zo’n ontdekking de computers van burgers ineens kwetsbaar worden. Dat waren ze al: criminelen hadden er met behulp van ransomware ook gebruik van kunnen maken. Daarbij komt dat in alle operating systems meerdere zero days zitten. Als je er eentje dicht, wordt het niet opeens helemaal veilig.’

Touwtje uit de online brievenbus

De diensten mogen hacken en daarbij zero days gebruiken. Maar dat is nog steeds geen recept voor succes. Een doorsnee burger mag dan misschien naïef zijn, internet savvy targets laten geen touwtje uit de online brievenbus hangen. Zo iemand blijft weg van het web of gebruikt waterdichte encryptie. Direct hacken is geen optie.

In ‘bijzondere gevallen’ kan de overheid een nietsvermoedende individuele burger hacken, om zo bij het eigenlijke doel uit te komen

Dan biedt toegang via een ‘derde’ wellicht uitkomst, ook wel een stepping stone genoemd. Volgens de toelichting bij de Wiv gaat het om een ‘technisch gerelateerde partij’ die in contact staat met het daadwerkelijke doel. Dat kan het bedrijf zijn dat software levert, de servers host of zorgt voor de aansluiting op het netwerk. Een internetprovider bijvoorbeeld. Maar let op, schrijft de wetgever, in ‘bijzondere gevallen’ kan het ook zijn dat de overheid een nietsvermoedende individuele burger hackt, om zo bij het eigenlijke doel uit te komen. Bijvoorbeeld omdat die radicale jihadist wél de mailtjes van een goede bekende opent. Of omdat hij soms de gemakkelijk te hacken telefoon van een huisgenoot gebruikt. En misschien gaat de mogelijke aanslagpleger wel bij zijn moeder op de koffie en kan de dienst via haar laptop meekijken en -luisteren. 

Creepy idee

Uiteraard is dat allemaal weer met de nodige waarborgen omgeven, aldus de regering, want ‘voor de derde moet de inzet van deze bevoegdheid gepaard gaan met een zo klein mogelijke inbreuk op diens privacy’. Maar die goede bedoelingen zijn voor Raad van State niet genoeg. Iemand die op zo’n manier wordt gebruikt door de geheime diensten, mag als hij of zij wordt gehackt wel wat meer bescherming krijgen, oordeelde het adviesorgaan.

Wat als het target erachter komt dat hij via jou wordt gehackt?

Daargelaten dat het een creepy idee is om als onschuldige te worden ingezet door spionnen, kunnen er onvoorziene consequenties zijn. Wat als het target erachter komt dat hij via jou wordt gehackt? Of wat als de provider ziet dat er vanaf jouw computer een poging wordt gedaan om bij iemand binnen te dringen? Stuurt de dienst dan een mailtje met: sorry, dat waren wij? 

De Raad vindt de argumentatie ook haperen. Enerzijds zegt de regering dat ze hacken van derden als ultimum remedium ziet. Aan de andere kant geven de opstellers van de Wiv toe dat doelwitten van de dienst vaak zeer veiligheidsbewust zijn. Dan is de kans om via een ‘derde’ succesvol toe te kunnen slaan groter en dus verleidelijker. Sterker nog, volgens de Raad van State hebben de diensten aangegeven dat ze in de praktijk al ‘in het overgrote deel’ gebruikmaken van ‘de geautomatiseerde werken van derden’. 

Ook de controleur van de geheime diensten, de CTIVD, heeft moeite met het hacken van derden. In haar laatste advies zegt de commissie ermee te kunnen leven, mits de overheid er de term ‘onvermijdelijk’ op plakt. Die goede raad heeft het kabinet niet overgenomen. De onderzoekers van het PIA dat het ministerie van Binnenlandse Zaken vorig jaar liet uitvoeren, zijn volstrekt helder in hun oordeel over deze vorm van hacken: die moet ‘intrinsiek worden afgewezen’. 

Informanten en agenten

En wat als alle wegen doodlopen? Als een hack geen uitkomst biedt en er geen veiligheidsgaatje is te vinden bij de internetprovider of bij de buurman? Dan kan de AIVD ook nog terugvallen op onvervalst ouderwets informanten werven. Iemand die wekelijks met een volle USB-stick het pand van de provider uit loopt en zich bij de spionnen in Zoetermeer meldt, of die vrijwillig intern een knopje omzet zodat de dienst realtime kan meekijken in het door haar begeerde ‘geautomatiseerd werk’. 

Dat is sowieso een risico, vindt Bits of Freedom. Want realtime toegang is niet alleen een uitwijkmogelijkheid als hacken niet lukt, het is ook een alternatief voor bulkinterceptie, oftewel ‘het sleepnet’, zoals de digitale burgerrechtenbeweging het noemt. Waarom zou je nog de kabel aftappen, als je via een medewerker van een provider grote hoeveelheden data kan binnenhalen? ‘Informanten winnen is een basale vorm van inlichtingen vergaren,’ zegt BoF-jurist David Korteweg. ‘Het is geen bijzondere bevoegdheid, dus er zijn minder waarborgen. De commissie TIB komt er niet aan te pas.’ 

