Nieuwe inlichtingenwet gaat door senaat, maar wie houdt er toezicht op het tappen van de overheid?

Eerste Kamer stemt (waarschijnlijk) in met omstreden inlichtingenwet; dit zijn de grootste twistpunten

De Eerste Kamer stemt vandaag over de omstreden nieuwe wet voor geheime diensten, die het de AIVD en MIVD mogelijk maakt om ongericht het internet af te gaan tappen. De verwachting is dat de senaat de Tweede Kamer volgt en de wet aanneemt. Toch is er nog wel een aantal grote twistpunten. We zetten ze op een rijtje.

Journalistieke bronbescherming

Journalisten zijn, net als advocaten, iets beter beschermd in de nieuwe wet. Toch is er nog een belangrijk hiaat. Voor het direct tappen van journalisten is extra toezicht, maar hoe zit het met indirect tappen, bijvoorbeeld als de AIVD een bron van een journalist tapt of als een journalist mailt met iemand uit Syrië? Dan kan die communicatie alsnog bij de dienst komen. De toezichthouder wil daarom 'extra wettelijke waarborgen' voor journalisten. Het kabinet weigert dat vooralsnog.

Hacken via derden en kwetsbaarheden

Oude inlichtingenwet

De oude inlichtingenwet stamt uit 2002 en voldoet al geruime tijd niet meer omdat verreweg de meeste informatie tegenwoordig via de kabel loopt. De inlichtingendiensten willen daarom zo snel mogelijk nieuwe bevoegdheden en dat lijkt nu dus te gaan gebeuren.

AIVD en MIVD mogen straks onschuldige burgers hacken om bij een verdacht persoon uit te komen. De diensten mogen informatie afkomstig van iemands laptop of smartphone gebruiken en daar kwaadaardige software op plaatsen. De toezichthouder wil dat dit alleen gebeurt als het onvermijdelijk is. Het kabinet heeft die term niet in de wet willen opnemen.

Linkse partijen vrezen dat dit de deur openzet naar het bespioneren van duizenden onschuldige burgers. Plasterk bestrijdt dat, maar kan die zorg niet helemaal wegnemen. Hij benadrukt 'dat die derden in de meeste gevallen geen individuele Nederlandse burgers zullen betreffen. Dit betekent echter niet dat een individuele burger van dit begrip uitgesloten moet worden.'

Een ander heikel punt: om te hacken maken de AIVD en MIVD gebruik van zwakheden in software. Maar die kwetsbaarheid kan ook door anderen gebruikt worden. Moeten die dan niet zo snel mogelijk publiekelijk bekend zijn, zodat er een beveiligingsupdate kan komen? Plasterk: 'De hoofdregel is dat significante kwetsbaarheden die de belangen van gebruikers op internet schaden worden gemeld.'

Decryptie

Het kabinet benadrukt dat dit geen nieuwe bevoegdheid is, het stond al inde vorige wet

Blinde afluisteraar: 'Je moet kunnen meeleven met doelwit'

De visueel gehandicapte Marc van der Bij (44) luisterde zeventien jaar gesprekken af als tapmedewerker bij de politie. Omdat hij nu ook steeds dover wordt, stopt hij ermee. (+)

Bedrijven en individuen hebben de verplichting om mee te werken aan de ontsleuteling van gegevens, zogeheten decryptie. Het kabinet benadrukt dat dit geen nieuwe bevoegdheid is, het stond al in de vorige wet. Dat is waar, maar er is iets wezenlijks veranderd. Toen de vorige wet werd opgesteld, in 2001, wilden de geheime diensten de mogelijkheid hebben om in de computer van een doelwit te kijken. Ook als die vergrendeld was. Dat had gevolgen voor één persoon. Als de AIVD nu van bijvoorbeeld Apple de sleutel krijgt tot het ontgrendelen van de encryptie van een iPhone, kan dat gevolgen hebben voor miljoenen mensen. Hun encryptie wordt daarmee waardeloos.

Het kabinet wil niet echt ingaan op dit dilemma. Volgens minister Plasterk is het 'afzwakken van encryptie niet aan de orde' maar het doorbreken ervan in 'specifieke, bij de wet voorziene gevallen, wel'. Hij gaat niet in op gevallen waarbij het doorbreken van encryptie, zoals bij de iPhone, de encryptie van miljoenen andere gebruikers waardeloos maakt.

