Zelfs zijn vrienden weten niet precies waar hij zich mee bezighoudt.
“Die weten waar ik werk, niet wat ik daar doe.”
Dat u werkt bij de CTIVD staat op LinkedIn.
“Eerst niet, ik heb het nu toch vermeld, omdat het ook standaard onder mijn publicaties staat. Maar ik moest er toch over nadenken, want ook buitenlandse inlichtingendiensten kijken op LinkedIn. Zij kunnen zo zien wie er bij de diensten werken of mogelijk staatsgeheimen kennen. Ik kan dan in zoekresultaten verschijnen. Daar moet je rekening mee houden.”
Wat mag u vertellen over uw werk bij de CTIVD?
“Niet zo veel. Het is al snel staatsgeheime informatie. Op onze website staan wel recente onderzoeken en dan zien lezers wat we doen. Ik kan niet zeggen bij welk onderzoek ik betrokken ben.”
In een vergaderzaal van de Raad van State praat Mr. met Jan-Jaap Oerlemans, onderzoeker bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Die commissie zit ook in het gebouw van de Raad van State, in een afgeschermd gedeelte. De commissie heeft verder niks met de Raad van State te maken, ze maakt alleen gebruik van enkele kantoorruimtes. Daar afspreken kan niet. Zo mogen journalisten geen opnameapparatuur mee naar binnen nemen.
Zelfs geen mobiele telefoon?
“Ik kan niets zeggen over onze beveiliging.”
Bijzondere bevoegdheden
‘Ik kan hierover eigenlijk niks zeggen’ is een zinnetje dat tijdens het interview vaker wordt uitgesproken bij vragen over de CTIVD. Oerlemans’ werkzaamheden – onderzoeker bij de CTIVD en een dag per week bijzonder hoogleraar Inlichtingen en recht aan de Universiteit Utrecht – spelen zich af in de wereld van de inlichtingendiensten, en zijn daarmee zwaar vertrouwelijk en geheim. Als hoogleraar werkt hij aan publicaties, geeft hij gastcolleges en lezingen (geen regulier onderwijs) en begeleidt een promovenda. Zijn artikelen en boeken gaan met name over de Wet op de inlichtingen- en veiligheidsdiensten en cybercriminaliteit.
Bij de CTIVD werken ruim twintig mensen, dat mag hij nog net zeggen. Oerlemans houdt zich vooral bezig met rechtmatigheidstoezicht: onderzoeken of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hun bevoegdheden wel volgens het boekje uitoefenen. Zij hebben bijzondere bevoegdheden zoals hacken en tappen, en algemene bevoegdheden zoals openbronnenonderzoek op internet, informanten inzetten en het bevragen van overheidsinstellingen. Dit alles is geregeld in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv).
De CTIVD moet worden onderscheiden van een andere toezichthouder, de Toetsingscommissie Inzet Bevoegdheden (TIB): deze toetst of de toestemming van de minister voor de inzet van bijvoorbeeld een hackbevoegdheid wel rechtmatig is. Dit is een toetsing vooraf, de CTIVD toetst tijdens het inzetten van een bevoegdheid en achteraf. Er wordt daarbij ook gekeken naar gegevensverwerking: zoals de Autoriteit Persoonsgegevens toezicht houdt op de gegevensverwerking uit de Algemene verordening gegevensbescherming (AVG), zo gebruikt de CTIVD de Wiv als kader. “Achteraf kunnen we onderzoeken hoe vaak een bevoegdheid is ingezet en hoe gegevens zijn verwerkt, en of dat volgens de regels van de Wiv verliep. Daarover rapporteren we aan het parlement.”
De rechtmatigheidsonderzoeken die de CTIVD uitvoert komen voort uit eigen initiatief, of door aandacht in de media. Ook het parlement kan de CTIVD vragen iets uit zoeken. Zo werd de CTIVD gevraagd na te gaan wat de inlichtingendiensten wisten voorafgaand aan het neerhalen van de MH17.
In zijn wetenschappelijk onderzoek kijkt Oerlemans ook hoe de politie haar hackbevoegdheid inzet. “Toen ik mijn eerste artikel daarover schreef, ruim twaalf jaar geleden, was daarvoor nog geen wettelijke grondslag, nu inmiddels wel. Een telefoon hacken is bijvoorbeeld tegenwoordig toegestaan, maar nu is duidelijk dat de politie samen met de Fransen ook honderden miljoenen gegevens (in bulk) bij een internetserviceprovider heeft verzameld. Dat verandert de context en de impact op fundamentele rechten. Er valt nog genoeg te onderzoeken.”
