Bij ‘de dienst’ werken geen stoere helden met een licence to kill of spionnen van het type man-in-trenchcoat die onopvallend verdachte objecten observeren – dat is een geromantiseerd beeld uit films. We leven in een tijd van een dataoorlog die wordt gevoerd in het digitale domein en de frontlinie ligt achter het bureau. Het zijn vooral ict’ers die onze nationale veiligheid beschermen. ‘De inlichtingen- en veiligheidsdienst digitaliseert in hoog tempo. Het is een professionele organisatie waar gedreven, hoogopgeleide mensen werken. Meer ga ik daar niet over zeggen. Ik heb geheimhoudingsplicht’, zegt Jan-Jaap Oerlemans, bijzonder hoogleraar inlichtingen en recht aan de Universiteit Utrecht.

In de kantine van de Universiteit Leiden praten we over hoe de democratische rechtsstaat omgaat met cybercrime en onze cybersecurity beschermt. Digitale bedreigingen zijn onzichtbaar, maar de schade ervan manifesteert zich genadeloos bij cyberaanvallen op cruciale infrastructuur van bedrijven, gemeenten, banken of publieke voorzieningen als ziekenhuizen en universiteiten. Ze worden door criminelen met ransomware gedwongen losgeld te betalen, omdat ze anders geen toegang hebben tot gegevens en achterliggende ict.

Dergelijke destructieve aanvallen nemen toe. In Nederland lag de Tweede Maasvlakte een week stil. Onderzoeksdata van medewerkers en gegevens van studenten van de Universiteit Maastricht werden versleuteld. In Amerika legde een misdaadsyndicaat de digitale besturing van het brandstofleidingennet van Colonial Pipeline lam. Bij een containerbedrijf vielen alle digitale systemen uit waardoor er geen zicht meer was op hun schepen op zee. ‘Ze moeten losgeld betalen of tienduizenden nieuwe harde schijven aanschaffen – bizar wat dat kost’, zegt Oerlemans.

Hoe cybercriminelen precies te werk gaan, wordt zo nu en dan zichtbaar bij strafzaken. Of het is te lezen in rapporten of publicaties, zoals van Volkskrant-journalist Huib Modderkolk die na jaren onderzoek in zijn boek Het is oorlog maar niemand die het ziet (2019) een onthutsend beeld geeft van een wereld van Russische criminele organisaties die bankaccounts leegplukken, van illegale handel in kinderporno en drugs op het dark web of spionage door staten als China en Rusland. Volgens het Cyber Security Beeld Nederland is cyberspionage door statelijke actoren de grootste dreiging op het gebied van cybersecurity. Digitale spionage vormt volgens de Militaire Inlichtingen- en Veiligheidsdienst (mivd) ‘een van de grootste dreigingen voor Nederland en zijn bondgenoten’.

‘Nee’, zegt Oerlemans, ‘het is géén oorlog in juridische zin, we zitten niet in een conflictsituatie. Juist daarom moet je nu goed over bevoegdheden van overheidsinstanties en checks and balances nadenken. Het nieuwe kabinet moet dit dossier goed oppakken.’

De dreiging op het gebied van cybersecurity heeft enorme consequenties voor de positie van de veiligheidsdiensten waar géén naïeve nerds werken. Hoe ver gaan zij in hun bevoegdheden? Want als je niet oppast word je vanwege de nationale veiligheid je eigen vijand: het uithollen van de rechtsstaat door misbruik van overheidsmacht. Voorbeelden van de bijzondere bevoegdheden die de Algemene Inlichtingen- en Veiligheidsdienst (aivd) en de mivd mogen inzetten, zo vertelt Oerlemans terwijl studenten met veel kabaal de kantine binnenstromen, zijn het onderscheppen en analyseren van communicatie uit telefonieverkeer, internetverkeer, satellietverkeer en radioverkeer. Dit wordt wel signals intelligence genoemd. ‘Dat gaat ver.’

