March 4, 2024

Eerste Kamer bereikt iets meer duidelijkheid over de Tijdelijke wet cyberoperaties [NL]

(Update: July 19, 2024)

This time a second blog post in Dutch about a new bill that gives Dutch intelligence and security services more leeway for operations against cyber actors. A summary in English can be found here.


Technische briefing in de Eerste Kamer over de Tijdelijke wet cyberoperaties, 14 november 2023



Inleiding

Op 1 december 2022 diende het kabinet bij de Tweede Kamer een voorstel in voor de Tijdelijke wet cyberoperaties, waarmee het voor de geheime diensten makkelijker wordt om hack- en kabeltapoperaties uit te voeren. Vanuit de AIVD en de MIVD wordt benadrukt dat dit dringend nodig is in de strijd tegen cyberaanvallen vanuit landen als Rusland en China, maar anderen vrezen dat hiermee een digitaal sleepnet mogelijk wordt gemaakt.

De Tweede Kamer ging op 24 oktober 2023 in grote meerderheid akkoord met het wetsvoorstel, alleen de SP en Forum voor Democratie stemden tegen. Het debat in de Tweede Kamer besprak ik hier. Momenteel wordt het wetsvoorstel behandeld in de Eerste Kamer en de schriftelijke vragen die daar werden gesteld besprak ik hier.

Op 24 januari kwamen er maar liefst 67 pagina's met antwoorden van minister De Jonge van Binnenlandse Zaken en Ollongren van Defensie. Vervolgens hebben de Eerste Kamerfracties van GroenLinks-PvdA, PvdD en PVV op 13 februari voor een tweede keer schriftelijke vragen ingediend, waarna de ministers op 28 februari met nog eens 35 pagina's aan antwoorden kwamen.

Hieronder zal ik de belangrijkste punten uit deze beantwoordingen bespreken en dan met name kijken of er antwoord is gekomen op enkele van de meest cruciale vragen die ik in mijn eerdere besprekingen benoemde.

Ik beperk me hier tot de nieuwe verkennende fase die aan de ongerichte kabelinterceptie van artt. 48-50 Wiv 2017 voorafgaat. Andere onderdelen van de tijdelijke wet, zoals de versoepelingen van de hackbevoegdheid en de nieuwe regelingen voor bulkdatasets, toezicht en beroep, laat ik hier buiten beschouwing.


Schematische samenvatting van de Tijdelijke wet cyberoperaties (klik ter vergroting)



Toepassingsbereik

Een eerste kwestie die de nodige vragen opriep is wanneer de Tijdelijke wet cyberoperaties nu precies van toepassing is. Daarbij benadrukken de ministers dat de specifieke bepalingen van de wet alleen kunnen worden ingeroepen "indien sprake is van een onderzoek naar een land met een offensief cyberprogramma".

Het zou dan doorslaggevend zijn wanneer een land alszodanig is genoemd in de Geïntegreerde Aanwijzing (GA), het geheime document waarin de regering de actuele taakstellingen voor AIVD en MIVD opsomt en prioriteert.

Elders zeggen de ministers echter: "Daarnaast kan de Tijdelijke wet van toepassing zijn als een digitale aanval (nog) niet (direct) te attribueren is aan een land, maar er wel een vermoeden is dat deze te attribueren is aan een statelijke actor." (p. 6)

Onduidelijk blijft of dit alleen geldt als er een vermoeden is dat de aanval te linken valt aan landen die in de GA genoemd worden (zoals Rusland, China, Iran en Noord-Korea), of ook als in het geheel nog niet duidelijk is welk land er achter kan zitten.

Sowieso is het koppelen van de toepasselijkheid van deze wet aan bepaalde landen een vreemde constructie. Het had waarschijnlijk helderder geweest om de toepassing te koppelen aan cyberaanvallen in het algemeen, ongeacht door wie ze uitgevoerd worden.


Metadata

Een probleem bij de vragen die eerder vanuit de Tweede Kamer en nu vanuit de Eerste Kamer werden gesteld, is dat ze soms veel te algemeen en open gesteld zijn, waardoor de ministers op een nietszeggende manier kunnen antwoorden.

Een voorbeeld is dat de fractieleden van de PVV in de Eerste Kamer hadden gevraagd of de regering kon aangeven "hoe bij de toepassing van dit wetsvoorstel zal worden omgegaan met metadata".

De ministers antwoorden daarop met een beschrijving van de verschuiving van het toezicht op geautomatiseerde data-analyse (GDA), iets dat al bekend was en verder geen nieuwe inzichten biedt. (p.11)

Kamerleden hadden hier veel specifieker kunnen vragen zodat de ministers ook specifieker hadden moeten antwoorden. Bijvoorbeeld of tijdens de verkennende fase niet kan worden volstaan met het analyseren van metadata, zodat inhoudelijke informatie ongemoeid kan worden gelaten.


