‘Perfect,’ zegt Veenstra, ‘Maar dat heb je niet van mij. Officieel mag het nog niet weet je. Binnenkort wel. Maar via via heb ik gehoord dat ook onze vrienden van de Dienst er bijzonder tevreden over zijn. Ze halen het momenteel per pallet uit Amerika.’ Hoe zit het dan met versleutelde bestanden op een computer, wil Kortedoen wel eens weten. ‘Meestal een makkie,’ zegt Veenstra. ‘Ik had laatst overleg met het Gerechtelijk laboratorium. ‘Vaak hebben ze het wachtwoord gewoon in hun elektronische agenda staan omdat ze denken dat dat veilig is. Of ze gebruiken gewoon de beveiliging van Windows, nou, dat weet je wel, dat is kleuterspel voor het lab.’
‘En de echt sterke cryptografie?’ vraagt Kortedoen. Veenstra kijkt veelbetekenend. ‘Die bestaat bijna niet, ook al denken mensen vaak van wel, als je snapt wat ik bedoel. Weet je nog hoe de CIA een tijdje geleden het bericht verspreidde dat een bepaald type mobiele telefoon niet af te luisteren was door de ingewikkelde digitale versleuteling? Sadam kocht meteen de hele voorraad op. Bleek natuurlijk perfect af te luisteren. Dat soort geintjes gebeurt aan de lopende band.’

5. TAPPEN IN DE POLDER

Cybercops in Nederland

Gezien de grensoverschrijdende dimensies van de digitale maatschappij, wekt het weinig verbazing dat justitie, politie en inlichtingendiensten in Nederland min of meer in de internationale ontwikkelingen meegaan. Het intensieve internationale overleg, waar Nederland aan deelneemt, is daar debet aan. In een aantal wetsvoorstellen die de afgelopen jaren zijn doorgevoerd, is het instrumentarium vastgelegd waarmee politie- en inlichtingendiensten in de digitale wereld hun onderzoeken kunnen uitvoeren.

In 1985 werd door de minister van Justitie de Commissie Computercriminaliteit ingesteld. De commissie, onder leiding van prof. mr. H. Franken, bracht het rapport ‘Informatietechniek en strafrecht’ uit dat de basis vormde voor de in 1993 in werking getreden wet Computercriminaliteit. Dit wetsvoorstel sloot nauw sloot nauw aan bij de aanbevelingen van de OESO en de Raad van Europa.
In de wet computercriminaliteit werd onder meer computervredebreuk strafbaar gesteld, virusverspreiding, gegevensbeschadiging, onbevoegd aftappen en vervalsen van betaalpassen. Het strafvorderlijk instrumentarium werd uitgebreid met de bevoegdheid al het gegevensverkeer af te tappen (dus ook fax en e-mail) en de mogelijkheid tijdens een huiszoeking een netzoeking te doen op ter plaatse aanwezige computers. Ook kwam er een verplichting tot het ontsleutelen van versleutelde data. Deze verplichting geldt niet voor verdachten, wel voor mensen waarvan het ‘redelijk vermoeden’ bestaat dat ze in bezit van de sleutels zijn – een netwerkbeheerder bijvoorbeeld.

De laatste jaren zijn enkele nieuwe wetsveranderingen voorgesteld, die allen tot doel hebben om de Nederlandse strafwetgeving aan de cyberwereld aan te passen. Om te beginnen werd in de nieuwe Telecommunicatiewet, die op 15 december 1998 in werking trad, de aftapverplichting voor telefoonbedrijven uitgebreid tot internet service providers (IPS) en andere telecomaanbieders. De verplichting geldt in principe ook bedrijfsnetwerken en gesloten gebruikersgroepen. Bij Algemene Maatregel van Bestuur wordt vastgesteld voor welke gesloten netwerken de verplichting geldt.
Veel kritiek was er niet op de wet. De bezwaren van de Registratiekamer, die vond dat de nieuwe bevoegdheden te ruim waren en zo een bedreiging voor de privacy vormden, werden terzijde geschoven. De regering redeneerde dat met de wet alleen de technische voorwaarden tot aftappen op de maat van de nieuwe technologische tijd werden gesneden; het zegt niets over het gebruik ervan.
Onzin, concludeerde Marie-José Klaver in het NRC. Zij wijst erop dat het gebruik van de zogenaamde NN-tap (afluisteren op zoek naar een onbekende verdachte) tot grote hoogten is gestegen, geheel in strijd met de geest van deze bevoegdheid: die mocht immers alleen in ‘uiterste noodzaak’ gebruikt worden. Opsporingsbevoegdheden waarvan benadrukt is dat ze alleen in het uiterste geval ingezet worden, blijken na verloop van tijd grootschalig gebruikt te worden, leert de ervaring. ‘Alleen bij uitzondering zouden speurders zendingen drugs doorlaten. Het gevolg was dat ongeveer de halve jaaromzet aan softdrugs onder politiebegeleiding op de illegale markt kwam.’[1]
Volgens Guikje Roethof, toentertijd parlementslid voor D66, bestond er ook in het parlement nauwelijks kritiek op de enorme uitbreiding van de aftapmogelijkheden met de invoering van deze wet. Met veel moeite kreeg ze steun van de PvdA voor een amendement dat deze bevoegdheden moest inperken. De PvdA trok echter later de steun weer in. Later bleek waarom. De BVD had een brief op poten gestuurd naar de vaste kamercommissie voor de inlichtingendiensten (waarin de fractievoorzitters van de vier grote partijen zitten) om haar bezorgdheid te uiten over de voorgestelde bepalingen van Roethof. De fractievoorzitter van de PvdA bleek gevoelig voor deze druk van de BVD.[2]

