Zo voorkom je een volgende Charlie Hebdo in ieder geval niet
In de weken na de terroristische aanslagen in Parijs willen Europese regeringsleiders méér informatie verzamelen en méér databases optuigen. Want: alleen zo zou een volgende aanslag te voorkomen zijn. Maar er bestaan geen overtuigende bewijzen voor de effectiviteit van dergelijke maatregelen. Integendeel: ze maken de bestrijding van terrorisme moeilijker.
De Britse premier David Cameron zegt dat zijn geheime diensten toegang moeten krijgen tot alle digitale communicatie van de Britten. Bondskanselier Angela Merkel wil telefoon- en internetaanbieders verplichten gebruikersdata voor lange tijd te bewaren. En Donald Tusk, voorzitter van de Europese Raad, pleit voor een snelle invoering van een centrale database met de gegevens van alle luchtvaartreizigers die het Europees luchtruim betreden of verlaten.
In de nasleep van de aanslag en het gijzelingsdrama in Parijs spreken Europese regeringsleiders ferme taal.
De boodschap: Het Kwaad dat toesloeg in Parijs zal bestreden worden met nieuwe, betere en geavanceerdere maatregelen. Zwaardere wapens voor agenten, inzet van militairen, maar vooral: meer bevoegdheden voor terrorismebestrijders om informatie te verzamelen, op te slaan en uit te wisselen.
Niet heel verrassend: ook (oud-)hoofden van inlichtingen- en veiligheidsdiensten laten snel van zich horen. Pieter Cobelens, de ex-baas van onze Militaire Inlichtingen- en Veiligheidsdienst (MIVD), pleit er vrijwel direct na Parijs voor om meer databases aan elkaar te koppelen. Jonathan Evans, voormalig directeur van de Britse veiligheidsdienst MI5, hekelt meteen de ‘verouderde’ wetgeving van Groot-Brittannië om communicatie te monitoren. En Michael Hayden, de oud-directeur van de National Security Agency (NSA), houdt de dag na de aanslagen nog maar eens een pleidooi voor de controversiële verzameling van telefoonmetadata.
In die roep om meer bevoegdheden zit een zekere logica. De bevolking eist daadkracht van haar leiders, media benadrukken de kans op een volgende aanslag en politieke tegenstanders verwijten regeringsleiders slappe knieën. Hou onder die omstandigheden de rug maar eens recht. (De Nederlandse regering is wat dat betreft (voorlopig) een uitzondering, waarover aan het slot van dit artikel meer.)
Maar te midden van die electorale, maatschappelijke en politieke storm gaat de belangrijkste vraag nog weleens verloren: werkt het?
Zullen de voorgestelde maatregelen voor méér dataverzameling en méér databasekoppelingen ook echt terroristische aanslagen voorkomen?
Klassiek spionnenwerk versus massasurveillance
Er is geen expert te vinden die twijfelt over nut en noodzaak van surveillance voor terrorismebestrijding. Maar er is een cruciaal onderscheid tussen het gericht monitoren, volgen en aftappen van terrorismeverdachten – laten we zeggen het klassieke inlichtingenwerk – en het ongericht verzamelen en opslaan van grote bergen communicatie van miljoenen burgers – laten we zeggen de sleepnetmethode. Van de eerste vorm van surveillance weten we dat die cruciaal is om terrorisme te bestrijden, maar geldt dat ook voor die andere vorm?
Er is geen expert te vinden die twijfelt over nut en noodzaak van surveillance voor terrorismebestrijding
Laten we beginnen met de feiten over de aanslagen. Die spreken in ieder geval niet in het voordeel van de politici en spionnenbazen die pleiten voor méér data.
Allereerst waren de daders van de aanslagen in Parijs al jarenlang bekend bij de Franse autoriteiten. Ze stonden op lijstjes van terrorismeverdachten en hadden hun eigen dossier (wat overigens voor bijna iedere terrorist geldt die de afgelopen dertien jaar uit naam van de islam in West-Europa een aanslag heeft gepleegd).
