Publicatie van rapport 53 over de inzet van de hackbevoegdheid

De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben met hun brief van 25 april 2017 het toezichtsrapport over de inzet van de hackbevoegdheid door de AIVD en de MIVD (nr. 53) doorgestuurd aan de beide Kamers der Staten-Generaal.  

Het onderzoek

De CTIVD heeft onderzocht of de AIVD en de MIVD  de hackbevoegdheid op een rechtmatige en zorgvuldige wijze hebben uitgeoefend. Het onderzoek beslaat de periode 1 januari 2015 tot en met 17 maart 2016.

Algemeen beeld

De AIVD en de MIVD hebben de wettelijke bevoegdheid te hacken, dat wil zeggen binnen te dringen in geautomatiseerde werken. In dit toezichtsrapport komt de CTIVD tot de conclusie dat de AIVD en de MIVD doorgaans weloverwogen te werk gaan bij de inzet daarvan. Hacken blijkt een effectieve bevoegdheid, in die zin dat de inzet in de regel heeft geleid tot resultaten in het belang van de nationale veiligheid, die niet op een andere manier hadden kunnen worden behaald.

De AIVD en de MIVD zijn in het overgrote deel van de tientallen onderzochte hackoperaties rechtmatig te werk gegaan. De diensten zijn zich in het algemeen bewust van de ernstige inmenging in de rechten en de belangen van betrokkene(n) die de inzet van de hackbevoegdheid met zich mee kan brengen. Daarbij moet in eerste plaats worden gedacht aan het recht op de bescherming van de persoonlijke levenssfeer, maar ook aan het belang van het bewaken van de integriteit van ICT-systemen. Dit heeft zich vertaald in een werkwijze die de rechtmatige inzet en uitvoering bevordert.

Tekortkomingen

Bij een aantal werkwijzen worden echter tekortkomingen gesignaleerd. De belangrijkste daarvan is dat de diensten structureel nalaten gegevens te vernietigen op momenten dat dit wel zou moeten. Hiermee handelen de diensten onrechtmatig.

Tekortkomingen bestaan ook in de omgang met onbekende kwetsbaarheden, zogenaamde ‘zero day’s’. De werkwijze en de relevante afwegingen voor het al dan niet melden daarvan zijn intern niet uitgewerkt en vastgelegd. Bovendien vindt van de gemaakte afwegingen geen centrale verslaglegging plaats. Hierdoor is interne controle en extern toezicht op de gemaakte afwegingen niet goed mogelijk. Deze werkwijze is onzorgvuldig.

Ook de toestemmingsprocedure voor verlengingen van de inzet van de hackbevoegdheid schiet tekort. Door de inrichting van de administratieve processen wordt bij de AIVD niet de laatste stand van zaken in een onderzoek in de onderbouwing van het verzoek om verlenging van de toestemming meegenomen. Dit is onzorgvuldig. Bij de MIVD wordt de verlenging niet ter goedkeuring aan de minister voorgelegd. Daardoor kan het gebeuren dat de operatie na verloop van tijd een ander verloop of karakter krijgt dan waarvoor de minister aanvankelijk toestemming heeft gegeven. Dit wordt in één geval als onrechtmatig beoordeeld.

In het rapport wordt tevens aandacht gevestigd op een aantal incidentele onrechtmatigheden. Dit betrof het te algemeen formuleren van het target en/of de geautomatiseerde werken waarop de inzet was gericht. Bovendien is in een beperkt aantal gevallen buiten de reikwijdte van de gegeven toestemming getreden. In één geval heeft de MIVD ongeëvalueerde gegevens verstrekt aan een buitenlandse dienst zonder de vereiste ministeriële toestemming hiervoor.

De aanbevelingen

In hun reactie op het rapport onderschrijven de ministers de conclusies van de CTIVD en nemen maatregelen om de tekortkomingen in de toekomst te voorkomen. Alle aanbevelingen van de CTIVD worden overgenomen, al dan niet bij de implementatie van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Deze wet wordt thans behandeld door de Eerste Kamer. 

Het rapport heeft de volgende bijlagen: een beschrijving van de opzet en methodiek van het onderzoek (bijlage I), het toetsingskader (bijlage II) en een begrippenlijst (bijlage III). Het rapport bevat tevens een geheime bijlage.