Met een sleepnet door het internet op zoek naar terroristen

1. Waarom is de wet nodig?

Geheime diensten vinden de huidige wet, uit 2002 achterhaald. Ze willen vooral meer internetverkeer kunnen aftappen. Nu mogen de diensten communicatie via kabels alleen doelgericht aftappen: bij één specifieke persoon.

In de nieuwe wet wordt ‘bulkinterceptie’ toegestaan. Simpel gezegd: de geheime dienst verzamelt een grote berg gegevens en filtert daar langzaam de nuttige informatie uit. Zo zou de AIVD graag al het internetverkeer tussen Nederland en Syrië in de gaten willen houden. En de militaire inlichtingendienst MIVD zal data willen verzamelen in een gebied waar Nederlandse militairen naartoe gaan. Nu mag dat nog niet, straks wel.

De nieuwe wet leidt tot veel discussie. Als AIVD en MIVD meer berichten mogen onderscheppen op de kabel, hoe gericht moet dat gebeuren? Mogen ze via een ‘sleepnet’, zoals critici het noemen, van alles en nog wat binnenhalen? En hoe controleren we of de diensten zich aan de wet houden?

De onthullingen van Edward Snowden in 2013 zetten die discussie op scherp. De klokkenluider en voormalig medewerker van de CIA liet zien hoe de Amerikaanse NSA op grote schaal informatie binnensleepte.

Mogen ze via een ‘sleepnet’, zoals critici het noemen, van alles en nog wat binnenhalen?

In de nieuwe wet worden ook nog een paar andere zaken geregeld. Zo werd Nederland eind vorig jaar op de vingers getikt door het Europees Hof voor de Rechten van de Mens in Straatsburg, omdat de AIVD in 2009 journalisten van De Telegraaf had afgeluisterd. In de nieuwe wet mogen journalisten en advocaten alleen nog na toestemming van de rechter worden afgeluisterd.

2. Komt er wel toezicht?

Minister Ronald Plasterk (Binnenlandse Zaken, PvdA) heeft al heel wat concessies gedaan, waardoor er meer toezicht komt. Eerst wilde hij zélf bepalen wanneer de inlichtingendienst ongerichte kabeltaps mag plaatsen. Na aanhoudende kritiek draaide hij bij. Ook een onafhankelijke commissie moet vooraf toestemming geven voor ‘bijzondere bevoegdheden’, zoals tappen. In de ‘Toetsingscommissie inzet bevoegdheden’ (TIB) zitten twee oud-rechters en een inhoudelijk deskundige.

Ook dit leverde kritiek op. Die controle vooraf is nog te zwak, volgens de Raad van State en de Autoriteit Persoonsgegevens. De TIB moet onder tijdsdruk veel verzoeken beoordelen en heeft ook nog eens weinig inzicht in de dagelijkse AIVD-praktijk. Durft de TIB de AIVD-baas dan wel tegen te spreken? Zelf zal de geheime dienst natuurlijk altijd zeggen dat deze tap écht nodig is. Als de TIB niet krachtig genoeg is, dreigt het een „stempelmachine” te worden, zegt de Autoriteit Persoonsgegevens. Taps worden dan „nagenoeg altijd” goedgekeurd, vreest ook de Raad van State.

Er is nog een toezichthouder, die al langer bestaat: de CTIVD. Die controleert of de geheime diensten zich in de praktijk aan de wet houden.

En: als de TIB eenmaal toestemming heeft gegeven, mag de CTIVD daar achteraf niets meer over zeggen. Ook niet als de CTIVD achter de schermen kan zien dat een grootschalige internettap helemaal niet zo hard nodig was. Plasterk wil zo voorkomen dat er spanningen onstaan tussen de twee instanties. Maar de CTIVD vreest een „toezichtshiaat”. De commissie wil het achteraf wél mogen zeggen, als ze ontdekt dat zo’n tap helemaal niet zo nodig was.

3. Hoe lang bewaart de dienst al die gegevens?

De grote ‘bulk’ van gegevens mogen de geheime diensten drie jaar op de plank laten liggen. Daarna moeten ze vernietigd worden. Dat is wel erg lang, zeggen de Raad van State, de Raad voor de Rechtspraak en de Autoriteit Persoonsgegevens. Mogelijk is dat in strijd met het mensenrechtenverdrag EVRM.

Minister Plasterk vindt het „mogelijk nuttig” als de diensten veel historische gegevens op de plank hebben liggen. Als er dan een nieuwe jihadist in beeld komt, kunnen die oude gegevens opnieuw doorzocht worden. Dat vindt de Raad voor de rechtspraak geen goed argument. Als je zoveel gegevens van gewone burgers drie jaar wilt bewaren, moet dat „noodzakelijk” zijn, schrijft de Raad in een advies, en niet „mogelijk nuttig”.

Als je zoveel gegevens van gewone burgers drie jaar wilt bewaren, moet dat „noodzakelijk” zijn en niet „mogelijk nuttig”

Daar komt bij dat de AIVD deze ‘bulk’ mag delen met buitenlandse geheime diensten, zelfs als nog niet is gecheckt wat er allemaal in te vinden is. Dat is gevaarlijk, volgens de Autoriteit Persoonsgegevens. „Dit kan negatieve gevolgen hebben voor Nederlandse burgers wanneer zij deze landen bezoeken.”

