Plasterk denkt na over aftappen chat-apps en wifi-hotspots

ANP
Geschreven door
Joost Schellevis
Researchredacteur

De nieuwe 'aftapwet' die de geheime diensten breder moet laten tappen, kan ertoe leiden dat ook gewone, nietsvermoedende burgers in de netten van de geheime diensten worden gevangen. Dat kan bijvoorbeeld als ze een bepaalde chat-app gebruiken, blijkt uit een vertrouwelijk document dat in handen is van de NOS.

Tot nu toe noemde minister Plasterk telkens één specifiek voorbeeld voor de toepassing van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. De AIVD zou straks bijvoorbeeld al het internetverkeer tussen Nederland en Syrië kunnen aftappen, zei Plasterk herhaaldelijk.

Maar tegenover internetproviders geeft Plasterks ministerie andere voorbeelden, die verder lijken te gaan: het onderscheppen van al het internetverkeer tussen een bepaalde stad en een chatdienst bijvoorbeeld, blijkt uit het vertrouwelijke document. 

In het voorbeeld gaat het daarbij om een fictieve stad met 400.000 inwoners; als die communiceren met de chatdienst, wordt het verkeer onderschept.

De providers moeten zich buigen over de voorbeelden om te bepalen wat de nieuwe aftapwet hen zou gaan kosten. De internetproviders moeten er namelijk voor zorgen dat de taps technisch worden afgehandeld. Desgevraagd meldt het ministerie van Binnenlandse Zaken dat het document dan ook bedoeld is om de 'potentiële kosten' voor providers in beeld te krijgen, en zijn de voorbeelden fictief.

'Aftapwet'

Het kabinet werkt al anderhalf jaar aan een nieuwe versie van de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten. Vorige week maakte het kabinet bekend dat er, na kritiek vanuit zowel het parlement als de maatschappij, extra waarborgen in de wet worden vastgelegd. Om af te kunnen tappen moet een speciale commissie toestemming geven. Als het gaat om advocaten en journalisten moet bovendien de rechtbank zich er over buigen.

De wet wordt nu behandeld door de Raad van State, die zijn advies er over geeft. Hierna moeten de Tweede en de Eerste Kamer zich er nog over buigen.

"We zijn hier toch wel door geschokt", zegt Ton Siedsma van Bits of Freedom. "We vreesden al voor een sleepnet, en dat lijkt ook uit te komen. Daar gaan ontzettend veel onschuldige mensen in terechtkomen." Plasterks bewering dat het niet om een sleepnet gaat klopt dan ook niet, stelt hij. "Bovendien is dit maar een indicatie, er is een grote kans dat de geheime diensten in de praktijk nog verder gaan."

'Maximaal 200 mensen'

Volgens het voorbeeld gaat het om maximaal 200 mensen van wie het internetverkeer moet worden 'doorzocht', zoals het kabinet het noemt. Gezien de populariteit van sommige chatdiensten, zoals WhatsApp maar ook het versleutelde Telegram, Signal en Cryptocat, lijkt dat lage aantal echter onwaarschijnlijk. "We hebben de indruk dat ze het proberen te downplayen", zegt een anonieme medewerker uit de telecomindustrie, die veel te maken heeft met het aftappen van netwerken.

In een ander voorbeeld wordt uit de doeken gedaan hoe openbare wifi-hotspots kunnen worden afgetapt. Wie toevallig op een bepaald moment verbinding maakt met een aanbieder van wifi-hotspots - denk aan de wifi-hotspots in de trein - en bijvoorbeeld een website bezoekt uit een bepaald land, kan in dat scenario ook worden afgetapt. 

Ik vrees voor een sleepnet.

D66-Kamerlid Kees Verhoeven

D66-Kamerlid Kees Verhoeven vindt dat ver gaan. "Ik vrees voor een sleepnet, en deze voorbeelden wijzen daar wel op", zegt hij. "De vraag is bovendien of dat effectief is, want al die data moeten ook worden geanalyseerd." De hooiberg wordt in feite groter gemaakt, waardoor zoeken naar dezelfde naald moeilijker wordt. "Bij aanslagen zie je vaak dat de daders al in het vizier waren. Niet de grootte van de hooiberg is het probleem, maar het omgaan met die gigantische berg aan data."

Ook alle telefoongesprekken tussen een bepaalde stad en een heel land moeten straks kunnen worden onderschept. Het gaat dan om al het verkeer uit die stad naar een bepaald buitenlands netnummer. Hetzelfde geldt voor rechtstreeks internetverkeer tussen iemand in een Nederlandse stad en een ander land, zoals verkeer via bittorrent. 

De periode waarvoor moet worden afgetapt lijkt bovendien ook langer te kunnen zijn dan Plasterk in het openbaar zegt. Plasterk heeft het over een 'tap' die voor een maand wordt geplaatst, maar in de geheime voorbeelden spreekt het kabinet over twaalf maanden. Het kabinet gaat ervan uit dat een dergelijk verzoek twee keer per jaar zal worden gedaan. 

Niet zomaar alles aftappen

Tegelijkertijd is het niet zo dat het kabinet zomaar al het verkeer wil kunnen aftappen. "Maar het gaat om ontzettend veel data, bijna onwerkbaar", zegt de anonieme medewerker uit de telecomindustrie. De nieuwe wet gaat miljoenen kosten, denkt hij. De overheid betaalt daaraan mee.

Bij de grote chatdiensten kan de geheime dienst niet meekijken.

Hoogleraar computerbeveiliging Bart Jacobs

Een andere kanttekening is dat veel internetverkeer, waaronder ook via populaire chatdiensten als WhatsApp en iMessage, is versleuteld. "Bij de grote chat-apps kan de geheime dienst daardoor niet meekijken", zegt hoogleraar ict-beveiliging Bart Jacobs. "Ik denk dat de impact daardoor beperkt is." Overigens staat in de aftapwet ook dat bedrijven moeten meewerken aan het ontsleutelen van data. Daardoor zou de geheime dienst mogelijk tot op zekere hoogte toch mee kunnen kijken.

Volgens hoogleraar informatierecht Nico van Eijk van de Universiteit van Amsterdam zou het uitgangspunt moeten zijn om zo min mogelijk data af te tappen. "Als de geheime dienst ziet dat bepaalde delen van het dataverkeer irrelevant zijn, moeten ze dat deel niet meer filteren."

Privacy-inbreuk

Bovendien mag de geheime dienst niet zomaar alle informatie meteen inzien. Verkeer dat is onderschept, mag alleen op hoofdlijnen worden geanalyseerd. Om bepaald verkeer ook nog inhoudelijk mogen te bekijken, is opnieuw toestemming van de minister en een speciale commissie vereist.

Daarnaast, benadrukt een woordvoerder van het ministerie van Binnenlandse Zaken, mogen de nieuwe bevoegdheden alleen worden gebruikt in een concreet onderzoek en wordt de potentiële privacy-inbreuk eerst onderzocht.