Alles bij elkaar ‘mogen’ Tweede Kamerleden duizenden pagina’s aan voorstellen, adviezen en kritiek lezen alvorens ze over een nieuwe spionagewet gaan stemmen. Is dat mogelijk? En krijg je dan alsnog een bevredigende balans tussen noodzakelijk vergaande digitale bevoegdheden en borging van privacy van ‘onschuldige burgers? Of is dat per definitie onmogelijk met spionage?

Het wetsvoorstel voor de Wiv (2017 of 2018) ter vervanging van de huidige Wiv 2002 komt van minister Plasterk (BZK, PvdA), en is medeondertekend door VVD-ministers Van der Steur (V&J), Hennis (Defensie) en Rutte (AZ), heeft een Memorie van Toelichting van 367 pagina’s. In twee beperkte paragraafjes worden in het kort de belangrijkste wijzigingen genoemd. Verder zijn er nog tal van kleine wijzigingen die helaas niet direct helder zijn. De hoofdpunten:

• Uitbreiding van de mogelijkheid voor het (af)tappen van draadloze communicatie naar telecom via kabels. Het gaat hier om de ‘onderzoeksopdrachtgerichte interceptie’. Dit betekent dat de AIVD en de MIVD data, spraak en video kunnen aftappen als zij op zoek zijn naar personen, organisaties en dreigingen zonder nog enige richting te hebben. Door tegenstanders hiervan vaak geduid als ‘sleepnet’;
• De controle op de diensten wordt versterkt met toetsing van onderzoek vooraf van de door de minister verleende toestemmingen voor speciaal inlichtingenwerk. Dit moet plaatsgrijpen door een Toetsingscommissie Inzet Bevoegdheden (TIB). Die is ‘onafhankelijk’, dat wil zeggen, wordt benoemd door de regering voor zes jaar. Dat kunnen, schrijft Plasterk, twee leden worden met een ruime rechterlijke ervaring en een lid met technische kennis. Zowel de rechtmatigheid wordt getoetst als de uitoefening van bevoegdheid;
• Ook krijgen burgers de mogelijkheid een klacht in te dienen over het handelen van de AIVD en/of de MIVD. Burgers die dat doen krijgen voortaan een bindende uitspraak van de CTIVD. De minister is dus verplicht het oordeel van de CTIVD op te volgen;
• Verstrekking van ruwe data aan de NSA en andere buitenlandse diensten mag enkel na toestemming van de betrokken minister. De criteria voor internationale samenwerking worden expliciet gemaakt en toestemming wordt beter geregeld.
• Veiligheid van eigen medewerkers wordt verbeterd met voorwaarden voor vernietiging van data over agenten en informanten. Ook mogen de diensten ‘bijzondere bevoegdheden’ inzetten om de veiligheid van eigen medewerkers te garanderen of om de betrouwbaarheid van een menselijke bron te testen.
• Het kabinet benoemt een ‘coördinator van de inlichtingen- en veiligheidsdiensten’. Deze leidt een ministeriële ‘Commissie Veiligheids- en Inlichtingendiensten Nederland’ (CVIN). Deze CVIN stelt een jaarlijks onderzoeksplan op
• In een jaarverslag komt geen informatie over door de dienst aangewende middelen in concrete aangelegenheden, over ingezette middelen en het kennisniveau van de dienst.
• De diensten zijn bevoegd tot het verrichten van DNA-onderzoek op basis van celmateriaal en DNA-profielen mogen vijf jaar worden bewaard
• De diensten mogen met technische hulpmiddelen, valse signalen, valse sleutels en valse hoedanigheid, eventueel met hulp van een computer van een derde, binnendringen in verdachte computers;
• Beveiliging mag doorbroken worden, versleuteling van data ongedaan gemaakt; personen die de encryptie kennen, moeten sleutels afstaan;
• De diensten mogen gericht aftappen, ontvangen, opnemen en afluisteren, elke vorm van spraak en dataoverdracht, ongeacht waar een en ander plaatsvindt.
• Data mogen drie jaar worden bewaard
• Toezicht van de onafhankelijke CTIVD behalve achteraf ook tijdens het werk; klachtenonderzoek en bindend besluit van CTIVD;

Beter in omringende landen

De regering overweegt in de toelichting uitgebreid de vóór- en nadelen van extra bevoegdheden en meent een evenwicht te hebben gevonden met het nieuwe wetsvoorstel. Het moet, volgens de regering:

‘En dus moet aanvankelijk op een grotere groep worden ingezet, om uiteindelijk bij de persoon uit te komen die nog niet op de radar verscheen’, luidt de kern. Eerst heel veel data, dan het netwerk traceren en van daaruit de individuen. Pas dan volgt de verdenking. Eerst wachten tot een verdachte is getraceerd heeft geen zin meer.

