De geheime diensten bedonderen ons, zegt de man die het kan weten
Een nieuwe wet moet de bevoegdheden van de AIVD en MIVD flink verruimen. Een gevaarlijke ontwikkeling, zegt Bert Hubert, die om die reden ontslag nam als toezichthouder van de geheime diensten. In de Tweede Kamer deelde hij voor het eerst zijn ervaringen. ‘Het plan is om het hele land af te luisteren’, waarschuwt hij.
De geheime diensten zijn ons aan het bedonderen, zegt Bert Hubert.
Met ‘evidente onjuistheden’ proberen de ‘onoprechte diensten’ AIVD en MIVD nieuwe, ‘enge’ wetgeving door de Tweede Kamer te jassen. Slagen zij daarin, dan kan de communicatie van alle Nederlanders af worden getapt, terwijl het onafhankelijke toezicht op die diensten afneemt. ‘Het plan is om het hele land af te luisteren.’
Het zijn stevige uitspraken die je misschien niet verwacht tijdens een rondetafelgesprek tussen deskundigen en Kamerleden in de Tweede Kamer, en al helemaal niet van een voormalig toezichthouder op de geheime diensten.
Maar toch: het was Bert Hubert, ex-lid van de Toetsingscommissie Inzet Bevoegdheden (TIB) en oud-medewerker van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), die woensdag Tweede Kamerleden vertelde waarom die nieuwe wet zo’n slecht idee is. En dat is nogal wat, want Hubert heeft intieme kennis van de werkwijze van de geheime diensten.
Een stapje verder dan de 'sleepwet'
De Tijdelijke wet cyberoperaties* moet de diensten ‘een grotere slagvaardigheid’ geven tegen landen die Nederland digitaal aanvallen, zoals China en Rusland. De AIVD en MIVD kunnen dan makkelijker apparatuur hacken en communicatie die door de internet- en telefoonkabels stroomt aftappen en analyseren.
Nu, met de huidige wet, mogen de diensten ook al veel. Maar voor de inzet van bevoegdheden als hacken en grootschalig datatappen moeten ze van tevoren aan de TIB-commissie – waar Hubert tot een halfjaar geleden in zat – toestemming vragen en uitleggen wat ze willen doen, hoe ze dat willen doen, en waarom.
Als het aan de diensten en het kabinet ligt, verdwijnt met de nieuwe tijdelijke wet een deel van die bindende toets vooraf door de TIB, en komt er in plaats daarvan gedeeltelijk bindend toezicht tijdens en ná de operaties door een andere toezichthouder, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).
Om het in perspectief te plaatsen: dit wetsvoorstel gaat in bepaalde opzichten verder dan de zogenoemde ‘sleepwet’ waar vijf jaar geleden een referendum over werd gehouden.
Om data te kunnen ‘verkennen’ mag volgens het wetsvoorstel bijvoorbeeld alle inhoud van een internetkabel zes maanden worden opgeslagen en geanalyseerd. En dat niet alleen: tegen het uitdrukkelijke advies van de Raad van State in kunnen die data ook met buitenlandse diensten worden gedeeld.
In de Kamer susten afgezanten van de AIVD en MIVD woensdag de gemoederen: het toezicht op de diensten blijft in balans. Onzin, vindt Hubert: ‘Met de tijdelijke wet mogen de diensten vrijwel zonder inhoudelijke opgaaf van redenen iedere kabel afluisteren en geen toezichthouder kan er iets aan doen.’
Huberts offensief tegen de nieuwe wet
Het is niet de eerste keer dat Hubert zijn verhaal deed: in september nam hij vanwege zijn weerzin tegen het wetsvoorstel ontslag als toezichthouder, en sindsdien waarschuwt hij voor de gevaren ervan, in elk* medium* dat wil luisteren.* Ook ik sprak hem de afgelopen maanden veelvuldig, in aanloop naar het rondetafelgesprek in de Tweede Kamer.
Hubert weet juridische en technische ingewikkeldheden beeldend te versimpelen. Daarin wil hij nog wel eens doorschieten. Zijn opmerking tegen Follow the Money dat de wet ‘tot Noord-Koreaanse taferelen’ kan leiden, vindt hij achteraf zelf ook nogal overdreven. Maar achter zijn teksten in de Kamer staat hij volledig.
