Meer bevoegdheden, minder controle

Inlichtingen- en veiligheidsdiensten mogen de communicatie van grote groepen mensen onderscheppen, zonder dat die mensen ergens van worden verdacht. Deze data kunnen de diensten, zonder hier eerst naar te kijken, uitwisselen met buitenlandse diensten. De Nederlandse inlichtingen- en veiligheidsdiensten mogen de apparaten van service providers en individuen hacken om toegang te krijgen tot het apparaat van een target (de persoon die onderwerp van onderzoek is). Daarnaast kunnen ze directe, geautomatiseerde toegang krijgen tot databanken van bijvoorbeeld overheidsorganen. Dit allemaal zonder voldoende controle op het gebruik van zulke ingrijpende maatregelen.

Dit zijn vergaande bevoegdheden die een ernstige inbreuk vormen op de privacy van grote groepen mensen. Helaas hebben we het niet over een boek van George Orwell, wel over de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv).

Waarom is privacy eigenlijk belangrijk?

Privacy is voor veel mensen een vaag begrip en betekent voor veel van hen iets anders. Hierdoor is het soms lastig om uit te leggen waarom privacy zo belangrijk is. In elk geval zorgt privacy ervoor, dat mensen zichzelf kunnen zijn in alle verschillende rollen die zij in hun leven hebben. Zij kunnen hierbij zelf bedenken welke persoonlijke informatie zij willen delen met hun omgeving en welke niet. Zo gedragen mensen zich over het algemeen anders tegenover hun ouders dan tegenover hun vrienden of partner. Ook willen de meeste mensen niet dat hun zorgverzekeraar inzicht krijgt in hun boodschappenlijstje, of hun werkgever over wat zij in het weekend doen.

Zo hoeft ook de Staat niet zomaar allerlei informatie over mensen te kunnen verzamelen, zonder dat dit te rechtvaardigen is met een legitiem doel. Wanneer er op zo’n grote schaal informatie wordt verzameld, kan dat ook een ‘chilling-effect’ hebben. Mensen durven bijvoorbeeld niet meer over een onderwerp te demonstreren, of online naar informatie over dat onderwerp te zoeken. Ook schaadt het op grote schaal verzamelen van informatie belangrijke rechten en waarborgen voor een goed functionerende democratie en rechtstaat, zoals de bronbescherming van journalisten en het beroepsgeheim van de advocaat.

En vertrouwen we de Staat, of de inlichtingen- en veiligheidsdiensten, wel met onze informatie? Sommige informatie lijkt nu onbelangrijk, maar kan in de toekomst gevaarlijk blijken in de handen van een nieuw gekozen regering. Zo kan iemand die homoseksueel is nu gerust openlijk communiceren over zijn of haar seksuele geaardheid, maar kan dat met een andere regering opeens reden voor verdenking zijn. Iets wat nu niet strafbaar is, kan dat bijvoorbeeld later wel worden. En de informatie is dan al in handen van de Staat.

Bovendien is het de vraag of de Staat al die informatie veilig kan opslaan. Wanneer de veiligheid van de data niet gegarandeerd is, ontstaat de mogelijkheid dat de opslag gehackt wordt, en kan iedereen van alles met deze gegevens doen.

De Wiv is aangenomen door de Eerste Kamer

Het conceptwetsvoorstel ‘Wet op de Inlichtingen- en Veiligheidsdiensten 20..’ (Wiv) is opgesteld ter vervanging van de Wiv 2002 en is op 2 juli 2015 gepubliceerd en opengesteld voor internetconsultatie. Het komt niet vaak voor dat er zoveel reacties komen op een wetsvoorstel, en ook uit zoveel verschillende hoeken. Dit laat zien dat er grote ongerustheid bestaat over de veranderingen die deze wet beoogt door te voeren. Hierom zijn ook een aantal amendementen ingediend tijdens de discussie over het wetsvoorstel in de Tweede Kamer. Daarvan zijn er echter slechts drie aangenomen.

Helaas is het wetsvoorstel recent ook door de Eerste Kamer aangenomen. Een groep studenten heeft met succes het initiatief genomen om handtekeningen te verzamelen om een referendum over deze wet te houden. Burgers in Nederland kregen op 21 maart 2018 de mogelijkheid een stem uit te brengen over deze wet. Een bijzondere aangelegenheid, omdat het niet vaak voorkomt dat burgers een stem krijgen in het beleid van de inlichtingen- en veiligheidsdiensten.

De meerderheid van de stemmers (49.4 procent) stemde tegen de huidige wettekst. Er liggen voorstellen om de wet op een aantal punten te wijzigen, welke besproken zullen worden in de Tweede en Eerste Kamer. De regering wilde daar echter niet op wachten en heeft de wet ongewijzigd in laten gaan op 1 mei 2018.

Bijzondere bevoegdheden maken grootse en grootschalige inbreuk op privacy

De inlichtingen- en veiligheidsdiensten krijgen, middels de nieuwe Wiv, vergaande bevoegdheden die grootschalige surveillance in Nederland mogelijk maken.