De internetproviders kregen tijdelijk ontheffing van de aftapverplichting. In augustus 2000 moeten de providers wel aan alle regels voldoen.[3] De providers hadden onvoldoende tijd gehad om zich voor te bereiden op de aftapverplichting en bovendien waren de technische, financiële en juridische gevolgen nog niet helemaal duidelijk. De aftapeisen die werden voorgelegd, waren een rechtstreekse kopie van de eisen die in de internationale overleggen waren geformuleerd. Hoe deze eisen praktisch en organisatorisch om te zetten waren, wisten noch de providers, noch de overheid.
Uit notulen van het Deelorgaan Aftappen (een onder het ministerie van Verkeer en Waterstaat vallend overlegorgaan tussen de overheid en marktpartijen over het aftappen van telecommunicatie), die met een beroep op de Wet Openbaarheid van Bestuur op tafel zijn gekomen, blijken de vele haken en ogen. Zo meldt A. Eisner van de NLIP: ‘Wereldwijd zijn er ongeveer drie bedrijven, gevestigd in Amerika, die aftapapparatuur voor het Internet maken. Het kan nog twee jaar duren voordat er apparatuur is ontwikkeld waarmee afgetapt kan worden.’[4]
Ook de voortgang van het project operationele crypto- en interceptieproblematiek (oci), waarin overheid en bedrijven samenwerken, liep vertraging op door vele personeelswijzigingen en steeds nieuwe eisen van de Binnenlandse Veiligheidsdienst.[5] Bovendien heerste er onenigheid over het te gebruiken aftapprotocol. De nu in gebruik zijnde Justitiële Tap Standaard (JTS) kan de tapinformatie afkomstig van hoge-snelheidsdiensten, zoals ATM en xDSL, niet verwerken. Het protocol dat door het European Telecommunication Standardisation Institute (ETSI) ontwikkeld wordt en dat voor alle Europese bedrijven moet gaan gelden, voldoet echter nog steeds niet aan de eisen die Nederland stelt. Zo is deze standaard niet geschikt om snelle Internetverbindingen af te tappen en door te geven.[6] De onderhandelingen tussen de Europese lidstaten over het Europese aftapprotocol slepen nog steeds voort. Het Nederlandse bedrijfsleven ziet het niet zitten om de installaties nu aftapbaar te maken voor het JTS, terwijl over enkele jaren een nieuw aftapprotocol wordt ingevoerd, wat weer nieuwe aanpassingen en dus investeringen vraagt. Staatssecretaris De Vries van Verkeer en Waterstaat meldde in februari 2000 dat er voorlopig geen zicht is op een Europees aftapprotocol, waar alle lidstaten mee kunnen leven. Daarom blijven voorlopig nationale regels gelden.[7]

