In NRC verscheen op 7 september een artikel over de wijziging van de Wet op de Inlichtingen- en Veiligheidsdiensten 2017. Tegenstanders komen ruim aan het woord en krijgen vrij baan om enkele vergaande, maar niet onderbouwde beweringen te doen. Daarom hier een reactie op enkele punten.
'De inlichtingendiensten klaagden dat het toezicht te streng was.'
Onjuist. Er is niet zoiets als te streng toezicht. De diensten klaagden dat het toezicht onwerkbaar was. De Toetsingscommissie Inzet Bevoegdheden (TIB) is in de Wiv 2017 opgericht met de taak de toestemming die de minister aan de diensten geeft om te tappen/hacken/etc, te toetsen op rechtmatigheid. Met andere woorden: de minister heeft de AIVD/MIVD toestemming gegeven voor deze tap. Zijn alle procedures juist gevolgd en alle waarborgen (gerichtheidscriterium, proportionaliteit, subsidiariteit, noodzakelijkheid) gerespecteerd? Zo ja, is de toestemming rechtmatig verleend en kan de tap gezet worden. Zo niet: geen tap, terug naar de tekentafel. Thtat's it. In plaats daarvan heeft de TIB haar taak uitgerekt naar het stellen van voorwaarden aan de werkwijze van de dienst zodra de tap (of hack, of andere bevoegdheden) loopt en het stellen van zoveel vragen over de uitvoering van de bevoegdheid, dat hackers vaker bezig zijn met correspondentie met de TIB, dan met hacken van Russische spionnen. Bovendien: voor toezicht op de lopende operaties bestaat de Commissie van Toezicht (CTIVD), die 24/7 toegang heeft tot alle gegevens en medewerkers van de dienst. De TIB ging dus met onmogelijke eisen het werk van de CTIVD over doen. Dat leidde in de praktijk tot twee toezichthouders met elk hun interpretatie van de wet, waardoor er zelfs een heus "Rechtseenheidoverleg" in het leven moest worden geroepen - je verzint het niet. Een onwerkbare situatie voor de diensten.
'De diensten moesten datasets vernietigen waarin "de gegevens" van "miljoenen Nederlanders" zaten.'
Onjuist of op z'n minst speculatief. Dit is een heel wrang verhaal: de diensten hebben rechtmatig, dus met alle toestemmingen van iedereen en de TIB en onder toeziend oog van de CTIVD, enkele hacks uitgevoerd die waardevolle inlichtingen opleverden over dreigingen richting uitgezonden Nederlandse militairen, aanslagplannen, de inzet van chemische wapens door Assad en Iraanse moordcommando's in Europa. So far so good. Echter, in de nieuwe wet moeten door de dienst verzamelde gegevens zo snel mogelijk op relevantie worden beoordeeld. Indien relevant verklaard mogen de gegevens bewaard en gebruikt worden. Zijn de gegevens niet relevant, dienen ze vernietigd te worden. Nog steeds so far so good. De datasets die de hacks hadden opgeleverd voldeden aan alle wettelijke eisen: ze waren noodzakelijk, ze waren zo gericht mogelijk en proportioneel. Én ze bevatten relevante inlichtingen. Dus werden ze door de AIVD integraal relevant verklaard. Dat kan niet, zei de CTIVD, je moet de hele dataset uitpluizen en alle bitjes individueel op relevantie beoordelen. Dat is natuurlijk godsonmogelijk, dus legde de minister van BZK deze aanbeveling van de CTIVD naast zich neer. Die ruimte heeft de minister, al worden aanbevelingen van de CTIVD zo goed als altijd door de ministers opgevolgd. Toen was Bits of Freedom niet blij, diende een klacht in bij de klachtafdeling van de CTIVD die prompt (bindend!) oordeelde dat de datasets alsnog vernietigd moesten worden. Dag inlichtingen over aanslagen, spionage, beïnvloeding, chemische wapens.
Na deze lange inleiding het punt waar het echt om draait: de vernietigde datasets zijn door BoF succesvol (want door media overgenomen) geframed als "de gegevens van miljoenen Nederlanders", terwijl ze niet weten wat die datasets werkelijk inhielden. Waar baseert BoF zich dan op? Op de definitie van een bulkdataset, namelijk: "Een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden." Maar de ene dataset is de andere niet, en "gegevens met betrekking op personen" is iets anders dan "de gegevens van miljoenen Nederlanders". Over die "miljoenen Nederlanders" gesproken: de hacks zijn zorgvuldig, na zeer lange voorbereiding, zo gericht mogelijk geplaatst. Het is natuurlijk geheim wie of wat gehackt is, maar als de opbrengst informatie was over de inzet van chemische wapens door Syrië en over de dreiging richting Nederlandse uitgezonden militairen: welke dataset die hier informatie over geeft kan "de gegevens van miljoenen Nederlanders" bevatten? Totale onzin dus.
'Meer mogelijkheden voor geheime diensten om in te breken in de computers en telefoons van burgers, misschien zelfs die van advocaten en journalisten.'
Onzin. De diensten mogen helemaal niet inbreken in de telefoons en computers van burgers. Ze mogen inbreken in de apparaten van personen die een gevaar zijn voor de nationale veiligheid, vanwege bijvoorbeeld aanslagplannen, spionage, extremisme of illegale handel in onderdelen voor massavernietigingswapens. Als je als "burger" daar niks mee te maken hebt, hebben AIVD en MIVD geen enkele grond, en geen enkele reden, om je te hacken of te tappen, en gaat dat dus niet gebeuren. En voor advocaten en journalisten gelden juist extra strenge waarborgen in de WIV. Maar ze kunnen moeilijk boven de wet geplaatst worden - ook in deze beroepsgroepen kunnen mensen met verkeerde bedoelingen zitten.
'De rol van de toezichthouder wordt verzwakt.'
Sorry, maar onzin. De toezichthouder krijgt zelfs bindende bevoegdheden. Dus als de CTIVD zegt stop, moet de dienst stoppen. En de rol van de rechter in het toezichtstelsel wordt uitgebreid met een beroepsprocedure. Nee, Nederland kent inmiddels het meest vergaande toezichtstelsel ooit, wereldwijd ongeëvenaard.
Wat er wel klopt in het artikel? Dat het wetstraject qua comlexiteit inmiddels richting het onnavolgbare gaat.