Simon van der Aa

Inleiding

De Militaire Inlichtingen- en Veiligheidsdienst (hierna: MIVD) rapporteerde begin 2024 dat in Nederland Chinese cyberspionageactiviteiten waren ontdekt. Hierbij werd gebruikgemaakt van schadelijke software[1] waarmee een statelijke Chinese actor in staat was binnen te dringen bij Nederlandse internetproviders en een netwerk van Defensie.[2] Daaropvolgend bracht de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) op 28 augustus 2025 naar buiten dat Nederland eind 2024 doelwit is geweest van de wereldwijde cyberspionagecampagne[3] door de hackgroep Salt Typhoon.[4] De campagne van Salt Typhoon werd gesteund door de Chinese overheid. In dit geval werden vooral kleinere internetproviders en hostingbedrijven getroffen. Uit onderzoek van de AIVD en MIVD blijkt dat de hackgroep toegang had verkregen tot de routers van internetproviders, maar dat ze geen verdere toegang konden krijgen tot de interne netwerken van deze organisaties.[5] Gelukkig kwamen ze dit keer niet ver, maar de vraag blijft wat de schade een volgende keer zal zijn. Deze voorbeelden illustreren dat bedreigingen tegenwoordig van alle kanten komen. Oorlogen en conflicten spelen zich niet alleen wereldwijd af in het fysieke domein, maar ook in het digitale domein. De digitale ruimte is een speelveld geworden voor regionale en mondiale dominantie. Het MIVD, AIVD en Nationaal Cyber Security Centrum (hierna: NCSC) zijn continu bezig om cyberaanvallen tegen Nederland te detecteren en te verhelpen. Om de digitale weerbaarheid tegen cyberaanvallen te versterken moet de wetgeving zich blijven ontwikkelen. Sinds 15 mei 2025 zijn meer vormen van spionage strafbaar gesteld, waaronder digitale spionage ex art. 98d Wetboek van Strafrecht (hierna: Sr). In dit artikel wordt gefocust op digitale spionage: wat houdt het in en wat zijn de grenzen?

Wat is digitale spionage?

Door de wetswijziging valt niet alleen het verkrijgen van staats- of bedrijfsgeheimen onder spionage, maar ook het verkrijgen van niet openbare informatie die staten kan voorzien van strategische voorkennis.[6] Dergelijke informatie kan bijvoorbeeld gebruikt worden om in te spelen op politieke of maatschappelijke ontwikkelingen, kwetsbaarheden in Nederlandse systemen bloot te leggen of om een staat zijn concurrentiepositie te versterken.[7] Oftewel: geopolitieke doeleinden. Om die reden is het sinds de wijziging strafbaar geworden om opzettelijk gevoelige informatie te lekken en handelingen te verrichten die zwaarwegende Nederlandse belangen ernstig in gevaar brengen.[8] Dit omvat onder andere het uitvoeren van spionageactiviteiten voor een buitenlandse overheid, spionage gericht tegen bondgenoten en internationale organisaties, en spionage die vanuit het buitenland wordt gepleegd.[9] Op deze spionageactiviteiten staat een gevangenisstraf van maximaal acht jaar of een geldboete van de vijfde categorie. De AIVD definieert digitale spionage als het met digitale middelen verkrijgen van gevoelige of vertrouwelijke informatie van een andere staat met het oog op eigen strategische doelen.[10] Hierbij wordt de vertrouwelijkheid van informatie geschonden door deze te kopiëren of weg te nemen, met als einddoel het bemachtigen van gevoelige of geclassificeerde gegevens of intellectueel eigendom.[11]

Digitale spionage wordt voornamelijk uitgevoerd door statelijke actoren, ook komt het voor dat een staat digitale spionage laat uitvoeren via zogenoemde ‘hacktivistische collectieven’. Hacktivisten hacken vanuit politieke of maatschappelijke doeleinden, bijvoorbeeld om conflicten onder de aandacht te brengen of ideeën te verspreiden. In tegenstelling tot kwaadwillige hackers, streven hacktivisten niet naar financieel of persoonlijk gewin en richten ze zich doorgaans ook niet op spionage.[12] In sommige gevallen is het niet geheel duidelijk vanuit welk motief gewerkt wordt. Een voorbeeld hiervan is Rusland. Soms gebruiken traditionele Russische cyberactoren ‘hacktivistische’ covers, terwijl in andere gevallen echte hacktivistische groepen opereren in lijn met de belangen van de Russische staat.[13]

