6.7.1.1. Inleiding
Binnenlandse veiligheid is de hoeksteen van de nationale soevereiniteit. Overdracht van nationale bevoegdheden op dit gebied naar het niveau van de Europese Unie zal hoogstens het sluitstuk van vergaande politieke integratie vormen – als het er al ooit van komt. In het proces van Europese integratie blijkt de nationale soevereiniteit immers keer op keer op bepaalde terreinen springlevend. De samenwerking tussen politie en justitie blijft gedomineerd door nationale prerogatieven. Voor inlichtingen- en veiligheidsdiensten geldt dat eens te meer. Internationale regulering van bevoegdheden van inlichtingen- en veiligheidsdiensten, bijvoorbeeld door internationale verdragen, is om dezelfde reden niet te verwachten.
Er vindt echter wel vergaande samenwerking plaats tussen Europese inlichtingen- en veiligheidsdiensten (ivd’s), zowel op het terrein van beleidsafstemming als op het terrein van operationele samenwerking. Hierbij past wel meteen een kanttekening. Het sterk soevereine karakter van ivd’s bepaalt in hoge mate het karakter van de samenwerking. In de wereld van de ivd’s is er sprake van opportunisme, of vriendelijker gezegd: quid pro quo. Waar de belangen samenvallen werkt men samen, waar de belangen uiteenlopen werkt men niet samen, of is men elkaars concurrent.
Beleidsafstemming vindt plaats in formele en informele samenwerkingsverbanden. Zoals gesteld gaat het hierbij niet om formele harmonisatie van bevoegdheden, laat staan van communautarisering. Het bepalende principe is dat van wederzijdse beleidsbeïnvloeding. Het gaat om het leren van elkaars ervaringen en het uitwisselen van best practices op het gebied van beleid en praktijk. De diensten zoeken naar gezamenlijke oplossingen, die vervolgens nationaal in beleid en bevoegdheden worden vertaald.
Zo zijn er opvallende overeenkomsten tussen Westerse landen in de manier waarop met het probleem van encryptie en de bevoegdheden van politie, justitie en ivd’s wordt omgegaan. Er is een verschuiving van het controleren en beperken van sterke cryptografie naar bevoegdheden tot direct afluisteren, waaronder het plaatsen van een tap op het toetsenbord of het gebruik van TEMPEST, een techniek die de straling van beeldschermen aftapt. Daarnaast krijgen steeds meer ivd’s de bevoegdheid om computers te kraken en Trojaanse paarden te plaatsen, ongericht het etherverkeer af te luisteren en te scannen op sleutelwoorden, en emailverkeer af te tappen en te scannen op sleutelwoorden.
Verder hebben inlichtingendiensten een indirecte invloed op Europese besluitvorming, doordat ze betrokken zijn bij de beleidsvoorbereiding op terreinen die raken aan het werk van ivd’s. Deze vorm van indirecte beleidsbeïnvloeding neemt toe, nu het werk van ivd’s en politiediensten in toenemende mate gaat overlappen.
6.7.1.2. Formele samenwerking
6.7.1.2.1 Werkgroep Terrorisme van de Europese Unie
De werkgroep Terrorisme van de Europese Unie is opgericht bij het Verdrag van Maastricht, dat in 1993 in werking trad. De werkgroep valt onder de intergouvernementele derde pijler van de Europese Unie, wat wil zeggen dat de Europese Commissie en het Europees Parlement geen officiële zeggenschap hebben en het beleid met eenparigheid van stemmen wordt bepaald door de EU-lidstaten. Nationale parlementen blijken in de praktijk niet goed in staat tot effectieve controle op wat er zich in de derde pijler afspeelt.
De werkgroep Terrorisme valt onder de politieke verantwoordelijkheid van de Europese Raad Justitie en Binnenlandse Zaken. In de werkgroep zijn de inlichtingen- en veiligheidsdiensten van de EU-lidstaten op ambtelijk niveau vertegenwoordigd.
Daarnaast neemt een vertegenwoordiger van Europol deel aan de vergaderingen. Europol heeft sinds 1 januari 1999 een mandaat op het gebied van contra-terrorisme. De rol van Europol is overigens niet onomstreden. Zo heeft de Britse delegatie herhaaldelijk bezwaren geuit tegen het sturen van nationale dreigingsanalyses naar Europol. De officiële reden is dat dit dubbel werk zou zijn. Waarschijnlijker is dat de Britten bezorgd zijn of de vertrouwelijkheid wel voldoende gegarandeerd is. Dit staat meer in het algemeen de uitwisseling van informatie in de weg.
De werkgroep Terrorisme stelt een halfjaarlijks dreigingsbeeld op, dat bestaat uit een overzicht van terroristische incidenten en relevante ontwikkelingen op dit gebied, waaronder gebruik en misbruik van informatietechnologie, elektronische en fysieke sabotage en het gebruik van het Internet door terroristische groeperingen. Verder vindt de organisatie van congressen en seminars plaats onder verantwoordelijkheid van de werkgroep. Ook vindt in deze werkgroep uitwisseling plaats van beleidsontwikkelingen en zoekt men gezamenlijk naar oplossingen voor problemen van gemeenschappelijke aard.
Encryptie en informatietechnologie staan regelmatig op de agenda van deze werkgroep. Volgens de werkgroep bestaan er drie potentiële relaties tussen informatietechnologie en terrorisme. Terroristische organisaties kunnen encryptie gebruiken om hun onderlinge communicatie te beveiligen, hetgeen een probleem oplevert bij interceptie. Daarnaast kunnen terroristische organisaties gebruik maken van Internet om nationale verboden op terroristische propaganda te omzeilen. De werkgroep noemt in dit verband het verbod voor Duitse Internet-aanbieders om een weblocatie van de Nederlandse Internet-aanbieder xs4all door te geven, waarop het in Duitsland verboden blad Radikal staat. Ten slotte wijst de werkgroep op de gevaren van digitale sabotage. Door de internationalisering van de telecommunicatie-infrastructuur is volgens de werkgroep ‘internationale samenwerking op dit terrein zonder meer noodzakelijk’.
Informatieverzameling- en uitwisseling op het Internet
In februari 2000 lanceerde toenmalig EU-voorzitter Portugal in de werkgroep Terrorisme het initiatief om gezamenlijk naar terroristische informatie op het Internet te speuren en de resultaten op geautomatiseerde wijze uit te wisselen. Als het initiatief wordt goedgekeurd, betekent dit de eerste formele afspraak tussen ivd’s op EU-niveau over samenwerking en het systematisch delen van informatie.
Portugal stelde voor om een gezamenlijke lijst van sleutelwoorden aan te leggen om het Internet mee af te speuren. De speurtocht is gericht op ‘aan terrorisme gerelateerde informatie’. Portugal geeft als voorbeelden terroristische groepen, sekten, neo-nazi’s, racisme en cyberterrorisme. Ook termen die hackers vaak gebruiken, zouden in het gezamenlijke lexicon moeten komen, zoals het gebruik van de letter ‘z’ in woorden (passwordz, crackz). Via een gezamenlijke, beveiligde mailinglijst kunnen de lidstaten elkaar op de hoogte brengen van weblocaties die interessant zijn om te onderzoeken en te volgen. Daarnaast kunnen op deze manier de geanalyseerde resultaten van nationaal onderzoek uitgewisseld worden.
Portugal maakt duidelijk dit als een eerste stap te zien in meer formele samenwerking. ‘Op institutioneel niveau betekent het de instelling van een samenwerkingskanaal, dat de uitwisseling van ervaringen en de ontwikkeling van gezamenlijke methodes voor gelijkluidende problemen mogelijk maakt,’ aldus Portugal. Europol heeft aangeboden het systeem voor de informatie-uitwisseling te faciliteren.
De reacties op het Portugese initiatief zijn vooralsnog terughoudend. De grotere EU-lidstaten staan huiverig tegenover het systematisch delen van informatie, zeker als dat op geautomatiseerde wijze plaatsvindt. Angst voor veiligheidslekken speelt ook hier een rol.
6.7.1.3. Informele samenwerking
Club de Bern
De Club de Bern is een informeel samenwerkingsverband van de hoofden van zeventien Europese inlichtingen- en veiligheidsdiensten. Welke landen dit precies zijn, is geheim, maar het is vrijwel zeker dat de vijftien EU-lidstaten deelnemen.
Ontmoetingen vinden een à twee keer per jaar plaats. Tijdens de ontmoetingen spreken de hoofden van de diensten over onderwerpen van gemeenschappelijk belang, zoals actuele ontwikkelingen in de betrokken landen. Het gaat daarbij zowel om terroristische incidenten en dreigingsbeelden als om gehanteerd beleid en gehanteerde contraterrorisme-strategieën. Volgens een woordvoerder van de BVD gaat het ook hier om het leren van elkaars ervaringen en het uitwisselen van best practices op het gebied van beleid en praktijk. Er vindt geen officiële harmonisatie van beleid of wetgeving plaats. Wel zoeken de diensten naar gezamenlijke oplossingen, die vervolgens nationaal in beleid en bevoegdheden worden vertaald.
In 1999 stond er op de agenda van de Club de Bern onder meer interceptie, encryptie en cyberterrorisme.
