Wat komt meer in het gedrang: onze nationale veiligheid of onze privacy? Deze afweging moet ons parlement maken bij de beoordeling van een tijdelijke wet over onze inlichtingen- en veiligheidsdiensten. De diensten willen meer bevoegdheden krijgen, zonder toetsing vooraf. “We worden in onze grondrechten beperkt zonder dat we daar bewust van zijn.”
Stel dat een AIVD-medewerker al je mails en elk chatbericht kan lezen, dat hij of zij precies kan nagaan welke websites je bezoekt, naar welke muziek je luistert en welke films je bekijkt. Of stel dat een algoritme, op zoek naar ‘verdachte’ woordcombinaties, ook jouw digitale communicatie doorzoekt – niet omdat je verdacht bent, maar omdat je nu eenmaal gebruikmaakt van dezelfde internetkabel als mensen die wél staatsgevaarlijk zijn. Met de toeslagenaffaire in het achterhoofd is dat wellicht geen plezierige gedachte. Willen we de AIVD deze mogelijkheid geven? Aan de andere kant: wat als een buitenlandse hacker via die kabel geheime bedrijfsinformatie ontfutselt en de AIVD dit niet kan voorkomen?
Dergelijke dilemma’s spelen een rol bij het besluit van de Tweede Kamer om de Nederlandse inlichtingen- en veiligheidsdiensten meer bevoegdheden te geven, of juist niet. Door aanpassing van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017), die de bevoegdheden van de veiligheidsdiensten en het toezicht hierop vastlegt, krijgen de diensten meer armslag. Dit zou nodig zijn vanwege de toegenomen dreiging van cyberaanvallen vanuit landen als Rusland en China, waarvoor de diensten onlangs waarschuwden.
Tegenstanders van de wet, zoals Stichting Bits of Freedom, wijzen juist op de risico’s die de wet met zich meebrengt voor onze privacy. Ook de commissie die toeziet of de diensten hun bevoegdheden wel terecht inzetten, de Toetsingscommissie Inzet Bevoegdheden (TIB), is fel tegen de nieuwe wet. TIB-lid en technisch expert Bert Hubert legde in september uit protest zijn functie neer en zocht de publiciteit op om het tij te keren. “Er is geen ervaring met de privacynadelen. Niemand heeft ooit een baan niet gekregen vanwege een door de AIVD afgeluisterd sms’je.” Daarmee is het een ver-van-mijn-bedshow, terwijl de wetswijziging die nu op stapel staat, ons allemaal raakt.
Afluisteracties
Voorstanders van de wijzigingen noemen de Wiv 2017 vaak de Cyberwet, tegenstanders spreken liever van de Sleepwet, een knipoog naar het woord ‘sleepnet’. De tijdelijke wet omvat een hele reeks ingrepen (zie kader ‘Belangrijkste wijzigingen van de tijdelijke wet’) die het de veiligheidsdiensten gemakkelijker moeten maken om terroristen en buitenlandse spionnen bijtijds op te sporen door allerlei communicatiekanalen te hacken en af te tappen. Denk daarbij aan alle middelen die spionnen, maar ook Nederlandse burgers kunnen gebruiken om te communiceren: persoonlijke computers en telefoons, maar ook hele internetkabels, servers, bedrijfssoftware, apps en ga zo maar door.
De TIB is in 2018 in het leven geroepen om erop toe te zien dat de AIVD (Algemene Inlichtingen- en Veiligheidsdienst) en de MIVD (Militaire Inlichtingen- en Veiligheidsdienst) hiermee niet hun staatsrechtelijke boekje te buiten gaan. De toezichthouder oordeelt vooraf of een afluisteractie noodzakelijk is, of die voldoende gericht is en niet onnodig willekeurige burgers raakt. Verder oordeelt de TIB of de actie proportioneel is en of hetzelfde resultaat ook te bereiken is met minder ingrijpende acties.