Jan-Jaap Oerlemans is naast zijn bijzonder-hoogleraarschap werkzaam bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (ctivd). Hierdoor heeft hij een inkijkje in de aivd en de mivd. Het zijn gezichtsloze organisaties waarvan de werkwijze zich onttrekt aan het oog van burgers – dat hoort intrinsiek bij hun opdracht. ‘Er is altijd een spanningsveld tussen geheimhouding en openheid. De diensten hebben de meest vergaande bevoegdheden van alle overheidsinstanties, afgezien van de krijgsmacht, en die zijn neergelegd in gedetailleerde wetgeving.’

De toezichthouder controleert of de aivd en de mivd zich in de praktijk aan de wet houden. Voor het overgrote deel wordt die keurig nageleefd. ‘Maar waar gewerkt wordt, vallen spaanders. De grens wordt altijd opgezocht. Bij de politie zie je dat ook, om de praktijk te laten toetsen door de rechter.’ Het is een lastige spagaat voor de overheid, erkent Oerlemans. Uitvoeringsinstanties moeten zich aan de regels houden, grondrechten respecteren en zich geen macht toe-eigenen zonder wettelijke basis. ‘Ondertussen groeit de beschikbare hoeveelheid informatie en daar wil je gebruik van maken. Dat raakt natuurlijk aan het recht op privacy en het recht op bescherming van persoonsgegevens. De wetgever moet kijken of de grondrechten voldoende beschermd blijven en of de politie en de aivd en de mivd hun werk adequaat kunnen uitvoeren om cybersecurity-bedreigingen te traceren en voorkomen.’

Jan-Jaap Oerlemans: ‘Er worden steeds losse plannetjes bedacht. Maar het ontbreekt aan een samenhangend plan’

In Nederland is de controle in vergelijking met veel andere westerse landen goed geregeld; het is allemaal vastgelegd in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), die in 1987 werd ingevoerd en in 2017 is aangepast: naast de regulering van bevoegdheden bevat ze ook andere mechanismen om de rechten en vrijheden van burgers te beschermen tegen misbruik van overheidsmacht. In openbare rapporten wordt jaarlijks beschreven wat de beide diensten doen, en in hoeverre zij de wet naleven. Soms hebben die rapporten geheime bijlagen die alleen bestemd zijn voor de ‘Commissie-Stiekem’, het parlementaire toezichtsorgaan. Daarnaast is er nog een Toetsingscommissie Inzet Bevoegdheden (tib) die rechtmatigheidstoezicht uitoefent op de inzet van bijzondere bevoegdheden; soms wordt daar geen groen licht voor gegeven.

En er zijn onafhankelijke organisaties die de vinger aan de pols van de overheid houden, zoals Burgerplatform Burgerrechten, Privacy First en Bits of Freedom. Zij wijzen op function creep, of wanneer de overheid privacy schendt. ‘Zeker, als het gaat om nationale veiligheid, cybercrime en digitale opsporing schuurt het soms’, zegt Oerlemans.

Recente voorbeelden daarvan zijn er genoeg. Camera’s langs de snelweg die niet alleen kentekens registreren maar ook gezichtsopnamen maken en waarvan de beelden te lang worden bewaard. Het is in dienst van opsporing van criminelen, maar raakt aan de privacy van alle burgers. In april van dit jaar onthulde de NRC dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv) zonder wettelijke bevoegdheid jarenlang burgers heeft gevolgd, dossiers over hen heeft aangelegd en deze met andere partijen heeft gedeeld. In reactie hierop zette het demissionaire kabinet in op het legitimeren van deze praktijken middels een wetsvoorstel waarin de bevoegdheden van de nctv worden verruimd. ‘Het is een haastig en slordig wetsvoorstel. Eerst moet de wetgever kijken welke taken je de nctv eigenlijk wil geven, daar dan voldoende bevoegdheden voor geven én daar goede checks and balances tegenover zetten. Dat conceptwetsvoorstel faalt op al die fronten’, zegt Oerlemans.

