Natuurlijk is het denkbaar dat de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) bijstand verleende aan een internationale operatie in Iran, zoals de Volkskrant maandag meldde. De stelling dat de AIVD niet wist dat hun agent het Stuxnet-virus de uraniumverrijkingsinstallatie in heeft gesmokkeld, lijkt uitermate pijnlijk maar kan in werkelijkheid een stuk genuanceerder liggen. Zoals de krant zelf schrijft zou de AIVD om hulp zijn gevraagd door de Amerikaanse CIA en Israëlische Mossad en wist de Nederlandse dienst dat het „meedeed aan een operatie om het Iraanse nucleaire programma te saboteren”.
Er was dus geen sprake van een eigen operatie, maar van het verlenen van bijstand aan een buitenlandse operatie. Dat is wettelijk toegestaan en daar wordt toezicht op gehouden. Het is niet meer dan logisch dat de exacte werkwijze, één van de best bewaarde geheimen van elke inlichtingendienst, niet met elke betrokken dienst tot in detail gedeeld wordt. Ook niet – of vooral niet – nu het ging om een digitale aanval.
Ook al wordt Stuxnet terecht gezien als een waterscheidingsmoment in het gebruik van digitale wapens door overheden, van „een nieuw wapen”, zoals het artikel stelt, was geen sprake. Digitale aanvallen op industriële controlesystemen vonden de dertig jaar vóór Stuxnet ook al plaats. Vanwege de aard, omvang en impact heeft Stuxnet echter de mythische status verworven die het nu heeft.
Geheimhouding
Neemt niet weg dat de AIVD meedeed aan een gevoelige operatie in het buitenland, waar de politiek verantwoordelijken en toezichthouders absoluut weet van zouden moeten hebben gehad. De conclusie dat „de politiek helemaal niets wist over het voornemen van de AIVD om een rol te spelen bij de sabotage van het Iraanse nucleaire programma” is te kort door de bocht. Al was het maar omdat de verantwoordelijk minister destijds toestemming moet hebben gegeven voor het inzetten van een agent in het buitenland. In de aanvraag voor een dergelijke inzet worden het doel, de noodzaak en context van de operatie altijd uitvoerig uiteengezet. Ook heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) kort na Stuxnet onderzoek gedaan naar de inzet van agenten in het buitenland door de AIVD in de periode van 2006 tot en met 2010.
Dat de AIVD „achteraf verantwoording had moeten afleggen over de operatie” is een merkwaardige stelling: de dienst legt over ál haar werkzaamheden verantwoording af en de CTIVD heeft altijd toegang tot systemen en medewerkers van de AIVD.
Het is naar mijn mening daarom uitgesloten dat niemand van een dergelijke operatie op de hoogte zou zijn geweest. Dat de Volkskrant er bij voormalig bewindspersonen niets over los krijgt, is logisch: geheimhouding is niet gebonden aan de ambtstermijn.
Moorddadig regime
Het meest teleurstellend aan het artikel zijn echter de reacties uit de politiek. Verschillende woordvoerders nemen het artikel klakkeloos over als weergave van de feiten.
De NSC van Omtzigt roept op tot een algemene reflectie op de controlemechanismen van de inlichtingendiensten. Als woordvoerder Six Dijkstra (NSC) had opgelet, zou hij hebben gemerkt dat zo’n debat al sinds de invoering van de huidige Wet op de Inlichtingen- en Veiligheidsdiensten aan de gang is, en recentelijk is opgelaaid door invoering van de Tijdelijke wet cyberoperaties.
Jammer dat geen enkele politieke reactie de inspanningen van de diensten prijst om te helpen voorkomen dat een moorddadig autoritair regime een kernwapen kan ontwikkelen.