Wat Hubert wil bereiken met zijn offensief? ‘Ik hoop dat we de “China is slecht, de AIVD is goed”-discussie ontstijgen, en kunnen kijken naar wat er nou eigenlijk echt in die wet staat’, legt hij mij uit. ‘Ik hoop dat ik de Kamerleden kan laten zien dat we de diensten niet op hun blauwe ogen kunnen vertrouwen.’
Om dat laatste punt te bewijzen, ging Hubert woensdag in de Tweede Kamer een stap verder dan voorheen. Hij illustreerde zijn verhaal met twee ‘voorvallen’ uit de praktijk. Dat wil zeggen: met eigen ervaringen uit de tijd dat hij toezichthouder was – ervaringen met medewerkers van de AIVD en de MIVD.
Zoals die ene keer dat de diensten achter staatshackers aan zaten die zich genesteld hadden in apparatuur van willekeurige Nederlanders – om vanuit daar anoniem hackoperaties uit te kunnen voeren. De diensten wilden, om deze hackers te kunnen monitoren, digitaal inbreken bij al die Nederlanders. ‘Dan moet je denken aan afluisteren, tappen, hacken of dropboxen leegtrekken – ik zeg niet welke bevoegdheid specifiek.’
Iedereen keek me glazig aan, alsof ik een soort fossiel was met m'n burgerrechten
‘Ik zei: jullie zijn van plan om een grote groep Nederlanders te onderwerpen aan zware inlichtingenmiddelen. Kun je al die mensen niet gewoon vragen mee te werken? Dat wilden de diensten niet. Ik ben toen uit mijn slof geschoten. Hadden ze niet door dat je burgers niet kunt bespioneren, omdat het de makkelijkste manier is om die informatie te krijgen? Iedereen keek me glazig aan, alsof ik een soort fossiel was met m’n burgerrechten. “Het is niet erg als de AIVD of MIVD je privacy schenden, want wij zijn ok!” Ik was geschokt over deze minachting van gewone mensen thuis.’
Wat er uiteindelijk met dit plan van de diensten is gebeurd, wil Hubert niet zeggen. Maar: de aanvraag kwam in ieder geval bij de TIB terecht. In het nieuwe wetsvoorstel hoeft dat niet meer – en dus kunnen gehackte burgers en bedrijven automatisch gehackt of afgeluisterd worden.
'Een muur van onbegrip'
Hubert noemt de keer dat de diensten een zogenoemde ‘strategische hack’ wilden zetten: digitaal inbreken op een plek omdat daar potentieel waardevolle informatie te vinden is. Het gaat dan om een bedrijf als hardloopapp Strava – een hypothetisch voorbeeld – dat de locatiegegevens van miljoenen sporters heeft. Dat is waardevolle informatie voor een dienst.
Als je iets hackt, zijn er altijd risico’s. Je kunt een systeem beschadigen of kapotmaken. En er is altijd een kans dat iemand anders via jouw hack óók toegang kan krijgen tot het apparaat of systeem, zoals andere inbrekers ook binnen kunnen komen als jij een deur hebt geforceerd.
‘We vroegen als TIB daarom door’, vertelde Hubert de Kamer. ‘Hoe zou het aangebrachte gat in het strategische bedrijf beveiligd worden? Werd er gecontroleerd of er geen andere diensten of hackers binnen zouden komen? Als een individu waar de diensten zich op richten een computerprobleem krijgt door de AIVD is dat begrijpelijk en proportioneel. Maar als je een infrastructuurbedrijf hackt waar honderden miljoenen of zelfs miljarden mensen gebruik van maken, dan ligt dat anders. Wederom stuitten we op een muur van onbegrip. “Wij zijn zo goed bij de AIVD en MIVD, dat onze hacks geen 24/7 monitoring behoeven.”’
In het nieuwe wetsvoorstel hoeven de diensten voor een dergelijke hack van tevoren geen technische details meer te delen, waardoor het volgens Hubert onmogelijk wordt de risico’s ervan te beoordelen.