Het probleem van dat het meest in de maatschappelijke discussie naar voren komt is de bulkinterceptie. Oud-minister van Binnenlandse Zaken, Ronald Plasterk, spreekt van ‘onderzoeksopdrachtgerichte interceptie’, omdat de interceptie plaatsvindt in het kader van een onderzoek. Toch strekt de bevoegdheid tot het onderscheppen van communicatie in bulk, waarbij de interceptie niet gericht is tot een target en zo grote groepen mensen raakt. Zo neemt oud-minister Plasterk zelf als voorbeeld dat de diensten in het kader van een onderzoek alle communicatie tussen Nederland en Syrië mogen aftappen. Pas na de interceptie van al deze data wordt er geanalyseerd en onderscheid gemaakt in welke data relevant is. Hierdoor is deze methode ook wel bekend geworden als het sleepnet. Dit sleepnet zorgt voor een potentiële inbreuk op de privacy van grote groepen personen. Daarnaast levert deze methode extra grote risico’s op met betrekking tot het beroepsgeheim van bijvoorbeeld artsen en advocaten, de bronbescherming van journalisten of de kritische maatschappelijke rol van NGO’s.

Daarnaast krijgen de inlichtingen- en veiligheidsdiensten op grond van de Wiv een hackbevoegdheid waarmee zij mogen inbreken op apparaten van derden. Dit kunnen zowel bedrijven zijn waar een target bijvoorbeeld een server huurt, als individuen die in contact staan met het target. Ook mogen de diensten malware (software die gebruikt wordt om computersystemen te verstoren, in het geheim informatie te vergaren of onrechtmatig toegang te verschaffen) plaatsen op computers van derden. De diensten mogen deze maatregelen dus toepassen op onschuldige mensen en zo grootschalige inbreuk maken op hun privacy, omdat zij in contact zouden staan met de verdachte. Daarnaast heeft deze hackbevoegdheid mogelijke consequenties voor de algehele veiligheid van het internet. Bij het uitvoeren ervan wordt namelijk gebruik gemaakt van kwetsbaarheden in de beveiliging van systemen. Als de diensten deze kwetsbaarheden goed kunnen gebruiken, zullen zij deze niet melden bij de ontwikkelaars, maar gebruiken voor het hacken. Dit betekent dat deze kwetsbaarheden niet gerepareerd zullen worden, en dus ook kwaadwillenden gebruik kunnen maken van deze verminderde beveiliging.

De diensten krijgen ook zogenaamde ‘real-time toegang tot databanken’. De diensten hadden onder de oude Wiv al de bevoegdheid om iedereen, die benodigde informatie zou kunnen hebben, als informant te benaderen. Er is in de wet niet begrensd wie informant kan zijn, en bestuursorganen zijn zelfs expliciet genoemd. Met deze nieuwe bevoegdheid zouden de diensten niet voor elk stukje informatie een apart verzoek hoeven doen bij de informant, maar kunnen zij direct, geautomatiseerde toegang krijgen tot de plek waar de informatie staat opgeslagen. De diensten kunnen dus directe, geautomatiseerde toegang krijgen tot alle databanken van de overheid.

Een ander groot probleem met de nieuwe wet is de bevoegdheid om ‘ongeëvalueerde data’ uit te wisselen met het buitenland. Dit betekent dat data die is onderschept door middel van bulkinterceptie, zonder dat de diensten hebben gekeken wat voor data het is, uitgewisseld kan worden met buitenlandse diensten. Dit is gevaarlijk omdat hier data in kan zitten die gevoelig is. Bijvoorbeeld informatie van journalisten, activisten, kritische NGO’s of medische gegevens. Denk ook aan data over praktijken die hier heel gewoon zijn, maar in andere landen verboden, zoals homoseksualiteit in Uganda.

Zoveel bevoegdheden, hoe zit het met controle en toezicht?

Terwijl de bevoegdheden van de diensten, en daarmee de inbreuk op het recht op privacy van grote groepen mensen, worden uitgebreid, blijven de mechanismen voor controle en toezicht in de nieuwe wet duidelijk achter. Zo schiet de notificatieplicht, de verplichting die regelt wanneer de diensten burgers op de hoogte moeten stellen dat er bevoegdheden ten aanzien van hen zijn ingezet, duidelijk te kort. Hierdoor hebben burgers niet de mogelijkheid om effectief gebruik te maken van rechtsmiddelen tegen misbruik van deze bevoegdheden. Zij zijn voor hun bescherming afhankelijk van rechterlijke toetsing vooraf, maar dit wordt in de nieuwe wet beperkt tot enkele specifieke gevallen, zoals wanneer de journalistieke bronbescherming of de vertrouwelijkheid van de communicatie met een advocaat in het geding komt.

