Vier redenen waarom de nieuwe aftapwet een slecht idee is
Ondanks grote maatschappelijke weerstand stemde de Eerste Kamer dinsdagavond in met een nieuwe wet waarmee de inlichtingendiensten veel meer mensen mogen aftappen en hacken. Waarom is deze wet geen goed idee? Alle feiten en kritiek op een rij.
Op 1 januari volgend jaar wordt een nieuwe wet van kracht die de Nederlandse inlichtingen- en veiligheidsdiensten ruimere bevoegdheden geeft om mensen af te luisteren en te hacken. Dinsdagavond laat stemde een meerderheid in de Eerste Kamer voor deze omstreden wet.
Met beveiligingsexpert Matthijs Koot nam ik vorig jaar het conceptwetsvoorstel stevig onder de loep. Wat wil het kabinet dat de diensten straks mogen? Welke bevoegdheden moeten erbij? Onze conclusie, en die van vele maatschappelijke organisaties en bedrijven, was niet mals: deze wet heeft een aantal fundamentele problemen.
Nu de wet ondanks alle kritiek grotendeels onveranderd is aangenomen, zetten we die problemen nog een keer op een rij. Deze discussie is te belangrijk om niet te voeren. Dit zijn de vijf belangrijkste veranderingen en de kritiek daarop - die nog steeds overeind staat.
1. Grootschalige interceptie van kabelcommunicatie
Wat mogen de diensten nu?
Op dit moment mogen inlichtingen- en veiligheidsdiensten grote hoeveelheden communicatie onderscheppen én doorzoeken die via de ether worden getransporteerd. Daarbij kun je denken aan radio- en satellietverkeer. Deze bevoegdheid is ‘ongericht’ omdat zij niet beperkt is tot de communicatie van personen die de diensten al in het vizier (targets) hebben, maar juist draait om het verzamelen van grote hoeveelheden data om daar achteraf in te kunnen zoeken op - bijvoorbeeld - namen, nummers en trefwoorden.
Volgens de huidige wet is communicatie die via de kabel loopt - zoals het meeste internetverkeer en (mobiele) telefonie - wat betreft deze ongerichte variant van interceptie verboden terrein voor de diensten. De diensten mogen alleen gericht kabelgebonden communicatie aftappen. Denk aan het afluisteren van een specifiek telefoonnummer of het aftappen van een specifiek IP-adres of een e-mailadres dat in verband wordt gebracht met een persoon of organisatie die in de ogen van de diensten een bedreiging vormt.
Wat mag er straks?
Het kabinet wil kabelcommunicatie ook ongericht kunnen aftappen. Iets formeler geformuleerd: de diensten moeten de bevoegdheid krijgen om bij ‘aanbieders van een communicatiedienst’ (zoals internetproviders en telecombedrijven, maar ook hostingproviders en individuele webmasters) toegang af te dwingen om communicatie van hun gebruikers te kunnen onderscheppen, zonder dat op voorhand te beperken tot specifieke personen of organisaties.
Iedereen communiceert tegenwoordig ook via kabelnetwerken. Ook terroristen, spionnen en regimes die massavernietigingswa-pens willen
Het belangrijkste argument voor deze bevoegdheid: iedereen communiceert tegenwoordig ook via kabelnetwerken. Ook terroristen, spionnen in binnen- en buitenland, vijanden in militaire missiegebieden en regimes die massavernietigingswapens willen.
Hoe de wet in de praktijk zal worden toegepast, en waar de grenzen liggen, maakt het kabinet niet duidelijk. Zo lijkt het op voorhand niet uitgesloten dat een zoekmachine kan worden verplicht om sleutels af te staan, zodat zoekopdrachten kunnen worden gescreend op trefwoorden om te achterhalen wie naar websites die terroristisch gedachtegoed verspreiden zoekt. Datzelfde geldt ook voor berichten die worden uitgewisseld op sociale media en via mobiele apps.
Wat valt hiertegen in te brengen?
De belangrijkste kritiek is dat het kabinet (en daarmee de diensten) niet duidelijk kan maken dat deze nieuwe bevoegdheid noodzakelijk is. De diensten slagen er volgens veel critici niet in overtuigend te bewijzen dat zij op dit moment in de problemen komen vanwege het ontbreken van deze bevoegdheid.
