Onze inlichtingen- en veiligheidsdiensten, de AIVD en MIVD, verzamelen grote hoeveelheden data. Daarmee wordt hun werk steeds technischer. Hoe moet de toezichthouder op die diensten, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), dat bijbenen? Met een slimme combinatie van kennis, thema-onderzoek, steekproeven én systeemtoezicht. De ondersteuning van een speciale ICT-unit is daarbij onontbeerlijk.
Telefoongesprekken, e-mails, gebruiksgegevens, passagiersinformatie. Het zijn maar een paar voorbeelden van gegevens die de Algemene Inlichtingen en Veiligheidsdienst (AIVD) en haar militaire evenknie, de MIVD, verzamelen. Of zij dit mógen, is sterk afhankelijk van de wet. Zodra het verzamelen van gegevens verder gaat dan wat openbaar te vinden is, hebben de diensten veelal toestemming nodig van de minister van Binnenlandse Zaken en Koninkrijksrelaties. Dat geldt bijvoorbeeld voor het opvragen van gegevens bij telecomproviders, de inzet van de hackbevoegdheid of het verzamelen en onderzoeken van datastromen uit de ether of van de kabel.
“Wij zijn nadrukkelijk geen privacywaakhond. We houden toezicht in het belang van zowel de nationale veiligheid, als de bescherming van de grondrechten van burgers.”
De CTIVD
Gegevens verzamelen en verwerken vormt een steeds groter deel van het werk van onze geheime diensten. De CTIVD houdt toezicht op de rechtmatigheid van die verwerving en verwerking. “Wij zijn nadrukkelijk geen privacywaakhond. We houden toezicht in het belang van zowel de nationale veiligheid als de bescherming van de grondrechten van burgers. We kijken dus niet of een bepaalde gegevensverzameling wenselijk of nodig is, dit doet de minister. Wij kijken of de gegevensverzameling in overeenstemming met de wet wordt uitgevoerd én of er daarna juist met die gegevens wordt omgesprongen”, legt Frank Brasz uit. Hij is ICT-adviseur bij de ICT-unit van de CTIVD. De ICT-unit ondersteunt het toezicht op dataverwerving en -verwerking. In de vier jaar dat het team nu bestaat, heeft het de technische expertise van de CTIVD naar een hoger niveau getild.
De technische vlucht voorwaarts
Als kleine, gespecialiseerde toezichthouder is het een uitdaging om toezicht te houden op de steeds verder uitdijende datavergaring van de AIVD en MIVD. “We zijn binnen de CTIVD met twintig mensen, een onderzoeksstaf van juristen en vier technische specialisten van de ICT-unit. Alle medewerkers samen doorgronden complexe technische problemen en toetsen die aan de Wet inlichtingen en veiligheidsdiensten (Wiv) uit 2017. Zo reconstrueren we bijvoorbeeld geautomatiseerde data-analyses van de diensten aan de hand van logbestanden. Met die informatie kunnen we beoordelen of de geanalyseerde data rechtmatig verkregen is.”
Het is de ICT-unit die écht de technische systemen van de geheime diensten induikt. En die naast het beleid ook de loggegevens van de AIVD en MIVD moet controleren en doorgronden.
Het is de ICT-unit van vier man, die de technische systemen van de geheime diensten écht induikt. En die bijvoorbeeld controleert of zij goed met hun hackbevoegdheid omgaan. Brengen ze bijvoorbeeld geen schade toe aan de systemen die ze hacken? Brasz: “Door onze specifieke samenstelling van mensen hebben we genoeg kennis om de diensten op belangrijke IT-kwesties te doorgronden. Dan gaat het om kennis over de netwerken en applicaties, over het verwerven en verwerken van data, over de kwaliteit van data zelf én over bijzondere bevoegdheden zoals hacken. Daarnaast schakelen we regelmatig onze kenniskring in: een groep academici met een juridische en technische achtergrond die kritisch meedenkt met onze onderzoeken.”
