Amma
door
Lina Iris Viktor
Sinds 1 juli 2024 werken de AIVD en MIVD naast de Wiv 2017 ook met een Tijdelijke wet cyberoperaties en bulkdatasets. Eind 2025 verscheen een invoeringstoets van deze Tijdelijke wet. Daaruit blijkt dat de invoering van die wet haperde, dat er nog de nodige knelpunten liggen maar dat er wel aan slagkracht is gewonnen door de AIVD en MIVD. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft zelfstandig haar bevindingen aan de Tweede Kamer gestuurd. Er zijn nog een aantal knelpunten op te lossen voor een wetsvoorstel van een definitieve nieuwe Wiv.
Aanpassing aan een veranderende dreiging
De aanleiding voor de Tijdelijke wet cyberoperaties en bulkdatasets ligt in de toegenomen digitale dreiging vanuit statelijke actoren. Cyberaanvallen, spionage en digitale sabotage door buitenlandse mogendheden maken volgens het kabinet een andere manier van werken noodzakelijk. De wet maakt het onder meer eenvoudiger om gebruik te maken van kabel- en bulkinterceptie, hacken en het onderscheppen van communicatie.
Tegelijkertijd wijkt het toezicht deels af van de bestaande systematiek in de Wiv 2017. In plaats van uitsluitend voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB), is bij sommige bevoegdheden gekozen voor bindend toezicht door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) tijdens de uitvoering. Ook is een nieuwe mogelijkheid ingevoerd voor de AIVD en MIVD om tegen besluiten van toezichthouders in beroep te gaan bij de Raad van State. Dat is in deze periode 1 keer gebeurd.
Beperkte toepassing in de praktijk
De invoeringstoets bevestigt wat al eerder bekend was: de wet kon in de eerste periode slechts gedeeltelijk ten uitvoer worden gebracht. Dat had vooral te maken met de huisvestingsproblemen bij de CTIVD. Het duurde tot 1 oktober 2025 voordat de huisvesting en personele uitbreiding gereed was. De CTIVD was hierover ‘not amused’ zo blijkt uit de brief. “De CTIVD vindt het vanuit haar ervaring met de Tijdelijke wet van belang te wijzen op de noodzakelijke realisatie van belangrijke randvoorwaardelijke zaken bij de toezichthouder, zoals budget, huisvesting, ICT en personele capaciteit. Bij de inrichting van de toezichthoudende instantie in het kader van de herziening dient dan ook aandacht te worden besteed aan de toekenning en realisatie van deze benodigde randvoorwaardelijke kwesties.”
Slechts een beperkt aantal bevoegdheden kon hierdoor volledig worden ingezet. Dat betrof het verkennen bij de hackbevoegdheid, het vaststellen van een nieuwe eindtermijn voor het gebruik van bulkdatasets, de inzet van kabelinterceptie en de inzet van de stomme tap . Bij een stomme tap wordt alle communicatieverkeer realtime verzamelt, maar niet de inhoud van de communicatie. Met andere bevoegdheden, zoals het verkennen bij bulkinterceptie, de beschrijving van technische risico’s bij de inzet van de hackbevoegdheid, het bijschrijven voor de hackbevoegdheid, tappen en bepaalde telecommunicatiegegevens is minder ervaring opgedaan, vooral door huisvestingsproblemen van de CTIVD. Het bijschrijven van bepaalde bevoegdheden is eenvoudiger geworden in de Tijdelijke wet en betekent dat de diensten eenvoudiger toegang verkrijgen tot bijvoorbeeld computers, telefoons, netwerken en servers. Ze hoeven niet langer per geval toestemming te krijgen, maar kunnen het ‘bijschrijven’ bij een eerder verkregen toestemming.
Effecten
De effecten van de toepassing van de bevoegdheden zijn in de praktijk dus ook beperkt. Binnen de diensten is aan medewerkers gevraagd wat zij merken van de effecten en dan komen er behoorlijk wat algemene opmerkingen voorbij in de invoeringstoets. ‘De wet creëert toepassingsmogelijkheden passend bij de dreiging die uitgaat van landen met een offensief cyberprogramma’, ‘er is nadrukkelijk oog geweest voor de effecten van twee wettelijke regimes’, ‘in die gevallen waar de wet is ingezet, heeft dit bijgedragen aan de doelstellingen van de Tijdelijke wet’, de toepassing van de bepaling voor bulkinterceptie heeft het zicht op statelijke actoren heeft vergroot’, ‘het effectief kunnen uitvoeren van kabelinterceptie geeft de diensten meer mogelijkheden om gekende en ongekende dreigingen te signaleren’ en ‘het langduriger kunnen gebruiken van bulkdatasets heeft positief bijgedragen aan de operationele slagkracht’.
Bulkdatasets
De CTIVD beschrijft ook positieve ervaring met het vaststellen van nieuwe eindtermijnen van bulkdatasets. In de Wiv 2017 was de eindtermijn voor niet-relevante gegevens van bulkdatasets anderhalf jaar en werd periodiek bepaald of de gehele bulkdataset moest worden vernietigd. In de Tijdelijke wet is dit aangepast en kunnen de diensten, na goedkeuring door de CTIVD, vanwege dringende redenen met het oog op de nationale veiligheid bulkdatasets langer bewaren en gebruiken.