Zo schreef het Nederlands Juristen Comité voor de Mensenrechten als reactie op het wetsvoorstel:
‘In de toelichting komt echter niet duidelijk naar voren waarom deze bevoegdheid noodzakelijk is, waarom de bestaande bevoegdheden niet in voldoende mate volstaan en welke (ernstige) problemen de voorgestelde bevoegdheid precies gaat oplossen. Door het ontbreken van deze informatie is de noodzaak van het voorstel vooralsnog niet aangetoond – omdat niet beoordeeld kan worden in hoeverre de voorgestelde ingrijpende maatregel het doel van het voorstel rechtvaardigt.’
Een ander punt van kritiek is de manier waarop deze bevoegdheid in de praktijk zou moeten worden uitgeoefend. Want: hoe doe je dat, op deze schaal kabels aftappen? Het kabinet laat dat, volgens verschillende criticasters, in het midden.
Business Communication Providers Alliance, een club die grote telecombedrijven British Telecom, COLT en Verizon vertegenwoordigt, stelt:
‘[...] De Memorie van Toelichting vermeldt slechts dat ‘maatwerk is vereist,’ en dat de diensten een ‘nauwkeurige omschrijving’ moeten geven van de soort medewerking welke van de aanbieder wordt verlangd. De voorzieningen die moeten worden getroffen zijn niet beschreven, laat staan gespecificeerd. [...]’
Digitale burgerrechtenbeweging Bits of Freedom vat de kritiek als volgt samen:
‘Ten eerste wordt ten onrechte geen afweging gemaakt tussen de grondrechten van burgers en de inbreuk die het invoeren van deze bevoegdheid op die grondrechten oplevert. Daarnaast ontbreekt de noodzaak om deze bevoegdheid in te voeren. Ten derde is deze bevoegdheid niet proportioneel ten opzichte van de inbreuk die de bevoegdheid veroorzaakt. Tot slot wordt niet aangetoond dat deze bevoegdheid effectiever zal zijn dan andere, minder inbreukmakende, bevoegdheden.’
2. Zoeken door bergen data
Wat mogen de diensten nu?
Zonder toestemming van de minister mogen de diensten momenteel de ether doorzoeken naar relevante communicatie. ‘Search,’ heet dat. Dit is alleen toegestaan bij communicatie die uit het buitenland komt of naar het buitenland gaat. De searchbevoegdheid mag dus niet worden toegepast op binnenlandse communicatie.
Er zijn twee belangrijke vormen van search:
1. Search gericht op interceptie: de diensten doorzoeken de ether naar radiofrequenties en satellietkanalen waarop relevante communicatie plaatsvindt. Communicatie op die kanalen mag daarbij in bulk worden onderschept.
2. Search gericht op selectie: de diensten proberen op de in bulk onderschepte communicatie zoekopdrachten (selectiecriteria) uit, zoals namen van personen en organisaties, telefoonnummers, e-mailadressen en IP-adressen.
Er mag bij het searchen alleen kort worden gekeken of geluisterd naar de inhoud van communicatie en alleen om de relevantie te bepalen. Er mogen aantekeningen worden gemaakt, al mag er geen ‘dossiervorming’ plaatsvinden, en de resultaten mogen niet worden doorgegeven aan operationele teams van de diensten.
Als tijdens het searchen relevante communicatie en zoekopdrachten zijn gevonden, wordt vervolgens toestemming aan de minister gevraagd om de zoekresultaten te gebruiken voor het operationele inlichtingenproces. Dat laatste heet selectie.
Wat mogen de diensten straks?
Het kabinet wil dat de diensten de search- en selectiebevoegdheden ook kunnen uitoefenen op kabelcommunicatie. Ook wil het kabinet dat de beperking vervalt dat search alleen mag plaatsvinden op communicatie die begint of eindigt in het buitenland.
