Ze zijn vaak kort door de bocht, de argumenten van de voor- en tegenstanders van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Stem je tegen, dan wordt Nederland onveiliger, aldus de voorstanders. En stem je vóór, dan werk je volgens tegenstanders mee aan het bouwen van een surveillancestaat.

Zoek je de nuance, dan ben je al gauw overgeleverd aan officiële stukken. Neem bijvoorbeeld de kloeke Memorie van Toelichting, dat telt maar liefst 366 pagina’s.

Maar hoe zit het nu? Wat is er straks allemaal toegestaan? Voor FTM dook Harry Lensink de afgelopen maanden in de details. Een terugblik.

De wet

Een belangrijke taak van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) is om catastrofaal gevaar – zoals extremisme of een staatsgreep – voor te zijn. De AIVD waakt samen met de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) over de rechtsorde en de nationale veiligheid.

De dienst is niet opgericht om individuen die strafbare feiten plegen in de kraag te vatten: die taak ligt in handen van politie en justitie. Maar in het opsporen van gevaar schendt de AIVD wel de privacy van individuele personen.

We zijn opnieuw bij dezelfde discussie aanbeland: veiligheid of privacy?

De Nederlandse overheid erkent dat effectief functionerende geheime diensten per definitie schuren met de grondrechten. En de Raad van State heeft haar twijfels of de Wiv voldoet aan de voorwaarden van het Europese Hof voor de Rechten van de Mens.

Ook de komst van de oude Wiv (uit 2002) leidde tot ophef. De discussie over de wet toen – die ook nieuwe bevoegdheden gaf aan de geheime diensten – lijkt erg op het debat nu. Ook toen waren de kampen dezelfde als nu: veiligheid versus privacy. Ook toen was men bezorgd dat de nieuwe bevoegdheden een inbreuk zouden zijn op de privacy. Door de aanslagen op de Twin Towers in 2001 verstomde de discussie echter: veiligheid won het van privacy.

In 2013 keerde het tij. Klokkenluider Edward Snowden onthulde de afluisterpraktijken van de National Security Agency (NSA); ook de Nederlandse diensten speelden in dezen een rol. De verontwaardiging van het publiek was groot, de houding tegenover de geheime diensten werd kritischer.

En nu zijn we opnieuw bij dezelfde discussie aanbeland. Om de oude Wiv te verbeteren, moest er een nieuwe komen. Wat is er veranderd? Wat mogen de diensten doen? En wat niet? Wie ziet erop toe dat de diensten zich aan de regels houden?

Datahonger

Laten we maar meteen beginnen met het ‘sleepnet’. Met de nieuwe Wiv komt er een bijzondere bevoegdheid bij: de ‘onderzoeksopdrachtgerichte interceptie’ (OOG). Om gebruik te maken van deze bijzondere bevoegdheid is toestemming nodig van de minister van Binnenlandse Zaken en, nog belangrijker, van de onafhankelijke Toetsingscommissie Inzet Bevoegdheden (TIB) — waarover dadelijk meer.

Als die goedkeuring is verkregen, begint de dienst met het verzamelen van metadata: wie heeft contact met wie; wanneer en waar vindt dat contact plaats? Bij het langdurig verzamelen en koppelen van deze gegevens krijgt de dienst een gedetailleerd beeld van het doelwit.

De AIVD beweert dat er geen sprake is van een ‘sleepnet’: alle gegevens die niet van belang zijn, worden vernietigd. De irrelevante data wordt wel eerst verzameld, maar er wordt niets mee gedaan. De Raad van State stelt voor om die gegevens al eerder in het proces weg te gooien; dit om de inbreuk op de privacy zo klein mogelijk te houden.

Critici vragen zich echter af hoe je irrelevante informatie als zodanig herkent. Ook maken zij zich zorgen of die kennis niet als vrijbrief wordt gebruikt om data zo lang mogelijk te bewaren. De wet is hieromtrent niet helder. Het ontbreken van een wettelijke verplichting tot selectie en vernietiging kan leiden tot datahonger bij de diensten. Volgens de adviesorganen Raad van State en de Raad voor de Rechtspraak betekent dit bovendien een vergroting van de mogelijkheid tot secundair gebruik van gegevens.