Het bindend toezicht bij die vaststelling ziet de CTIVD als een belangrijke waarborg, die meer maatwerk biedt dan een vaste wettelijk bewaartermijn. Een waarborg die in een nieuwe Wiv verankerd zou moeten worden, aldus de CTIVD. Een lastig punt zijn nog wel de dynamische bulkdatasets, schrijft de CTIVD. Dit zijn bulkdatasets die bijvoorbeeld periodiek worden aangevuld met actuelere gegevens, waardoor de set wordt geüpdatet. Hier zou in de nieuwe Wiv meer duidelijkheid over moeten komen, stelt de CTIVD.
Het is niet het enige punt waarover de CTIVD meer duidelijkheid zou willen hebben in de voorstellen voor een nieuwe Wiv. De CTIVD meldt dat ‘diverse begrippen in de Tijdelijke wet onvoldoende zijn afgebakend in de wet of in de parlementaire stukken waardoor bij de eerste toepassing van deze begrippen discussie is ontstaan tussen betrokken partijen’. Onduidelijkheid over het begrippenkader, zoals de CTIVD het noemt, is niet terug vinden in de bijdrage van de AIVD en MIVD. Zij melden in de invoeringstoets, ‘de bevoegdheden konden onvoldoende frequent worden ingezet om conclusies te kunnen trekken over de knelpunten in de uitvoeringspraktijk’.
Trage toetsing frustreert operaties
Geen invoeringstoets zonder knelpunten natuurlijk, zeker als het zulke ingewikkelde materie betreft als deze Tijdelijke wet.
Een belangrijk knelpunt is de tijd die de TIB nodig heeft om toestemming te geven voor bepaalde operaties. In enkele gevallen duurde dat langer dan vier weken. Dat is problematisch in het cyberdomein, waar kansen zich vaak maar kort voordoen. Het kabinet pleit daarom voor een wettelijke beslistermijn, zodat snelheid en zorgvuldigheid beter in balans worden gebracht. Die aanpassing moet onderdeel worden van de herziening van de Wiv 2017.
Filtering Netflix en YouTube verdwijnt
Een ander knelpunt zijn de streamings- en downloaddiensten. Niet de series of lollige video’s an sich die ze verspreiden, maar de mogelijkheid om ze ook voor ‘comments’, verborgen boodschappen of zelfs verborgen communicatie te misbruiken. Bij bulkinterceptie stuitten de diensten ook op dit materiaal. Bij de Tijdelijke wet wordt er achteraf gefilterd, terwijl er onder het regime van de Wiv 2017 vooraf gefilterd wordt. Netflix, YouTube en andere diensten werden, zeg maar, niet binnengehaald door de diensten. Een toezegging van de toenmalige minister van Binnenlandse Zaken en Koninkrijksrelaties.
Bij de invoering van de Tijdelijke wet is gebleken dat de systemen niet op deze twee verschillende werkwijzen kunnen worden ingericht, meldt de minister nu. Bovendien is filtering vooraf niet wenselijk, aldus de minister, omdat inlichtingen over kwesties zoals jihadistisch en/of rechtsextremistisch terrorisme dan niet worden ontdekt.
Wachten op de wetswijziging (januari 2027) is niet opportuun stelt de minister, en ‘daarom willen wij verduidelijken dat het niet meer negatief filteren van streamings- en downloadverkeer, zoals dat in de Tijdelijke wet is vastgelegd, nu ook gaat gelden voor onderzoeken die niet vallen onder de Tijdelijke wet’. De Tweede Kamer kan een technisch briefing aanvragen, maar in principe wil de minister deze beleidswijziging na het volgende debat over de inlichtingen- en veiligheidsdiensten gaan uitvoeren.
Geautomatiseerde data-analyse
Een ander ingewikkeld knelpunt blijft de geautomatiseerde data-analyse op bulkinterceptiedata. Deze blijkt in het kader van de Tijdelijke wet nog niet te hebben plaatsgevonden. In de invoertingstoets schrijven de ministers dat ‘op dit moment over de toepassing ervan een verschil van inzicht bestaat tussen de TIB en CTIVD enerzijds en de beide diensten anderzijds’. De CTIVD bevestigt dit in haar brief en meldt erbij dat ‘de CTIVD het voortouw neemt om te proberen te komen tot een oplossing in deze kwestie’. De kwestie speelt al langer en wordt door de CTIVD hier op pagina 13 in al zijn complexiteit behoorlijk uit de doeken gedaan.
Een van de kwesties is dat het in de praktijk lastig is een duidelijk onderscheid te maken tussen ‘metadata’ en ‘inhoud’, met name bij internetgerelateerde data, aldus de CTIVD. En precies dit speelt bij de geautomatiseerde data-analyse op bulkinterceptiedata.
Nog geen definitief oordeel
Door de beperkte toepassing van de Tijdelijk wet is het nog te vroeg om definitief vast te stellen of de wet haar doel volledig bereikt, zo concluderen de ministers. Er is geen compleet beeld van de consequentie voor de uitvoering. Daardoor kan er geen sluitend antwoord worden gegeven op de vraag of het doel van de Tijdelijke wet, te weten meer operationele slagkracht en wendbaarheid met behoud van gepaste waarborgen, in voldoende mate is behaald, aldus de ministers. Potentieel blijft de Tijdelijk wet een gepast antwoord op de toenemende dreiging vanuit statelijke actoren, een stelling die de ministers innemen op basis van de tot op heden wel behaalde positieve effecten. De knelpunten zullen worden meegenomen in het voorstel voor de nieuwe Wiv of nu al worden aangepast