Hoofdkantoor van de AIVD, waar zich ook de Joint Sigint Cyber Unit bevindt


Internetproviders

Overeenkomstig mijn eerdere bespreking van het debat in de Tweede Kamer stelde de PVV-fractie in de Eerste Kamer ook een vraag die wel specifiek genoeg was: "in hoeverre bijvoorbeeld een kabelinterceptie kan plaatsvinden bij een grote internetprovider, waarmee in één keer het volledige gegevensverkeer van alle gebruikers verzameld wordt."

Daarop erkennen de ministers dat "in het algemeen kabelinterceptie bij grotere en kleinere internetproviders alsmede bij andere aanbieders van communicatiediensten kan plaatsvinden." Of ook al het dataverkeer van zo'n provider onderschept kan of mag worden bleef onbeantwoord. (p. 49)

Niettemin is dit een belangrijke uitspraak, die duidelijk maakt dat het bij de ongerichte kabelinterceptie niet gaat om het "afluisteren van hele wijken", maar om het aftappen van datastromen van internetproviders en andere communicatieaanbieders.

Opmerkelijk is dat de ministers bij dit antwoord uit zichzelf met een aanvulling komen, die kennelijk enigszins geruststellend bedoeld is:

"[...] kabelinterceptie [is] gericht op gegevensstromen. Deze gegevensstromen bevatten slechts gedeelten (fragmenten) van de communicatie van personen en organisaties in het digitale domein. Het levert – anders dan bij gerichte interceptie – geen volledig (en ononderbroken) beeld op van de communicatie van een persoon of organisatie." (p. 49)



Cyber defence

Een volgende kwestie is of bij die internetproviders e.d. ook binnenlands dataverkeer afgetapt gaat worden. De PvdD-fractie verwees daarvoor naar de ministeriële toezegging uit 2018 waarin staat:

"Het is vrijwel uitgesloten dat ongerichte interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland (met uitzondering van onderzoek in het kader van cyber defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen)."

De ministers zeggen daar nu over dat die toezegging niet zozeer slaat op de interceptie van verkeer met oorsprong en bestemming in Nederland (dat valt gezien de werking van het internet nooit helemaal uit te sluiten), maar op het onderzoek naar dat verkeer.

De genoemde toezegging zou dus gelezen moeten worden als: "het is vrijwel uitgesloten dat ongerichte interceptie zal worden ingezet voor inlichtingenonderzoeken naar gegevens met oorsprong en bestemming in Nederland, met uitzondering van de onderzoeken in het kader van cyber defence." (p. 33)

Met andere woorden: er mag en zal dus wel Nederlands verkeer worden binnengehaald, maar dat zal in principe niet voor nader onderzoek gebruikt worden. Voor cyber defence mag dat verkeer dan echter wel onderzocht worden.


Defensieve verwerving

De Eerste Kamerleden hebben echter verzuimd om expliciet te vragen of die uitzondering voor cyber defence nu wel of niet in de praktijk wordt gebracht en zodoende lieten de ministers deze kwestie onbeantwoord.

Uit een tekst op de website van de AIVD blijkt echter dat de Joint Sigint Cyber Unit (JSCU) naast "offensieve verwerving", oftewel digitale spionage, wel degelijk ook "defensieve verwerving" uitvoert, waarmee digitale dreigingen tegen Nederland onderzocht worden. Verantwoordelijk voor dat laatste is de afdeling Computer Network Defence (CND).

Het blijft dan ook opmerkelijk dat geen van de betrokkenen nader op het aspect van cyber defence in ging, terwijl de tijdelijke wet nota bene bedoeld is voor operaties tegen "landen met een offensief cyberprogramma".

In de antwoorden van de ministers komt dit eigenlijk alleen ter sprake als het gaat om het belang van samenwerking met buitenlandse partners, dat is namelijk o.a. voor "het uitwisselen van identificeerbare kenmerken van cyberaanvallen gericht op het hoogwaardig Europees bedrijfsleven". (p. 22)

Hoe zich dat dan precies verhoudt tot de regelingen van de tijdelijke wet wordt verder nergens nader uitgewerkt.


Omvang en herkomst van cyberaanvallen in de periode 2005 t/m 2022 (bron)


Internationaal verkeer

In hun eerste beantwoording van de Eerste Kamervragen lieten de ministers meermalen weten dat de diensten zich bij de ongerichte interceptie zullen richten "op gegevensstromen die hoofdzakelijk internationaal verkeer bevatten".

In de tweede vragenronde vroegen GroenLinks-PvdA en de PVV wat daar precies mee bedoeld wordt, aangezien bij het internet geen duidelijk onderscheid tussen binnenland en buitenland meer te maken valt. Zo hebben tal van Nederlandse bedrijven en zelfs overheden hun data op buitenlandse servers ("in de cloud") staan, waardoor Nederlandse communicatie feitelijk toch de grens over gaat.

