Dit brengt mij op het vierde punt. Zodra burgers of bedrijven (of parlementariërs) voldoende appèl op de overheid doen of onveiligheid anderszins de beleidsagenda bereikt,28 start een beleidscyclus. Ik zal die niet helemaal met u doorlopen. Ik beperk me tot facetten van de uitkomst.
5.1 Digitale (on)veiligheid
Figuur 4: Digitale onveiligheid en cyber security paradigma's
De regering definieert digitale veiligheid als:
‘het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan.’29
Inbreuken kunnen verschillende vormen aannemen.30 Deze variëren van technisch falen, menselijke fouten, bewust menselijk handelen zoals activisme, malversaties, spionage, sabotage en oorlogshandelingen (zie Figuur 4). Daarachter gaan zowel statelijke als niet-statelijke actoren schuil.31 Die laatste categorie omvat onder meer (combinaties van) criminelen, activisten, actiegroepen, terroristen, rebellen én commerciële bedrijven.
Dit brengt mij op de eerste mythe [#1]: Het is een misvatting dit gehele spectrum van inbreuken te karakteriseren met cyber crime of cyber warfare.32 Deze generalisaties zijn bovenal verwarrend: het is beter naar de motieven achter de inbreuken te kijken. Deze variëren van vermaak,33 treiteren,34 activisme, chantage, economisch of militair gewin. Een grote verscheidenheid dus.35 Het schema maakt dit duidelijk.
Het verbeteren van digitale veiligheid is rondom vier paradigma’s geconstrueerd: bescherming van ICT, rechtshandhaving, inlichtingen en conflict. Deze paradigma’s bieden een bestuurlijk, juridisch en organisatorisch kader waarbinnen de overheid en private partijen hun bijdrage leveren (zie Figuur 4). De paradigma’s bepalen allereerst de taak (inclusief de rechtsbasis daarvoor), het toe te passen rechtsregime, de gezagsrelaties en het toezichtmechanisme. Zo omvat het rechtshandhavingsraamwerk de taakstelling voor de politie37tot het opsporen van strafbare digitale feiten,38 opsporingsbevoegdheden om digitaal te rechercheren 39en verantwoordings- en toezichtstructuren zoals een openbare en onafhankelijke meervoudige rechtsgang.
Deze vier paradigma’s maken dat verschillende departementen een rol bij cyber security spelen. En om deze verschillende inspanningen onderling af te stemmen zodat dit beleid legitiem, efficiënt en bovenal effectief is, is een vijfde paradigma, horizontale coördinatie nodig. Althans in ons staatsbestel. Elders wordt dit langs hiërarchische weg opgelost.
Over de rol van de krijgsmacht in dit geheel bestaan zeker twee mythen: ten eerste [mythe #2] dat de ‘bescherming van het digitale domein’, het totale Nederlandse dus – bij gebrek aan anderen – een verantwoordelijkheid van de krijgsmacht zou moeten zijn. En vervolgens dat [mythe #3] iedere rol van de krijgsmacht leidt tot ‘militarisering’, wat daarmee ook bedoeld mag worden.40 Ik zal beide mythen hierna weerleggen.
relaties25.2 Defensie rollen
Uiteraard speelt defensie een rol in het digitale domein. Alleen al vanwege onze territoriale veiligheid. Of in een uiterste geval bij het handhaven of herstellen van de internationale rechtsorde.41 Dit rechtvaardigt allerminst de vierde mythe [#4] dat de rol van defensie beperkt is tot ‘digitale oorlogvoering’ of cyber warfare.
Defensie zal namelijk om te beginnen, net als andere organisaties, haar eigen deel van het digitale domein beschermen. Daarnaast is defensie via de Koninklijke Marechaussee betrokken bij rechtshandhaving, en via de MIVD bij inlichtingen. En inderdaad – maar dus niet alleen – bij oorlog en conflict.
Daarmee is ook de opvatting, de vijfde mythe [#5] weerlegd dat iedereen bij defensie op dezelfde manier in het digitale domein staat. De verschillende rollen kennen een verschillende taak, verschillende mores en taal, verschillende bevoegdheden, en ook verschillende verantwoordings- en toezichts-mechanismen.
De meeste defensierollen associeer ik met de functies van een bastion: een beschermde versterkte positie, waarbinnen het veilig is, en van waaruit een goed overzicht op omgeving bestaat. Slechts een deel van de defensie inspanningen in het digitale domein associeer ik met (de punt van) het zwaard of de speer.
Ook defensie hanteert een vijfde rol om het geheel te coördineren. De commandant van het Defensie Cyber Commando heeft daarom een coördinerende functie. Daarnaast vindt periodiek overleg plaats tussen de kopstukken in de beleidsmatige en uitvoerende rollen.42Het totaal van alle defensie inspanning is immers zo sterk als de zwakste schakel. Wat dat betreft zijn vestingbouwers een voortdurende bron van inspiratie. Ik zal de eerste vier rollen één voor één belichten. Coördinatie laat ik voor wat het is.