De diensten gaan regelmatig over de schreef
Door zo uit de school te klappen, neemt Hubert een risico. ‘Ik moet heel voorzichtig zijn en goed nadenken over wat ik zeg’, legde hij mij voorafgaand aan de bijeenkomst uit. ‘Mijn hoofd zit vol met geheimen en als ik iets zeg wat ik niet mag vertellen, ga ik jaren de gevangenis in. En je kunt je wel voorstellen dat de geheime diensten nu erg zitten op te letten of Bert niet per ongeluk staatsgeheimen deelt. Dat maakt dit wel spannend.’
‘Ik heb die verhalen eerder niet verteld, omdat ik alleen het wetsvoorstel wilde bekritiseren’, licht hij toe. ‘Maar ik vind het belangrijk dat mensen ook weten dat de wet in handen is van mensen die het niet zo ophebben met grondrechten als privacy van onschuldige burgers.’
Het is onmogelijk om Huberts anekdotes compleet te verifiëren. Uit de weinige publieke informatie die er is over de wijze waarop de diensten met hun verregaande bevoegdheden omgaan, kan niet onomwonden worden geconcludeerd dat zij ‘het niet zo ophebben met de grondrechten’. Wel overtreden zij de wet met regelmaat, zoals blijkt uit de jaarverslagen* van de TIB. Ook de andere toezichthouder, de CTIVD, beschrijft regelmatig hoe de diensten over de schreef gaan.*
Niet iedereen ziet gevaar in het wetsvoorstel
Tijdens het rondetafelgesprek bleek nog maar eens hoe verschillend deskundigen over eenzelfde wet kunnen denken. Hoogleraar Bart Jacobs ziet de noodzaak ervan en denkt dat het nieuwe toezicht beter aansluit op de ‘operationele dynamiek’ van de geheime diensten. Bijzonder hoogleraar en CTIVD-medewerker Jan-Jaap Oerlemans vindt hetzelfde. Huberts voorganger bij de TIB, Ronald Prins, ziet het voorstel als een ‘goede reparatie’ van de wet, die in zijn ogen te strikt is.
De organisatie Bits of Freedom staat meer aan de kant van Hubert en wijst het wetsvoorstel af, omdat het – onder andere – het toezicht op de diensten te veel ‘beknot’. Hoogleraar staatsrecht Paul Bovend’Eert valt ook over de verandering in het toezicht en zei zelfs dat het een vereiste is van het Europees Hof voor de Rechten van de Mens om toezicht vooraf te hebben.
'De diensten zijn onoprecht'
Net zo zorgelijk als de inhoud van de wet, zegt Hubert, is de ‘onoprechtheid’ van de geheime diensten over die inhoud. Ze nemen loopjes met de waarheid als zij het publiek over de wet vertellen, vertelde hij mij. ‘Erik Akerboom, de baas van de AIVD, zei: “Wij luisteren niet hele wijken af.” Maar dat klopt niet. Want dat is specifiek wat ze wel doen. De diensten mogen namelijk – met zowel de huidige als de nieuwe wet – al die data wel tappen, opnemen en opslaan. In de wet staat nota bene “afluisteren”.’
Dat de huidige wet niet snel genoeg is, is ‘gewoon gelul’, vindt Hubert
‘Dit is een woordspelletje’, aldus Hubert, ‘waarbij de diensten een geheel eigen definitie van afluisteren hanteren. Zij menen dat je pas afgeluisterd bent als iemand met een koptelefoon op naar jouw telefoongesprek heeft zitten luisteren. “Wij bepalen wel wanneer je afgeluisterd bent, en dat is niet al als we een hele wijk getapt hebben.” Ook al kunnen AIVD-medewerkers en medewerkers van buitenlandse diensten uw verkeer onderzoeken en analyseren, u bent pas afgeluisterd als de dienst vindt dat u dat bent.’
Een ander voorbeeld van die onoprechtheid, zegt Hubert, is de argumentatie van de diensten vóór de nieuwe wet. ‘Als wij constateren dat een bedrijf, persoon of zelfs overheid wordt aangevallen, moeten we voor iedere stap die we zetten opnieuw toestemming vragen’, lichtte AIVD-baas Erik Akerboom bij BNR Nieuwsradio toe.* ‘Intern, aan de minister, en aan de toezichthouder. En zo zit de cyberwereld niet meer in elkaar. Het gaat tegenwoordig om minuten, uren of dagen, en dan kun je niet wachten [op goedkeuring].’
