De AIVD en MIVD hebben sinds 1 mei 2018 in een aantal operaties een zerodaylek gebruikt om toegang tot een systeem te krijgen zonder dat in het toestemmingsverzoek aan de Toetsingscommissie Inzet Bevoegdheden (TIB) te melden, zo heeft de TIB in het vandaag verschenen jaarverslag laten weten. De TIB is een onafhankelijke toetsingscommissie. Als de AIVD en MIVD bepaalde bijzondere bevoegdheden willen inzetten is daarvoor toestemming nodig van de betrokken ministers. De commissie toetst daarvan voorafgaand de rechtmatigheid, die bindend is.

Vorig jaar beoordeelde de TIB meer dan 3000 verzoeken van de AIVD en MIVD voor de inzet van bepaalde bijzondere bevoegdheden. In de vorige verslagperiode ging het nog om ruim 2100 verzoeken. Van de AIVD werd 3,3 procent van de verzoeken door de TIB als onrechtmatig beoordeeld. In de vorige verslagperiode was dit 1,9 procent. Bij de MIVD ging het om 7,1 procent van de verzoeken, terwijl dit in 2020 nog om 8,1 procent ging.

Verder zette de AIVD vorig jaar zes keer de spoedprocedure onrechtmatig in. Bij deze procedure kan de inlichtingendienst bevoegdheden direct inzetten voordat de TIB hier een bindend oordeel over heeft gegeven. Ook kwam het drie keer voor dat de inzet zelf onrechtmatig was. In twee gevallen werden de bevoegdheden ingezet bij een journalist.

Onderscheppen kabelinternetverkeer

De TIB ontving vorig jaar in totaal twee verzoeken voor het onderscheppen van kabelinterverkeer. Beide verzoeken werden door de Toetsingscommissie als onrechtmatig beoordeeld. Bij het eerste verzoek was het volgens de commissie aannemelijk dat een grote hoeveelheid internetverkeer van onder andere Nederlandse burgers zou worden opgeslagen en een deel daarvan ongezien zou worden gedeeld met een buitenlandse inlichtingendienst. De AIVD had echter niet concreet gemaakt wat de operatie zou opleveren.

Bij het tweede verzoek was naar het oordeel van de TIB teveel onduidelijkheid over de waarborgen. Volgens de commissie zou hierdoor een situatie kunnen ontstaan dat medewerkers van de inlichtingendiensten ook van Nederlandse burgers zouden kunnen bijhouden wie op welk moment welke website heeft bezocht.

Zerodaylek

De commissie kreeg vorig jaar te horen dat beide diensten sinds 1 mei 2018 in een aantal operaties een zerodaylek hebben ingezet om een systeem binnen te dringen, zonder dat in het toestemmingsverzoek te melden. Dit is ook gebeurd in gevallen waarbij op het moment van het schrijven van het verzoek om toestemming al duidelijk was dat de betreffende kwetsbaarheid ingezet zou gaan worden.

De TIB toetst bij elke inzet van de hackbevoegdheid door de diensten de technische risico's, waarbij ook wordt gekeken naar misbruik door derden. Het gaat daarbij vooral om de vraag of andere (statelijke) actoren misbruik zouden kunnen maken van de kennis en technische middelen van de Nederlandse inlichtingendiensten. "Met name bij de inzet van onbekende kwetsbaarheden is het van belang die inschatting te kunnen maken. Immers, indien een andere actor de methode succesvol kan kopiëren bestaat het risico dat die actor gemakkelijker kan binnendringen op systemen in Nederland of bij haar bondgenoten", stelt de TIB.

De afgelopen jaren heeft de commissie steeds benadrukt dat de inzet van een zerodaylek alleen kan wanneer dit expliciet wordt vermeld in een verzoek. De TIB dient naar eigen zeggen volledig te worden geïnformeerd over de voorgenomen inzet van een zeroday, zodat de technische risico’s daarvan naar behoren kunnen worden ingeschat. De informatie wordt vervolgens door de TIB betrokken in de toets.

Halverwege vorig jaar kreeg de TIB van de AIVD en MIVD te horen dat uit intern onderzoek is gebleken dat sinds 1 mei 2018 in een aantal operaties een onbekende kwetsbaarheid is ingezet, zonder dat in het verzoek aan de TIB te vermelden. "Daarbij is aangegeven dat de technische risico’s die in de verzoeken werden gemeld, wel in lijn zijn met de technische risico’s verbonden aan de inzet van de onbekende kwetsbaarheid", voegt de commissie toe.

Wetsvoorstel

Het kabinet heeft onlangs een wetsvoorstel gepresenteerd dat de AIVD en MIVD speciale bevoegdheden sneller laat inzetten. De TIB vindt het naar eigen zeggen belangrijk – ook vanwege het wetsvoorstel – een goed beeld te schetsen van de impact en reikwijdte van de bijzondere bevoegdheden die de diensten nu al hebben. Het gaat dan met name om kabelinterceptie en strategische hackoperaties.