Volgens de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) zijn de risico’s op onrechtmatig handelen bij de geheime diensten onder de nieuwe wet hoog: essentiële waarborgen voor bescherming burgers ontbreken en goed toezicht is niet mogelijk. De gevolgen van het doorduwen van de sleepwet worden zichtbaar.

Explosief rapport

Gisteren kwam de CTIVD met een zeer kritisch rapportDe voortgangsrapportage van de CTIVD over hoe de geheime diensten uitvoering geven aan de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv), oftewel de sleepwetDe wettekst. Deze wet is inmiddels al een half jaar volledig in werking getreden, ondanks het felle verzet tegen onderdelen ervan.

De rode draad van hun bevindingen: een doorlopende interne controle op hoe de diensten gegevens verzamelen en gebruiken ontbreekt. Er is gewoonweg onvoldoende of zelfs geen zicht op. Hierdoor wordt het ook voor de toezichthouder niet mogelijk om effectief te checken of aan alle verplichtingen voldaan wordt. Essentiële waarborgen voor de bescherming van burgers ontbreken en het risico op onrechtmatig handelen is volgens de toezichthouder daarom hoog.

Waar gaat het mis?

Waar gaat het volgens de toezichthouder precies fout? We zetten het op een rijtje:

Intern beleid en instrumenten om gegevens te beschermen ontbreken
De toezichthouder constateert dat er bij de diensten geen uitvoering wordt gegeven aan basisprincipes om gegevens te beschermen, zoals privacy by design en by default. Ook beschikken de diensten nog niet over de vereiste procedures en instrumenten om risico’s te signaleren dat er intern onrechtmatig met gegevens wordt omgesprongen.

Geen gehoor gegeven aan gerichtheidseis
Op basis van de Kamermotie RecourtDe aangenomen motie Recourt en de in mei gepubliceerde beleidsregels, moeten bijzondere bevoegdheden zo gericht mogelijk worden ingezet en toegepast. We blijven van mening dat de gerichtheidseis niet kan voorkomen dat met het sleepnet oftewel de ‘onderzoeksopdrachtgerichte interceptie’, op grote schaal en stelselmatig de online communicatie van mensen verzameld kan worden.

Los daarvan blijken de diensten zelfs aan deze gerichtheidseis geen gehoor te hebben gegeven. Dat is extra kwalijk nu deze eis juist door het kabinet en coalitiepartijen werd voorgesteld als belangrijke waarborg om bevoegdheden uit te breiden en grootschalig tappen op de kabel toe te staan.

Waarborgen bij geautomatiseerde data-analyse onvoldoende
De diensten kunnen de gegevens die ze met het sleepnet binnenhalen geautomatiseerd analyseren. Het gaat dan vaak om het analyseren van gedragsgegevens (metadata), zoals op welke locatie je op welk tijdstip met wie hebt gecommuniceerd. Dat gedragsgegevens een zeer compleet beeld van iemands privéleven kunnen geven is breed geaccepteerd. Het kunstmatige onderscheid tussen de inhoud van communicatie en gedragsgegevens dat vroeger vaak werd gemaakt, gaat niet meer op.

Voor het analyseren van deze gegevens om personen of organisaties te identificeren is toestemming van de minister en voorafgaande toetsing door de Toetsingscommissie inzet bevoegdheden (TIB) vereist. Maar de geheime diensten blijken zelf onderscheid te maken tussen ‘eenvoudige’ en ‘complexe’ analyses om zo voor ‘eenvoudige’ analyses onder de toestemming van de minister en toetsing door de TIB uit te komen. De CTIVD en TIB zijn het fundamenteel oneens met dit gemaakte onderscheid en hebben dit onlangs nog uitgebreid toegelicht in een gezamenlijke rechtseenheidsbriefDe twee rechtseenheidsbrieven van de TIB en CTIVD.

Onvoldoende invulling gegeven aan databeperking
Permanente beperking van de verzamelde gegevens tot uitsluitend de gegevens die relevant zijn is essentieel voor privacybescherming. Toch constateert de toezichthouder dat diensten ook hier steken laten vallen. Zo blijken de diensten nog onvoldoende maatregelen te treffen om bijvoorbeeld ‘zo spoedig’ mogelijk de verzamelde gegevens op relevantie te onderzoeken, de niet-relevante gegevens gegarandeerd te verwijderen en is bij het tappen in de ether onduidelijk op welke wijze de beoordeling van relevantie van gegevens plaatsvindt.

Schort grootschalig verzamelen gegevens op

Tijdens de parlementaire behandeling van de wet en rondom het referendum is door voorstanders van de wet altijd toegezegd dat naast de uitbreiding van bevoegdheden, de waarborgen en het toezicht verbeterd worden. Nu blijkt dat het kabinet haast heeft gemaakt met het eerste, maar de toegezegde waarborgen zijn blijven liggen. Dat is onacceptabel. Zeker nu de geheime diensten ruime bevoegdheden hebben om juist op grote schaal gegevens te verzamelen en te analyseren via het sleepnet, door te hacken of door andere bevoegdheden in te zetten zoals het vergaren van bulkdatasets via informanten.

Daarom hebben we samen met Amnesty International het kabinet opgeroepenDe oproep van Amnesty en ons de inzet van bevoegdheden om op grote schaal gegevens van burgers te vergaren, analyseren en uit te wisselen met buitenlandse diensten per direct op te schorten, zolang niet eens aan de wettelijke en toegezegde waarborgen kan worden voldaan.

Tweede kans?

Ondertussen houdt het kabinet en straks het parlement zich ook nog bezig met een wetsvoorstel om de wet aan te passen naar aanleiding van het referendum. Vorige week is het kabinet het eens geworden over het wetsvoorstel en dit ligt nu bij de Raad van State voor advies. Verwacht wordt dat het voorstel begin volgend jaar naar de Tweede Kamer wordt verzonden.

Wat we van dat voorstel met vooral cosmetische wijzigingen vinden, is inmiddels wel bekendOnze reactie op het voorstel. Maar met dit rapport van de CTIVD op tafel, de eerdere rechtseenheidsbrieven van de TIB en CTIVD en de kritiek en suggesties voor verbeteringen die tijdens de internetconsultatie deze zomer zijn ingediend, kúnnen het kabinet en de Kamer niet meer de andere kant op kijken.

De keuze is aan hen: kiezen ze voor een wetswijziging voor de bühne of grijpt men deze ontwikkelingen aan om alsnog de wet op substantiële punten te verbeteren?