Commentaar op Wijzigingsnota Wet op Inlichtingen- en veiligheidsdiensten
november 1999 Buro Jansen & Janssen
In de artikelen 21 tot en met 28 van het voorstel voor een nieuwe WIV worden de bijzondere bevoegdheden van de diensten geregeld: inbreken, hacken, observeren en afluisteren worden gelegaliseerd.
In het eerste voorstel voor een nieuwe wet van februari 1998 liep de regering op het gebied van de bevoegdheden zo hard van stapel dat vanuit het hele politieke spectrum de nodige kritiek te horen was. Onder andere de introductie van het schenden van het briefgeheim zorgde voor de nodige onrust. Wie verwacht had dat deze kritiek enige invloed zou hebben op het nieuwe wetsvoorstel komt bedrogen uit. Er is geen enkele bevoegdheid geschrapt, er zijn er inmiddels alleen maar bijgekomen. Wat meer is: op het gebied van het aftappen van telecommunicatie zijn alle grenzen losgelaten en is de introductie van een Nederlandse variant op het Echelon-project wettelijk gezien geregeld.
Een kort overzicht van de uitbreiding van de bevoegdheden op het gebied van aftappen.
In het eerste voorstel voor een nieuwe WIV was geregeld dat de BVD (of AIVD, zoals de dienst in de nieuwe wet heet) alle telecommunicatie mocht aftappen, opnemen en afluisteren.
Daar is nu aan toegevoegd dat naast aftappen er ook mag worden “ontvangen”, waarmee ook het direct uit de lucht plukken van telecommunicatie (van bijvoorbeeld GSM’s) onder de bevoegdheid van de dienst valt. Ze zijn hiervoor dus niet langer afhankelijk van medewerking van providers, maar kunnen bijvoorbeeld een eigen parallel mobiel netwerk laten functioneren, om gesprekken te onderscheppen.
Verder wordt de bevoegdheid om versleuteling van communicatie ongedaan te maken, uitgebreid. Werd er in het eerste voorstel toestemming gegeven om te ontsleutelen met behulp van technische voorzieningen, in het nieuwe voorstel wordt toestemming gegeven om te ontsleutelen op alle mogelijke manieren. In de toelichting staat dat “in de praktijk blijkt dat ook op andere manieren dan met behulp van technische voorzieningen de versleuteling van bijvoorbeeld telecommunicatie ongedaan kan worden gemaakt.” Deze cryptische omschrijving lijkt te wijzen op het ontfutselen van wachtwoorden door bijvoorbeeld infiltranten, die over een schouder meekijken.
Ook nieuw is dat toestemming wordt verleend om met behulp van een technisch hulpmiddel een nummer van een onbekend toestel te achterhalen. Deze wijziging voorziet in het gebruik van een zogenaamde IMSI-catcher of in het al eerder genoemde parallelle netwerk. Praktisch gezien werkt dat als volgt: wanneer de BVD iemand ziet bellen met een GSM, waar het nummer niet van bekend is, kan een apparaat ingezet worden dat een signaal uitzendt dat in de buurt aanwezige GSM’s forceert om hun identificatienummer (IMSI) prijs te geven. Met dat nummer in de hand kan deze GSM in de toekomst worden afgeluisterd. Ook kan via de nieuwe Telcommunicatiewet van telecomproviders geëist worden dat ze, met dit nummer, alle bekende informatie over die bepaalde GSM afstaan. Bijvoorbeeld met wie, wanneer, hoe lang gebeld is.
De grootste stap wordt echter gezet in het nieuw toegevoegde artikel 25a van de WIV. Dit artikel kan als “Echelon-artikel” worden omschreven. Hierin wordt toestemming verleend om internationale telecommunicatie, die niet via kabels verloopt, op te vangen en door te lopen (searchen of scannen) op voor de diensten interessante gegevens (interessante personen, onderwerpen of trefwoorden). Omdat grote delen van de internationale telecommunicatie via straalzenders en satellieten verloopt is duidelijk dat met dit artikel een even zo groot deel van de internationale communicatie gedekt wordt. Mochten met deze techniek interessante personen of organisaties ontdekt worden, dan zal voor hen een specifieke aftapbevoegdheid moeten worden aangevraagd. Het is belangrijk te bedenken dat het in dit artikel gaat om een ongecontroleerde bevoegdheid om alle vormen van niet-kabelgebonden telecommunicatie die niet alleen over Nederlands grondgebied verloopt door computerprogramma’s te laten scannen. Bijkomend moet hierbij worden bedacht dat dit in de praktijk met name impact op berichtenverkeer via Internet zal hebben. De infrastructuur van het Internet heeft namelijk zijn zwaartepunt in de Verenigde Staten, waar de meeste kabels en computers van het Net staan. Omdat een bericht (bijvoorbeeld een e-mail) die het Internet op wordt gestuurd de minst drukke route krijgt toegewezen, is de kans groot dat (mede door het tijdsverschil) ook binnen Nederland verzonden e-mails voor een internationale route kiezen. Niet uitgesloten kan worden dat dit in de toekomst ook met de telefonie gaat gebeuren, met name wanneer satelliet-telefoons een bredere ingang krijgen. Al deze berichten en gesprekken kunnen op grond van dit artikel in de toekomst, zonder een enkel onderscheid worden afgeluisterd. Dit artikel is des te opmerkelijker nu vanuit de Europese Unie de nodige kritiek wordt geleverd op het Echelon-programma van de Amerikaanse NSA, dat in de praktijk nauwelijks verschilt van het hierboven geschetste scenario.