De ministers antwoorden daarop dat de AIVD en de MIVD zich richten op "dragers, kabels of glasvezels die zich ofwel in het buitenland bevinden, ofwel waarvan minimaal één van de twee transmissiesystemen zich fysiek in het buitenland bevindt en het verkeer dus de Nederlandse grens overgaat ofwel waarvan de diensten weten dat een communicatie aanbieder via een bepaalde fysieke locatie, bijvoorbeeld een data-centrum, internationale gegevensstromen transporteert." (p. 12, 23)

Dit is een nogal vreemd antwoord, aangezien onze diensten toch niet bepaald makkelijk toegang zullen krijgen tot kabels die zich geheel in het buitenland bevinden (al is het bijv. tijdens militaire missies ook niet geheel uitgesloten). De rest van het antwoord is vooral een bevestiging van de stelling dat Nederlandse communicatie die via een buitenlands datacentrum verloopt toch onderschept kan worden.

Meer geruststellend had geweest als de ministers hadden gezegd dat de diensten zich specifiek zouden richten op datastromen uit landen als Rusland en China, maar dan geldt weer de uitzondering voor cyber defence, omdat "bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale infrastructuur en ongerichte interceptie op de kabel noodzakelijk kan zijn om dit te onderkennen."



Snapshots

Een volgende vraag die onbeantwoord bleef is de hoeveelheid data die in de verkennende fase wordt opgeslagen. Tijdens de behandeling in de Tweede Kamer bleef minister De Jonge stug volhouden dat het hierbij slechts om een momentopname, een foto gaat, wat in het jargon van de diensten een "snapshot" wordt genoemd.

Hoe lang zo'n snapshot precies duurt wilde de minister ook na lang aandringen niet zeggen, wat opmerkelijk is aangezien uit een rapport van toezichthouder CTIVD uit 2022 bleek dat zulk snapshotten tot nu toe inhield dat een datakanaal maximaal twee uur per dag wordt afgetapt om de potentiële inlichtingenwaarde daarvan vast te stellen.

Vanuit de Eerste Kamer was niet expliciet gevraagd of dat ook voortaan het geval zal zijn en de ministers zwegen er dan ook weer over. Het kan zijn dat snapshots nog steeds beperkt zullen blijven tot twee uur per dag en dat het resultaat daarvan dan zes maanden bewaard blijft, maar door dat niet expliciet te benoemen laat de wet het ook toe dat datastromen continue worden afgetapt en opgeslagen.


Filtersystemen

Een beperkende factor die nog niet eerder besproken werd is de techniek. Uit wat de NSA, GCHQ en de Duitse BND doen weten we dat bij het ongericht aftappen van internetkabels al bij het aftappunt zelf filterapparatuur geplaatst wordt. Daarmee kunnen direct alle niet benodigde data weggefilterd worden en blijven alleen die data over die het meest interessant zijn voor nader onderzoek.

Zou men dat filteren niet doen, dan zou er een net zo "dikke" kabel nodig zijn als degene die afgetapt wordt om alle gekopieerde data naar het hoofdkwartier van de inlichtingendienst, in dit geval de JSCU bij de AIVD in Zoetermeer, te transporteren.

Een andere mogelijkheid is om de afgetapte data ter plekke op te slaan en ze van op afstand te doorzoeken. Dat zou voor metadata wel kunnen, zouden echter ook alle inhoudsdata opgeslagen worden, dan lopen de servers snel vol. Zo gezien is het praktisch niet goed voorstelbaar dat in de verkenningsfase zowel inhoud als metadata voor langere periodes worden opgeslagen.

Als de snapshots niet beperkt blijven tot de genoemde twee uur per dag zal er dus ofwel direct gefilterd moeten worden, ofwel alleen metadata opgeslagen moeten worden. Dat kan in beide gevallen dan echter wél om grote hoeveelheden gaan.



Verkenningsonderzoek

In hun antwoorden aan de Eerste Kamer benadrukken de ministers dat tijdens de verkenningsfase alleen gegevens mogen worden verzameld om de latere, daadwerkelijke ongerichte interceptie zo gericht mogelijk te kunnen laten plaatsvinden.

Waar tijdens de verkenningsfase dan precies naar gekeken wordt werd pas verhelderd nadat de fractie van GroenLinks-PvdA daar in de tweede vragenronde expliciet naar gevraagd had.

Zoals vaker is het voor een beter inzicht nodig om meerdere passages uit de beantwoording van de ministers te combineren. Daaruit volgt dat het technisch onderzoek tijdens de verkenningsfase uit twee delen bestaat: (p. 5, 9, 11)

1. Het in kaart brengen van het digitale landschap in de zin van vaststellen wat de aard van de communicatie is en wat de gebruikte technische protocollen zijn. Dit laat dan zien of het om webverkeer, e-mail, spraakverkeer, videobestanden, etc. gaat.

2. Nagaan of deze data van belang kunnen zijn voor de onderzoeksvragen van AIVD en MIVD, waarbij gebruik wordt gemaakt van input vanuit de inlichtingenteams. Deze input bestaat uit selectoren en andere gegevens over targets die de diensten reeds op andere manieren verkregen hebben. Ook kunnen bij de verkenning meer of minder complexe c.q samengestelde zoekvragen worden toegepast.

