Is de nieuwe wet een sleepnet?

Wil van der Schans Sun, 02/18/2018 - 22:53

sleepwet?Dat de dienst speciale bevoegdheden heeft, daar is bijna iedereen het wel over eens. Alleen, en dat geldt natuurlijk meer dan bij bijvoorbeeld de politie, er moeten zware waarborgen tegenover staan. Bevoegdheden mogen niet tegen iedereen worden ingezet. Ik pak de uitleg van de Wiv 2017, de Memorie van Toelichting, er nog eens bij, want daar staat het immers allemaal in. Maar dat is wel even schrikken. Maar liefst honderdvijftig pagina’s gaan puur en alleen over het verzamelen en uitwisselen van informatie. Op zich handig om alle methoden op een rij te hebben: informatie die diensten krijgen vanwege een wettelijke regeling (bijvoorbeeld van de politie), van informanten, van open bronnen, door bijzondere bevoegdheden (zoals afluisteren) en door de samenwerking met andere inlichtingen- en veiligheidsdiensten.

Maar er zitten gelukkig wel grenzen aan de bevoegdheden. En als ik zo doorlees, dan lijken die grenzen wel stevig getrokken te zijn, steviger dan in de oude wet. Dat was in eerst instantie niet zo, niet wat betreft de bijzondere bevoegdheden, maar ook niet wat betreft de algemene bevoegdheden om informatie te verzamelen. Want meestal begint het daar mee, legt voormalig AIVD’er Kees Jan Dellebeke uit. ‘Je moet in eerste instantie heel veel dingen onderzoeken en laten uitzoeken. En gelukkig krijg je daarbij veel hulp van politie en andere diensten, die voor de AIVD ook het land in kunnen gaan. Maar die moeten gaan signaleren wat er is. En dat is ook een soort sleepnet. Je gaat informatie verzamelen en daarna ga je pas kijken of al die gegevens die informanten jou verteld hebben, of die daadwerkelijk waar zijn, en of ze de moeite waard zijn om verder te bekijken, en wat voor soort dreiging er nu werkelijk is.'

De eerste fase van het onderzoek
In de eerste fase van het werk zoeken medewerkers van de diensten net als jij en ik op internet, lezen ze kranten en natuurlijk ook de wat ingewikkeldere tijdschriften.Maar ook het ongelimiteerd gegevens uit open bronnen verzamelen, zo vonden de CTIVD, de Raad van State en privacyorganisaties, zou een risico voor de privacy kunnen opleveren. Inderdaad een punt van zorg in tijden van big data, dat stelde ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een onderzoek naar het gebruik van big data. Vooral de potentiële risico’s door het gebruik van ingewikkelde algoritmes, die sturend kunnen zijn voor het handelen van veiligheidsorganisaties, verdienden volgens de WRR extra aandacht.
Om deze redenen is het wetsvoorstel aangepast en de nieuwe wet levert ten opzichte van de oude wet een betere waarborg voor de privacy. Bij het verzamelen van gegevens mag de dienst in de nieuwe wet slechts gebruik maken van díe methode die het minste nadeel voor betrokkene oplevert. Daarbij komt dan nog de extra waarborg dat als de methode een onevenredig groot nadeel in vergelijking tot het doel oplevert deze niet gebruikt zal mogen worden.

En zo is er meer veranderd: de CTIVD maakte zich ook ernstige zorgen over de zorgplicht voor de kwaliteit van de gegevensverwerking, waaronder de toepassing van algoritmen en (gedrags)modellen. Die is er nu wel ge- komen en van groot belang om (systeem)toezicht uit te oefenen op zowel de kwaliteit als de rechtmatigheid van (geautomatiseerde) gegevensverwerkingsprocessen.

Een juweeltje…
Hoogleraar Informatierecht Van Eijk noemt deze zorgplicht zelfs een verborgen juweeltje. ‘Een zorgplicht betekent dat de diensten zo zorgvuldig mogelijk met persoonsgegevens moeten omgaan. En dan kom je, als het gaat om persoonsgegevens, toch al een beetje dichter bij de regels die gelden in andere situaties. De toezichthouder kan straks niet alleen zeggen: hebben jullie het zorgvuldig genoeg gedaan? Maar ook: misschien kan het nóg zorgvuldiger. Dus daar zit een behoorlijke bescherming in. En laatst heeft de Tweede Kamer nog een motie aangenomen waarin ze heeft gezegd: het maakt niet uit wat je met deze wet doet, maar de beginselen zoals proportionaliteit, effectiviteit en subsidiariteit zijn algemene beginselen die eigenlijk bij iedere beslissing die in die wet wordt genomen, mee moeten spelen.