5.2.1 Bescherming van ICT
Net als elders is de bescherming van defensie-ICT zeer divers van aard en kent zij verschillende invalshoeken. Deze variëren van (eisen voor) fysieke beveiliging, (regelgeving over) informatiebeveiliging, bewustwording, opleidingen van personeel alsmede de mentale of feitelijke weerbaarheid (resilience). Hoewel ik hiervoor slechts het symbool van het Defensie Computer Emergency Response Team heb gebruikt, zijn meer organisatiedelen betrokken. Ik denk aan het Joint Informatie Voorzieningscommando, de Afdeling Operations van de Defensie Materieel Organisatie, de Beveiligingsautoriteit, maar ook het Defensie Cyber Expertise Centrum. Maar ook alle individuele militairen en commandanten. Zij allen dragen hun steentje bij.
Het borgen van veiligheid kent hier een relatief beperkt juridische kader, waarbij het beschermen van grondrechten een prominente rol inneemt en inperkingen op grondrechten slechts op voorgeschreven wijze en voor bepaalde doeleinden mogelijk zijn. De uiteindelijke beschermingsrol moet - zoals betoogd - getoetst worden aan de eisen van veiligheid en legitimiteit.
Markant is dat – in tegenstelling tot fysieke defensie objecten – voor de bewaking en beveiliging van virtuele objecten, bijvoorbeeld data of applicaties, tot nu toe geen speciale voorzieningen zijn getroffen. Wat ik bedoel is dat de bewakers van militaire objecten in het uiterste geval noodzakelijk en proportioneel geweld mogen gebruiken. Ze zijn daartoe gerechtigd via de Rijkswet geweldgebruik bewakers militaire objecten.43 Ze hebben hiervoor een geweldsinstructie, die fysiek en zelfs dodelijk geweld toelaat.44
Als digitale inbreuken op de virtuele onderdelen van het digitale defensie domein voortduren of in ernst toenemen, zou de wenselijkheid en noodzaak van een aanpassing van die Rijkswet aan de orde kunnen zijn. Zo valt bijvoorbeeld naast de fysieke bewaking en beveiliging ook een digitale bewakingstaak te definiëren. Zo’n aangepaste taak vraagt om een ‘digitale geweldsinstructie’, naar analogie van de ‘natte’ paragraaf in de geweldsinstructies in het Caribisch gebied.45 En uiteraard moet de minister van Defensie haar ministeriële regeling waarin zij een lijst van ‘objecten’ uitgeeft, uitbreiden met digitale identiteiten en digitale objecten zoals data, applicaties, voor zover die niet al onder de fysieke bescherming zouden vallen. De tijd dat we objecten als louter fysieke en aanraakbare entiteiten moeten beschouwen ligt sowieso achter ons.46
Met dit voorbeeld wil ik de zesde mythe [#6] ontkrachten dat ‘het recht’ in het digitale defensie domein geen adequate bewakers toelaat. Dat is uiteindelijk aan de wetgever, op voorzet van hetzij de Kamer, dan wel de regering. En laten we niet vergeten: de wetgever, dat zijn we dus zelf!
relaties35.2.2 Rechtshandhaving
Hoewel ik het causale verband uiteraard niet aan kan tonen, heeft defensie’s politieorganisatie, de Koninklijke Marechaussee, na een prikkelend Editoriaal in de Militaire Spectator47 sinds 2013 het digitale domein omarmd.48 Opmerkelijk ontbrak de ‘politie van de staat’ in de eerste Nationale Cyber Security Strategie (2011), de Defensie Cyber Strategie (2012) en zelfs ook nog in de tweede Nationale Cyber Security Strategie (2013).49 Pas vorig jaar (2015) kreeg de Marechaussee een expliciete plaats in de actualisering van de Defensie Cyber Strategie.50
De Militaire Spectator wees allereerst op het feit dat de Marechaussee vol geraakt zou worden door het wetsvoorstel Computercriminaliteit III, dat uiteindelijk in december 2015 aan de Tweede Kamer is aangeboden.51 Ten tweede voorspelde de Militaire Spectator dat zodra het Defensie Cyber Commando actief zou worden, de beoordeling van de rechtmatigheid van dit digitale geweldgebruik bij de Marechaussee zou komen te liggen. En last but not least, dat waar technologie tot aanpassing van sociaal gedrag leidt, ook malafide uitwassen die binnen de taakstelling van de Marechaussee liggen, een zaak van de ‘KMAR’ worden. Een digitaal reveille dus.
Daarbij is het interessant dat een Brits IT tijdschrift afgelopen oktober meldde dat digitale criminaliteit de fysieke variant(en) overtreft.52 Los van hoe dit gemeten is, en aangenomen dat het juist is, roept het de vraag op wanneer politieorganisaties – niet alleen de Marechaussee dus – dit gegeven in werving, opleiding en organisatie zullen verdisconteren.