Selectoren worden ook in de laatste fase van de ongerichte interceptie toegepast, maar dan moet het volgens de ministers gaan om zogeheten strong selectors waarmee personen en/of organisaties geïdentificeerd kunnen worden, zoals telefoonnummers en e-mailadressen. Omdat dit niet gezegd wordt over de verkenningsfase, kunnen daar kennelijk ook soft selectors zoals trefwoorden e.d. toegepast worden. Omgekeerd mogen bij de laatste fase van de ongerichte interceptie dan weer geen eenvoudige, complexe of samengestelde zoekvragen worden toegepast. (p. 16)

Van de onderzoeken in de verkenningsfase worden rapporten opgesteld waarin wordt beschreven welke communicatiekanalen van potentiële waarde zijn voor nader inlichtingenonderzoek. Aan de hand van die bevindingen wordt dan besloten op welke kabels de daadwerkelijke ongerichte interceptie wordt ingezet. (p. 10-11)

De gegevens die gebruikt worden om de aanvraag voor die daadwerkelijke interceptie op te stellen blijven bewaard, alle overige data die tijdens de verkenningsfase verzameld zijn moeten na maximaal 6 maanden vernietigd worden.


GCHQ surveys

Afgaande op hoe de ministers het nu beschrijven, komt de beoogde verkenningsfase bij ons vrijwel exact overeen met de surveys die het Britse GCHQ uitvoert. Hoe die in z'n werk gingen blijkt uit enkele technische rapporten over de verkenning van satellietverbindingen die in 2014 tijdens de Snowdenonthullingen gepubliceerd werden.

Bij GCHQ werden daarvoor eerst de routes en de technische kenmerken van die verbindingen in kaart gebracht en vervolgens werden er steekproeven genomen om te kijken hoe vaak daar telefoonnummers in voorkwamen die op een watchlist stonden. Dat gaf dan een goede indicatie of een verbinding productief genoeg zou zijn om er een daadwerkelijke tap op te zetten.


Detail van een technisch rapport van GHCQ uit 2008 over de
verkenning van een satellietverbinding tussen Jordanië en België
(volledig rapport - klik om te vergroten)


Als het gaat om internetverkeer zal de Nederlandse JSCU nu waarschijnlijk kijken naar selectoren in de vorm van e-mail- en IP-adressen e.d. Interessant is daarbij de vraag of ook selectoren gebruikt zullen worden die door buitenlandse partnerdiensten worden aangeleverd. Zo weten we dat de Duitse BND van de NSA miljoenen(!) internet identifiers kreeg om daarmee kabel- en satellietverkeer te filteren.


Omdat het onderhavige wetsvoorstel over "landen met een offensief cyberprogramma" gaat zal de JSCU naast dergelijke strong selectors ongetwijfeld ook andersoortige zoekvragen toepassen om signatures van malware en indicaties van hackpogingen te vinden. Omdat die dingen vaak een stuk moeilijker te vinden zijn, kan daarbij hulp van een partner als de NSA nodig zijn.


Videopresentatie over hoe de JSCU te werk gaat bij het onderzoek naar malware
(via Tweakers: Operatie Volt, 27 maart 2021)



Buitenlandse partners

Het inroepen van dergelijke hulp, oftewel het delen van data uit de verkennende fase met buitenlandse partnerdiensten, is een van de meest omstreden onderdelen van de Tijdelijke wet cyberoperaties. Al tijdens de eerste vragenronde vroeg de Eerste Kamerfractie van GroenLinks-PvdA of dat ook in bulk en/of bijna live kan gebeuren. De ministers antwoordden daarop dat er verschillende mogelijkheden zijn:

"Het ter inzage aanbieden op een systeem van de dienst is één van de mogelijkheden, net als het verstrekken door het toesturen van gegevens (al dan niet in bulk). Als het verzoek ziet op bijvoorbeeld het ontsleutelen van bepaalde gegevens, zal de buitenlandse dienst doorgaans de eigen systemen nodig hebben om dat te realiseren, ook omdat een buitenlandse dienst meestal niet bereid is dergelijke technieken te delen met een andere dienst. In dit voorbeeld ligt een verstrekking van gegevens aan die buitenlandse dienst meer voor de hand." (p. 19)

En: "Een verstrekking kan – indien noodzakelijk – spoedig na verwerving plaatsvinden of op een later moment binnen de bewaartermijn van zes maanden. Het kan daarbij zowel gaan om gegevens die reeds beoordeeld zijn door de diensten als om gegevens die de diensten nog niet hebben beoordeeld. Om de gegevens te kunnen beoordelen is juist ook het technisch onderzoek van buitenlandse diensten nodig." (p. 19)


Raad van State

Vanuit de Eerste Kamer werd ook gevraagd naar een reactie op het advies van de Raad van State waarin nadrukkelijk wordt afgeraden om data uit de verkennende fase met buitenlandse diensten te delen.