...en adders
Maar, zo lees ik bij de critici, er zitten ook addertjes onder het gras, bijvoorbeeld in de uitbreiding van de rol van informanten. Informanten, eigenlijk iedereen die kort- of langdurig informatie geeft aan de diensten, krijgen een andere rol. David Korteweg, onderzoeker bij Bits of Freedom, maakt zich er ernstige zorgen over. ‘Aan deze informanten kan ook toegang gevraagd worden tot gegevensbestanden. Indien mogelijk zelfs geautomatiseerd. Een bevoegdheid waar ook geen aparte toestemming voor nodig is van de minister, laat staan van de TIB (dat is de Toetsingscommissie Inzet Bevoegdheden, een nieuwe commissie die vóóraf controleert). Je kan dan aan allerlei databestanden denken, bijvoorbeeld van een universiteit. En juist bij deze bevoegdheid ontbreken de extra waarborgen.’  

Toch even goed checken denk ik dan, want ik kan me uit het verleden herinneren dat informanten bijvoorbeeld al bestanden van abonnees van bepaalde radicale tijd-schriften doorspeelden. En ja, deze bevoegdheid, ook zonder waarborgen, is ook al in de wet van 2002 terug te vinden. De schaal waarop de data kunnen worden verstrekt is wel groter: zowel door het verlenen van rechtstreeks geautomatiseerde toegang tot de desbetreffende gegevens, als door het verstrekken van geautomatiseerde gegevensbestanden.

Het roept wel vragen op, want omdat dit geen bijzondere bevoegdheid is, is er ook geen toetsing vooraf (geen TIB). In de Eerste Kamer maakten Jannette Beuving (PvdA) en Frank Köhler (SP) zich zorgen om deze uitbreiding. Hoewel de toenmalige minister van Binnenlandse Zaken en Koninkrijksrelaties, Ronald Plasterk, aangaf het misverstand te willen oplossen, gaf hij een voor- beeld dat de situatie niet heel veel duidelijker maakte. Daarvoor is het goed om te weten dat er in de Wiv een onderscheid bestaat tussen de inzet van agenten en in- formanten: agenten vallen wel onder de bijzondere bevoegdheid en informanten niet. Als, zei de minister, een informant nu taken uitvoert waar de AIVD zelf eigenlijk ook toestemming voor nodig heeft (zoals hacken) dan zal dat ook voor de informanten gelden. En dat is tegenstrijdig aan de Memorie van Toelichting waar wordt uitgelegd dat de informanten de privacywetgeving zonder toestemming mogen overtreden door het leveren van databestanden.

Ik ben er nog niet uit, maar het is wel iets waar ik me voor de toekomst zorgen over maak, want hoe duidelijk zijn dan de grenzen aan deze methode? Krijgen de diensten via een achterdeur toch toegang tot informatie die juist werd afgeschoten door de Eerste Kamer in 2011? Het wetsvoorstel dat het mogelijk zou maken dat de inlichtingen- en veiligheidsdiensten geautomatiseerd toegang zouden krijgen tot databestanden is destijds ingetrokken.

OOG-interceptie avant la lettre
De hoeveelheid data is natuurlijk veranderd, maar de methode niet. Aan het woord is Kees Jan Dellebeke in 1975 werkzaam bij de BVD. Hij geeft een voorbeeld. ‘Al Saiga-terroristen wilden een trein kapen van Russische Joden die in Nederland aankwamen op station Amersfoort. Hoe kom je daar nu achter? Van buitenlandse inlichtingendiensten kregen wij lijsten met telefoonnummers en delen van telefoonnummers, waarvan werd vermoed dat er met name in Damascus en Libanon inlichtingendiensten of andere kwaadwillenden aan het werk waren.[…]

Maar... in 1975 kreeg je die lijsten en dan moest je gaan kijken of er contacten waren gelegd met die telefoonnummers, vanuit Nederland. Nou, dat was allemaal nog niet geautomatiseerd toen, niemand kon rechtstreeks bellen met Damascus, dat ging niet. Je moest eerst naar Amsterdam bellen, naar een telefooncentrale en zeggen ik wil graag een gesprek met dat en dat telefoonnummer in Damascus en dan werd je doorverbonden. Die gegevens, die metadata, die contactgegevens,dus de aanvraag in Nederland en het telefoonnummer in Damascus werden netjes opgeschreven en later in ponskaarten verwerkt.[…]

Lange lijsten van telefoonnummers die ons ter beschikking waren gesteld vanuit het buitenland werden vergeleken met de lijsten op de ponskaarten in Amsterdam … wie heeft er nou met die nummers in Damascus gebeld? Dat betekent dat je dagelijks gaat zitten zoeken op lijsten van de PTT toen, van de provider dus, of er gebeld was. En heel veel jaren lang, maanden lang, weken lang, elke dag ... er werd niet gebeld met die bekende nummers. Totdat je ziet: hé er wordt gebeld met een nummer.[…]

Dan ga je uitzoeken waar het nummer in Nederland toe behoort. En dat bleek toen het telefoonnummer van een hotel in Amsterdam. Oké je hebt wat. En daar ga je mee aan de slag, en de rest kan allemaal weg want daar heb je niets aan. Zo wordt ook de privacy beschermd, toen al.[…] Ik geloof echt wat de AIVD zegt: 80 à 90 procent kun je weggooien, daar heb je niets aan. En die 20 procent moet je gewoon uitzoeken.’ Het volledige verhaal met de afloop is terug te vinden op wiv-onderdeloep.nl.

