Hoe ver mag de overheid gaan om de veiligheid van burgers te waarborgen? Deze vraag staat, ook door de oproep tot een referendum, terecht weer op de agenda. Een nieuwe Wet op de inlichtingen- en veiligheidsdiensten is hard nodig, maar roept in de voorgestelde vorm vragen op als het gaat om de effectiviteit van het toezicht en de rechtspositie van de burger. De discussie is niet óf privacy óf veiligheid, maar privacy én veiligheid. Dat moeten we goed regelen.
In maart 2018 is er een referendum over de ‘sleepwet’, zoals de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (de Wiv) ook wordt genoemd. De wet zou in januari ingaan, maar is een paar maanden uitgesteld.
De nieuwe wet moet volgens het Rathenau Instituut in samenhang gezien worden met andere bevoegdheden van de overheid; bijvoorbeeld de bevoegdheden van de politie. Daarnaast zijn de verantwoordelijkheden van grote technologiebedrijven voor veilige software en digitale apparatuur van belang en de manier waarop zij omgaan met onze data. Ook overheidsdiensten, zoals ziekenhuizen en gezondheidscentra, die veel van onze data beheren, zijn verantwoordelijk voor onze privacy en de veilige omgang met gegevens. En burgers zelf kunnen nog veel meer doen om verantwoordelijk om te gaan met hun data ten behoeve van hun eigen veiligheid en privacy.
Het Rathenau Instituut concludeerde dit eerder dit jaar in het rapport Een nooit gelopen race en stelde een samenhangend pakket maatregelen voor op basis van intensieve stakeholderconsultatie. Uitbreiding van bevoegdheden van inlichtingendiensten alleen, is dus niet het antwoord op toegenomen dreigingen. Waar bevoegdheden wel uitgebreid worden, vraagt dat tegelijkertijd om meer toezicht en een betere rechtspositie van de burger. De bevoegdheden moeten ook gezien worden in samenhang met de verantwoordelijkheden van bedrijven en burgers.
Waarom een nieuwe wet?
Er zijn goede redenen voor een modernisering van de bestaande wet uit 2002. Door nieuwe technologie is onze manier van communiceren ingrijpend veranderd. Ook door de toegenomen terroristische dreiging is de wet aan herziening toe. Het internet is steeds meer een vrijplaats geworden voor criminaliteit: criminelen communiceren via internet, hacken gegevens of gijzelen data om ze tegen losgeld vrij te geven. Er is internetspionage, met name door Rusland en China.
Daarnaast zijn er zogenoemde script kiddies, jongeren vooral die websites platleggen of data stelen, voor de ‘kick’. Zo liet ons onderzoek naar deze dreigingen zien (‘Een nooit gelopen race’). Tegelijkertijd roepen dus dezelfde toegenomen mogelijkheden vragen op. Want juist daardoor laten we allemaal veel sporen na op internet. Er zijn in de Eerste en Tweede Kamer vooraf veel vragen gesteld over de voorgestelde wet. De maatschappelijke onvrede hierover leidde uiteindelijk tot het ‘sleepwetreferendum’.
Wat gaat er veranderen?
In 2018 treedt de nieuwe Wet op de inlichtingen- en veiligheidsdiensten in werking, de Wiv. De oude Wiv uit 2002 is een product van de jaren ’90. Die is achterhaald door technologische ontwikkelingen. Inmiddels heeft vrijwel iedereen internet en appen we bijna allemaal. In de oude wet staat dat inlichtingendiensten – de AIVD en MIVD – communicatie alleen via de lucht mogen afluisteren. Via de kabel mag het alleen gericht: in dat geval mogen alleen individuele personen worden afgeluisterd. Vanaf 1 januari mogen de inlichtingendiensten ook ongericht via de kabel inbreken in de communicatie van en tussen burgers.