De ministers doen echter voorkomen alsof de Raad van State alleen doelde op het feit dat data uit de verkenning niet voor andere doeleinden verwerkt mogen worden en redeneren dat het delen van die data dus wel mogelijk is, aangezien van buitenlandse partners verwacht wordt dat zij die data ook niet verder zullen verwerken. (p. 30-31)

Dat is niet echt een eerlijk antwoord, aangezien het niet verder mogen verwerken van deze data maar één van de argumenten is die de Raad van State noemt ter onderbouwing van een wel degelijk algemeen gestelde afkeuring van dergelijke data-uitwisseling:

"De (bulk)data die wordt verkregen door middel van de verkennende bevoegdheid leent zich niet voor uitwisseling met buitenlandse diensten. Het betreft immers gegevens die ook de Nederlandse inlichtingendiensten binnen de eigen rechtsorde niet verder mogen verwerken. Bovendien is overdracht van deze gegevens, mede gelet op de ongerichtheid van de verkenningsbevoegdheid, een ernstige inbreuk op het recht op de bescherming van de persoonlijke levenssfeer. De Afdeling adviseert in het licht van het voorgaande in het voorstel te regelen dat deze gegevens niet mogen worden uitgewisseld met buitenlandse diensten."


SIGINT-partners van de NSA in Europa


Quid pro quo

Ondanks het negatieve advies van de Raad van State is het voor AIVD en MIVD kennelijk onontbeerlijk om betreffende data met buitenlandse partners te delen: "de mogelijkheid om ongeëvalueerde gegevens afkomstig uit de bevoegdheid tot verkennen ten behoeve van technisch onderzoek te delen met buitenlandse diensten [is] voor de diensten in internationale samenwerkingsrelaties en voor onze onderzoeken onmisbaar." (p. 52)

Opmerkelijk is dat voor deze onmisbaarheid twee redenen genoemd worden: niet alleen voor de eigen onderzoeken van onze diensten, maar dus ook "in internationale samenwerkingsrelaties". Doorgaans wordt daarmee gedoeld op het bekende quid pro quo, oftewel je deelt dingen die voor partnerdiensten interessant zijn, zodat je van hen dingen terugkrijgt die voor jezelf nuttig zijn.

Het is evident dat onze diensten er baat bij hebben als ze technische assistentie van meer ervaren buitenlandse partners krijgen, maar wat die partners er dan voor terug krijgen is niet echt helder geworden.

De Nederlandse JSCU kan weliswaar op zijn beurt technische assistentie verlenen aan andere diensten die minder capaciteiten hebben, maar dan blijft de vraag wat het voordeel voor grote partners als de NSA en GCHQ is.


Cyberdreigingen

Het is wel denkbaar dat die grote partners zelf ook baat kunnen hebben bij het duiden en ontsleutelen van de data die onze diensten aanleveren. Voor hen kan het immers interessant zijn om te zien welke indicaties van cyberdreigingen er op internetkabels in Nederland worden aangetroffen.

Wellicht is dat (mede) waar de ministers op doelen wanneer zij schrijven "dat de razendsnelle uitwisseling van gegevens doorslaggevend [blijft] voor het nemen van adequate tegenmaatregelen en het verkrijgen van een adequaat dreigingsbeeld. Door binnen de internationale inlichtingen- en veiligheidswereld intensief met elkaar samen te werken, vallen afzonderlijke puzzelstukjes in elkaar, zodat het werkelijke gezicht van de dreiging zich laat zien." (p. 22)

Ook interessant is de vraag of de technische rapporten naar aanleiding van de verkenningsonderzoeken met buitenlandse diensten gedeeld worden. Die hebben zelf dan wel geen toegang tot de kabels waar de rapporten betrekking op hebben, maar het kan voor hen wel weer interessant zijn om te zien welke indicaties allemaal zijn aangetroffen.

Net als de AIVD en de MIVD mogen ook buitenlandse partnerdiensten de data uit de verkenningsfase weliswaar niet voor verdere inlichtingenonderzoeken gebruiken, maar de ministers hebben niet uitgesloten dat zij de resultaten wel kunnen gebruiken voor hun eigen detectie- en interceptiesystemen. (p. 21, 51, 54)



Conclusie

Terugkijkend kunnen we concluderen dat de parlementaire behandeling van de Tijdelijke wet cyberoperaties tot nu toe nogal onbevredigend is verlopen. Leden van zowel de Eerste als de Tweede Kamer ontbrak het vaak aan voldoende achtergrondkennis, waardoor weliswaar veel vragen gesteld werden, maar deze zelden specifiek genoeg waren om nieuwe informatie boven tafel te krijgen.

De ministers, de diensthoofden en de betrokken ambtenaren bleven doorgaans hangen in abstracte formuleringen waardoor het voor buitenstaanders en menig kamerlid vrijwel onbegrijpelijk is gebleven waar het bij deze wet precies om gaat.

Het is een raadsel waarom de ministers alleen na zeer gericht doorvragen met meer details kwamen - het zijn immers zaken die de Russen en Chinezen al lang weten, maar die voor het parlement en de burger van belang zijn om noodzaak, risico's en waarborgen van de wettelijke regelingen enigszins adequaat te kunnen beoordelen.

De plenaire behandeling van het wetsvoorstel in de Eerste Kamer zal op 5 maart plaatsvinden.