Een wisselend beeld dus bij de algemene bevoegdheid om gegevens te verzamelen. Positief is de zorgplicht en afweging van proportionaliteit en subsidiariteit, die voortaan dus ook geldt voor informatie die komt van andere diensten (zoals politie, de marechaussee (KMAR), de Immigratie- en Naturalisatiedienst (IND), de Sociale Werkvoorziening (SWV)). Toegang krijgen tot allerlei gegevensbestanden via informanten zonder extra waarborgen geeft wel te denken. Daarentegen moet de kwaliteit van de gegevens (hoe betrouwbaar is de bron) en de gebruikte analyse (bijvoorbeeld bij datamining) altijd worden aangegeven. Bovendien mogen geen maatregelen tegen een persoon worden genomen uitsluitend op basis van data-analyse.

Bijzondere bevoegdheden
Het meest in het oog lopen de bijzondere bevoegdheden van de diensten natuurlijk. Het zijn deze bevoegdheden die de diensten onderscheiden van andere, en die alleen ingezet mogen worden als een specifiek ‘target’ in de gaten moet worden gehouden: afluisteren, observeren, inbreken, hacken en het inzetten van agenten.

Deze methoden zijn in algemene termen in de wet gedefinieerd, en zijn dat al sinds 2002. Daarvoor stonden ze niet in de wet, en daarover werden de diensten destijds op de vingers getikt door de Raad van State. Europees recht schreef inmiddels namelijk voor dat tegenover de aantastingen van de rechten van de mens waarborgen dienden te staan. In feite moet je als burger kunnen inschatten met welk gedrag de diensten bepaalde middelen in mogen zetten.

Bij al deze ‘zware’ bevoegdheden is toestemming van de minister nodig. Sinds 2002 controleert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook de rechtmatigheid van de uitvoering van de Wiv 2002 en de rapporten geven wel aan dat zaken niet helemaal correct lopen, maar dat het algemene beeld positief is.

De Wiv 2017 verandert niet heel veel op het gebied van de bestaande bevoegdheden maar, zo lees ik in de Memorie van Toelichting, vanwege Europese uitspraken van het EHRM of door technische ontwikkelingen, zijn er wat aanpassingen. De allerbelangrijkste wijziging voor de bestaande bevoegdheden is dat de nieuw opgerichte Toetsingscommissie Inzet Bevoegdheden (TIB) een rol gaat krijgen in de toestemmingsprocedure. Daarover straks meer als ik de controle onder de loep neem.

Een korte blik op de wijzigingen: volgen en observeren blijft hetzelfde geformuleerd, maar zo lees ik: er zullen ook drones en gezichtsherkenning worden ingezet. En, eigenlijk ook bijzonder, want wijzelf doen het dagelijks: ‘het regelmatig (dus met tussenpozen) of continu (zonder tussenpozen) raadplegen van hetgeen door een onderzoekssubject op door hem gebruikte sociale media (Twitter, Facebook e.d.) wordt geplaatst eveneens aan te merken als een vorm van (online) observatie, waarvoor dus toestemming dient te zijn verkregen.’ Tja, daar kunnen we als journalist nog van leren.

Hacken
De meest in het oog lopende verandering van een bestaande bevoegdheid is die van het hacken. Om zich toegang te verschaffen tot de computer van een target, mogen de diensten voortaan ook ander computers hacken, als dat noodzakelijk is. Uit de recente onthulling van de ‘Cozy Bear’-hack door de diensten lijkt een dergelijke methode al praktijk te zijn. De Volkskrant beschrijft dat de diensten de ‘omgekeerde route’ (dus via computers van anderen) toepaste. Dit overigens wel op basis van volledig anonieme, en dus oncontroleerbare bronnen. Uit een recent onderzoek van de ctivd blijkt dat de bevoegdheid wel gebruikt is, maar niet middels computers van individuele burgers.

Er had wel meer aandacht voor deze uitbreiding mogen zijn vindt Peter Koop, deskundige op het gebied van grootschalige interceptie. Het is een methode die enorm in opkomst is. ‘Nu ligt het accent van de discussie op de kabelgerichte interceptie, ook wat controle en fasering betreft, dat had bij díe bevoegdheid wat minder gekund, maar bij hacken juist wat meer,’ aldus Koop. ‘Je moet niet onderschatten hoeveel data middels de hackbevoegdheid verkregen kunnen worden,’ legt Koop uit. ‘Bekend is bijvoorbeeld dat de AIVD internetfora heeft gehackt, dat gaat ook over enorme hoeveelheid data, waar veel burgers bij betrokken zijn.’ Koop pleit dan ook voor meer toezicht op dat terrein, juist door het toenemende belang. En heel opmerkelijk: Koop stelt dat de wet al weer een beetje achter loopt. ‘Het belang bij de diensten van de kabeltoegang neemt langzaam af, onder andere door de versleuteling. Het hacken neemt toe en dat is iets wat nauwelijks in deze wet gereflecteerd wordt. Ja en als je de ontwikkeling ziet... het kabelgebeuren is dus wel belangrijk maar eigenlijk al een beetje ouderwets aan het worden.’