En dan hebben we het nog niet gehad over de vraag wat we moeten verstaan over de handhaving van de openbare orde in het digitale domein?53 Gaat de Marechaussee óók digitaal fulminerende (militaire) Twitteraars in toom houden? Of zou dat onder militaire justitiabelen niet voorkomen?
Opsporingsinstanties zoals de Marechaussee zijn afhankelijk van de wetgever. De wetgever bepaalt immers welk digitaal gedrag wel of niet afgewezen strafbaar wordt gesteld.54 Continue technische veranderingen en daarop gebaseerd menselijk gedrag, plus de maatschappelijke acceptatie of afwijzing daarvan, dwingen de wetgever deze strafbaarstellingen voortdurend te bezien.
Het bezien en zo nodig toekennen van adequate opsporingsbevoegdheden dient hiermee gelijke tred te houden. Als fysieke criminele handelingen door gebruik van digitale technieken achterwege blijven, of als opsporing effectiever en efficiënter langs digitale weg kan verlopen, moeten opsporingsmogelijkheden herzien worden. Ook hier is de wetgever aan zet.
Voor diegenen die in de zevende mythe geloven dat legitimiteit en vooral draagvlak van weinig waarde zijn in het digitale domein [mythe #7] wijs ik graag op het oorspronkelijk voorgestane decryptiebevel, dat na de internetconsultatie,55 niet meer in het huidige wetsvoorstel CCIII terugkeerde! Zo ziet u maar dat een publieksconsultatie en campagne van belangengroepen wel degelijk effect kan hebben.
relaties75.2.3 Inlichtingen
Ik kom op de derde defensie rol. Digitale inbreuken of bedreigingen kunnen ook de verantwoordelijkheid van inlichtingen- en veiligheidsdiensten raken. Dit is het domein van de Algemene inlichtingen- en veiligheidsdienst (AIVD) en de Militaire inlichtingen- en veiligheidsdienst (MIVD). Zij raken betrokken bij – kortgezegd – een bedreiging van de nationale veiligheid. Die taakstelling is gelimiteerd, anders dan vaak wordt gedacht [mythe #8]. Onze inlichtingendiensten voeren bijvoorbeeld geen oorlog.
Zoals dat in een rechtsstaat hoort, en zeker bij I&V diensten, zijn de taakstelling, de bevoegdheden, de wijze van uitoefening van die bevoegdheden, alsmede het toezicht daarop, door de wetgever bepaald. Ook in deze rol is de wetgever aan zet.
Dat de digitale werkelijkheid enerzijds en de wet (de WIV) uit 2002 (maar qua ontwerp uit 1993) anderzijds, uit de pas lopen, is inmiddels meermalen vastgesteld. De eerder genoemde commissie-Dessens concludeerde in 2014 dat een aanpassing van de WIV noodzakelijk is. De huidige WIV is voor de interceptiebevoegdheden namelijk ‘techniekafhankelijk’56 ontworpen.57 Uitbreiding en aanpassing van bevoegdheden is dan ook voorzien. Maar meer bevoegdheden vragen ook op een bezinning op verantwoorden, en dus op de toezichtstructuur en de bevoegdheden die de toezichthouders krijgen.
De wetgever zal ook hier kleur moeten bekennen. Draagvlak zal daarbij een belangrijk item zijn. Uit de internetconsultatie bleken ernstige bedenkingen tegen de proportionaliteit en noodzaak van enkele voorziene nieuwe bevoegdheden voor de diensten.58 Ook werd het toezicht op de diensten onvoldoende geacht.59 Onder de 557 insprekers bevonden zich niet de minsten: Greenpeace International, Bits of Freedom, Nederlandse Orde van Advocaten, Nederland ICT, IVIR en Google. Maar ook individuen zoals mr. W. van Amerongen uit Den Haag, en de markante ‘Anoniem aub – De Nederlandse overheid is al een Stasi’.
Ook hier speelt de balans tussen veiligheid, rechten van burgers én bedrijven, alsmede welvaart en welzijn een belangrijke rol. Het feit dat rechten en vrijheden daadwerkelijk in (relatieve) veiligheid te genieten zijn, draagt bijvoorbeeld bij aan een hoger welzijn en welvaren. Denkt u maar terug aan uw fiets.
Deze balans is overigens geen gefixeerd gegeven. Zij volgt in zekere zin dagkoersen. Maatschappelijke en parlementaire opvattingen fluctueren. Na 9/11 (2001) en de aanslagen in Madrid (11-3-2004) en Londen (5-7-2005) nam het belang van veiligheid ten koste van mensenrechten toe.60 Edward Snowden’s onthullingen leidden tot hernieuwde aandacht voor grondrechten en vrijheden. De recente opkomst van ISIS en de aanslagen in Parijs veroorzaakten juist weer een tegengestelde beweging waarbij veiligheid weer aan belang wint. Ook hier geldt de vraag: hoeveel veiligheid, tot (w)elke prijs?61
relaties2