[D66] De geheime diensten bedonderen ons

[René Oudeweg]

decorrespondent.nl
De geheime diensten bedonderen ons, zegt de man die het kan weten
Maurits Martijn
16–22 minutes

De geheime diensten zijn ons aan het bedonderen, zegt Bert Hubert.

Met ‘evidente onjuistheden’ proberen de ‘onoprechte diensten’ AIVD en 
MIVD nieuwe, ‘enge’ wetgeving door de Tweede Kamer te jassen. Slagen zij 
daarin, dan kan de communicatie van alle Nederlanders af worden getapt, 
terwijl het onafhankelijke toezicht op die diensten afneemt. ‘Het plan 
is om het hele land af te luisteren.’

Het zijn stevige uitspraken die je misschien niet verwacht tijdens een 
rondetafelgesprek tussen deskundigen en Kamerleden in de Tweede Kamer, 
en al helemaal niet van een voormalig toezichthouder op de geheime 
diensten.

Maar toch: het was Bert Hubert, ex-lid van de Toetsingscommissie Inzet 
Bevoegdheden (TIB) en oud-medewerker van de Algemene Inlichtingen- en 
Veiligheidsdienst (AIVD), die woensdag Tweede Kamerleden vertelde waarom 
die nieuwe wet zo’n slecht idee is. En dat is nogal wat, want Hubert 
heeft intieme kennis van de werkwijze van de geheime diensten.
Een stapje verder dan de ‘sleepwet’

De Tijdelijke wet cyberoperaties moet de diensten ‘een grotere 
slagvaardigheid’ geven tegen landen die Nederland digitaal aanvallen, 
zoals China en Rusland. De AIVD en MIVD kunnen dan makkelijker 
apparatuur hacken en communicatie die door de internet- en 
telefoonkabels stroomt aftappen en analyseren.

Nu, met de huidige wet, mogen de diensten ook al veel. Maar voor de 
inzet van bevoegdheden als hacken en grootschalig datatappen moeten ze 
van tevoren aan de TIB-commissie – waar Hubert tot een halfjaar geleden 
in zat – toestemming vragen en uitleggen wat ze willen doen, hoe ze dat 
willen doen, en waarom.

Als het aan de diensten en het kabinet ligt, verdwijnt met de nieuwe 
tijdelijke wet een deel van die bindende toets vooraf door de TIB, en 
komt er in plaats daarvan gedeeltelijk bindend toezicht tijdens en ná de 
operaties door een andere toezichthouder, de Commissie van Toezicht op 
de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Om het in perspectief te plaatsen: dit wetsvoorstel gaat in bepaalde 
opzichten verder dan de zogenoemde ‘sleepwet’ waar vijf jaar geleden een 
referendum over werd gehouden.

Om data te kunnen ‘verkennen’ mag volgens het wetsvoorstel bijvoorbeeld 
alle inhoud van een internetkabel zes maanden worden opgeslagen en 
geanalyseerd. En dat niet alleen: tegen het uitdrukkelijke advies van de 
Raad van State in kunnen die data ook met buitenlandse diensten worden 
gedeeld.

In de Kamer susten afgezanten van de AIVD en MIVD woensdag de 
gemoederen: het toezicht op de diensten blijft in balans. Onzin, vindt 
Hubert: ‘Met de tijdelijke wet mogen de diensten vrijwel zonder 
inhoudelijke opgaaf van redenen iedere kabel afluisteren en geen 
toezichthouder kan er iets aan doen.’
Huberts offensief tegen de nieuwe wet

Het is niet de eerste keer dat Hubert zijn verhaal deed: in september 
nam hij vanwege zijn weerzin tegen het wetsvoorstel ontslag als 
toezichthouder, en sindsdien waarschuwt hij voor de gevaren ervan, in 
elk medium dat wil luisteren. Ook ik sprak hem de afgelopen maanden 
veelvuldig, in aanloop naar het rondetafelgesprek in de Tweede Kamer.

Hubert weet juridische en technische ingewikkeldheden beeldend te 
versimpelen. Daarin wil hij nog wel eens doorschieten. Zijn opmerking 
tegen Follow the Money dat de wet ‘tot Noord-Koreaanse taferelen’ kan 
leiden, vindt hij achteraf zelf ook nogal overdreven. Maar achter zijn 
teksten in de Kamer staat hij volledig.

Wat Hubert wil bereiken met zijn offensief? ‘Ik hoop dat we de “China is 
slecht, de AIVD is goed”-discussie ontstijgen, en kunnen kijken naar wat 
er nou eigenlijk echt in die wet staat’, legt hij mij uit. ‘Ik hoop dat 
ik de Kamerleden kan laten zien dat we de diensten niet op hun blauwe 
ogen kunnen vertrouwen.’