Tel daarbij op dat de Franse veiligheids- en inlichtingendiensten tot de beste van Europa behoren, met verregaande bevoegdheden die eind 2013 nog eens zijn verruimd. De Fransen kónden al bij de communicatie van burgers, verplichtten telecom- en internetproviders al gebruikersdata te bewaren én hadden zelf al een luchtvaartpassagierregistratiesysteem tot hun beschikking.
Het heeft de aanslagen niet gestopt.
Met andere woorden: een gebrek aan bevoegdheden of een tekort aan informatie was niet het probleem, en méér daarvan is dus ook niet de oplossing; het ging mis bij de interpretatie en waardering van de al aanwezige informatie.
Toch is dat niet de onderliggende boodschap van de pleidooien van Europese regeringsleiders en inlichtingendiensten. Die stralen uit: we hebben niet genoeg bevoegdheden om terroristische aanslagen in de toekomst te voorkomen.
Een beetje historisch besef, graag
De vraag is waar dat op gebaseerd is. Na eerdere terroristische aanslagen – met name in New York (2001), Madrid (2004) en Londen (2005) – hebben Europese landen al een zeer uitgebreid palet aan contraterrorismemaatregelen tot hun beschikking.
Omdat een beetje historisch besef geen kwaad kan, neem ik contact op met Ben Hayes, een Britse wetenschapper die onderzoek deed naar alle contraterrorismewetgeving die sinds 12 september 2001 op EU-niveau is aangenomen. Voor de duidelijkheid: dat zijn dus alle Brusselse maatregelen die losstaan van maatregelen die lidstaten als Frankrijk of Nederland zélf hebben ingevoerd. Ik vraag Hayes wat er bekend is over de effectiviteit van de reeds bestaande maatregelen op Europees niveau.
Zijn antwoord: weinig tot niets.
Hayes telde voor zijn onderzoek liefst 239 wetten, directieven en andere maatregelen die deel uitmaken van de Brusselse contraterrorismeagenda. Niet die enorme hoeveelheid was de meest pikante uitkomst, maar de constatering dat van vrijwel geen enkele Europese contraterrorismemaatregel is vast te stellen of hij werkt. Wetten zijn niet of nauwelijks onafhankelijk geëvalueerd; er is geen systematisch onderzoek gedaan naar de implementatie ervan door lidstaten; de effectiviteit is niet gemeten én de legitimiteit niet getoetst.
Er is, kortom, na nine eleven in Europa een indrukwekkend contraterrorismebouwwerk opgetrokken, waarvan onduidelijk is of het zijn doel – een veiliger Europa – bereikt (heeft) én wat de impact is op Europese burgers.
Lees: beleid gebaseerd op de onderbuik in plaats van op bewijs. ‘Een stevige evaluatie van de maatregelen is harder nodig dan de invoering van wéér nieuwe maatregelen,’ concludeert onderzoeker Hayes over de telefoon vanuit Londen.
Niet in de laatste plaats omdat een deel van de recente voorstellen overbodig is, legt hij uit. Neem de pleidooien voor meer uitwisseling van informatie tussen de geheime diensten van de lidstaten. Dat kan wel nodig zijn, zegt Hayes, maar daar zijn geen nieuwe afspraken voor nodig. Sinds 2001 zijn er al minstens vier maatregelen ingevoerd die precies dat doen: lidstaten oproepen om meer samen te werken en om meer informatie te delen. Hayes: ‘Als die gebrekkige samenwerking inderdaad een probleem is dat tot serieuze veiligheidsproblemen leidt, zoals nu veel gezegd wordt, dan is het zaak om na te gaan waarom dit niet eerder hersteld is. De wetgeving ligt er al jaren, maar de lidstaten hebben haar niet willen doorvoeren. Waarom niet? Het lijkt mij essentieel om eerst eens die vraag te beantwoorden.’