Tapdoos
Voor de grote providers zijn de technische en organisatorische voorbereidingen inmiddels vrijwel afgerond. Door op een aantal centrale punten tapdozen te installeren, wordt 95% van het verkeer afgedekt. Voor de resterende vijf procent, bijvoorbeeld rechtstreekse client-client communicatie, moet nog een oplossing komen, waarbij de providers echter vooral protesteren tegen de disproportionele kosten die dit met zich meebrengt. Voor kleinere providers geldt dit des te meer.
Er wordt nog onderhandeld over een minimumnorm voor het aantal tegelijkertijd af te tappen lijnen. Dat betekent dat ook kleine providers een relatief grote tapvoorziening moeten plaatsen, terwijl te voorzien is dat daar in de praktijk zelden of nooit gebruik van zal worden gemaakt.
Momenteel is een voorstel in discussie waarin de overheid geen verplicht aftapvermogen vaststelt, maar dat overlaat aan de marktpartijen. Die zijn wel verplicht om aan alle aftapverzoeken te kunnen voldoen, op straffe van een boete. Een soort marktwerking dus. Voor de overheid is het voordeel dat ze zichzelf op deze manier niet beperkt in het aftapvermogen, waarvan de komende jaren moet blijken wat er werkelijk nodig en wenselijk is.
Bij politie en justitie speelt verder het probleem van de decentrale politieorganisatie, waardoor er veel tapkamers zijn, waar lang niet altijd de benodigde apparatuur en specialisten aanwezig zijn voor het tappen van Internetverkeer. Waarschijnlijk komen er in de toekomst vier of vijf grote interregionale tapcentrales om dit probleem op te lossen.
De tapdoos wordt beheerd door de internetprovider; alleen die kan de doos aan of uitzetten, op basis van een rechterlijk bevel. Grootschalige visexpedities zijn daarmee dus op dit moment niet mogelijk. Maar het gevaar zit in de fasegewijze invoering van de aftapfaciliteiten. Als alle providers eenmaal permanente tapfaciliteiten hebben, oftewel in de systeemarchitectuur geïntegreerde faciliteiten, kunnen daarna de aftapbevoegdheden makkelijk worden opgerekt, zonder technische obstakels. Voor internettoegang via de kabel, en zeker voor de ASDL-lijnen, moeten nog aftapoplossingen verzonnen worden. Vooral de grote hoeveelheid dataverkeer per consument die met deze infrastructuur mogelijk is, zorgt nog voor problemen.

Op het gebied van cryptografie lag er in maart 1994 een voorontwerp-wet waarin het gebruik van encryptie werd verboden. Wie kon aantonen een legitiem belang te hebben bij het gebruik van encryptie, kon een licentie aanvragen. Enigszins verhuld viel in de wetstekst de verplichting te lezen in dat geval een sleutel bij de autoriteiten in te leveren. Na een storm van protest uit de juridische wereld, het bedrijfsleven en privacygroepen, werd dit wetsvoorstel ingetrokken. Lange tijd bleef het stil rond dit onderwerp.
De regering spreekt tenslotte in de nota ‘Wetgeving voor de elektronische snelweg’ in februari 1998 het verlossende woord. ‘Het gebruik van cryptografie blijft vrij.’[8] Als argumenten noemt de regering de onmogelijkheid de beschikbaarheid van cryptografische producten te controleren, de belangen van het bedrijfsleven bij veiligheid en betrouwbaarheid en de privacybelangen van de burgers.
Toch probeerde Justitie alsnog de gevolgen van het gebruik van cryptografie in te perken. In de eerste versies van het wetsvoorstel Computercriminaliteit II stond de verplichting voor een verdachte om bestanden te ontsleutelen. Na wederom veel kritiek uit juridische hoek, trok de minister van Justitie dit voorstel in. In het wetsvoorstel Computercriminaliteit II,[9] dat nu bij de Kamer in behandeling is, staat dan ook geen verplichting voor de verdachte om bestanden te ontsleutelen. Wel bestaat de verplichting tot ontsleutelen voor derden, bijvoorbeeld telecomaanbieders of internetproviders die zelf het berichtenverkeer coderen. Hetzelfde geldt voor een Trusted Third Party (TTP).
Ook hier heeft het bedrijfsleven haar invloed doen gelden. Justitie en het bedrijfsleven overleggen onder meer in het Nationaal Platform Criminaliteitsbeheersing, een samenwerkingsverband tussen de overheid en het bedrijfsleven. In de Stuurgroep Informatietechnologie en Criminaliteit wordt overlegd over regelgeving, informatiebeveiliging en opsporing in informatiesystemen. Er is een flink robbertje gevochten, zo blijkt. ‘Met name het verschil van inzicht over het toen nog bestaande ontwerp van wet heeft de gemoederen hoog doen oplopen in de discussies tussen de overheid en bedrijfsleven, gelet op het mogelijke bevel tot toegangsverschaffing tot gegevensbestanden.’[10]
Toch heeft de verplichting voor een ‘derde’ om mee te werken aan ontsleuteling vérstrekkende gevolgen. Al het versleutelde verkeer waarbij de provider voor de versleuteling zorgt, kan alsnog gelezen worden. Maar ook persoonlijk versleutelde communicatie is niet langer veilig. Politie en justitie kunnen aankloppen bij degenen naar wie het versleutelde bericht is verstuurd en eisen dat zíj het bericht ontsleutelen, zolang diegene zelf niet ook verdachte is in de zaak.