Midden Europa Conferentie
De Midden Europa Conferentie is een informeel samenwerkingsverband tussen ivd’s uit West- en Midden-Europa. De precieze samenstelling is geheim. Op termijn wordt dit overleg misschien geïnstitutionaliseerd, in het kader van de toetredingsprocedure van kandidaat-lidstaten tot de Europese Unie.
G5
Het G5-overleg is een informeel overleg over informatiebeveiliging tussen Duitsland, Frankrijk, het Verenigd Koninkrijk, Zweden en Nederland. Instanties die zich bezighouden met informatiebeveiliging hebben zitting in dit overleg. De Nederlandse delegatie wordt door de BVD voorgezeten.
In 1999 was de ontwikkeling op cryptografisch gebied een belangrijk gespreksonderwerp. De ontwikkelingen in de Verenigde Staten op dit gebied, vooral wat betreft de export van cryptografische producten, hebben daarbij bijzondere aandacht. De Verenigde Staten hebben vrijwel een monopoliepositie op het gebied van zware cryptografie, aldus een woordvoerder van de BVD. Volgens hem leidt dit tot een afhankelijkheidssituatie, die tot ‘enige voorzichtigheid’ noopt. Vandaar dat de crypto-ontwikkelingen in de VS de aandacht van de G-5 hebben.
Quantico-groep (ILETS)
Sinds 1987 bestaat er een informeel internationaal samenwerkingsverband dat het aftappen van communicatie als onderwerp heeft. Deze Quantico-groep, oftewel ILETS (International Law Enforcement on Telecommunications Seminar) is een initiatief van de Amerikaanse FBI. Op de achtergrond speelt de National Security Agency (NSA), gespecialiseerd in afluisteren en het kraken van encryptie, een sturende rol.
De snelle technologische ontwikkelingen in de telecommunicatiesector, de privatisering van deze sector en de opkomst van globale communicatiesystemen vormden de aanleiding voor de Verenigde Staten om de samenwerking te zoeken met andere Westerse mogendheden. Naast Australië, Nieuw Zeeland en Canada zijn de lidstaten van de Europese Unie deelnemer aan de vergaderingen.
Binnen de EU wordt het werk voor de Quantico-groep gecoördineerd in de sub-werkgroep interceptie van de werkgroep Politiële samenwerking, ressorterend onder de Europese Raad voor Justitie en Binnenlandse Zaken. In deze sub-werkgroep heeft de BVD zitting, evenals de ivd’s van andere EU-lidstaten (zie ook par. 6.7.1.7).
Een belangrijk doel van de Quantico-bijeenkomsten is het gezamenlijk bewerken van de telecommunicatie-industrie, om te zorgen dat de nieuwste communicatietechnologieën gestandaardiseerde interceptiemogelijkheden bevatten. De laatste jaren is de nadruk steeds meer komen te liggen op het aftapbaar maken en houden van Internettechnologieën.
In het ILETS-overleg kwamen onder meer aan de orde de interceptie van satelliet-communicatie, SIM-kaarten (subscriber identity module, abonnee-chipkaarten voor GSM-diensten), het tappen van en volgen van targets op het Internet, Trusted Third Parties en in het algemeen nieuwe technologieën en de juridische aspecten ervan.
6.7.1.4. Operationele samenwerking
De Europese ivd’s werken op operationeel gebied nauw samen. Hiervoor bestaat geen juridische basis of officiële overeenkomst. De Nederlandse BVD hanteert een eigen gedragscode bij de beoordeling van verzoeken tot operationele samenwerking. Het belangrijkste criterium is echter of een Nederlands belang is gemoeid bij operationele samenwerking. Tijdens operationele samenwerking maakt de BVD gebruik van haar nationale bevoegdheden. Alle middelen en bevoegdheden die de BVD op ICT-gebied ter beschikking staan, kunnen in zo’n geval worden ingezet, waarbij de resultaten van het onderzoek gedeeld worden met buitenlandse diensten.
Op het gebied van elektronische spionage wisselt Nederland gegevens uit met andere Europese diensten, Amerika en Israël. Nederland heeft een afdeling voor het aftappen en analyseren van etherverbindingen, het Strategisch Verbindingsinlichtingen Centrum (SVIC) in Amsterdam, dat de signalen bewerkt die door verschillende grondstations uit de lucht worden geplukt. Het SVIC valt onder de afdeling verbindingsinlichtingen van de Militaire Inlichtingen Dienst (MID), maar werkt ook ten behoeve van de BVD.
6.7.1.5. Militaire inlichtingen
De Europese Raden van Helsinki (december 1999) en Freira (juni 2000) hebben een belangrijke impuls gegeven aan de ontwikkeling van een Europees veiligheids- en defensiebeleid (EVDB). De bedoeling is dat de EU-lidstaten in 2003 in staat zijn binnen zestig dagen een militaire operatie uit te voeren met een omvang van 60.000 militairen en voldoende voortzettingsvermogen.
Deze ontwikkeling leidt tot een toenadering van de militaire inlichtingendiensten van de EU-lidstaten. Volgens de toelichting bij de Defensiebegroting 2001 ontbreekt het Europa aan voldoende militaire capaciteiten op onder meer het gebied van inlichtingenverzameling.
Bondskanselier Schröder van Duitsland en President Chirac van Frankrijk stelden het volgende in een gezamenlijke verklaring over de oprichting van een zelfstandige Europese defensiemacht, afgegeven na een topontmoeting tussen beide landen op 30 november 1999: ‘Bij inlichtingenverzameling, wat een kernelement is van Europa’s onafhankelijke analyse- en besluitvormingscapaciteit, zijn we bereid de bestaande en toekomstige middelen te federaliseren, om een gezamenlijke Europese capaciteit te ontwikkelen.’
De West-Europese Unie (WEU) zal opgaan in de nieuw op te richten militaire organen van de Europese Unie. De Assamblee van de WEU heeft er bij de EU op aangedrongen een militaire inlichtingenstaf van dertig personeelsleden in de militaire organen te integreren.
Militaire spionagesatellieten
De eerste stap in de samenwerking zouden gezamenlijke spionagesatellieten betreffen. Het kan hier gaan om steun van de andere EU-lidstaten bij de ontwikkeling van de nieuwe generatie Franse Helios-spionagesatellieten, of om militair gebruik van het te bouwen zelfstandige Europese Galileo-satellietsysteem.
Het Franse EU-Voorzitterschap stelt in haar werkprogramma over Galileo: ‘Het (Voorzitterschap) zal ijveren voor de aanneming van een besluit om over te gaan tot de ontwikkelingsfase van een project van civiele aard, in eerste instantie gericht op openbare dienstverlening, dat echter verenigbaar moet zijn met taken in de sfeer van beveiliging, veiligheid en defensie.’
6.7.1.6. Informatiebeveiliging
De ivd’s van de EU-lidstaten werken samen bij informatiebeveiliging. Het gaat hierbij om het beveiligen van vitale informatiesystemen tegen ongeoorloofde inbreuken. De Europese ivd’s zijn onder meer betrokken bij de beveiligingsaspecten van interne communicatienetwerken van de EU, het EU-Extranet en het EU-Prime Net. Ook zit de BVD in de Galileo System Security Board van het Europese satellietprogramma Galileo.
6.7.1.7. Indirecte beleidsbeïnvloeding door ivd’s
Inlichtingendiensten oefenen indirect invloed uit op Europese samenwerking en beleidsvorming, doordat ze adviseren over beleidsvoorstellen die raakvlakken hebben met het werk van ivd’s. Soms hebben ze rechtstreeks zitting in de relevante Europese werkgroepen. De BVD neemt ook deel aan het ‘vooroverleg derde pijler’, waarin actoren op het politie- en justitiebeleid de Nederlandse inbreng in de derde pijler coördineren.
De invloed van de ivd’s op de politiële en justitiële samenwerking in Europa neemt toe. Zo beïnvloeden ivd’s bijvoorbeeld de bindende afspraken die in de Raad van Europa worden gemaakt over de bestrijding van computercriminaliteit, of de aftapeisen en afspraken over het vastleggen van verkeersgegevens die worden opgesteld in het kader van de Europese Unie.
Deze ontwikkeling komt voort uit een gedeeld belang dat ivd’s en politie- en justitiediensten hebben in het aftapbaar houden van (nieuwe) communicatietechnologieën en de bestrijding van aan nieuwe technologieën verbonden illegale activiteiten.
Daarnaast vindt er in toenemende mate een overlapping plaats van het werk van ivd’s en opsporingsdiensten, doordat ivd’s in een aantal EU-lidstaten, waaronder Nederland, de bestrijding van georganiseerde criminaliteit in hun portefeuille hebben.
Op dit terrein vinden soms echter ook weer conflicten plaats. Bij de onderhandelingen over het Verdrag inzake Wederzijdse Rechtshulp bij Strafzaken tussen de Lid-Staten van de Europese Unie ontstond een geschil over de meldingsplicht bij het rechtstreeks afluisteren van verdachten in een andere EU-lidstaat. De meerderheid van de EU-lidstaten wilde dat een lidstaat die rechtstreeks in een andere lidstaat afluistert, dit meldt aan de autoriteiten van het desbetreffende land. Groot-Brittannië vreesde echter dat zo ook het grensoverschrijdend afluisteren door inlichtingendiensten ingeperkt zou worden.
