Ben je voor of tegen? Is het ‘ja’ of ‘nee’?

Op 21 maart is het raadgevend referendum over de nieuwe wet voor de geheime diensten. Die wet bepaalt wat de diensten mogen doen. Goede kans dat jij die Wet op de inlichtingen- en veiligheidsdiensten 2017 kent als de ‘sleepwet’.

De tegenstanders boekten daarmee al een eerste overwinning. Negenentachtig gemeenten, een kwart van het totaal, gebruiken in hun informatie over het referendum het woord ’sleepwet’. Soms zonder aanhalingstekens, soms met. Soms met een verwijzing naar informatie van de rijksoverheid, soms met een link naar Sleepwet.nl, opgezet door de campagnevoerders.

Zo vreemd is dat niet. Vrijwel de hele discussie over de nieuwe wet draait om de bevoegdheid die de tegenstanders het ‘sleepnet’ noemen, de ‘onderzoeksopdrachtgerichte interceptie’. Op dit moment mogen de diensten alleen grote hoeveelheden radio- en satellietverkeer uit de ether onderscheppen. Maar vanaf 1 mei mogen ze ook ongericht grote hoeveelheden internetverkeer en mobieletelefoniedata van de glasvezelkabels halen, waarlangs het meeste internetverkeer immers verloopt. Ook dat van terroristen, spionnen in binnen- en buitenland, vijanden in militaire missiegebieden en regimes op zoek naar massavernietigingswapens.

Met deze bevoegdheid hopen de diensten onbekende targets en nieuwe dreigingen te kunnen ontdekken vóórdat die zich voordoen. Vandaar de metafoor van het sleepnet: met een groot net wordt enorm veel data binnengesleept in de hoop er iets nuttigs uit te vissen.

Draconisch, noemen de tegenstanders het, omdat tussen die data veel persoonlijke informatie van onschuldige burgers zit

Draconisch, noemen de tegenstanders het, omdat tussen die data onvermijdelijk veel persoonlijke informatie van onschuldige burgers zit. Broodnodig, zeggen de voorstanders, om terroristen en ander serieus gespuis effectief te kunnen opsporen.

De ‘onderzoeksgerichte interceptie’ is inderdaad een van de ingrijpendste nieuwe bevoegdheden van de diensten. Maar niet de enige.

Hieronder lichten wij drie bevoegdheden uit die meer aandacht verdienen dan ze nu krijgen: het hacken door de diensten; het doorzoeken van al die bakken informatie; en de toegang tot databases van bedrijven en organisaties. En we kijken ook naar een ander heet hangijzer: het toezicht op de diensten.

Voor de duidelijkheid: dit artikel adviseert niet wat je 21 maart moet stemmen, maar beschrijft waartegen je óók ‘ja’ of ‘nee’ zegt bij het raadgevend referendum.

1. Hacken

Vanaf 1 mei mogen de diensten veel meer hacken - zo mogen ze ook inbreken in computersystemen van ‘niet-doelwitten’.

Wat mogen de diensten nu al?

De diensten mogen al inbreken op zogenoemde ‘geautomatiseerde werken’ als telefoons, laptops, servers, en computernetwerken. Denk aan modems of routers van verdachten, versleutelde telefoons van criminelen, systemen van internet- en telecomproviders in militaire missiegebieden of aan computers van personen die geanonimiseerd handelen in wapens, drugs of kinderporno. Ook slimme meters, thermostaten, smartwatches of boordcomputers in voertuigen kunnen doelwit van hacking zijn. Het is maar net welke informatie of tactische positie de diensten willen verkrijgen.

De diensten mogen vervolgens de versleutelde gegevens die zij via hacking hebben verworven ontsleutelen. De diensten mogen daarbij personen of organisaties dwingen om mee te werken als de diensten de sleutel niet kennen en deze personen wel. Niet voldoen aan een verzoek tot ontsleuteling is strafbaar: je kunt er een celstraf van maximaal twee jaar voor krijgen. Het gaat hier om ‘gericht’ ontsleutelen, bijvoorbeeld van ‘bestanden op computer A van persoon X’ of ‘communicatie van organisatie Y’, en niet ongericht, dus niet ‘alle iPhone 5c’s’.

Voor hacking was tot nu toe geen toestemming nodig van de minister.

Wat mogen de diensten straks?