Het is niet zo dat in de nieuwe wet alles mag. Er moet eerst een ‘onderzoeksgerichte’ opdracht komen, daarvoor is toestemming nodig van de minister en de inlichtingendiensten moeten beargumenteren waarom de data nodig zijn. Ook moet de nieuwe toetsingscommissie, de TIB, nog voordat de data worden binnengehaald, controleren of de aanvraag van de diensten terecht is. Het toezicht is dus al verzwaard.
Datasurveillance grootschaliger door nieuwe technologie
Waar laten we dan onze sporen na, nu en in de toekomst? Onderzoek van het Rathenau Instituut laat zien dat mogelijkheden tot grootschalig data-onderzoek exponentieel zullen toenemen door bijvoorbeeld sneller internet (5G) en het Internet of Things (IoT); het feit dat sensoren worden ingebouwd in bijna al onze gebruiksvoorwerpen, onze auto, in de openbare ruimte en in onze woning maakt het mogelijk ons gedrag te monitoren. Nu al laten we via sociale media onze voorkeuren blijken, en laten we via pinbetalingen en de ov-chipkaart sporen achter die geanalyseerd kunnen worden. Al dat dataverkeer kan binnenkort door inlichtingendiensten onderzocht worden. Bij dreiging van bijvoorbeeld een aanslag kan internetverkeer grootschalig worden gescand en geanalyseerd. De bepalingen over al of niet grootschalig onderzoek zijn een aandachtspunt.
Ook de bewaartermijn van informatie verdient aandacht
Ook de bewaartermijn van deze informatie is in de nieuwe wet een punt van aandacht, net als bij welke verdenking de bevoegdheid om te monitoren ingeroepen mag worden. Het onbehagen over de nieuwe wet, die al gauw ‘sleepwet’ ging heten: naar de sleepnetten van vissers over de zeebodem, richt zich vooral hierop. Data van burgers worden bij elkaar geveegd en lange tijd bewaard. Een ander punt van zorg is dat de inlichtingendiensten de metadata van WhatsApp- en andere online berichten kunnen volgen: wanneer ze bijvoorbeeld worden verstuurd en ontvangen. De appjes zelf kunnen, als encrypted data, niet worden afgeluisterd of gelezen.
Rechtspositie van de burger
Een belangrijk bezwaar is dat burgers niet weten wanneer ze kunnen worden afgeluisterd. Burgers weten dus ook niet wanneer ze daarover zouden moeten gaan klagen. Ook ‘onschuldige burgers’ worden immers meegenomen in de grootschalige data-analyse van het ‘sleepnet’. De inlichtingendiensten hebben vooraf weliswaar toestemming nodig van de minister en de nieuwe toetsingscommissie, de TIB. Maar de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten CTIVD toetst de zoekactie pas achteraf. De CTIVD is ook de instantie waar burgers zich kunnen beroepen. De Raad van State en de CTIVD zelf hebben zich kritisch uitgelaten over de effectiviteit van het toezicht. De CTIVD vindt dat er onvoldoende waarborgen zijn, gezien de reikwijdte van de nieuwe bevoegdheden. Burgers weten de CTIVD niet zomaar te vinden, als ze al weten of ze zijn afgeluisterd.
Ook het Rathenau Instituut heeft in het verleden altijd aandacht gevraagd voor de rechtspositie van burgers. Die moet versterkt worden zodra de bevoegdheden van de overheid uitgebreid worden. Tijdens een expertmeeting van de Eerste Kamer over ‘cyberintelligence’ (digitaal inlichtingen verzamelen), in 2014, werd al duidelijk dat onbekend is of gegevens van Nederlandse burgers bij samenwerkingsrelaties met buitenlandse diensten voldoende zijn beschermd. Daarnaast is het voor burgers moeilijk om zich te verweren tegen onterechte verdenkingen door inlichtingendiensten als daarbij actuele gegevens in het geding zijn. Iets als ‘indirect inzagerecht’, waarbij bijvoorbeeld de CTIVD namens een burger, als een vertrouwde derde partij, in zijn of haar dossier kijkt, is nu nog niet mogelijk. Burgers hebben nu nog maar beperkt inzagerecht: alleen voor gegevens die ouder zijn dan vijf jaar én waarvoor geen weigeringsgronden bestaan. Dat zijn de wettelijke bepalingen.