De lidstaten kwamen tot een akkoord door expliciet te bepalen dat afluisteren door inlichtingendiensten alleen hoeft te worden gemeld als dat plaatsvindt in het kader van een strafrechtelijk onderzoek. In de toelichtende nota bij het verdrag staat: ‘The Council agreed to make a United Kingdom declaration on this point an integral part of the Convention, stating as it does the conditions for applying Article 20 in the United Kingdom with particular regard to interceptions by the Security Service in cases where, in accordance with the United Kingdom’s national law, that Service acts in support of an investigation presenting the characteristics described in Article 20 (1)’.
Artikel 20 lid 1 luidt: ‘…de verplichtingen krachtens dit artikel zijn van toepassing op aftapbevelen die door de bevoegde autoriteit van een lidstaat zijn gegeven of toegestaan in het kader van een strafrechtelijk onderzoek dat de kenmerken vertoont van een onderzoek naar aanleiding van een specifiek strafbaar feit, met inbegrip van pogingen daartoe voor zover deze krachtens de nationale wetgeving strafbaar zijn gesteld, teneinde de verantwoordelijken te identificeren en aan te houden, in beschuldiging te stellen, te vervolgen of te berechten.’
Cybercrime-Verdrag Raad van Europa
De Raad van Europa onderhandelt over een Cybercrime-Verdrag. Het gaat hier om strafrechtelijke samenwerking. In het verdrag vindt harmonisatie van zowel formeel als materieel strafrecht plaats op terreinen als interceptie, bewaartermijnen van verkeersgegevens, grensoverschrijdende computerdoorzoeking en de strafbaarstelling van inhoudsgerelateerde delicten.
De ministeriële commissie voor de inlichtingen- en veiligheidsdiensten MICIV heeft in 1999 meerdere malen gesproken over het Cybercrime-Verdrag. De reden is dat cybercriminaliteit aspecten kan hebben die voor ivd’s van belang kunnen zijn, bijvoorbeeld als politiek gewelddadige groeperingen er hun toevlucht toe nemen.
Sub-werkgroep interceptie van de Europese Unie
De BVD en ivd’s van andere EU-lidstaten hebben zitting in de sub-werkgroep interceptie van de werkgroep Politiële Samenwerking, ressorterend onder de Europese Raad van Justitie en Binnenlandse Zaken.
In deze werkgroep worden, in nauw overleg met de Verenigde Staten, Australië, Canada en Nieuw Zeeland, aftapnormen vastgesteld waaraan de internationale telecommunicatiesector moet voldoen. In 1995 nam de Raad van Justitie en Binnenlandse Zaken een door de werkgroep Politiële Samenwerking voorbereide resolutie aan met specifieke interceptie-eisen.
De resolutie heeft geen direct juridisch verbindende werking voor de lidstaten. In Nederland is de resolutie echter wel leidraad voor het te volgen nationale interceptiebeleid. ‘Het aftapbeleid in Nederland stoelt op internationaal gemaakte afspraken, welke in Europa geformaliseerd zijn middels de Resolutie van de Raad van de Europese Unie inzake de legale interceptie van telecommunicatieverkeer van 17 januari 1995,’ aldus de regering.
De resolutie is niet onomstreden. De ‘Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens’, een werkgroep van de EU die toeziet op de bescherming van persoonsgegevens, heeft kritiek op de onduidelijke juridische status van de resolutie. De werkgroep waarschuwt ook voor ‘ontsporingen wat de doelstellingen van het aftappen betreft, risico’s die nog zouden worden vergroot door uitbreiding van de technieken voor interceptie en decodering van telecommunicatieverkeer tot een steeds groter aantal landen – waarvan enkele buiten de Europese Unie.’
In september 1998 verscheen een nieuwe versie van deze resolutie. Er is specifiek aandacht voor Internettechnologieën. Internetverkeersgegevens, wachtwoorden, emailverkeer en van het Internet gehaalde informatie moeten desgevraagd doorgegeven kunnen worden naar de tapkamers van de autoriteiten. ‘De wettelijk bevoegde autoriteiten moeten het gehele telecommunicatieverkeer permanent en in real-time kunnen observeren,’ aldus het document. Als het nodig is moeten meerdere diensten uit verschillende landen kunnen meeluisteren.
De resolutie is nog niet officieel aangenomen. Uit notulen van de Europese Commissie blijkt dat de EU-lidstaten de vertraging wijten aan negatieve perspubliciteit na het uitlekken van de nieuwe plannen en te weinig politieke ondersteuning van de hoogste regionen in de Europese Raad. De vertegenwoordiger van de Europese Commissie stelde voor de impasse te doorbreken door ‘een zelfde strategie te volgen als toegepast op het vraagstuk van kinderpornografie op Internet’.
Overig
De werkgroep Terrorisme van de Europese Unie (zie par. 6.7.1.2) heeft een overzicht opgesteld van alle gremia waarin informatietechnologie wordt besproken. Afgesproken is het werk in deze gremia te volgen en te evalueren in de werkgroep Terrorisme.
6.7.1.8. Echelon
De interceptie-activiteiten van inlichtingendiensten zijn de laatste twee jaar in de belangstelling komen te staan door publicaties over Echelon. Echelon is een wereldwijd afluisternetwerk dat de Verenigde Staten, het Verenigd Koninkrijk, Australië, Nieuw Zeeland en Canada onderhouden.
Ook andere Europese diensten hebben – in ieder geval in het verleden – informatie binnen dit netwerk uitgewisseld. In de jaren zeventig werd onder de codenaam ‘Totem’ afgetapte militaire informatie over het Oostblok uitgewisseld tussen de Verenigde Staten en Europese ivd’s.
Dit samenwerkingsverband op het gebied van signals intelligence stamt uit de Koude Oorlog. In het verleden is de aftapcapaciteit echter ook ingezet tegen politieke oppositiegroeperingen, niet-gouvernementele organisaties en individuen.
Echelon illustreert de vele juridische en politieke valkuilen die verbonden zijn aan aftapactiviteiten van de inlichtingendiensten. Kenmerkend voor Echelon en vergelijkbare systemen is dat ze als stofzuigers ongericht het etherverkeer opvangen en met behulp van sleutelwoorden uitfilteren. De juridische basis voor deze activiteiten ligt over het algemeen in bescherming van de nationale veiligheid, de staatsveiligheid of essentiële nationale belangen. Dit zijn juridisch nauwelijks gedefinieerde begrippen, die bovendien zeer rekkelijk zijn. Aangezien het werk van inlichtingendiensten per definitie nauwelijks democratisch of juridisch gecontroleerd wordt, is er op dit terrein ook geen sprake van jurisprudentie.
De recente aandacht voor Echelon wordt mede veroorzaakt door de grensoverschrijdende aspecten ervan. Door de internationalisering van communicatiestructuren en de daarop aangepaste interceptiecapaciteiten, is het mogelijk om op ‘vreemde bodem’ af te luisteren. De aanwijzingen dat Echelon mede wordt ingezet voor economische doeleinden maakt de kwestie extra explosief. Inmiddels verrichten het Europees Parlement en verschillende nationale parlementen, waaronder het Nederlandse, onderzoek naar Echelon.
De Angelsaksische coalitie is echter niet de enige die beschikt over grensoverschrijdend interceptievermogen. Ook Nederland, Frankrijk en Duitsland hebben hun eigen faciliteiten voor het aftappen van etherverbindingen, waarmee ook berichtenverkeer van de andere EU-lidstaten wordt afgetapt.
Zo wist het Nederlandse Technisch Informatie Verwerkings Centrum TIVC (de voorloper van het huidige SVIC) de militaire en diplomatieke codes van België, Duitsland, Italië en Turkije te kraken. Nederland gebruikte afgetapte en ontsleutelde berichten voor economische doeleinden. Zo gingen Duitse offertes voor fregatten via de Nederlandse ivd’s naar scheepswerf Rijn Schelde Verolme. De verhouding tussen de toenmalige Inlichtingendienst Buitenland en het Nederlandse bedrijfsleven is door de inlichtingendeskundigen De Graaff en Wiebes als ‘incestueus’ omschreven.
Voor de regering is het feit dat in de inlichtingenwereld samenwerking en concurrentie elkaar afwisselen, de belangrijkste reden om in het voorstel voor een nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten wederom een dienst op te richten die zich richt op buitenlandse en economische inlichtingenvergaring, de Dienst Inlichtingen Buitenland die onder de beoogde opvolger van de BVD, de Algemene Inlichtingen- en Veiligheidsdienst AIVD, gaat vallen. De regering schrijft: ‘Meer nog dan op politiek en veiligheidsgebied, zijn inlichtingendiensten, ook al kunnen die overigens als “bevriende diensten” omschreven worden, elkaars concurrenten als het gaat om inlichtingen op economisch gebied. Het is een feit van algemene bekendheid dat ook landen die voor het overige bondgenoten zijn, elkaar op economisch gebied beconcurreren en daarbij onder meer gebruik maken van hun nationale inlichtingendiensten.’
De Nederlandse regering – die overigens zegt niet te weten of Echelon daadwerkelijk bestaat, omdat de betrokken regeringen daar geen mededelingen over doen – stelt niets uit te kunnen richten tegen mogelijk grensoverschrijdend afluisteren. ‘Activiteiten van buitenlandse inlichtingendiensten verricht vanaf buitenlands territoir onttrekken zich aan de Nederlandse jurisdictie,’ stelde de minister van Verkeer en Waterstaat op vragen uit de Kamer.
