Hoe lang is het geleden dat de Nederlandse media stijf stonden van verontwaardiging van de onthullingen van Edward Snowden over de alomvattende aftapmethoden van de NSA? Glenn Greenwald koos NRC in Nederland om bestanden te delen en de krant beloofde schokkende onthullingen. Waar uiteindelijk weinig van terecht kwam. Het heldendom van Snowden staat buiten kijf, maar de wijze waarop Greenwald cum suis deze exploiteerden is bedenkelijk.
Een goed jaar later is het tij gekeerd: we doen mee aan oorlog, zij het nu nog op veilige afstand van de slagvelden. Dankzij de agressie van Rusland en vooral van moslimextremisten genieten inlichtingendiensten meer steun. En intensieve samenwerking met de Angelsaksische as van diensten rondom de NSA (en in de schaduw de Mossad) vinden we ineens niet zo erg meer.
In navolging van de ketelmuziek over de Snowden-onthullingen pakte NRC flink uit met de vaststelling van toezichthouder CTIVD dat de AIVD/MIVD bij het hacken van forums en snuffelen op sociale media regelmatig privacy had geschonden. Temeer daar minister Plasterk begin dit jaar de Tweede kamer meedeelde dat de online spionage binnen de bevoegdheden van de inlichtingenwet WIV vielen; volstrekt voorbarig.
En deze week lekte de iCloud van Apple en ontpopte actrice Georgina Verbaan zich als woordvoerster van de verongelijkte slachtoffers. Niet gehinderd door enige kennis van zaken, maar vertolker van de miljarden die 'gratis' online rechten claimen bij concerns die toch miljarden aan aandeelhouders weten uit te keren.
Wat is er terecht in onze verontwaardiging over de geheime diensten en cloudaanbieders? Hoe om te gaan met digitale grenzeloze data-exploitatie in het licht van onze 'rechten' op veiligheid en gratis gemak?
Moord op Theo van Gogh
De Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002) met vergaande bevoegdheden tot online inbraak is in juni 2001 met alleen tegenstemmen van SP en GroenLinks aangenomen. De Eerste Kamer ging unaniem akkoord.
Vervolgens was de CTIVD in 2005 na de moord op Theo van Gogh kritisch over het gebrekkig werk op internet door de AIVD. Mohammed Bouyeri was in beeld, maar onvoldoende gevolgd. De CTIVD stelde in de jaren erna vorderingen vast. Zozeer, dat de diensten afgelopen jaren op de grenzen van het toelaatbare stuitten, of die overschreden.
In maart 2014 kwam de CTIVD als met een rapport over online spionage (persbericht) met als kern dat de diensten 'in het algemeen' binnen de regels opereren. Hoe frequent is 'in het algemeen'?
Dit rapport vormt een boeiende inleiding op het CTIVD-rapport van afgelopen week over concreet inbreken in forums en sociale media. Dit was klaar in april maar is aangepast na kritiek van minister Plasterk en aanvullend onderzoek.
De CTIVD heeft 'diepgaand dossieronderzoek' gedaan naar enige tientallen operaties op sociale media en fora tussen begin 2011 en eind 2013 en heeft met 13 sleutelfiguren gesprekken gevoerd. Wat staat er aan aardige conclusies in de twee rapporten?
Hoge hobbels
* De CTIVD verschaft pagina's lang uitleg van termen, wellicht bedoeld voor de journalisten die op grond van 'Snowden' maar raak schreven over spionage en telecom;
* Uiteraard beroept de CTIVD zich op geheimhouding wat betreft methoden, namen en inhoud van operaties. Maar ze had een beeld kunnen schetsen van de omvang van de overtredingen. De teneur van het rapport is dat het wel meevalt, maar je moet de CTIVD op de blauwe ogen geloven;
* Openbare informatie op sociale media is uiteraard openbaar. Maar het verzamelen en vastleggen schendt de privacy als de AIVD/MIVD gebruikmaakt van 'indringender methoden'.
