Achtergrond
Privacy-inbreuk of win-win-wet?
Behalve voor de gemeenteraad stemmen we woensdag ook over de Wet op de inlichtingen-en veiligheidsdiensten (WIV). Mare bezocht in de aanloop naar het referendum diverse debatten en vroeg experts naar de voor- en nadelen van de wet.
donderdag 15 maart 2018

Door Vincent Bongers Op 21 maart wordt de kiezer gevraagd om in een raadgevend referendum een oordeel vellen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (WIV). De spaghetti van wetsartikelen en controlemechanismen komt kort samengevat hier op neer: de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) krijgen breder toegang op de kabel en mogen computers hacken van onschuldige personen om zo een doelwit op de korrel te nemen.

Ook mogen ze grote hoeveelheden ongefilterde data binnenhalen. Die laatste bevoegdheid is door tegenstanders ‘het sleepnet’ genoemd: een grove aantasting van de privacy en een mogelijk opstap naar een Nederland waar iedereen voortdurend in de gaten wordt gehouden. Beeldvorming waar voorstanders van de wet juist weer van gruwen. De bevoegdheden zijn immers nodig om Nederland te beschermen tegen terrorisme en cybercrime, vinden zij.

Is een nieuwe wet nodig?

‘Ik zie het als een noodzakelijk kwaad. Je moet onderkennen dat de veiligheidsdiensten meer mogelijkheden nodig hebben om de nieuwe dreigingen het hoofd te kunnen bieden’, zegt Gerrit-Jan Zwenne, Leids hoogleraar recht en de informatiemaatschappij. ‘Dan hoef je nog niet eens aan terroristische organisaties als de Hofstadgroep te denken, maar ook aan zwaar ontwrichtende cyberaanvallen. Die hoeven niet eens specifiek gericht te zijn op Nederland, zoals de malware-aanval die afgelopen december een deel van de Rotterdamse haven platlegde. Ik vind dat de diensten tegen deze dreigingen moeten kunnen optreden.’

‘De oude wet is in de jaren negentig gemaakt’, aldus hoogleraar staats- en bestuursrecht Wim Voermans, vorige week tijdens een debat op de rechtenfaculteit. ‘Toen haalde je informatie uit de ether, nu gaat alles over de kabel. Een veiligheidsdienst die met een dichtgekalkte voorruit over de digitale snelweg moet rijden, daar heb je niet zoveel aan. Deze wet doet iets wat eigenlijk onmogelijk is in een democratische rechtsstaat: de overheid moet de staatsveiligheid beschermen door dingen te doen die schuren met ons recht op privacy. Het is een balansoefening van jewelste. Een onmogelijke eigenlijk.’

‘We moeten de kabel op’, benadrukte Geert Kuiper, plaatsvervangend directeur van de MIVD, tijdens datzelfde debat. ‘We gaan daar niet op zoek naar Leidse studenten. We willen Chinese en Russische spionageactiviteiten in de gaten houden, op zoek gaan naar terroristen en Iraanse en Noord-Koreaanse hackers tegenhouden.’

Wat zijn de hete hangijzers?

De belangrijkste is de zogeheten onderzoeksopdrachtgerichte interceptie (OOG) op de kabel, waarbij de diensten enorme hoeveelheden data binnenhalen - door wat tegenstanders ‘het sleepnet’ noemen. ‘Je hoort niet zomaar in het vizier te komen van de diensten, als daar geen concrete aanleiding voor is’, aldus David Korteweg van burgerrechtenorganisatie Bits of Freedom. ‘Dat principe is met deze wet echt aan het verschuiven. De diensten kunnen vervolgens grasduinen in die gegevens. Waar begint die bevoegdheid nou en waar eindigt deze?’ Volgens de AIVD wordt al bij interceptie ‘tussen de 95 en 98 procent van de gegevens direct vernietigd. Het gaat hierbij om gegevens waarvan gelijk blijkt dat ze niet relevant zijn.’ 

Staat de privacy onder druk? ‘Het staat me persoonlijk helemaal niet aan dat ze eventueel naar me kijken, zonder dat ik iets gedaan heb’, zegt Jelle van Buuren, universitair docent van het Instituut Security and Global Affairs. ‘Maar als de gegevens ook echt verwijderd worden, dan onderga ik op geen enkele manier negatieve consequenties. Dan moet je er wel heel erg op vertrouwen dat de diensten het wettelijke en ethische bewustzijn hebben om die data ook echt weg te gooien.’