De manier waarop digitale spionage plaatsvindt, kan verschillende vormen aannemen.[14] Voor een beter begrip van de werking van digitale spionage, wordt spear phishing als voorbeeld gebruikt. Spear phishing is het versturen van valse berichten naar specifieke personen of groepen met als doel kwaadaardige software te installeren of vertrouwelijke informatie te tappen.[15] Het onderscheidt zich van reguliere phishing doordat de aanval gericht is op een specifiek individu/organisatie en niet als ‘bulkmail’ wordt verstuurd. Door middel van spear phishing kunnen bijvoorbeeld inloggegevens van medewerkers van organisaties met gevoelige informatie worden gestolen, waardoor nationale belangen ernstig in gevaar kunnen komen. Een voorbeeld van deze situatie speelde zich af tussen 2013 en 2017 in de Verenigde Staten. Het Amerikaanse ministerie van Justitie bracht in 2018 een aanklacht uit tegen negen Iraniërs die werkzaam waren voor het Mabna Institute. Het Mabna Institute was een Iraans bedrijf dat in opdracht van de Iraanse overheid opereerde, waaronder de Islamitische Revolutionaire Garde.[16] Via de activiteiten van de verdachten hackte het Mabna Institute meer dan 100.000 accounts van professoren wereldwijd. De gestolen accountgegevens werden gebruikt om toegang te krijgen tot academische accounts en documenten.[17] De verdachten hadden het gemunt op onderzoeksgegevens, wetenschappelijke data, bedrijfsgeheimen en intellectueel eigendom. Ze slaagden hierin: er werden 31 terabyte aan documenten en data gestolen bij meer dan 140 Amerikaanse universiteiten, 30 Amerikaanse bedrijven, vijf Amerikaanse overheidsorganisaties en meer dan 176 universiteiten in 21 andere landen, waaronder Nederland. De gestolen informatie werd doorgestuurd naar de Iraanse overheid en later te koop aangeboden op twee Iraanse websites.[18] Al met al: een groot datalek.

Om dergelijke gevolgen te voorkomen, werken de AIVD en MIVD actief aan het vergroten van de bewustwording rondom de risico’s van digitale spionage. Zo gaan ze langs bedrijven, overheden en onderwijsinstellingen om voorlichtingen te geven over de dreigingen en de maatregelen die getroffen kunnen worden om deze te beperken. Daarnaast kan de AIVD samenwerkingen met inlichtingen- of veiligheidsdiensten beperken of opschorten.[19]

Nederlandse spionage

Met de uitbreiding van de strafbaarheid van spionageactiviteiten rijst de vraag hoe het zit met Nederlandse spionage. De AIVD en MIVD beschikken over wettelijk vastgelegde bevoegdheden om inlichtingen te verzamelen, ook met methoden die je als ‘spionage’ zou bestempelen. De inzet hiervan is gebonden aan strikte voorwaarden en toezicht door onder andere de Toetsingscommissie Inzet Bevoegdheden (hierna: TIB) en Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD).[20] Deze bevoegdheden zijn noodzakelijk om buitenlandse dreigingen tijdig te signaleren en om de activiteiten van buitenlandse inlichtingendiensten te kunnen frustreren.[21]

            De Wet op de inlichtingen- en veiligheidsdiensten 2017 (hierna: Wiv 2017) vormt hiervoor een juridisch kader. Deze wet legt de rechten en plichten van de AIVD en MIVD vast en bepaalt hoe toezicht gehouden wordt op deze handelingen. Zo mag de AIVD onder meer personen volgen en observeren, telefoongesprekken aftappen, gegevens verzamelen en (cover)bedrijven oprichten ter ondersteuning van operaties. Daarnaast geldt sinds kort de ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’. Deze wet is ingevoerd, omdat de Wiv 2017 tekortschiet in het bieden van voldoende flexibiliteit bij het bestrijden van cyberaanvallen.[22] Onder de eerdere regelgeving werd het steeds moeilijker om cyberaanvallen te volgen en te onderzoeken, vooral wanneer de aanvallen wisselden van servers of apparaten. Om makkelijker mee te kunnen wisselen met deze wijzigingen is een voorafgaande toetsing door de TIB niet meer nodig. Toetsing kan nu ook tijdens of achteraf plaatsvinden door de CTIVD.[23]

Conclusie

Al met al markeert de strafbaarstelling van digitale spionage een belangrijke ontwikkeling in het Nederlandse veiligheidsbeleid. Waar spionage traditioneel werd gezien als een fenomeen in het fysieke domein, heeft de digitalisering geleid tot een verschuiving naar het digitale speelveld. Het wettelijk kader van art. 98d Sr weerspiegelt deze realiteit en stelt grenzen aan activiteiten die de nationale veiligheid en internationale rechtsorde in gevaar kunnen brengen. De invoering van tijdelijke wetgeving onderstreept bovendien dat de dreiging niet hypothetisch is, maar actueel en groeiend.