* Wettelijk is onduidelijk wanneer sprake is van online 'observatie' van een persoon. Dat is wel nodig, want voor observatie is toestemming vereist, ook wanneer de AIVD openbare uitingen verzamelt. (Curieus: iedereen mag dat doen zonder toestemming, maar de AIVD niet.)
* De CTIVD vindt dat de diensten ook de resultaten van de speurtochten onder pseudoniem op openbare websites moet vastleggen. Dan is achteraf te onderscheiden wat openbaar was en wat met tappen en hacken is verkregen;
* De spionnen willen beter begeleid worden in online speurwerk;
Flexibele toestemming
Hacken mogen AIVD en MIVD met toestemming van hun directeur, in zware gevallen pas met de handtekening van de minister van BZK (nu Plasterk) of Defensie (Hennis).
Die toestemming wordt 'soms vrij breed verwoord zodat de flexibiliteit wordt behouden om de bestanden te kunnen verwerven'. Bovendien: komt er per toeval zinnige informatie boven tafel die niet onder de toestemming viel, dan geeft de directeur die toestemming achteraf alsnog. Kortom, dat zit wel snor, voor de speurders.
Wettelijk gezien niet, maar dat wordt nogal cryptisch verwoord: 'Voor zover geen toestemming is gevraagd van de minister in dergelijke gevallen, is de Commissie van oordeel dat dit onrechtmatig is.' Hoe het precies zit staat in een 'geheime bijlage' bij het rapport.
In één geval is pas maanden na een operatie toestemming verleend. Voor een geval met het plegen van strafbare feiten zelfs pas na een jaar!
Niettemin zegt de CTIVD: in het overgrote gedeelte van de bestudeerde operaties is de toestemming begin of verlenging van de operatie op het juiste niveau verkregen.
Verwarrend onderscheid
* De Grondwet beschermt wel 'stromende communicatie' (telefonie, ook Skype) maar vastgelegde gegevens dus de datacommunicatie van personen niet. Dat is in het IP- of internettijdperk een vreemd onderscheid.
Waar e-mail gedurende verzending, of live in fora of op sociale media communicatie wordt onderschept, is sprake van 'stromende communicatie'. Die is in de Grondwet is beschermd en daarvoor hadden de AIVD'ers toestemming hogerop moeten verkrijgen. Ze lieten dat na;
* De waakhond draagt bij aan de algemene verwarring over privacyschending: je hebt verzameling van data als eerste fase en daarna het gebruik.
Met stap twee wordt daadwerkelijk privacy geschonden, met bijvoorbeeld eventueel misbruik door AIVD-medewerkers, de Amerikaanse immigratiedienst of anderen, of zelfs het uitlekken van persoonsgegevens. Is het breed vergaren van data kwalijk bij korte bewaartermijnen en goede beveiliging? Kortom: wat zijn de lasten en lusten van dataspionage?
Eerst selecteren, dan verzamelen
Als principe voor dataspionage van de AIVD geldt immers: eerst verdenking en doelwit selecteren en specificeren, dan pas data verzamelen en vervolgens analyseren.
Dat gebeurt nog regelmatig andersom: eerst data hengelen, dan de vissen eruit halen; zeg maar de 'methode NSA': deze dienst wil eerst alle data onder handbereik hebben om er vervolgens in te grasduinen, met en zonder concrete verdenkingen. Voor de sleepnetmethode, veel data verzamelen om één verdenking te toetsen of om tot een verdenking te komen na analyse, moeten zeer zwaar wegende argumenten zijn.
Die toetst de directie, soms de minister. Parlement en juristen zijn tegen ieder sleepnet.
Van hele groepen Nederlanders zijn data verzameld volgens de CTIVD. Dat mocht niet, althans zulks blijkt niet uit deugdelijke rapportages van de diensten.
Maar welke omvang en gevolgen heeft dit hacken en vissen met een sleepnet op algemene webfora? Voorbeelden ontbreken, het antwoord is geheim. 'Wanneer de AIVD een webforum hackt betekent dit dat het gehele forum door de dienst wordt verworven. Dit onderwerp wordt uitgebreider toegelicht in de geheime bijlage.'