Om dat laatste punt te bewijzen, ging Hubert woensdag in de Tweede Kamer 
een stap verder dan voorheen. Hij illustreerde zijn verhaal met twee 
‘voorvallen’ uit de praktijk. Dat wil zeggen: met eigen ervaringen uit 
de tijd dat hij toezichthouder was – ervaringen met medewerkers van de 
AIVD en de MIVD.

Zoals die ene keer dat de diensten achter staatshackers aan zaten die 
zich genesteld hadden in apparatuur van willekeurige Nederlanders – om 
vanuit daar anoniem hackoperaties uit te kunnen voeren. De diensten 
wilden, om deze hackers te kunnen monitoren, digitaal inbreken bij al 
die Nederlanders. ‘Dan moet je denken aan afluisteren, tappen, hacken of 
dropboxen leegtrekken – ik zeg niet welke bevoegdheid specifiek.’

     ‘Iedereen keek me glazig aan, alsof ik een soort fossiel was met 
m’n burgerrechten’

‘Ik zei: jullie zijn van plan om een grote groep Nederlanders te 
onderwerpen aan zware inlichtingenmiddelen. Kun je al die mensen niet 
gewoon vragen mee te werken? Dat wilden de diensten niet. Ik ben toen 
uit mijn slof geschoten. Hadden ze niet door dat je burgers niet kunt 
bespioneren, omdat het de makkelijkste manier is om die informatie te 
krijgen? Iedereen keek me glazig aan, alsof ik een soort fossiel was met 
m’n burgerrechten. “Het is niet erg als de AIVD of MIVD je privacy 
schenden, want wij zijn ok!” Ik was geschokt over deze minachting van 
gewone mensen thuis.’

Wat er uiteindelijk met dit plan van de diensten is gebeurd, wil Hubert 
niet zeggen. Maar: de aanvraag kwam in ieder geval bij de TIB terecht. 
In het nieuwe wetsvoorstel hoeft dat niet meer – en dus kunnen gehackte 
burgers en bedrijven automatisch gehackt of afgeluisterd worden.
‘Een muur van onbegrip’

Hubert noemt de keer dat de diensten een zogenoemde ‘strategische hack’ 
wilden zetten: digitaal inbreken op een plek omdat daar potentieel 
waardevolle informatie te vinden is. Het gaat dan om een bedrijf als 
hardloopapp Strava – een hypothetisch voorbeeld – dat de locatiegegevens 
van miljoenen sporters heeft. Dat is waardevolle informatie voor een dienst.

Als je iets hackt, zijn er altijd risico’s. Je kunt een systeem 
beschadigen of kapotmaken. En er is altijd een kans dat iemand anders 
via jouw hack óók toegang kan krijgen tot het apparaat of systeem, zoals 
andere inbrekers ook binnen kunnen komen als jij een deur hebt geforceerd.

‘We vroegen als TIB daarom door’, vertelde Hubert de Kamer. ‘Hoe zou het 
aangebrachte gat in het strategische bedrijf beveiligd worden? Werd er 
gecontroleerd of er geen andere diensten of hackers binnen zouden komen? 
Als een individu waar de diensten zich op richten een computerprobleem 
krijgt door de AIVD is dat begrijpelijk en proportioneel. Maar als je 
een infrastructuurbedrijf hackt waar honderden miljoenen of zelfs 
miljarden mensen gebruik van maken, dan ligt dat anders. Wederom 
stuitten we op een muur van onbegrip. “Wij zijn zo goed bij de AIVD en 
MIVD, dat onze hacks geen 24/7 monitoring behoeven.”’

In het nieuwe wetsvoorstel hoeven de diensten voor een dergelijke hack 
van tevoren geen technische details meer te delen, waardoor het volgens 
Hubert onmogelijk wordt de risico’s ervan te beoordelen.
De diensten gaan regelmatig over de schreef

Door zo uit de school te klappen, neemt Hubert een risico. ‘Ik moet heel 
voorzichtig zijn en goed nadenken over wat ik zeg’, legde hij mij 
voorafgaand aan de bijeenkomst uit. ‘Mijn hoofd zit vol met geheimen en 
als ik iets zeg wat ik niet mag vertellen, ga ik jaren de gevangenis in. 
En je kunt je wel voorstellen dat de geheime diensten nu erg zitten op 
te letten of Bert niet per ongeluk staatsgeheimen deelt. Dat maakt dit 
wel spannend.’