UPDATE:

Op 5 maart 2024 werd de Tijdelijke wet cyberoperaties door de Eerste Kamer in plenaire vergadering besproken. Het wetsvoorstel werd grondiger behandeld dan in de Tweede Kamer, waarbij met name de senatoren Mary Fiers van GroenLinks-PvdA, Peter Nicolaï van de PvdD en Alexander van Hattem van de PVV opvielen door gedetailleerd inzicht c.q. vasthoudend doorvragen. Nagenoeg ongeclausuleerd voorstander bleek Bart Kroon van BBB.

Om te beginnen werd vanuit de Eerste Kamer flink doorgevraagd naar wanneer de nieuwe wet nu precies van toepassing is - niet een heel goed teken dat zo'n belangrijk aspect nog in deze allerlaatste fase van het wetgevingsproces nader opgehelderd moest worden.

Minister De Jonge antwoordde dat de wet in eerste instantie van toepassing is op de landen die in de Geïntegreerde Aanwijzing (GA) genoemd worden. Mocht blijken dat ook andere landen offensieve cyberoperaties tegen Nederland uitvoeren, dan kunnen die landen ook in de GA worden opgenomen, zodat de nieuwe wet ook voor hen kan worden toegepast. Vanuit de PVV werd gevraagd of de wet ook op niet-statelijke actoren, zoals met name Islamitische Staat, van toepassing kan zijn, maar dat is volgens de minister niet het geval.

Op de vraag van senator Fiers hoe het dan zit wanneer "een digitale aanval (nog) niet (direct) te attribueren is aan een land" antwoordde de minister dat dat betrekking heeft op de situatie wanneer onzeker is of een bepaald aanval vanuit Rusland, China of een ander land komt. Bij twijfel de nieuwe wet toepassen, was zijn insteek. De Nederlandse AMS-IX zit in de top-5 van de grootste internetknoopunten ter wereld waarmee onze diensten op "een goudmijn" zitten en we dus "een geweldige verantwoordelijkheid hebben om die te benutten", aldus De Jonge.

Iets wat nog niet eerder duidelijk geworden was is dat het wetsvoorstel ondanks zijn naam niet beperkt is tot cyberoperaties. Een offensief cyberprogramma gericht tegen Nederland is weliswaar het criterium om de bepalingen van de wet van toepassing te verklaren, maar daarna valt elk soort onderzoek van de AIVD en de MIVD naar die landen onder de reikwijdte van deze wet. Dit omdat die landen een "whole-of-society approach" hebben, dat wil zeggen zij vallen ons met een breed scala van middelen en methodes aan, zodat ook onze diensten daar breed op moeten kunnen reageren.

De vrees voor een sleepnet probeerde De Jonge te ontkrachten door nog maar eens te herhalen dat de diensten helemaal geen interesse in het Netflixverkeer van je buurman hebben en dat met de vier fases van de ongerichte interceptie er een trechtering plaatsvindt waarbij per stap steeds minder data overblijft. Dat klopt inderdaad voor de klassieke inlichtingenvergaring, maar cyber defence kent een andere methodiek, waarbij het juist van belang is om een zo breed mogelijk zicht op dataverkeer te hebben.

Ondanks grondige voorbereiding is dit aspect ook de Eerste Kamer volledig ontgaan: als activiteit komen de termen "cyber defence" en "cyber security" niet éénmaal voor in het schriftelijke verslag van het plenaire debat.

Senator Van Hattem confronteerde minister De Jonge met een contradictie in de eerdere schriftelijke antwoorden door te vragen of er de facto niet altijd sprake is van kabels met internationaal verkeer, waardoor in principe elke kabel voor verkenning in aanmerking zou kunnen komen. De minister erkende dat maar zei dat "louter nationaal verkeer niet zo heel vaak te attribueren zal zijn aan statelijke actoren met een cyberdreiging".

Hier wreekt zich het ontbrekende inzicht in cyber defence, want buitenlandse actoren gebruiken Nederlandse digitale infrastructuur juist graag als dekmantel voor hun cyberaanvallen. Dat is ook precies de reden dat het wetsvoorstel ook de zogeheten bijschrijfmogelijkheden verruimt, zodat de JSCU makkelijker kan nagaan wat die actoren op Nederlandse servers en computers uitspoken.

Update: In juli 2024 werd bijvoorbeeld bekend gemaakt dat de JSCU samen met de politie, het FBI en de Cyber National Mission Force (CNMF) een Russische digitale beïvloedingscampagne heeft verstoord die plaatsvond vanaf servers in het datacentrum van Serverius in Dronten. Via de software Meliorator werden zeker 968 nepaccounts op twitter aangestuurd.

Senator Fiers vroeg voorts of een "snapshot" betekent dat data gedurende 6 maanden lang 24 uur per dag verzameld en opgeslagen mogen worden. Wederom werd weer niet gevraagd naar de twee uur per dag die nu gebruikelijk is en zodoende kon minister De Jonge er mee wegkomen door te zeggen dat de verkennende fase wel aan het basisvereiste van proportionaliteit dient te voldoen. Eerder zei hij echter nog dat het niet zo mag zijn dat de proportionaliteit in de plaats komt van het gerichtheidsvereiste, dat nu juist was afgeschaft om een goede verkenning mogelijk te maken.