De TIB heeft de minister, onder wiens goedkeuring de diensten opereren, de afgelopen vier jaar met enige regelmaat teruggefloten. Toen de wet in 2018 van kracht ging, was de grote angst bijvoorbeeld dat de diensten onbeperkt onze internetkabels gingen afluisteren. In werkelijkheid konden de diensten de afgelopen vier jaar geen enkele kabel aftappen om er inhoudelijk naar te kijken, aangezien de TIB dit niet toestond.
Dat is precies wat de veiligheidsdiensten dwarszit. Daar komt nog bij dat het hele proces van toestemming vragen extra administratieve rompslomp met zich meebrengt, waardoor er minder tijd over is voor het echte speurwerk. Dat de slagkracht van de geheime diensten te wensen overliet, concludeerde de Algemene Rekenkamer al in het voorjaar van 2021 Ongeveer tien procent van het personeel zou druk zijn met de extra eisen die de wet stelt. ‘Landen als Rusland en China kunnen doen wat ze willen, maar wij hebben ethische principes’, zo beklaagde de afzwaaiende minister Henk Kamp van Defensie zich afgelopen januari hierover in NRC. Als de wetswijziging doorgaat, krijgt de TIB minder mogelijkheden om de diensten vooraf terug te fluiten.
Meeste aanvragen goedgekeurd
Een groeiende dreiging van cyberaanvallen, gecombineerd met geheime diensten die door alle administratieve rompslomp en omslachtige protocollen niet meer in kunnen staan voor onze nationale veiligheid: dat klinkt ernstig. Toch geven de jaarverslagen van de TIB niet de indruk dat de diensten vleugellam zijn. De afgelopen jaren keurde de TIB het overgrote deel van de aanvragen van de diensten goed. In 2021 dienden de AIVD en de MIVD samen bijvoorbeeld 3.071 verzoeken in. Daarvan moest de AIVD 3,3 % afblazen en de MIVD 7 %. Die getallen zeggen overigens niets over de inhoud van de aanvragen – het kan dus zijn dat juist die paar afgewezen gevallen cruciaal waren.
De diensten vinden de traagheid van de goedkeuringsprocessen te belemmerend. Maar als er echt haast bij is, kunnen de diensten altijd een spoedprocedure inzetten; de onderzoekers kunnen dan meteen van start gaan, zonder dat ze hoeven te wachten op een reactie van de TIB. In 2021 gebeurde dit 101 keer. “De diensten willen liever minder vaak toestemming vragen, omdat het hele proces drie weken duurt”, zegt Hubert. “Alleen ligt de aanvraag van die drie weken slechts drie dagen bij de TIB. Een deel van de bureaucratie ligt dus bij henzelf. Er is dus veel méér mogelijk dan de wet wijzigen. Dat mis ik in de discussies over de Wiv 2017.”
Rondsnuffelen op internetkabels
Een van de omstreden wijzigingen van de wet gaat over zogeheten ongerichte kabelinterceptie: de diensten mogen elke kabel een jaar lang afluisteren ‘ter verkenning’, zonder de TIB hiervoor om toestemming te vragen. Tot nu toe was die toestemming wel nodig. In 2021 bijvoorbeeld weigerde de toezichthouder dit twee keer. In het eerste geval zou een behoorlijke hoeveelheid van het internetverkeer van onder meer Nederlandse burgers worden opgeslagen en ongezien terechtkomen bij een buitenlandse veiligheidsdienst. Wat dat zou bijdragen aan de veiligheid van Nederland, was de TIB onduidelijk. Bij het tweede verzoek bestond volgens de toezichthouder het gevaar dat medewerkers van de diensten ook van willekeurige Nederlandse burgers konden bijhouden wie op welk moment welke websites bezocht. Ook dat vond de TIB niet te rechtvaardigen met het veiligheidsdoel dat de AIVD beschreef.
In plaats van gericht te zoeken naar belangrijke informatie op internetkabels mogen de diensten volgens de voorgestelde wetswijzigingen ongericht ‘snapshots’ nemen van ons internetverkeer in het kader van toekomstig onderzoek naar landen met een agressief cyberprogramma tegen Nederland. Als die snapshots, steekproeven dus, wijzen op verdachte zaken, kunnen ze leiden tot een nieuwe onderzoeksvraag. Pas op dat moment moet de AIVD de TIB toestemming vragen om dieper op de materie in te gaan.