De kwestie van ongericht aftappen heeft echter nog een juridisch staartje. In september 1999 greep de BVD in bij een bedrijf dat zakelijke contacten onderhield met een Iraans bedrijf dat wordt verdacht betrokken te zijn bij de bouw van een kerncentrale in Iran. Volgens een medewerker van het Nederlandse bedrijf die door de BVD werd benaderd, was de BVD achter de contacten gekomen door het screenen en filteren van emailverkeer. In antwoord op vragen uit de Kamer over deze kwestie antwoordde de regering: ‘Het opvangen van berichten uit de ether is in beginsel niet verboden. Het voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten beoogt aan deze activiteiten een meer expliciete grondslag te geven en daarvoor regels te stellen. Dit doet vermoeden dat bestaande activiteiten van de BVD alsnog van een juridische basis worden voorzien.
Grensoverschrijdende aftapactiviteiten lijken zich vooralsnog in een juridisch niemandsland af te spelen. Graham Watson, voorzitter van het comité Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken van het Europees Parlement, heeft voorgesteld om bepalingen in internationale mensenrechtenverdragen op te nemen, die paal en perk moeten stellen aan het ongericht aftappen van etherverkeer. Volgens het voorstel moet ongericht en systematisch aftappen worden verboden.
De tijdelijke onderzoekscommissie van het Europees Parlement die Echelon onderzoekt, wil onder andere bekijken of de WTO een kader kan scheppen voor internationale regels op het gebied van economische spionage, of ongerichte en systematische interceptie strijdig is met het Europees Verdrag voor de Rechten van de Mens, en of het mogelijk is samen met de VS regels op te stellen voor grensoverschrijdende interceptie.
Willem Wagenaar
6.7.2.1. Inleiding
Enkele jaren geleden had deze paragraaf niet geschreven hoeven te worden. Specifieke wetgeving over bevoegdheden van inlichtingendiensten bestond niet of nauwelijks. Bovendien werd er binnen die wetgeving geen gewag gemaakt van gebruikte technieken. De afgelopen tien jaar is er gewerkt aan het opstellen van een nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (WIV). Deze wet kent wel een techniek-specifieke regelgeving en veroorzaakt ook een flinke hoeveelheid aanpassingen binnen andere wetten.
In deze paragraaf wordt bekeken welke wetgeving in Nederland het gebruik van Informatie- en Communicatietechnologie (ICT) door inlichtingendiensten heeft beperkt of juist mogelijk heeft gemaakt. De periode die bekeken wordt loopt van 1971 tot heden. Het jaar 1971 is als begin gekozen omdat in dat jaar de eerste wet op het gebied van het aftappen van telecommunicatie in Nederland werd geïntroduceerd.
6.7.2.2. Artikel 139a-c WvSr
Tot 1971 was er geen sprake van enige wet- of regelgeving ten aanzien van aftappen in Nederland, omdat tot dat moment afluisteren (en dus ook aftappen) niet strafbaar was. Bij wet van 7 april 1971 werden de artikelen 139a tot en met 139c Wetboek van Strafrecht (WvSr) ingevoerd, waarmee het afluisteren en opnemen van gesprekken in zijn algemeenheid strafbaar werd gesteld. Met de artikelen 139a en 139b WvSr wordt het direct afluisteren verboden. Een gesprek afluisteren of opnemen met een technisch hulpmiddel zonder toestemming van een deelnemer of zonder deelname aan het gesprek, is vanaf dat moment verboden. Hier worden enkele uitzonderingen op gemaakt. Eén van die uitzonderingen is het afluisteren en/of opnemen van een gesprek door de Binnenlandse Veiligheidsdienst (BVD), geregeld in artikel 139a lid 3 onder 3 en artikel 139b lid 3. De dienst heeft dan wel toestemming nodig van de Minister-President, de Minister van Binnenlandse Zaken en de Minister van Justitie gezamenlijk.
Artikel 139c stelt het afluisteren en/of opnemen van telecommunicatie strafbaar, oftewel het afluisteren van “door middel van een openbaar telecommunicatienetwerk, of door middel van daarop aangesloten randapparatuur overgedragen gegevens”. In artikel 139c lid 2 onder 3 is onder andere de strafuitsluitingsgrond voor de BVD geregeld. De BVD mag wel afluisteren op bijzondere last van de Minister-President en de Ministers van Justitie, van BZK en van Verkeer en Waterstaat gezamenlijk telkens voor de duur van ten hoogste drie maanden.
De artikelen 139a-c zijn ondanks een aantal moderniseringen tot op de dag van vandaag in de kern hetzelfde gebleven. De hierboven aangehaalde strafuitsluitingsgronden zijn dus nog steeds de juridische basis voor het aftappen door de Nederlandse inlichtingendiensten. Overigens lijkt het erop dat van het afluisteren van telefoons door inlichtingendiensten voor 1971 maar zeer beperkt gebruik is gemaakt en dan alleen binnen de contra-inlichtingentaak, voorzover het de BVD betreft. Het vermeende veiligheidsrisico dat men zag in het inschakelen van derden (medewerkers van de PTT), werd te groot bevonden.
6.7.2.3. Publicatie Koninklijk Besluit
De Binnenlandse Veiligheidsdienst kreeg op 8 augustus 1949 een officiële status door het ondertekenen van een vertrouwelijk Koninklijk Besluit (KB) door koningin Juliana. In dit besluit werden de taken en de verantwoordelijkheden van alle Nederlandse inlichtingendiensten geregeld. Ondanks steeds terugkerende verzoeken uit Tweede en Eerste Kamer zou het 22 jaar duren voordat het Koninklijk Besluit op 5 augustus 1972 openbaar werd. Dit lange wachten viel niet zozeer te wijten aan – de overigens zeer bescheiden omschrijving van – taken en verantwoordelijkheden van de binnenlandse diensten, maar aan de beschreven taak van de Inlichtingendienst Buitenland (IDB). Door de omschrijving erkende de regering dat er door Nederland gespioneerd werd in het buitenland. Pas nadat deze passage was aangepast werd het KB gepubliceerd.
In dit KB staat in artikel III-3 lid 3 dat het hoofd van de BVD zich kan wenden tot andere overheidsorganen, -diensten en ambtenaren met het verzoek bepaalde gegevens te verstrekken. Daarmee was de praktische kant van het afluisteren bij de PTT geregeld. Er kon nu medewerking gevraagd worden van ambtenaren in dienst van de PTT.
6.7.2.4. Oude WIV
Na de publicatie van het Koninklijk Besluit in 1972 stond politiek gezien niets een echte wettelijke regeling meer in de weg. De eerste Nederlandse Wet op de Inlichtingen- en Veiligheidsdiensten werd uiteindelijk in 1987 gepubliceerd. In deze wet werd echter met geen woord gerept over specifieke bevoegdheden. Artikel 15 van de WIV was ongeveer hetzelfde als het artikel III-3 uit het KB. Er stond dat de coördinator en de hoofden van de diensten zich mogen wenden tot overheidsorganen, overheidsdiensten of ambtenaren voor het verkrijgen van gegevens. Samen met de strafuitsluitingsgrond van artikel 139c WvSr was dit voldoende om taps te realiseren, zolang de PTT staatsbedrijf en monopolist op de telecommunicatiemarkt zou blijven en er geen nieuwe communicatietechnieken zouden worden geïntroduceerd. In artikel 16 werd geregeld dat de Minister verdere regels vast zou stellen voor het opslaan van gegevens.
De enige beperking ten aanzien van het verzamelen en opslaan van persoonsgegevens is gelegen in de zin dat dat alleen mag “voor zover dat noodzakelijk is voor de uitvoering van zijn [de BVD] in deze wet omschreven taak”.
6.7.2.5. Wet Computercriminaliteit
In het begin van de jaren negentig deden diverse nieuwe technieken en daarbij behorende strafrechtelijke en strafvorderlijke problemen hun intrede. Fax, mobiele telefonie en datacommunicatie via netwerken en Internet werden op grote schaal geïntroduceerd. De bestaande wetgeving was gericht op telefonie en telegrafie en kon dus niks met deze nieuwe technieken. Op 1 maart 1993 maakte de Wet Computercriminaliteit hier een einde aan.
Naast het techniekonafhankelijk definiëren van de aftapregelgeving voor justitie veranderden er ook enkele andere dingen. Deze wet stelt ten eerste hacken – computervredebreuk – strafbaar in artikel 138a WvSr. Er wordt voor de inlichtingendiensten geen uitzondering gemaakt in de wet. Door het aanpassen van de artikel 139c WvSr werd het verder strafbaar om alle vormen van telecommunicatie af te luisteren en niet alleen het telefoon- en telegraafverkeer. Tegelijkertijd kregen daardoor de inlichtingendiensten via de strafuitsluiting toestemming om alle vormen van telecommunicatie af te tappen.
6.7.2.6. Nieuwe WIV
De oude WIV bleek niet bestand tegen de veranderingen van de jaren tachtig en negentig. De wet was namelijk kapot geprocedeerd en daarmee was de noodzaak geschapen om een nieuwe wet te schrijven. Regering en inlichtingendiensten zullen van deze aanleiding allerminst gecharmeerd zijn geweest, maar deze nadelige start werd al snel omgezet in het streven een uitgebreide wensenlijst te realiseren. Zo wordt in het wetsvoorstel ook voorzien in een aantal aanpassingen die de bevoegdheden van de diensten uitbreiden en bestaande wettelijke beperkingen afzwakken of afschaffen. Deze ontwikkelingen hebben de afgelopen jaren geleid tot de nodige politieke discussie, gevolgd door weer nieuwe aanpassingen.
