Wat staat er in de nieuwe Nederlandse surveillancewet?
De Nederlandse inlichtingendiensten krijgen, als het aan het kabinet ligt, binnenkort meer afluisterbevoegdheden. Vorige week is de wet die dit regelt gepubliceerd voor een internetconsultatie, waarbij iedereen zijn mening erover kan geven. Wat staat er precies in? En worden straks echt alle burgers in de gaten gehouden?
De Nederlandse inlichtingendiensten AIVD en MIVD krijgen binnenkort ruimere bevoegdheden om burgers te bespioneren. Vorige week werd een nieuwe wet ter inspraak voorgelegd op Internetconsultatie.nl.
Waarom is deze wet nodig?
De AIVD en de MIVD hebben zich te houden aan de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) uit 2002. Deze werd door de diensten sinds de aanslagen in Madrid (2004) en Londen (2005) vaak als te beknellend ervaren. Want in tegenstelling tot veel buitenlandse inlichtingendiensten, mogen de AIVD en de MIVD alleen gericht internet- en telefoonverkeer onderscheppen. Grootschalige onderschepping - vaak ‘in bulk’ of ‘met een ‘sleepnet’ genoemd - mag alleen bij niet-kabelgebonden communicatie zoals satelliet- en radioverkeer. Sinds begin deze eeuw heeft vrijwel alle communicatie zich naar de kabels verplaatst.
Eind 2013 publiceerde oud-ambtenaar Stan Dessens daarom een lijvig advies over een nieuwe wet, waarin gesteld werd dat de Wiv 2002 aan vervanging toe was. Dat advies is de basis voor de wet die nu ter beoordeling ligt.
Wat zijn de belangrijkste veranderingen?
Er zijn veel veranderingen doorgevoerd. Deze drie zijn het belangrijkst. De AIVD en MIVD krijgen:
- meer mogelijkheden om DNA-gegevens te gebruiken en te bewaren;
- meer armslag om computers binnen te dringen;
- de bevoegdheid om al het communicatieverkeer - via kabels, satelliet en de ether - grootschalig te onderscheppen.
Wat moeten de AIVD en MIVD met DNA-gegevens?
De CTIVD, de toezichthouder op de diensten, constateerde in mei dat de AIVD een illegale DNA-databank bijhield waarin namen aan DNA-materiaal waren gekoppeld. Het materiaal had eigenlijk vernietigd moeten worden.
In de nieuwe wet is het houden van materiaal en profielen scherper geregeld. Voortaan mag DNA-materiaal, dus het lichaamsmonster, alleen worden gebruikt na toestemming van de minister en alleen als er geen andere mogelijkheden zijn om iemand te identificeren.
Het DNA-materiaal moet bovendien na drie maanden vernietigd worden. In sommige gevallen mag het DNA-materiaal gedeeld worden met andere Nederlandse diensten of met buitenlandse partners, bijvoorbeeld om omgekomen jihadstrijders te identificeren. De DNA-profielen, dus de data over het materiaal, mogen langer bewaard worden, namelijk vijf jaar. Die periode kan overschreden worden, maar ook daarvoor moet de minister toestemming geven.
Wat mogen AIVD en MIVD doen op het gebied van hacken?
De diensten hebben nu al een beperkte bevoegdheid om computers binnen te dringen. De nieuwe wet geeft de AIVD en MIVD meer armslag. Zo mogen ze ‘semi-continue’ zwakheden in computersystemen verkennen. In de voorbereidende fase van hacken wordt software gebruikt om bijvoorbeeld te kijken of een server goed beveiligd is, of er poorten openstaan, welke software wordt gebruikt en of daar nog zwakheden in zitten.
De diensten mogen straks ook computers binnendringen van ‘non-targets.’ Dat zijn burgers, bedrijven en instellingen die geen doelwit zijn. Het kan bijvoorbeeld gebeuren dat de server van een doelwit bereikbaar is via een niet-doelwit dat de server deelt. Ze mogen hier niet zomaar inhoudelijke informatie onderscheppen.
Tot slot wordt het makkelijker voor de AIVD en MIVD om malware aan te brengen waarmee bijvoorbeeld de microfoon of de webcam van besmette computers op afstand bediend kan worden.
En wat mogen de diensten straks onderscheppen?
De belangrijkste en gevoeligste nieuwe bevoegdheid is het in bulk onderscheppen van kabelgebonden communicatieverkeer. Dat kan op verschillende manieren. Op dit moment zijn aanbieders van openbare telecommunicatiediensten (zoals KPN of Ziggo) verplicht om gegevens van klanten te leveren als de AIVD of MIVD daarom vraagt. Als de aanbieders weigeren, krijgen ze een boete. Aanbieders van niet-openbare netwerken (zoals sommige hostingproviders) zijn op dit moment nog niet verplicht informatie over te dragen.