Toezicht

Wie moet er toezicht houden en is dat onafhankelijk genoeg?

Een heet hangijzer: wie moet er toezicht houden en is dat onafhankelijk genoeg? Een grote rol is nu weggelegd voor een speciale toezichtcommissie, de CTIVD. Maar leden daarvan worden, hoewel voorgedragen door de Tweede Kamer, gekozen door de ministers die verantwoordelijk zijn voor de geheime diensten. Bovendien: voor de inzet van bevoegdheden, zoals het grootschalig tappen, is toestemming nodig van diezelfde minister. Omdat het Europese Hof in verschillende uitspraken heeft gewezen op de noodzaak van echt onafhankelijk toezicht voorafgaand aan de inzet van bevoegdheden, is een speciale commissie toegevoegd, de TIB. Die toetst de rechtmatigheid van de verleende toestemming voor enkele bijzondere opsporingsbevoegdheden, zoals het hacken van derden. Dat gaat sommigen niet ver genoeg. Zij bepleiten onafhankelijk rechterlijk toezicht voor alle bevoegdheden, zoals in de Verenigde Staten gebeurt. Dat heeft alleen een nadeel: als de minister niet langer hoeft te tekenen voor het tappen van een organisatie, hoe kan hij daar dan verantwoording over afleggen aan het parlement?

De bewaartermijn

Waarom dan die lange termijn van drie jaar?

AIVD en MIVD mogen straks ongericht internetkabels gaan aftappen en de data, of die nu van doelwitten zijn of van onschuldige burgers, drie jaar bewaren. Dat is lang. De Britse inlichtingendienst GCHQ bewaart grote verzamelingen metadata - de gegevens over communicatie zoals welk nummer belt met welk nummer en vanaf welke locatie - ongeveer zes maanden en het Duitse BND slaat deze gegevens maar negentig dagen op. Waarom dan die lange termijn van drie jaar? Volgens minister Plasterk van Binnenlandse Zaken zal maar een klein deel van alle data daadwerkelijk zo lang worden bewaard. Dat zijn de data die na filteren overblijven. Deze zijn volgens hem noodzakelijk om terug in de tijd te kijken, anders zal het 'inlichtingenproces sterk degraderen'. Dat geldt in het bijzonder voor de militaire inlichtingendienst, meent hij, omdat die voorafgaand aan een militaire missie al informatie dient te hebben over dreigingen. Daarvoor zijn historische gegevens belangrijk.

De reikwijdte

De Autoriteit Persoonsgegevens vindt dat het kabinet onvoldoende duidelijk maakt waarom het zo grootschalig aftappen nodig is

De geheime diensten mogen nu alleen gericht bij iemand het internet aftappen. Dat verandert straks naar ongericht. Hoe breed is dat? Dat is niet gespecificeerd in de wet, behalve dat de inbreuk noodzakelijk en proportioneel moet zijn. Om van die niet zo gelukkige term ongericht af te komen, bedacht het kabinet een truc: het werd onderzoeksopdrachtgericht. Dat vindt onder meer de commissie die toezicht houdt op de inlichtingendiensten (CTIVD) een wassen neus: 'Juist bij verwerving van grote hoeveelheden gegevens - hetgeen bij onderzoeksopdrachtgerichte interceptie aan de orde is - wordt inbreuk gemaakt op de grondrechten van veel personen die geen onderzoek door de diensten rechtvaardigen.' Daarom stelt de CTIVD een extra voorwaarde voor: wees zo gericht mogelijk bij het tappen. De CTIVD kan dat achteraf toetsen.

De Autoriteit Persoonsgegevens vindt dat het kabinet onvoldoende duidelijk maakt waarom het zo grootschalig aftappen nodig is. Volgens de privacytoezichthouder is het wetsvoorstel daarmee zelfs in strijd met het Europees Verdrag voor de Rechten van de Mens.

Dit is een licht bewerkte versie van een artikel dat op 8 februari op de site van de Volkskrant is verschenen.