‘Ik heb die verhalen eerder niet verteld, omdat ik alleen het 
wetsvoorstel wilde bekritiseren’, licht hij toe. ‘Maar ik vind het 
belangrijk dat mensen ook weten dat de wet in handen is van mensen die 
het niet zo ophebben met grondrechten als privacy van onschuldige burgers.’

Het is onmogelijk om Huberts anekdotes compleet te verifiëren. Uit de 
weinige publieke informatie die er is over de wijze waarop de diensten 
met hun verregaande bevoegdheden omgaan, kan niet onomwonden worden 
geconcludeerd dat zij ‘het niet zo ophebben met de grondrechten’. Wel 
overtreden zij de wet met regelmaat, zoals blijkt uit de jaarverslagen 
van de TIB. Ook de andere toezichthouder, de CTIVD, beschrijft 
regelmatig hoe de diensten over de schreef gaan.
Niet iedereen ziet gevaar in het wetsvoorstel

Tijdens het rondetafelgesprek bleek nog maar eens hoe verschillend 
deskundigen over eenzelfde wet kunnen denken. Hoogleraar Bart Jacobs 
ziet de noodzaak ervan en denkt dat het nieuwe toezicht beter aansluit 
op de ‘operationele dynamiek’ van de geheime diensten. Bijzonder 
hoogleraar en CTIVD-medewerker Jan-Jaap Oerlemans vindt hetzelfde. 
Huberts voorganger bij de TIB, Ronald Prins, ziet het voorstel als een 
‘goede reparatie’ van de wet, die in zijn ogen te strikt is.

De organisatie Bits of Freedom staat meer aan de kant van Hubert en 
wijst het wetsvoorstel af, omdat het – onder andere – het toezicht op de 
diensten te veel ‘beknot’. Hoogleraar staatsrecht Paul Bovend’Eert valt 
ook over de verandering in het toezicht en zei zelfs dat het een 
vereiste is van het Europees Hof voor de Rechten van de Mens om toezicht 
vooraf te hebben.
‘De diensten zijn onoprecht’

Net zo zorgelijk als de inhoud van de wet, zegt Hubert, is de 
‘onoprechtheid’ van de geheime diensten over die inhoud. Ze nemen 
loopjes met de waarheid als zij het publiek over de wet vertellen, 
vertelde hij mij. ‘Erik Akerboom, de baas van de AIVD, zei: “Wij 
luisteren niet hele wijken af.” Maar dat klopt niet. Want dat is 
specifiek wat ze wel doen. De diensten mogen namelijk – met zowel de 
huidige als de nieuwe wet – al die data wel tappen, opnemen en opslaan. 
In de wet staat nota bene “afluisteren”.’

     Dat de huidige wet niet snel genoeg is, is ‘gewoon gelul’, vindt 
Hubert

‘Dit is een woordspelletje’, aldus Hubert, ‘waarbij de diensten een 
geheel eigen definitie van afluisteren hanteren. Zij menen dat je pas 
afgeluisterd bent als iemand met een koptelefoon op naar jouw 
telefoongesprek heeft zitten luisteren. “Wij bepalen wel wanneer je 
afgeluisterd bent, en dat is niet al als we een hele wijk getapt 
hebben.” Ook al kunnen AIVD-medewerkers en medewerkers van buitenlandse 
diensten uw verkeer onderzoeken en analyseren, u bent pas afgeluisterd 
als de dienst vindt dat u dat bent.’

Een ander voorbeeld van die onoprechtheid, zegt Hubert, is de 
argumentatie van de diensten vóór de nieuwe wet. ‘Als wij constateren 
dat een bedrijf, persoon of zelfs overheid wordt aangevallen, moeten we 
voor iedere stap die we zetten opnieuw toestemming vragen’, lichtte 
AIVD-baas Erik Akerboom bij BNR Nieuwsradio toe. ‘Intern, aan de 
minister, en aan de toezichthouder. En zo zit de cyberwereld niet meer 
in elkaar. Het gaat tegenwoordig om minuten, uren of dagen, en dan kun 
je niet wachten [op goedkeuring].’

Het toestemmingsproces duurt kortom te lang, vindt Akerboom. Hij 
vergeleek het met een atletiekwedstrijd: ‘Wij doen op dit moment de 
steeplechase en onze tegenstander de 100 meter sprint.’

Maar dat de huidige wet niet snel genoeg is, is ‘gewoon gelul’, vindt 
Hubert. De diensten hebben nu ook al de wettelijke mogelijkheid om een 
spoedprocedure in te zetten, en daar maken ze dan ook ongeveer twee keer 
per week gebruik van. Daarnaast komt het grootste oponthoud niet door de 
TIB, maar door de diensten zelf, zegt hij. ‘In diverse interviews staat 
dat de beoordeling van een verzoek twee tot drie weken duurt. Maar de 
TIB krijgt op vrijdag de verzoeken binnen en besluit daar op woensdag 
over.’ Hubert bedoelt: als de diensten het sneller willen, dan kunnen ze 
het nu ook al sneller doen.