Hubert vindt dat een zorgelijke ontwikkeling. “Momenteel moet er een behoorlijke aanleiding zijn om rond te gaan snuffelen op de kabel. Straks kunnen ze dat op elke gewenste kabel, ook als die naar het Media Park loopt, of naar een studentencomplex met veel buitenlandse studenten.”
De Nijmeegse hoogleraar Digitale Veiligheid Bart Jacobs, lid van de evaluatiecommissie die het systeem van toezicht op de diensten evalueerde , deelt deze zorgen niet. “Hubert reduceert de actie tot het afluisteren van een bekende persoon. Het gaat er juist om dat je van tevoren niet weet wie je moet afluisteren. Als de diensten vooraf goed kunnen verkennen wat er gebeurt op een kabel, kunnen ze daarna gerichter gegevens binnenhalen. Je zou dus kunnen zeggen dat het juist beter is voor onze privacy.”
Een woordvoerder van de AIVD laat weten dat het de diensten helemaal niet te doen is om onschuldige burgers af te luisteren. “Deze wet is ingediend om Nederland en Nederlandse belangen te beschermen tegen landen met een offensief cyberprogramma – een reële dreiging – en niet om privacy van burgers te schenden.”
Voor Lotte Houwing, beleidsadviseur van Bits of Freedom, is dat allemaal geen geruststelling. “Je zegt dus: om te kunnen zien waar we willen tappen, tappen we eerst iedereen. En dat zou dan een geruststelling moeten zijn voor zorgen over privacy-inbreuken.”
Strategische hacks
Een andere geplande wijziging is dat het voor de diensten makkelijker wordt om bedrijven ‘strategisch te hacken’. Zo zou de veiligheidsdienst bijvoorbeeld kunnen inbreken bij een bedrijf als Strava, de app die locatiegegevens bijhoudt voor renliefhebbers. Reuze handig als je wilt weten waar een staatsgevaarlijk persoon zich bevindt. Volgens de nieuwe wet hoeven de diensten niet meer gedetailleerd te vermelden welke technische risico’s aan de hack kleven, bijvoorbeeld wanneer ze gebruikmaken van zero days, softwarelekken.
Dat kan riskant zijn, zegt Hubert. “Stel dat je een spion in de gaten houdt via een softwarelek in zijn Android-telefoon. Als die spion tegelijkertijd in de gaten wordt gehouden door de Iraanse overheid, riskeer je dat die het lek ontdekt en vervolgens alle Android-telefoons kan hacken.”
Volgens Houwing heeft dit consequenties op verschillende niveaus. De TIB kan de technische risico’s op deze manier niet meenemen in de beoordeling van een aanvraag, maar bovendien zullen de diensten a priori minder gemotiveerd zijn om er serieus over na te denken. “Als je weet dat de toezichthouder naar die technische risico’s gaat kijken, ga je er al met een ander perspectief over nadenken. Natuurlijk hebben de diensten zelf een belang om de hackbevoegdheid in te zetten zonder dat iemand dat ontdekt, maar dat is een overweging vanuit hun eigen belangen, niet vanuit de belangen van burgers.”
Rowin Jansen, onderzoeker aan de Radboud Universiteit Nijmegen en specialist op het gebied van de veiligheidsdiensten, zegt dat strategische operaties momenteel bijna per definitie leiden tot onenigheid met de toezichthouder. Dat komt door de vaagheid van de huidige wet. “Bij een strategische operatie zet je bepaalde bevoegdheden in met als doel een informatiepositie op te bouwen, waar je pas later profijt van hebt”, legt hij uit. “Het opzetten van een informantennetwerk in het buitenland is ook een strategische operatie. In de digitale context staat de wetgeving dit wel toe, maar zonder duidelijke kaders te scheppen. Dat maakt het heel moeilijk dit te reguleren.”
