InterviewRenée Jones-Bos

Renée Jones-Bos, voorzitter evaluatiecommissie: ‘Een wet is nooit helemaal af. En zo slecht is die sleepwet nou ook weer niet’

De inlichtingenwet, ook wel ‘de sleepwet’ genoemd, moet op de schop. Dat concludeert een evaluatiecommissie die onder leiding staat van voormalig topdiplomaat Renée Jones-Bos. De wet kwam in 2018 onder grote maatschappelijke druk tot stand. ‘Het is vreemd dat er niet één regime bestaat voor binnenhalen van grote hoeveelheden data.’

Renée Jones-Bos. Beeld Jiri Büller
Renée Jones-Bos.Beeld Jiri Büller

Vraag Renée Jones-Bos hoe goed de Nederlandse inlichtingendiensten zicht hebben op Rusland en ze is op haar hoede. ‘Ik denk dat wij buitengewoon professionele inlichtingendiensten hebben en daarmee ook goed zicht op Rusland. Maar dat zeg ik vanuit mijn vorige functie.’

Jones-Bos was tussen 2016 en 2019 ambassadeur in Moskou. In die tijd gebeurde er van alles tussen Nederland en Rusland. Inlichtingendienst AIVD hackte een Russische hackgroep en zag onder meer hoe die Russische hackers zich in de Amerikaanse verkiezingen mengden. De militaire veiligheidsdienst MIVD voorkwam een Russische hackactie in Den Haag. De vier betrapte Russen probeerden het netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPCW) te hacken toen de MIVD ingreep en ze op het vliegtuig naar Moskou zette.

De MIVD-actie ging de wereld over. Maar de gebeurtenis kreeg nog een staartje. De MIVD was de Russen onder meer op het spoor gekomen door passagiersgegevens te bekijken. Deze gegevens – naam, geboortedatum, nationaliteit, luchthaven van vertrek en aankomst – verzamelen luchtvaartmaatschappijen en ze delen die voor vertrek met de marechaussee. Die geeft ze onderhands door aan de inlichtingendiensten, die op zoek gaan naar het reisgedrag van doelwitten. 

Dat mag, maar de dataset werd vervolgens niet beschouwd als een bulkdataset. Want er staan niet alleen buitenlandse spionnen in het bestand maar ook data van miljoenen anderen. Er werd nooit beoordeeld of al die gegevens nog wel relevant waren of vernietigd dienden te worden. Het leverde een felle botsing tussen de inlichtingendiensten en de toezichthouder op.

Ambassadeur Jones-Bos werd na de MIVD-actie ontboden door de Russen. Nederland had twee betrokken Russische diplomaten uitgezet. Rusland zou in reactie daarop twee Nederlanders uitzetten. Nu is Jones-Bos terug in Nederland en voorzitter van een commissie die de wet voor inlichtingendiensten evalueerde. Met als voornaamste punt: hoe moeten de geheime diensten omgaan met grote databestanden, zoals de passagiersgegevens.

In hoeverre is de vrij technische materie eigenlijk te begrijpen voor een oud-diplomaat?

‘Deze wet is iets waar we ons allemaal als burgers over moeten buigen. Het is belangrijke materie, dus ook diplomaten moeten zich er druk om maken. En dat doe ik ook. Wetten moeten niet zo onbegrijpelijk zijn dat alleen experts ze kunnen begrijpen.’

Die wet heette al snel de ‘sleepwet’ en kwam er onder grote maatschappelijke druk in 2018. Er werd een referendum over gehouden, waarbij een meerderheid van de Nederlanders tegen stemde. Vooral vanwege het ‘sleepnet’, de mogelijkheid voor de diensten om grootschalig internetverkeer af te tappen. Er werden na het referendum aanpassingen gedaan. Er kwam een toezichthouder bij (TIB) die vooraf toestemming moest geven waarna de andere toezichthouder (CTIVD) het proces controleerde. En toen de wet eenmaal was ingevoerd, bleken er nieuwe knelpunten. Zoals de omgang met enorme databestanden.

De ‘kabelinterceptie’, het beruchte sleepnet, is goed geregeld. Maar door alle focus daarop zijn er andere onvolkomenheden ontstaan.