Of neem het plan van de overheid voor een verbod op betaling van losgeld door verzekeraars als een bedrijf met een ransomware-aanval te maken heeft. In het Financieele dagblad riepen it-beveiligers vorige week op tot landelijke regie: ‘Er worden steeds losse plannetjes bedacht. Maar het ontbreekt aan een samenhangend plan.’ Oerlemans is het daarmee eens: de overheid moet een heldere visie ontwikkelen op cybercrime, met duidelijke taken en verantwoordelijkheden voor de politie en de AIVD en de mivd, zodat je daar bij dreigingen binnen de grenzen van de wet goed op kunt reageren.

Advies aan de (in)formateur

Deze weken laat De Groene onafhankelijke deskundigen aan het woord. Welke stappen moeten op hun terrein in de komende vier jaar worden gezet? Wat moet er in het regeerakkoord komen?

In een rapport van de evaluatiecommissie-Jones-Bos en in een rapport van de Algemene Rekenkamer werd onlangs geconstateerd dat de Wiv aan herziening toe is. Hoe en wat is nog niet duidelijk, maar wel is er een grote wetswijziging in voorbereiding. De minister heeft, ook naar aanleiding van vragen van Kamerleden en senatoren, toegezegd in het najaar op hoofdlijnen over een nieuwe wet te debatteren. ‘Het is waarschijnlijk’, zegt Oerlemans, ‘dat de privacybescherming bij sommige bevoegdheden omlaag gaat. Maar daar kunnen andere waarborgen of verbeteringen tegenover staan. De wijzigingen zijn natuurlijk afhankelijk van de samenstelling van een nieuw kabinet.’

Hij noemt een punt in de huidige wet waar hij bijvoorbeeld vraagtekens bij zet. ‘De wetgever moet grenzen stellen aan het verzamelen en verwerken van gegevens uit bulkdatasets. Nu kunnen bulkdatasets worden verzameld met verschillende bevoegdheden, zoals de informantenbevoegdheid. De informantenbevoegdheid in artikel 39 Wiv 2017 is echt een gedrocht van een artikel. De meeste mensen denken bij een informant aan een persoon, een individu, die meewerkt en informatie geeft aan de aivd of de mivd op vrijwillige basis. Maar pas als je het artikel goed leest, zie je dat óók overheidsinstellingen en bedrijven op vrijwillige basis gegevens kunnen verstrekken. Wat ook verbeterd moet worden: een bewaartermijn voor de verzamelde gegevens. Het is nu niet duidelijk dat die gegevens na een bepaalde termijn vernietigd moeten worden.’

De technologie stuurt de mogelijkheden?

Ook al zijn bedreigingen onzichtbaar en soms pijnlijk merkbaar, ze zijn zeker niet ongrijpbaar

‘Dat is hét probleem, het rekt zich aan beide kanten op. Opsporingsdiensten willen altijd gebruik maken van de nieuwe mogelijkheden. Digitalisering zorgt voor twee heel interessante dingen: de dreigingen worden groter, en daar moet je als politie en veiligheidsdienst op reageren. De technologie zorgt ook voor meer mogelijkheden om te handhaven en informatie te verzamelen. Algemeen of ongedifferentieerd data van burgers opslaan ten behoeve van meer veiligheid mag niet, maar wel onder bepaalde voorwaarden.’

Zijn punt bij de opsporing is bijvoorbeeld: ‘Door de politie zijn ook enorme bulkdatasets verzameld in cybercrime-onderzoeken en vervolgens zie ik daar jaarlijks maar zo’n drie strafzaken uit voortkomen – wat gebeurt er met al die verzamelde gegevens? Hoe gaan we daarmee om en wie controleert dat op rechtmatigheid? Je moet dat soort dingen ook goed achteraf controleren, juist ook als het niet tot een strafzaak komt.’

Maar door de camera’s langs de snelweg zijn ook de plegers van de aanslag op Peter R. de Vries snel opgepakt. En hun telefoons werden meteen leeggetrokken. Mag dat dan wel?