De diensten behouden de hackbevoegdheid, maar volgens de nieuwe wet is straks wél toestemming van de minister nodig. Daarnaast stelt de wet straks expliciet dat de diensten systemen en netwerken mogen ‘verkennen’. Dat is overigens al bestaande praktijk, want om netwerken te hacken moet doorgaans eerst worden verkend waar zich de mogelijke ingangen bevinden.

Wat valt hiertegen in te brengen?

De hackbevoegdheid is van immens belang voor de diensten, maar kan een grote inbreuk op de grondrechten betekenen.

Daarvan is bijvoorbeeld sprake als de diensten de hackbevoegdheid niet rechtstreeks inzetten tegen ‘verdachte’ doelwitten, maar tegen anderen die ze als opstapje kunnen gebruiken om in de computer van een target te kunnen rondneuzen. Je kunt je voorstellen dat aardig wat doelwitten van de diensten hun apparaten en communicatie goed beveiligen. Daarom mogen de diensten inbreken in systemen van (minder veiligheidsbewuste) derden, zoals vrienden, familie of collega’s, maar ook van providers en mailservers. In de wet zelf wordt geen onderscheid gemaakt tussen het hacken van een enkele telefoon of het hacken van een internetprovider.

Dit aspect van deze bevoegdheid krijgt niet de aandacht die het verdient. Een groepje vooraanstaande onderzoekers noemde dit in 2015 ‘een van de meest vergaande voorstellen’ uit de nieuwe wet. ‘Waar het binnendringen in computers al de zwaarst denkbare bevoegdheid is [...], valt het binnendringen in computers van personen die zelf niet onderwerp zijn van onderzoek door de diensten in de buitencategorie van privacyinbreuken.’

De hackbevoegdheid is van immens belang voor de diensten, maar kan een grote inbreuk betekenen op de grondrechten

Hier ligt een belangrijke taak voor de toezichthouders. Hoe gaan de diensten met deze ingrijpende bevoegdheid om? Wat zijn de gevolgen? Opmerkelijk genoeg deed de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (afgekort: CTIVD) pas in 2016 - veertien jaar nadat de toezichthouder werd opgericht - voor het eerst onderzoek naar de hackbevoegdheid. Dat toezichtsrapport spreekt over ‘tientallen’ hackoperaties in 2015. De CTIVD kwam tot de conclusie dat de AIVD en MIVD bij ‘het overgrote deel’ daarvan rechtmatig te werk zijn gegaan.

Over de inzet van de hackbevoegdheid in de jaren daarvóór is geen informatie bekend. En het is de vraag welke informatie over hacken wel openbaar zal worden gemaakt: het kabinet heeft toegezegd tapstatistieken te openbaren, maar over hackstatistieken is niks gezegd.

2. Zoeken door bergen data

Naast het verzamelen van al die data mogen de diensten die data ook doorzoeken en analyseren.

Wat mogen de diensten al?

De diensten mogen nu zonder toestemming van de minister de ether doorzoeken naar relevante communicatie. Daarbij moet je denken aan radio- en satellietverkeer. ‘Search’, heet dat. Dit is op dit moment alleen toegestaan bij communicatie die uit het buitenland komt of naar het buitenland gaat. De ‘searchbevoegdheid’ gold dus niet voor binnenlandse communicatie.

Er zijn twee belangrijke vormen van search:

Search gericht op interceptie: de diensten doorzoeken de ether naar radiofrequenties en satellietkanalen waarop relevante communicatie plaatsvindt. Communicatie op die kanalen mag daarbij in bulk worden onderschept. Search gericht op selectie: de diensten proberen op de in bulk onderschepte data zoekopdrachten (selectiecriteria) uit, zoals namen van personen en organisaties, telefoonnummers, e-mailadressen en IP-adressen.

Er mag bij het searchen alleen kort worden gekeken of geluisterd naar de inhoud van communicatie en alleen om de relevantie te bepalen. Er mogen aantekeningen worden gemaakt, al mag er geen ‘dossiervorming’ plaatsvinden.

De resultaten mogen echter niet worden doorgegeven aan operationele teams van de diensten. Als tijdens het searchen relevante communicatie en zoekopdrachten zijn gevonden, wordt de minister vervolgens toestemming gevraagd om de zoekresultaten te gebruiken voor het ‘operationele inlichtingenproces’. Dat laatste heet selectie.

Wat mogen de diensten straks?

