Netgear heeft een firmware-update voor de R7000-router uitgebracht die het mogelijk maakt om "analytics data" te verzamelen, zoals het gebruik van de router, ip-adressen en andere gegevens. Op de supportpagina laat Netgear weten dat technische data over het functioneren en gebruik van de routers en hun wifi-netwerk kan helpen bij het sneller vinden en oplossen van technische problemen, alsmede het verbeteren van features, functionaliteit, prestaties en gebruiksvriendelijkheid. Het gaat dan om informatie over de "running status", het aantal verbonden apparaten, soorten verbindingen, lan- en wan-status, wifi-kanalen, ip-adressen, mac-adressen, serienummer en "soortgelijke technische data" over het het gebruik en functioneren van de routers, alsmede het wifi-netwerk.
De verzamelfunctie wordt door firmware-update versie 1.0.7.12 op de R7000-router ingeschakeld. Gebruikers zouden de optie wel weer kunnen uitschakelen, aldus een andere supportpagina. Of de functie ook aan andere modellen wordt toegevoegd is onduidelijk. Op de supportpagina spreekt Netgear wel over "onze routers".
Na de vele kritische vragen van de Eerste Kamer over het sleepnet, is het demissionair kabinet nu met antwoorden gekomen. De antwoorden zijn vooral een herhaling van zetten van de behandeling in de Tweede Kamer. Maar de senatoren laten het kabinet er niet mee wegkomen.
Bij verschillende Eerste Kamerfracties heerst de zorg dat de diensten met het sleepnet straks veel te veel data over onschuldige personen kunnen onderscheppen. Deze zorg wordt ook gedeeld door de toezichthouder op de geheime diensten, de CTIVD, die al geruime tijd pleit voor expliciete wettelijke waarborgen om de verzamelde data zo snel mogelijk te beperken tot wat daadwerkelijk relevant is. De CTIVD noemt dat een verantwoorde databeperking, maar die ontbreekt dus.
Die zorg van de senatoren komt niet uit de lucht vallen. Niet alleen wordt met het sleepnet de bevoegdheid tot interceptie enorm uitgebreid waardoor grote hoeveelheden data onderschept kunnen worden, ook het risico op onrechtmatig handelen neemt toe. Onlangs werd nog eens pijnlijk duidelijk dat de geheime diensten structureel nalaten om onterecht verzamelde data te vernietigen.
Op de vraag hoe dit soort onregelmatigheden door de nieuwe wet voorkomen gaat worden, blijft het kabinet een helder antwoord schuldig. Uit de antwoorden van het kabinet blijkt bovendien dat er hoofdzakelijk een technische beoordeling (met negatieve filters, positieve filters en selectie) van de verzamelde data plaatsvindt waarvan de overgebleven data “in beginsel” relevant wordt geacht. Alleen als de verzamelde data “evident niet relevant” is zou deze moeten worden vernietigd.
Een harde plicht om de vergaarde data zo snel mogelijk op daadwerkelijke relevantie te toetsen, ontbreekt vooralsnog. Met de recente bevindingen van de CTIVD over hoe de diensten ten onrechte data niet vernietigen, voorspelt dit weinig goeds. Dat betekent dat er waarschijnlijk heel erg veel data die eigenlijk niet relevant is, alsnog bewaard zal worden.
Wat ook opvalt is dat er veel vragen zijn gesteld over de mogelijkheid van de diensten om realtime en volledig geautomatiseerd toegang te krijgen tot databases van meewerkende bedrijven en overheidsinstanties. Ook wij maken ons hier zorgen over. Waarborgen, zoals een voorafgaande onafhankelijke toets, ontbreken en er worden geen duidelijke grenzen aan de reikwijdte van deze bevoegdheid gesteld. Juist doordat er zo weinig waarborgen voor deze bevoegdheid gelden, bestaat er een reëel risico op misbruik.