De werkwijze
De CTIVD heeft de juiste technische expertise in huis, maar hoe zetten ze die in? “Dat is het beste uit te leggen aan de hand van het voorbeeld datareductie”, vindt Brasz. “Datareductie betekent kortweg het verwijderen en vernietigen van data. De diensten moeten volgens de wet hun data binnen een bepaalde periode verwerken, op relevantie beoordelen en gegevens die niet relevant zijn of hun betekenis hebben verloren, verwijderen en vernietigen. Je kunt je voorstellen dat het gaat om ontzettend veel gegevens. Wij moeten erop toezien dat die data binnen de juiste periode vernietigd worden. Daarvoor moeten we weten welke gegevens zijn verzameld, hoe ze zijn opgeslagen en of ze wellicht gedupliceerd zijn. Wij moeten ook weten of filters goed ingesteld zijn: worden de juiste data verzameld? Met onze kennis kunnen we hun systemen onderzoeken.”
“Wij kijken sinds twee jaar live mee met de diensten. Dat onderzoek baseren we mede op risico’s die we signaleren. Of we onderzoeken zaken waar de maatschappij of de overheid vragen over stellen.”
Tegelijkertijd gaat het om zóveel data, dat er ook een belangrijke rol is voor systeemtoezicht. Dit is toezicht dat zich mede richt op de zelfregulerende systemen binnen een organisatie. Brasz: “In de praktijk betekent dit dat wij de ingerichte processen controleren. De diensten moeten daarom hun processen van dataverzameling en -verwerking goed inrichten. Met checks and balances, feedbackloops en een gedegen interne controle. Dit alles moet weer vastgelegd zijn in beleid, werkinstructies en logs, want alleen dan kunnen we die processen ook goed controleren.”
De voortgang
Systeemtoezicht wordt steeds belangrijker, maar ook thematisch onderzoek blijft onderdeel van het werk van de CTIVD. “Wij vullen dat sinds twee jaar in door live mee te kijken met de diensten. Het thema baseren we mede op risico’s die we signaleren, zoals met datareductie. Of we onderzoeken zaken waar de maatschappij of de overheid vragen over stellen, zoals het juiste gebruik van de hackbevoegdheid. Onze bevindingen en adviezen delen we in rapporten die de verantwoordelijke minister(s) aan het parlement aanbieden. Wij publiceren ze ook op onze website. Bijzonder zijn onze voortgangsrapportages die we mede op verzoek van het parlement en de minister(s) maken naar aanleiding van de Wet op de inlichtingen- en veiligheidsdiensten 2017. Er zijn er inmiddels drie verschenen. Daarin beschrijft de CTIVD hoe ver de diensten zijn met de implementatie van de nieuwe wet en geven we adviezen. Een voorbeeld is ons advies uit 2019 over het filteren van data. De diensten verzamelen veel irrelevante gegevens als ze grote hoeveelheden communicatie onderscheppen of van de kabel aftappen. Ons advies luidde dat zij beter moeten filteren bij de verzameling en tijdens het onderzoek niet-relevante gegevens direct moeten vernietigen.
Vaak worden onze adviezen overgenomen door de minister. Zo niet, dan volgt er een debat in de Tweede Kamer en wordt het overgelaten aan het democratisch proces. Zodra een advies is overgenomen, betekent dit dat de diensten hun werkzaamheden aanpassen. Een mooie bijkomstigheid van deze rapportages is dat ze belangrijke input zijn voor de evaluatie van de Wiv die in mei van dit jaar is begonnen.”
De toekomst
Over het algemeen zorgen de rapporten van de CTIVD ervoor dat de geheime diensten rechtmatiger handelen. “Zo zien we dat zowel de AIVD als MIVD hun interne toezicht veel beter voor elkaar hebben sinds de eerste voortgangsrapportage uit 2018”, stelt Brasz. “Maar ze zijn er nog niet. Op papier staat bijvoorbeeld goed omschreven hóe hun interne controle eruit moet zien, maar in de praktijk hebben ze dat nog niet zo geregeld. Daarover zijn we continu met hen in gesprek. En hoe beter hun interne controle is, hoe beter wij ons systeemtoezicht kunnen uitvoeren. We houden alleen grip op de groeiende databerg als we niet alleen in de data en loggegevens van de dienst kunnen duiken, maar ook gebruik kunnen maken van hun interne controlesystemen.”