Hayes wijst op een andere populaire maatregel onder regeringsleiders: de invoering van de Europabrede vliegtuigpassagiersdatabase. Afgelopen woensdag lekte een voorstel van de Europese Commissie voor de zogenoemde Passenger Name Record (PNR)-database uit. De Commissie ontkent dat het gelekte document de definitieve versie is, maar het geeft alvast een aardig idee van de plannen. In een centrale database zullen de persoonlijke gegevens van alle reizigers die Europa in en uit vliegen worden opgeslagen. Onder de 42 gegevens: naam, (e-mail)adres, telefoonnummer en maaltijdvoorkeuren (halal bijvoorbeeld). Deze data zijn voor maximaal vijf jaar in te zien door politie en inlichtingendiensten van iedere lidstaat.
De Commissie wil al sinds 2011 een PNR-database invoeren, maar stuitte telkens op verzet van het Europees Parlement. Een van de belangrijkste redenen voor Europarlementariërs om het plan tegen te houden: het gebrek aan bewijs dat zo’n enorme database, waarin de gegevens van miljoenen Europeanen worden opgeslagen, echt noodzakelijk is in de strijd tegen terrorisme. De Commissie heeft die bewijzen nooit kunnen leveren, maar noemt de versnelde invoering van de PNR-database nu wel ‘cruciaal’ om terroristische aanslagen te voorkomen.
Een bizarre redenering, vindt Hayes. ‘Ten eerste hebben veel EU-lidstaten – waaronder Frankrijk – al een eigen PNR-systeem én andere reizigerregistratiesystemen. De reizen van de daders werden al gemonitord, dus een Europees PNR-systeem zou niets hebben toegevoegd aan de datasets die de Fransen over hen hadden. Ten tweede, er is nog nooit aangetoond dat zo’n systeem van massasurveillance – want dat is het – ook echt werkt.’
Een database vindt zelf geen Syriëganger
Tijd om contact op te nemen met Nederlands bekendste terrorismeprofessor, Beatrice de Graaf (Universiteit Utrecht). De effectiviteit van contraterrorismemaatregelen, legt De Graaf uit, is per definitie lastig vast te stellen. Want ja, hoe meet je dat? En wát meet je eigenlijk? Het aantal verijdelde aanslagen? De opgesloten terreurverdachten? Terrorismebestrijding bestaat uit een samenspel van maatregelen, waardoor het moeilijk is om een causaal verband te leggen tussen één maatregel en de resultaten. Bovendien, zegt De Graaf, zijn er maar weinig gegevens beschikbaar over de resultaten van terrorismebestrijding. Staatsgeheim. Niet openbaar.
Dit geldt in principe ook voor massasurveillanceprogramma’s. Toch lichten een aantal recente rapporten over de effectiviteit van telefoon- en internetmetadata door de Amerikaanse NSA een veelzeggend tipje van die sluier op. Metadata – wie belt of mailt met wie, wanneer en vanaf waar – is bovendien vergelijkbaar met de Europese Bewaarplicht van telecomgegevens.
Helaas is er nog nooit een Syriëganger door een database opgespoord
In 2013 verklaarde toenmalig directeur van de NSA, Keith Alexander, dat deze vorm van massale dataverzameling meer dan vijftig terroristische aanslagen had verijdeld. Kort daarop zei de Amerikaanse senator Patrick Leahy, na inzage in de geclassificeerde lijst van aanslagen, dat dit simpelweg niet waar was. Een commissie ingesteld door president Barack Obama, die toegang had tot de vertrouwelijke documentatie, concludeerde ook dat metadata ‘niet essentieel’ was geweest in het voorkomen van terroristische aanslagen. En uit een uitgebreide analyse door de New America Foundation van een database met 225 personen die aangeklaagd, veroordeeld of vermoord waren na nine eleven in verband met terrorisme, bleek dat in slechts vier gevallen metadata een (kleine) rol hadden gespeeld en dat er geen enkel verband was tussen metadata en het stoppen van een aanslag.
