Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

46 artikelen

© Rosa Snijders

Via open bronnen en commerciële datasets halen de inlichtingen- en veiligheidsdiensten miljarden gevoelige persoonsgegevens binnen. Met speciale software kunnen ze die via een enkele druk op de knop doorzoeken, analyseren en zo een ijzingwekkend accuraat beeld van iemands leven schetsen. Maar de wettelijke basis om deze tools in te zetten is dun, en toezicht is er nauwelijks. Experts en (oud-)toezichthouders pleiten daarom voor nieuwe wetgeving die het gebruik reguleert: ‘Dit kan ingrijpende gevolgen voor burgers hebben.’

0:00
Dit stuk in 1 minuut
  • Inlichtingen- en veiligheidsdiensten gebruiken steeds vaker commerciële zoekprogramma’s die toegang geven tot gevoelige persoonsgegevens. Dat valt onder onderzoek met open bronnen – beter bekend als Open Source Intelligence (OSINT) – waardoor er weinig toezicht is.
  • Experts en (oud-)toezichthouders pleiten voor nieuwe wetgeving die het gebruik van OSINT reguleert: ‘Dit kan ingrijpende gevolgen voor burgers hebben.’
  • Databedrijven opereren als intermediairs tussen criminelen, malafide adverteerders en ‘nette klanten’ als overheidsdiensten en Fortune 500-bedrijven. Bedrijven die zich specialiseren in het vinden, bundelen, koppelen en doorzoekbaar maken van zulke informatie doen goede zaken. Een deel van hen doen dat exclusief voor inlichtingen- en opsporingsdiensten.
  • De diensten houden bij de aankoop en het gebruik van commerciële software-tools onvoldoende rekening met de impact die dat kan hebben op de rechten van burgers.
Lees verder

Er klinkt luidruchtig gebrom in Nacka, een wijk in Stockholm. Het is dinsdag 22 november 2022, zes uur ’s ochtends. Twee Black Hawk-helikopters van het Zweedse leger hangen in het donker boven een vrijstaande witte villa. Onder een paar enorme zoeklichten laten in het zwart geklede commando’s zich via touwen uit de helikopters op het dak van de villa zakken, die tegelijkertijd door auto’s met loeiende sirenes wordt omsingeld.

Via de ramen vallen de commando’s het huis binnen, en voeren de bewoners geboeid af. De bewoners van de sjieke buurt zijn totaal overrompeld door de inval. Aan hun buren, een echtpaar van rond de zestig, was volgens hen ‘niets opvallends’ te zien. ‘Ze hadden het over tuinieren en groetten altijd vriendelijk,’ zegt een van de buren.

Maar de Zweedse inlichtingendiensten hebben ontdekt dat de twee, die in 1997 van Rusland naar Zweden emigreerden, spionnen zijn. De actie moest voorkomen dat het echtpaar bij hun aanstaande arrestatie bewijsmateriaal zou vernietigen. 

De zaak trekt de aandacht van Nico Dekens. Hij is een van Nederlands beste digitale detectives en heeft eerder voor de inlichtingendiensten van de politie gewerkt. Momenteel werkt hij bij het Amerikaanse ShadowDragon, dat hulpmiddelen ontwikkelt voor het verzamelen en verwerken van publiek toegankelijke informatie op internet. 

Dekens bracht met commerciële tools het leven van de twee Russische spionnen in kaart

Dekens wilde weten of hij meer over de spionnen kan achterhalen. ‘Dit is mijn werk en mijn hobby, 24 uur per dag, 7 dagen per week,’ zegt hij tegen Follow the Money. Met behulp van allerlei software-tools vond hij binnen de kortste keren stapels informatie over het duo. Hun aliassen, e-mailadressen, telefoonnummers, sociale media-accounts, opleidingsgegevens, de auto die ze gebruikten en foto’s van het echtpaar.