Cybercops
Ook staat in het wetsvoorstel Computercriminaliteit II wat de politie op het Internet mag. Agenten mogen, net als burgers, vrijelijk rondneuzen op het Internet en hoeven zich ook niet als agenten kenbaar te maken. Ze mogen ook vrijelijk gegevens downloaden en tijdelijk opslaan in een register. Anders wordt het als er opsporingshandelingen worden verricht die een inbreuk zijn op de rechten en de privacy van een burger. Daarbij is onder meer de Wet bijzondere opsporingsbevoegdheden[11] van belang, die de politiek na de IRT-enquête heeft ontworpen om wat de politie eerst zonder bevoegdheid deed, van een wettelijke basis te voorzien. In deze wet staan een aantal specifieke internetbepalingen.
Zo mag de politie infiltreren in nieuwsgroepen, stelselmatig informatie inwinnen over iemand (bijvoorbeeld in een nieuwsgroep), en is pseudo-koop en pseudo-dienstverlening (frontstores) op het Internet toegestaan. Ook wordt ‘verkennend’ onderzoek mogelijk op Internet, het zogenaamd pro-actief rechercheren. Het gaat daarbij om onderzoek naar een ‘verzameling van personen, om vast te stellen op welke wijze daarbinnen misdrijven die een ernstige inbreuk op de rechtsorde maken, worden beraamd of gepleegd.’ Volgens het wetsvoorstel is het ‘denkbaar’ dat bepaalde delen van de Internetgemeenschap onderwerp worden van zo’n verkennend onderzoek.

Uit een visienota van de Centrale Recherche Informatiedienst uit 1997 blijken de wensen van de politie op het gebied van digitaal rechercheren. Internet wordt als een goede ‘open bron’ gezien om ten behoeve van het zogenaamde fenomeenonderzoek informatie in te winnen. Fenomeenonderzoek is pro-actief onderzoek, gericht op het zoveel mogelijk in kaart brengen van ontwikkelingen, organisaties en personen, zonder dat er sprake is van de opsporing van een strafbaar feit. Het gaat daarbij om algemene kennisverbreding (inzicht krijgen in nieuwe verschijnselen voor literatuurstudies of strategische analyses), data surveillance (de pro-actieve fase, waarin ‘materiedeskundigen’ het internet afstruinen op zoek naar informatie over bepaalde onderwerpen, bedrijven en personen) en de opsporingsfase ( het inzetten van strafrechterlijke bevoegdheden om personen op te sporen en te volgen).
Uit de visienota blijkt de politie moeite heeft met cryptografie en zelf inziet dat er vele haken en ogen zitten aan de meest voorgestelde oplossingen: verbod op gebruik en verspreiding crypto, een vergunningenstelsel en het afgeven van de sleutel, of verdachten verplichten bestanden te ontsleutelen. De nota stelt daarom: ‘Naast mogelijke wet- en regelgeving om toch nog te kunnen opsporen, moeten ook steeds initiatieven worden ontplooid om het technisch ontrafelen van versleutelingstechnieken mogelijk te maken. Samenwerking tussen inlichtingendiensten en politie, ook op zo’n gevoelig terrein, moet bespreekbaar gemaakt worden.’
In de nota wordt meer in het algemeen gepleit voor een goede samenwerking met het bedrijfsleven en de wetenschap. ‘In het kader van research moeten politie en justitie hun partners zoeken binnen het bedrijfsleven, de wetenschap, universiteiten etc. Op die basis kan de nodige kennis worden binnengehaald ter verbetering van de opsporing en vervolging.’[12]
De CRI en het Gerechtelijk Laboratorium hebben specifieke computerexpertise ontwikkeld. Het Gerechtelijk Laboratorium is in Nederland de specialist op cryptogebied en ontwikkelt deze expertise steeds verder. Het laboratorium heeft bijvoorbeeld een programma ontworpen waarmee elektronische agenda’s kunnen worden gekraakt. Deze software zit niet alleen in de koffertjes van alle computerspecialisten van de politie, maar is inmiddels ook een belangrijk exportproduct van de Nederlandse politie. Veel ‘gewone’ beveiliging en cryptografie, zoals bijvoorbeeld in Word of Excel van Windows, zijn voor de politie in een handomdraai te kraken. Het Gerechtelijk Laboratorium werkt op cryptografisch gebied nauw samen met de Binnenlandse Veiligheidsdienst en de Militaire Inlichtingendienst.[13]
Bij de politiekorpsen bestaan zeven interregionale bureaus voor digitale expertise, die ondersteuning geven bij opsporingsonderzoeken waarin informatietechnologie een rol speelt. De CRI heeft inmiddels een speciale eenheid ‘cybercops’ ingesteld, die actief het Internet afstruint op zoek naar strafbare feiten. ‘We speuren in teamverband op bepaalde onderwerpen als kinderporno, drugsmokkel, mensenhandel, valse paspoorten, fraude of handel in gestolen voorwerpen,’ aldus teamleider Richard Vriesde.[14]
Vriesde benadrukt nog maar eens dat cryptografie een reusachtig probleem is en dat het wetsvoorstel Computercriminaliteit II de politie niet ver genoeg gaat. Een verdachte kan niet verplicht worden zijn sleutel af te staan. ‘Wij zien daarom liever dat de nieuwe wet daarin een stapje verder zou gaan.’ Ook het alternatief, dat de overheid toegang krijgt tot sleutels via een key recovery verplichting, ontbreekt tot zijn spijt in het voorstel.
Uit een recente studie blijkt echter dat het reuze meevalt met de problemen die politie en justitie hebben met cryptografie. ‘Methoden waarbij gegevens digitaal versluierd of verborgen zijn komen de digitale rechercheurs niet vaak tegen. Encryptie is volgens politiemensen in de praktijk dus op dit moment geen knelpunt van belang, hoewel men verwacht dat het gebruik van encryptieprogramma’s snel ingeburgerd zal raken. De rechercheurs vertellen dat afgeschermde bestanden vaak relatief eenvoudig zijn te benaderen omdat verdachten veelal hun wachtwoord ergens opgeschreven hebben, bijvoorbeeld op een blaadje dat naast hun computer ligt, of omdat verdachten het wachtwoord direct vertellen.’[15]

