nederland

Wat mag de AIVD wel en niet doen op sociale media?

Door Servaas van der Laan - 04 september 2014

De toezichthouder op de veiligheidsdiensten (CTIVD) concludeert in een rapport dat de AIVD niet altijd de regels volgt bij speurwerk via sociale media. Wat mag de inlichtingendienst nou precies wel, en wat niet?

Dagelijks speuren medewerkers van de AIVD en andere agenten het web af op zoek naar informatie. Dit gebeurt op basis van regels voor gegevensverwerking die in 2002 in de Wet Inlichtingen- en Veiligheidsdiensten (WIV) zijn vastgelegd.

Waar de AIVD volgens eigen zeggen in 2004 ‘nog geen goede informatiepositie’ online had, heeft het anno 2014 een Joint Sigint Cyber Unit (JSCU) waarin meerdere digitale ondersteunende opsporingsdiensten zijn ondergebracht. De Wiv, zo concludeert de toezichthouder, is op enkele punten achterhaald en zou moeten worden aangepast aan de huidige tijd. De veiligheidsdiensten gaan op dit moment nog als volgt te werk.

Passief onderzoek

Net als ieder ander kan ook de AIVD onderzoek doen op internet. Medewerkers bezoeken websites van radicale organisaties of lezen de Twitterberichten van iemand die zichzelf profileert als jihadist. Sociale media zijn voor de AIVD een steeds vaker gebruikte bron geworden.

Omdat voor veel sociale media moet worden ingelogd, valt ook dit onder ‘open informatie’. Iedereen moet immers inloggen. Aangezien een medewerker van de AIVD, net als in de stoffelijke wereld, niet herkend wenst te worden, mag hij op sociale media gebruikmaken van een fictieve naam. Deze vorm van research valt onder de algemene bevoegdheden van de AIVD.

Observatie

Er is een verschil tussen het afspeuren van sociale media en het gericht volgen van een persoon op sociale media. Bij dat laatste wordt er inbreuk gemaakt op de persoonlijke levenssfeer van een persoon. Als iemand op stelselmatige wijze wordt gevolgd, heet dit ‘observatie’.

Voor deze bijzondere bevoegdheid moet toestemming worden gevraagd aan de directeur, unithoofd of het teamhoofd. Als iemand door middel van een technisch hulpmiddel op automatische wijze wordt geobserveerd, moet de minister toestemming verlenen. Deze vorm van informatievergaring staat immers gelijk aan ‘tappen’ maar dan op sociale media. Dit gebeurt echt niet zomaar. Er zal dan een afweging worden gemaakt van de noodzakelijkheid, proportionaliteit en subsidiariteit van de observatie.

Actief onderzoek

Zowel AIVD-medewerkers als politieagenten kunnen worden ingezet voor actief onderzoek op sociale media. Dit gebeurt onder eigen of een gefingeerde identiteit. Vrijwel alles wat de agenten offline doen, kunnen ze ook online uitvoeren. Ze bouwen bijvoorbeeld vriendschappen op via Facebook of bezoeken online bijeenkomsten op webfora. Sommige agenten mogen hierbij de wet overtreden, als zij zich bijvoorbeeld op een bepaalde manier moeten uiten om niet uit de toon te vallen. Wat agenten niet mogen is zo ver gaan dat het target wordt uitgelokt om een strafbaar feit te plegen.

In 2007 is er een leidraad opgesteld waarin wordt beschreven hoe agentenoperaties op het internet moeten worden uitgevoerd. De toezichthouder constateert dat deze handleiding niet altijd is gevolgd.

Zo wordt er onvolledig verslag gedaan van de ondernomen activiteiten op internet. In vijf gevallen is de inzet van agentenoperaties onrechtmatig gebleken omdat de motivering niet voldoende was. In deze gevallen voerden de agenten ook operaties uit die met hacken te vergelijken waren. Daarbij is geen aandacht besteed aan de mogelijkheden om de inbreuk op de persoonlijke levenssfeer van overige gebruikers op bijvoorbeeld een forum te beperken. Zo zijn persoonsgegevens van alle gebruikers van webfora bemachtigd zonder dat hier een zorgvuldige afweging is gemaakt. Het kan dus zijn gebeurd dat uw gegevens als ‘bijvangst’ bij de AIVD terecht zijn gekomen als uw actief bent geweest op een onderzocht webforum.

Hacken

Een verdergaande actieve vorm van onderzoek op sociale media is de bevoegdheid tot hacken (artikel 24 van de Wiv). De AIVD kan door middel van een hack zichzelf toegang verschaffen tot een apparaat waarmee een persoon gebruikmaakt van sociale media. Essentiële gebruikersgegevens en inhoud van communicatie kan op die wijze worden buitgemaakt. Alleen de directeur kan toestemming verlenen aan het hacken op afstand.

Een geautomatiseerde hack, zoals tappen, kan alleen door de minister worden geautoriseerd. Bent u bang dat uw smartphone door de AIVD is gehackt, bedenk dan dat uw geval zo urgent moet zijn dat de directeur van de AIVD of de minister van Binnenlandse Zaken toestemming heeft gegeven voor de hack.

Bewaartermijn

Als de AIVD eenmaal data van sociale media heeft vergaard, hoe lang mag zij deze dan in bezit houden? Daar kent de wet geen algemene regeling voor.

Zo kan het voorkomen dat vergaarde gegevens jaren later bij veiligheidsonderzoeken worden gebruikt. De toezichthouder doet de aanbeveling dat de wet een maximale termijn voor de opslag van digitale gegevens inruimt.

Zorgen?

Hoewel de verslaglegging bij de medewerkers niet altijd op orde is, biedt de structuur binnen de AIVD, waar voor intensieve zoekacties altijd toestemming moet worden gevraagd, geen reden tot zorg. Wel moet de Wiv op punten worden aangepast aan de huidige tijd.

Maar ook met de oude Wiv uit 2002 hoeft u niet bang te zijn dat de AIVD meekijkt wanneer u een vertrouwelijk berichtje stuurt op Whatsapp. De AIVD heeft, met de radicaliserende groepen in ons land, echt wel wat beters te doen.

Ingelogde abonnees van Elsevier Weekblad kunnen reageren.