Een referendum over privacy dient zich aan; moeten we dat wel willen?

Is dit burgerinitiatief wel het juiste middel om privacyschending te bestrijden?

Goede kans dat u zich binnenkort in een referendum mag uitspreken over een nieuwe wet die de bevoegdheden van de inlichtingendiensten regelt. De vraag lijkt simpel: wilt u dat Nederland een online-surveillancestaat wordt? Maar zo simpel is het niet.

Wie willen dit referendum?

Anderhalf jaar na het Oekraïnereferendum is de kans aanzienlijk dat Nederlanders weer naar de stembus moeten voor een referendum. Deze keer over een onderwerp dat dichter bij huis speelt en al langer omstreden is; een wet die beschrijft hoe veiligheidsdiensten AIVD en MIVD inlichtingen mogen verzamelen. Wanneer ze iemands data mogen opslaan, een computer of smartphone mogen hacken of dna mogen verzamelen.

De initiatiefnemers zijn vier studenten van de Universiteit van Amsterdam (UvA). Ze namen de eerste horde - tienduizend handtekeningen - met gemak en moeten nu vóór 16 oktober 300 duizend handtekeningen verzamelen. De teller staat op bijna zeventigduizend. Amnesty International steunt de campagne, net zoals Free Press Unlimited, GeenStijl, SP en de Nederlandse Vereniging voor Journalisten. De media-aandacht, essentieel om de benodigde handtekeningen te halen, lijkt langzaam toe te nemen. Dat maakt het initiatief van de studenten inmiddels kansrijk.

Maar er is ook twijfel. Bijvoorbeeld bij Hans de Zwart, directeur van privacy-organisatie Bits of Freedom. Zijn organisatie voert al jaren oppositie tegen de Wet op de inlichtingen- en veiligheidsdiensten (kortweg Wiv), een wet die er volgens Bits of Freedom voor zorgt dat 'communicatie massaal door de geheime diensten afgeluisterd kan worden' en die van Nederland een 'onlinesurveillancestaat' maakt. Desondanks is De Zwart terughoudend over het referendum en zegt hij dat Bits of Freedom zich er 'met beperkte capaciteit' voor in zal zetten.

Hoewel zorgen over privacy het bestaansrecht van zijn organisatie zijn, vindt hij het referendum niet persé het juiste middel. 'We hebben een probleem met onderdelen van de wet, maar niet met de hele wet. Een referendum is niet precies genoeg om daar iets mee te doen.' En dus zal Bits of Freedom zich vooral richten op het voorbereiden van een rechtszaak tegen onder meer de mogelijkheid tot zogeheten 'bulkinterceptie' van internetverkeer, die onderdeel is van de Wiv.

Er zijn meer organisaties en politieke partijen die twijfelen over steun aan het burgerinitiatief. GroenLinks en D66 stemden in de Tweede Kamer tegen de invoering van de nieuwe wet omdat ze bijvoorbeeld de lange bewaartermijn (3 jaar) van onderschepte gegevens laakten, of het toezicht te gebrekkig vinden. Maar ze hebben zich tot op heden niet achter een referendum geschaard.

Waar gaat het referendum precies over?

De keuze van de hoofdredactie

Misschien kunt u binnenkort weer in een referendum stemmen, dit keer gericht tegen de nieuwe wet op de inlichtingendiensten. Onze specialist Huib Modderkolk laat in een genuanceerd artikel goed zien dat een eenvoudig ja of nee ook nu weinig recht doet aan de ingewikkelde werkelijkheid, net als bij het Oekraïnereferendum. (Philippe Remarque)

De crux is de veelomvattendheid van de wet. Zoals ook bij het Oekraïnereferendum is het haast ondoenlijk om met een generiek 'ja' of 'nee' te oordelen over de wet. Waar zeg je eigenlijk nee tegen? De hele wet en alle onderdelen? Complicerend is dat ook tegenstanders erkennen dat de modernisering van de Wiv noodzakelijk is.