‘In dit geval is het zo’n ernstig misdrijf en doorzoeking van een voertuig, dus dat wordt een ja. Maar normaal moet je bij het verzamelen van gegevens van de telefoon wachten tot je een bevel van een officier van justitie hebt. Het liefst zou ik een spoedmachtiging zien van de rechter, die moet kijken naar proportionaliteit. Ik ben er tegen dat de politie dat kan doen in the heat of the moment.’

Iets van een heel andere orde is de inzet van spyware van het Israëlische bedrijf nso. Recent kwam door onderzoek van het mediacollectief Forbidden Stories en Amnesty International naar buiten dat overheden hiermee via hun telefoons journalisten, activisten en ook politici hebben gevolgd. De onderzoekers hadden een lijst van zo’n vijftigduizend nummers ontdekt die werden gezien als doelwitten. De kwestie werpt fundamentele vragen op over de verhouding tussen het gebruik van spyware en privacy, over de vraag waar misdaadbestrijding door overheden en inlichtingendiensten overgaat in mensenrechtenschendingen.

Weet u of de Nederlandse overheid dit ook heeft gedaan?

‘Daar ga ik niets over zeggen. Ik mag geen staatsgeheimen prijsgeven.’

Verneemt u dit via de media?

Verplicht iedereen two-factor authentication te gebruiken als extra digitale beveiliging

‘Ook daar geef ik geen antwoord op. Ik ben natuurlijk ook een ambtenaar bij een toezichthouder. We hebben wel geschreven over de hackbevoegdheid, dus over de vraag of deze bevoegdheid door de aivd en de mivd rechtmatig wordt uitgeoefend. Het probleem is: het gaat nooit specifiek over welke software wordt gebruikt of waar die vandaan komt. Wat wij controleren is of de minister van Defensie of Binnenlandse Zaken toestemming heeft gegeven voor hacken, of de Toetsingscommissie Inzet Bevoegdheden dat rechtmatig vond én of de informatie die verder wordt verwerkt voldoet aan de wet. Ik ken geen andere bevoegdheid met meer gedetailleerde regels dan de hackbevoegdheid in de Wiv. Als het om journalisten gaat, dan kan een telefoon worden gehackt als hij of zij de nationale veiligheid bedreigt en de rechtbank Den Haag toestemming verleent; een journalist wordt dus niet zomaar afgeluisterd, in Nederland is dat scherp geregeld na een belangrijke uitspraak van jaren geleden – de drempel ligt bij ons hoog.’

In de westerse wereld is de rule of law leidend, terwijl landen waar we het meest last van hebben daar lak aan hebben. Zijn we niet te braaf door de bevoegdheden soms te strak te trekken? Loopt de wet achter?

‘Op een gegeven moment gaat die achterlopen. Bijvoorbeeld bij cloud computing, wat betekent dat bewijs niet opgeslagen is op een smartphone of pc maar bijvoorbeeld op een server van Apple “in the cloud”, oftewel op een computer ergens ter wereld in een datacentrum, en dat opent nieuwe mogelijkheden voor politie en opsporing. Daar zit als het ware een schatkamer aan bewijs. Maar ja, zo’n techbedrijf wil vaak niet meewerken aan een vordering tot verstrekking van e-mailgegevens. Mag de politie dan zelf inloggen op een account en het leegtrekken? Nu mag dat niet zonder hackbevoegdheid, maar hier worden de grenzen nogal opgezocht. Je moet dan de wet aanpassen als je dat beter wil regelen.’