Toch wuift het kabinet de zorgen die hierover bestaan weg, door te hameren op het vrijwillige karakter van de medewerking door bedrijven en overheidsinstanties. Het klopt dat realtime toegang tot databases niet kan worden afgedwongen. Maar het feit dat partijen vrijwillig de geheime diensten toegang tot jouw data kunnen geven, maakt de inbreuk op jouw rechten niet kleiner. In tegenstelling tot wat het kabinet suggereert, vindt deze samenwerking in het geheim plaats. Meewerkende partijen mogen niets over hun samenwerking met de diensten zeggen. Kortom, je hebt geen flauw idee of de overheidsinstantie of het bedrijf waaraan je je data toevertrouwd de achterdeur vrijwillig heeft opengezet voor de geheime diensten. Er is dus geen enkele reden om aan te nemen dat het dataverzamelen via realtime toegang tot databases minder ingrijpend zou zijn dan bijvoorbeeld het zetten van een tap.
De zorgen van de Eerste Kamer zijn duidelijk niet weggenomen. Naar aanleiding van de antwoorden van het kabinet besloot de Eerste Kamer afgelopen dinsdag daarom dat er nog een tweede schriftelijke vragenronde komt. Eerste Kamerleden kunnen nu tot uiterlijk 30 mei nieuwe schriftelijke vragen indienen. Het kabinet moet hierop vervolgens weer reageren.
Na het debat en de stemming in de Tweede Kamer is het even stil geweest over de nieuwe wet voor de geheime diensten. Momenteel ligt het wetsvoorstel in de Eerste Kamer. BoF is nu druk bezig om Eerste Kamerleden te overtuigen waarom het stelselmatig en op grote schaal tappen van communicatie zo’n slecht plan is.
Op 14 februari stemde een meerderheid in de Tweede Kamer vóór de nieuwe wet op de geheime diensten. Die dag won politieke opportuniteit het van degelijke wetgeving. Na de stemming is het wetsvoorstel naar de Eerste Kamer gezonden. Daar wordt het wetsvoorstel nu eerst behandeld door een aparte commissie van Eerste Kamerleden.
Op 28 maart sprak deze Kamercommissie in een besloten bijeenkomst met de toezichthouder op de geheime diensten (CTIVD). De toezichthouder had eerder stevige kritiek op het voorstel en ook nu weer zijn ze er niet van overtuigd dat goed toezicht mogelijk is. Bovendien werd deze week ook nog eens duidelijk dat de geheime diensten bij het onderscheppen van vertrouwelijke communicatie van advocaten en journalisten de regels overtraden. Dat is allerminst een geruststelling als men bedenkt dat het wetsvoorstel de diensten nog meer mogelijkheden geeft om communicatie op grote schaal te onderscheppen.
De Eerste Kamer kan het wetsvoorstel zelf niet meer wijzigen. Strikt genomen kan de Kamer alleen het voorstel aannemen of verwerpen. Er is nog wel een andere manier voor de Eerste Kamer om het voorstel aangepast te krijgen: via een novelle. Dan neemt de Eerste Kamer het voorstel (en de novelle) pas aan nadat de Tweede Kamer het voorstel via een novelle wijzigt. Het is nu de Eerste Kamer die een grens moet trekken en de huidige plannen van het (demissionaire) kabinet om een sleepnet in te voeren tegenhoudt.
Wat als het huidige wetsvoorstel wordt aangenomen en in werking treedt? Dan zou een stap naar de rechter mogelijk nog soelaas kunnen bieden. Maar een eenvoudige of snelle klus is dat niet. Maar nu is eerst de wetgever aan zet.