Senator Nicolaï ging vasthoudend in op het delen van data met buitenlandse zusterdiensten, waarop de minister antwoordde dat het belangrijk is dat de Nederlandse diensten ook iets aan hun partners te bieden hebben. Dat is het geval als zij gebruik kunnen maken van de kabel, die nu echter nog "aan de ketting" ligt. Bovendien hebben ook grotere diensten expertise en toegang van anderen nodig, aldus De Jonge, zonder daarbij verder in detail te treden.

Ook vroeg Nicolaï of daarmee niet een geitenpaadje gecreëerd wordt waarbij buitenlandse diensten dingen gaan doen die onze eigen diensten niet mogen. Minister De Jonge reageerde daar tamelijk verontwaardigd op: hoe kon gedacht worden dat onze diensten zoiets zouden doen? Nu is zo'n U-bocht nadrukkelijk niet toegestaan, maar de vraag was niet zo gek: sinds Snowden met vergelijkbare beschuldigingen kwam, is dit een zorg die bij veel mensen leeft.

Nicolaï diende tenslotte een motie in waarbij wordt opgeroepen om data uit de verkennende fase niet met buitenlandse diensten te delen, dit overeenkomstig het advies van de Raad van State. Deze motie werd door minister De Jonge echter nadrukkelijk ontraden.

Om tenslotte een indruk te geven van de bureaucratische belasting, meldde minister De Jonge dat hij de afgelopen week maar liefst 105 lasten (aanvragen voor toestemming voor een inlichtingenoperatie) op zijn bureau kreeg. Sommige zijn een formaliteit, maar anderen moeten grondiger besproken worden, hetgeen telkens maandagochtend in overleg met de hoofden van de AIVD en de MIVD gebeurt. Spoedlasten gaan telefonisch, via een beveiligde verbinding.


De Eerste Kamer heeft de Tijdelijke wet cyberoperaties op 12 maart 2024 aangenomen. De fracties van SP, PvdD, Volt, GroenLinks-PvdA, OPNL en FvD stemden tegen. De stemming over de motie van senator Nicolaï werd aangehouden. De wet kan naar verwachting op 1 juli 2024 in werking treden.


De "Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen" werd op 13 maart door koning Willem-Alexander ondertekend en op 11 april 2024 in het Staatsbad gepubliceerd.



Links

- Zie voor alle officiële stukken rondom deze wetgeving: Dossier Wiv 2017, het Kamerdossier nr. 36263 en de behandeling bij de Eerste Kamer.

- About Intel: Update on the implications of the Dutch Temporary Cyber Operations Act (16 mei 2024)
- Netkwesties: Vaagheid in regels voor inlichtingendiensten (14 april 2024)
- De Volkskrant: Opinie: Kabinet moet transparanter zijn over hoe diensten nieuwe aftapbevoegdheden inzetten (28 maart 2024)
- Bits of Freedom: Geheime diensten krijgen van de politiek nooit een ‘nee’ (20 maart 2024)
- GeenStijl: RIP uw privacy. Eerste Kamer keurt """tijdelijke""" Cyberwet Des Doods GOED (12 maart 2024)
- NRC: AIVD en MIVD krijgen opnieuw meer bevoegdheden door nieuwe inlichtingenwet (12 maart 2024)
- AIVD: Onderzoek een cyberdreiging in 'Operatie POSITRON'
- Werken voor Nederland: Zo trekt het JSCU ten strijde tegen hackers en terroristen
- Tweakers: JSCU - Good guys tooling: hoe de geheime dienst onzichtbare dreigingen onderzoekt

February 3, 2024

Safe and Free: comparing national legislation on electronic surveillance



A project called Safe and Free by the University of Texas now provides an overview of the legal framework for electronic surveillance by intelligence and law enforcement agencies in 12 democratic countries.

Here, I will introduce the project and discuss some general trends, as well as the different forms of prior approval of electronic surveillance operations.




Since the start of the Snowden revelations in June 2013, electronic surveillance has become a highly disputed topic. The controversy does not just concern the activities of the American signals intelligence agency NSA, but is also raised in European countries like Germany, The Netherlands and Denmark.

As the regulation of electronic surveillance is highly specialised, it's often difficult to judge whether certain measures are appropriate and effective. One way to improve them is by looking at solutions in other countries, preferably those with a similar rule-of-law tradition. This comparison is now provided by the Safe and Free project of the Strauss Center on International Security and Law at the University of Texas at Austin.


The project explores the variety of ways in which democratic states try to align surveillance for national security purposes with their values and laws. Safe and Free is an initiative of Adam Klein, director of the Strauss Center and former chairman of the Privacy and Civil Liberties Oversight Board (PCLOB), which oversees the civil liberty implications of US intelligence and counter-terrorism activities.

For Safe and Free a wide variety of surveillance experts, like think-tank members, academics, former government officials and journalists were asked to describe the legal framework for electronic surveillance in their country. This resulted in papers about the situation in Australia, Canada, France, Germany, The Netherlands, Poland, Romania, Sweden, the United Kingdom, and the United States.

