Op 4 april 2017 staat de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten op de agenda van de Eerste Kamer voor een voorbereidend onderzoek. Deze wet werd, na langdurig debat, moties en amendementen, toch door de Tweede Kamer geloodst. In de discussie in de Tweede Kamer ging het bijna alleen over privacy tegenover veiligheid. Het is duidelijk dat de wet een verregaande inbreuk op de privacy van burgers mogelijk maakt. Ook zijn de standpunten van diverse experts en de Raad van State helder, met name op het gebied van gebrek aan waarborgen, gebrek aan adequaat toezicht en disproportionele inbreuken op de privacy van burgers waarvan de noodzaak maar niet duidelijk wil worden.
Een belangrijk ander punt is echter onderbelicht gebleven en verdient meer aandacht. Namelijk de grote (veiligheids)risico’s voor het Nederlandse bedrijfsleven die de wet met zich mee brengt.
Google in de Eemshaven
In de discussie is het steeds over de Staat versus burgers gegaan. Vandaar ook dat privacy en controle over gegevens zoveel aandacht kreeg. Privacy als recht geldt niet voor bedrijven. Maar ook zij hebben veel gegevens die bescherming verdienen. Nederland heeft een belangrijke positie als toegangspoort naar Europa, bijvoorbeeld via internetknooppunt Amsix. En steeds meer internationale ICT bedrijven vestigen hier belangrijke onderdelen, zoals bijvoorbeeld het datacenter van Google in de Eemshaven. Nog daargelaten de vele innovatieve bedrijven die op grote schaal data verwerken als kern van hun dienstverlening en bedrijfsvoering. Het beschermen van die data is cruciaal voor de concurrentiepositie en reputatie van bedrijven. En daar ontstaan nu juist grote risico’s.
Het wetsvoorstel maakt het mogelijk om op grote schaal gegevens af te tappen. Om dat mogelijk te maken zijn veel bedrijven verplicht medewerking te verlenen door toegang voor de inlichtingendiensten te creëren. Dit is het eerste punt waar de bedrijven een stukje controle verliezen.
Vervolgens kunnen de gegevens gedurende maar liefst 3 jaar bewaard worden bij de inlichtingendiensten zonder dat er iets mee gebeurt om de relevantie voor het werk van de inlichtingendienst te bepalen. Het gaat dan dus gewoon om bedrijfsgegevens, gegevens waar het bedrijf van afhankelijk kan zijn, of gegevens over klanten waar het bedrijf verantwoordelijk voor is.
Ook al hebben we het volste vertrouwen in een zorgvuldige veilige opslag door onze inlichtingendiensten, dan nog is er een fors risico. Op basis van het wetsvoorstel is het immers toegestaan de ruwe data te delen met andere inlichtingendiensten. Dus, ook al heeft de Nederlandse inlichtingendienst geen belang bij bepaalde gegevens die van een bedrijf verzameld worden, dan nog kunnen bijvoorbeeld de VS deze gegevens in handen krijgen.
Dat de VS geen gelijkwaardige bescherming bieden doet er dan even niet toe, omdat uitwisseling geschiedt op basis van 'quid pro quo'. Het is dus een politieke afweging, niet een afweging van noodzaak of proportionaliteit. Het feit dat buitenlandse diensten zelf ook rechtstreeks allerlei gegevens aftappen laat ik dan nog even buiten beschouwing.
Encryptie geen afdoende bescherming
Nu kun je denken dat bedrijven zich hiertegen kunnen beschermen door het toepassen van encryptie. Maar dan mogen de inlichtingendiensten weer aan iedereen die dat kan verzoeken om de versleuteling ongedaan te maken. Dat verzoek is niet vrijblijvend, want op het niet meewerken staat een celstraf van 2 jaar. Tenslotte is er nog de mogelijkheid tot het gebruik van systemen van bedrijven door de diensten. Bijvoorbeeld om toegang te krijgen tot andere systemen of om informatie te onderscheppen.
Al met al biedt het wetsvoorstel een basis om gegevens van bedrijven buiten de controle van bedrijven te trekken, te delen met andere landen en het voor bedrijven bijna onmogelijk te maken om hun reputatie te beschermen. Ze worden immers afhankelijk van de zorgvuldigheid en het nette gedrag van een scala aan inlichtingendiensten uit Europa en daarbuiten. Dat is natuurlijk niet het doel van de wet, maar wel een ernstig neveneffect dat stevig wordt onderschat.
Ondanks veel kritiek is de wet door de Tweede Kamer aangenomen. Het is nu aan de Eerste Kamer om de privacybezwaren tezamen met de risico’s voor het Nederlandse bedrijfsleven goed in ogenschouw te nemen. De wet zal er moeten komen, maar dan wel met de benodigde aanpassingen om privacy en veiligheid daadwerkelijk te beschermen.
Mr. dr. Arnold Roosendaal is adviseur bij Privacy Company. Dit artikel verscheen op 29 maart 2017 eerst in het FD.