Nieuwe spionagewet: meer datagraaien, omdat het moet?

'Burgers hoeven niet bevreesd te zijn', sussen de ministers Ronald Plasterk en Jeanine Hennis. Hun nieuwe spionagewet zal louter boeven, terroristen en vijandige naties en strijders treffen. Gelukkig maar.

Het kabinet presenteert met een brief aan de Tweede Kamer en bijbehorend schema voor dataverzameling en verwerking de aanpassing van de huidige wet op de inlichtingen en veiligheidsdiensten of WIV van 2002.

De drie belangrijkste veranderingen zijn:

1. De beperking dat louter draadloze communicatie (via satellieten) massaal mag worden onderschept en daarmee niet de datastromen via kabels, komt te vervallen. Dit was een blunder van jewelste in 2002, want ook toen al (denk: KPNQwest) was er een enorme overgang van intercontinentaal dataverkeer van satellieten naar kabels.

Omdat het in de praktijk onwerkbaar was, hebben de AIVD en MIVD zich aan deze beperking niet kunnen houden om hun werk goed te doen. Of ze hebben leentjebuur moeten spelen bij buitenlandse zusterdiensten als de NSA die deze beperking niet kennen of niet in acht nemen.

Deze uitbreiding naar kabels is onontkoombaar, zoals ook staat in het rapport van de commissie-Dessens (‘Evaluatie Wet op de Inlichten- en veiligheidsdiensten 2002’). Tenzij het kabinet had gekozen om het massaal onderscheppen geheel achterwege te laten. Daar hoef je niet om te komen dezer dagen.

2. Dit hangt samen met de tweede grote verandering: dataverzameling zal, volgens de nieuwe wet, niet beperkt zijn tot het speuren naar een specifieke verdachte persoon of organisatie. Als de wet doorgang vindt, kan de IVD (AIVD/MIVD) straks bijvoorbeeld alle berichtenverkeer en telefoontjes tussen Pakistan en Nederland onderscheppen. Of van een wijk rondom een verdachte moskee als het kabinet toestemming geeft.
De diensten kunnen straks grootschalig, beperkt geformuleerde verkeersstromen met potentieel gevaar binnenhalen. In feite legitimeert het kabinet hiermee de methode van het voorportaal van dataverzameling.

De grootste fout die de media maakten in de affaire Snowden is het miskennen van dit voorportaal. Doel van inlichtingendiensten is niet zo veel mogelijk relevante data binnen te harken, maar om in noodzakelijke gevallen snel te kunnen handelen dus data beschikbaar te hebben. Moet je die dan eerst nog gaan verzamelen, ben je volgens hen (te) laat.

Afgezien van de vraag of de diensten wel adequaat en effectief te werk gaan vanuit die databergen, doet deze noodzaak zich voor. Het is het principe van alle big data: veel verzamelen opdat de noodzakelijke data voorhanden zijn. Natuurlijk zijn daar vraagtekens bij te plaatsen.

3. In het geval van overheden die massaal data verzamelen vereist dit waarborgen dat ‘onschuldige burgers’ geen doelwit noch slachtoffer vormen van het datagraaien. Plasterk en Hennis willen drie fases in het dataproces gaan onderscheiden, met in elk vier gelijksoortige waarborgen:

a) doelgericht verwerven van telecommunicatie,
b) voorbewerken van verkregen data
c) specifiek verwerken van de data met het resultaat van ad. b

De grofweg vier waarborgen:

a) Op last van de betrokken Minister. De last moet doelgericht (onderzoeksgebonden) zijn met daarbij vermelding van proportionaliteit, subsidiariteit en noodzakelijkheid. (Subsidiariteit: Een ingrijpender maatregel is alleen toegestaan als met een lichtere niet kan worden volstaan.)

b) Begrensde toestemmingstermijn (maximaal 1 jaar).

c) Expliciete bewaar- en vernietigingstermijnen (niet gespecificeerd).

d) Functie- en taakscheiding en datatoegang afzonderlijk van inhoudelijke verwerking van data

Gladde ijs en gladde vereisten

In de fase b) zit de angel van het spionagewerk: Verrijken en correleren van data teneinde relevante kenmerken, identiteiten en trefwoorden te onderkennen; waaronder metadata-analyse. Alsmede het onderkennen en technisch onderzoeken van nog onbekende cyberdreigingen. Het restproduct vormen de niet-relevante data, zeg maar de mails en gesprekken tussen u en mij.

Plasterk en Hennis schrijven: 'Omdat voor deze optimalisatie metadata-analyse of een korte kennisneming van de inhoud van de telecommunicatie nodig kunnen zijn, gaat de inbreuk op de persoonlijke levenssfeer in deze fase verder dan in de eerste fase.'

Wat is in deze ‘korte kennisneming’? En hoe optimaal wordt de analyse van gegevens over online- en belgedrag? Wat is relevant?

Gaat u rustig slapen, schrijven de ministers: 'Het doelgerichte karakter van de uitoefening van deze bevoegdheden op basis van de wettelijk vastgelegde taken van de inlichtingendiensten zorgt ervoor dat de ‘normale’ telecommunicatie van burgers gevrijwaard blijft van ongeoorloofde inmenging door de inlichtingendiensten.'

Oftewel: 'Burgers hoeven niet bevreesd te zijn dat de overheid in willekeurige e-mailconversaties meekijkt of telefoongesprekken meeluistert.'

Metadata iets beperkt

Voor metadata (verkeersgegevens) kennen de diensten momenteel nauwelijks beperkingen. Die komen er wel volgens de brief. De onderschepte metadata kunnen worden onderworpen aan een louter technische analyse en een meer vergaande analyse voor het traceren van gevaarlijke subjecten en patronen.