De vergaarde ruwe data zijn niet gebonden aan een bewaartermijn. Dat wordt straks wettelijk geregeld, maar moeten de diensten nu eerst zelf regelen, vindt de CTIVD, zonder suggestie daarvoor te doen.
Cloud en spionage
Bovendien: de Nederlandse diensten krijgen ook inhoud van webforums aangereikt van buitenlandse collega's. Daar gaan ze wel vrijelijk mee om, zonder vereiste toestemming van Den Haag.
Kortom, wat ik eerder heb aangeduid als 'cloudspionage' openbaart zich hier: als jij nu data uit mijn land haalt en opslaat en ik doe dat voor jou, dan hebben we van de wet wat minder last. Nationale grenzen en wetten schieten per definitie tekort waar het om internet gaat, dus waarom zouden de diensten daar geen gebruik van (moeten) maken?
Ze gaan uiteraard, net als wij gewone gebruikers, tot het gaatje in hun zucht naar online nut want op internet is alles 'gratis' voorhanden. Zo werkt de data-economie, ook voor de AIVD.
In vijf gevallen is de inhoud van fora opgehaald voor buitenlandse diensten zonder de benodigde ministeriële toestemming. Eén keer was dat te billijken maar vier keer onrechtmatig;
Niettemin komt de CTIVD wat de samenwerking met NSA en andere collega's betreft met een verrassende conclusie dat er 'geen aanwijzingen' zijn dat de AIVD 'de eigen bevoegdheden omzeilt', dus zijn er 'geen onrechtmatigheden' geconstateerd.
'Hiervan wordt in voldoende mate verslag bijgehouden', schrijft de CITVD over buitenlandse samenwerking. Kun je deze conclusie trekken, wetende dat je niet weet wat je niet weet? Meer staat erover in de geheime bijlage.
Wetsovertreding door spionnen
* Bestudeerde operaties door eigen medewerkers schieten volgens de CTIVD op het punt van verslaglegging van werkwijze en bevindingen tekort. Het privacybeleid van de diensten loopt achter wat betreft zowel de motivering om onderzoek te beginnen als de verslaglegging achteraf;
* De AIVD/MIVD zet agenten in op sociale media met gefingeerde identiteit, die ook strafbare feiten plegen 'om bijvoorbeeld niet uit de toon te vallen binnen de kring waar ze worden ingezet.'
* Een Landelijk Officier van Justitie moet op de hoogte worden gesteld van het plegen van strafbare feiten, maar dit gebeurt stelselmatig niet;
* De motiveringen voor het verwerven van een groot aantal webfora' schoten tekort. In vijf operaties op sociale media was verslaglegging zo gebrekkig dat ze onrechtmatig waren.;
* De AIVD/MIVD gebruikt deze data sporadisch voor persoonlijke veiligheidsonderzoeken, bijvoorbeeld van solliciterende ambtenaren. Dat mag natuurlijk niet, al is het nog zo handig. (Denk aan de ambtenaar die pro-Isis twitterde);
* Nederlandse agenten hebben met radicale uitingen meer dan eens de wet overtreden. Soms trokken ze daarmee de aandacht van buitenlandse diensten. Zo houden spionnen elkaar online bezig, net als in het analoge tijdperk. 🙂
Niet afwegen, maar graaien
Groot probleem is dat de AIVD'ers vaak vooraf onvoldoende afwegen of datavergaring in verhouding staat tot her risico dat ze moeten verminderen. Dat is ook moeilijk, want ze weten met potentiële, vrijwel altijd 'nieuwe' terroristen (zie Bouyeri) niet precies waartoe ze in staat zijn.
Het verwerven van de meeste bestanden was niettemin juist volgens de toezichthouder, gezien de speurtochten naar radicale elementen die 'de maatschappij kunnen ontwrichten';
* In de gevallen waarin dit niet deugde zijn algemene fora 'voor jaren achtereen' opgezogen. Hoevelen van ons zitten in die doorzoekbare bestanden? 'In de geheime bijlage bij dit rapport specificeert de Commissie deze conclusie.'
* De algemene conclusie luidt: de inning van de inhoud van hele webfora ziet de CTIVD als een 'zeer ernstige inbreuk' op de privacy. Interne regels worden te vaak aan de laars gelapt.