Nu zijn we kwetsbaar, zegt Den Haag: ‘Van bovenaf gezien lijkt het kabellandschap op onze watervoorziening. Deze vergelijking doortrekkend voor de dreiging die via de kabel tot ons komt, leidt tot de conclusie dat we nu geen waterzuiveringssysteem hebben.’

Zoals ook bepleit door de WRR in haar Big Data-rapport, moet de nadruk in regulering veel meer liggen op het gebruik van de data dan op de verzameling: ‘De regering is daarbij van mening dat nieuwe, ruimere bevoegdheden alleen kunnen worden uitgeoefend als het verder gebruik van de verkregen informatie wordt gereguleerd en er robuuste controle wordt uitgeoefend op inzet van de bevoegdheden en op het verder gebruik van de informatie.’ De vraag is vervolgens waar die ‘robuuste controle’ uit bestaat.

Grootschalig datagraaien zonder verdenking mogen diensten in Duitsland, Engeland, België en Frankrijk al en zij geven de AIVD en MIVD regelmatig informatie die ze zelf nog niet kunnen onderscheppen. Ook om aanslagen te voorkomen.

Nederland trekt momenteel volgens de AIVD en de regering cyberaanvallers aan die buurlanden mijden die zich beter dan wij kunnen verdedigen. Ook de concurrentiepositie van bedrijven verzwakt als cyberboeven hier minder weerstand krijgen dan elders, aldus de regering. Ook is meer slagkracht nodig om het verstoren van militaire apparatuur gedurende operaties en oorlog te beperken.

Rustig slapen

Maakt u zich niet druk, vindt het kabinet: ‘Ten overvloede merkt de regering op, dat er geen sprake van is dat een fors deel van de telecommunicatie van de Nederlanders zal worden opgeslagen. Wij gaan geen grote klem plaatsen op de GSM-providers in ons land. Wij gaan niet op zoek naar mensen die het woord ‘bom’ of ‘ISIS’ gebruiken in hun e-mails. We trekken niet in bulk internetverkeer naar binnen om te kijken welke mensen op zoek zijn naar kunstmest. Wij bekijken niet de Youtube-voorkeuren van Nederlandse burgers.

Wat doen we wel? Onderzoeksopdracht gerichte interceptie zal te allen tijde een zeer klein percentage betreffen van het totaal aan nationaal en internationaal dataverkeer.’

De regering zal in 2017 één zogenaamde ‘access-locatie’ gereedmaken voor dit soort onderschepping van data. De Ams-Ix lijkt het meest geschikt hiervoor. Dat wordt niet permanent gebruikt, maar voor perioden, na goedkeuring door de TIB, en in overleg met telecomaanbieders. Die krijgen hun kosten vergoed (20 miljoen begroot).

Tot 2020 moet er nog zo’n toegangspunt bijkomen. Twee aftappunten op kabels zouden ook op de netten van KPN en Ziggo gezet kunnen worden. Veel mobiel verkeer gaat ook over die kabels, maar niet alles.

De diensten en TIB moeten ermee leren omgaan, heet het. Men gaat ervan uit dat die tijd er is, maar die is er niet bij een grote dreiging. Dan eist het volk, zo leert de ervaring, dat de diensten ‘adequaat reageren’. ‘Razendsnelle internationale uitwisseling van gegevens blijft doorslaggevend’, schrijft het kabinet ook. Lang nadenken over toestemming kan dan niet. Het is even oorlog.

Opbrengsten transparant?

Heeft dat alles nu effect? De regering stelt dat het inlichtingenwerk niet alleen terrorisme voorkomt maar ook indirect de toenemende spanningen tussen bevolkingsgroepen die elkaar naar het leven kunnen gaan staan.

De regering beweert ook: ‘De AIVD verstoort ieder jaar meerdere potentiële terroristische dreigingen, in Nederland en in Europa. Meestal in samenwerking met binnenlandse en buitenlandse partners. Het aantal dreigingen neemt toe…’

Dat is niet onderbouwd. Nog altijd maakt de regering het effect van het inlichtingenwerk niet duidelijk. Dat is een traditie in het spionagewerk, zo bleek recent nog uit geschiedschrijving van de voorlopers van de AIVD.