Totstandkoming wetsvoorstel
Directe aanleiding voor herziening van de WIV was een inbraak van de anti-militaristische actiegroep Onkruit in 1984. Bij deze inbraak werden papieren buit gemaakt waaruit bleek dat de Militaire Inlichtingendienst (MID) gegevens verzamelde over burgers. Diverse procedures die door een aantal van deze burgers werden aangespannen leidden in januari 1994 tot twee uitspraken van de afdeling bestuursrecht van de Raad van State. In deze uitspraken werd geconcludeerd dat de bestaande WIV niet voldeed aan de eisen van het Europees Verdrag van de Rechten van de Mens (EVRM) en daarop gebaseerde jurisprudentie van het Europees Hof van de Rechten van de Mens (EHRM). De oude WIV voldeed niet op de volgende punten:
- In de WIV was niet geregeld onder welke omstandigheden en met welke middelen de Nederlandse inlichtingendiensten de privacy van burgers mogen schenden. Daarmee is het voor burgers niet duidelijk welke gevolgen een bepaalde handeling eventueel kan hebben.
- Er was geen wettelijk geregelde klachtmogelijkheid voor burgers die zich door de inlichtingendiensten benadeeld voelden, waaruit een bindend advies kon worden gegeven.
- Er was geen notificatieplicht voor de inlichtingendiensten. Men hoefde het gebruik van bijzondere bevoegdheden die een schending betekenen van grondrechten niet te melden aan de slachtoffers daarvan.
Deze lacunes in de wetgeving brachten bovendien met zich mee dat de Minister van Binnenlandse Zaken zich niet meer mocht beroepen op de WIV om inzage in persoonsdossiers te weigeren. De inzage-verzoeken moesten volgens de Wet Openbaarheid van Bestuur worden behandeld. Hiermee was inzage in persoonsdossiers door burgers, onder bepaalde voorwaarden, mogelijk geworden.
Deze gebeurtenissen leidden tot de aankondiging van de Minister van Binnenlandse Zaken om op zoek te gaan naar nieuwe formuleringen in de WIV, die de tegenstrijdigheden met het EVRM op zouden heffen. Zo wilde de Minister onder andere regelen dat door de inlichtingendiensten gebruikte methodes in de wet globaal beschreven zouden worden en dat daarnaast geregeld zou worden in welke gevallen ze ingezet kunnen worden.
Daarna werd – ook in 1994 – de Inlichtingendienst Buitenland (IDB) op een bijzonder stormachtige manier opgeheven, nadat binnen korte tijd een grote hoeveelheid schandalen over deze dienst naar buiten waren gekomen. Als laatste factor van belang werd in 1994 de Enquêtecommissie Opsporingsmethoden (Commissie-Van Traa) geïnstalleerd, die in haar eindrapport concludeerde dat er allerlei onduidelijke en onvoldoende geregelde dwarsverbanden tussen BVD en politie bestonden en dat door de BVD geleverde informatie voor politie en justitie oncontroleerbaar was. De Commissie-Van Traa pleitte voor regelgeving op deze gebieden. Daarnaast pleitte ze voor wetgeving op het gebied van bijzondere bevoegdheden van de BVD. Deze factoren hebben de komst van een nieuwe WIV bespoedigd.
Het voorstel voor deze nieuwe WIV werd op 7 februari 1998 naar de Tweede Kamer gestuurd. In het voorstel werd behalve de aangekondigde reparatiewetgeving een flinke sprong vooruit gemaakt. Men maakte van de gelegenheid gebruik om de bevoegdheden van de inlichtingendiensten uit te breiden met een aantal nieuwe methoden. Bovendien werden de verloren gegane taken van de Inlichtingendienst Buitenland overgenomen.
De Tweede Kamer boog zich vervolgens over het wetsvoorstel en stelde op 30 juli 1998 een reeks van vragen aan de Minister van Binnenlandse Zaken. Deze vragen leidden uiteindelijk tot een Nota van Wijziging op 29 september 1999, waarin het wetsvoorstel op een aantal punten werd aangepast. De meest in het oog springende veranderingen zijn de introductie van een notificatieplicht en de verruiming van de bevoegdheid tot afluisteren. De verruiming van de afluisterbevoegdheid behelst de introductie van het searchen van niet-kabelgebonden telecommunicatie die deels via het buitenland verloopt.
6.7.2.7. ICT in de nieuwe WIV
Naar aanleiding van de uitspraak van het EHRM en de daarop gebaseerde uitspraken van de Afdeling Bestuursrechtspraak werden in de nieuwe wet de middelen die door de inlichtingendiensten mogen worden ingezet, globaal omschreven. Bovendien wordt verduidelijkt wanneer bepaalde middelen kunnen worden ingezet.
Verder probeert de wet het gebruik van bijzondere bevoegdheden enigszins aan banden te leggen door installatie van een Commissie van Toezicht, die de handel en wandel van de diensten in de gaten moet houden. Overigens is er in de wet ook een artikel opgenomen dat ervoor zorgt dat ook niet in de wet genoemde middelen mogen worden ingezet, ook al maken die (mogelijk) inbreuk op de persoonlijke levenssfeer. Daarvoor moet dan wel toestemming van de Minister zijn verkregen. Binnen een jaar na de introductie van een dergelijk middel moet een wetsvoorstel worden ingediend om dit middel een wettelijke status te geven.
Het zal duidelijk zijn dat een flink deel van de in het wetsvoorstel genoemde middelen direct of indirect betrekking heeft op ICT. In het Wetsvoorstel voor de nieuwe WIV zijn ICT-gerelateerde bevoegdheden geregeld in de artikelen 24, 25, 26 en 27. Verder zijn de artikelen 17, 20, 22, 24, 28, 29 en 33a indirect ook ICT-gerelateerd. Verder is er sprake van ICT-gerelateerde wetgeving waar het gaat om artikelen die niet expliciet over ICT gaan, maar waar wel ICT bij betrokken is. Te denken valt aan de regels over opslag en verwerking van gegevens, maar ook aan bijvoorbeeld observatie van personen.
6.7.2.8. Hacken
In artikel 24 wordt het hacken van computers toegestaan en wordt toestemming verleend om technische voorzieningen aan te brengen om versleuteling van gegevens op een computer ongedaan te maken. Hiervoor is toestemming van het hoofd van de dienst nodig.
Sinds de invoering van de Wet Computercriminaliteit in maart 1993 is hacken (theoretisch gezien ook voor inlichtingendiensten) strafbaar. Volgens dit artikel 24 van het wetsvoorstel mogen de inlichtingendiensten inbreken in computers, voorzieningen in een computer aanbrengen om versleuteling ongedaan te maken en gegevens die in een computer staan kopiëren. In het derde lid van dit artikel wordt bovendien eenieder verplicht mee te werken met het ontsleutelen van versleutelde berichten, wanneer de dienst daartoe verzoekt.
6.7.2.9. Aftappen telecommunicatie
Artikel 25 regelt het klassieke aftappen. De inlichtingendiensten krijgen de bevoegdheid om alle vormen van telecommunicatie af te tappen, op te nemen en af te luisteren. Dit aftappen betreft dus alle communicatie via telecommunicatienetwerken en -diensten en is niet medium-gebonden: zowel telefoon als bijvoorbeeld fax en e-mail vallen onder dit artikel.
Voor het aftappen is toestemming vereist van de Minister van BZK. Dit is een nieuwe situatie. In de huidige situatie moet – volgens artikel 139c WvSr – nog toestemming worden verleend door vier Ministers (Minister-President, Minister van BZK, Minister van Justitie en Minister van Verkeer en Waterstaat). Als argument voor deze wijziging wordt aangevoerd dat er geen reden zou zijn om voor de ene bijzondere bevoegdheid strengere toelatingseisen te gebruiken dan voor de andere. Dat de toelatingseisen gelijk worden getrokken op het laagste algemene niveau (toestemming door één Minister) wordt beargumenteerd door te stellen dat dit de minimale eis is van de WIV.
Om toestemming voor een tap te krijgen moet een verzoek gedaan worden, waarin duidelijk wordt gemaakt:
- waarom een tap gevraagd wordt (eisen van proportionaliteit en subsidiariteit);
- welke persoon, organisatie en/of welk nummer men wil tappen;
- om wat voor tap het gaat.
Overigens kan er ook toestemming worden gegeven voor een tap op een onbekende persoon. De gegeven toestemming geldt vervolgens voor een periode van drie maanden, waarna weer opnieuw om toestemming moet worden gevraagd.
Met de introductie van dit artikel in de nieuwe WIV zal de noodzaak tot strafuitsluiting (artikel 139c WvSr) als juridische basis voor het afluisteren van de diensten verdwijnen.