Geheel aan bevoegdheden
We moeten dus niet alleen kijken naar de mogelijkheden van de wet, maar ook naar de toezichtmechanismen en de rechtspositie van de burger ten opzichte van die wet. Bovendien moeten we met een kritische blik kijken naar het grotere geheel van opsporings- en veiligheidsmaatregelen in Nederland. Dit om te voorkomen dat we niet stukje bij beetje gaan naar een ‘surveillancecultuur’. Dat is bij uitstek een vraag voor het parlement. Het Rathenau Instituut vroeg daarom om het geheel aan bevoegdheden regelmatig terug te laten komen in debat in de Eerste en Tweede Kamer. Hoe proportioneel is het geheel aan bevoegdheden en de werkelijke inzet daarvan ten opzichte van de dreigingen? Ook deden we tijdens de hoorzitting over de politiebevoegdheden de aanbeveling deze wet eerder dan na vijf jaar te evalueren. Zeker omdat de technische mogelijkheden zich zo snel ontwikkelen. Lees meer hierover.
Burgers weten de CTIVD niet zomaar te vinden
Nieuw kabinet: ‘Geen sprake van sleepnet’
In het regeerakkoord erkent het nieuwe kabinet de bezwaren van de Tweede Kamer. Er staat: “Van het willekeurig en massaal verzamelen van gegevens van burgers in Nederland of het buitenland (‘sleepnet’) kan, mag en zal geen sprake zijn”. Het nieuwe kabinet belooft bij de uitvoering strikt de hand te houden aan de extra waarborgen in de nieuwe wet. Ook zal er vervroegd, in ieder geval binnen twee jaar, een evaluatie plaatsvinden door een onafhankelijke commissie, zowel van de ‘sleepwet’, (de nieuwe Wiv), als van de wet die de bevoegdheden van de politie uitbreidt. Als er aanleiding toe is, zal het kabinet voorstellen “additionele waarborgen in de wet op te nemen en het toezicht hierop te versterken”. Dit sluit aan op de aanbevelingen van het Rathenau Instituut.
Privacy en veiligheid gaan hand in hand
Het debat is dus niet of we privacy moeten opgeven voor veiligheid. Bewaken van privacy is, zoals gezegd, ook een verantwoordelijkheid van bedrijven. Nu al monitoren bedrijven veel van ons gedrag en onze intiemste gegevens. In ons rapport ‘Opwaarderen. Borgen van publieke waarden in de digitale samenleving.’ leest u welke acties nodig zijn vanuit overheid en bedrijfsleven. Het Rathenau Instituut roept onder andere op tot een digitaliseringsakkoord om onze rechten ook vast te leggen. Lees meer daarover in onze blogserie ‘beschaafde bits’. Ook voor burgers zelf en in het verkeer tussen burgers onderling is nog veel te doen. Voor de vaste commissie voor Veiligheid en Justitie van de Tweede Kamer publiceerde het Rathenau Instituut een gespreksnotitie over horizontale privacy, hoe burgers onderling omgaan met persoonlijke gegevens, denk aan het online zetten van elkaars foto’s en filmmateriaal. In het regeerakkoord is al afgesproken ‘wraakporno’ strafbaar te maken. Maar horizontale privacy gaat ook om veel onschuldiger lijkende zaken.
De nieuwe technische mogelijkheden van internet, zeker met de komst van het Internet of Things, zullen gepaard gaan met nog intensiever dataverkeer. Dit zal telkens ook leiden tot het verzoek om meer bevoegdheden voor inlichtingen- en veiligheidsdiensten. ‘Een nooit gelopen race’ heet het rapport van het Rathenau Instituut niet voor niets. Deze bevoegdheden kunnen alleen bijdragen aan evenwicht in de democratische rechtstaat als ook burgers en bedrijven, uitvoeringsorganisaties en toezichthouders verantwoordelijkheid nemen en hun rechtspositie versterkt zien.