Helaas ligt de waarheid andermaal genuanceerder dan BoF op haar website wil doen geloven. Maar nu zijn de gevolgen nauwelijks te overzien. Nederland is op het punt beland dat het toezicht op de diensten uitdraait op een regelrecht risico voor de nationale veiligheid.

Twee jaar geleden oordeelde de CTIVD dat de AIVD in enkele gevallen datasets verkregen met inzet van de hackbevoegdheid moest vernietigen. Door de hackbevoegdheid in te zetten hebben de diensten de afgelopen jaren belangrijke inlichtingen verzameld over onder andere Nederlandse uitreizigers naar ISIS-gebied, aanslagdreigingen tegen Nederlandse militaire eenheden in het buitenland, moordaanslagen in Nederland door de Iraanse geheime dienst en het gebruik van chemische wapens door het Syrische regime tegen de eigen bevolking.

Weigering kabinet

Voor het uitvoeren van deze hacks hadden de diensten het juiste juridische pad bewandeld, zo oordeelde de toezichthouder. De juiste waarborgen waren in acht genomen, toestemming was verleend door de Toetsingscommissie Inzet Bijzondere Bevoegdheden en de diensten hadden zo gericht mogelijk gewerkt.

Maar, zo oordeelde de CTIVD, de diensten hadden de data die de hacks hadden opgeleverd, vervolgens niet op de juiste manier op relevantie beoordeeld. Deze beoordeling is een belangrijke waarborg in de wet die ervoor moet zorgen dat de diensten alleen voor de taakuitvoering strikt noodzakelijke inlichtingen verzamelen en verwerken.

 De diensten hadden enkele bulkdatasets integraal relevant verklaard: de hack op de targets was immers rechtmatig en gericht uitgevoerd, en het bleek dat de datasets belangrijke informatie bevatten. De toezichthouder stelt echter dat zo’n integrale relevantiebeoordeling een „kunstgreep” is en daarmee onrechtmatig, en beval de verantwoordelijke ministers aan de datasets te vernietigen.

Deze aanbeveling van de toezichthouder namen de ministers niet over. Zij beargumenteerden dat de datasets immers rechtmatig en gericht waren vergaard en dat duidelijk was gebleken dat zij relevante inlichtingen bevatten.

Wat inderdaad niet was gebeurd, was een afzonderlijke beoordeling van álle data binnen de dataset. Het is voor de diensten namelijk ondoenlijk om byte voor byte de relevantie van een bulkdataset te beoordelen. Maar juist daarom bevat de nieuwe Wet op de Inlichtingen- en veiligheidsdiensten waarborgen aan de voorkant, zoals het gerichtheidscriterium, datareductie en toestemmingsverlening door een onafhankelijke commissie.

Waarborgen waar de diensten zich aan houden, zo stelt de toezichthouder. Dat de toezichthouder alsnog rechtmatig verkregen inlichtingen, waarvan het operationele belang boven alle twijfel verheven is, vernietigd wil zien, is dan ook even onbegrijpelijk als onverantwoord.

Klacht snel gehonoreerd

De wet bepaalt dat de verantwoordelijke ministers bevindingen van de toezichthouder beargumenteerd naast zich neer kunnen leggen, zoals in dit geval gebeurde. Toezichthouder en privacyclub BoF accepteerden dit echter niet, en wat volgde was een ongekend één-tweetje: de privacyclub eiste in een klacht alsnog de vernietiging van de datasets en de toezichthouder achtte de klacht per kerende post gegrond.

Want in de klachtenregeling velt de toezichthouder wél een bindend oordeel. Een bizar misbruik van het toezichtstelsel door de toezichthouder zelf, waardoor de diensten gedwongen werden essentiële inlichtingen alsnog te vernietigen.

In de wandelgangen van een openbaar congres over twintig jaar MIVD sprak ik een terneergeslagen leidinggevende van de gezamenlijke hackafdeling van de diensten. Jaren van zeer secuur en kennisintensief werk, van uiterst gerichte hackoperaties werden teniet gedaan.

Gefrustreerde staatshackers

Door de uitwerking van het nieuwe toezichtstelsel in de praktijk is de sfeer nu zo, dat de schaarse hackers van de diensten aan sommige operaties niet eens meer willen beginnen. ‘Kansloos’, is het oordeel al bij voorbaat. Daarmee wordt niet gedoeld op de technische uitvoerbaarheid, maar de tegenwerking vanuit het toezicht.

 En, verzekerde de leidinggevende mij, door precisiewerk van de diensten zat er ‘geen Nederlandse byte’ in de datasets. Het is een raadsel waar de stelling van BoF vandaan komt dat de datasets „de gegevens” van „miljoenen burgers” bevatten. Maar het verkoopt goed.

Inlichtingendiensten beschikken over bijzondere bevoegdheden die een grote inbreuk kunnen maken op de privacy van personen. Daarom is toezicht op de diensten niet alleen goed, het is een democratische noodzaak.

Het huidige toezichtstelsel zorgt er inmiddels echter voor dat Russische staatshackers, Iraanse moordcommando’s en bermbommakers een stukje veiliger hun werk kunnen doen. Voor onze waterkeringen, gevluchte dissidenten en uitgezonden militairen geldt dat helaas niet.

*) Hugo Vijver is freelance publicist inlichtingen & veiligheid. Hij is oud-medewerker van de AIVD, de MIVD en Defensie. Dit artikel verscheen eerst bij NRC