Ter compensatie introduceert het kabinet een functiescheiding tussen het searchen en het operationele inlichtingenproces. Dit houdt in dat de minister of het diensthoofd specifieke ambtenaren zal aanwijzen die kennis mogen nemen van verzamelde gegevens waar de rest van de organisatie geen toegang toe heeft. Ook mag in het wetsvoorstel het searchen pas na toestemming van de minister plaatsvinden.
Waarom het kabinet dat wil? Voor de searchbevoegdheid geldt hetzelfde argument als voor kabelinterceptie: om te bepalen welk internetverkeer relevant is voor de diensten, is het nodig de in bulk onderschepte communicatie te kunnen doorzoeken op namen en nummers. Je weet op voorhand niet welk e-mailadres met welk e-mailadres zal communiceren over de planning van een terroristische aanval, via welk IP-adres staatsgeheimen worden weggesmokkeld of welk nummer in Syrië met welk Nederlands telefoonnummer zal communiceren over een voorgenomen uitreis of terugkeer. Uitbreiding van de bestaande searchbevoegdheid biedt de ruimte dit soort analyses uit te voeren.
Wat valt hiertegen in te brengen?
Het kabinet stelt geen bijzondere beperkingen aan het onderscheppen van binnenlandse communicatie. Zo geldt voor communicatie binnen Nederland hetzelfde als voor communicatie tussen, bijvoorbeeld, Nederland en Syrië, en communicatie die zich volledig in het buitenland bevindt, zoals communicatie tussen piraten rond de Hoorn van Afrika of in militaire missiegebieden als Mali.
Bij ons roept dit een aantal vragen op:
1. Staat het conceptwetsvoorstel toe dat binnenlandse communicatie op grote schaal wordt doorzocht, zonder aanzien des persoons, waardoor mogelijk communicatie van journalisten, advocaten, rechters, de private sector, et cetera wordt bekeken?
2. Daarmee samenhangend: blijft het zoeken op trefwoorden beperkt tot heel specifieke woorden, zoals namen van chemische stoffen en duidingen van militaire apparatuur? Of kan in de zoektocht gebruik worden gemaakt van algemenere trefwoorden? Zoals voor het identificeren van personen die op zoek zijn naar instructies om een bom te maken? Of die googelen naar extremistische webfora?
3. Mag gezichtsherkenning worden toegepast op live-beelden van persoonlijke webcams van Nederlandse burgers?
Er zijn nog meer bezwaren te noemen. De medewerkers die bij deze activiteiten betrokken zijn, hebben technisch gezien de mogelijkheid om in bulk onderschepte communicatie te onderzoeken. Dat is een risico voor misbruik: denk aan druk die vanuit operationele belangen wordt uitgeoefend, maar ook aan het lezen van e-mailberichten van je levenspartner die je verdenkt van overspel, of sms-berichten van de buurman waarmee je ruzie hebt.
Er is geen bewijs van dergelijk misbruik bij de Nederlandse diensten. Wel observeerde toezichthouder CTIVD in 2011 terloops dat ‘niet alle personen [bij de MIVD] die zich dagelijks bezighouden met de verwerking van Sigint de inbreuk [op de privacy] van dit middel op waarde schatten.’ Nu komen er dus meer bevoegdheden én meer data bij.
De toezichthouder schrijft verder in zijn reactie op het conceptwetsvoorstel dat bij het selecteren van communicatie ‘sprake [is] van een grote mate van ‘uitproberen’: selectie wordt breed ingezet aan de hand van criteria (persoonsgegevens) waarvan de relevantie niet altijd vaststaat.’ Vrij vertaald: veel trial-and-error met gevoelige persoonsgegevens.
De CTIVD adviseert daarom om naast een functiescheiding ook een systeemtechnische scheiding aan te brengen. Dan zouden uitsluitend de medewerkers die betrokken zijn bij de searchfase rechtstreeks toegang hebben tot de ruwe, ‘ongeëvalueerde’ bulk aan communicatie. Overige medewerkers, zoals analisten die deelnemen aan operationele teams, zouden alleen toegang moeten hebben tot de communicatie die uit de bulk is geselecteerd op basis van zoekopdrachten waarvoor de minister toestemming heeft gegeven. Dit advies van de CTIVD zou kunnen voorkomen dat analisten in een situatie komen waarin ze kunnen grasduinen in onderschepte communicatie.