Wel vonden de onderzoekers overtuigende bewijzen voor de effectiviteit van het klassieke inlichtingenwerk: het gebruik van informanten, tips uit lokale gemeenschappen en gerichte surveillance.
Hoe moeilijk het ook is om effectiviteit te meten, zegt Beatrice de Graaf, er bestaan vooral bewijzen dat grootschalige surveillance van communicatie niet werkt. ‘We weten dat het verzamelen en aanleggen van databases – óók van vliegtuigpassagiers – niet automatisch leidt tot het voorkomen van aanslagen. Sterker nog: misschien leidt het wel automatisch niet tot het voorkomen van aanslagen.’
Dit is een argument om even stil bij te blijven staan. De Graaf vertolkt hier een standpunt dat vele kenners van het werk van geheime diensten en terrorismebestrijding delen, namelijk dat méér data het feitelijk moeilijker maken om terroristen op te sporen. ‘Het is lastiger om in nog meer hooibergen die ene speld te vinden,’ aldus de terrorismeprofessor.
Er bestaat onder de protagonisten van dergelijke programma’s een geloof in de kracht van technologie en de zegeningen van Big Data en datamining, zegt De Graaf. ‘Helaas is er nog nooit een Syriëganger door een database opgespoord. Terroristen zijn zulke grote statistische uitzonderingen, daar kun je niet met de bestaande statistische instrumenten op losgaan.’
De Graaf bedoelt maar: terrorismebestrijding blijft mensenwerk. Hoe meer gegevens er worden verzameld en bewaard, hoe meer mensen er nodig zijn om aan die data betekenis toe te kennen. ‘Weet je waarom de luchthaven van Tel Aviv van alle luchthavens ter wereld het beste in staat is om aanslagen te voorkomen? Daar lopen gigantisch veel ervaren politiemensen rond. Die voelen aan of iemand iets slechts in de zin heeft. Dat is bewezen best practice. De vraag is dan: willen wij een vliegveld als Tel Aviv? Willen wij duizenden extra fte’s aan marechaussees op Schiphol laten rondlopen? Willen wij onze geheime diensten uitbreiden met duizenden nieuwe medewerkers?’
Wél bewezen: strijdig met mensenrechten
Een korte tussenstand: we weten bijna niets over de effectiviteit van de voorgestelde maatregelen voor grote dataverzamelingen. Wat we wel weten wijst op een gebrek aan effectiviteit. En in plaats van dat meer data het werk van terrorismebestrijders makkelijker maken, lijkt het tegenovergestelde het geval te zijn.
O ja. We weten ook het een en ander over fundamentele mensenrechten.
Als ik Mathias Vermeulen vraag naar effectiviteitsonderzoek naar maatregelen waarbij grote hoeveelheden gegevens van burgers worden verzameld, wijst de Belgische jurist en contraterrorismeonderzoeker van de Vrije Universiteit Brussel op een rapport over de Europese Bewaarplicht.
Vermeulen noemt het rapport exemplarisch omdat het niet meer dan anekdotisch bewijs levert dat de verplichting aan telecom- en internetproviders om data over hun gebruikers te bewaren zijn doel bereikt. Vermeulen: ‘Er worden slechts een paar voorbeelden gegeven waaruit blijkt dat dit wel nuttig was.’
En dat is een serieus probleem, legt Vermeulen uit: ‘nuttig in bepaalde gevallen’ is veel te mager om de toets van het internationale recht te doorstaan. ‘Het Europees recht en bijbehorende jurisprudentie zijn daar heel duidelijk over: als een maatregel inbreuk maakt op fundamentele rechten als privacy – en maatregelen die van miljoenen burgers persoonlijke gegevens verzamelen doen dat per definitie – dan moet die maatregel noodzakelijk zijn voor de bescherming van de democratische rechtsstaat, en niet slechts handig voor opsporingsdiensten. De paradox is dat dezelfde politici die consequent zeggen dat deze programma’s noodzakelijk zijn, tegelijkertijd nog nooit die noodzakelijkheid hebben kunnen aantonen.’
