Een meerderheid van de Tweede Kamer staat positief tegenover een nieuw wetsvoorstel dat het de AIVD en MIVD gemakkelijker moet maken om cyberaanvallen van landen als China, Rusland, Iran en Noord-Korea af te slaan. Ook relatief nieuwe partijen zoals de Boer Burger Beweging en de oppositie-combinatie van GroenLinks-PvdA reageerden voorzichtig instemmend.
De positieve sfeer tekende zich af tijdens een zogeheten wetgevingsoverleg, dat maandag werd gehouden. Het demissionair kabinet had bij de Tweede Kamer op spoedige behandeling van de beoogde wetgeving aangedrongen, dit in het belang van de nationale veiligheid. Begin september verklaarde de Kamer de voorgestelde aanpassingen van de Inlichtingenwet niet controversieel. Daardoor kon het voorstel nog voor de verkiezingen behandeld worden. Belangrijke aanpassingen zijn een verschuiving van toezicht vooraf naar toezicht tijdens bepaalde inlichtingeoperaties, en soepeler regels voor het bewaren van grote hoeveelheden data door de diensten.
Achterhaald
De meeste partijen waren het er maandag over eens dat de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV) die in 2018 inging, op onderdelen alweer achterhaald is. Ze biedt volgens een meerderheid te weinig bescherming tegen professioneel uitgevoerde hack-aanvallen op bijvoorbeeld kritische infrastructuur in Nederland, energievoorziening en bedrijven. „Die vinden dagelijks plaats”, aldus verantwoordelijk minister Hugo de Jonge (Binnenlandse Zaken, CDA) tijdens het wetgevingsoverleg. Zo werden chipmachine-maker ASML en de Rotterdamse haven doelwit van hacks uit het Oosten. Minister Kajsa Ollongren (Defensie, D66) verwees naar Russische schepen op de Noordzee die „opvallend veel interesse” toonden voor onderzeese (internet-)kabels.
Lees ook
Zorg over kabinetsvoorstel: nog beperkter toezicht op de geheime diensten
Fracties van uiteenlopende partijen zoals PVV, D66 en SP spraken echter wel de vrees uit dat ook de beoogde aanpassingen snel achterhaald kunnen zijn. Ze constateerden dat het wetsvoorstel zich specifiek op cyberaanvallen van landen richt. PVV-Kamerlid Martin Bosma wees erop dat juist ook ‘niet-statelijke’ actoren op cybergebied actief zijn geworden, zoals „veel jihadisten”, zei hij. Als voorbeelden noemde hij de aan Iran gelieerde Hezbollah-organisatie in Zuid-Libanon, en terreurorganisatie Islamitische Staat.
Datasets
Verder waren er veel kritische vragen van de Kamerleden Julian Bushoff (GroenLinks-PvdA), Alexander Hammelburg (D66), en Marieke Koekkoek (Volt). Die gingen over het delen van gegevens met buitenlandse diensten en het gemakkelijker kunnen verlengen van bewaartermijnen. Minister de Jonge bevestigde dat het inderdaad gemakkelijker wordt om die termijnen te verlengen, „omdat sommige datasets pas na langere tijd interessant blijken.” Zo bleek een al wat oudere dataset toch nog interessante informatie te bevatten over de achtergronden van een gifgas-aanval van het Syrische regime.
De noodzaak van de verlenging moet steeds onderbouwd worden voor toezichthouder CTIVD, vertelde De Jonge. Die kan hierover bindend advies uitbrengen, aldus de minister. CDA-Kamerlid Harmen Krul toonde zich in dit verband bezorgd over de capaciteit van de toezichthouder in de nieuwe opzet. Volgens De Jonge komen hiervoor extra fte’s beschikbaar.
SP en Forum voor Democratie toonden zich zeer kritisch over de nieuwe wet. Zij vrezen dat de diensten via een omweg alsnog ongericht de gegevens van miljoenen burgers kunnen binnenhalen. Dat ‘ongericht naar binnen slepen’ van die gegevens werd wettelijk juist expliciet verboden na een referendum over de wet in 2018. Met name FvD-Kamerlid Pepijn van Houwelingen kwam over dit onderwerp maandag een aantal keren hard in aanvaring met De Jonge.