Direct afluisteren
Een andere nota van belang is de al eerder aangehaalde nota ‘Wetgeving voor de elektronische snelweg’. Hierin doet de overheid haar visie uit de doeken over de gevolgen van de informatierevolutie op de rechtshandhaving. De nota stelt zelf geen wetgeving voor, maar is als een soort toetsingskader bedoeld voor toekomstig beleid en geeft de belangrijkste beleidsvoornemens van de overheid weer.
Zo komt er onderzoek naar een mogelijke bevoegdheid voor de rechter-commissaris om (in zwaarwegende gevallen) een algemene vergelijking te maken tussen registers van verdachten en registers van niet-verdachte burgers. Ook denkt de overheid erover om onder bepaalde voorwaarden de politie datamining toe te staan, het bevragen van allerlei registers op een onbepaalde groep personen.
Verder overweegt de overheid om derden vaker te verplichten informatie te leveren uit hun registers, zonder de geregistreerde daarvan op de hoogte te brengen. Als voorbeeld wordt genoemd telecomaanbieders te verplichten vooruitbetaalde telecommunicatiekaarten slechts op naam en na identificatie te verkopen en deze registraties te bewaren. Dit voornemen is inmiddels weer van tafel. Als reactie daarop is de invoering van de IMSI-cather gekomen, een apparaat dat mobiele telefoons ‘dwingt’ hun identificatienummer bekend te maken.
Verder kondigt de overheid de inrichting van een centraal informatiepunt aan waarin abonneegegevens worden verzameld.
Uit de nota blijkt dat in de toekomst de mate van anonimiteit op Internet, maar ook algemener in de digitale wereld, een belangrijk vraagstuk voor politie en justitie wordt. ‘Vergelijkbare vragen met een veel bredere dimensie doemen op bij de te verwachten komst van de multifunctionele chipcard.’ De nota doet nog geen uitspraken over de reactie van de overheid op deze ontwikkeling.
De nota constateert herhaaldelijk dat er vooral internationale afspraken moeten komen over rechtshandhaving en Internet. Het noemt daarbij het verdrag Crime In Cyberspace, dat wordt behandeld in de Raad van Europa, als een van de belangrijkste verdragen op dit gebied.[16]