Digitale opsporing
Als leerling op de middelbare school kan Jan-Jaap Oerlemans dit allemaal niet voorzien. De rechtenstudie in Leiden, tja, je moet toch wat na het vwo. De eerste twee jaar kan hij zich niet echt in het juridische domein verplaatsen, de studie interesseert hem maar matig. Er is veel afleiding bij de gezelligheidsverenigingen en bijna dagelijks een paar uur gamen is ook niet bevorderlijk voor een duik in de boeken. Het recht gaat voor hem meer leven als hij vrijwilliger wordt bij de rechtswinkel. Door zijn belangstelling voor informatietechnologie wordt hij student-assistent bij de afdeling IT-recht. Daarna gaat hij hogere cijfers halen, eindelijk ontdekt hij wat hij echt leuk vindt. Voor zijn dubbele master (informatierecht en strafrecht) stapt hij over naar de Universiteit van Amsterdam. Tel je die rechtsgebieden op, dan kom je uit bij cybercriminaliteit en digitale opsporing, waar Oerlemans “echt enthousiast” over werd. “Criminaliteit ontwikkelt zich door digitalisering. Als jurist vraag je je af: is dat strafbaar? En nieuwe, digitale opsporingsmethoden: zijn die legitiem?”
Zijn proefschrift ging aanvankelijk over high tech crime, over nieuwe vormen van cybercriminaliteit. Oerlemans kwam er al snel achter: bijna alles ís al strafbaar. “Normale delicten, zoals oplichting, kunnen zowel in de fysieke wereld plaatsvinden als online. Dat was in onze wetten al heel goed geregeld. Waarover nog veel onduidelijkheid bestond, en nog steeds: waar liggen de grenzen van digitale opsporing? Onder welke opsporingsbevoegdheden mag de politie via computers en internet gegevens verzamelen? Welke waarborgen gelden er dan? Kun je dit beter regelen, of duidelijker? En welke checks and balances zijn nodig?”
Daaronder valt ook gegevensvergaring voorafgaand aan het opsporingsonderzoek of een handhavingsactie. De politie kiest steeds vaker voor verstoring in plaats van opsporing. Daarvoor is intelligence vereist. “Kan dat zomaar? Biedt de Wet politiegegevens die basis? Wordt buiten bevoegdheden getreden of gehandeld zonder wettelijke basis, dan is er kans op misbruik van overheidsmacht. Dat wil je in een rechtsstaat reguleren. Dit geldt dus ook voor het werk van de inlichtingendiensten. Het gaat bij de AIVD en de MIVD natuurlijk wel ergens over: onze nationale veiligheid.”
Buitenlandse inlichtingendiensten hacken ook of breken in onze systemen in. Ik heb niet de indruk dat Russen zich zorgen maken of ze daarvoor een wettelijke basis hebben.
“Wij willen misbruik van bevoegdheden door onze overheidsinstanties wél tegengaan. Je kunt daardoor als burger worden getroffen in je persoonlijke levenssfeer: je kunt schade lijden, in de gevangenis belanden, je nationaliteit kan worden ingetrokken. Overheidsacties en gegevensverzameling kunnen verstrekkende gevolgen hebben, zeker in de internationale veiligheidscontext. Dat moet je goed reguleren. De maatstaf van Rusland, China, Polen en Hongarije moeten we hier niet willen.”
Maar als je de vijand niet kunt verslaan omdat je bepaalde bevoegdheden niet hebt, kan dat ook gevaarlijk zijn voor Nederlandse burgers.
“Bepaalde inlichtingenmethoden mogen nu eenmaal niet, ook al lijken ze noodzakelijk. De wetgever beslist welke bevoegdheden de AIVD en de MIVD krijgen en daar moeten ze zich aan houden. Maar binnen de regels kunnen ze al heel veel. De inlichtingen- en veiligheidsdiensten hebben de meest vergaande bevoegdheden van alle overheidsinstanties. Die mogen hacken, tappen, undercover agenten inzetten, het internet afstruinen. De politie heeft tegenwoordig ook een hackbevoegdheid, niet voor bulkinterceptie maar dat komt daar wel dicht in de buurt. Bij recente cryptofoonoperaties zijn naar verluidt een miljard berichten verzameld. Dat is ook bulk, maar gerichter dan bulkinterceptie zoals inlichtingen- en veiligheidsdiensten dat kunnen doen voor meerdere onderzoeken tegelijk.”
Hebben wij het toezicht op de veiligheidsdiensten goed geregeld?