De CTIVD zegt dat de wet duidelijker moet vermelden hoe de bulkgegevens zo snel mogelijk kleiner gemaakt moet worden. Pas als die verplichting concreet in de wet staat, kan de toezichthouder de diensten daarop controleren.

4. Wat vinden de politieke partijen?

De coalitiepartijen VVD en PvdA hebben in het regeerakkoord afgesproken dat er een nieuwe wet komt. Ook het CDA is positief.

Dat de wet een update nodig heeft, vindt eigenlijk de hele Tweede Kamer. Maar volgens D66 en GroenLinks gaat de uitbreiding van de bevoegdheden nu veel te ver. Ze dienden bij elkaar meer dan twintig wijzigingsvoorstellen in. PvdA’er Jeroen Recourt vraagt zich vooral nog af of diensten wel snel genoeg gegevens verwijderen van gewone burgers, maar hij heeft nog geen wijzigingsvoorstel klaar liggen. Hij wil eerst horen wat minister Plasterk erover te zeggen heeft.

5. Wat doen andere landen?

Het onderscheppen van berichten via de kabel kan al in diverse andere landen, zoals in de VS en het Verenigd Koninkrijk. De bevoegdheden daar zijn echter nog steeds groter dan in Nederland. Duitsland is in sommige opzichten juist weer strenger dan Nederland.

De grootste verschillen met het buitenland liggen meer in de toepassing van inlichtingenmiddelen in de praktijk dan in de wetgeving. Zo luisteren politie en inlichtingendiensten in Nederland meer af dan in het buitenland, volgens inschattingen van onderzoekers. Ook is er een ruimere inzet van bewakingscamera’s, zeker vergeleken met Duitsland. Daarnaast is Nederland verder dan bijvoorbeeld België, Duitsland en Frankrijk met de samenwerking tussen overheidsdiensten. Negen overheidsorganisaties (zoals de politie, de douane, Financiën en Sociale Zaken) werken bij terrorismebestrijding samen met de AIVD in de CT-Infobox.

6. Hoe werkt het tappen eigenlijk?

In de toelichting op de nieuwe wet staat niet waar en hoe de AIVD en MIVD aftappen. Het werkt vermoedelijk zo: de inlichtingendiensten maken een kopie van de datastroom rondom een verdachte persoon of groep, om die later te analyseren. Het is niet voldoende om op één centraal punt af te luisteren. Een datapakketje kan immers op verschillende manieren reizen. De Nederlandse telecomproviders zullen op meerdere plekken in hun netwerken ‘splitters’ moeten plaatsen die het signaal van de glasvezelkabels kopiëren en naar de inlichtingendiensten sturen. Het gaat om honderden aanpassingen in complexe netwerken; de installatie ervan kan maanden duren. De overheid zegt die rekening te betalen. Daarbij komen de kosten bij voor de infrastructuur die nodig is om data op te slaan en te analyseren.
(MH)

7. Wat doen de diensten met bijvangst?

De veiligheidsdiensten tappen veel data af die niets met het onderzoek te maken hebben. Ervan uitgaande dat het onderzoek zich richt tegen terrorisme maak je kans om zulke ‘bijvangst’ te zijn als je op een plek woont waar veel mensen met het buitenland communiceren. Ook openbare wifi-hotspots zouden afgetapt kunnen worden – die zijn sowieso al niet erg veilig.

De onderzoeken van AIVD en MIVD moeten doelgericht zijn; het is niet de bedoeling om ‘alle communicatie in de stad Den Haag een maand lang te verzamelen’, aldus de toelichting. Maar het zou wel al het Whatsapp-verkeer tussen Den Haag en Syrië kunnen zijn. En daarvoor moet getapt worden bij alle mobiele providers.

Wat te doen met de bijvangst? In het geval van „ernstige feiten” wordt overlegd met de landelijk officier van justitie om te kijken of de informatie van belang is voor het Openbaar Ministerie. Wat is ‘ernstig’? Een woordvoerder van minister Plasterk wil niet vooruitlopen op waar de grens precies ligt. „We bedoelen geen tasjesdief.”

8. Hoe voorkom ik dat getapt wordt?

Dat is niet te voorkomen. Je kunt er hooguit voor zorgen dat de inhoud van je gesprekken en berichten versleuteld is. Dat is al standaard de praktijk bij de meeste chatdiensten en anders kun je via een vpn-verbinding werken. Als je ook niet wilt dat je herkomst duidelijk is (het computeradres) dan zou je een TOR-verbinding kunnen gebruiken.

9. Beschermt de wet tegen Russische hackers?

Niet per se. De AIVD waarschuwde vorige week dat geavanceerde kwaadaardige software van Russische origine was opgedoken bij Nederlandse overheidsinstellingen. Dat die malware tijdig is opgemerkt is een goed teken: het weren van dit soort hacks is een kwestie van opletten (scannen) in netwerken. Nog belangrijker is medewerkers te trainen om niet op linkjes in een mailbericht te klikken. De AIVD monitort niet continu ‘alles’. Een scenario waarin tappen wellicht toch kan helpen: een gerichte zoekopdracht op de aanwezigheid van Russische malware rondom een kwetsbare stad - bijvoorbeeld Den Haag.