Het toenemende belang van hacken is ook terug te vinden in het CTIVD-rapport over de hackbevoegdheid. Daaruit blijkt bijvoorbeeld dat de AIVD deze bevoegdheid wel kan gebruiken tegen wat zij noemt ‘non-targets’, zoals familieleden van uitgereisde of terugkerende jihadisten die zelf onder de radar blijven. ‘De diensten hadden voor het verrichten van onderzoek geen andere aanknopingspunten dan de contacten die deze targets hadden met hun omgeving,’ stelt de CTIVD. Het geeft aan hoe creatief diensten soms moeten zijn en toch zo doelgericht mogelijk moeten werken.

Kritiek op de hackbevoegdheid is er al langer van bijvoorbeeld Bits of Freedom. David Korteweg legt uit dat het de kwetsbaarheden, de zogenaamde ‘Zero Days’, betreft waar de diensten met het hacken gebruik van maken. ‘Deze kwetsbaarheden, die gevonden worden in systemen, software en hardware, leveren voor iedereen een risico op, omdat ook criminelen in staat zijn er misbruik van te maken op het moment dat zij deze ontdekken. Bovendien bestaat het risico dat de kwetsbaarheden via een lek bekend worden, zoals vrij recent nog gebeurde met ‘WannaCry’, dat ook bedrijven in de Rotterdamse haven platlegde.

Het is ook weer niet zo dat de diensten de kwetsbaarheden altijd geheim houden, maar het is wel een belangenafweging, lees ik in de richtlijnen. ‘De AIVD en de MIVD dienen belangendragers te informeren over geconstateerde onbekende kwetsbaarheden, tenzij wettelijke argumenten of operationele redenen daaraan (tijdelijk) in de weg staan. Hierbij dient de verhouding tussen de gerechtvaardigde belangen van de diensten en (het gevaar van) het laten voortbestaan van de kwetsbaarheden voor (alle) gebruikers van het internet te worden betrokken.’ Het is een afweging die alleen, zo blijkt uit het rapport van de CTIVD, niet goed wordt gemaakt. De medewerkers van de Joint Sigint Cyber Unit leggen hun werkwijze niet goed vast, de afwegingen zijn niet in intern beleid vastgelegd en de uitkomsten worden ook niet centraal bijgehouden. Daardoor is het melden van onbekende kwetsbaarheden ‘sterk afhankelijk’ van individuele medewerkers, schrijft de CTIVD. En ten slotte, ‘kan het gebeuren dat kwetsbaarheden niet alsnog worden gemeld nadat het operationeel belang voor het niet-melden is verminderd of weggevallen’ Naar aanleiding van dit onderzoek hebben de ministers op 25 april 2017 aangegeven alle conclusies over te nemen.

OOG - Onderzoeksopdrachtgerichte Interceptie
Maar de belangrijkste wijziging, of beter gezegd waar de meeste discussie over is, is de onderzoeksopdrachtgerichte interceptie (OOG), door de critici vaak Sleepnet genoemd.

Het is niet eenvoudig om de wet, de uitleg, de noodzaak en de kritiek samen te vatten, maar ik zal een poging doen. Ik merk al snel dat er verschillende lagen in de discussie en uitleg zitten. Deels ben ik ze al tegen- gekomen en gaat het om de interpretatie van begrippen als ‘onschuldige burger’, ‘inlichtingencultuur’, ‘vertrouwen’, ‘veiligheid’ en ‘privacy’.

De verandering zelf is inmiddels enigszins duidelijk en komt in gewone mensentaal hier op neer: de diensten mochten tot nu toe alle telecommunicatie die door de lucht gaat (denk aan satellietverkeer en zenders) ongericht opvangen en daarna gericht selecteren. In de toekomst geldt dat ook voor de kabel. Hoewel de bedoeling is de wet techniek onafhankelijk te maken, vindt er tegelijkertijd ook een verschuiving van het gebruik plaats. En gezien de discussies die gaande zijn, ga ik dit eerst maar eens laagje voor laagje bekijken.

Inzet
Sigint de huidige manier van grootschalig communicatie opvangen, is zeer sterk op militaire operaties en politieke en economische spionage gericht 7 .