Hij kon zelfs hun bewegingen in kaart brengen: ‘Met speciale software kan ik een denkbeeldige doos over een huis zetten, waarna ik alle mobiele apparaten kan vinden die daar actief zijn geweest, en kan zien waar die de afgelopen maanden allemaal zijn geweest. Vanuit een spionageperspectief is dat natuurlijk heel interessant.’

Dekens bracht met commerciële tools het leven van de twee Russische spionnen in kaart, en liet zien waartoe een goede digitale speurder in staat is. Tegelijkertijd zou het zomaar een casus kunnen zijn voor de goed bezochte, peperdure trainingen die hij aan medewerkers van westerse inlichtingendiensten geeft.

Op de vraag of de Nederlandse inlichtingendiensten (de AIVD en de MIVD) daar ook bij zitten, antwoordt Dekens: ‘Geen commentaar.’ De software die hij gebruikte, wordt wel genoemd in een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) van begin 2022. De diensten hebben geautomatiseerde tools gemaakt en aangekocht, waarmee ze gigantische hoeveelheden gevoelige persoonsgegevens verzamelen en met een druk op de knop kunnen doorzoeken.

Dunne onderbouwing

Al gebruikten de diensten zulke Open Source Intelligence of OSINT-tools in de periode die het CTIVD-rapport beschrijft niet dagelijks, ze worden door de digitalisering van de samenleving steeds belangrijker, en hun impact op de rechten van burgers neemt navenant toe. 

‘Via deze tools kunnen de diensten toegang kopen tot praktisch alles,’ zegt Bert Hubert. Hij was tot voor kort lid van de Toetsingscommissie Inzet Bevoegdheden (TIB), de andere toezichthouder op de inlichtingendiensten. ‘Alles wat er online aan informatie te vinden is. Ze mogen gestolen databases kopen, gelekte gegevens ook. Het wordt zelfs van ze verwacht.’

De wettelijke onderbouwing om zulke tools te kopen en in te zetten is volgens het rapport van de CTIVD echter dun en ondoorzichtig. Dat schuurt met fundamentele rechten, zoals het recht op privacy. Sinds november 2022 doen de diensten daarom een pilot met een toetsingskader om te waarborgen dat de aanschaf en inzet van deze nieuwe spionagemiddelen binnen de regels plaatsvindt.

Hubert is blij met deze toetsing, maar waarschuwt dat die wel in de wet moet worden verankerd: ‘Als je dit niet heel strak inkadert, loop je het risico dat je toch langzamerhand je eigen Stasi bouwt.’

Hij noemt de hoeveelheid persoonsgegevens die inlichtingendiensten met OSINT kunnen verzamelen ‘overweldigend’ en wijst erop dat die vaak verdergaand zijn dan wat je met een tap of een hack kunt binnenhalen. Maar taps en hacks zijn ‘bijzondere bevoegdheden’ en de inzet daarvan is aan strenge regels en extern toezicht onderworpen. Maar dat geldt niet voor de OSINT-software die Nico Dekens gebruikte.

Crazy walls

OSINT is de officiële term voor het vergaren en analyseren van informatie uit openbare bronnen over mensen, bedrijven of gebeurtenissen. Er zijn veel bronnen om uit te putten: kranten en tijdschriften, sociale media feeds, publieke fora, de Kamer van Koophandel, het kadaster, geboorte-, huwelijks- en overlijdensberichten, stambomen, verkeers-, vlucht- en scheepvaartgegevens, satellietfoto’s, weerberichten en locatiebepalingen. 

Die combineer je vervolgens. Denk aan de crazy walls, de prikborden uit tv-series en films, vol knipsels en foto’s die met rode draden met elkaar zijn verbonden en waar een detective onrustig langs ijsbeert in de hoop verbanden te zien.