Naast ethercommunicatie, mogen de diensten vanaf mei ook kabelcommunicatie verzamelen. De nadruk in de discussie over het ‘sleepnet’ ligt op het verzamelen van data van de glasvezelkabels, maar de diensten mogen vanaf 1 mei ook de searchbevoegdheden uitoefenen op kabelcommunicatie.

Je weet op voorhand niet welk Nederlands telefoonnummer zal communiceren met welk nummer in Syrië over een voorgenomen uitreis

Waarom het kabinet dat wil? Voor deze bevoegdheid geldt hetzelfde argument als voor kabelinterceptie (het ‘sleepnet’): om te bepalen welk internetverkeer relevant is voor de diensten, is het bijvoorbeeld nodig de in bulk onderschepte communicatie te kunnen doorzoeken op namen en nummers. Want je weet op voorhand niet welk e-mailadres met welk e-mailadres zal communiceren over de planning van een terroristische aanval, via welk IP-adres staatsgeheimen worden weggesmokkeld of welk nummer in Syrië met welk Nederlands telefoonnummer zal communiceren over een voorgenomen uitreis of terugkeer.

Uitbreiding van de bestaande searchbevoegdheid biedt de ruimte om dit soort analyses uit te voeren. Maar ook om communicatie te doorzoeken op trefwoorden om handel in onderdelen voor massavernietigingswapens te ontdekken (waar, bijvoorbeeld, het begrip ‘isostatische warmtepers’ naar kan verwijzen) of om patronen te herkennen die wijzen op digitale aanvallen en spionage.

Vanaf mei mag dit type onderzoek bovendien plaatsvinden op binnenlandse communicatie, in plaats van alleen op communicatie die begint of eindigt in het buitenland. Dat is een verruiming ten opzichte van de oude situatie. Daar staat tegenover dat de minister daarvoor straks wel toestemming moet geven.

Wat valt hiertegen in te brengen?

Het verkennen van de communicatie (search) is volgens de toezichthouder CTIVD een van ‘de grootste’ inmengingen ‘in de rechten van de burger’. In die zin bevreemdt het dat het kabinet dezelfde beperkingen oplegt aan het ‘searchen’ van binnenlandse communicatie als aan niet-binnenlandse communicatie.

In bijvoorbeeld Duitsland, Frankrijk en het Verenigd Koninkrijk is dat onderscheid wel aanwezig, en is de binnenlandse communicatie van burgers beter beschermd dan niet-binnenlandse communicatie.

In Nederland ligt dat dus anders. Zo geldt voor communicatie tussen piraten rond de Hoorn van Afrika of in militaire missiegebieden als Mali hetzelfde als voor communicatie binnen Nederland. Het is interessant om te zien hoe streng de toezichthouders zullen zijn over de inzet van deze bevoegdheid jegens eigen burgers.

Daarnaast is er de mogelijkheid van misbruik. Sommige medewerkers mogen real-time en in bulk onderschepte communicatie onderzoeken. Ze mogen die gegevens niet rechtstreeks doorspelen aan de operationele teams van de diensten die zich bezighouden met lopende onderzoeken. Maar de verleiding om dit toch te doen kan groot zijn. Zoals ze zich straks misschien evenmin inhouden als ze de e-mailberichten van hun levenspartner willen inzien die ze verdenken van overspel.

Het is niet bekend of dergelijk misbruik door de Nederlandse diensten ooit plaatshad. Wel noteerde toezichthouder CTIVD in 2011 terloops dat niet alle personen bij de MIVD die zich dagelijks bezighouden met de verwerking van data ‘de inbreuk [op de privacy] van dit middel op waarde schatten’. Straks komen er dus meer bevoegdheden én meer data bij.

3. Geautomatiseerde toegang en analyse van databases

De diensten mogen vanaf 1 mei geautomatiseerd toegang krijgen tot databases van derde partijen.

Wat mochten de diensten al?

De diensten kunnen op verschillende manieren data over personen krijgen. Eén daarvan is de bevoegdheid om ‘derden’, zoals organisaties die persoonsgegevens verwerken, te verzoeken op vrijwillige basis gegevens aan de diensten te verstrekken. Dit is een algemene bevoegdheid; er is geen toestemming nodig van de minister.

Wat mogen de diensten straks?