In Engeland is het nut van sleepnetten gerapporteerd volgens de regering: zeven terroristische aanslagen die sinds november 2014 werden voorkomen. 95 procent van de cyberaanvallen die in een periode van zes maanden waren gedetecteerd, kon alleen zo worden voorkomen. Telefoontaps en richtmicrofoons volstaan al lang niet meer.

Hele negatieve adviezen

Er zijn heel veel adviezen gevraagd en verkregen, ook bijvoorbeeld van Amnesty International. Al heel lang ben ik lid van de club vanwege het beschermen van vrijheid van meningsuiting in verre landen. Dat deze wet er ook is om die indirect van ons te beschermen speelt in het advies geen punt meer. Amnesty adviseert enkel inzake privacy en is daarover heel negatief.

Daarbij is begin 2016 ook een door de Tweede Kamer gevraagde Privacy Impact Assessment (PIA) gemaakt door het onafhankelijke onderzoeksbureau PI.Lab. (TNO en Universiteiten Nijmegen en Tilburg).  De resultaten van de consultaties en de PIA zijn deels verwerkt in het wetsvoorstel.

In een reactie (Extern advies 9, 186 pagina’s) op het wetsvoorstel zegt PI.Lab een inschatting van de privacyrisico’s te hebben gemaakt. En geen toetsing aan Artikel 8 (privacy) van de Europese Rechten van de Mens (EVRM).

PI.Lab vindt het voorstel op veel punten goed en vindt de uitbreiding van bevoegdheden noodzakelijk gezien toenemende onveiligheid. Maar er is ook forse kritiek: Zo is de mogelijke inzet van die ruime bevoegdheden te weinig beperkt en gespecificeerd zodat privacyrisico’s te groot worden. Vooral waar taken worden geautomatiseerd sluipt het gevaar binnen dat dataverzameling in ‘grijze gebieden’ privacy te veel op de tocht zet

Technologie die de komende tien jaar op ons af kan komt is niet doordacht, bijvoorbeeld van drones en Internet of Things. Veel bepalingen zijn te vaag waardoor uitwerking en effecten niet bepaald kunnen worden. Op veel punten schieten privacywaarborgen tekort. De kern van de kritiek van PI.Lab draagt een enorm dilemma in zicht:

‘De keuze om zo technologieneutraal mogelijk te zijn is begrijpelijk (je wilt niet dat een wet bij elke technische vernieuwing moet worden aangepast), maar heeft belangrijke nadelen. Het leidt tot ruime en algemeen omschreven bevoegdheden, die daarmee dreigen overinclusief te worden, omdat ze vele mogelijke technologische toepassingen in de toekomst kunnen omvatten. Toekomstige toepassingen kunnen materieel een aanzienlijk grotere, dan wel kwalitatief andere, inbreuk op de privacy maken dan momenteel het geval is.’

Zo treedt er ook een dilemma op van het enerzijds omslachtig en/of omfloerst formuleren van bevoegdheden waarschijnlijk bedoeld om ruimte te maken voor de diensten tegenover de noodzaak van het volk om te weten wat er nu precies gebeurt. Dit soort dilemma’s lijkt onoverkomelijk. PI.lab vindt dat het wetsvoorstel haast etaleert en dat er gewoon beter nagedacht moet worden. Daar gaan de aanbevelingen op in.

Kabinet gepikeerd over toon advies

Lab noemt ook een hele serie ‘onaanvaardbare privacyrisico’s’, zoals:

• Bulkinterceptie (sleepnet) zonder voldoende waarborgen;
• Vergaren van metadata als minder risicovol te zien als inhoud aftappen
• De wens om te hacken zonder zeer vergaande voorwaarden;
• Bedrijfsnetwerken - op eigen kosten - aftapbaar maken;
• Clouddiensten aftapbaar willen maken (voor mail wel goed, voor foto’s en bestanden niet);
• Opzet van een DNA-databank;
• Te weinig capaciteit van toezicht (CITVD)

Het zeer negatieve advies valt verkeerd bij het kabinet. Het is gepikeerd over de toon van Pi.Lab, het scherpe karakter en een ‘te eenzijdig en negatief beeld’ over het wetsvoorstel.