Conclusie: vinger in de dijk
Dat laatste is nogal wat. Dit betekent dat de bevindingen van de CTIVD een stuk verdergaan dan de onthullingen die uit de Snowden-bestanden – wat Nederland betreft – naar voren traden.
Ze zijn er overigens ook mede het gevolg van: zonder Snowden was het onderzoek niet zo grondig geweest. En had niet zo veel aandacht gekregen. Ofschoon er nu minder commotie ontstond dan in 2013 omdat, zoals gezegd, we in 2014 jihadisten traceren wellicht belangrijker vinden dan mogelijke privacyschending van niet-verdachten.
Dat zijn wij. Toch vind ik het zorgelijk dat er voor het bewaren van data uit algemene fora geen regels zijn, zeker waar de verzameling vooraf gaat aan selectie van doelen. Dat vond ik ook bij de NSA-onthullingen: als er eerst wordt verzameld en vervolgens dan pas geanalyseerd, hoe lang worden die megabestanden bewaard en mogelijk later nog gebruikt? We weten het niet, ofschoon het straks in de wet wordt vastgelegd.
Privacy met Georgina Verbaan
Dat wil zeggen: vastgelegd in de wet van het landje dat we 'Nederland' noemen. Maar de goede verstaander van het rapport ziet dat dit een vingertje in de dijk is: niet enkel internet slecht de grenzen, ook vijanden als het jihadisme en de bestrijding ervan. Dat is het hele punt.
Wat is dan in vredesnaam de in het begin van dit verhaal aangestipte overeenkomst tussen de reacties op het iCloud lek en dit spionagerapport? De noemer is: technisch onbenul en het inconsequent denken over, en omgaan met de digitale praktijk.
Spionage met internet is internationaal, in een cloud van data geschapen door ons gebruik van Google, Facebook en Instagram, die inlichtingendiensten verzamelen en uitwisselen met bevriende diensten waar nodig. Teneinde onze veiligheidsrisico's te helpen indammen.
En Apple exploiteert een mondiale iCloud als onderdeel van het doel om de winst van aandeelhouders te maximaliseren en de genoemde einsten te voeden. Deze week waren dames heel verontwaardigd over het lek bij iCloud, zoals mevrouw Georgina Verbaan in nrc.next en bij DWDD. Hoeveel benul toont de sympathieke actrice over goedkope, grenzeloze omgang met privacy in commercieel gedreven omgevingen? Niet meer dan het schoolplein vol aan mobiel verslaafde pubers.
Deze mevrouw – die eerder openbaar vreemd ging met tongzoenen – meent dat het standaard is dat 'mensen tegenwoordig hun halve leven in de cloud zetten'. Het onbenul is haar fout niet, ze deelt het met miljarden mensen. Dat is de reden dat ze inhoudelijk weinig weerwoord kreeg.
We willen veiligheid en gratis gemak. Zoals ik in een boekje over privacy en artikel in HP/deTijd (fragment en de eerste delen) omstandig probeerde uit te leggen, liggen beide in het verlengde van elkaar: we genieten 'gratis' diensten met verschaffing van data waaruit bedrijven, polititie en inlichtingendiensten putten, de één om er geld mee te verdienen, de ander om te spioneren. Voor onze – vermeende? – veiligheid en ons gratis gemak dat we als 'sociaal' bestempelen.
Willen we dat wel of niet? En zo niet, willen we dan de consequenties trekken? Bijvoorbeeld door de verslaving aan mobiel internet te attaqueren. En door te leren dat de lucht en glimlach gratis zijn maar digitale diensten niet. En rustig na te denken over veiligheid, beveiliging, politie en inlichtingendiensten, alvorens 'privacyschending' te roepen.
En dan: willen en kunnen we inlichtingendiensten via Nederlandse wetgeving wettelijk verbieden om mee te doen aan het spel van grenzeloos uitwisselen van data? Zonder dat te regelen met de VS en Engeland, of pakweg – want die hebben ook geheime diensten – Rusland, Frankrijk en China? Wordt eens wakker…