Nederland loopt ook anderszins in de pas met haar belangrijkste partners. Ook in Nederland is, na het mislukken van pogingen om cryptografie te controleren of te reguleren, en het mislukken van pogingen om key recovery in te voeren, de aandacht verschoven naar ‘alternatieven’ voor politie en inlichtingendiensten om de problemen te omzeilen die cryptografie oplevert.
Vooral de wet bijzondere opsporingsbevoegdheden is daarbij van belang. Daarin krijgt de politie de bevoegdheid tot het direct afluisteren van verdachten, dat wil zeggen het plaatsen van microfoontjes in een huis of anderszins om directe gesprekken op te nemen. De regering stelt expliciet dat dit ook bedoeld is om encryptie te omzeilen. ‘Het opnemen van vertrouwelijke communicatie is met name van belang in die situaties waarin verdachten gebruik maken van encrypted email. Deze bevoegdheid houdt onder meer in dat (onder omstandigheden) op een toetsenbord van een in een kantoor geplaatste computer een bug geplaatst kan worden, zodat vertrouwelijke communicatie kan worden onderschept voordat het wordt geëncrypteerd.’[17]
Ook bij de introductie van het wetsvoorstel Bijzondere Opsporingsbevoegdheden werd naar het gevaar van cryptologie verwezen. ‘De technologische ontwikkelingen maken de bevoegdheid tot direct afluisteren noodzakelijk. Op dit moment, en zeker in de toekomst, maakt de technologische ontwikkeling het mogelijk om te communiceren buiten het bereik van politie en justitie. De beschikbaarheid van sterke cryptografie is hiervan een voorbeeld. De voorgestelde bevoegdheid kan tot op zekere hoogte compensatie bieden voor de afnemende mogelijkheid communicatie af te tappen.’[18]
Of daarmee ook TEMPEST, het afluisteren van beeldschermen, is gelegitimeerd, blijft onduidelijk. In de wet Bijzondere Opsporingbevoegdheden wordt niets over Tempest, of het vastleggen van de straling van een beeldscherm gezegd. Volgens Bert-Jaap Koops, universitair informatierechtspecialist, is het daarmee niet toegestaan. Bijzondere opsporingsbevoegden en methoden moeten volgens hem expliciet en nauwgezet geformuleerd zijn, waardoor Tempest buiten het arsenaal van de politie valt.[19] Of de politie er ook zo over denkt is de vraag. Uit de IRT-enquête bleek dat de politie precies de omgekeerde redenering volgde: als in de wet niet expliciet staat dat voor een methode goedkeuring is vereist, hoeft dus geen goedkeuring gevraagd te worden. Of de Nederlandse politie onder druk van de IRT-enquete en de daarop volgende aanbevelingen voor bijzondere opsporingsbevoegden inmiddels een ander paradigma hanteert zal de toekomst leren.

