'Onschuldige burgers hebben niet zoveel te vrezen'

Interview Ronald Prins, mede-eigenaar van beveiligingsbedrijf Fox-IT

Alweer acht geleden, in 2008, stuitte geheime dienst AIVD in onderzoeken naar doelwitten op een probleem. Hoewel dataverkeer via internetkabels zich rap uitbreidde, mocht de dienst niet zomaar internetkabels aftappen. In een intern rapport sprak de AIVD destijds dan ook over 'uitdagingen' die het internet met zich meebracht en hoe die 'aangepakt' moesten worden.

Volgend jaar moet die handicap van de inlichtingendienst weggenomen zijn. Dan, eindelijk, krijgen AIVD en MIVD de mogelijkheid om internetverkeer af te gaan tappen. Het is een lang proces geweest. Inmiddels vijf jaar zijn juristen van Binnenlandse Zaken en Defensie aan het schrijven aan een wet die de verruiming mogelijk moet maken. De onthullingen van Snowden hielden de zaak op, er kwam veel kritiek op een eerdere conceptversie en vrijdag lekte het wetsvoorstel uit via de Volkskrant. Daaruit blijkt voor het eerst hoe de inlichtingendiensten de nieuwe mogelijkheden concreet willen gebruiken.

Ze gaan tot 2020 vier grote 'toegangspunten' tot het internet aftapbaar maken. Met een onderzoeksvraag (bijvoorbeeld: de communicatie tussen Nederland en Syrië) is het mogelijk om een jaar lang de metadata van zo'n toegangspunt op te slaan. Dat zijn data die inzichtelijk maken wie met wie communiceert. Maar de AIVD zou ook alle communicatie tussen Amsterdam en Parijs kunnen gaan aftappen, of de communicatie tussen een bepaald gebied en een chatapp zoals WhatsApp. Zijn die mogelijkheden echt nodig om de taken goed uit te voeren? En in hoeverre worden onschuldige burgers hierdoor geraakt?

Nuttig

Ronald Prins is mede-eigenaar van beveiligingsbedrijf Fox-IT. Zijn bedrijf werkt onder andere voor de Nederlandse overheid en de AIVD. Eerder werkte Prins bij de inlichtingendienst. Privacy-organisaties laken de omvangrijkheid van de wet, Prins noemt de gekozen methode juist 'ontzettend goed' en 'nuttig' na al die jaren.

Volgens hem is het aftappen van knooppunten in het internetverkeer de 'enige realistische manier' om effectief zicht te krijgen op communicatie die nu voor de diensten verborgen blijft. Prins: 'Uiteindelijk gaat het grootste gedeelte van het internetverkeer naar de grote Amerikaanse providers. Het is dus logisch dat je daar gaat zitten waar zij ook zitten, op het Amsterdam internetknooppunt AMS-IX bijvoorbeeld.'

AIVD mag straks online veel meer. Wat gaan ze daarmee uitspoken?

AIVD en politie krijgen meer bevoegdheden op internet. 'Herstelwetgeving' of een risico voor onze privacy?

Achterdocht over inlichtingenwet is gezond

Het land heeft behoefte aan effectieve opsporing van terroristen, maar niet aan een alwetende overheid. Lees hier het commentaar.

Waarom is dat zo belangrijk?

'Targets van de dienst zijn op een andere manier gaan communiceren, via allerlei vage clubs op internet. Voorheen vroeg de dienst bij bijvoorbeeld KPN telefoon- en internetgegevens van een target op. KPN deed in feite de selectie. Nu moeten de diensten dat zelf doen. Internetproviders kijken niet naar wat klanten over het netwerk sturen. Het is logisch dat de AIVD daar zelf apparatuur neer gaat zetten.'

De nieuwe inlichtingenwet uitgelegd in 2 minuten www.volkskrant.nl/kijkverder

Dat betekent ook dat de communicatie van onschuldige burgers door de zeef van de inlichtingendienst kan gaan.

'Ja, maar dat is toch niet wezenlijk anders dan wat Nederland met de bewaarplicht voor telefoongegevens deed? Van elk telefoongesprek werden de metadata bewaard. Straks gebeurt dat ook voor internetgegevens. En dan ook nog met een bepaald doel.'

Welke mensen moeten vrezen voor de nieuwe bevoegdheden?

'Alleen kwaadwillenden. Onschuldige burgers hoeven gezien onze rechtsstaat niet zoveel te vrezen. Nu al kan de AIVD door middel van vorderingen gegevens opvragen bij de Belastingdienst en bij andere Nederlandse partijen die veel data bewaren. Maar bij wie moet je zijn als verdachten via WhatsApp en Signal contact hebben? Dus lijkt het me gerechtvaardigd dat de diensten zeggen: dan gaan we die gegevens zelf bewaren en creëren we een soort bewaarplicht voor internetgegevens. Mits ze dat doelgericht doen en niet maar wat gaan speuren, lijkt me daar niets mis mee.'

Beeld Julius Schrank / de Volkskrant

Uit ervaringen in de Verenigde Staten maar ook in Frankrijk blijkt dat hoe meer data diensten bewaren, hoe moeilijker het is om de juiste mensen eruit te filteren. Door de hooiberg groter te maken, wordt de kans dat je de naald vindt moeilijker.

'Dat is een terecht punt. En daarom moeten meerdere aspecten bij de inlichtingendiensten verbeteren, zoals onder meer de internationale samenwerking. Maar doordat de AIVD nu geen internetverkeer mag tappen, loopt hij per dag verder achter. Tappen van internetverkeer is noodzakelijk.'

Gericht tappen is iets anders dan het praktisch permanent monitoren van grote hoeveelheden internetverkeer, zoals mogelijk wordt met het nieuwe voorstel.

'Vergeet niet dat tappen van glasvezelkabels gigantisch duur is. Dan bedoel ik niet het simpel aftakken en opslaan van alle data, maar het eruit pikken van de juiste gegevens. Daarvoor is speciaal geprogrammeerde apparatuur nodig die de juiste pakketjes uit de kabel tilt, ze analyseert en ze misschien ook direct naar het hoofdkantoor van de dienst transporteert. Dan is 35 miljoen euro voor vier aftaplocaties, zoals in het voorstel staat, niet veel.'

Een ander onderdeel van de wet is dat de diensten ook onschuldigen kunnen hacken om bij een doelwit uit te komen.

'Ik snap waarom ze dat in de wet hebben gezet. Soms is het nu eenmaal noodzakelijk om naar de zwakke schakel in de omgeving van een doelwit te zoeken. Of bijvoorbeeld eerst een netwerkserver te hacken om bij iemand uit te komen.'

En is het niet zorgelijk dat de diensten daarbij gebruik maken van kwetsbaarheden in de beveiliging van telefoons of laptops, terwijl ze tegelijkertijd zeggen dat ze er juist zijn om de digitale veiligheid te vergroten?

'Er zitten zoveel kwetsbaarheden in onze computer en smartphones, dat we er niet veiliger van worden als de AIVD publiek maakt hoe ze inbreken. Vaak zullen ze ook helemaal geen onbekende kwetsbaarheden nodig hebben. Daarnaast geeft deze nieuwe wet de AIVD de mogelijkheid om eindelijk eens op internet te kijken wat andere inlichtingendiensten op ons internet uitspoken. Daarmee vergroten ze dus wel degelijk de digitale veiligheid.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.