Dat gaat veranderen. Straks moeten alle aanbieders klantgegevens verstrekken als de AIVD of MIVD daarom vraagt. Als die gegevens versleuteld zijn, moeten de aanbieders deze ontsleutelen.
Een andere nieuwe mogelijkheid is dat de AIVD en MIVD een tap laten zetten in de kabels en al het verkeer scannen en zo nodig binnenslepen. Dat lijkt sterk op de bevoegdheden die diensten als de Amerikaanse NSA en Britse GCHQ hebben. De AIVD zou bijvoorbeeld bij een aanlandpunt van een grote internationale zeekabel een tap kunnen laten zetten. De nieuwe wet is in tegenstelling tot de oude technologieneutraal: toegestaan is ‘interceptie van elke vorm van telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk ongeacht waar een en ander plaatsvindt.’
De AIVD en MIVD kunnen vervolgens al het verkeer scannen met Deep Packet Inspection, waarmee geautomatiseerd per datapakketje wordt gekeken naar de herkomst en bestemming van de data en het type gegevens dat vervoerd wordt. Verkeer dat voor onderzoek van belang is, kan er zo uitgefilterd worden. De AIVD en MIVD mogen het resultaat drie jaar opslaan.
Dit klinkt als massasurveillance
Ja, dat is de grootste kritiek op dit voorstel. Hierover zal nog flink gesteggeld worden. De wet zou de AIVD en MIVD de mogelijkheid geven om alle burgers te bespioneren en een sleepnet uit te gooien over al het internetverkeer.
Maar toch gaat het denk ik te ver om zonder meer van massasurveillance te spreken.
De wet kent namelijk ook een aantal waarborgen. De diensten mogen niet zomaar alles tappen. Voor iedere tap moet toestemming worden gevraagd aan de minister. Dat verzoek moet zo specifiek mogelijk zijn. Het soort communicatiemiddel moet omschreven zijn (internetkabel, radioverkeer, mobiele telefonie, et cetera). Liefst moet er een geografische afbakening zijn én een begrenzing in tijd. Ook moeten de diensten aangeven welk soort verkeer wordt getapt: gaat het over telefonie, chatverkeer, bestandsuitwisseling of e-mails? In de wet is ook duidelijker aangegeven wat in welke fase van het onderzoek mag, waarbij er een onderscheid wordt gemaakt in verwerving van informatie (wat mag je onderscheppen), voorbewerking (hoe mag je dat doen) en verwerking (analyse en bewaartermijnen).
Opvallend is dat het beschermingsniveau voor metadata wordt verhoogd. Metadata zijn niet de inhoudelijke gegevens, maar gegevens over het verkeer: dus niet de mail zelf, maar aan wie je een mail hebt gestuurd, wanneer dat was, et cetera. De Memorie van Toelichting van de wet erkent dat deze metadata ook erg veel onthullen over mensen. Geautomatiseerde data-analyse van die metadata die tot doel heeft om personen of organisaties te identificeren, vereist daarom ook ministeriële toestemming.
Toezichthouder CTIVD kan ook nog op de rem trappen. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft altijd toegang tot alle documenten, kan verzoeken van de AIVD en MIVD op rechtmatigheid toetsen en de minister de opdracht geven een verzoek te heroverwegen.
Tot slot is er natuurlijk nog een fysieke beperking voor massasurveillance: de AIVD en MIVD zijn relatief kleine diensten en er gaat relatief veel dataverkeer door Nederland. Het is voor de dienst ondoenlijk en te kostbaar om al die data te monitoren en op te slaan. We hebben in Nederland niet de enorme datacentra die de NSA bijvoorbeeld wel heeft.
Is dan alles koek en ei met deze wet?
Geenszins. Hoewel het onwaarschijnlijk is dat nu al het internetverkeer van alle burgers wordt gemonitord, kent de wet toch wel wat gaten.
Een voorbehoud: hier begint mijn mening zich met de feiten te mengen.
Ik vind het bijvoorbeeld vreemd dat voor het briefgeheim, dat ook in de wet wordt genoemd, andere normen gelden dan voor e-mail. Als de AIVD of MIVD een brief wil openmaken, is daar toestemming van een rechter voor nodig. Voor het openen van een e-mail is een akkoord van de minister voldoende.
Sowieso is het vreemd dat alle toestemmingen van de minister komen en niet van een onafhankelijke rechtbank. Er is weliswaar een toezichthouder, de CTIVD, maar die wordt ook door de minister benoemd. Bij zulke ingrijpende maatregelen, waarin verkeer en computers van niet-doelwitten ook in het vizier van de diensten komen, zou je onafhankelijker toetsing verwachten.
Daarnaast laat de Memorie van Toelichting onvermeld hoe specifiek het verzoek aan een minister voor bulkonderschepping moet zijn. Als daar geen goede afspraken over worden gemaakt, zullen die grenzen steeds verder oprekken. Het principe select before you collect moet zo strak mogelijk gehanteerd worden, juist als onverdachte burgers potentieel in een sleepnet kunnen blijven steken.