BVD
Voor de Nederlandse inlichtingendiensten zijn de bevoegdheden vanzelfsprekend veel ruimer en de controlemogelijkheden navenant minder. In het voorstel voor de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV)[20], dat de BVD niet alleen een nieuwe naam geeft (Algemene Inlichtingen en veiligheidsdienst AIVD), maar ook nieuwe bevoegdheden, staan een groot aantal bepalingen op het gebied van aftappen.
In het eerste voorstel voor een nieuwe WIV was geregeld dat de BVD alle telecommunicatie mocht aftappen, opnemen en afluisteren. In het laatste wijzigingsvoorstel, dat dit voorjaar in de Kamer komt, is daaraan toegevoegd dat naast aftappen er ook mag worden ‘ontvangen’, waarmee het direct uit de lucht plukken van telecommunicatie (van bijvoorbeeld GSM’s) onder de bevoegdheid van de dienst valt. De BVD is daarmee niet langer afhankelijk van de bereidheid van operators om een lijntje in te pluggen, maar kan bijvoorbeeld een eigen parallel mobiel netwerk laten functioneren om gesprekken te onderscheppen. Tevens voorkomt dit dat providers ‘lekken’ over wat de BVD allemaal uitspookt op dit gebied.
Verder wordt de bevoegdheid om versleuteling van communicatie ongedaan te maken, uitgebreid. Werd er in het eerste voorstel toestemming gegeven om te ontsleutelen met behulp van technische voorzieningen, in het nieuwe voorstel is dat uitgebreid tot ontsleutelen op alle mogelijke manieren. In de toelichting staat dat ‘in de praktijk blijkt dat ook op andere manieren dan met behulp van technische voorzieningen de versleuteling van bijvoorbeeld telecommunicatie ongedaan kan worden gemaakt.’[21] Deze cryptische omschrijving lijkt te wijzen op het ontfutselen van wachtwoorden door bijvoorbeeld infiltranten, die over de schouder meekijken, of door in te breken op zoek naar dat ene papiertje waarop het wachtwoord voor alle zekerheid is genoteerd.
De AIVD krijgt verder de bevoegdheid om in computers in te breken: te hacken dus. Zo kan de inlichtingendienst data uit een computer stelen, maar bijvoorbeeld ook de software manipuleren, wachtwoorden corrumperen of een Trojan Horse achterlaten, waardoor toegang mogelijk blijft en versleuteling omzeild kan worden.
De grootste stap wordt gezet in het nieuw toegevoegde artikel 25a. Hierin wordt toestemming verleend om internationale telecommunicatie die niet via kabels verloopt op te vangen en te doorlopen (searchen of scannen) op voor de diensten interessante gegevens (personen, onderwerpen of trefwoorden). Volgens de toelichting is dergelijk onderzoek bedoeld om de dienst te laten achterhalen of er tussen alle communicatie mogelijkerwijze voor hen interessante berichten zitten. Achteloos wordt opgemerkt dat daarbij niet is te voorkomen dat kennis wordt genomen van de inhoud van het bericht: ‘Het “searchen” is primair een instrument ter verkenning van de communicatie, waarbij getracht wordt de aard van de communicatie alsmede de identiteit van de persoon of de organisatie die de desbetreffende telecommunicatie verricht, vast te stellen. Dat daarbij van een deel van de inhoud van de telecommunicatie moet worden kennisgenomen is onvermijdelijk om te bepalen wie de telecommunicatie verricht en of het om een persoon of organisatie gaat, die gelet op de taakstelling van de diensten, de aandacht verdient. Het “searchen” is er echter niet op gericht om van de volledige inhoud van de telecommunicatie kennis te nemen. In zekere zin valt deze activiteit te vergelijken met het inluisteren op telefoongesprekken teneinde vast te stellen of een verbinding goed verloopt.’[22]
Omdat grote delen van de internationale telecommunicatie via straalzenders en satellieten verloopt, is duidelijk dat met dit artikel een even zo groot deel van de internationale communicatie is afgedekt. Dit komt neer op een ongecontroleerde bevoegdheid om alle vormen van niet-kabelgebonden datacommunicatie af te luisteren en te scannen. Dit kan een grote impact hebben op het internetverkeer. Omdat een bericht dat het Internet wordt opgestuurd de minst drukke route kiest en het zwaartepunt van het Internet in Amerika ligt, is de kans groot dat binnen Nederland verzonden e-mail een internationale route kiest. Dit kan in de toekomst ook voor telefonie gaan gelden. Al deze berichten kunnen dus in de toekomst zonder een enkel onderscheid worden afgeluisterd.
Uit deze nieuwe bevoegdheid van de AIVD kan worden afgeleid dat ze toegang heeft tot de faciliteiten van het Technisch Informatieverwerkings Centrum (TIVC) van het ministerie van Defensie. Dit is het afluistercentrum in Amsterdam op Kattenburg, waar opgevangen communicatie wordt gescand en verwerkt.
Stond in eerdere versies van de wet nog dat de Minister van Binnenlandse Zaken toestemming moet verlenen voor de trefwoorden die bij het scannen worden gebruikt, in het nieuwe voorstel krijgt de minister eenmaal per jaar deze lijst ter kennisgeving aangeboden en mag de inlichtingendienst naar eigen goeddunken woorden of woordcombinaties aan de lijst toevoegen.
De laatste forse uitbreiding betreft de bevoegdheid om afgetapte en opgevangen telecommunicatie op te slaan. Moesten gesprekken die voor het functioneren van de inlichtingendiensten niet van belang zijn volgens het oorspronkelijke wetsvoorstel direct gewist worden, in het nieuwe voorstel krijgen de diensten toestemming om alles wat ze opvangen een jaar te bewaren.
Bovendien staat er een interessante toevoeging in over versleutelde berichten. Versleutelde berichten mogen net zolang bewaard worden totdat de dienst in staat is ze te ontsleutelen. In de toelichting valt te lezen: ‘Waar het gaat om telecommunicatie waarvan de versleuteling niet ongedaan is gemaakt, en waarbij het feit dat er versleuteling is toegepast dit soort telecommunicatie alleen al uit dien hoofde tot voor de diensten interessante telecommunicatie maakt, is het namelijk wenselijk deze zodanig lang te bewaren totdat de mogelijkheid bestaat c.q. is ontwikkeld om de versleuteling ongedaan te maken.’ Als het materiaal uiteindelijk ontsleutelt is, mag het nog een jaar worden bewaard om te bekijken of de aldus gevonden informatie ergens van nut kan zijn, op wat voor manier dan ook.[23]
Bovendien wordt ‘een ieder’ waarvan men aanneemt dat hij in staat is de versleuteling ongedaan te maken, verplicht hieraan mee te werken. Weigering is strafbaar met maximaal twee jaar gevangenisstraf. De Kamer heeft tijdens de schriftelijke behandeling van het wetsvoorstel vragen over deze bepaling gesteld; het antwoord van de regering moet nog komen. Als uit het antwoord van de regering blijkt dat onder ‘een ieder’ ook verdachten vallen, dan is de wetgeving in strijd met fundamentele rechten, zoals in het vorige hoofdstuk is uiteengezet. Het komt neer op een verplichting om mee te werken aan je eigen veroordeling en een omkering van de bewijslast.