3. Geautomatiseerde toegang en analyse van databases
Wat mogen de diensten nu?
De diensten kunnen op verschillende manieren data over personen krijgen. Eén daarvan is de bevoegdheid om ‘derden’ (zoals bedrijven die persoonsgegevens verwerken) te verzoeken op vrijwillige basis (persoons)gegevens aan de diensten te verstrekken. Dit is een algemene bevoegdheid, wat betekent dat er geen toestemming nodig is van de minister.
Wat mogen de diensten straks?
Het kabinet wil de diensten een wettelijke basis geven om geautomatiseerde toegang te krijgen tot databases van derde partijen. Denk aan een rechtstreekse koppeling met databases van bedrijven en organisaties die gegevens verwerken over identificatie, reisgedrag en financiën. Het gaat hierbij om toegang op basis van vrijwillige medewerking.
Daarnaast wil het kabinet de informatie uit deze databases automatisch kunnen analyseren, aangevuld met gegevens uit de eigen systemen en uit openbare informatiebronnen. Daarbij mag worden gezocht op ‘profielen.’ Ook deze bevoegdheid eist geen toestemming van de minister.
Door geautomatiseerde toegang en analyse denken de diensten dat zij, bijvoorbeeld aan de hand van reispatronen of financiële patronen, kunnen ontdekken wie zich mogelijk bezighoudt met terroristische activiteiten. Aanwijzingen zouden kunnen bestaan uit het op bepaalde tijden door bepaalde mensen afreizen naar bepaalde locaties, of het ontvangen of versturen van geld van of naar bepaalde binnenlandse of buitenlandse rekeningnummers.
Welke gegevens, kenmerken, patronen en profielen daarbij worden gebruikt, en hoe effectief en nauwkeurig die zijn, is een permanent vraagstuk; het vormt onderdeel van het kat-en-muisspel tussen de diensten en de personen en organisaties die zich aan de aandacht van de diensten willen onttrekken. Het kabinet stelt dat het doorzoeken idealiter bij de diensten plaatsvindt, ‘vanwege privacy- en beveiligingsaspecten.’ In dat geval zullen alle te doorzoeken gegevens naar de diensten worden gekopieerd, in potentie in bulk.
Wat valt hiertegen in te brengen?
Door de wetswijziging kan er druk komen te liggen op de partijen die een verzoek van de diensten krijgen. Hoe stel je je als bedrijf op ten aanzien van zo’n verzoek, dat in potentie de gegevens over de identiteit en het gedrag van vele - of misschien wel alle - personen in jouw database raakt? Ga je meteen akkoord of voel je je verantwoordelijk voor de individuele belangen en rechten van personen wier gegevens je verwerkt - en waar jouw bedrijf geld aan verdient?
Hoe stel je je als bedrijf op ten aanzien van zo’n verzoek, dat in potentie de gegevens over de identiteit en het gedrag van misschien wel alle personen in jouw database raakt?
Er is verder veel kritiek geuit op de keuze van het kabinet om deze twee wetten niet als bijzondere bevoegdheid te betitelen, waardoor de diensten de bevoegdheid mogen toepassen zonder toestemming van de minister.
Verder concludeert de toezichthouder:
‘De CTIVD adviseert, net als bij metadata-analyse, een regeling te treffen voor die gevallen van geautomatiseerde data-analyse [gericht op het identificeren van personen en organisaties of op het onderkennen van bepaalde patronen] waardoor geen inbreuk wordt gemaakt op de persoonlijke levenssfeer.’
Privacy First vat deze twee conceptwetsartikelen als volgt samen:
‘Het voorstel maakt daartoe zelfs directe toegang tot de databanken van derde partijen (overheid én bedrijfsleven) mogelijk. Bij al deze partijen zullen bovendien complete databanken opgevraagd kunnen worden. Dit alles ten behoeve van koppeling, datamining en profiling, waarmee een uiterst gedetailleerd (zelfs voorspellend) beeld van groepen en individuen kan worden gecreëerd.’