De diensten hanteren dus oneigenlijke argumenten, in Huberts lezing.
Hacken en tappen zonder pottenkijkers

Dat roept de vraag op: wat drijft de AIVD en MIVD dan wel? Waarom willen 
ze nieuwe bevoegdheden met ander toezicht?

Hubert heeft daar wel een idee over. Een idee dat aansluit op zijn beeld 
van de onbetrouwbaarheid van de diensten: ze willen geen pottenkijkers 
voordat ze gaan hacken of tappen. ‘De TIB is in 2018 opgericht. Daarvoor 
keek er nooit iemand met de diensten mee. Ik denk dat ze ook graag 
willen dat niemand zich ermee bemoeit. “Die technische risico’s? Dat 
bepalen wij wel. Of wij die kabel moeten hebben? Dat bepalen wij zelf. 
En als we daar een halfjaar naar willen kijken, dan gaan we daar een 
halfjaar naar kijken.”’

Bij de TIB heeft hij die houding een paar keer in de praktijk ervaren, 
vertelt Hubert. ‘Dan werd er na een nee op allerlei manieren druk op ons 
uitgeoefend. Maar de TIB zegt echt niet makkelijk nee. Die beseft echt 
wel dat heel veel mensen bezig zijn met zo’n operatie en aan de slag 
willen. En als je een voorstel afwijst, weet je dat je het risico loopt 
achteraf te horen dat er een aanslag is gepleegd. Dat weegt op je. En 
dan krijg je dus te horen dat je de nationale veiligheid in gevaar 
brengt. Dat is heel pijnlijk en zwaar.’
Met de huidige wet mag al heel veel

Wat Hubert misschien wel het meest dwarszit, is dat de diensten nu naar 
buiten toe zeggen dat zij met handen en voeten gebonden zijn. Maar met 
de huidige wet hebben ze al een breed arsenaal aan middelen tot hun 
beschikking, zegt Hubert.

‘De diensten mogen nu al, na toestemming van de TIB, een internetkabel 
in zijn geheel afluisteren om te kijken of er foute dingen op gebeuren. 
Ze mogen nu al een bedrijf hacken dat alleen maar diensten levert aan 
targets. Dus we komen niet van een naïef zielig wetje waarmee de 
diensten helemaal niks mogen. Nee, de diensten mogen al heel veel en 
willen nog veel meer.’

Te veel dus, naar Huberts smaak. ‘Toen ik zelf bij de AIVD werkte dacht 
ik ook: wij zijn oké. Jullie hoeven er niet wakker van te liggen dat wij 
zo veel communicatie afluisteren. We doen het namelijk voor de nationale 
veiligheid. Ik snap goed dat het zo voelt voor de medewerkers, en ik 
snap ook dat het ondankbaar voelt als de buitenwereld eraan twijfelt. 
Maar we schrijven dit soort wetten niet voor mooi weer; we schrijven ze 
voor als het regent. Voor als er mensen zitten die niet zo oké zijn.’

In een algemene reactie zegt een woordvoerder van de AIVD: ‘De 
tijdelijke wet maakt het de diensten mogelijk om Nederland veiliger te 
houden tegen de acties van landen met offensieve cyberprogramma’s, zoals 
China. Ook de evaluatiecommissie en de Algemene Rekenkamer hebben 
vastgesteld dat dat nodig is. De wet is gericht op het tegengaan van 
ongekende dreigingen van dergelijke landen. Het gaat daarbij niet om 
Nederlandse wijken.’

Over de beelden In 2012 erft fotograaf Arne Svenson een telelens voor 
vogels, en besluit er zijn overburen in Manhattan mee te fotograferen. 
Hun grote glazen ramen geven Svenson een inkijkje in de levens die zich 
in de appartementen afspelen. Zonder dat zijn buren het doorhebben, 
creëert Svenson een intieme, maar anonieme serie portretten.

Vlak voor de opening van Svensons tentoonstelling in 2013 spant de 
familie van een van de gefotografeerde personen een kort geding aan 
wegens schending van privacy. Er ontstaat een nieuwsstorm en de beelden 
worden vele malen gereproduceerd op het internet en in gedrukte media. 
De rechtszaak die daarop volgt, laat zien dat we offline vaak meer 
bewust zijn van onze privacy dan online.