Waarom hebben we eigenlijk überhaupt nog adviesorganen, als daar toch niet naar wordt geluisterd? Deze vraag komt bij ons op bij het lezen van de nieuwe versie van de Cyberwet die na het advies van de Raad van State naar de Tweede Kamer is gestuurd. Met dat advies is opvallend weinig gedaan. Sterker nog, het voorstel gaat er op meerdere punten lijnrecht tegen in.

1. Uitwisseling met buitenlandse diensten: 'Waarborgen dat het niet gebeurt' werd 'het gewoon doen'

Één van de meest omstreden punten in de Cyberwet Lees hier onze analyse van de eerste versie van dit voorstelis de bevoegdheid En lees hier meer over wat er met onze inbreng is gedaan in de tweede versietot verkennend, ongericht aftappen van ons internetverkeer. Een verruiming van de bevoegdheid zoals die nu in de Wiv 2017 (de sleepwet) staat. De Raad van StateLees hier zelf het advies van de Raad van State en het nader rapport schreef hierover in haar advies dat het cruciaal is dat in het voorstel wordt gewaarborgd dat gegevens die zijn verzameld met deze bevoegdheid niet met buitenlandse diensten kunnen worden gedeeld. Deze bevoegdheid is namelijk zó ongericht dat het delen van deze gegevens een ernstige inbreuk op het recht op privacy van burgers betekent.

In het voorstel staat nu gewoon doodleuk dat dat wél gaat gebeuren. Er wordt dan bij gezegd dat de buitenlandse dienst de gegevens verder niet mag gebruiken. Maar op of die andere dienst dat wel of niet doet, zal vervolgens geen toezicht worden gehouden.

2. Ongericht om gerichter te gaan klinkt niet alleen als een slecht excuus, maar is dat ook

Het argument voor de introductie van deze 'ongerichte verkenningsbevoegdheid' op de kabel was dat daarmee het échte tappen dat dan volgt gerichter zou plaatsvinden, en er dan dus minder getapt zou worden. Snap jij het nog?

De Raad van State schreef hierover dat dit zou kunnen, maar alleen als de ongerichte verkenning dan ook geen doel op zichzelf zou zijn, maar uitsluitend zou dienen om de interceptie die erop volgt gerichter te maken.

In de toelichting bij het voorstel wordt deze voorwaarde zorgvuldig de nek omgedraaid. Daar staat namelijk dat de verkenningsbevoegdheid er helemaal niet voor hoeft te zorgen dat de kabelinterceptie beperkter zal worden ingezet. Alleen de technische onderbouwing voor de inzet van kabelinterceptie zou worden verbeterd. En dat is iets heel anders.

3. De verplichting technische risico's en het gebruik van onbekende kwetsbaarheden te gebruiken: die moest terug, maar bleef weg

Hacken is altijd risicovol. Daarom is het belangrijk om bij het vragen van toestemming om deze bevoegdheid in te mogen zetten ook de technische risico's die daarmee gepaard gaan goed mee te wegen. Daarom moesten die altijd vermeld worden in de toestemmingsaanvraag. In het voorstel wordt die verplichting eruit gehaald, waardoor het voor de toezichthouder vooraf (de TIB) veel moeilijker wordt hier toezicht op te houden en de prikkel voor de geheime diensten om hier zelf met een ander dan operationeel perspectief naar te kijken verdwijnt.

De Raad van State adviseert daarom om wél de verplichting op te nemen om technische risico's en het gebruik van onbekende kwetsbaarheden die redelijkerwijs voorzienbaar zijn in de toestemmingsaanvraag voor inzet van de hackbevoegdheid op te nemen.

Dit wordt gewoon genegeerd.

4. Een ontoereikende regeling, die nog breder wordt toegepast

In de Cyberwet werd voorgesteld dat wanneer de geheime diensten binnen het kader van dit voorstel enorme bergen gegevens verzamelden, zij niet langer gebonden zouden zijn aan de termijn van anderhalf jaar om te beoordelen welke gegevens daarvan relevant zijn en welke vernietigd moeten worden. Die termijn wordt potentieel oneindig, zolang er jaarlijks toestemming wordt gegeven door de minister om de gegevens te bewarenWij dienden een klacht in omdat de minister weigerde uitvoering te geven aan het rapport van de toezichthouder over dat de wet hier voorschrijft dat de gegevens na 1,5 vernietigd dienen te worden.

De Raad van State vindt deze regeling ontoereikend. Deze enorme bergen gegevens bevatten namelijk vooral gegevens van mensen waar de geheime diensten geen onderzoek naar doet, en deze gegevens kunnen zonder dat de geheime diensten er zelf goed naar kijken en een selectie van maken met buitenlandse diensten worden gedeeld. De inbreuk op het recht van privacy is daarmee te groot.
Het voorstel om de bewaartermijn van deze gegevens oneindig te kunnen verlengen zou volgens het adviesorgaan strijdig kunnen zijn met Europese rechtspraak.

In de nieuwe versie van het voorstel is dit eruit gehaald. Maar alleen om harder terug te komen. Er wordt namelijk meteen een nieuw wijzigingsvoorstel aangekondigd waarin deze verlengingsmogelijkheid zal gaan gelden voor álle grote gegevenssets die de geheime diensten verzamelen, ook buiten het specifieke domein van de Cyberwet. Op de overige kritiekpunten van de Raad van State wordt niet ingegaan.

De controle op de naleving van deze adviezen ligt bij de Kamer

De drang naar meer bevoegdheden en minder toezicht bij de geheime diensten reikt op deze punten verder dan de Raad van State verstandig acht. En dat baart zorgen. Adviesorganen als de Raad van State hebben we natuurlijk niet voor de lol. Het is de taak van de Tweede Kamer als controleorgaan om extra kritisch te zijn op een voorstel van de minister dat dergelijke adviezen aan haar laars lapt. Kamerleden, het is nu aan jullie.