In de kern komt het steeds op hetzelfde neer: is het noodzakelijk, en zo ja, onder welke voorwaarden? Hoe gaan we dat dan wettelijk regelen, en is er daar toezicht op? ‘Bij een terroristische aanslag is de bereidheid er om de regels op te rekken en kun je er wetgeving doorheen jassen. Na 9/11 is er meteen wetgeving gemaakt, soms is die te gehaast behandeld. Ik zeg niet dat het altijd slechte wetgeving is geweest, want overheidsdiensten moeten wél hun taak goed kunnen doen. En als het misgaat, krijgt de overheid het net zo goed om de oren. Maar je moet dan wel kijken naar de kwaliteit ervan en onder welke voorwaarden. De ministeries zelf en ook de Tweede Kamer moeten daarop letten. Uiteindelijk zullen rechters toetsen of het fout is gegaan. Rechtspraak heeft dus een heel belangrijke rol. De rechter zit daar ook namens de burger. Burgers zijn onwetend en die moeten vertrouwen hebben in die instanties.’

Oerlemans ziet overigens verbetering in expertise als het gaat om cybercrime: vier van de vijf Hoven – ‘behalve Amsterdam om de een of andere reden’ – hebben een speciale ‘cyberkamer’ met specialisme over cybercriminaliteit en digitale bewijslast. ‘Maar de kennis kan zeker nog verder worden verbeterd.’

Gaan we door de bevoegdheden op te rekken vanwege nieuwe technologie richting China, met bijvoorbeeld gerichte camera-surveillance?

‘Nee, maar er komen wel steeds meer mogelijkheden met sensoren om apparaten uit te lezen en bewegingen te volgen. Je houdt een scanner bij zo’n sensor en floep, er komen interessante gegevens voor overheidsinstanties uit. Een camera kun je nog zien, maar je hebt ook bluetoothtrackers die apparaten en daarmee ook indirect personen kunnen identificeren en volgen.’

Door de digitalisering en ontwikkeling in de technologie zullen in de toekomst de fundamentele rechten misschien weer anders worden ingevuld. Hier moet, vindt Oerlemans, de overheid op voorsorteren. Hij denkt altijd in gradaties met een mogelijk glijdende schaal. Bij ernstige privacy-inbreuken moet je aan meer waarborgen denken. ‘Mag je bijvoorbeeld een bionische arm loskoppelen voor digitaal forensisch onderzoek? Ik kan me voorstellen dat het parlement zegt: nooit. Maar stel dat er een aanslag heeft plaatsgevonden, dan wordt daar anders over gedacht als dit de enige manier is om bewijs te verzamelen.’

Doordenkend noemt hij weer een andere optie: een ‘brain-machine-interface’ waarmee je digitaal denken kunt verrijken of automatisch zoekslagen kunt doen op het internet, zonder dat je achter het toetsenbord zit. ‘Bedrijven zijn daar serieus mee bezig, en het ligt voor de hand dat we daar naartoe gaan’, zegt hij. Weer geldt dat je over de impact niet pas gaat nadenken als het al praktijk is geworden. ‘De bescherming van fundamentele rechten en de grens van overheidsmacht moet je aan de voorkant goed regelen.’

Ook al zijn bedreigingen onzichtbaar en soms pijnlijk merkbaar, ze zijn zeker niet ongrijpbaar. Oerlemans’ aanbeveling aan het nieuwe kabinet: ontwikkel een visie op cybersecurity, nu zijn de maatregelen te veel los zand. En nee, zegt hij, er hoeft hiervoor geen speciale minister in het leven geroepen te worden: digitalisering zit in alles, en dus de bedreigingen in potentie eveneens. ‘In reactie op cybercrime moeten we eenduidig optrekken, zowel diplomatiek als economisch en in Europees verband. Want het raakt ook aan geopolitieke agenda’s. Het is eigenlijk idioot dat een paar Russische groepen zoveel teweeg kunnen brengen.’

Hij heeft nog een advies, aan bedrijven en publieke instellingen én aan de overheid: zorg zelf voor goede ‘muren’. Concreter: verplicht iedereen two-factor authentication te gebruiken als extra beveiliging. Voor individuen geldt dit ook voor bijvoorbeeld e-mailaccounts en DigiD. ‘Het is een eenvoudige beveiligingsmaatregel die goed werkt, maar nog te weinig wordt toegepast. Het beschermt je tegen bedreigingen van pottenkijkers of misbruikers waar we niet meer naïef over kunnen zijn.’