6.7.2.10. Searchen en Scannen
In artikel 25a in het voorstel voor de nieuwe WIV is het zogenaamde searchen geregeld. Hiermee krijgen de diensten de bevoegdheid om alle niet-kabelgebonden communicatie die zich niet volledig in Nederland afspeelt, te doorzoeken. Dat wil zeggen dat al deze communicatie mag worden opgevangen en met behulp van computers gefilterd kan worden. De filters die worden toegepast kunnen communicatie selecteren op basis van persoons- of technische kenmerken (bijvoorbeeld stemherkenning of GSM-nummer) of bijvoorbeeld op basis van trefwoorden.
Voor het toepassen van deze bevoegdheid is geen toestemming nodig. De Raad van State plaatste hier enkele vraagtekens bij. Zo zou de introductie van artikel 25a in strijd met artikel 13 van de Grondwet kunnen zijn. De Minister van BZK ontkende dit echter. Door te searchenzouden de diensten namelijk geen kennis nemen van de volledige communicatie. Daarom zou deze speciale bevoegdheid te vergelijken zijn met het doen van technische controles door de telecommunicatie-aanbieder, waarbij ook niet uitgesloten kan worden dat (delen van) gesprekken worden opgevangen. Bovendien zou er niet van tevoren om toestemming kunnen worden gevraagd, aangezien de diensten van tevoren niet weten waarnaar ze op zoek zijn: er wordt immers in de wilde weg gezocht naar interessante informatie of interessante personen, zonder dat van tevoren vaststaat of dergelijke informatie überhaupt wel aanwezig is. Wanneer de diensten op basis van gesearchte informatie besluiten communicatie van een specifieke persoon verder op te vangen is wel toestemming nodig.
Artikel 26 van het voorstel regelt het ongericht ontvangen en opnemen van niet-kabelgebonden telecommunicatie, oftewel het scannen van alle communicatie door de ether. Hieronder valt ook het opvangen van GSM-verkeer. Bovendien kan men met dit artikel eventueel gebruikte cryptografie ongedaan maken.
Wanneer de inlichtingendiensten de opgevangen communicatie willen selecteren (op zender, ontvanger of nummer of op een bepaald trefwoord), moeten ze de selectiecriteria bijhouden op een lijst. Deze lijst zal één keer per jaar aan de Minister van BZK ter kennisneming worden aangeboden. Toestemming voor het gebruiken van specifieke trefwoorden is niet nodig en de lijst kan door de diensten zelf worden veranderd.
Volgens de Memorie van Toelichting beschikt de BVD zelf niet over de apparatuur die dergelijke taken kan uitvoeren. Zij zal daarvoor gebruik moeten maken van spullen van de Militaire Inlichtingen Dienst (MID).
De wet verplicht de diensten om niet-gebruikt maar wel opgenomen materiaal na een jaar te vernietigen. Het is nodig om dit materiaal zo lang te bewaren, zodat naderhand nieuwe selecties gemaakt kunnen worden op basis van later verkregen gegevens. Overigens mogen deze nadere selecties uitsluitend gemaakt worden in verband met onderzoeken die de inlichtingendiensten ten tijde van het afluisteren al begonnen waren. Opgenomen communicatie die versleuteld is mag zelfs bewaard worden tot een jaar nadat de versleuteling ongedaan is gemaakt. De Minister zegt hierover dat behalve de mogelijk interessante inhoud, ook het versleutelen op zich al genoeg reden is om de berichten langer te bewaren. Een versleuteld bericht is namelijk altijd interessant voor een inlichtingendienst, en bovendien zijn er vaak veel bewaarde berichten nodig om een bepaalde sleutel te kunnen kraken.
6.7.2.11. Verkeersgegevens
Artikel 27 van het wetsvoorstel regelt de bevoegdheid van de inlichtingendiensten om bij telecommunicatie-aanbieders log-files op te vragen. Deze log-files bevatten alle data van een bepaald telecommunicatienummer: welke nummers er vanaf dit nummer gebeld zijn, welke nummers dit nummer hebben gebeld en hoe lang de gesprekken hebben geduurd. Opmerkelijk is dat ook gegevens moeten worden verstrekt van oproepen die niet tot een verbinding hebben geleid (in gesprek, afgesloten nummer, niet opgenomen). Log-files kunnen zowel voor een periode in de toekomst als met terugwerkende kracht door de diensten worden opgevraagd.
Voor het opvragen van log-files is geen toestemming vereist. In de Memorie van Toelichting wordt dit beargumenteerd met de stelling dat het hier een minder ingrijpend middel betreft dan de telefoontap. Daarnaast wordt het opvragen van log-files vaak gevolgd door een tap, waar wel de toestemming van een Minister nodig is. Bovendien, stelt de Minister, zou het makkelijk maken van het opvragen van log-files het aantal telefoontaps doen afnemen. Er kan immers vooraf een betere inschatting gemaakt worden over iemands belgedrag.
6.7.2.12. Cryptografie
Cryptografie (versleuteling van gegevens) neemt een bijzondere plaats in het wetsvoorstel voor de nieuwe WIV.
Ten eerste krijgen de diensten op een aantal plaatsen toestemming om encryptie ongedaan te maken. Wanneer de diensten telecommunicatie aftappen hebben zij ook de bevoegdheid om versleuteling ongedaan te maken en wordt bovendien aan telecommunicatie-aanbieders verplicht om versleuteling die de aanbieders hebben aangebracht, ongedaan te maken. Ook bij het scannen (het ongericht ontvangen en opnemen van niet-kabelgebonden telecommunicatie), krijgen de diensten de bevoegdheid om versleuteling ongedaan te maken. Dit gaat enerzijds om algemeen gebruikte encryptie (zoals binnen het GSM-protocol voor de mobiele telefonie), maar anderzijds ook om door personen of organisaties zelf aangebrachte versleuteling. Of de inlichtingendiensten van deze bevoegdheid gebruik kunnen maken is in dat geval afhankelijk van de technische mogelijkheden, de kracht van het gebruikte encryptie-algoritme en het kennisniveau van de desbetreffende dienst. Wanneer een sterk encryptie-logaritme is gebruikt, zal het voor een inlichtingendienst niet eenvoudig zijn om een verkregen bericht te ontcijferen. Dit is slechts mogelijk wanneer daar voldoende rekenkracht of kennis tegenover staat. Deze kennis kan bijvoorbeeld bestaan uit technische knowhow over hoe een dergelijke encryptie gekraakt moet worden, maar kan bijvoorbeeld ook over kennis van het wachtwoord gaan.
Ten tweede wordt toestemming gegeven om (tijdens een hack-actie door de diensten) technische voorzieningen in een computer aan te brengen om versleuteling ongedaan te maken, bijvoorbeeld door sleutels te achterhalen waarmee door de diensten zelf ontsleuteld kan worden.
Ten derde wordt op verschillende plaatsen in de WIV de medewerkingsplicht om te ontsleutelen ingevoerd. Opmerkelijk is de luchtigheid waarmee dat gepresenteerd wordt. Er wordt alleen gerept over de verplichting mee te werken aan ontsleuteling van versleutelde berichten of bestanden. Wanneer medewerking opzettelijk geweigerd wordt, kan dit de weigeraar volgens artikel 85 van het wetsvoorstel een gevangenisstraf opleveren van maximaal twee jaar; zelfs voor een niet-opzettelijke weigering wordt er nog een gevangenisstraf van maximaal zes maanden voorgesteld. Het gebrek aan uitleg in de Memorie van Toelichting wekt bevreemding, aangezien medewerkingsplicht aan ontsleuteling van (eigen) berichten in de praktijk moeilijk uitvoerbaar zou kunnen zijn. Men kan wachtwoorden vergeten en “vergeten”, sleutels kunnen verloren zijn gegaan. En misschien dreigt een conflict met het nemo-teneturbeginsel (een onderdeel van het recht op een eerlijk proces van art. 6 EVRM) als afgedwongen medewerking vervolgens in een strafzaak tegen de ontsleutelaar zou worden gebruikt.
6.7.2.13. Andere speciale bevoegdheden met een ICT-component
Artikelen 17, 20, 22, 28 en 29 zijn ook relevant voor het aftappen van telecommunicatie. In artikel 17 wordt geregeld dat de inlichtingendiensten zich mogen wenden tot eenieder die over gegevens beschikt die voor de diensten van belang kunnen zijn.
In artikel 20 wordt het observeren en volgen geregeld. Hoewel dit artikel niet direct met ICT te maken heeft, zal het daadwerkelijke observeren vaak met behulp van ICT gebeuren. De inlichtingendiensten mogen volgens artikel 20 personen en goederen observeren, al dan niet met behulp van observatie- en registratiemiddelen. Verder mag er gevolgd worden, al dan niet met behulp van volgmiddelen, plaatsbepalingsapparatuur en registratiemiddelen. Observatie- en volg-acties mogen met toestemming van het hoofd van de dienst plaatsvinden. Wanneer echter geobserveerd wordt door apparatuur te plaatsen in een woning, hebben de inlichtingendiensten toestemming van hun Minister nodig.
Praktisch gezien moet bij deze middelen gedacht worden aan het gebruiken en/of plaatsen van video- en foto-apparatuur, het gebruik van (elektronische) kijkers, beeldversterkers en allerhande plaatsbepalingsapparatuur. Onder dit laatste vallen ook bijvoorbeeld peilbakens en GSM’s. Ook kunnen combinaties van GPS (Global Positioning System) en GSM worden ingezet, waarbij de lokatie van een object bepaald wordt door GPS en vervolgens aan de observant wordt doorgegeven door een daaraan gekoppelde GSM.