Dat ijsberen doen ze tegenwoordig online. Met de digitalisering van de samenleving is het aantal openbare bronnen explosief gestegen, net als de hoeveelheid informatie die je er kunt vinden: wie je contacten zijn op sociale media, je paspoortnummer, soms ook je wachtwoorden en locatiegegevens.

Daarmee kun je een digitale ‘crazy wall’ maken, maar dan eentje on steroids. Samengesteld uit duizenden gegevens en honderden verbanden, waarmee onderzoekers hele levensgeschiedenissen kunnen reconstrueren en mensen in de gaten kunnen houden, zoals Dekens deed met het Russische echtpaar.

Inmiddels is er een florerende industrie ontstaan van bedrijven die zich specialiseren in het vinden, bundelen, koppelen en doorzoekbaar maken van zulke informatie, waaronder ook bedrijven die dat uitsluitend voor inlichtingen- en opsporingsdiensten doen. Dekens gebruikte het softwarepakket Maltego, een toegangspoort tot tientallen zoekmachines en andere databronnen. Met een druk op de knop kon hij zo uit miljarden persoonsgegevens, locatiegegevens en honderden sociale mediaplatforms eenvoudig de relevante data opvissen.

‘Geslachtsrijpe Chinese vrouwen’

Maltego is een van de geautomatiseerde OSINT-tools waarvan het CTIVD-rapport stelt dat de diensten die mogelijk gebruiken. 

Programma’s als Maltego werken simpel. Je zet een naam in een zoekveld, waarna de software allerlei gekoppelde databanken doorzoekt en automatisch een diagram construeert met daarin alle gevonden mensen, bedrijven, locaties, e-mailadressen, gebruikersnamen, wachtwoorden, social mediasites, aliassen, sociale contacten, hobby's en digitale infrastructuren die een relatie hebben met de ingevoerde naam.

Hoe meer abonnementen, hoe meer munitie

Bij Maltego kun je via abonnementen toegang krijgen tot zoekmachines en databases die door weer andere bedrijven zijn verzameld. Hoe meer abonnementen, hoe meer munitie. Zo kun je tientallen andere tools aan Maltego koppelen. Bijvoorbeeld Spycloud, ontwikkeld door de Nederlandse hacker Nick Brands. Al jaren verzamelt Spycloud databases die open en bloot op internet staan. Het beschikt naar eigen zeggen over ruim 300 miljard ‘recaptured assets, zoals gebruikersnamen, telefoonnummers, geboortedata, ID-nummers en wachtwoorden die het op internet vindt, koopt, of van criminelen steelt.

Wie de afgelopen jaren hackers heeft gevolgd, krijgt een aardig idee wat er online vrij verkrijgbaar is. Van no fly-lijsten van de Amerikaanse douane en een database van ‘geslachtsrijpe Chinese vrouwen’ tot geschraapte datasets van Linkedin, Twitter en Facebook, met daarin honderden miljoenen telefoonnummers, e-mailadressen en soms ook wachtwoorden van de gebruikers.

Ook circuleren er gigantische hoeveelheden gestolen databases op internet, die criminelen online hebben gezet of te koop aanbieden. Ransomware-groepen doen dat soms als ‘straf’ voor slachtoffers die niet wilden betalen, of om slachtoffers onder druk te zetten alsnog geld over te maken.

Tot slot zijn er bedrijven die Advertising Intelligence (ADINT) aanbieden. Zij maken er misbruik van dat vrijwel iedereen voorwaarden van applicaties of websites accepteert zonder ze te lezen. Bijgevolg geeft vrijwel iedereen zijn locatie, zoekgeschiedenis en contacten prijs, in ruil voor gepersonaliseerde advertenties. Malafide adverteerders verzamelen deze informatie en verkopen die aan datahandelaren, die haar vervolgens weer kunnen doorverkopen, onder meer aan inlichtingen- en veiligheidsdiensten.

Wat is Advertising Intelligence (ADINT)?

Elke telefoon heeft een unieke code, die adverteerders kunnen gebruiken om gericht advertenties naar het toestel te sturen. Adverteerders kunnen zo veel informatie binnenhalen over deze telefoons: waar ze zich bevinden, welke apps erop draaien en wanneer die worden gebruikt. Dat leidt tot een haast onafgebroken stroom aan data die je smartphone, meestal zonder dat je dat weet, aan derden stuurt. De gebruiker van de telefoon hoeft niet eens op de advertentie te klikken om de datastroom op gang te brengen.

De handel in deze gegevens is een miljardenbusiness, en leidt tot complete gebruikersprofielen waarin een ris aan persoons- en locatiegegevens, voorkeuren, interesses en soms zelfs medische aandoeningen is verwerkt.

Heel duur hoeft die manier van datavergaring niet te zijn, lieten onderzoekers van de universiteit van Washington zien. Ze kochten voor slechts 1000 dollar advertenties in met de telefoons van specifieke mensen als doelwit. Met de data die ze zo genereerden, waren ze in staat deze mensen fysiek te volgen en vast te stellen of zij op een locatie gebruik maakten van bijvoorbeeld de religieuze app Quran Reciter of de Grindr dating-app. De gebruikers van de telefoon hadden niets door.

Lees verder Inklappen

‘OSINT is allang veel meer dan het “naslaan” van een telefoonboek of een tijdschrift,’ zegt CTIVD-voorzitter Nico van Eijk. ‘Als iemand een applicatie toestemming geeft om zijn telefoon leeg te zuigen, komt er een permanente datastroom op gang van alle informatie uit dat toestel: van je locatiegegevens tot welke apps je gebruikt, en de tijdstippen waarop je actief bent.’

‘Zulke gegevens kunnen in het kader van OSINT worden verzameld. Dus als een adverteerder toegang tot die data krijgt en die doorverkoopt aan een databroker, die dat weer herverpakt en importeert in een dataset die in een OSINT-tool wordt gebruikt, kan dat zelfs meer en waardevollere informatie opleveren dan een internettap.’

Afschuiven van verantwoordelijkheid

Databedrijven opereren zodoende inmiddels als intermediairs tussen malafide adverteerders en ‘nette klanten’. Sommige bedrijven verzamelen zelfs gestolen informatie: ze infiltreren in criminele netwerken waar ze via heling of social engineering de databases in handen krijgen. Vervolgens verkopen ze toegang tot deze data aan iedereen die er maar voor wil betalen. Houden inlichtingendiensten, wanneer zij zulke producten afnemen, niet een cultuur van stelen en afpersen in stand?

‘De Autoriteit Persoonsgegevens zou dit soort datasets moeten monitoren,’ zegt Floor Terra van het Nederlandse adviesbureau Privacy Company, dat internationaal furore maakt met gedetailleerd onderzoek van de datastromen naar grote techbedrijven. ‘Zij moet erop toezien dat betrokkenen worden geïnformeerd dat hun data de ronde doen, zodat die gegevens niet misbruikt kunnen worden. Maar dat gebeurt niet. Ondertussen denken die bedrijven: als je ermee wegkomt, is het goed.’

Op de vraag of een inlichtingendienst wel zaken moet doen met dergelijke intermediairs, zegt Terra: ‘Een inlichtingendienst mag criminele data inkopen, dus waarom niet ook data van een bedrijf dat alleen bestuursrechtelijke wetten overtreedt en geen strafrechtelijke? Dat die gegevens niet voorhanden horen te zijn, betekent niet dat inlichtingendiensten ze niet mogen kopen.’

Wat hij wel opmerkelijk vindt: ‘De diensten zeggen over bepaalde gegevens, zoals gestolen gegevens: het wordt verkocht, dus dan is het openbaar. Daarmee draag je bij aan de instandhouding van dit ecosysteem.’

Ook Hubert is daar bezorgd over: ‘Er is een rijk ecosysteem van dataverkoop door boeven. Als inlichtingendiensten daar vrij mogen inkopen, bestaat het gevaar dat je dat systeem sponsort. Dan wordt het ineens heel interessant om van alles te gaan hacken om geld binnen te halen. Dat wil je echt niet.’

‘Als de diensten die data zelf zouden verzamelen, zou de toezichthouder ingrijpen’

Terra ziet twee problemen: ‘Ten eerste het afschuiven van de verantwoordelijkheid naar bedrijven die zulke informatie verzamelen. Als de diensten die data zelf zouden verzamelen, zou de toezichthouder ingrijpen. Zo rek je de grenzen van wat de diensten kunnen doen enorm op. Ten tweede is het de vraag of het wenselijk is dat je toegang tot gegevens koopt waarvan je eigenlijk zou zeggen: dit klinkt als massasurveillance. Daar is in de wet onvoldoende rekening mee gehouden.’

CTIVD-voorzitter Van Eijk ziet nog een ander risico. ‘Je weet nooit zeker of de aanbieder van een commerciële tool meekijkt.’ Daarbij komt dat het voor afnemers van zo’n tool niet inzichtelijk is waar bepaalde gegevens vandaan komen of hoe betrouwbaar ze zijn.

‘Als je dat niet doet, neem je staatsveiligheid niet serieus’

Moderne OSINT-technieken zijn van groot belang voor inlichtingen-, veiligheids- en opsporingsdiensten, en kunnen ervoor zorgen dat analisten bij dreigende situaties razendsnel informatie kunnen verzamelen.

Dekens haalt een voorbeeld aan. ‘Toen ik bij de politie werkte, op de inlichtingenafdeling bij contraterrorisme, was ik op zoek naar een terroristische cel. Het kostte me drie maanden om tot een bepaald beeld te komen. Kort daarna kreeg ik toegang tot Maltego. Toen heb ik geprobeerd hoeveel sneller ik daarmee tot hetzelfde beeld kon komen. Dat lukte binnen twee dagen.’

Dekens vertelde onlangs over een filmpje waarin een jongen aankondigde dat hij met wapens naar school zou gaan. In een flits zag Dekens een e-mailadres voorbij komen. Hij vond met Maltego razendsnel het huisadres van de jongen en wist ‘zijn hele doopceel’ te lichten. Zo heeft Dekens mogelijk een school shooting helpen voorkomen.

Vandaar dat hij concludeert: ‘Als je zulke dingen niet doet als inlichtingendienst, neem je staatsveiligheid niet serieus. Maar: er moeten wel duidelijke regels en kaders komen.’

‘Recht op kennisneming’

Dekens noemt daarmee een belangrijk punt: de wettelijke basis voor de inzet van commerciële OSINT-tools is flinterdun. 

Volgens de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) mogen de diensten gegevens verzamelen uit ‘voor een ieder toegankelijke informatiebronnen’. Dat zijn blijkens de toelichting alle bronnen die zonder ‘drempels’ kunnen worden geraadpleegd, zoals de open delen van sociale media. Een definitie van zo’n drempel staat er niet bij, maar registratie of een (kleine) betaling om bij gegevens te komen, valt daar volgens de wetgever niet onder, stelt de CTIVD.

Het enige voorbeeld dat de wetgever geeft: de diensten mogen een abonnement op de gegevens van de Kamer van Koophandel nemen

De bevoegdheid om grote, commercieel beschikbare datasets en OSINT-tools aan te kopen, baseren de diensten daarom op een ander artikel uit de Wiv. Dat vergt wel enige juridisch lenigheid. Dat artikel geeft ze namelijk het recht gegevens te verzamelen uit bronnen waarop een ‘recht op kennisneming is verleend’. Volgens de CTIVD bedoelt de wetgever daarmee dat de diensten data mogen verzamelen uit bronnen waartoe hen via een andere wet toegang is verleend, bijvoorbeeld via de Wet politiegegevens.