Wat zo langzamerhand wel overtuigend is aangetoond, is dat het type maatregelen waar we het over hebben keihard botst met mensenrechten. Begin deze week nog verscheen een stevig rapport van de Raad van Europa, geschreven door CDA-Kamerlid Pieter Omtzigt, waarin onomwonden wordt gesteld dat de door Edward Snowden geopenbaarde NSA-programma’s van massasurveillance, waaronder de metadataverzamelingen, een bedreiging zijn voor fundamentele rechten als de vrijheid van meningsuiting en privacy. Het was het achtste rapport in iets meer dan een jaar dat tot dergelijke conclusies kwam.
In Europees verband verdient een uitspraak van de hoogste rechter van de Europese Unie een bijzondere vermelding. Het Europese Hof van Justitie verklaarde de bewaarplicht ongrondwettelijk, die telecomaanbieders verplichtte data van alle Europeanen over wie met wie belt of mailt, wanneer en vanaf waar, op te slaan en voor minimaal zes maanden te bewaren. De richtlijn vormt volgens de rechter een te grote inbreuk op de privacy van miljoenen onschuldige Europeanen.
Diezelfde bewaarplicht– die Angela Merkel na Parijs weer in wil voeren (nadat haar eigen Constitutioneel Hof de richtlijn in 2010 verwierp), die de Franse opsporingsdiensten al jaren vóór Parijs gebruikten en waar voor de werking geen overtuigende bewijzen bestaan – werd na de aanslagen in Londen uit 2005 versneld aangenomen door het Europees Parlement.
Volgens Mathias Vermeulen schept deze uitspraak een precedent voor andere maatregelen waarbij grote databases worden gecreëerd met data van onschuldige burgers. ‘Het zet die in principe op losse schroeven,’ zegt Vermeulen. ‘Dat geldt ook voor de database met gegevens over alle luchtvaartpassagiers.’
Nederland gidsland?
In haar boek Theater van de angst (2010) formuleert Beatrice de Graaf een alternatieve benadering van effectiviteit van terrorismebestrijding. Net zoals het primaire doel van terroristen niet het aantal slachtoffers is maar de maatschappelijke gevolgen ervan, zo ligt het succes van terrorismebestrijding óók in de maatschappelijke impact van het beleid. Speel je als overheid mee in het theater van de angst dat de terroristen willen creëren, door oorlogsretoriek te bezigen (vlak na de aanslagen in Parijs klonk een letterlijke echo van George Bush’ ‘war on terror’ uit de mond van Franse premier Manuel Valls) en bijpassende maatregelen te nemen, dan loop je het risico dat je de terroristen in de kaart speelt. Geef je daar niet aan toe en probeer je de maatschappelijke angst te neutraliseren, dan verklein je de vruchtbare bodem waar terrorisme zo goed wortel op schiet.
Vergeet niet dat er in Nederland geen aanslag is gepleegd
Zo bezien is de reactie van de Nederlandse regering op de aanslagen in Parijs verstandig, zegt De Graaf. Premier Mark Rutte maakte duidelijk dat de regering erbovenop zit maar dat er geen nieuwe maatregelen nodig zijn. AIVD-baas Rob Bertholee zei dat we ‘ons niet moeten laten opjagen door de waan van de dag [en] de vluchtigheid van een subjectief veiligheidsgevoel.’
En de Nationaal Coördinator Terrorismebestrijding Dick Schoof maande om niet paranoïde te worden en verhoogde het dreigingsniveau niet, omdat de aanslagen in Parijs bevestigden wat al bekend was. ‘Dat is een verstandige reactie,’ zegt De Graaf. ‘Petje af. Gewoon nuchter de feiten benoemen.’
‘Maar,’ voegt de terrorismeprofessor eraan toe, ‘vergeet niet dat er in Nederland geen aanslag is gepleegd.’