Het voorstel voor de nieuwe Cyberwet ligt er en wij hebben het goed bestudeerd. Het is duidelijk dat de geheime diensten in het voorstel veel ruimte krijgen en gegevens van burgers gemakkelijker op de servers van de geheime diensten terecht komen. Ondertussen worden er belangrijke waarborgen weggestreept en het toezicht afgeschaald. Wij maken ons zorgen, en dit is waarom.

Het sleepnet wordt nu écht ongericht

Toen het sleepnet in de Wet op de inlichtingen- en veiligheidsdiensten 2017 (de sleepwet) werd ingevoerd zijn er veel toezeggingen gedaan om aan ons uit te leggen dat het hier écht niet ging om ongerichte interceptie. Zo zouden de diensten van te voren kunnen bepalen op welke gegevensstromen ze de bevoegdheid zouden willen inzetten, zou er bepaald kunnen worden welke gegevens op voorhand niet relevant zouden zijn (zoals wanneer je Netflix zit te kijken) en zou het niet worden ingezet op Nederlandse communicatiegegevens. Later werd nog het criterium 'zo gericht mogelijk' in de wet opgenomen.

Al die toezeggingen en waarborgen gaan in dit voorstel overboord. Dit voorstel maakt het mogelijk om ongericht alle gegevensstromen voor een jaar lang af te tappen en de gegevens op te slaan. Vervolgens mogen de geheime diensten zonder voorafgaande toestemming vooraf hun algoritmes op deze gegevens loslaten om te kijken of er iets tussen zit.

Misschien een offensieve hackbevoegdheid?

Niet eens in het wetsvoorstel zelf, maar verstopt in een klein paragraafje in de toelichting wordt gesproken over zogenaamde "strategische operaties". Dat verdekte is op zichzelf al een probleem. Het is ook een probleem dat niet helder wordt uitgelegd wat dat is en wat de grenzen daarvan zijn, omdat het zo voor een toezichthouder onmogelijk is om erop toe te zien of er binnen de grenzen wordt gebleven. De inhoud zelf belooft ook niet veel goeds. Het gaat er namelijk om dat de geheime diensten hun middelen niet alleen als reactie op een aanval of om informatie te verkrijgen zouden mogen inzetten, maar ook proactief. Er zouden mogelijkheden moeten worden ontwikkeld voor een toekomstige inzet van middelen (die niet wordt gespecificeerd), die ook gericht kan zijn op non-targets.

Mag het een infrastructuurtje meer zijn?

In de Wiv 2017 is geregeld dat wanneer de geheime diensten toestemming hebben om de telefoon van een target af te luisteren of te hacken en het target wisselt van telefoon, ze die toestemming kunnen meenemen naar dat nieuwe apparaat. Nu wordt voorgesteld om die toestemming niet alleen mee te nemen naar nieuwe apparaten van het target zelf, maar naar alle apparaten die het target gebruikt. En dat is een stuk breder, want het is hier niet beperkt tot apparaten die alleen door het target in gebruik zijn.

Dus: Stel dat het target een telecomprovider hackt en gebruik maakt van die infrastructuur, dan mogen de geheime diensten die telecomprovider ook hacken, en hebben zij dus toegang tot gegevens van alle gebruikers daarvan. Zonder dat daar vooraf naar gekeken wordt door een toezichthouder.

Geen verplaatsing maar afschaling van het toezicht

Er wordt gesproken over "verplaatsing" van het toezicht, omdat de inzet van bepaalde bevoegdheden niet langer getoetst worden door de toezichthouder vooraf, maar gaan vallen onder de taken van de toezichthouder die tijdens en achteraf toezicht houdt. Het klopt dus dat er voor al die bevoegdheden nog steeds sprake is van een toezichthouder die meekijkt en in het voorstel ook de mogelijkheid krijgt om in te grijpen. Toch is het belangrijk om te zien dat dit geen verplaatsing is, maar een afschaling, omdat de aard van het toezicht zo anders is.

Eenzijdig hoger beroep is een tweede kans voor de geheime diensten

In het voorstel wordt ook een grote wijziging in het toezichtsstelsel aangebracht door een mogelijkheid tot hoger beroep in te voeren. Wanneer de toezichthouder een verzoek afwijst of oordeelt dat de inzet van een bevoegdheid moet worden gestopt kan de minister daartegen in hoger beroep. Er moet dan opnieuw gekeken worden naar wat de geheime diensten willen doen en waarom de toezichthouder dan niet goed vindt door een rechterlijke instantie.

Nou kan het natuurlijk zo zijn dat de toezichthouder een fout maakt, en dan is het goed als een rechter daarnaar kan kijken. Maar die fout kan natuurlijk ook resulteren in een onterechte toestemming, en wie gaat er dan namens de burger hoger beroep instellen? Daarin voorziet het voorstel niet. Door de mogelijkheid van hoger beroep eenzijdig te laten is dit dus eigenlijk een tweede kans voor de geheime diensten om tóch door te mogen gaan.

Relevantiebeoordeling: De waarborg die teveel in de weg zat

We schreven al eerder over de relevantiebeoordeling.Lees dat hier terug. Een belangrijke waarborg die ervoor zorgt dat de geheime diensten bij het verzamelen van enorme bergen gegevens de gegevens die niet relevant zijn zo snel mogelijk moeten vernietigen. Het probleem is dat ze zoveel gegevens verzamelen dat het ze niet lukt om dat op tijd te doen, en ze eigenlijk liever geen gegevens vernietigen.

Nu wordt een alternatief op de relevantiebeoordeling voorgesteld voor bulkdatasets die zijn verzameld met de hackbevoegdheid. Daarin kunnen bergen gegevens in plaats van maximaal 1,5 jaar oneindig worden bewaard en wordt de beoordeling zelf uitgekleed.

Tijdelijk en beperkt zal het niet blijven

Dit voorstel wordt gepresenteerd als tijdelijke wet die enkel zal gelden voor een specifieke taak van de geheime diensten. Daarmee wekt het de indruk dat het minder belangrijk is. Maar de veranderingen die erin worden voorgesteld zijn zo grootschalig en ingrijpend dat die waarschijnlijk blijvend zullen zijn, en bredere gevolgen zullen hebben. Bovendien mogen gegevens die verzameld worden op basis van de bevoegdheden uit deze wet ook voor andere doeleinden worden gebruikt, en blijven de gevolgen van dit voorstel dus helemaal niet beperkt tot die ene taak. Het is daarom belangrijk dat het voorstel wordt behandeld naar wat het beschrijft: Vergaande, waarschijnlijk blijvende, veranderingen in de regels die gelden voor onze geheime diensten, waarbij zij ruim baan krijgen met minder toezicht. En in een vrije en open samenleving moeten we daar erg kritisch op zijn.