De diensten hebben vanaf mei een wettelijke basis om geautomatiseerde toegang te krijgen tot databases van derde partijen. Ook hier is geen toestemming van de minister voor nodig. Denk aan een rechtstreekse koppeling met databases van bedrijven en organisaties die gegevens verwerken over identificatie, reisgedrag en financiën. Een paar concrete (maar hypothetische) voorbeelden: overheidsdatabases zoals de Basisregistratie Personen (BRP) en het kentekenregister, betalingsverkeer van banken, data van de OV-chipkaart, gegevens over kentekenregistraties door camera’s op snelwegen, en gsm-mastdata waaruit blijkt wie met wie heeft gebeld, wanneer, hoelang, en op welke locatie.

Belangrijk: het gaat hierbij om toegang op basis van vrijwillige medewerking, de diensten kunnen dit niet afdwingen.

Daarnaast mogen de diensten de informatie uit deze databases laten analyseren en aanvullen met gegevens uit de eigen systemen en uit openbare informatiebronnen.

Door geautomatiseerde toegang en analyse denken de diensten dat zij, bijvoorbeeld aan de hand van reispatronen of financiële patronen, kunnen ontdekken wie zich mogelijk bezighoudt met terreur of spionage. Aanwijzingen kunnen bestaan uit reizen die bepaalde mensen op bepaalde tijden boeken naar bepaalde locaties, of uit bedragen die op bepaalde binnenlandse of buitenlandse rekeningnummers worden ontvangen.

‘De vrijwilligheid van de medewerking maakt het effect niet minder ingrijpend voor degenen op wie de gegevens betrekking hebben’

Welke gegevens, kenmerken, patronen en profielen daarbij worden gebruikt, is onbekend. Die maken deel uit van het kat-en-muisspel tussen de diensten en de personen en organisaties die zich aan de aandacht van de diensten willen onttrekken. Het kabinet stelt dat het idealiter de diensten zijn die de data doorzoeken, ‘vanwege privacy- en beveiligingsaspecten.’ In dat geval mogen de diensten alle te doorzoeken gegevens kopiëren, ook in bulk.

Wat valt hiertegen in te brengen?

Allereerst is dit in potentie een goudmijn voor de diensten. Het is vreemd dat het voor de diensten straks wettelijk even makkelijk is gericht data op te vragen over één doelwit als om structureel toegang te krijgen tot een rijke database van duizenden personen. Dat punt wordt hier uitgebreider uitgewerkt door Matthijs Koot (co-auteur van dit artikel) en Joris van Hoboken.

Waarom is dit geen bijzondere bevoegdheid waar de minister en de nieuwe toezichthouder (zie punt 4) toestemming voor moeten geven? Een mogelijk antwoord daarop is: medewerking door bedrijven en personen is vrijwillig. Maar, waarschuwt jurist Joris van Hoboken, ‘de vrijwilligheid maakt de bevoegdheid niet minder ingrijpend voor de personen waarop de gegevens betrekking hebben.’

En wat te denken van de druk die partijen kunnen ervaren als de diensten bij hen aankloppen? Hoe reageer je als bedrijf op zo’n verzoek dat in potentie de gegevens over de identiteit en het gedrag van vele - of misschien wel alle - personen in jouw database raakt? Ga je meteen akkoord of voel je je verantwoordelijk voor de bescherming van de privacy van je klanten?

4. En het toezicht dan?

Er komt een nieuw systeem van toezicht dat óók weer nieuwe vragen oproept

De Nederlandse diensten mogen al strafbare feiten plegen en de rechten van burgers schenden. Vanaf 1 mei krijgen ze er nieuwe ingrijpende mogelijkheden bij.

Daar hoort wel een stevig systeem van checks-and-balances bij. Waarborgen die zekerstellen dat de diensten hun vergaande bevoegdheden alleen onder strikte voorwaarden uitoefenen .

Naast de parlementaire controle op de diensten via de zogenoemde commissie Stiekem, voorziet de oude wet in een externe toezichthouder, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Het oordeel van de CTIVD is niet bindend. En dat niet alleen: het oordeel komt achteraf. Het enige wat de CTIVD kan doen, is de AIVD en MIVD op de vingers tikken over iets dat ze al hebben gedaan.