‘Ja, dat is ook onze indruk. Kabelinterceptie was het grote punt. Maar het is heel gek dat de focus daar zo op lag, terwijl de diensten ook op andere manieren datasets binnenhalen. De kern van hun werk is informatie verzamelen. En kabelinterceptie is maar één manier, maar er zijn nog vele anderen. Het is vreemd dat er niet één regime bestaat voor binnenhalen van grote hoeveelheden data. We stellen voor dat aan te passen.’

Is die vernauwde aandacht ook het gevolg geweest van de maatschappelijke discussie?

‘De materie is ingewikkeld. Dus er wordt één ding uitgehaald. Als je op kabel gaat, haal je heel veel data binnen. Internetgegevens, telefoongegevens, dat betekent nogal wat. Ik denk eerlijk gezegd dat het een reflectie is van een bredere zorg in samenleving: wat gebeurt er met mijn gegevens en waar zeggen we allemaal ja tegen? Je kunt geen website openen of je moet ‘ja’ op cookies zeggen. We moeten een omgang vinden met grote datasets bij de overheid, het bedrijfsleven of waar dan ook.’

Extra reden om tot een goede wet te komen. Maar dat is dus niet helemaal gelukt.

‘Een wet is nooit helemaal af. En zo slecht is de wet nou ook weer niet. De diensten hebben de bevoegdheden gekregen die ze moeten hebben. En de waarborgen zijn versterkt.’

Komt dat ook door de techniek? Er bleek veel meer mogelijk dan gedacht. ‘Hacken’ klinkt eenvoudig maar probeer alle risico’s maar eens onder ogen te zien.

‘Ja, de toezichthouder TIB heeft veel vragen gesteld en geregeld aanvragen teruggestuurd. Maar het aantal afwijzingen gaat naar beneden. Wij zien dat de wet vraagt dat technische risico’s van een operatie van tevoren moeten worden beschreven. Maar in de praktijk kan dat niet altijd vooraf. Dan vindt de commissie het belangrijk dat de CTIVD tijdens een operatie hierop kan toezien. Ook willen we de diensten meer ruimte geven om eerst een verkenning te doen zodat ze beter kunnen omschrijven wat ze gaan doen.’

De rol van de TIB moet kleiner.

‘Niet kleiner maar meer toegespitst.’

Bulkdata is een ander heikel punt omdat het om enorme datasets kan gaan. Jullie maken een onderscheid tussen ‘registerdata’ en ‘gedragsdata’. Waarom is dat belangrijk?

‘Registerdata zijn stabiele sets, bijvoorbeeld het RDW of de Kamer van Koophandel. Daar staan gegevens in als naam, geboortedatum, auto. Handige sets om gegevens mee te vergelijken. Gedragsdata gaat over bewegingen. Die zeggen iets over wat je doet. Telefoondata bijvoorbeeld. Het onderscheid is belangrijk omdat het over verschillende soorten gegevens gaat.’

Waar valt een binnengehaalde e-maildatabase, zoals Protonmail, onder?

‘Zo’n klantenbestand kun je zien als registerbulk. Het gaat dan om een meer stabiele lijst van namen of e-mailadressen van gebruikers. Wat deze gebruikers vervolgens ontvangen en verzenden kan worden gezien als gedragsbulk. Maar het is ongetwijfeld niet allemaal scherp te scheiden. 

‘Er zijn een heleboel vaste sets die de diensten kunnen gebruiken. Die niet permanent veranderen. Belangrijker is: hoe ga je ermee om? Eerste afweging is: heb je ze nodig? De RDW is handig, maar je hoeft niet alles te weten. Hoeveel moet je bewaren? De zorgen van de burger zijn of alles wat die doet vastligt en of diensten in die data grasduinen. Wij proberen dat te beperken.’

Jullie stellen voor om de bewaartermijn op te rekken naar drie jaar. En om de diensten meer ruimte te geven om data als relevant aan te merken, zodat meer data bewaard kunnen blijven.