Bart Jacobs, hoogleraar Digital Security aan de Radboud Universiteit, maakt gehakt van het argument ‘we verzamelen, maar doen er niets mee’:met datzelfde argument kun je immers ook rechtvaardigen dat je een camera ophangt in een slaapkamer. Volgens Jacobs moet je al tijdens het verzamelen filteren. Zijn advies en dat van de twee raden is gehoord, maar niet juridisch vastgelegd in de nieuwe wet.

Het argument dat OOG een sleepnet is, wordt door bijzonder hoogleraar Inlichtingenstudie Paul Abels van tafel geveegd: ‘De dienst staat voor de moeilijke taak om tijdig te onderkennen wat iemand van plan is. Daarbij kunnen kleine stukjes data van belang zijn. OOG is geen sleepnet: als de diensten ergens niet op zitten te wachten, is het op grote hoeveelheden bulkdata.’

Uit onderzoek blijkt dat methoden van OOG de Britse inlichtingendienst GCHQ hebben geholpen in het voorkomen van aanslagen. In de toelichting bij de Wiv haalt de Nederlandse regering aan dat buitenlandse diensten door OOG beter hun werk konden doen. Critici zijn van mening dat grote hoeveelheden informatie verstikkend werken voor inlichtingendiensten. Ook waarschuwen zij voor het gevaar dat kan ontstaan wanneer geheime diensten zich blindstaren op het binnenhalen van zoveel mogelijk informatie. Hiermee zou het nut van traditionele werkwijzen ondergesneeuwd raken.

Hacken

Wat ook onder bijzondere bevoegdheden valt (en niet zonder toestemming mag), is hacken. Dit is al jaren gebruikelijk, maar in de nieuwe Wiv mogen de diensten ook derden hacken om informatie te krijgen over het doelwit. In bijzondere gevallen mogen ook nietsvermoedende burgers worden gehackt. 

De opstellers van de Wiv geven toe dat de primaire doelwitten van de geheime diensten vaak moeilijk te hacken zijn: gevaarlijke doelwitten zijn zich meer bewust van hun veiligheid en nemen daarvoor maatregelen. Hierdoor neemt de verleiding toe voor de geheime diensten om derden te hacken, zoals een huisgenoot, collega of familielid.  

Critici vinden dat het hacken in de wet niet goed is geregeld. De bevoegdheden zijn wettelijk vastgelegd op basis van bestaande technieken, maar bij nieuwe technologie ontstaan witte vlekken die kunnen leiden tot onbegrensd gebruik en misbruik. Daarmee lijken de mogelijkheden technisch gezien grenzeloos.

De Raad van State vindt die waarborgen van de regering zwak

Volgens de regering moet het hacken van derden gepaard gaan met een zo klein mogelijke inbreuk op de privacy en mag het louter gebruikt worden als ultieme maatregel. De Raad van State vindt die waarborgen echter zwak: iemand die op zo’n manier wordt gebruikt door de geheime diensten, mag als hij of zij wordt gehackt wel wat meer bescherming krijgen, zo oordeelde het adviesorgaan.

Één van de controleurs van de geheime dienst, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), stelde voor in de wet op te nemen dat het hacken van derden alleen kan als het onvermijdelijk is. Dat advies is in de wind geslagen.

Mislukt het hacken van derden, dan ligt een ouderwetse oplossing voor de hand: de informant. Iemand die bijvoorbeeld werkzaam is bij een provider en eens in de zoveel tijd een usb-stickje aflevert bij de geheime dienst of hun toegang geeft tot het netwerk. Hiervoor is geen toestemming nodig van de TIB, want het is geen bijzondere bevoegdheid.

Irrelevante informatie

In de nieuwe Wiv is de opslagtermijn van data veranderd: van één jaar naar drie jaar. De regering zegt dat de diensten vooral geïnteresseerd zijn in metadata, maar wettelijk beschouwd is er geen onderscheid: ook de inhoud van de communicatie kan men op grote schaal binnenhalen en bewaren. Het uitgangspunt is dat irrelevante informatie zo snel mogelijk wordt herkend en vernietigd. Lukt dat niet, dan mag deze data alsnog drie jaar worden bewaard.