Hoeveel digitale spionage vindt op dit moment – vaak ongemerkt en pal onder onze neus – plaats? Hoeveel capaciteit moeten de AIVD en de MIVD inzetten om deze dreiging te bestrijden? Het antwoord op die vragen blijft grotendeels buiten beeld en misschien is dat maar goed ook. Wat wél duidelijk is, is dat de digitale dreiging reëel is en onze waakzaamheid verdient. Bescherm daarom altijd je gegevens, gebruik sterke wachtwoorden en wees terughoudend met het openen van links of bijlagen in e-mails. Hoewel digitale spionage onzichtbaar is, kan alert gedrag van zowel individuen als organisaties een verschil maken.

Bibliografie

[1] Ook wel malware genoemd. Malware is schadelijke software die is ontworpen om apparaten, systemen of netwerken te verstoren, beschadigen, onbevoegde toegang te krijgen of gegevens te stelen. ‘Malware’, ncsc.nl (geraadpleegd op 23 september 2025).

[2]‘MIVD onthult werkwijze Chinese spionage in Nederland’, defensie.nl (geraadpleegd op 23 september 2025).

[3] Een cyberspionagecampagne is een doelgerichte en vaak langdurige operatie waarbij digitale middelen worden ingezet om heimelijk informatie te verzamelen.

[4] ‘Nederlandse providers doelwit van Salt Typhoon’, aivd.nl (geraadpleegd op 23 september 2025).              

[5] ‘Nederlandse providers doelwit van Salt Typhoon’, aivd.nl (geraadpleegd op 23 september 2025).

[6] ‘Wetsvoorstel aangenomen: meer vormen van spionage strafbaar’, nctv.nl (geraadpleegd op 23 september 2025).

[7] Kamerstukken II 2022/23, 36280, nr. 3, p. 3 (MvT) en Cybersecuritybeeld Nederland  2022, NCTV,  p. 22.

[8] Kamerstukken II 2022/23, 36280, nr. 3, p. 1-3 (MvT).

[9] Zie art. 98d lid 1 Sr: “Met gevangenisstraf van ten hoogste acht jaren of geldboete van de vijfde categorie wordt gestraft hij die, wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen, opzettelijk in heimelijke betrokkenheid met een buitenlandse mogendheid: 1. schadetoebrengende handelingen verricht ten behoeve van die buitenlandse mogendheid; of 2. aan die buitenlandse mogendheid onmiddellijk of middellijk inlichtingen, een voorwerp of gegevens verstrekt.”.

[10] ‘Cyberdreiging’, aivd.nl (geraadpleegd op 23 september 2025).

[11] Cybersecuritybeeld Nederland 2024, NCTV,  p. 13.

[12] ‘What Is Hacktivism: Its Purposes and Methods’, group-ib.com (geraadpleegd op 23 september 2025).

[13] Cybersecuritybeeld Nederland  2024, NCTV,  p. 36.

[14] Voorbeelden hiervan zijn: (spear) phishing, malware, DDoS-aanvallen en keylogging.

[15] ‘Wat is spear phishing’, malwarebytes.com (geraadpleegd op 23 september 2025).

[16] Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps’, justice.gov (geraadpleegd op 23 september 2025).

[17] ‘Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps’, justice.gov (geraadpleegd op 23 september 2025).

[18] Cybersecuritybeeld Nederland 2018, NCTV, p. 32.

[19] ‘Wat doet de AIVD om spionage tegen te gaan?’, aivd.nl (geraadpleegd op 23 september 2025). Zie bijvoorbeeld de publicaties: ‘Cyberaanvallen door statelijke actoren: 7 manieren om een aanval te stoppen (2021)’ en ‘Hoe herken je spionage en wat kun je ertegen doen?' (2020).

[20] ‘Wie controleert de AIVD?’, aivd.nl (geraadpleegd op 23 september 2025). De CTIVD controleert het werk van de AIVD en beoordeelt of de taken volgens de wet worden uitgevoerd.

[21] ‘Spionage’, aivd.nl (geraadpleegd op 23 september 2025).

[22] ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’, aivd.nl (geraadpleegd op 23 september 2025).

[23] ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’, aivd.nl  (geraadpleegd op 23 september 2025).