Tenslotte blijkt uit het wetsvoorstel dat economische spionage ook bij de BVD een belangrijke plaats inneemt. Het gaat daarbij om bescherming van ‘vitale economische belangen’, die onder de noemer ‘nationale veiligheid’ worden geschaard. En dat soort belangen kun je maar beter zelf behartigen, stelt de nota. ‘De Nederlandse economie is hoge mate afhankelijk van economische ontwikkelingen elders in de wereld; deze ontwikkelingen kenmerken zich onder meer door een verdere internationalisering en globalisering. Beslissingen die elders worden genomen kunnen grote invloed hebben op de Nederlandse economie. Informatie over ontwikkelingen in andere landen op dit vlak kan op diverse wijzen worden verkregen, onder meer door samenwerking met de diensten van andere landen. Deze zullen echter daarbij rekening houden met hun eigen belangen. Teneinde niet afhankelijk te zijn van informatie van derden is het naar ons oordeel noodzakelijk om waar dat nodig is een zelfstandige informatiepositie op te kunnen bouwen en te handhaven.’[24]
Wat vitale economische belangen zijn, blijft in dikke mist van nevelen gehuld: ‘Tot slot wordt opgemerkt, dat met de explicitering “vitale economische belangen van Nederland” in de nieuwe taakstelling van de AIVD tevens de mogelijkheid ontstaat om – indien dat wenselijk wordt geacht – op dat vlak ook onderzoeken te verrichten, waarbij de nationale veiligheid als zodanig niet in het geding is of zich lastig laat beredeneren.’[25]

[1] Marie-José Klaver, De Echelon-methode, NRC 20 juni 1998
[2] Guikje Roethof in Lopende Zaken, VPRO-televisie, zondag 23 januari 2000
[3] Staatssecretaris van Verkeer en Waterstaat, Beleidsregels ontheffingsverlening aftapbaarheid internetdiensten, DGTP/99/1170/Jd/, 3 mei 1999
[4] Verslag Deelorgaan Aftappen, 4 maart 1999, DAF 98/23
[5] Voortgang project operationele crypto- en interceptieproblematiek, Directie wetgeving, Directoraat-Generaal Wetgeving, Rechtspleging en Rechtsbijstand Ministerie van Justitie, 14 juli 1998
[6] Verslag over de informele besprekingen met telecommunicatieaanbieders, ing. A.S. van Bercheycke, beleidsmedewerker BVD, bijlage bij uitnodiging voor vergadering Deelorgaan Aftappen, DAF 99/1, 23 februari 1999
[7] Tijdelijke regeling aftappen openbare telecommunicatienetwerken en –diensten 2000, Staatscourant, 28 februari 2000
[8] Nota Wetgeving voor de elektronische snelweg, Kamerstukken 25 880 nr. 1, Den Haag 12 februari 1998
[9] Wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Telecommunicatiewet in verband met nieuwe ontwikkelingen in de informatietechnologie, Kamerstukken 26 671, nrs 1 tot en met 3, 8 juli 1999
[10] R.H.P. Vriesde, ‘De steigers voorbij…’, Jaaroverzicht 1996 Stuurgroep Informatietechnologie & Criminaliteit, Zoetermeer, juni 1997
[11] Wet bijzondere opsporingsbevoegdheden, Kamerstukken 1996/97, 25 403, nrs 1 tot en met 3,
[12] Visienota digitaal rechercheren, Beleidsadviesgroep computercriminaliteit, CRI, Zoetermeer juni 1996
[13] Jaarverslag Militaire Inlichtingendienst 1997
[14] Vrij Nederland, 22 januari 2000
[15] W. Ph. Stol, R.J. van Treeck, A.E.B.M. van der Ven, Criminaliteit in Cyberspace, In-pact Onderzoeksreeks nr. 5, Elsevier 1999
[16] Zie hoofdstuk drie
[17] Nota Wetgeving voor de elektronische snelweg, Kamerstukken 25 880 nr. 1, Den Haag 12 februari 1998
[18] Kamerstukken 23047 nr. 3, 1994-1995
[19] Bert-Jaap Koops, The crypto controversy, a key conflict in the information society, Kluwer Law International, Den Haag 1998
[20] Kamerstukken 25 877, nr 1-3, 7 februari 1998, en opeenvolgende wijzigingsnota’s
[21] Kamerstukken 25 877, nr. 9, 29 september 1999
[22] Kamerstukken 25 877, nr. 9, 29 september 1999
[23] Kamerstukken 25 877, nr. 9, 29 september 1999
[24] Kamerstukken 25 877, nr. 9, 29 september 1999
[25] Kamerstukken 25 877, nr. 9, 29 september 1999