‘Sinds het opstellen van de wet is het enorm hard gegaan. Er zijn enorme aantallen gegevens bij gekomen. De complexiteit van systemen is veranderd. Het aantal communicatiekanalen gegroeid. Eerst was het telefoon, toen e-mail, nu WhatsApp, Skype, allerlei chatapps. We geven de diensten iets meer tijd om databestanden te beoordelen. Ook is het niet altijd mogelijk om een onderzoek te koppelen aan één doelwit, daarom stellen we een onderzoeksgebied voor. Maar het is nooit de bedoeling om ze een vrijbrief te geven.’

In sommige gevallen mogen de diensten zelf selecteren hoe en wanneer ze toegang krijgen.

‘De enige uitzondering geldt voor openbare datasets zoals de Kamer van Koophandel. Daar kunnen jij en ik ook bij. Het is een vreemd als daar een zwaar regime geldt.’

Renée Jones-Bos: ‘Je hebt elkaar nodig – een terrorist stopt niet bij de grens en een cyberaanval ook niet.’ Beeld Jiri Büller
Renée Jones-Bos: ‘Je hebt elkaar nodig – een terrorist stopt niet bij de grens en een cyberaanval ook niet.’Beeld Jiri Büller

Is Facebook ook een openbare dataset?

Lacht. ‘Alleen als je vrienden met iemand bent.’ Serieuzer: ‘Als er een bulkdataset van Facebook door de diensten zou worden binnengehaald dan valt deze in het door de commissie voorgestelde bulkdataregime. Hiervoor gelden de strenge verwerkingsregels, zoals voor toegang. 

‘Over het algemeen geldt dat ook als de diensten op internet zoeken en die gegevens verwerken, zij daarbij ook aan regels zijn gebonden. De diensten staan onder strengere controle dan menig journalist. Of andere overheidsorganisaties. Kan me best voorstellen dat als je bij geheime dienst werkt dat je het gevoel hebt dat je met handen en voeten gebonden bent. Dat is de keuze die we als democratische samenleving hebben gemaakt.’

De diensten zeggen weleens dat hun werk er ingewikkelder op geworden is. Het hacken van de Russische hackgroep Cozy Bear door de AIVD in 2014 zou nu niet zomaar mogelijk zijn.

‘Het voordeel van controle is dat wij weten wat de diensten doen, het nadeel is dat het beperkend werkt. Dat is ook wat we willen in onze democratie.’

Maar als de digitale dreiging zo enorm is, zoals de diensten beweren, is het dan niet beter om ruimere bevoegdheden te hebben? Elke extra tussenstap om een doelwit te hacken moet nu apart worden bijgeschreven. Waarna toestemming moet volgen.

‘Wees maar blij dat we niet de kant opgaan van diensten die ongebreideld te werk mogen gaan. Er zijn genoeg landen op de wereld waar je kunt zien wat er gebeurt als je diensten de vrije hand geeft.’

Andere zorg bij de nieuwe wet was het delen van grote databestanden met buitenlandse diensten. Jullie zeggen nu: zorg ervoor dat de Nederlandse data eruit zijn en maak aanvullende afspraken. Het punt is: die afspraken zijn leuk, maar de buitenlandse diensten hoeven zich er niet aan te houden.

‘Je kunt wel goede afspraken maken. Je hebt elkaar ook nodig.’

Maar die afspraken zijn nooit af te dwingen. Er is geen toezicht op.

‘Je kunt alleen toezicht houden op wat je zelf doet. Maar je kunt wel voorwaarden stellen. Zorgen dat gegevens die wij verstrekken ontdaan zijn van Nederlandse data. En aan de partnerdienst vragen of ze de gegevens van Nederlanders eruit halen als ze die tegenkomen.’

En dat doen ze dan onmiddellijk.

‘Nee, dat weet je niet. Maar die partner heeft ons ook nodig. Denk dat je er snel genoeg achter komt als zij dingen doen die tegen ons belang zijn.’

Wat zijn deze afspraken waard als je ze nooit kan controleren?

‘Deels werkt samenwerking ook op vertrouwen. Je hebt elkaar nodig – een terrorist stopt niet bij de grens en een cyberaanval ook niet.’

De nieuwe inlichtingenwet moet op de schop. De wet die na een nee-stem bij het referendum in 2018 in werking trad en de geheime diensten onder meer de mogelijkheid gaf om grootschalig kabelverkeer af te tappen, schiet tekort. 

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden