Onderzoek werkwijze AIVD noodzakelijk

De AIVD breekt in op internetfora en sluist complete databases door. De dienst verrijkt de informatie vervolgens met alles wat ze ondermeer via social media kunnen vinden. Is de dienst ontspoord met deze acties? Of is dit geoorloofd?

In het Snowden-document staat het volgende: "The web forum discussion was of greater interest. They [the AIVD – red.] acquire MySQL databases via CNE access, [...] They're looking at marrying up the forum data with other social network info and trying to figure out good ways how to mine the data that they have." De rest, het merendeel, van de alinea is door NRC Handelsblad zwart gemaakt. NRC geeft nergens een verklaring wat de aard is van de informatie die zij ons onthouden.

Maar wat staat hier nu? De AIVD breekt in op webfora door kwetsbaarheden in de software te gebruiken, en kopieert de database. Deze database is vrij in te richten door de beheerder van het forum, dus de informatie er in kan verschillen. In ieder geval bevat het de reacties met identificerende gegevens van bezoekers. Maar regelmatig staan er ook identificerende gegevens van mensen in die slechts een artikel lezen. Als laatste staat er dat na het kopieren van de gehele database, de gegevens zoveel mogelijk worden gecombineerd met wat de AIVD al weet of kan vinden.

Brede definities

De AIVD is volgens artikel 24 Wiv bevoegd om in te breken op "geautomatiseerde werken" om gericht informatie te verzamelen over personen of organisaties die de nationale veiligheid bedreigen. Is een webforum een organisatie? En ben je dan "lid" van een organisatie als je een webforum bezoekt? Of alleen als je een reactie plaatst? Een webforum levert een bepaalde vorm van organisatie op. Al was het maar dat personen zich georganiseerd hebben in een redactie. Maar door het kopiëren van de hele database, suggereert het Snowden-document dat de AIVD ook argeloze bezoekers tot de organisatie rekent. Ze kopiëren immers ook zijn gegegevens! Conclusie: De AIVD hanteert een zeer brede definitie van 'organisatie' door alles wat zich op een webforum afspeelt, op te zuigen.

De AIVD mag inbreken op een netwerk van een verdachte organisatie. Maar de dienst mag geen sleepnet uitgooien en gegevens van willekeurige webfora binnenhalen om in te grasduinen. We hebben geen idee welke situatie van toepassing is, omdat in de onthulling niet staat welke webfora gekraakt zijn. Volgens Plasterk gaat het om "fora waarbij gewelddadige video's staan en waarop mensen worden opgeroepen om deel te nemen aan gewelddaden". Dat is een brede uitleg van het bedreigen van de nationale veiligheid. Nadere precisering wil Plasterk niet geven om de werkwijze van de AIVD niet prijs te geven. Conclusie: De AIVD mag alleen gericht gegevens over verdachte organisaties verzamelen. De definitie van Plasterk lijkt een erg brede uitleg hiervan. De toezichthouder of de Tweede Kamer moet kunnen controleren of de gekraakte fora binnen het wettelijk kader vallen.

Onrechtmatig

De AIVD haalt gegevens binnen van mensen die geen onderdeel van de "verdachte organisatie" uitmaken. Dat is vrijwel onvermijdelijk als je de hele database kopieert. Wettelijk is dat niet toegestaan, maar is technisch misschien te begrijpen. Het ligt voor de hand eerst gegevens op te halen en die dan lokaal te bewerken of te filteren. Het is veel lastiger om dat op een gekraakte server van te voren te doen. Dus haalt de dienst eerst alles op en filtert er dan uit wat nodig is. Maar gebeurt dat filteren wel? In het document van Snowden staat daar niets over of het is door NRC onleesbaar gemaakt. In de wet staat dat gegevens die niet nodig zijn, terstond vernietigd moeten worden. Doordat het document spreekt over het verrijken van gegevens, wordt de indruk gewekt dat het tegenovergestelde gebeurt. Conclusie: Het kopieren van de hele database mag juridisch niet, ook al is het technisch misschien begrijpelijk. Het is onduidelijk of de onrechtmatig verkregen gegevens direct vernietigd worden.

Onderzoek

Al met al roept de onthulling van de NRC veel vragen op. De reactie van Plasterk schept ook al geen duidelijkheid. We moeten hem maar vertrouwen, zo lijkt het. Ook de reactie van de toezichthouder die wakker lijkt te schrikken en de zaak nu (pas) wil onderzoeken helpt niet.

Wat nu naar buiten is gekomen, bevindt zich op de scheidslijn van wat wettelijk mag en gaat daar zeer waarschijnlijk overheen. Er is te weinig informatie bekend voor een definitief oordeel. Als zelfs een lid van de vertrouwelijke toezichtscommissie uit de Tweede Kamer, Alexander Pechtold, roept om een parlementaire enquête, is in ieder geval duidelijk dat het huidige systeem van toezicht en democratische controle te veel ruimte voor eigen interpretatie door de AIVD toelaat. Daarom is een gedegen onderzoek door de Tweede Kamer nu gerechtvaardigd. Juist ook met als doel om de controle en het toezicht op de AIVD te verbeteren.