Maar: Europese gerechtshoven en zo ongeveer iedereen die er verstand van heeft, vinden dat Nederland het toezicht onder de oude wet niet goed heeft geregeld. Sterker nog: zij zien een onafhankelijke toezichthouder met bindende oordelen als een absolute voorwaarde voor de democratische legitimiteit van geheime diensten. Ook de CTIVD uitte Dat deed voorzitter Harm Brouwer bijvoorbeeld in dit interview hier haar zorgen over.

Daarom komt er onder de nieuwe wet een nieuwe commissie bij, de Toetsingscommissie Inzet Bevoegdheden (TIB). Ze bestaat uit drie personen, met juridische of technische achtergrond. Het grote verschil met de CTIVD (die ook blijft bestaan) is dat de TIB voordat de diensten van hun bijzondere bevoegdheid gebruikmaken - zoals het grootschalig verzamelen van kabelcommunicatie - toetsen of dit wel mag. Zegt de commissie nee, dan mogen de diensten dus niet aan de slag.

De Raad van State vreest dat de nieuwe TIB een ‘alibi-functie’ zal vervullen. Dat ze een stempelmachine wordt

Dit is absoluut een vooruitgang, maar er is ook kritiek geuit op deze vorm van controle. En niet door de minste. De Raad van State vreest dat de TIB een ‘alibi-functie’ zal vervullen. Dat ze een stempelmachine wordt, met nagenoeg altijd een positief oordeel.

De nieuwe TIB heeft namelijk geen toegang tot de gegevens en systemen van de diensten. Daardoor heeft ze nauwelijks inzicht in de praktijk. En zeg maar eens nee tegen een verzoek als je de praktijk niet kent maar wél potentieel een verkeerd besluit kunt maken.

De kritiek van de Raad voor de Rechtspraak, die alle rechters in Nederland vertegenwoordigt, sluit hierop aan. Ook de rechters betwijfelen of de TIB wel in staat is serieus toezicht te houden en deze essentiële taak te vervullen.

En dan is er nog de samenstelling van de TIB. Die zal bestaan uit twee rechters en iemand met meer kennis van ICT en veiligheid. Nu komen de oud-rechters Mariëtte Moussault en Lex Mooy erin, samen met Ronald Prins, de oud-directeur van Fox-IT, een bekend Nederlands beveiligingsbedrijf dat in 2015 voor 133 miljoen euro door het Britse NCC werd overgenomen.

‘Liever de AIVD op het internet, dan een Rus in mijn laptop,’ zei Ronald Prins, die nu op de juiste toepassing van de nieuwe wet moet toezien

Prins heeft zich de afgelopen jaren in de media gepresenteerd als een van de meest uitgesproken voorstanders van de nieuwe wet. ‘Als dat referendum er echt komt, ga ik stickers uitdelen met "Liever de AIVD op het internet, dan een Rus in mijn laptop." Ik heb ze al klaarliggen’, zei Prins bijvoorbeeld.

Straks moet hij de inzet van die nieuwe bevoegdheden toetsen op rechtmatigheid. Aan Prins’ expertise en kwaliteiten ligt het niet - er is in Nederland waarschijnlijk niemand die zoveel verstand heeft van de techniek van tappen en hacken door diensten als hij; wat dat betreft is Prins de gedroomde kandidaat.

Maar kan Prins genoeg kritische afstand bewaren? Hoe verhoudt hij zich straks tot de twee ex-rechters zonder technische kennis? En hoe onafhankelijk kan iemand oordelen die zelf ook bij de AIVD heeft gewerkt en wiens bedrijf technologie leverde aan de diensten?

En nu?

De komende anderhalve week zal de campagne voor het referendum stevig gevoerd worden. Voor- én tegenstanders zullen daarbij de overdrijving niet schuwen. Het ene kamp voorziet de Stasi, het andere vrijspel voor de terroristen van de Islamitische Staat.

Om tot een goed oordeel te komen, is het belangrijk dat referendumstemmers weten waartegen zij ja of nee zeggen. Voorbij de sleepwet.

Of het iets uitmaakt, de uitslag van 21 maart? Als het aan coalitiepartner Sybrand Buma ligt niet. De CDA-leider zei in oktober : ‘Ik wil dat die "sleepwet" doorgaat. Hier ga ik de keuze maken dat we dit referendum niet beschouwen als een echt referendum.’ Maar het kabinet zal een massaal ‘nee’ niet zomaar kunnen negeren.

Ons advies: voor of tegen, ga stemmen, de 21ste. Deze wet doet ertoe.

Met dank aan meelezer Sarah Eskens