Pieter Bindt, voormalig hoofd MIVD, legt uit hoe dat gaat: ‘In Burum (Friesland) staan grote schotels, die zijn er voor de interceptie van satellietsignalen. In missiegebieden zetten we ook nog wat sensoren neer. Voor het overbruggen van grote afstanden maakten we gebruik van radiogolven, dat heet High Frequency. Daarvoor hebben we antennes in onder andere Nederland staan. Daar kun je grote gebieden mee bestrijken. Hoe dat dan ging... Voor een missie haalden we bijvoorbeeld een deel uit de ether, het gebied waarin we geïnteresseerd waren. Dan keken we wat we binnen hadden, wat voor patronen daarin zaten. Als we al telefoonnummers of IP-nummers hadden die in dat verzamelde materiaal zaten dan konden we dat selecteren. We konden door het bekijken van patronen ook zien of er nieuwe dreigingen in zaten. Op het moment dat we echt naar de inhoud wilden gaan kijken, dan schreven we een verzoek aan de minister om naar de inhoud te mogen gaan kijken.’

Veel van die militaire inzet heeft dus direct te maken met Nederlandse betrokkenheid bij een conflict. Zo zorgde de afdeling sigint er bij eerste Irak-oorlog (1990) voor dat informatie over de Iraakse luchtmacht bij de Nederlandse marineschepen ter plekke terecht kwam. Militaire informatie werd gedeeld met bevriende landen, zoals Israël, dat volop steun kreeg van Nederland in de zestiger en zeventiger jaren. Voor de start van de Jom Kipoeroorlog (1973) werd informatie over de op handen zijnde aanval verstrekt aan Israël. Op diplomatiek gebied werd er gepoogd veel verkeer te ontsleutelen. Nederland had onder anderen de Fransen, Belgen, Italianen, Turken, Iraniërs en Afghanen jarenlang in het vizier. Tot 2002 - want daarna werd dat expliciet verboden - deden de diensten ook aan economische spionage. Bekend is dat Nederland de scheepswerf De Schelde poogde te helpen bij het verwerven van een opdracht fregatten te bouwen, toen de werf in een concurrentiestrijd verwikkeld was met een Duitse werf. Na de aanslagen in 2001 in de VS raakte ook de AIVD meer betrokken bij sigint . Interne en externe dreiging van terrorisme liepen in elkaar over, bijvoorbeeld door het uitreizen in die periode van jihadisten richting Afghanistan, en niet te vergeten de internationale dreiging die destijds vooral uitging van Al Qaida. Die uitbreiding noopte ook tot nauwere samenwerking, eerst in de Nationale Sigint Organisatie, later de Joint Sigint Cyber Unit.

Digitalisering
Maar, zo vertellen gebruikers en deskundigen me, op het moment dat de Wiv 2002 in werking trad, veranderde er ontzettend veel op het gebied van communicatie. Pieter Bindt: ‘In sommige landen zie je het signaal wegvallen uit de ether, dat gaat de kabel in ... en zeker in het buitenland hebben we geen alternatief voor deze bevoegdheden.’

Peter Koop legt het uit: ‘De diensten liepen vrij snel achter op de techniek. Met de Wiv 2002 mochten de diensten alles wat maar door de ether ging opvangen; radioverbindingen, satellietverbindingen. Maar toen die wet in werking trad in 2002, kwam internet net op en in razendsnel tempo liep bijna alles via glasvezelkabel.

In 2014, tijdens een hoorzitting in de Tweede Kamer over bedrijfsspionage en privacy sprak het hoofd van de Joint Sigint Cyber Unit, Sebastian Reyn. ‘Een game-changer,’ zo noemde hij de technologische ontwikkelingen en de gevolgen daarvan voor de inlichtingen- en veiligheidsdiensten. Reyn somde vier ontwikkelingen op, die zowel meer als minder mogelijkheden zouden bieden voor de diensten. Als ik zo nalees wat hij zei komt een heel herkenbare ontwikkeling voorbij: de massale invoering van mobiele devices, zoals smartphones, en van wifi-netwerken, de opkomst van sociale media. De data-explosie die volgde. En al die data gingen niet meer door de lucht, maar door de kabels. En ja, zo zei Reyn ook, meer digitale (meta)data geeft ook meer mogelijkheden, vooral via hacken, wat een enorme vlucht heeft genomen. Maar, het grootste probleem, zo schetste Reyn, is dat mobiel Nederland (en de rest van de wereld) een heel groot aantal mobiele devices gebruiken en dat het gebruik van wifi-netwerken sterk is toegenomen. De consequentie: dat het bijvoorbeeld veel lastiger is geworden om telecommunicatie te onderscheppen door middel van klassieke methodes, zoals het tappen van vaste telefoonverbindingen.

Noodzaak
Als ik terugblader in evaluaties, en de interviews terugluister, ziet eigenlijk iedereen het nut van deze ontwikkeling en de noodzaak voor de diensten om op een andere manier de informatie te verzamelen wel in. Van de ctivd , de wetenschappers, tot aan Bits Of Freedom en Privacy First toe.