4. Bedrijven en organisaties communicatie laten ontsleutelen
Wat mogen de diensten nu?
De diensten hebben de bevoegdheid om versleutelde gegevens te ontsleutelen. Als een sleutel onbekend is, kan de dienst personen of organisaties die de sleutel wel kennen (of in staat zijn het versleutelde verkeer te ontsleutelen) dwingen mee te werken. Deze ontsleutelplicht is gericht van aard: ze bestaat alleen als de diensten gericht willen afluisteren (‘geef ons de sleutel om de communicatie van X te ontsleutelen’) of gericht te hacken (‘geef ons de sleutel om de bestanden op computer X van X te ontsleutelen’).
In principe is hier geen toestemming voor nodig van de minister. Voor het hacken van computers geldt dat diensten zelfstandig mogen bepalen wat ze hacken en zelfstandig mogen bepalen wie ze dwingen tot ontsleuteling van gegevens. Niet voldoen aan een verzoek tot ontsleuteling is strafbaar: je kunt er maximaal een celstraf van twee jaar voor krijgen.
Wat mogen de diensten straks?
Het kabinet behoudt de bestaande ontsleutelplichten, maar wil nu - met de groeiende hoeveelheid versleutelde informatie - ook expliciet een ontsleutelplicht op kunnen leggen aan aanbieders van communicatiediensten als sociale media, webmail en andere internetdiensten om communicatie ongericht en in bulk te kunnen doorzoeken (‘geef ons de sleutel waarmee de communicatie van ál jullie gebruikers wordt versleuteld’). Als de aanbieder daartoe in staat is, zal hij ontsleuteld verkeer beschikbaar moeten stellen of de gebruikte sleutels af moeten geven aan de diensten.
De Tweede Kamer heeft de verplichting van aanbieders van communciatiediensten om mee te werken afgezwakt. Als het verzoek van de diensten hun systemen onveilig maakt, hoeven ze er geen gehoor aan te geven.
Wat valt hiertegen in te brengen?
Veel aanbieders van communicatiediensten voorzien praktische problemen bij deze bevoegdheid. Zo zegt T-Mobile dat het vaak niet mogelijk is om aan de ontsleutelplicht te voldoen omdat providers vaak niet beschikken over de benodigde sleutels:
‘[...] Het wordt in de tekst en artikelen niet duidelijk hoever de medewerkingsverplichting reikt. Kan de decryptieverplichting ook inhouden ‘het in het netwerk inbouwen van gedeeltelijk uitschakeling van encryptiemethoden’?’
KPN merkt over het afstaan van sleutels, bijvoorbeeld om versleuteld HTTP-verkeer (het slotje in de browser) te ontsleutelen, op dat ‘de partij die de [sleutel] krijgt [zich kan] voordoen als de aanbieder’ en daarmee zogenaamde ‘man-in-the-middle-aanvallen’ kan uitvoeren. Dat is een van de methoden om in te breken op computers. KPN acht het ‘uiterst onwenselijk dat de diensten deze rol zou kunnen vervullen zonder transparantie naar de aanbieders toe.’
VNO-NCW / MKB-Nederland, dat namens het Nederlandse bedrijfsleven spreekt, vat zijn kritiek als volgt samen.
‘De verplichting voor ondernemingen om mee te werken aan de ontsleuteling van communicatie en gegevens en/of het opleveren van sleutels brengt de ondernemingen in een lastig parket. Allereerst is het vrijmaken van sleutels voor transport veelal onmogelijk omdat die sessie-gebonden en vluchtig zijn. Of zij zijn hardwarematig beschermd waardoor vrijmaken tot netwerkuitval zal leiden met alle consequenties van dien.
De verplichte medewerking aan ontsleuteling en/of het opleveren van sleutels brengt aanbieders bovendien in direct conflict met de privacy- en cybersecurityzorgplicht die de onderneming jegens de gebruiker heeft.’
Correctie 12-7-2017: In een eerdere versie van dit artikel werden vijf redenen genoemd. Die vijfde - over het toezicht op de diensten - is geschrapt omdat de interpretatie van de nieuwe wet niet klopte.
Dit artikel schreef ik met Matthijs Koot