In artikel 22 krijgen de inlichtingendiensten toestemming om in te breken en afgesloten voorwerpen te doorzoeken. Verder mogen voorwerpen worden gestolen. Inbreken in woningen mag slechts met toestemming van de Minister. Hierbij mag gebruik worden gemaakt van technische hulpmiddelen.
Artikel 28 geeft toestemming om gegevens over gebruikers bij een telecommunicatie-aanbieder op te vragen. Zowel een telefoonnummer als naam, adres en woonplaats (zogenaamde NAW-gegevens) kunnen worden opgevraagd.
In artikel 29 krijgen de diensten toestemming om zich tot elke plaats toegang te verschaffen (dus ook door middel van inbraak) om observatie-, registratie-, volg- en peilapparatuur te plaatsen. Ook mogen zij van deze bevoegdheid gebruikmaken om te hacken en telecommunicatie af te tappen of om gegevens te verzamelen die nodig zijn om af te tappen. Voor deze “facilitaire” vorm van inbreken is slechts toestemming nodig van het hoofd van de Inlichtingendienst.
6.7.2.14. Notificatieplicht
In artikel 33a is de notificatieplicht geregeld. Overigens is een plicht in dit artikel ver te zoeken. De inlichtingendiensten worden verplicht om vijf jaar na het beëindigen van een speciale bevoegdheid te bekijken of aan een persoon kan worden verteld dat er een speciale bevoegdheid tegen hem is ingezet. Mocht de dienst tot de conclusie komen dat dit niet kan worden medegedeeld, dan moet de dienst een jaar later weer bekijken of er nu wel genotificeerd kan worden. De diensten kunnen echter afzien van notificatie indien het melden van gebruik van een bevoegdheid ertoe zou kunnen leiden dat bronnen van de dienst, toepassingen van gebruikte methodes of de identiteit van personen die de dienst geholpen hebben onthuld kunnen worden, dan wel dat betrekkingen met andere landen geschaad kunnen worden.
6.7.2.15. Opslag en verwerking (persoons)gegevens
In het wetsvoorstel is in zeer ruime bewoordingen het een en ander geregeld over het opslaan en verwerken van (persoons)gegevens. Dat is ICT-gerelateerd in die zin dat dit grotendeels door middel van computers zal gebeuren. De inlichtingendienst hebben de bevoegdheid om (persoons)gegevens te verwerken voorzover dat gebeurt in het kader van de aan de diensten opgedragen taken. De kring van personen die geregistreerd mogen worden is praktisch onbeperkt, nu in het wetsvoorstel beschreven staat dat ook gegevens mogen worden verwerkt van personen “wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst”. Het enige voorbehoud dat gemaakt wordt is dat personen nooit uitsluitend vanwege hun godsdienst, levensovertuiging, ras, gezondheid of seksuele leven mogen worden geregistreerd en dat deze kenmerken uitsluitend mogen worden verwerkt wanneer dat onvermijdelijk is.
6.7.2.16. Aanpassing Wet- en Regelgeving
Inleiding
Vooruitlopend op de eisen en mogelijkheden van de nieuwe WIV zijn er inmiddels de nodige wetswijzigingen in voorbereiding of al doorgevoerd. Ook specifieke regelgeving, bijvoorbeeld ten aanzien van technische details op het gebied van telefoontaps, wordt op de nieuwe situatie aangepast. Deze paragraaf geeft een kort overzicht van die wijzigingen.
Artikel 13 Grondwet
Momenteel wordt in artikel 13 van de Grondwet het telefoon- en briefgeheim geregeld. Beide worden beschermd, behalve in gevallen die bij wet bepaald zijn. Voor schending van het telefoongeheim is toestemming nodig van een persoon die in de wet wordt aangewezen, voor schending van het briefgeheim is toestemming van een rechter nodig.
In juli 1997 werd een wetsvoorstel voor wijziging van artikel ingediend. Dit voorstel hield in dat de regering het telefoon- en briefgeheim wil vervangen door een recht op vertrouwelijke communicatie. Voorts werd de notificatieplicht grondwettelijk vastgelegd. Tegelijkertijd stond in het wetsvoorstel ook de mogelijkheid om af te zien van notificatie wanneer het belang van de staat dat vordert.
De inzet van dit wetsvoorstel was om artikel 13 Grondwet te moderniseren. Deze modernisering was gelegen in de techniekonafhankelijke formulering van het artikel. Daarom koos men voor de term “vertrouwelijke communicatie”. Vertrouwelijke communicatie in de zin van het wetsvoorstel houdt in dat degene die actief communiceert, door de gekozen communicatievorm duidelijk maakt dat het om vertrouwelijke communicatie gaat. Een ansichtkaart of een toespraak het openbaar zijn niet vertrouwelijk, een brief in een gesloten envelop en een gesprek aan tafel in huis zijn dat wel.
Inbreuk op het recht op vertrouwelijke communicatie zou volgens de Memorie van Toelichting uitsluitend met een rechterlijke machtiging kunnen plaatsvinden. De Minister maakte echter een expliciete uitzondering voor inlichtingendiensten. Toestemming door de Minister zou, in het geval een inlichtingendienst het recht op vertrouwelijke communicatie wil schenden, voldoende moeten zijn. Dit was grondwettelijk gezien geen nieuwe situatie ten aanzien van het tappen van telecommunicatie, maar uitsluitend ten aanzien van het briefgeheim. Daarom zal ik er hier verder niet op ingaan.
Dit wetsvoorstel pretendeerde techniekonafhankelijk te zijn, maar omdat uitsluitend door de gebruikte techniek kon worden aangegeven of de communicatie vertrouwelijk is of niet, was de wet gevoelig voor misverstanden. Dat bleek ook toen het wetsvoorstel verder in het parlement behandeld werd. Uiteindelijk leidden diverse debatten, amendementen en moties tot een motie van kamerlid Zuijlen, waarin ze verzocht om een regeringsnota ten aanzien van de noodzaak van de voorgestelde grondwetswijzigingen. Deze motie werd aangenomen. Bovendien kwam de Eerste Kamer met een dusdanige dosis kritiek, dat de regering het wetsvoorstel voorlopig aanhield.
Verder werd besloten een Commissie in te stellen om een rapport op te stellen. Op 14 december 1998 werd de Commissie Grondrechten in het Digitale Tijdperk ingesteld. Op 24 mei 2000 presenteerde de Commissie haar rapport. In dit rapport stelde zij voor om artikel 13 alsnog techniekonafhankelijk te formuleren en het recht om vertrouwelijk te communiceren grondwettelijk te verankeren. Dit recht kan bij wet worden beperkt, op last van de rechter of, indien de beperking in het belang van de nationale veiligheid plaatsvindt, met machtiging van een bij de wet aangewezen Minister. Ook werd een notificatieplicht in de Grondwet voorgesteld, waarbij er in het belang van de nationale veiligheid besloten kan worden de kennisgeving uit of zelfs af te stellen. Op basis van deze nota zal de regering een nieuw wetsvoorstel voor wijziging van de Grondwet presenteren.
Telecommunicatiewet
Op 15 december 1998 trad de nieuwe Telecommunicatiewet en het daarbij behorende Besluit aftappen openbare telecommunicatienetwerken in werking. Artikel 13 van de wet regelt het aftappen en zorgt dat de aan de inlichtingendiensten toegekende bevoegdheid om af te tappen ook tot uitvoering kan worden gebracht. In het artikel wordt geregeld dat telecommunicatie-aanbieders (“aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten”) verplicht zijn om hun netwerken en diensten aftapbaar te maken. Verder moeten zij alle medewerking verlenen wanneer er een last tot aftappen is gegeven. Het is opmerkelijk dat in de wet geregeld is dat telecommunicatie-aanbieders de kosten die het aftappen met zich meebrengt zelf moeten betalen, behalve de personeels- en administratiekosten die met een concrete tap te maken hebben (art. 13.6 TW).
Overigens zijn Internet-aanbieders momenteel nog ontheven van de aftapverplichting, aangezien het aftappen van Internet-aansluitingen volgens de wensen van de overheid op allerlei technische problemen bleek te stuiten. Momenteel hebben Internet-aanbieders die daarvoor een ontheffing hebben aangevraagd, tot uiterlijk 15 april 2001 de tijd om hun systemen aftapbaar te maken.
Verdere toespitsing
De in de Telecommunicatiewet geregelde verplichtingen worden verder uitgewerkt in een aantal besluiten en circulaires. De basis is het Besluit aftappen openbare telecommunicatienetwerken en –diensten. In dit besluit wordt in heel algemene bewoordingen aangegeven welke voorzieningen een telecommunicatie-aanbieder moet treffen ten behoeve van de aftapbaarheid van zijn systeem. Een tap moet:
– direct geplaatst worden, wanneer een taplast op nummer is gegeven;
– niet waarneembaar zijn door degene die getapt wordt;
– per ISDN-lijn aan de tapvrager(s) aangeleverd worden;
– van goede kwaliteit zijn;
– van door de aanbieder gerealiseerde cryptografie ontdaan zijn;
– voldoen aan een door het Ministerie vast te stellen technisch protocol.
Verder moet de aanbieder een administratie bijhouden van gerealiseerde taps ten behoeve van de vergoeding waar zij recht op heeft (personeels- en administratiekosten).