Maar’ zo stelt Vincent Böhre van Privacy First, ‘het is wel een verschuiving van het domein, van voornamelijk militair (satellieten, zenders), naar het civiele domein (de kabel). Eigenlijk zeg je dan dus ook, we moeten het hele civiele domein kunnen tappen. En ja, dat was wel anders in het verleden, dat moet je dus wel in het achterhoofd houden, met alle risico’s van dien en alle neveneffecten. Bovendien is het natuurlijk een feit dat het van alle tijden is dat de techniek verandert en dat wet- en regelgeving mee zouden moeten evolueren. Aan de andere kant zou het natuurlijk niet zo moeten zijn dat alles wat technisch mogelijk is, daarmee per definitie ook in wet- en regelgeving verankerd zou moeten worden. Dan zou techniek altijd leidend zijn voor regelgeving en beleid en dat vind ik niet. Ik ben geen voorstander van technologisch determinisme om het maar zo te noemen. Als je bijvoorbeeld kijkt naar andere gebieden zoals het militaire domein dan is het eigenlijk per definitie onzin om te zeggen dat alles wat technisch mogelijk is ook zal gebeuren. We kunnen het beter zo goed mogelijk reguleren en in goede banen proberen te leiden in plaats van het bij voorbaat te verbieden.

Noodzakelijk, denkt ook Jelle van Buuren, maar tegelijkertijd zal er bij de uitvoering ontzettend goed geselecteerd moeten worden.

Ja dan worden heel veel data bekeken en gefilterd, en als het goed is en dat is de terugkerende vraag, wordt alles wat niet bruikbaar is voor het taakgebied van de dienst vernietigd. Dus dan kom je weer terug op de legitimiteit van hun interventies, omdat de dienst er niks mee wil, niks mee kan en een goeie integere dienst wil ook helemaal niet informatie opslaan over zaken waarvoor ze niet in het leven zijn geroepen. Het kan bijvoorbeeld gebeuren, en dat heeft ook met de nieuwe technologie te maken, dat als iemand in een internetcafé zit en de dienst heeft aanleiding om te denken dat die persoon niet alleen met onschuldige hobby’s bezig is dat de dienst gaat kijken hoe ze dat internetverkeer eruit kunnen filteren. Soms zal het nodig zijn om het hele internetcafé mee te nemen om vervolgens de communicatie die van belang is te isoleren, en dáár verder op te werken en de rest wordt dan in principe vernietigd. Dat betekent, als jij ook in dat internetcafé zit, dat jouw privacy op dat moment geschonden wordt. De informatie moet daarna inderdaad direct vernietigd worden omdat men niet geïnteresseerd is in jou, hoe bizar je persoonlijke hobby’s wellicht ook zijn. En daar zit natuurlijk het persoonlijk gevoelige element in. Dat is een onvermijdelijke inbreuk op de privacy, maar dan misschien gerechtvaardigd binnen de belangen die zo’n inlichtingen- en veiligheidsdienst moet dienen.

Maar daarnaast is er ook de cyberdreiging bijgekomen, Pieter Bindt gaf me daarvan een voorbeeld: ‘Laatst hadden we de Rotterdamse haven waar, al dan niet per ongeluk, een deel van stil kwam te liggen door een aanval uit het buitenland. Dat was nu maar een deel van de haven maar het zou ook, in het ergste geval, de hele Rotterdamse haven kunnen zijn. Als de Rotterdamse haven een paar dagen stilligt, dan heeft heel Europa pijn en Nederland in ’t bijzonder. En stel dat dat gebeurt op het moment dat we onverhoopt in een verhoogde crisistoestand met Rusland zouden komen, dan mist de NAVO de belangrijkste toevoerhaven voor eenheden die nodig zijn om die crisis het hoofd te bieden.’

Van noodzaak naar wet
Zo terugkijkend heeft het flink wat tijd gekost om tot een wetsvoorstel te komen. Een van de oorzaken is wellicht geweest dat de regering bij de start weinig rekening leek te houden met de conclusie van de Commissie-Dessens, die de Wiv 2002 evalueerde, dat ‘naarmate de inbreuk op de privacy en het communicatiegeheim indringender is, de toestemmingsprocedure en het toezicht ook sterker ingebed moeten zijn. Hierbij moet de indringendheid van kennisname van communicatie, en niet meer het transportmedium of de stand der techniek, bepalend zijn voor de toestemmingsvereisten en het toezicht op rechtmatigheid.’

In dat prille stadium van wetgeving dacht de regering namelijk dat toestemming van de kant van de minister voldoende waarborg zou vormen. Pas na de consultatie, bij het indienen van de wet, is de extra controle toegevoegd middels de Toetsingscommissie Inzet Bevoegdheden (TIB). Deze Commissie toetst, direct na de goedkeuring van een aanvraag om een bijzondere bevoegdheid in te zetten, de rechtmatigheid. Mocht de TIB een aanvraag als onvoldoende rechtmatig beoordelen dan wordt deze afgewezen.

