De AIVD blijkt in te breken op internetfora om databases leeg te halen. Hoe je Viva-lezers aan terrorisme wil koppelen om het verhaal nog een beetje geloofwaardig wil maken, is mij een raadsel. Maar dat maakt ook niet uit, want ze hebben het recht om in te breken. Nu wordt duidelijk dat ‘recht’ te pas en te onpas ingezet. Gaan we de wet maar weer een keertje oprekken of nu toch ingrijpen?
Wat zorgelijker is waarom dit uit Amerikaanse documenten moet blijken. De basis van inlichtingendiensten is het handelen in informatie. Als jij mij dit brokje informatie geeft dan krijg jij daar ook weer iets voor terug. Dat is voor wetenschappelijke kennis begrijpelijk, maar niet als het over persoonsgegevens gaat van grote groepen burgers. Dan handel je dus in onze gegevens die je hebt gestolen. Uit de documenten van Edward Snowden wordt duidelijk dat dit zelfs zo ver gaat als het delen van de methodiek in presentatie die AIVD en MIVD voor de Amerikanen houden om te vertellen hoe ze opereren.
Een van de dingen waarvoor de AIVD de informatie uit de internetfora is het koppelen aan andere informatie die van burgers bekend is. De database wie achter welk internetadres schuilgaat van de overheid in combinatie met gebruikersnamen helpt bij het identificeren van de burger. Daardoor kunnen profielen worden gemaakt. Handig daarbij is ook dat informatie wordt verkregen via andere vormen van administratie voeren en andere digitale inbraken. Al in 2011 toonden hackers me dat zij op basis van gelekte bestanden complete dossiers van gebruikers maken. ‘AIVD-tje-spelen’ noemde een het.
Onduidelijk is nog altijd hoever de MIVD en AIVD precies gaan. NRC publiceerde ook een document, waarbij ook werd gesproken over beveiligingsmaatregelen die werden genomen om aanvallen tegen te gaan. Via het National Detection Network (NDN) worden zogenaamde sensoren op internet geplaatst om aanvallen te onderkennen en tegen te gaan. De AIVD vraagt bedrijven vrijwillig een ‘zwarte doos’ voor hun netwerk te mogen plaatsen om aanvallen te onderkennen. Maar onduidelijk is of die apparaten toch niet meer doen, want ook de bedrijven weten niet wat de AIVD precies doet, bevestigde de dienst al in april.
In Nederland hebben we een National Cyber Security Center (NCSC) dat ook in de documenten van Snowden wordt genoemd. In ieder geval de AIVD is daarbij betrokken. Dat is niet vreemd, omdat de directeur, Wil van Gemert, ooit voor die dienst werkte. Hoe die banden nu liggen, is niet echt duidelijk. Al jaren probeer ik af te tasten waar de grens ligt, maar de organisatie is niet echt open. Er wordt heel geheimzinnig gedaan over de meest basale zaken. Iedere simpele vraag wordt altijd minimalistisch en overdreven formeel behandeld. Informatie geven willen ze niet, maar ontvangen natuurlijk wel.
De Cybersecurity strategie in Nederland bevat tactieken, zoals het kunnen hacken door de politie, de inzet op een cyberleger en het luisteren op verbindingen om aanvallen te detecteren. Allemaal zaken waarvoor openlijk is gepleit door een van de oprichters van beveiligingsbedrijf Fox-IT, Ronald Prins. Hij was in de openbouwende fase van die strategie een van de centrale spelers. Prins werkte eerder ook voor de de AIVD, die naar verluidt daar nog altijd werkzaamheden verricht en een toegangspas heeft. We mogen dus niet vreemd opkijken dat spionage activiteiten zo nauw betrokken zijn bij alles wat er op internet gebeurt.
Ook de samenwerking met de Amerikanen is op andere punten heel hecht te noemen. Het Team High Tech Crime van de KLPD heeft een liaison officier van de FBI rondlopen. De politie geeft geen inhoudelijk antwoord op vragen wat deze persoon precies doel. Het Ministerie van Veiligheid en Justitie zegt dat deze alleen maar rechtshulpverzoeken afwikkelt en zich niet met Nederlandse zaken bemoeit. Maar als je het Openbaar Ministerie confronteert met het feit dat bij een louter Nederlandse zaak de FBI aanwezig was bij de aanhouding van de verdachte is het antwoord dat de Amerikaan daar als burger is. Tot vervelends toe heb ik gevraagd bij de drie instanties hoe dit zit, maar een sluitende uitleg krijg je gewoon niet. De banden met Amerika zijn enorm nauw en het lijkt er sterk op dat veel Nederlandse gegevens naar de Verenigde Staten vloeien.
Het parlement begint langzaam te beseffen dat we wel erg kwetsbaar worden door zo massaal op het afluisteren van het volk en het bedrijfsleven in te zetten. Maandag komt een commissie met een rapport of de AIVD en MIVD wel voldoende bevoegdheden hebben. Een van de aanbevelingen wordt waarschijnlijk om de wet uit te breiden met het recht om ongericht al het internetverkeer te tappen en te analyseren. Wetsvoorstellen van minister Plasterk in die richting zijn er inmiddels al. De politiek heeft nu de lastige vraag te beantwoorden of het ongericht vergaren (en dus delen met andere diensten) van gegevens echt nodig is of dat we als bedrijfsleven en burgers nog tandje minder bespioneerd moeten worden.