Er zijn tekortkomingen bij de inzet van de wettelijke hackbevoegdheden van de AIVD en de MIVD. Dit concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een rapport dat op 25 april 2017 is gepubliceerd.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hebben een wettelijke bevoegdheid om te hacken, d.w.z. binnen te dringen in geautomatiseerde werken. Deze bijzondere bevoegdheid staat in artikel 24 van de Wet op de inlichtingen en veiligheidsdiensten 2002. De CTIVD heeft onderzocht of de AIVD en de MIVD de hackbevoegdheid op een rechtmatige en zorgvuldige wijze hebben uitgeoefend. Het onderzoek beslaat de periode 1 januari 2015 tot en met 17 maart 2016.
De CTIVD heeft in haar onderzoek naar de hackbevoegdheid bij een aantal werkwijzen van de AIVD en de MIVD tekortkomingen gesignaleerd. De belangrijkste tekortkoming is dat deze diensten structureel nalaten gegevens te vernietigen op momenten dat dit wel zou moeten. Hiermee handelen de diensten onrechtmatig.
Tekortkomingen bestaan volgens de CTIVD ook in de omgang met onbekende kwetsbaarheden, zogenaamde ‘zero day’s’. De werkwijze en de relevante afwegingen voor het al dan niet melden daarvan zijn intern niet uitgewerkt en vastgelegd. Bovendien vindt van de gemaakte afwegingen geen centrale verslaglegging plaats. Hierdoor is interne controle en extern toezicht op de gemaakte afwegingen niet goed mogelijk. Deze werkwijze is onzorgvuldig.
Ook de toestemmingsprocedure voor verlengingen van de inzet van de hackbevoegdheid schiet tekort, zo blijkt uit het CTIVD-rapport. Door de inrichting van de administratieve processen wordt bij de AIVD niet de laatste stand van zaken in een onderzoek in de onderbouwing van het verzoek om verlenging van de toestemming meegenomen. Dit is onzorgvuldig. Bij de MIVD wordt de verlenging niet ter goedkeuring aan de minister voorgelegd. Daardoor kan het gebeuren dat de operatie na verloop van tijd een ander verloop of karakter krijgt dan waarvoor de minister aanvankelijk toestemming heeft gegeven. Dit wordt in één geval als onrechtmatig beoordeeld.
De CTIVD wijst in het rapport ook op een aantal incidentele onrechtmatigheden. Dit betrof het te algemeen formuleren van het target en/of de geautomatiseerde werken waarop de inzet was gericht. Bovendien is in een beperkt aantal gevallen buiten de reikwijdte van de gegeven toestemming getreden. In één geval heeft de MIVD niet-geëvalueerde gegevens verstrekt aan een buitenlandse dienst zonder de vereiste ministeriële toestemming hiervoor.
Bronnen
Persbericht CTIVD 25 april 2017.
Rapport CTIVD nr. 53 over de inzet van de hackbevoegdheid door de AIVD en MIVD, 8 maart 2017.