Het is een proces van wikken en wegen,’ legt Pieter Bindt uit. ‘En van intern verantwoording afleggen. We moeten toestemming vragen van de minister en in zo’n toestemming moet zitten: Wat is de situatie? Over welke bijzondere bevoegdheid gaat het? Binnen welke taak en opdracht valt het? En welke methodiek gaan we gebruiken? Komt het uit de ether, want die valt hier nu ook onder of komt het uit de kabel? Welke filtering gaan we gebruiken? Wat is de verwachte opbrengst? En een uitleg en een strikte argumentatie: Waarom is dit noodzakelijk? Leg mij eens uit. Waarom is dit proportioneel? Weegt het middel op tegen het antwoord dat je verwacht? En subsidiair, wat een erg duur woord is voor: is er geen lichter middel? Dus als we het uit open source kunnen halen, bijvoorbeeld uit de krant, dan krijgen we geen toestemming om zwaardere middelen in te zetten. In Nederland dan, in het buitenland hebben we vaak niet zo veel middelen. We hebben soms wel human sources, menselijke bronnen, we kunnen op satellietfoto’s kijken, maar daarmee heb je nog niet een volledig begrip, dan wel zicht op gekende en ongekende dreigingen.'
Mede door alle kritiek die er was op deze methode is er extra toezicht gekomen. Toezicht in iedere fase van verdere detaillering van de opgevangen berichten. Het hele proces is niet eenvoudig uit te leggen. Op wiv-onderdeloep.nl verwijzen we naar schema’s die precies aangeven wat er in welke fase gebeurt en welke waarborgen er zijn.

Uitwisseling van ongeëvalueerde bulkdata
Maar dat lijkt niet de grootste zorg van critici en voorstanders. Bijna iedereen die ik spreek of hoor spreken op bijeenkomsten maakt zich ernstige zorgen over het feit dat de ‘bulkdata ongeëvalueerd gedeeld worden met derde landen.

Ook prof. Paul Abels heeft er principieel bezwaar tegen. ‘Ik vind dat een soevereine staat nooit ongeëvalueerde bulkinformatie van onderdanen mag uitwisselen met welke andere staten dan ook. Ik vind dat er alleen geëvalueerde informatie naar het buitenland mag. Je hebt natuurlijk parallelle belangen maar je hebt ook belangentegenstellingen zelfs bij de meest innige samenwerkingspartners. Er moet altijd een gezonde basis van wantrouwen zijn. En ook is het mogelijk dat die informatie dan voor andere doeleinden gebruikt wordt. Maar dit vind ik dus een stap te ver.

Klare taal, die volgens Abels ook eenvoudig om te zetten is in actie. ‘Een kleine reparatie op deze wet is volgens mij wel doenlijk. Als dit het meest principiële punt is...we moeten wat geven anders krijgen we niets. Nou als dat alleen om dit puntje gaat, denk ik niet dat dat de relatie met de diensten zodanig zou verstoren dat het de samenwerking ernstig zou hinderen.’ De wet regelt dat de minister in ieder geval toestemming verleend moet hebben en dat de ctivd direct op de hoogte gesteld dient te worden van de verstrekking van bulkdata.

Wat opmerkelijk is,’ stelt Jelle van Buuren, ‘hier zie je bijna iedereen erop wijzen dat je er heel goed over moet nadenken en dat het allemaal ook heel politiek gevoelig ligt. Eigenlijk is dat de erkenning dat het werk van inlichtingen- en veiligheidsdiensten een ontzettend sterk politiek karakter heeft. In de discussie in Nederland lijkt dat er een beetje vanaf te gaan, dan wordt het plotseling als haast neutraal voorgesteld, dé democratische rechtsorde, en dat zou een soort vaststaand begrip zijn waar geen discussie over mogelijk is. Als nou in de uitwisseling met andere landen kennelijk politieke gevoeligheid een rol speelt ga dan eens meer expliciteren wat die politieke gevoeligheid is, ook van het werk dat inlichtingen- en veiligheidsdiensten in Nederland doen.’

Chilling effects
De onderzoeksopdrachtgerichte interceptie zal, zoals deze nu is ingericht, hoe dan ook data van mensen verzamelen die geen enkele activiteit ondernemen die in het taakgebied vallen van de diensten. Dat dat gebeurt, is volgens Paul Abels overigens onvermijdelijk. ‘Dat is met elke inzet van de middelen,’ legt Abels uit. ‘Een volgploeg die voor een deur staat van een subject dat de dienst volgt, die ziet allerlei mensen dat huis binnen gaan. Ziet misschien wel in het gangetje ernaast dat de buurvrouw het doet met de buurman, maar daar zijn ze niet in geïnteresseerd. Dat is part of the job, en als er iets is waar de diensten niet op zitten te wachten, dan is het allerlei onzin-informatie van burgers. Zij zijn gefocust op het blootleggen van dreiging. Het idee dat men geïnteresseerd is in het gemiddelde doen en laten van de burger, over triviale activiteiten of gesprekken over bijvoorbeeld de zwemlessen van de dochter... Nee, ze willen zich zo veel mogelijk focussen want het heet dan wel ongerichte interceptie, maar als je ziet hoe de systematiek werkt: steeds sterker richten om een zo klein mogelijke hoeveelheid data uiteindelijk over te houden. De rest is ballast. Het levert alleen maar extra werk op. De diensten zijn geïnteresseerd in dingen die echt van betekenis zijn en dat is het onderzoek waar ze mee bezig zijn.’