Het toestemmingsproces duurt kortom te lang, vindt Akerboom. Hij vergeleek het met een atletiekwedstrijd: ‘Wij doen op dit moment de steeplechase en onze tegenstander de 100 meter sprint.’
Maar dat de huidige wet niet snel genoeg is, is ‘gewoon gelul’, vindt Hubert. De diensten hebben nu ook al de wettelijke mogelijkheid om een spoedprocedure in te zetten, en daar maken ze dan ook ongeveer twee keer per week* gebruik van. Daarnaast komt het grootste oponthoud niet door de TIB, maar door de diensten zelf, zegt hij. ‘In diverse interviews staat dat de beoordeling van een verzoek twee tot drie weken duurt. Maar de TIB krijgt op vrijdag de verzoeken binnen en besluit daar op woensdag over.’ Hubert bedoelt: als de diensten het sneller willen, dan kunnen ze het nu ook al sneller doen.
De diensten hanteren dus oneigenlijke argumenten, in Huberts lezing.
Hacken en tappen zonder pottenkijkers
Dat roept de vraag op: wat drijft de AIVD en MIVD dan wel? Waarom willen ze nieuwe bevoegdheden met ander toezicht?
Hubert heeft daar wel een idee over. Een idee dat aansluit op zijn beeld van de onbetrouwbaarheid van de diensten: ze willen geen pottenkijkers voordat ze gaan hacken of tappen. ‘De TIB is in 2018 opgericht. Daarvoor keek er nooit iemand met de diensten mee. Ik denk dat ze ook graag willen dat niemand zich ermee bemoeit. “Die technische risico’s? Dat bepalen wij wel. Of wij die kabel moeten hebben? Dat bepalen wij zelf. En als we daar een halfjaar naar willen kijken, dan gaan we daar een halfjaar naar kijken.”’
Bij de TIB heeft hij die houding een paar keer in de praktijk ervaren, vertelt Hubert. ‘Dan werd er na een nee op allerlei manieren druk op ons uitgeoefend. Maar de TIB zegt echt niet makkelijk nee. Die beseft echt wel dat heel veel mensen bezig zijn met zo’n operatie en aan de slag willen. En als je een voorstel afwijst, weet je dat je het risico loopt achteraf te horen dat er een aanslag is gepleegd. Dat weegt op je. En dan krijg je dus te horen dat je de nationale veiligheid in gevaar brengt. Dat is heel pijnlijk en zwaar.’
Met de huidige wet mag al heel veel
Wat Hubert misschien wel het meest dwarszit, is dat de diensten nu naar buiten toe zeggen dat zij met handen en voeten gebonden zijn. Maar met de huidige wet hebben ze al een breed arsenaal aan middelen tot hun beschikking, zegt Hubert.
‘De diensten mogen nu al, na toestemming van de TIB, een internetkabel in zijn geheel afluisteren om te kijken of er foute dingen op gebeuren. Ze mogen nu al een bedrijf hacken dat alleen maar diensten levert aan targets. Dus we komen niet van een naïef zielig wetje waarmee de diensten helemaal niks mogen. Nee, de diensten mogen al heel veel en willen nog veel meer.’
Te veel dus, naar Huberts smaak. ‘Toen ik zelf bij de AIVD werkte dacht ik ook: wij zijn oké. Jullie hoeven er niet wakker van te liggen dat wij zo veel communicatie afluisteren. We doen het namelijk voor de nationale veiligheid. Ik snap goed dat het zo voelt voor de medewerkers, en ik snap ook dat het ondankbaar voelt als de buitenwereld eraan twijfelt. Maar we schrijven dit soort wetten niet voor mooi weer; we schrijven ze voor als het regent. Voor als er mensen zitten die niet zo oké zijn.’
In een algemene reactie zegt een woordvoerder van de AIVD: ‘De tijdelijke wet maakt het de diensten mogelijk om Nederland veiliger te houden tegen de acties van landen met offensieve cyberprogramma’s, zoals China. Ook de evaluatiecommissie en de Algemene Rekenkamer hebben vastgesteld dat dat nodig is. De wet is gericht op het tegengaan van ongekende dreigingen van dergelijke landen. Het gaat daarbij niet om Nederlandse wijken.’