De diensten zeggen dat ze dat nu ook al mogen, beweert Korteweg. ‘Dat vraag ik me af. In de huidige wet staat medewerking aan realtime toegang helemaal niet omschreven. Net als hacken van derden. Daarom willen ze het expliciet maken in de nieuwe wet.’ Dat is nu gebeurd, maar met veel te weinig oog voor de potentiële impact, vindt hij. ‘Als straks een medewerker van een provider vrijwillig als informant voor de AIVD werkt, kan dat grote gevolgen hebben voor jouw privacy. Het is wat er in de Verenigde Staten gebeurde toen veiligheidsdiensten via medewerkers van Yahoo gegevens kregen over het inkomende mailverkeer van miljoenen gebruikers.’ Ergo, de data van de ‘onschuldige burger’ vloeit naar de dienst, en deze keer zonder het door de overheid zo geprezen ‘robuuste toezicht’ dat wel geldt als de spionnen zélf de kabel aftappen.

‘Woeha! Wat een onzin’

Bits of Freedom heeft een fictieve casus voor realtime toegang opgenomen in haar online kieswijzer, waarbij de AIVD een medewerker van een provider weet te strikken om metadata van klanten met de dienst te delen en uiteindelijk realtime toegang tot de server te geven. Als ik dat voorbeeld voorleg aan een voormalige AIVD’er, reageert deze afwijzend. ‘Woeha! Wat een onzin om te zeggen dat dit zonder bijzondere bevoegdheid kan. De dienst mag gebruikmaken van agenten, maar alleen als dat voldoet aan de eisen van proportionaliteit en subsidiariteit. Als dit voorbeeld echt zou gebeuren, dan kreeg de dienst een zware tik op de vingers van de CTIVD.’  

De verwarring die hier dreigt, is het onderscheid tussen twee soorten bronnen van de dienst: de informant en de agent. Simpel gezegd geeft de eerste op vrijwillige basis informatie aan de dienst en wordt de tweede aangestuurd door de AIVD of MIVD. Ronald Plasterk legde het nog maar eens uit aan de leden van de Eerste Kamer, toen de Wiv daar werd behandeld in de zomer van 2017. ‘Een agent is iemand die in opdracht van de dienst handelingen verricht, informatie vergaart of iets doet,’  zei de minister. ‘Dat mag alleen als daarvoor een last is gegeven. Het aanspreken van een informant of het aangesproken worden door een informant hoort echter bij de dagelijkse taken van de dienst. Daarvoor hoeft ook nu geen aparte last, geen aparte opdracht te worden gegeven.’

Plasterk gaf toe dat dat verwarrend was en deed vervolgens een toezegging

Duidelijk, zou je zeggen. Maar de senatoren vroegen door. Jannette Beuving van de PvdA wilde weten waarom de regering het ‘bevragen van gegevensbestanden bij derden’ een minder ingrijpend middel vindt dan het gereedschap die als een ‘bijzondere bevoegdheid’ (aftappen, hacken) gelden. Plasterk gaf toe dat dat verwarrend was en deed vervolgens een toezegging. ‘Stel dat iemand heel goed kan hacken en de AIVD zegt “zou je ons een lol willen doen en dit of dat willen hacken?”, dan mag dat alleen maar wanneer dat onder de hackvoorwaarden gebeurt, dus als ware het een hack die door de dienst zelf wordt gedaan. Dat zeg ik toe. Dat geldt ook voor het geval waarin iemand toegang kan krijgen tot een database. Als de AIVD dan vraagt of die persoon voortaan bepaalde zaken wil naslaan, dan is dat iets anders dan een informant die zegt: goh, ik wil zo af en toe weleens iets vertellen over wat er bij ons in de straat gebeurt.’

David Korteweg kent de uitspraak van Plasterk, maar is er niet door gerustgesteld. ‘De minister lijkt te zeggen dat als je iemand inzet om informatie te vergaren die je ook via zo’n bijzondere bevoegdheid had kunnen vergaren, dat dan dezelfde waarborgen moeten gelden als voor die bijzondere bevoegdheid. Maar echt, dat is onduidelijk. Het staat niet in de wet.’

Ruimte voor interpretatie?

Het staat niet in de wet. Dat is toch wel de meest gehoorde kritiek van kenners die ik spreek, van mensen die de Wiv grondig hebben bestudeerd. De vraag is natuurlijk of een wet inclusief moet zijn of exclusief. Benoem je expliciet wat wel of niet mag? Of is er ruimte voor interpretatie? De wetgever lijkt in ieder geval op onderdelen voor het laatste te hebben gekozen. De Memorie van Toelichting, het regeerakkoord en de brief die Ollongren in december naar de Kamer stuurde, bieden wat meer houvast, maar het zijn geen juridische ankers. 

Het is ook wat Kees Verhoeven, Tweede Kamerlid (D66) en partijgenoot van Ollongren, eerder in een Kamerdebat benadrukte: ‘Het is belangrijk dat we geen sluiproutes in de wet opnemen waardoor er allerlei mogelijkheden ontstaan voor de diensten om dingen te doen waarvan op mondelinge momenten of in secundaire geschriften wordt gezegd dat het allemaal niet de bedoeling is, maar het in de wet zelf niet goed, hard en duidelijk is geregeld.’ In het licht van die uitspraak is het dan toch curieus dat Verhoeven nu voorstander is van de Wiv.

Wel of geen aanpassing na het referendum, er is hoe dan ook een grote rol weggelegd voor de controleurs van de geheime diensten. Na eerdere kritiek op het wetsvoorstel heeft de regering de commissie Toezicht Inzet Bevoegdheden (TIB) aan de wet toegevoegd. Die kijkt op voorhand mee met wat de diensten van plan zijn. Als dat niet deugt, gaat het niet door; een negatief oordeel van de TIB is bindend. Daarnaast is er de al bestaande controle achteraf door de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten. Voor hen heb ik een volgende aflevering in deze reeks gereserveerd.