Inlichtingendiensten lichten toetsingscommissie te laat in over inzet zeroday-lek

Inlichtingendiensten AIVD en MIVD hebben sinds 2018 in een aantal operaties een onbekende kwetsbaarheid ingezet, zonder dat vooraf te melden aan de Toetsingscommissie Inzet Bevoegdheden (TIB). De TIB kon haar wettelijke taak om de technische risico’s te beoordelen in die gevallen onvoldoende uitvoeren, omdat essentiële informatie ontbrak, zo vermeldt de commissie in haar 22 april verschenen jaarverslag.

De TIB is een onafhankelijke toetsingscommissie. Als de AIVD en MIVD bepaalde bijzondere bevoegdheden willen inzetten, is daarvoor toestemming nodig van de betrokken ministers. De rechtmatigheid daarvan toetst de TIB voorafgaand en bindend. In het Jaarverslag TIB 2021 brengt de Toetsingscommissie Inzet Bevoegdheden (TIB) verslag uit over het toetsingsproces in 2021.

Het gebruik van een zerodaylek om computers en systemen binnen te dringen, is sinds 1 mei 2018 een aantal malen gebeurd, aldus de TIB. Over de inzet hiervan heeft de AIVD de commissie onjuist en/of onvolledig geïnformeerd, voor wat betreft de inhoud van verzoeken. Dit gebeurde pas halverwege 2021. In dit jaarverslag wordt één geval beschreven, waarbij geldt dat als de informatie wel vooraf was gedeeld, de TIB niet tot een rechtmatigheidsbeslissing was gekomen.

Regelmatig tekortkomingen

Het gebruik van de zeroday-kwetsbaarheid vond plaats nádat de TIB had geconstateerd dat er regelmatig tekortkomingen waren bij de omgang met dergelijke kwetsbaarheden door de inlichtingendiensten. Het ministerie van Binnenlandse Zaken beloofde destijds om de toetsing aan te scherpen. De AIVD en MIVD kunnen voor het binnendringen van systemen kwetsbaarheden gebruiken die de zogeheten gezamenlijke Joint Sigint Cyber Unit ontdekt, of die gekocht zijn van commerciële partijen.

De TIB benadrukt in het jaarverslag het belangrijk te vinden om een goed beeld te schetsen van de impact en reikwijdte van de bijzondere bevoegdheden die de diensten nu al hebben. Dit mede vanwege een wetsvoorstel die de bevoegdheden van de diensten fors moet uitbreiden: het (concept) wetsvoorstel Tijdelijke wet onderzoek AIVD en MIVD naar landen met een offensief cyberprogramma. Het gaat dan met name om kabelinterceptie en strategische hackoperaties.

Operatie vaak niet proportioneel

De TIB schrijft in jet haarverslag ook dat het in 2021 weer meer verzoeken heeft beoordeeld: 3.071. In vergelijking met het vorige jaarverslag valt vooral op dat er veel geoordeeld is dat de operatie niet proportioneel was. Het ging hier ook om strategische operaties. In 2021 is het zes keer voorgekomen dat de AIVD de spoedprocedure (waarbij direct kan worden ingezet, nog voor het bindend oordeel van de TIB) onrechtmatig heeft ingezet. Ook kwam het drie keer voor dat de inzet zelf onrechtmatig was. In twee gevallen betrof het een journalist.

De TIB heeft in 2021 verder tweemaal verzoeken tot kabelinterceptie onrechtmatig beoordeeld. Bij het eerste verzoek was het aannemelijk dat een flinke hoeveelheid van het internetverkeer van onder andere Nederlandse burgers zou worden opgeslagen, waarvan een deel ongezien zou worden gedeeld met een buitenlandse partnerdienst. Daartegenover stond geen concrete beschrijving van de te verwachten opbrengst die deze interceptie kon rechtvaardigen. Bij het tweede verzoek was te veel onduidelijkheid over de waarborgen. Daardoor zou eenzelfde situatie kunnen ontstaan als bij het eerste verzoek.