Hoe is het toezicht geregeld?

Voor een OOG is eerst toestemming nodig van de minister. Maar dat is pas stap één. ‘Er komt een commissie die vooraf toezicht houdt op de diensten: de Toetsingscommissie Inzet Bevoegdheden (TIB)’, legt Zwenne uit. ‘Deze commissie toetst, direct na de goedkeuring van een aanvraag om een bijzondere bevoegdheid in te zetten, de rechtmatigheid.’ Dat de commissie bestaat uit twee oud-rechters en cybersecurity-expert Ronald Prins, maakt de TIB volgens Zwenne ‘helaas niet zo onafhankelijk als zou moeten’. Hij had liever gezien dat nog werkzame rechters waren benoemd.

‘Wat betreft het ongericht aftappen op de kabel is er echt meer transparantie nodig. Bits of Freedom heeft het na jarenlang protesteren eindelijk voor elkaar gekregen dat er tapstatistieken zijn vrijgegeven - dat soort zaken moeten gewoon in de wet geregeld zijn. De WIV wordt over twee jaar geëvalueerd, en dat stelt mij niet heel erg gerust. Het moet nu al goed zijn.’

Dan is er nog de controle achteraf door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). ‘Ik raad mensen aan om naar de site van het CITVD en te kijken hoe streng het toezicht is. Deze commissie mag op elk moment in alle systemen van de diensten en mag personen onder ede horen. Als er een wereldkampioenschap toezicht zou bestaan, dan staat Nederland zeker op het podium’, stelt Pieter Bindt, die van 2011- 2016 hoofd van de MIVD was.

‘Ons personeel wordt opgeleid om de wet te volgen en niet om deze te overtreden’, aldus Kuiper. ‘De nieuwe wet bevat meer waarborgen op het gebied van privacy en de rechten van burgers dan oude. Kortom: win-win-wiv.’

Quirine Eijkman, ondervoorzitter van het college voor de Rechten van de Mens, zou graag zien dat er ook controle komt op effectiviteit van diensten, legde ze uit tijdens het debat in Den Haag. ‘Als je een bepaald middel inzet, dan is het van belang om te kijken of dat ook echt iets oplevert. Nu wordt er erg gekeken naar: mag het? Maar je kunt ook naar doelmatigheid kijken.’

Kan iedereen gehackt worden?

Een bevoegdheid die minder aan de orde komt in het debat, is hacken. ‘Het gaat dan om hacken van derden, niet van het doelwit zelf’, aldus Vincent Böhre van burgerrechtenorganisatie Privacy First. ‘Mensen om een target heen hacken. Daar hebben we echt veel moeite mee.’

De AIVD noemt het ‘vergelijkbaar met een huiszoeking in een appartementencomplex: daar moet je ook eerst door de centrale voordeur om bij de juiste flat te komen’. Ook Korteweg is kritisch. ‘De diensten maken bij het hacken gebruik van kwetsbaarheden in computersystemen en software die bij de makers nog niet bekend zijn, de zogeheten zero days. Die leveren voor iedereen een risico op.’

Wat kan er beter?

‘Rob Bertholee, hoofd van de AIVD, gaf laatst een overtuigend voorbeeld’, zegt Van Buuren. ‘Bij een inval vindt de politie een laptop met aanwijzingen dat een terroristisch netwerk op het punt staat te acteren. Dan kopieer je de harde schijf en stuur je die naar alle diensten zodat die meteen aan de slag kunnen. Er is dan te weinig tijd om goed naar alle data te kijken. Dit soort voorwaarden zou je beter in de wet moeten opnemen om te benadrukken dat het om uitzonderlijke situaties gaat. Zo neem je een deel van de zorgen weg zonder de hele wet van tafel te vegen.’

Hij vindt het ‘dom’ dat het kabinet zegt niets te gaan doen met de uitslag van het referendum. ‘Je kunt wettelijk nog zoveel dichtspijkeren, maar uiteindelijk gaat het om vertrouwen.’

‘Bij meer bevoegdheden horen verdergaande waarborgen’, vindt Zwenne. ‘Die staan nu onvoldoende in de wet. We moeten het nu te veel hebben van toezeggingen van bewindspersonen. Maar in hoeverre gaan hun opvolgers zich daaraan houden? Ik was een van de 29 wetenschappers die in 2016 de brief met kritiek op de WIV heeft ondertekend. Er is sindsdien wel wat verbeterd, maar het moet nog beter. Die wet is nog niet goed genoeg.’