Dat het voorstel zo complex is, vindt de regering nagenoeg onoverkomelijk gezien de materie, maar de oorspronkelijke toelichting is aanzienlijk aangepast om het begrijpelijker voor burgers te maken

De regering verbeterde haar voorstel na het advies op een aantal inhoudelijke punten. Zo moet er ook toestemming vooraf komen voor verzameling van metadata.

De DNA-databank is gehandhaafd, het kunnen hacken eveneens en ook cloudtoegang en internationaal uitruilen van ongeëvalueerde data. Voor alles worden wat scherpere voorwaarden geformuleerd, maar de algemene remedie vormt het voorstel voor een toetsingscommissie vooraf (TIB).

Raad van State lovend en kritisch

En deze TIB kan nu juist de goedkeuring van de Raad van State weer niet wegdragen. Zo’n nieuwe toetsingscommissie is niet effectief genoeg, verwacht de Raad. Hij voorziet dat dit een papieren tijger zal worden die geen idee zal hebben wat er precies in de praktijk zal gaan plaatsvinden en uit arren moede dan maar goedkeuringsstempels zal gaan zetten.

Het is juist beter volgens de RvS als de bestaande CITVD deze taak op zich zal nemen, want die heeft de ervaring en verstand van zaken om te onderkennen wat de diensten gaan uitspoken als ze een voorstel doen om te gaan spioneren.

Niet waar, vindt Plasterk, die zijn TIB handhaaft in het definitieve voorstel. Immers, die CITVD moet al achteraf oordelen geven of het inlichtingenwerk volgens de regels verliep. Maar dan, vindt Plasterk, ontstaat het probleem van een slager die mede het eigen vlees keurt.

Dee minister gaat er dus vanuit dat de CITVD ook moet vaststellen of de goedkeuring vooraf en toetsing daartoe goed zijn verlopen. In dat geval zou ze inderdaad het ‘eigen vlees’ moeten keuren. Gaat het achteraf alleen over de uitvoering, dan niet.

Onderzoekers van het Ivir komen ook met kritiek op de voorgestelde TIB. De situatie dat deels de rechter deels de TIB bevoegd is, is niet optimaal. In het algemeen  zijn de onderzoekers van mening dat dat het wetsvoorstel op diverse punten niet voldoet aan eerder door hen geformuleerde Tien standaarden voor toezicht en transparantie.

Behalve de kritiek op de TIB gaat het onder meer om vragen als:
zijn er wel voldoende middelen voor het toezicht?
Waarom wordt er niet meer ‘tegenspraak’ geregeld?
Waarom is er geen voorafgaand toezicht op informatie-uitwisseling met buitenlandse diensten?
Waarom is er zo weinig geregeld over transparantie? Bedrijven weten bijvoorbeeld nog steeds niet wat zij wel of niet mogen zeggen over de medewerking die zij verlenen (zogenaamde ‘transparancy reporting’)?

De Raad van State heeft nog meer bezwaren, want ze heeft anders dan PI.lab juist wel getoetst op de mensenrechten (EVRM). Bijvoorbeeld een bewaartermijn voor (big) data van drie jaar vindt de Raad te grof. Dat kan best korter.

Humor met tegenstrijdige formulering

Geestig is deze passage in het advies van de Raad van State over het hacken, waarbij diensten apparatuur willen binnendringen via computers van derden die door de verdachte worden vertrouwd:

‘De diensten zullen altijd eerst proberen rechtstreeks binnen te dringen in het geautomatiseerde werk van het target zelf. Daar staat tegenover dat de toelichting ook stelt: “De technische realiteit leert dat targets over het algemeen veiligheidsbewust zijn, maar dat zich operationele kansen tot het benutten van zwakheden kunnen voordoen bij technische randgebruikers, zoals medehuurders van een bepaalde server, welke kunnen leiden tot het succesvol binnendringen van het geautomatiseerde werk van het target.’

Vervolgens wordt aangegeven dat de diensten zich in de praktijk al in het overgrote deel van de gevallen toegang tot het geautomatiseerd werk van een ‘target’ verschaffen via apparatuur van een derde organisatie of persoon.

Misschien is dit wel het fraaiste onderdeel van het geheel aan spionagewetgeving: er wordt een enorm bouwwerk opgetuigd dat tientallen jaren mee moet, maar de praktijk zal in toenemende mate – zeker bij groeiende onrust binnen Nederland en vijandigheid van buiten – te weerbarstig blijken om de regels altijd uitgebreid serieus te nemen. Of is dat te cynisch?