Opmerkelijk is de manier waarop de regering zich ten behoeve van invoering van dit artikel onder het grondwettelijke telefoongeheim tracht uit te worstelen. Omdat er bij het scannen van de telecommunicatie gezocht wordt naar identiteiten of bijvoorbeeld trefwoorden en er dus niet naar hele gesprekken wordt geluisterd, vindt de regering het telefoongeheim niet van toepassing. Volgens de toelichting op deze nieuwe voorstellen zou het scannen een zelfde impact hebben als een technische controle van de verbinding door de PTT: “In zekere zin valt deze activiteit te vergelijken met het inluisteren op telefoongesprekken teneinde vast te stellen of een verbinding goed verloopt.” En, oh toeval, juist op dit testen van de verbindingen is, volgens de toelichting op de Grondwet, het telefoongeheim niet van toepassing.
Je hoeft geen afgestudeerd jurist te zijn om de lariekoek van deze redenering te doorzien. Ook al is de inlichtingendienst niet (altijd) geïnteresseerd in het hele bericht, er wordt wél gescand en dus afgeluisterd op de inhoud (identiteit door het noemen van een naam, door stemherkenning of trefwoorden).
Ook de bevoegdheid tot het scannen van niet-kabelgebonden telecommunicatie binnen Nederland, dat in het vorige voorstel al uitgewerkt was wordt nog verder opgerekt. Bestond er nog enige controle op het scannen op trefwoorden – de Minister van Binnenlandse Zaken toestemming moest geven voor het gebruik van deze trefwoorden – in het nieuwe voorstel krijgt de Minister één maal per jaar deze lijst ter kennisgeving aangeboden en mag de inlichtingendienst naar eigen goeddunken woorden of woord-combinaties aan deze lijst toevoegen. Overigens is het ook in dit geval van belang te bedenken waar het om gaat: Niet-kabelgebonden telecommunicatie beslaat niet alleen bakkies, portofoons en mobilofoon-verkeer, maar ook al het GSM-verkeer en alle gewone telefonie die ergens in Nederland door wordt gegeven via een straalzender. Dit laatste geldt bijvoorbeeld voor alle telefoongesprekken tussen Amsterdam en Rotterdam.
De laatste forse uitbreiding betreft de bevoegdheid om afgetapte en opgevangen telecommunicatie op te slaan. Moesten gesprekken die voor het functioneren van de inlichtingendiensten niet belangrijk waren volgens het vorige wetsvoorstel direct gewist worden, in het nieuwe voorstel krijgen de diensten toestemming om alles wat zij opvangen een jaar te bewaren. Verder wordt er een nieuwe paragraaf aan dit artikel toegevoegd, waarin staat dat versleutelde berichten net zo lang bewaard mogen worden totdat de dienst in staat is om ze te ontsleutelen.
Met name dit laatste is een interessante toevoeging voor crypto-gebruikers. Het is erg verstandig om te bedenken dat wat op dit moment voor een zeer sterke versleutelingstechniek doorgaat, hoogstwaarschijnlijk binnen enkele jaren gekraakt zal zijn. Met dit wetsartikel in de hand kunnen de inlichtingendiensten na een kortere of langere periode versleutelde berichten, die zijn opgeslagen, alsnog lezen. De toelichting op de wet geeft een interessant kijkje in de keuken van het denken over cryptografie binnen de Nederlandse Inlichtingendiensten: “Waar het gaat om telecommunicatie waarvan de versleuteling niet ongedaan is gemaakt, en waarbij het feit dat er versleuteling is toegepast dit soort telecommunicatie alleen al uit dien hoofde tot voor de diensten interessante telecommunicatie maakt, is het namelijk wenselijk deze zodanig lang te bewaren totdat de mogelijkheid bestaat c.q. is ontwikkeld om de versleuteling ongedaan te maken.” Hieruit valt af te leiden dat het eenvoudige gebruik van cryptografie (een standaard-optie in veel Internet-programma’s en volstrekt normaal bij internationale communicatie van het bedrijfsleven) een bericht (en dus de schrijver en ontvanger van het bericht) interessant maken voor de Inlichtingendiensten.
Omschreven we de bevoegdheden-catalogus van het voorstel voor een nieuwe WIV in ons commentaar op de eerste versie al als een “wij mogen alles”-wet, de verantwoordelijke Ministers zijn met dit nieuwe voorstel, en dan met name met het Echelon-artikel, nog een aantal flinke stappen verder gegaan.