Privacy-organisatie Bits of Freedom en journalistenvakbond NVJ uitten eerder al dezelfde vrees. Zij publiceerden begin oktober een verklaring: „Voor ongericht massasurveillance is geen plaats in een democratische rechtsstaat”, schreven ze. Tevens vreesde de NVJ dat de bestaande wettelijke waarborgen tegen het aftappen van elektronisch verkeer van journalisten in het nieuwe wettelijk regime zwakker worden. Volgens De Jonge verandert er op dit punt evenwel niets, zei de minister op vragen van SP-Kamerlid Nicole Temmink.
‘Geen nieuwe bevoegdheden’
De Inlichtingenwet uit 2018 werd vooraf niet voldoende op uitvoering getest, gaf De Jonge in zijn inleiding van het wetgevingsoverleg toe. „Hadden we dat toen maar gedaan, dan hadden we een hele hoop problemen kunnen voorkomen”, zei de bewindsman. De huidige wet, benadrukte hij, „repareert de gebreken in de uitvoering, maar geeft de diensten geen nieuwe bevoegdheden.”
De zogeheten kabelinterceptie – het afvangen van een grote stroom digitale gegevens via de kabel – wordt tot nu toe door het toezicht vooraf weinig gebruikt door de diensten, aldus de minister. „Ongelooflijk jammer, gezien de belangrijke internetknooppunt functie die Nederland heeft. We hebben de diensten teveel aan de ketting gelegd.”
Dat komt door het wettelijk gebod dat de interceptie „zo gericht mogelijk” moet worden ingezet, verklaarde De Jonge. Bovendien moest deze kabelinterceptie voor de toezichthouder bij voorbaat goed worden onderbouwd door AIVD en MIVD. „Men begon daar bij de diensten niet eens meer aan, omdat men toch steeds tegen een rood licht aanliep” , legde de minister uit.
Lees ook
MIVD verijdelde Russische cyberaanval op OPCW in Den Haag
Ook moest steeds opnieuw toestemming worden gevraagd voor bescherming tegen hacks als de cyberaanvaller snel wisselde van website of provider. „Dat steeds opnieuw toestemming vragen kost de diensten al snel twee weken extra”, aldus De Jonge.
Om deze problemen te ondervangen, komt er een aantal aanpassingen. Een deel van het toezicht gaat niet meer vooraf plaatsvinden, maar verschuift naar toezicht tijdens de inlichtingenoperatie. Tijdens het tegengaan van een cyberaanval van bijvoorbeeld Iran, kijkt een andere toezichthouder (CTIVD) live mee. Als deze bijvoorbeeld merkt dat er op dezelfde site ook beschermde groepen als journalisten of klokkenluiders actief zijn, „wordt de operatie onmiddellijk stilgelegd”, aldus De Jonge.
Verkennende fase
Verder wordt er voorafgaand aan ‘bulkinterceptie’ op de kabel, een zogeheten „verkennende fase” ingevoerd. Tijdens deze fase mogen diensten ook ongericht kijken op de kabel waar zich eventueel een tot dan toe „ongekende dreiging” zou kunnen voordoen. Het gaat volgens De Jonge om „een momentopname” van datastromen, „een snapshot” dat diensten moet helpen te bepalen of interceptie van gegevens nodig is. Voor dit laatste, het daadwerkelijk afvangen van gegevens, blijft het criterium ‘zo gericht mogelijk’ gelden, beklemtoonde De Jonge.
FvD-Kamerlid Pepijn van Houwelingen bleef kritisch: Hij zag het verschil niet tussen de twee fases. „Het verkennen is hetzelfde als aftappen.” zei hij. Hij vreesde aftappen van grote groepen burgers, en zei „voor hun grondrechten” te willen opkomen. Aanvankelijk reageerde minister De Jonge gepikeerd: „Houd u eens op met zulke suggesties”. Later probeerde hij aan Van Houwelingen toch nog het verschil tussen verkennen en aftappen uit te leggen.
Bij Forum en de SP lukte dat de bewindsman niet. Beide partijen stemmen volgende week waarschijnlijk tegen.