De diensten lezen dit echter anders. Volgens hen mogen ze dat ‘recht tot kennisneming’ ook kopen. Ze beroepen zich op de toelichting op de Wiv, waarin welgeteld één keer staat dat ze commercieel beschikbare gegevens mogen verzamelen. Het enige voorbeeld dat de wetgever geeft: de diensten mogen een abonnement op de gegevens van de Kamer van Koophandel kopen. Ondertussen kunnen analisten langs deze route miljarden persoonsgegevens bereiken en lijkt het ze niet uit te maken waar die vandaan komen, of wat de inhoud ervan is.

Met dat scenario is bij de Wiv 2017 volgens de CTIVD totaal geen rekening is gehouden. Het Duitse onafhankelijke onderzoeksplatform Stiftung Neue Verantwortung leverde om die reden in een recent rapport stevige kritiek op de ‘onredelijk brede uitleg’ van wat inlichtingendiensten in Nederland onder publiek beschikbare informatie verstaan.

Waarborgen 

De CTIVD bepleit daarom nieuwe wetgeving die vaststelt wat de diensten wel en niet mogen doen met geautomatiseerde OSINT. Ze wil die met waarborgen omkleden, ‘zowel voor wat betreft de tools als de via deze tools te raadplegen bronnen’. 

Die waarborgen ontbreken omdat de wetgever het gebruik van OSINT bij de invoering van de huidige wet voor de inlichtingen- en veiligheidsdiensten niet als een vergaand inlichtingenmiddel zag. OSINT-tools aanschaffen en inzetten valt daarom onder de algemene bevoegdheden van de diensten. Het gevolg is dat de besluitvorming hierover een interne aangelegenheid is. Onder specifieke omstandigheden moet een medewerker toestemming vragen, maar een akkoord van het diensthoofd volstaat. Het diensthoofd mag deze verantwoordelijkheid bovendien delegeren aan medewerkers die lager in rang zijn.

Het contrast met de ‘bijzondere bevoegdheden’ van de diensten, zoals aftappen en hacken, is daarom groot. Die zijn wél aan strenge voorwaarden gebonden, zoals toestemming vooraf van de Toetsingscommissie Inzet Bevoegdheden. Die houdt bovendien toezicht op de verwerking van de data die de diensten langs deze weg verzamelen.

Voormalig TIB-lid Bert Hubert heeft moeite met dit verschil: ‘Enerzijds kan het gebruik van OSINT heel nuttig zijn en soms juist voorkomen dat zwaardere, bijzondere bevoegdheden moeten worden ingezet. Anderzijds zijn de databases die tegenwoordig rondzwerven echt overweldigend. En door al die lekken en handel in data zijn mensen zich daar meestal niet van bewust. In die gevallen kan OSINT zo heftig zijn dat het zijn eigen bijzondere bevoegdheid wordt, maar dan dus zonder toezicht. Dat is raar.’ 

Wordt OSINT gebruikt om de regels te omzeilen? Nico van Eijk: ‘We hebben als CTIVD aandacht voor dit soort vragen. Het voelt krom dat de diensten voor een individuele tap een last nodig hebben, en dat voor het binnenhalen van zeer veel data van zeer veel mensen een algemene bevoegdheid volstaat. Maar het alternatief is dat er voor bijna al het werk een last nodig is, en dat sluit echt niet meer aan bij de dynamiek van het huidige dreigingsbeeld. Het is dan wel essentieel dat hier adequaat en bindend toezicht tegenover staat. Als de inzet van deze middelen zo ver kan gaan, moet je ervoor zorgen dat het op een fatsoenlijke manier gebeurt.’

Invoering toetsingskader 

Dat het interne toezicht niet altijd goed gaat, blijkt uit de rapportage van de CTIVD: de diensten volgden de wet niet altijd zorgvuldig. 