In 2002 werden de bevoegdheden voor veiligheidsdiensten AIVD en MIVD voor het eerst nauwkeurig vastgelegd. Het idee was destijds dat communicatie door de lucht - via telefoonmasten maar vooral via satellieten - een enorme vlucht zou nemen. Daarom kwam in de wet te staan dat het mogelijk is om 'ongericht' 'niet-kabelgebonden communicatie' af te luisteren. Voor 'kabelgebonden' communicatie bestond die mogelijkheid niet. Het bleek een misrekening. De communicatie verdween uit de lucht (minder satellietcommunicatie) en ging de grond in (glasvezelkabels). Dat is nu gerepareerd in een nieuwe wet, waarbij de AIVD en MIVD vanaf 1 januari 2018 ook 'ongericht' kabelgebonden communicatie mogen aftappen.

Vooral de voorwaarden waaronder dat internet aftappen mogelijk is, krijgen kritiek. Zo is het toegestaan om, na toestemming van de minister, internetverkeer vanuit een bepaalde regio te scannen op zoekwoorden. Geautomatiseerd kunnen stukjes data die langs een glasvezelkabel gaan, worden bekeken op herkomst en bestemming en het type (mail, chat, sms). Verkeer dat voor onderzoek van belang is, kan er zo uitgefilterd worden. De AIVD en MIVD mogen deze gegevens 3 jaar opslaan.

Maar de wet gaat ook over het gebruiken en bewaren van dna-gegevens, de mogelijkheid om meer apparaten op afstand binnen te dringen, te hacken via derden, het opvragen van gegevens die bijvoorbeeld bij Cloud-diensten bewaard worden. Daarnaast verandert het toezicht: een onafhankelijke commissie gaat toetsen of de toestemming die de diensten krijgen voor het inzetten van dit soort bevoegdheden rechtmatig is.

Een andere reden voor aarzeling is dat de wet er óók voor zorgt dat Nederland zich beter kan wapenen tegen digitale dreiging. Momenteel, zo vertellen bronnen in de inlichtingenwereld die anoniem willen blijven, halen digitale speurders de laatste resten Iraanse malware van de servers van een Nederlandse vestiging van een internationaal telecombedrijf. De Iraniërs hebben maandenlang in de systemen gezeten en waardevolle informatie kunnen wegsluizen.

Met de huidige wet is het niet mogelijk om te onderzoeken of de bijzondere kenmerken van die malware (bijvoorbeeld een IP-adres van waaruit de malware wordt gestuurd, of een stukje code) ook ergens anders in Nederland aanwezig zijn. Dat kan met de nieuwe wet wel. Dan kan de dienst zowel realtime op sommige internetkabels in de gaten houden of de Iraanse malware langskomt als zoeken in opgeslagen data of de malware al ergens aanwezig is.

Volgens Rob Bertholee, hoofd van de AIVD, zorgt deze mogelijkheid ervoor dat de dienst 'gelijke tred houdt met de technologische ontwikkeling van diegenen die de rechtsorde bedreigen'. Bertholee: 'Hiermee kunnen we zo vroeg mogelijk spionage en sabotage van vitale infrastructuur onderkennen. We kunnen het in sommige gevallen zelfs vóór zijn.'

Nederlandse burgers hebben daar toch enkel profijt van? Tijn de Vos, student aan de UvA en een van de initiatiefnemers van het referendum, haast zich te zeggen dat hij ook niet tegen een dergelijke wet is. Hij heeft problemen met onderdelen ervan en wil vooral een 'publieke discussie starten' die moet dienen als signaal dat mensen geven om het belang van privacy. De Vos: 'Wij willen niet al het wetgevende afschaffen.'

Omdat het werk van de diensten technisch gecompliceerd is en de wet veelomvattend is, bestaat er een groot verschil tussen wat voorstanders van de wet noodzakelijk achten en wat tegenstanders vrezen. De tegenstanders noemen de wet bijvoorbeeld consequent een 'sleepwet' of 'aftapwet', terwijl voorstanders dan weer zeggen dat die term misleidend is. De gigantische hoeveelheden data die door datacentra stromen kan de AIVD of MIVD helemaal niet opvangen. Dat is veel te duur, tijdrovend en levert veel onzinnige data op. In de terminologie van de tegenstanders gaat het eerder om een zeefje die de diensten in de monding van een rivier plaatsen.

