Inlichtingen voor de WIV
Photo by Markus Spiske on Unsplash
Op 21 maart vindt naast de Gemeenteraadverkiezingen ook het Raadgevend Referendum over de Wet op de inlichtingen- en veiligheidsdiensten 2017 (WIV 2017) plaats. Deze wet vervangt de huidige WIV uit 2002 en ziet toe op het werk (en vooral de bevoegdheden) van de AIVD en de MIVD. Sommigen zullen gisteren misschien naar de ‘sleepwetlezing’ zijn geweest met hoofd van de AIVD, Rob Bertholee. Maar voor hen die nog geen enkel idee hebben wat deze wet nou precies inhoudt, wat er verandert ten opzichte van de oude wet en wat de bezwaren ertegen zijn; hier een uiteenzetting. Ik zal omwille van de relevantie hierbij focussen op de AIVD.
De regering wil de wet vernieuwen omdat de huidige wet niet meer up-to-date is door de verregaande digitalisering de afgelopen jaren. In 2002 waren er bijvoorbeeld nog geen smartphones, tegenwoordig is de smartphone het belangrijkste apparaat voor internetverkeer. Daarnaast is de regering van mening dat de huidige wet te weinig mogelijkheden biedt om dreigingen van terreuraanvallen en digitale aanvallen te herkennen.
Dit is namelijk wat de AIVD en MIVD doen. Zij zijn inlichtingendiensten en geen opsporingsdiensten. De taak van de AIVD is – kort gezegd – te onderzoeken of een persoon of zaak een dreiging vormt voor de democratische rechtsorde, veiligheid of staatsbelangen. De regering bepaalt deze onderzoeksgebieden. Het OM beslist altijd over opsporing en vervolging, de AIVD kan alleen tippen. Enkele bevoegdheden waarmee inlichtingen verzameld kunnen worden: volgen, observeren, aftappen, hacken, brieven openmaken en inbreken. Deze bevoegdheden had de AIVD overigens al in de WIV 2002.
Verruiming
In de WIV 2017 is het bereik van de AIVD en MIVD toegenomen doordat een verruiming van bevoegdheden plaatsvindt. De belangrijkste verandering is dat de nieuwe wet het verschil tussen aftappen via de ether en via de kabel beëindigd. De AIVD kan daardoor nu ook telefoon en internetverkeer aftappen van een grote groep mensen, dit heet ongerichte interceptie van kabelgebonden telecommunicatie. Tegenstanders noemen dit het sleepnet omdat met deze bijzondere bevoegdheid ook gegevens van onschuldige burgers worden verzameld. Een andere belangrijke wijziging is het ‘hacken via derden’ dit betekent dat de diensten - ongevraagd - via een computer of netwerk van iemand anders een computer mogen hacken.
Extra toezicht en waarborgen
Deze verruiming gaat gepaard met extra toezicht op de veiligheidsdiensten. In de metro ving ik toevallig een gesprek op waarin werd gezegd dat de wet eigenlijk sowieso niet ‘mag’ omdat het een schending van het grondrecht op privacy oplevert. Dit is natuurlijk niet correct. Er moet een afweging plaatsvinden tussen het recht op privacy en het grondrecht op veiligheid. De juiste balans tussen deze grondrechten wordt gevonden door middel van een toetsing op basis van proportionaliteit, subsidiariteit en noodzakelijkheid.
Niet alle informatie kan een inlichtingendienst tijdig via openbare bronnen verzamelen, daarom is het uitoefenen van bijzondere bevoegdheden (alleen) in zulke gevallen geoorloofd, deze staan limitatief opgesomd in art. 40 – 58 WIV 2017.
Als de AIVD een bijzondere bevoegdheid wil uitoefenen, moet het allereerst precies beschrijven wat ze willen doen, hoe ze dit willen doen en waarom het noodzakelijk om te doen. Daarnaast moet het uitvoeren van een bijzondere bevoegdheid voldoen aan de vereisten van proportionaliteit en subsidiariteit. De AIVD heeft overigens eigen juristen om te toetsen aan deze beginselen. Aan de hand van de onderbouwing geeft de minister van Binnenlandse Zaken en Koninkrijksrelaties toestemming of niet. Voor sommige bijzondere bevoegdheden is toestemming van de Rechtbank Den Haag nodig. Daarnaast is nog toestemming nodig van een onafhankelijke commissie die toetst op de Minister terecht toestemming heeft gegeven. Dit is de Toetsingscommissie Inzet Bevoegdheden (TIB), bestaande uit drie bij KB benoemde leden: twee raadsheren en een technisch deskundige, Ronald Prins voorheen eigenaar van cybersecurity bedrijf Fox-IT.
Daarnaast is er nog een toezichthouder ‘aan de achterkant’: de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD). De afdeling toezicht van de CTIVD heeft zeer verregaande toegang als ik Rob Bertholee en Kees Verhoeven (ICT-expert D66) moet geloven, en heeft zich in de afgelopen 54 openbare rapporten al uitermate kritisch uitgesproken, vaak de vinger op de zere plek gelegd en daarmee bewezen een kritische onafhankelijke toezichthouder te zijn. De CTIVD krijgt ook een onafhankelijke afdeling Klachtbehandeling, hier kunnen burgers klachten indienen die beoordeeld worden en kunnen leiden tot bindende oordelen. In de WIV 2002 waren deze oordelen niet-bindend.
