Het kabinet stelt dat het noodzakelijk kan zijn om in geautomatiseerde werken binnen te dringen met behulp van spyware. Alleen zo kan de regering de democratische rechtsstaat beschermen tegen criminelen en kwaadwillende statelijke actoren. Veiligheidsdiensten zijn echter wel gebonden aan strenge voorwaarden.
Dat schrijven van minister van Binnenlandse Zaken en Koninkrijksrelaties Hanke Bruins Slot en minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius in reactie op schriftelijke vragen van de SP.
Instanties zelf verantwoordelijk voor digitale veiligheid
Half november stelden Renske Leijten en Jasper van Dijk (beiden SP) een serie schriftelijke vragen aan de bewindspersonen. Ze vroegen onder meer of Nederlandse inlichtingen- en veiligheidsdiensten in het verleden spionagesoftware en -apparatuur van het Israëlische bedrijf NSO Group heeft aangeschaft. Tevens wilden de Tweede Kamerleden weten of het kabinet vindt dat de democratie in gevaar is als deze spyware wordt gebruikt om journalisten, politici en andere functionarissen af te luisteren. We zijn bijna anderhalve maand verder en de ministers hebben de tijd gevonden om de schriftelijke vragen van de SP te beantwoorden.
Allereerst schrijven de bewindslieden dat overheidsorganisaties in de eerste plaats zelf verantwoordelijk zijn voor de digitale veiligheid van de dienst en haar medewerkers. De Baseline Informatiebeveiliging Overheid (BIO) formuleert hiervoor een aantal kaders en regels. Voor gerubriceerde informatie -informatie die alleen ingezien mag worden door specifieke personen of organisaties- gelden aanvullende regels. Deze zijn vastgelegd in het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI).
Dit alles betekent dat er in praktijk wel degelijk onderscheid wordt gemaakt tussen ministers, topambtenaren en ander Rijkspersoneel als het gaat om digitale veiligheid.
‘Detectie van malware op smartphone is ingewikkeld’
Op de vraag of het mogelijk is om te achterhalen of apparatuur gehackt is met geavanceerde software, antwoorden de ministers instemmend. Daarvoor bestaan zogeheten detectiemechanismen. Ieder ministerie is echter zelf verantwoordelijk voor het implementeren van dergelijke maatregelen.
“Garanties zijn echter niet te geven”, schrijven de bewindspersonen. “Er is sprake van een continue wedloop van geavanceerde digitale actoren die hun werkwijzen zo aanpassen dat ze niet of moeilijk gedetecteerd kunnen worden. Bovendien maakt een mobiele telefoon per definitie gebruik van een publiek netwerk en is er beperkte controle mogelijk op de software die aanwezig is op een telefoon en is detectie van malware op een telefoon ingewikkeld.”
Om die reden adviseert de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) om, indien mogelijk, geen vertrouwelijke gesprekken te voeren in de aanwezigheid van een mobiele telefoon.
Ministers: ‘Inzet spyware gebonden aan strikte regels’
Dan volgen er een aantal interessante passages. Zo schrijven minister Bruins Slot en minister Yeşilgöz-Zegerius het volgende: “Het kabinet acht het onrechtmatig gebruik van binnendringsoftware onaanvaardbaar. Dit geldt ook wanneer het om onrechtmatige inzet tegen advocaten, politici, mensenrechtenverdedigers en journalisten gaat (…) In het geval van onrechtmatig gebruik kan de inzet van dit soort software de democratische rechtsstaat schade berokkenen.”
Tegelijkertijd zegt het kabinet dat “de rechtmatige inzet van de bevoegdheid tot binnendringen in een geautomatiseerd werk” van belang is voor onze democratische rechtsstaat. “Criminelen en kwaadwillende statelijke actoren zijn een reële bedreiging voor onze maatschappelijke orde, de nationale veiligheid, de mogelijkheid van burgers om vrijelijk van hun rechten te genieten en ons verdienvermogen”, aldus ministers Bruins Slot en Yeşilgöz-Zegerius. Het verbieden van spyware noemen ze dan ook ‘onwenselijk’.
De bewindspersonen zeggen erbij dat het gebruik van spyware aan “strenge voorwaarden en stevige waarborgen” is gebonden. “Deze bevoegdheid kan alleen worden ingezet wanneer minder ingrijpende bevoegdheden niet bruikbaar zijn voor het gestelde doel, en de inzet noodzakelijk en proportioneel is.”
Verderop in de brief schrijven de ministers het volgende: “Ook deelt het kabinet de opvatting dat inzet van dergelijke software enkel wenselijk is wanneer deze is gebonden aan strikte regels omtrent proportionaliteit, subsidiariteit en noodzakelijkheid, en er sprake is van onafhankelijk toezicht.
Effectief en gedetailleerd toezicht op de inzet van middelen door opsporings-, inlichtingen- en veiligheidsdiensten kan echter, gezien de benodigde toegang tot bijzondere informatie, enkel nationaal vormgegeven zijn.”
Transparantie over inzet spyware, maar toch ook niet
De ministers zeggen tot slot dat transparantie over het gebruik van spyware belangrijk is. Echter, ze weigeren informatie te verstrekken over welke specifieke software de politie beschikt en gebruikt als ze een beroep doet op haar bijzondere opsporingsbevoegdheden.
“De verwerving van binnendringsoft- en hardware vindt bij de politie onder geheimhouding plaats. Het is voor de afscherming van middelen en methodieken niet mogelijk om openbaar inzicht te geven in welke software de politie gebruikt bij de uitvoering van deze bevoegdheid”, aldus de ministers. Hetzelfde geldt voor de AIVD en diens militaire tegenhanger de MIVD.
Vorig jaar schreven toenmalig minister van Binnenlandse Zaken en Koninkrijksrelaties Kajsa Ollongren en minister van Buitenlandse Zaken Sigrid Kaag dat ze niet konden zeggen of de politie of veiligheidsdiensten gebruikmaken van Pegasus. Deze vraag is en blijft nog steeds onbeantwoord.