De TIB toetst elke bevoegdheid van de veiligheidsdiensten aan noodzakelijkheid, proportionaliteit, gerichtheid en subsidiariteit, dus ook de strategische hacks. “Het probleem is dat dit soort operaties vaak niet zo gericht zijn”, zegt Jansen. “Misschien zijn ze noodzakelijk, maar het profijt zit in de toekomst, dus je weet van tevoren niet of de hack proportioneel is, of niet. Dat vraagt om nadere duiding door de wetgever, maar dat is nogal complex.”
Moeilijke klus
Terwijl de TIB minder gelegenheid krijgt om de AIVD en de MIVD vooraf te toetsen, krijgt een tweede toetsingscommissie, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) er juist bevoegdheden bij. De CTIVD toetst momenteel tijdens en achteraf of de veiligheidsdiensten zich aan de regels houden. De commissie mag, ook nu al, onbeperkt AIVD- en MIVD-werknemers interviewen, files inkijken en dossiers doorpluizen. Als de CTIVD concludeert dat de diensten de regels hebben gebroken, dan krijgt de commissie volgens de voorgestelde wet de macht om in sommige gevallen alsnog aan de noodrem te trekken. De veiligheidsdienst moet de gewraakte actie dan staken. De voor de diensten verantwoordelijke minister kan in dat geval bij de Raad van State in beroep gaan tegen het besluit van de CTIVD. De rechter besluit dan uiteindelijk of de dienst door mag gaan, of niet.
Jansen zet vraagtekens bij die voorgestelde machtsconstructie. “Er verschuift een bepaalde beslissingsmacht naar de rechter. Die krijgt een heel moeilijke klus te vervullen, juist omdat het over operaties gaat waarbij veel individuele rechten zijn betrokken. Het is niet altijd op voorhand duidelijk hoe je de toetsing precies moet verrichten; daar zit een zeker waarderend element in. Het kan ervoor zorgen dat een rechter zegt dat je bepaalde onderzoeken niet mag doen, terwijl misschien politiek Den Haag om allerlei andere redenen er wel van overtuigd is dat dat zou moeten. Zo kom je op een heel moeilijk spanningsveld terecht. Daar moeten we fundamenteel over nadenken.”
Rechtstaat waarborgen
Paul Bovend’Eert, hoogleraar Staatsrecht aan de Radboud Universiteit, is erg verbaasd dat de nieuwe wet de positie van de TIB verzwakt. Hij maakte onderdeel uit van een juridische commissie die de regering dit voorjaar juist adviseerde om het toezicht vooraf te versterken. Het Europees Hof voor de Rechten van de Mens is namelijk juist steeds meer uitgesproken over het belang van onafhankelijke toetsing van de inlichtingen- en veiligheidsdiensten. “Natuurlijk kun je ook kiezen voor een minimale variant, maar waarom zou je niet zorgen voor een goede waarborg van de rechtstaat?”, zegt hij. “Dit voorstel zorgt juist voor een verzwakking van onze rechtsbescherming.”
Dat de CTIVD meer macht krijgt om in te grijpen, stelt hem niet gerust. “Dan is het kwaad al geschied. De inbreuk op de persoonlijke levenssfeer heeft al plaatsgevonden, de informatie is al verzameld, ze zijn al te ver gegaan.”
Het wetsvoorstel betreft een tijdelijke wijziging: over een jaar of vijf moet de toezichtswet definitief vorm krijgen. Bovend’Eert vreest echter dat de wijzigingen de opmaat vormen voor afschaffing van alle toezicht vooraf. “De AIVD en MIVD kunnen na verloop van jaren roepen: we hebben dit model toegepast op offensieve cyberlanden en het gaat zo geweldig, laten we dit model toepassen voor de hele wet. Zij hebben er belang bij om zo ruim mogelijke bevoegdheden te hebben voor hun onderzoeken. Daartegenover staat het belang van de rechtstaat. We worden in onze grondrechten beperkt zonder dat we daar bewust van zijn. Om dan toch toezicht op die overheid te creëren heb je een instantie nodig die in vertrouwen dat toezicht uitoefent. Anders verkwansel je de rechtstaat.”