De CTIVD heeft vanaf 2006 met regelmaat de omgang met verschoningsgerechtigden onder de nadrukkelijke aandacht van de diensten gebracht in onder meer (kaderstellende) toezichtsrapporten en klachtadviezen. Sinds 2013 geeft zij expliciet aandacht aan de indirecte inzet van bijzondere bevoegdheden jegens verschoningsgerechtigden. Gedane aanbevelingen zijn in bijna alle gevallen door de betrokken minister(s) overgenomen. Daarnaast wordt gewezen op de recente jurisprudentie met betrekking tot dit onderwerp en de bepalingen uit de daaruit voortvloeiende Tijdelijke Regeling. Uit het rapport blijkt dat de beide diensten in de praktijk ook thans nog tekortschieten in de omgang met verschoningsgerechtigden.
De CTIVD doet in dit rapport aanbevelingen ter voorkoming van (verder) onrechtmatig handelen...
...De CTIVD acht het wenselijk in het vervolg een onafhankelijke bindende toetsing te laten plaatsvinden als de indirecte inzet van een bevoegdheid jegens een journalist (mede) is gericht op het achterhalen van een journalistieke bron. Het gaat dan om een bindende toets voorafgaande aan het uitwerken van communicatie (of informatie daarover, bijvoorbeeld telefonieverkeersgegevens) die gegevens bevatten inzake een journalistieke bron. In die gevallen kan immers sprake zijn van een inbreuk op de journalistieke bronbescherming.
De CTIVD beveelt de ministers aan voor de resterende looptijd van de Tijdelijke Regeling deze aanvullende waarborg van toepassing te verklaren, respectievelijk aan te geven dat de onder hen ressorterende diensten zich daarnaar zullen gedragen. Daarenboven beveelt de CTIVD de ministers aan een naar strekking gelijke bepaling, analoog aan de regeling die geldt voor advocaten, op te nemen in het thans in parlementaire behandeling zijnde wetsvoorstel voor een nieuwe wet op de inlichtingen en veiligheidsdiensten. Zij verwijst hiervoor naar haar Zienswijze op de Wiv 20.
Vandaag zijn onder de noemer 'Year Zero' duizenden pagina's aan CIA-data gelekt door Wikileaks. Uit die documenten zou ondermeer blijken dat de CIA een soort NSA binnen de eigen organisatie heeft opgetuigd, zonder dit te melden.
Dat zegt beveiligingsexpert Arjen Kamphuis die de documenten doorlas voor BNR. 'De NSA gaat over digitale informatievoorziening, doorbreken van encryptie, inbreken in systemen. En de CIA maakt gebruik van die informatie, dat is de normale taakverdeling. Het lijkt er nu dat de CIA heeft gezegd van: wij vertrouwen die andere club niet zo en vechten met ze over budget, dus we gaan onze eigen mini-NSA binnen de CIA oprichten. En dat gaan we verder ook aan niemand vertellen. En dan gaan we lekker onze eigen dingen doen. Dat staat letterlijk in de documenten, dat ze hun eigen club hebben georganiseerd.'
Uit de documenten zou verder blijken dat er geen toezicht van het Amerikaanse congres over dit soort activiteiten was. 'Ze hebben dus een heleboel technische informatie over achterdeurtjes in systemen die niet geïdentificeerd zijn en niet gemeld bij de fabrikanten. Dat wordt dus ook niet gerepareerd. Dat wordt dan gebruikt om in te breken of om er een afluisterapparaat van te maken. Maar wat ook in de documenten staat zijn lijsten van doelwitten in Europa, Zuid-Amerika en andere plekken in de wereld', zegt Kamphuis.
Kamphuis zegt dat, nu de informatie op straat ligt, andere organisaties en bedrijven de achterdeurtjes in software ook kunnen misbruiken. 'Het is bijzonder naïef van de CIA om te denken dat zij de enige zijn die dit soort informatie kan ontdekken. Maar als ze dan vervolgens de informatie laten rondslingeren hebben bijvoorbeeld Zuid-Amerikaanse drugskartels deze informatie ook.'