Papers about Japan and South-Korea can be expected some time in the future. I had the honor of writing the paper about The Netherlands, describing the development of the legal framework for government interception from the 1960s until the current law from 2018 (which, quite unique, was subject to an advisory referendum).


Map showing the countries covered by the Safe and Free project
Click the map for a clickable map!


Reading all the papers shows how different national laws and regulations are, despite the fact that in practice, the technical methods are largely the same. All over the world, the telecommunications infrastructure for telephone and internet communications is very similar, as are the methods for interception. Hacking operations may require more creativity but have many tools and techniques in common as well.

Because states have different legal systems, institutional traditions and political constellations, the regulation of electronic surveillance methods differs from country to country. Nonetheless, some basic trends can be distinguished. An important one is the distinction between foreign and domestic, which affects many aspects.

First, most countries have separate agencies for foreign intelligence and domestic security, with signals intelligence traditionally being conducted by the military and domestic wiretapping sometimes by a national or federal police service.

In The Netherlands the civilian AIVD and the military MIVD both combine a foreign and a domestic mission, separated by their goals, instead of collection methods. Dedicated signals intelligence agencies are typical for the Five Eyes countries (the US, the UK, Canada, Australia and New Zealand), but Sweden has one as well, the FRA.


Usually, the domestic security agencies are governed by rather strict laws to safeguard the rights of their national citizens, while for foreign intelligence agencies we see more lax or even no regulations as monitoring foreign targets is considered "fair game".

Edward Snowden, however, considered this distinction very unfair and demanded equal protection for everyone. In some countries his view was picked up by the press, civil rights organizations and public opinion and eventually led to legal changes.

In the United States, presidents Obama and Biden implemented a range of constraints on the NSA's signals intelligence collection abroad, while in Germany the constitutional court ruled that fundamental rights restrict the BND's intelligence collection outside the country as much as they do inside German borders. In The Netherlands and Romania the law does not distinguish between foreign and domestic operations.


The building of the European Court of Human Rights (ECHR) in Strasbourg, France
(photo: CherryX/Wikimedia Commons)


A further increase in safeguards for human rights comes from the European Court of Human Rights (ECHR), the jurisdiction of which is recognized by 46 European countries. A notable requirement of this court is that the most intrusive surveillance methods, including tapping and hacking operations, need prior approval by an independent body.

Intercepting domestic communications for criminal prosecution is subject to judicial approval almost everywhere, but when it's done by a security agency for national security or intelligence purposes, it's usually a cabinet minister who signs off. This bore the risk of politically motivated eavesdropping, so now there has to be ex ante oversight in order to meet the case law of the ECHR.

Germany has already had such a body for decades, called the G10 Commission. Other countries followed more recently: Sweden has had the FUD since 2009, France created the CNCTR in 2015, the UK installed Judicial Commissioners in 2016 and The Netherlands established the TIB commission in 2018.

All these bodies largely consist of former judges, but in France, Germany and Sweden they include (former) members of parliament as well. This shows the differences between political cultures, as in The Netherlands parliamentarians would probably not be seen as a sufficient safeguard for independent control.

Canada has an independent Intelligence Commissioner as well, while in Australia surveillance operations which affect Australian citizens have to be approved by three ministers and the attorney general. Finally, in the US, national security operations by the FBI have to be approved by either a regular court or the FISA Court, but so-called National Security Letters can be issued by the Bureau without judicial involvement.


Depending on each country's legal situation, some of these independent bodies for prior approval also authorize or review foreign intelligence operations, but in many states the monitoring of foreign communications only needs to be approved by a minister or even just within the intelligence agency itself. The latter is the case, for example, in Poland and Romania.

In the US, the NSA merely needs a general annual certification by the FISA Court when foreign data are collected inside the US (notably via the PRISM program) and no external approval is required when collection against foreign targets takes place abroad.


In Western European countries we see that new legislation comes with increasing safeguards for civil liberties and privacy rights, but in some Eastern European countries the situation is different.

Despite the fact that Poland and Romania both have to adhere to the case law of the ECHR, their most recent laws are aimed more towards extending electronic surveillance powers and less towards accountability, democratic control and privacy safeguards. Exemplary was that Polish authorities used the notorious Pegasus spyware against political opponents.


By comparing the legal frameworks of each country we can see these kinds of general trends as well as the different ways in which safeguards are eventually implemented. They provide a set of best practices and options that can be used to improve the often complex regulation of electronic surveillance in a particular country.

Here, I focused on the issue of prior approval, but similar lessons can be learned about other topics, like the regulations for targeted and untargeted tapping operations, the use of metadata and ex post oversight by independent and parliamentary commissions. Therefore it's highly recommended to read all the papers of the Safe and Free project, which can be found at www.safeandfree.io




Links
- Lawfare: Safe and Free: National-Security Surveillance and Safeguards Across Rule-of-Law States (2023)
- See also: International repository of legal safeguards and oversight innovation

In Dutch: Meer over het wetsvoorstel voor de Tijdelijke wet cyberoperaties