“Ik denk van wel. Dit gebeurt overal anders. Het Verenigd Koninkrijk heeft één toezichthouder voor intelligence van alle overheidsinstanties. Elders is er alleen parlementair toezicht, maar dan bestaat het risico dat je onderdeel wordt van een politiek proces en dat is niet per se beter. Weer andere landen kiezen ervoor dat rechters aan de voorkant de inzet van bijzondere bevoegdheden controleren, maar daar is er vaak weinig toezicht aan de achterkant. Er zijn ook landen waar een klachteninstantie of ombudsman problemen afhandelt. In Nederland hebben we het goed geregeld, met toetsing vooraf, tijdens én achteraf. Controle op de gegevensverwerking door de politie moet de Autoriteit Persoonsgegevens doen, maar die lijkt daar niet heel actief in.”
Als het zo goed werkt, heeft de CTIVD het vast niet druk.
“Er kunnen altijd wel dingen misgaan. Er wordt niet altijd aan alle bepalingen van de wet voldaan, maar vaak is dat niet dramatisch. Stel, iemand heeft gegevens verwerkt maar dit wordt niet goed vastgelegd. Dan rapporteer je daarover: er is iets mis met de logging of bijvoorbeeld de autorisatie, en dan is de bedoeling dat die dienst dat intern snel herstelt. Los van de tekortkoming in logging, kan het bijvoorbeeld wel noodzakelijk en proportioneel zijn geweest. Wel ernstig is het als er geen toestemming is voor de inzet van een bevoegdheid en als dat toch gebeurt. Dat komen we gelukkig zelden tegen. Ik kan mij bijvoorbeeld niet herinneren dat daar een keer sprake van was.”
Bulkinterceptie
Een van de meest controversiële bevoegdheden van de AIVD en de MIVD is bulkinterceptie op de kabel. Dan wordt bij een internetdienstverlener internetverkeer in bulk afgetapt, bijvoorbeeld bij Russische agenten die cyberaanvallen in Nederland voorbereiden of uitvoeren. Dit betreft niet het internetgebruik van alle Nederlanders, benadrukt Oerlemans. “Bulkinterceptie is een bevoegdheid die is gericht op het buitenland en op buitenlandse bedreigingen. Dan moet je denken aan de dreiging dat Russische of Chinese staatshackers op computersystemen in Nederland inbreken om bijvoorbeeld gevoelige gegevens of technologie te stelen. Het is controversieel omdat het gaat om grote hoeveelheden gegevens en daar kunnen ook persoonlijke gegevens bij zitten van mensen waar de diensten niet naar op zoek zijn. Wordt om extra bevoegdheden gevraagd, dan moet je nagaan of er voldoende checks and balances en waarborgen zijn ingebouwd om misbruik van zo’n bevoegdheid tegen te gaan. Soms wordt er in de publieke opinie een verkeerd beeld geschetst van de praktijk van de AIVD of de MIVD. Het is ook mijn taak als bijzonder hoogleraar om te laten zien hoe de Wiv in elkaar zit en in de praktijk wordt gebracht. Tegelijk ben ik gebonden aan geheimhouding.”
Onterechte angst
Enkele dagen voor het interview stuurde het kabinet de Hoofdlijnennotitie wijziging Wiv 2017 en de Nota van Wijziging op de Tijdelijke wet onderzoeken AIVD en MIVD naar de Tweede Kamer. Doel: de AIVD en de MIVD al bij verkenningen ruimte geven voor bulkinterceptie en hacken, dus voordat ze daadwerkelijk gaan inbreken of gegevens aftappen. “Als de diensten breder kunnen intercepteren, weten ze ook beter op welke kanalen op een internetkabel ze moeten zitten om het juiste verkeer te onderscheppen. Ze kunnen dan effectiever en efficiënter werken. De angst die veel mensen hebben – nu zetten ze het in tegen Russen, maar de volgende keer bij mij – vind ik niet terecht. De AIVD en de MIVD houden zich niet bezig met opsporing van criminaliteit. Maar je moet ze wel goed controleren.”
Met deze uitgebreidere bevoegdheden kunnen de diensten beter inlichtingen verzamelen over dreigingen vanuit bijvoorbeeld Rusland gericht op Nederlandse overheden, de IT- en andere infrastructuur. “Het is denkbaar dat Russische inlichtingendiensten voorbereidingen treffen om hier sabotage te plegen op bijvoorbeeld de energievoorziening of om te spioneren. Maar zodra controversiële bevoegdheden worden verruimd, gaan bij veel mensen de nekharen overeind.”
Zelf is Oerlemans positief over deze aanpassingen en heeft hij dat in een rondetafelgesprek in de Tweede Kamer ook toegelicht. “Ik zie de noodzaak ervan vanwege dreigingen op cybersecuritygebied. Daar staan waarborgen tegenover. Sommige toetselementen van de TIB worden overgeheveld naar de CTIVD, die op dat gebied ook bindende bevoegdheden krijgt. Tegen besluiten van de TIB en de CTIVD kan beroep worden ingesteld, zodat de rechter zich erover kan buigen. Belangrijke waarborgen, goed voor de rechtsstaat.”