Volgens de lijn in de Europese jurisprudentie, is het van belang dat er voorafgaand aan de inzet van bijzondere bevoegdheden onafhankelijke toetsing plaatsvindt. Er moet vooral sprake zijn van een onafhankelijke toezichthouder die daadwerkelijk en effectief toezicht op lopende onderzoeken heeft. Hierbij hecht het Europees Hof voor de Rechten van de Mens (EHRM) veel belang aan de mogelijkheid voor de toezichthouder om onderzoeken te beëindigen wanneer deze onwettig of onrechtmatig zijn. Het is de vraag of de Toetsingscommissie Inzet Bevoegdheden (TIB) aan deze voorwaarden voldoet. De toets die de TIB doet is enkel een rechtmatigheidstoets op de toestemming van de minister. Hoe strikt deze toets is, zal uit de praktijk moeten blijken.

De TIB is bovendien een geheel nieuwe commissie, wat mogelijk zorgt voor een gebrek aan kennis en context in het begin. De commissie die al grote expertise heeft opgebouwd in dit veld, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) houdt enkel achteraf toezicht, en heeft daarbij geen bindende bevoegdheden. In de klachtenprocedure heeft de CTIVD wel bindende bevoegdheden, maar klachten zijn erg moeilijk jegens de diensten, omdat je wel eerst op de hoogte moet zijn van de misstand.

De gebrekkige controle en waarborgen gelden ook ten aanzien van de samenwerking met buitenlandse diensten. Gegevens mogen aan hen worden doorgegeven zonder voorafgaande rechterlijke toetsing. Waar voorheen het vereiste bestond dat er alleen uitwisseling van gegevens plaatsvindt met landen waar de mensenrechten in voldoende mate gewaarborgd zijn, wordt dit in de nieuwe Wiv geschrapt. Daarnaast heerst er onduidelijkheid over hoe de Nederlandse diensten omgaan met gegevens die door buitenlandse diensten onrechtmatig zijn vergaard.

Het College voor de Rechten van de Mens spreekt dan ook haar zorgen uit over deze nieuwe wet.

Wat doet het PILP?

Het Nederlands Juristen Comité voor de Mensenrechten (NJCM) voert een intensieve lobby op dit onderwerp en gaf tijdens de internetconsultatie het advies om het wetsvoorstel aan een kritisch onderzoek te onderwerpen en te heroverwegen. Volgens het NJCM is een korte en concrete bewaartermijn van gegevens vereist, en moet de klachtbehandeling zo onpartijdig en onafhankelijk mogelijk plaatsvinden. Daarnaast kaartte het NJCM aan dat de bevoegdheidsuitbreiding niet aan het proportionaliteitsvereiste voldoet en de effectiviteit van de gekozen middelen niet aangetoond is. Het proportionaliteitsvereiste houdt in dat de inbreuk op een recht door een maatregel in verhouding moet staan tot het doel dat de maatregel dient. Deze inbreuk mag niet ernstiger zijn dan strikt noodzakelijk is om dit doel te bereiken.

Ten slotte stelt het NJCM dat de overdracht van gegevens aan buitenlandse diensten te allen tijde met voldoende waarborgen omkleed moet zijn.

Op dit moment onderzoekt het PILP met een brede coalitie van journalisten, advocaten, NGO’s en IT- en techbedrijven de juridische mogelijkheden om de Wiv aan te vechten. Een procedure zal pas van start gaan na de invoering van de wet. De coalitie zal de uitslag van het referendum over de Wiv en de reactie van de overheid daarop meenemen in het juridisch betoog.

Procedure uitstel invoering Wiv

Op 18 april 2018 heeft de coalitie de regering gevraagd om de invoering van de Wiv uit te stellen. Dit omdat onderdelen van de Wiv niet voldoen aan de mensenrechten en omdat de Eerste en Tweede Kamer nog moeten discussiëren over wijzigingen die de regering op belangrijke punten wil doorvoeren.

De regering heeft geantwoord de invoering niet uit te willen stellen. Deze coalitie is daarom een kort geding begonnen om te proberen belangrijke pijnpunten van de Wiv, waaronder het ‘sleepnet’, de hackingsbevoegdheid, de toegang tot databanken en de uitwisseling van (ongeëvalueerde) data met buitenlandse diensten, op te laten schorten totdat hierover in de Tweede en Eerste Kamer is gesproken.

De eisers in dit kort geding zijn de organisaties het NJCM, Bits of Freedom, de NVSA, Free Press Unlimited, Greenpeace International, De Waag Society, Privacy First en het platform Bescherming Burgerrechten en de bedrijven BIT, Speakup, VOYS en Mijndomein. Het Public Interest Litigation Project (PILP) van het NJCM leidt de coalitie. Tot januari 2019 waren de zaaksadvocaten Otto Volgenant, Fulco Blokhuis en Ron Lamme van kantoor Boekx. Op dit moment wordt de zaak via het PILP en Pro Bono Connect behartigd.

Op 26 juni 2018 is het vonnis gewezen in het kort geding van 7 juni 2018 over de invoering van de Wiv. De rechter vindt de wet (in zijn voorlopig oordeel) niet onmiskenbaar onverbindend en heeft de vorderingen van de coalitie afgewezen. De coalitie betreurt het dat de rechter het spoedverzoek heeft afgewezen. De coalitie gaat op korte termijn de mogelijkheid van juridische vervolgstappen bespreken.

De dagvaarding is hier te lezen. De pleitnota is hier te lezen.