De dingen die echt van betekenis zijn ...dat klinkt nog een beetje vaag. ‘Maar,’ zo weet professor Nico van Eijk, ‘het is ook de verplichting om al bij voorbaat zo kleinschalig als mogelijk informatie te verzamelen. Dus de kans dat heel Nederland wordt afgeluisterd, is echt een theoretische kans. Dat gaat echt niet gebeuren.’

Maar de vraag is niet alleen óf het gaat gebeuren, maar ook of de wetenschap dat het kán gebeuren ons gedrag al beïnvloedt. Een term die hier veel voor gebruikt wordt is het ‘chilling effect’. In studies over moderne surveillance wordt gesproken over de impact die het gevoel van surveillance teweegbrengt, het effect op de sociale ordening en de zelfcensuur die het tot gevolg heeft. Ook de studenten die de aanzet tot het referendum over de Wiv gegeven hebben wijzen op deze effecten. Het is niet alleen theorie ontdek ik, want uit een onderzoek van PEN America (een organisatie die opkomt voor de vrijheid van het geschreven woord) blijkt dat na de onthullingen van Snowden over de nsa , veel schrijvers zelfcensuur toepassen 9 . De ondervraagde schrijvers zijn voorzichtiger als ze over bepaalde onderwerpen schrijven, als ze onderzoek doen naar bepaalde onderwerpen en als ze contact onderhouden met bronnen, zeker met buitenlandse.

Een manier om dit effect te voorkomen en toch de methode van data verzamelen toe te passen is er wel zegt Nico van Eijk:  ‘Mijn collega Bart Jacobs heeft daar een hele mooie oplossing voor. Hij zegt: select while you collect: hoe eerder je in het verzamelproces al informatie kunt weggooien, hoe minder problemen je hebt met misbruik of oneigenlijk gebruik van die informatie. Als je op zoek bent naar een terrorist en je weet dat het een man is dan hoef je geen informatie over vrouwen te verzamelen, en als je weet dat ie een bepaalde leeftijd heeft hoef je geen informatie over kinderen te verzamelen. Een ander voorbeeld van select while you collect kennen we allemaal van Schiphol als de bodyscan aanstaat. Op dat moment wordt er informatie over jou verzameld, er wordt een foto van je gemaakt, die foto wordt ter plekke bekeken en als er niets aan de hand is wordt die foto meteen weer vernietigd.’

De ctivd sluit hierop aan met haar kritiek, en spreekt over verantwoorde databeperking. ‘Gedurende het hele proces van interceptie tot en met selectie moet voortdurend de vraag worden gesteld: Is het noodzakelijk dat deze gegevens (verder) worden verwerkt voor het gestelde doel of kunnen de gegevens (al) worden vernietigd? Verantwoorde databeperking impliceert een plicht,’ aldus de ctivd. En daarbij hangt om te beginnen veel af van de formuleringen van de onderzoeksopdrachten. Want alles wat met de bulkdata wordt opgevangen en niet onder de onderzoeksopdrachten valt, moet terstond worden vernietigd.

Uiteindelijk, en dat is de bottomline, zal het erop neerkomen dat niet relevante data zo snel mogelijke vernietigd zullen moeten worden, en dan ook écht vernietigd, stellen wetenschappers en critici.

Jelle van Buuren: ‘Hoe groot is het vertrouwen dat als in een wet staat dat de dienst data die niet relevant zijn moet vernietigen, dat het ook gebeurt. Daar moeten protocollen voor worden opgesteld, dan kan het ook getoetst worden, ook achteraf of dat echt gebeurd is. Alleen die hele selectieprocedure, hoe de dienst bepaalt welke data relevant zijn en of ze nog wel of niet voor een bepaalde periode bewaard moeten worden, ja, dat is een grijs gebied. Absoluut, dus dan blijf je terug komen op de essentiële discussie over de democratische integriteit van zo’n dienst, want daar komt het in feite op neer, en dat men alles wat niet echt tot het taakgebied behoort gewoon negeert, wat ze er verder ook van vinden. Kan daar in principe mee gerotzooid worden? Ja, in principe kan met alles gerotzooid worden, maar dan hoeven we het niet meer over een wet te hebben, want als dat het uitgangspunt is, dan heeft het weinig zin om het over die wet te hebben.’

Lees verder: De controle op de diensten