Is een referendum wel zo'n goed idee?

Het toezicht is verbeterd en de wet is een stuk helderder dan de vorige, maar dat sleepnet moet eruit

Hans de Zwart van Bits of Freedom

Als de wet zo gecompliceerd is en het doel niet is om die tegen te houden waarom dan toch een referendum? Tijn de Vos: 'We willen vooral een signaal afgeven. De wet maakt massasurveillance mogelijk door het ongericht afluisteren toe te staan en we vinden dat de wet niet goed besproken is.'

De 'bulkinterceptie' op de kabel is het meest controversiële onderdeel uit de wet. Maar opmerkelijk is dat de voorwaarden niet anders zijn dan hoe het eerder met satellietcommunicatie ging. Ook nu is voor elke keer dat de diensten ongericht data willen onderscheppen toestemming nodig. Zij moeten beargumenteren waarom het aftappen van bepaalde communicatie noodzakelijk is. Zoals de MIVD jarenlang via afluisterstations in Eibergen en Burum Taliban in Afghanistan en piraten in Somalië afluisterde door radioverkeer en satellietcommunicatie te onderscheppen. Volgens Tijn de Vos is de toestemmingsprocedure echter een wassen neus. 'In andere landen hebben we gezien dat ze die altijd krijgen.'

Maar de Nederlandse toezichthouder zegt ook weleens nee. In rapporten van toezichthouder CTIVD is te lezen dat verzoeken tot tappen of het zoeken naar bepaalde woorden in communicatie ook weleens zijn afgewezen. Bijvoorbeeld als een zoekopdracht te ruim geformuleerd was. Zo wilde de MIVD in onderschepte data eens zoeken op een bedrijfsnaam (zeg 'Shell'), maar de CTIVD vond dat niet specifiek genoeg.

De Vos heeft niet de illusie dat het referendum, dat niet bindend is, de invoering van de wet zal tegenhouden. Dat kan ook niet. De vraag is überhaupt wat er met een 'nee' zal gebeuren. Het is aan de regering om daar naar eigen inzicht invulling aan te geven. Maar zoals ook bij het Oekraïnereferendum bleek, zal dat vooral een symbolische exercitie zijn. De Vos: 'Ik hoop vooral dat het referendum invloed heeft op onderdelen van de wet.' Voor Hans de Zwart van Bits of Freedom is het een kans 'om te laten zien dat privacy een belangrijk onderwerp is'. Maar dwing hem te kiezen welke wet hij liever heeft - de oude Wiv of de nieuwe met de mogelijkheid om internetverkeer af te tappen - dan kiest hij na lang aarzelen voor de nieuwe wet. 'Het toezicht is verbeterd en de wet is een stuk helderder dan de vorige, maar dat sleepnet moet eruit.'

Lees ook deze stukken over privacy, inlichtingendiensten en referenda:

Er wordt aan onze privacy geknaagd: waar ligt de grens als het gaat om het verzamelen van privé-informatie?
Data-analyse wordt ingezet bij automatisering of het opsporen van fraude. Zijn dit onschuldige efficiëntiemaatregelen, of begeven we ons op een gevaarlijk hellend vlak? Een analyse van drie incidenten.(+)

Terrorisme-expert Paul Abels: Veiligheidsdiensten moeten uit 'oesterkramp'
Als Paul Abels iets opvalt aan het debat over Nederlandse veiligheidsdiensten, dan is het wel dit: de verwachtingen voor het voorkomen van aanslagen zijn torenhoog. 'Tegelijk is er een gigantisch wantrouwen in wie de diensten allemaal zouden bespioneren. Alsof de jaren zeventig terug zijn.' (+)

Onderzoek: referenda moeten beter, maar hebben nut
Is het referendum een welkome aanvulling op de democratie of een gemankeerd instrument dat gecompliceerde zaken verengt tot het zwart-witte ja of nee? Het heeft meerwaarde, concluderen onderzoekers van de Universiteit van Tilburg, maar de wet verdient op onderdelen verbetering.