De diensten hielden bij de aankoop en het gebruik van geautomatiseerde OSINT-tools onvoldoende rekening met de impact die dat kon hebben op de rechten van burgers. Ook hadden ze volgens de toezichthouder te weinig kennis van de manier waarop die tools werkten en deden zij onvoldoende onderzoek naar de betrouwbaarheid van de onderliggende data. Volgens de CTIVD handelen de diensten daarmee in strijd met hun wettelijke verplichting ‘zorgvuldig en behoorlijk’ met persoonsgegevens om te gaan.

Als remedie hamert de toezichthouder op een intern toetsingskader dat vergt dat de diensten de aanschaf van een OSINT-tool toetsen aan alle wettelijke vereisten die de Wiv 2017 aan gegevensverwerking stelt. Inmiddels hebben de diensten in samenspraak met de CTIVD zo’n kader ontwikkeld. Sinds november loopt hiervoor een pilot, waarvan in maart de eerste evaluatie wordt verwacht. Aan de hand daarvan zal de CTIVD besluiten hoe het uiteindelijke toetsingskader vorm krijgt, zegt Van Eijk. Hij verwacht dat dit zal leiden tot een betere balans tussen nationale veiligheid en de rechten van burgers.

Bert Hubert, oud-lid TIB

Voor de vraag onder welk regime data vallen, moet de aard van de data maatgevend zijn – ongeacht hoe je die hebt verkregen

Voormalig TIB-lid Bert Hubert noemt het kader een goed begin, maar vindt het niet genoeg: ‘Zoiets moet je in de wet regelen. Je moet verankeren hoe je wilt dat de diensten met OSINT omgaan. Dat moet je niet aan afspraken met een toezichthouder overlaten. Anders loop je het risico dat je je eigen Stasi bouwt. Oh, is er een lek bij Twitter? Mooi. Dan halen we snel alle geodata van de gebruikers naar binnen, zodat we weten waar ze wonen. Een lek bij Microsoft? Dan hebben we nu ook alle creditcardgegevens. Als je maar genoeg combineert, kun je zonder een enkele hacker in dienst te hebben een heel enge inlichtingendienst opzetten.’

OSINT gaat niet meer weg 

Om deze ontwikkeling te keren pleit Hubert, net als Van Eijk, ook voor een andere omgang met data door de diensten: ‘Het zou beter zijn wanneer de inhoud van data maatgevend wordt voor de manier waarop diensten daarmee omspringen, en niet – of niet alleen – hoe ze eraan zijn gekomen. Nu vallen gegevens alleen onder een zwaarder regime wanneer ze via een tap of een hack zijn verkregen, terwijl data uit openbare of commerciële bronnen veel ingrijpender kunnen zijn. Dat is anno 2023 niet meer houdbaar. De aard van de data moet maatgevend zijn, ongeacht hoe je die hebt verkregen.’ 

De impact die OSINT in de huidige aanpak op de rechten van burgers kan hebben, zit Hubert hoog: ‘Dat is een van de belangrijkste redenen waarom de reorganisatie van de Wiv moet worden ingezet, want dit schuurt. En gezien de heftigheid van de datasets die nu rondzwerven, kan OSINT inzetten ingrijpende gevolgen voor burgers hebben.’

Maar het zal nog wel even duren voordat deze reorganisatie er is. Zelfs de wijzigingen in de Tijdelijke wet zijn nog niet van kracht.

Wat er ook gebeurt, de hedendaagse high-tech OSINT gaat niet meer weg. Dekens voorspelt dat spionnen zoals het Russische echtpaar in Zweden langzaam zullen uitsterven. ‘In plaats van spionnen te sturen, kun je de info nu veel sneller, efficiënter en betrouwbaarder uit open en semi-gesloten bronnen halen. Ook is informatie verzamelen en verblijven op locatie steeds lastiger. De kans op ontdekking via open bronnen, sensoren en camera’s is tegenwoordig groot.’