Onder de nieuwe Wiv mag de AIVD zelf beslissen of zij data verstrekken aan zusterdiensten in het buitenland. De overheid beschouwt het delen van informatie als een belangrijk onderdeel van internationale samenwerking, maar de kans bestaat dat er niet-geëvalueerde data van onschuldige burgers tussen zit. De regering geeft aan dat bij het delen van deze data de grootste zorgvuldigheid wordt betracht. De minister moet wel goedkeuring geven, maar de TIB komt er niet aan te pas. Het advies van de CTIVD mag de minister naast zich neerleggen.

Controle

De geheime diensten krijgen nieuwe bevoegdheden, maar mogen die niet zomaar inzetten. Er zijn twee commissies die de diensten gaan controleren: één vooraf en één achteraf. Één bindend, en één niet-bindend. 

De Toetsingscommissie Inzet Bevoegdheden (TIB) controleert vooraf of de inzet van de geheime dienst rechtmatig is. Is dat niet het geval, dan geeft ze een negatief advies – wat de minister moet honoreren – en is het hele feest van de baan. De TIB heeft echter alleen iets te zeggen over speciale bevoegdheden, zoals aftappen en hacken. 

Opmerkelijk: de technisch expert die voor de TIB door de Tweede Kamer is gekozen, is een uitgesproken voorstander van de nieuwe Wiv. Ronald Prins, oud-eigenaar van cybersecuritybedrijf Fox-IT – met klanten uit kringen van (contra)spionage – controleert samen met de twee raadsheren Mariëtte Moussault en Lex Mooy de geheime diensten op voorhand. Prins heeft in het verleden ook bij de AIVD gewerkt.

Het gevaar dreigt daarnaast dat de commissie nimmer een negatief advies zal geven: je zult maar nee hebben gezegd, en er ontploft een maand later een bom. Adviezen om de TIB aan te vullen met een ‘tegenspreker’ of een groep deskundigen waar de commissie op kan terugvallen, hebben de nieuwe wet niet gehaald. 

De verantwoordelijkheid die bij de controlerende instanties ligt, is erg groot

Nico van Eijk, directeur van het Amsterdamse Instituut voor Informatierecht (IViR), gelooft niet dat de TIB zomaar overal mee zal instemmen, maar vindt wel dat de leden onafhankelijke deskundigen mogen raadplegen, wat in de nieuwe wet niet is geregeld.

Dan is er nog de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Die bestaat al langere tijd; ook nu controleert deze commissie achteraf of de uitgevoerde handelswijze terecht was. Blijkt dat niet zo te zijn, dan krijgt de dienst een tik op de vingers. Het oordeel van de commissie is openbaar en het parlement kan de minister ter verantwoording roepen wanneer deze het oordeel negeert. Het gebeurt echter zelden dat de minister het oordeel van de CTIVD negeert.

De CTIVD krijgt een klachtenafdeling: hier kunnen burgers of organisaties hun beklag doen als ze vinden dat ze onterecht in de gaten worden gehouden of als ze menen dat de diensten hun boekje te buiten zijn gegaan. Het advies van deze klachtenafdeling is wél bindend; de minister mag het dus niet negeren.

De verantwoordelijkheid die bij de controlerende instanties ligt, is erg groot. Ze zullen sterk in, meent Van Eijk. Hij gelooft niet dat er sprake zal zijn van grote datahonger bij de diensten, zolang de controleurs hun werk goed doen.

Al met al valt er dus nogal wat te verbeteren aan de wet. Er zijn op veel punten onduidelijkheden en er is ruimte voor interpretatie waarmee de diensten hun voordeel kunnen doen. Het advies van experts hierin verandering aan te brengen, is genegeerd. Of deze witte vlekken ertoe leiden dat de diensten misbruik gaan maken van hun positie, zal de tijd moeten uitwijzen.