Zo blijkt dat de CIA schadelijke software gebruikt om iPhones en andere smartphones, computers met Windows en zelfs televisie-software aan te vallen om er informatie te verzamelen. Volgens het Duitse Der Spiegel gaat het om 8761 documenten en data over het systematisch binnendringen van vreemde computers door de CIA. Eén van de manieren waarop de CIA mensen bespioneerden was volgens de uitgelekte informatie via een smart-tv van het merk Samsung, de F8000. De experts van de dienst zetten het apparaat van buiten af zogenaamd uit. Het apparaat werkte daarna als een microfoon waarmee de bezitter werd afgeluisterd.
Geen enkele computer of smartphone is nog veilig voor speurders door een upgrade van de opsporingsmethodes. ‘De nieuwe wet laat de politie toe om dat soort infiltraties uit te voeren, altijd onder toezicht van een magistraat.
Om al de informatie te verwerken, is het toegelaten dat ook het burgerpersoneel telefoontaps of ander onderschept materiaal mee verwerkt.
De Duitse communicatiewaakhond Bundesnetzagentur heeft aan ouders gevraagd of ze de slimme pop My Friend Cayla willen vernietigen. De pop kan namelijk persoonlijke data lekken.
Onderzoekers hebben eerder aangetoond dat het mogelijk is de onbeveiligde Bluetooth-verbinding te gebruiken voor het afluisteren van en praten tegen kinderen. My Friend Cayla maakt ook gebruik van stemherkenning om te luisteren naar kinderen. Het speelgoed kan op deze manier reageren op uitspraken.
In Duitsland is het verboden om verbannen afluisterapparatuur te bezitten of te verkopen. Mensen die zich niet aan deze wet houden, kunnen tot twee jaar de cel in gaan. Een vertegenwoordiger van de Bundesnetzagentur heeft tegenover de krant Süddeutsche Zeitung gezegd dat het hier gaat om verborgen zendapparatuur. Het maakt voor de wet ook niet uit in wat voor vorm een dergelijk apparaat wordt gepresenteerd.
Zojuist heeft de Tweede Kamer de nieuwe wet op de inlichtingen- en veiligheidsdiensten vrijwel ongewijzigd aangenomen. Daarmee is deze dag een zwarte dag voor het recht op privacy geworden.
Bijna alle ingediende wetsverbeteringen werden verworpen, op enkele relevante amendementen en een belangrijke motie na:
- amendement nr. 13 (Verhoeven, D66) over de medewerkingsplicht bij ontsleuteling van communicatie: dit amendement regelt dat communicatiebedrijven nimmer verplicht zullen worden om hun encryptie te verzwakken of ‘achterdeurtjes’ in hun systemen in te bouwen. - amendement nr. 31 (Voortman, GroenLinks) over ondersteuning aan buitenlandse veiligheidsdiensten: dit amendement bevestigt dat buitenlandse geheime diensten niet op eigen houtje communicatie mogen aftappen op Nederlands grondgebied. - motie nr. 55 (Recourt, PvdA) over een zo gericht mogelijke inzet van bevoegdheden: door deze motie worden AIVD en MIVD verplicht om iedere ongerichte internettap (‘sleepnetbevoegdheid’) altijd zo gericht mogelijk in te zetten.
Privacy First betreurt het feit dat vrijwel alle andere amendementen (waaronder die ter algehele schrapping van de ‘sleepnetbevoegdheid’) door de Tweede Kamer nauwelijks serieus bediscussieerd zijn en vandaag rücksichtslos verworpen zijn en verwacht nu dat de Eerste Kamer het wetsvoorstel grondig zal behandelen en kritisch zal toetsen op rechtmatigheid en effectiviteit.
Privacy First verwacht dat die toetsing alsnog zal leiden tot verwerping van het wetsvoorstel. Mocht echter ook de Eerste Kamer binnenkort besluiten om het huidige wetsvoorstel goed te keuren, dan zal Privacy First dit bij de rechter aanvechten en het wetsvoorstel onrechtmatig laten verklaren wegens massale schending van het recht op privacy. De eerste oriënterende gesprekken tussen Privacy First en relevante advocatenkantoren zijn daartoe reeds gepland.