Beide vormen van metadata-analyse zijn volgens de huidige wet zonder toestemming mogelijk. Die tweede vorm, met gericht zoeken, wordt in de  nieuwe wet onderworpen aan ministeriële toestemming.

Ook zal het kabinet, zoals al beloofd is, de uitwisseling van grote hoeveelheden ruwe gegevens (bulkdata) met buitenlandse collega-diensten door de IVD onderwerpen aan ministeriële toestemming. 'De criteria zijn de democratische inbedding van de dienst, het mensenrechtenbeleid in het desbetreffende land en de professionaliteit en betrouwbaarheid van de dienst.'

Pas als samenwerking met een buitenlandse dienst niet aan deze voorwaarden dreigt te voldoen, zou de dienst aan de minister toestemming moeten vragen. Dat is een lichte toets, en ook logisch in het internationale veld waarin de diensten opereren.

Volgens mij ligt hier ook een crux van het moderne inlichtingenwerk met data die mondiaal over kabels en in de cloud zwerven: als het zo uitkomt zijn Nederlandse data verkrijgbaar bij de Duitsers, Fransen of Amerikanen, en andersom.

Immers, ook de beoogde terroristen en andere boeven opereren internationaal. We bestrijden ze in Mali en het Midden-Oosten.

Bij de verstrekking van data aan buitenlandse diensten door de AIVD/MIVD wordt bovendien de voorwaarde gesteld dat degene die ze ontvangt ze niet aan andere landen mag verstrekken. Dat is een braaf voornemen dat in de praktijk oncontroleerbaar is. Zoals veel van het spionagewerk dat per definitie – noodzakelijkerwijs – is.

Deelname aan cyberoorlog

Nederland doet immers mee aan internationale strijd die online wordt gevoed. De ministers schrijven dat een 'stevige Nederlandse inlichtingenpositie van fundamenteel belang is, of het nu gaat om het voorkomen van terrorisme, tegengaan van spionage, beschermen tegen digitale aanvallen, inzicht in bedreigingen voor de internationale rechtsorde, het doorgronden van intenties van een aantal landen, zicht op de capaciteitsontwikkeling van risicolanden of de proliferatie van massavernietigingswapens.'

De diensten doen nationaal mee in de ‘Nationale Cyber Security Strategie. Partners daarin zijn de politie en het bedrijfsleven, veelal in internationale samenwerking. Werd in de WIV van 2002 al voorzien in poortjes voor data-uitwisseling met diensten van bevriende naties (zoals de NSA) aan de ene kant en binnenlands met de politie, in de afgelopen jaren is het bedrijfsleven aangeschoven. De Cybersecurityraad van ons land wordt voorgezeten door de antiterrorismechef en KPN. (KPN is via haar dochterbedrijf voor telefoniedata onderworpen aan Amerikaanse wetgeving.)

KPN dichtbij is handig want voor het aftappen blijft de medewerking vereist van de desbetreffende netwerkaanbieder. Er moet wel overleg worden gevoerd over de plicht tot aftappen voor een netwerkaanbieder, zo komt in de wet te staan: 'Een belangrijke en in de wet op te nemen voorwaarde hierbij is de plicht tot overleg tussen de diensten en de netwerkaanbieder, voorafgaand aan de uitvoering van de door de minister verleende interceptielast.'

Democratische controle?

Uiteraard streven de ministers democratisch na dat 'een juiste balans worden gevonden tussen de inzet van de bevoegdheden enerzijds en het kunnen uitoefenen van grondrechten anderzijds.'

Want: 'Noodzakelijke inbreuken op het recht op privacy dienen voorzien te zijn van adequate waarborgen.'

In alle gevallen kan de onafhankelijke toezichthouder (CTIVD) toetsen of voldaan is aan de eisen van de waarborgen. Maar is er daarop weer democratische controle?

Opvallend in de brief aan de Tweede Kamer is het geheel weglaten van enige mening van het kabinet over toename van de democratische controle. Als eindstation voor controle en waarborgen noemt het kabinet steeds de toezichthouder CITVD.

In hoeverre de controle van het parlement wordt versterkt, doet er niet toe. Dit betekent dat het kabinet de huidige situatie, met een controle door besloten vergaderende commissie Stiekem wil handhaven.

Spionage-expert Cees Wiebes brak de staf over de (in)activiteit van deze commissie, wat overigens vanaf 1978 diverse malen is vastgesteld. Uiteraard is er niet voor niets sprake van geheime diensten. Ze moeten in de schaduw opereren.

Momenteel komt echter hun rol naar voren in incidenten, of in p.r. initiatieven van Defensie. De vraag is of je niet structureel successen en falen van diensten kunt verantwoorden zonder dat je methoden en strategie prijsgeeft.

Stel dat er meer transparantie komt, dan ontstaat weer de vraag of je de informatie kunt checken. En zo blijf je bezig; voor cynici blijft elke poging om inlichtingenwerk wettelijk te verankeren, zeker als het er straks eens echt op aankomt met aanslagen, een wassen neus.

Mijn gekozen waardering € -

Peter Olsthoorn schreef boeken over internet, Google en The Power of Facebook,Œ artikelen over ICT, media (internet vooral), inlichtingendiensten en innovatie. Hij spreekt over deze onderwerpen, treedt op als dagvoorzitter en interviewer op het podium. Was journalist in Oost-Europa, correspondent en oprichter van netkwesties.nl.