De meeste data die door het breed onderscheppen van elektronische communicatie wordt verzameld wordt overigens meteen verwijderd. Het brede ongerichte interceptie zou als een soort trechter moeten werken. Er wordt een brede hoeveelheid data verzameld en met behulp van filters wordt enorm veel informatie verwijderd en blijft er een bruikbare onderkant van de trechter over. De bovenkant van de trechter zou zo smal mogelijk moeten zijn; hoe smaller, hoe doelgerichter de interceptie. Voor bruikbare informatie geldt een bewaartermijn van maximaal drie jaar.
Verder zijn in de WIV 2017 waarborgen opgenomen voor het aftappen van advocaten en journalisten, de minister moet nu ook toestemming vragen van de Rechtbank Den Haag. Ten slotte bevat de nieuwe WIV duidelijkere regels met betrekking tot hacken, DNA-onderzoek en het delen van informatie met collega-diensten.
Naast bovenstaande wettelijke waarborgen heeft Kees Verhoeven (D66) in het regeerakkoord een vroegtijdige evaluatie – na twee jaar – met uitzicht op verandering van de wet afgedwongen. Bij deze evaluatie wordt gekeken of te breed is getapt, of te vaak via derden is gehackt en of data onterecht is gedeeld met derde landen. Ook staat er in het regeerakkoord: ‘er kan, mag en zal niet massaal en willekeurig worden afgetapt door de diensten.’ Met deze zin is getracht via de ‘zachtere weg’ het sleepnet-karakter uit de wet te halen. Dit voorkomt echter niet dat de wet te ruim kan zijn, het regeerakkoord geldt maar een paar jaar.
Bezwaren
Tegenstanders van de wet vallen vooral over het slepen, de bewaartermijnen, de DNA-database, hacken via derden en het delen van data met andere landen, ook met onbevriende. Voor al deze zaken zijn waarborgen gecreëerd in de wet.
Bijvoorbeeld, de hele Haagse Schilderwijk aftappen gaat niet gebeuren. Dat is ten eerste niet proportioneel, strookt niet met de zin in het regeerakkoord en zowel de AIVD, de regering en de kamer zouden zoiets niet willen. Het is voor de AIVD vaak ook niet de meest effectieve methode; kabelgebonden interceptie is technisch moeilijk en de dienst zou te veel data verkrijgen.
Daarnaast is een punt van kritiek dat de baten van de wet niet worden geschetst. Wat rechtvaardigt de verregaande bevoegdheden? Hoe effectief is de wet? Had de wet een van de recente aanslagen in Europa kunnen voorkomen; helpt massa-surveillance wel bij het voorkomen van aanslagen? De toekomst is echter niet te voorspellen, je kunt niet eisen van een wet dat hij perfect aansluit op de toekomst. De wet is er om in te spelen op de toekomst. De oude wet heeft ervoor gezorgd dat daders nu in het vizier kunnen worden gebracht. Destijds was er ook geen ‘bewijs’ dat de wet noodzakelijk was.
Desalniettemin is het maar de vraag of de verregaande bevoegdheden in een lijn staan met de controle. Allereerst is de controle sterk afhankelijk van de op dat moment zittende minister, en zijn/haar persoonlijke voorkeur in de afweging tussen privacy (vrijheid) en veiligheid. Daarnaast toetst de TIB niet alle bevoegdheden, maar zij toetsen: 'kan de minister in redelijkheid tot deze afweging komen?'. Ze doen dus slechts een marginale toets en derhalve is het niet duidelijk hoe streng die TIB gaat toetsen.
Vaak pakken referenda uit als referenda vóór of tegen het kabinet. Laten we hopen dat het in ieder geval inhoudelijke discussies oplevert, want dan is de uitkomst van het referendum meer waard. Het intrekken van de gehele wet lijkt mij persoonlijk onverstandig, omdat vernieuwing nodig is. Maar ik vind dat de privacy van burgers onvoldoende wordt gewaarborgd in relatie tot de verregaande bevoegdheden die de AIVD verkrijgt. Afhankelijk van de discussie zou moeten worden gekeken wat aan de wet veranderd kan worden, om de privacy van burgers meer te waarborgen. Wellicht is de angst voor massa-surveillance van onschuldige burgers door de AIVD wat opgeblazen. Misschien ook wat naïef, bedrijven verzamelen ook enorme hoeveelheden data van burgers. Terwijl bij bedrijven de aandeelhouders de enige ‘toezichthouders op de data’ zijn. Ten slotte, geef ik twee citaten. Enerzijds zoals Ronald Prins zegt: "liever de AIVD op het internet, dan een Rus op mijn laptop." Of een 250 jaar oude van Benjamin Franklin: "Wie vrijheid opoffert voor veiligheid is beiden niet waard." Vrij vertaalt als wanneer we onze vrijheid (privacy) opofferen om onze veiligheid te regelen, dan verliezen we uiteindelijk beiden. Aan de kiezer te bepalen in welk citaat hij of zij zich meer vindt.