Daarnaast wordt geregeld dat een telecommunicatie-aanbieder, voor een door het Ministerie vastgesteld promillage van de door de aanbieder gerealiseerde aansluitingen, aftapcapaciteit installeert.
In de Tijdelijke regeling aftappen openbare telecommunicatienetwerken en -diensten 2000 worden de voorschriften voor de telecommunicatie-aanbieder verder gespecificeerd. Ten eerste worden bovengenoemde promillages vastgesteld. Ten tweede wordt geregeld op grond van welke gegevens een last tot tappen kan worden uitgevaardigd. Zo kan een GSM worden afgetapt op aansluitnummer (MSISDN), nummer van het toestel (IMEI) of nummer van de chip (IMSI). Een TFTS-tap (tap op vliegtuigtelefonie) kan aangevraagd worden op het nummer van het vliegtuig of het kredietkaartnummer van de gebruiker. Ten derde wordt geregeld aan welke technische eisen een tap moet voldoen. Hierin wordt onder andere vastgesteld in welke vorm tapinformatie moet worden aangeleverd, welke informatie er precies deel van uit moet maken, en hoe versleutelings- en authenticatieprocedures tussen telecommunicatie-aanbieder en tapper moeten worden vastgesteld.
Uit een advies van de Registratiekamer over het concept-Besluit bijzondere vergaring nummer-gegevens telecommunicatie blijkt dat een dergelijke regeling in voorbereiding is. Het gaat hier om het gebruik van moderne technieken om het chip-nummer (IMSI) van een mobiele telefoon te onderscheppen. Deze techniek bestaat uit het inzetten van een zogenaamde IMSI-catcher, een apparaat dat zich voordoet als basisstation voor GSM-toestellen. GSM-toestellen die zich in de buurt van de IMSI-catcher bevinden melden zich vervolgens aan en geven hun nummer prijs. Hierop kan besloten worden direct tot afluisteren over te gaan met behulp van een traploos instelbare tapvoorziening waarbij, afhankelijk van de instelling, in een steeds groter gebied alle GSM’s kunnen worden afgeluisterd.
Verder werken in Nederland de inlichtingendiensten en de opsporingsdiensten sinds 1995 samen in het project operationele crypto- en interceptieproblematiek. Het besluit tot deze structurele samenwerking is genomen door de ministeriële commissie voor de inlichtingen- en veiligheidsdiensten MICIV. Operationele samenwerking bij interceptie en methoden om cryptografie te breken staan centraal. Het project heeft onder meer geleid tot de instelling van het Centraal informatiepunt onderzoek telecommunicatie (CIOT) in het Besluit verstrekking gegevens telecommunicatie. Opsporingsdiensten en inlichtingendiensten krijgen via het Centraal informatiepunt geautomatiseerde toegang tot de registers van alle telecommunicatieaanbieders om in het kader van aftapbevelen de juiste naam bij het juiste nummer te kunnen vinden en omgekeerd. Internet-aanbieders worden over enige tijd ook verplicht tot medewerking aan het Informatiepunt. In de toekomst kan het Informatiepunt ook de doorgave van verkeersgegevens tot taak krijgen die in de registers van de telecommunicatieaanbieders staan geregistreerd, alsmede de doorgave van allerlei gegevens over abonnees en hun communicatiegedrag voor algemene opsporingsdoelen. Deze gegevensverwerking wordt centraal geregeld, omdat men er niet zeker van is dat – gezien de hoeveelheid verschillende telecommunicatie-aanbieders – de politie en inlichtingendiensten hun weg nog kunnen vinden naar de juiste telefoonlijn. Het CIOT krijgt 24-uurstoegang tot de abonneebestanden van telecommunicatie-aanbieders. In deze bestanden moeten naam, adres, postcode, woonplaats, aansluitnummer(s) en een overzicht van gebruikte diensten staan. Op verzoek van justitie, politie of inlichtingendiensten geeft het CIOT deze gegevens volledig geautomatiseerd door. Door middel van beveiliging wordt voorkomen dat de aanbieders te weten komen welke informatievragen zijn gedaan en wordt bovendien tegengegaan dat aanbieders in elkaars databanken kunnen neuzen. Verder wordt door middel van toegangscodes gecontroleerd of de aanvragen die gedaan worden wel geautoriseerd zijn. Overigens is na een ingreep door de Registratiekamer de omschrijving van het begrip “nummer” beperkter geworden dan in eerste instantie de bedoeling was.
6.7.2.17. Conclusie
Sinds de introductie van artikel 139a-c Wetboek van Strafrecht moet er, om het aftappen door de inlichtingendiensten mogelijk te maken, een juridische basis bestaan. Deze juridische basis werd gedurende de jaren zeventig en tachtig gevonden in de in artikel 139a-c WvSr ingebouwde strafuitsluitingsgrond. Met het wetsvoorstel om te komen tot een nieuwe WIV wordt op meerdere fronten een inhaalslag gemaakt. Ten eerste wordt gezocht naar een wet die alles aangaande de Nederlandse inlichtingen- en veiligheidsdiensten regelt, waaronder ook allerlei ICT-bevoegdheden. Ten tweede wordt geprobeerd de wetgeving EVRM-bestendig te maken. Hiertoe worden aan de inlichtingendiensten toegekende bevoegdheden bij wet geregeld. Ten derde wordt een inhaalslag gemaakt op het gebied van moderne technieken, door zoveel mogelijk techniekonafhankelijke wetgeving te maken. Ten vierde wordt de wetgeving aangepast aan de vrijgegeven telecommunicatiemarkt. Al deze aanpassingen hangen samen met bepalingen in de Telecommunicatiewet en artikel 13 van de Grondwet.
De nieuwe regelgeving zorgt er enerzijds voor dat er meer inzicht ontstaat in de bijzondere bevoegdheden en mogelijkheden op het gebied van aftappen door inlichtingendiensten. Anderzijds worden de wettelijke beperkingen uitgekleed.
Dit laatste gebeurt aan de ene kant doordat bestaande beperkingen, zoals de toestemming van meerdere Ministers voor een telefoontap, uit de wet verdwijnen. Anderzijds krijgen de inlichtingendiensten met behulp van nieuwe technieken binnen de bestaande wetgeving veel meer mogelijkheden. Door de snelle ontwikkelingen in de micro-elektronica en de automatisering kan binnen de wettelijke begrenzingen veel meer onderzoek gedaan worden en kunnen veel meer gegevens worden opgeslagen en verwerkt.
Deze ontwikkelingen zullen ertoe leiden dat het voor de inlichtingendiensten eenvoudiger wordt om ICT als bijzondere bevoegdheid op grotere schaal toe te passen. Het artikel 25a uit het wetsvoorstel voor de nieuwe WIV alsmede de in de Tijdelijke regeling aftappen telecommunicatienetwerken en -diensten 2000 genoemde promillages zijn hier een duidelijke invulling van.
Literatuur
Binnenlandse Veiligheidsdienst 1999
Binnenlandse Veiligheidsdienst, Jaarverslag 1999, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Den Haag mei 2000.
De Boer 1999
Benno de Boer, ‘De Mobiele Telefoon als Peilbaken mag dat?’, Ars Aequi 49-9, september 1999, <http://www.xs4all.nl/~respub/afluisteren/plaatsbepaling.html>.
Buro Jansen & Janssen 1999
Buro Jansen & Janssen, Luisterrijk – Een gids over afluisteren, Amsterdam: Buro Jansen & Janssen/Uitgeverij Papieren Tijger november 1999, <http://www.xs4all.nl/~respub/afluisteren/index.html>
Van Buuren 2000
J. van Buuren, Dossier cryptografie – regelgeving: aftappen versus privacy, Amsterdam: Buro Jansen & Janssen april 2000, <http://www.xs4all.nl/~respub/crypto/index.html>.
Campbell 2000
D. Campbell, Interception Capabilities 2000 – Report to the Director General for Research of the European Parliament, Edingburgh April 2000, <http://www.iptvreports.mcmail.com/interception_capabilities_2000.htm>.
Commissie GDT 2000
Commissie Grondrechten in het Digitale Tijdperk, Rapport, mei 2000 <http://www.minbzk.nl/gdt/artikelen/rapport_gdt_5-00.pdf>.
Engelen 1995
D. Engelen, Geschiedenis van de Binnenlandse Veiligheidsdienst, Den Haag: Sdu 1995.
De Graaff & Wiebes 1998
B. Graaff& C. Wiebes, Villa Maarheeze – de geschiedenis van de Inlichtingendienst Buitenland, Den Haag: Sdu 1998.
Kalkman 1998
Kees Kalkman, ‘De oude en de nieuwe WIV’, VD AMOK 7/4, 1998.
Koops 2000
B.J.Koops, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur?, Deventer: Kluwer 2000 (ITeR-reeks 31).
Pouw 1995
J.F.M. Pouw, Naar een Europees binnenlands veiligheidsbeleid? Europese samenwerking en de autonomie van nationale veiligheidsdiensten, Den Haag: Clingendael 1995.
Wright 1998
S. Wright, An Appraisal of Technologies of Political Control – Interim Study, Luxemburg: Scientific Technological Options Assessment, European Parliament 19 januari 1998, <http://www.europarl.eu.int/dg4/stoa/en/publi/default.htm>.