Vijandige staten en criminelen verzinnen wat nieuws, wij moeten daarop snel een slimme technische reactie op verzinnen…
“Het is een kat-en-muis-spel.”
… en daarnaast zijn er juristen die zeggen dat niet alles wat we zouden willen ook wettelijk kan. Dan sta je al snel met 3-1 achter.
“Tja, dit moet wel door de normale wetgevingsprocessen heen. En terecht. Het kost veel tijd en dat is wel eens lastig. We moeten echt aandacht hebben voor privacy en andere fundamentele rechten, zoals het recht om vermeende onrechtmatigheden bij een overheidsinstantie aan te kaarten.”
Undercoveragenten
Het inlichtingenrecht is een echte niche, die niet veel juristen trekt. Oerlemans: “Ik mag niet zeggen hoeveel mensen er precies bij de AIVD en de MIVD werken, of hoeveel juristen. Maar samen zijn de diensten veel kleiner dan de politie. Bij het ‘gewone’ strafrechtapparaat werken veel meer juristen.”
Voor inlichtingenwerk bestaan al speciale opleidingen, zoals intelligence studies van de Universiteit Leiden, Campus Den Haag. Studenten (maximaal 180 per jaar) krijgen daar les waarbij wordt geput uit verschillende disciplines, zoals rechten, bestuurskunde, politicologie, internationale betrekkingen, geschiedenis en IT. “Tegen sommige besluiten van de diensten kan beroep worden aangetekend bij de Afdeling bestuursrechtspraak, er zijn dus ook al wel rechters die ervaring hebben met de Wiv, zoals met inzageverzoeken of met procedures over de verklaring omtrent verdrag uit de Wet veiligheidsonderzoeken. Ook zijn er enkele advocaten met kennis van de Wiv.”
In wetenschap en onderzoek zouden wel meer juristen mogen zijn die zich in deze onderwerpen verdiepen, zegt Oerlemans. Nu is dat een handjevol. Zij zouden ook onderzoek kunnen doen naar inlichtingenvergaring door andere instanties dan AIVD en MIVD, zoals onderdelen van Defensie, bijvoorbeeld voor de uitvoering van missies. Gemeentes voeren ook online openbronnenonderzoek (‘open source intelligence’) uit en zetten undercoveragenten in om inlichtingen te vergaren, bijvoorbeeld over lokale criminaliteit. “Dan zit je in het bestuursrecht, wat ik in mijn studie niet zo boeiend vond maar nu steeds interessanter begin te vinden. De bevoegdheden en waarborgen die daarbij horen zie ik niet bepaald terug in de Awb. Legaliteit, het vastleggen van die bevoegdheden, gegevensverwerking – is dat goed geregeld? Rechtswetenschappers zouden dat kunnen uitzoeken. Er zijn twijfels of inlichtingenwerk door gemeentes professioneel en rechtmatig verloopt. Dat heeft wel geleid tot Kamervragen, maar daar zijn wat mij betreft geen adequate antwoorden op gekomen en het heeft niet tot verandering geleid. De wetgever zou hier de grenzen moeten stellen en dit niet moeten overlaten aan gemeentes of simpelweg de bestaande praktijk in wetgeving codificeren. Een debat is noodzakelijk en daarna worden de grenzen van datahonger met bijbehorende checks and balances bepaald.”
Ransomware
Toch lijken de grote zorgen van Oerlemans ook op andere plekken te liggen, zoals bij ransomware. “Deze kwaadaardige software is niet alleen een enorm probleem door de infectie waardoor organisaties hun computersystemen niet meer kunnen gebruiken, maar ook omdat er wordt gedreigd data van die organisaties te publiceren. Dat is mij een doorn in het oog, en het blijft maar gebeuren.”
De vraag die Oerlemans stelt is: wat doen wij in Nederland om ransomware-aanvallen te voorkomen? Wiens verantwoordelijkheid is dat? “In het VK en de VS hebben de inlichtingen- en veiligheidsdiensten op dit punt een taak. Het zou goed zijn als ook hier tijdig inlichtingen worden vergaard dat een bedrijf of organisatie het doelwit is van een aanval. Alleen beveiligingsadvies geven vind ik niet genoeg. Mogelijk is daar een rol weggelegd voor de AIVD. In Nederland hebben we het daar niet eens over. Ik weet niet of we het voldoende serieus nemen. Maar als je wordt getroffen, is de impact wel gigantisch.”
