De Raad van State, de belangrijkste adviseur van de regering over nieuwe wetgeving, heeft advies uitgebracht over de voorgestelde wijzigingen op de Cyberwet.

Deze wet, die nog in behandeling is bij de Tweede Kamer, heeft van de Raad een zogenaamd "zwaar dictum" gekregen. Dit is bestuurstaal voor een stevige tik op de vingers en het betekent dat het voorstel opnieuw moet worden besproken in de Ministerraad. Het is dus eigenlijk gewogen en te licht bevonden.

Dat de Raad van State dusdanig ingrijpende kritiek geeft komt niet vaak voor en is een sterk signaal. Wij zijn hier best blij mee, want gewogen en te licht bevonden? Dat vonden wij nou ook!

We zagen onze kritiek terug en daarom bij deze 7 cybercomplimentjes aan de Raad van State!

1: BULKdata

De Raad van State benadrukt het ongemak dat komt kijken bij het verzamelen van bulkdata. Dat wil zeggen: enorme bergen gegevens verzamelen waarbij het voor het merendeel gaat om de gegevens van mensen die niet in de belangstelling van de diensten staan. Gegevens over ons allemaal dus, op de servers van de geheime diensten. Niet de bedoeling.

Wij zeggen dit al jaren. Dat ongemak samen met het feit dat de geheime diensten zich vervolgens niet hielden aan de verplichting deze op tijd te vernietigen, is voor ons dé reden geweest om in actie te komen. Wat leidde tot het indienen van onze klacht bij de CTIVD.Lees de klacht hier terug.

2: Toetsbare toetsingscriteria

Er zou jaarlijks worden gekeken of de enorme bergen gegevens nog een jaartje mogen worden bewaard. Om dat te kunnen doen zijn er concrete toetsingscriteria in de wet nodig. Er wordt geschermd met bindend toezicht op deze verlenging, maar daarvoor is wel nodig dat er duidelijk wordt omschreven waarop een verlenging moet worden gebaseerd, en dus getoetst.

En dat mist nu, stipt de Raad van State aan. De criteria moeten dus concreter, en daarmee toetsbaarder, in de wet worden vastgelegd.

3: Een maximale bewaartermijn

Er is geen zogenaamde finale (maximale) bewaartermijn in de wet. Deze kan telkens (dus potentieel oneindig) worden verlengd. Dat is problematisch.

Jurisprudentie van het Europees Hof voor de Rechten van de Mens benadrukt het belang van een, zo kort mogelijke, bewaartermijn die in de wet wordt vastgelegd. Zo weet je in elk geval altijd dat als er gegevens over jou worden verzameld dat die ook weer worden vernietigd, en hoe snel dat gebeurt. Dat weet je op basis van dit voorstel dus niet.

4: Niet-relevante gegevens moeten zo snel mogelijk worden vernietigd

In het vorige advies van de Raad van State ging zij uitgebreid in op het vervallen van het vereiste om gegevens zo snel mogelijk op relevantie te beoordelen.

Wanneer de geheime diensten zo nodig enorme bergen gegevens willen verzamelen. Gegevens die grotendeels bestaan uit gegevens van burgers waar zij geen onderzoek naar doen. Is het natuurlijk wel belangrijk dat zij zo snel mogelijk een selectie maken tussen de gegevens die zij nodig hebben voor het onderzoek en de bijvangst. En dat die bijvangst zo snel mogelijk wordt weggegooid.

Behandeling van dit advies zouden we terug moeten zien in de huidige nota van wijziging. Dat zien we nu echter niet terug. Goed om te zien dat naast wij, ook de Raad van State dit scherp in het vizier houdt!

5: Bijsmokkelen via een nota van wijziging

De reikwijdte van de nota van wijziging is breder dan die van de Cyberwet zelf. Niet fraai! Er wordt dus ineens heel wat ruimte voor het bewaren van bulkdata bijgesmokkeld. Daarmee ontstaat er bovendien een nog complexer doolhof van beleid. Nu wordt immers de Wet op de inlichtingen- en veiligheidsdiensten als hoofdwet gewijzigd in een wijzigingsvoorstel van een Tijdelijke wet die de Wet op de inlichtingen-en veiligheidsdiensten deels aanvult en wijzigt. Het is de vraag of dit staatsrechtelijk wel kan. In elk geval trekken wij en de Raad van State onze wenkbrauwen erover op.

6: Bulk is bulk, wanneer het uitkomt.

De wens voor deze regeling was om 1 beleid te maken voor bulkdata (bulk = bulk). Klinkt lekker overzichtelijk toch? Deze regeling wordt ook zo gepresenteerd, maar is alleen van toepassing op bulkdata die is verzameld met bijzondere bevoegdheden. Dat is een categorie bevoegdheden waarvan een clubje mensen heeft bedacht dat die de grootste inbreuk maken op onze mensenrechten. Een indeling die volgens ons te beperkt is gemaakt.

Door het beleid op deze indeling te baseren vallen een aantal bevoegdheden daar buiten waar ook bulkdata mee wordt verzameld, zoals de informantenbevoegdheid, waarmee de geheime diensten realtime toegang kunnen krijgen tot gehele databanken. Daarnaast zijn ook de gegevens die met OOG-interceptie (die ken je wel, het sleepnet) wordt verzameld hiervan uitgezonderd. Toch niet zo overzichtelijk dusIn onze aanbeveling schreven wij dat áls er één bulkregime komt, die ook moet gelden voor alle verzamelde bulkdata.

7: TIB toets op de stomme tap

De Raad van State deelt ook onze positieve noot over het voorstel.

Er wordt namelijk ook een zogenaamde TIB-toets (Toetsingscommissie Inzet Bevoegdheden) voorgesteld, voorafgaand aan het in real time verzamelen van de verkeers- en locatiegegevens van een persoon. Daarmee wordt de wet in lijn gebracht met Europese jurisprudentie. Dit juichen wij toe en is eigenlijk niet meer dan logisch!

Het belang van ons werk

Veel van de punten die de Raad van State aankaart, hebben wij eerder naar voren gebracht in onze reactie op de zogenaamde internetconsultatie.Onze reactie vind je hier En een leuke extra is dat onze klacht Lees hier de uitspraak en hoe wij gegevens van miljoenen burgers uit de klauwen van de geheime diensten bevrijddenin het advies van de Raad van State wordt aangehaald: "In het verlengde daarvan heeft de afdeling klachtbehandeling van de CTIVD naar aanleiding van een klacht van burgerrechtenvereniging Bits of Freedom in 2022 bepaald dat de diensten niet zorgvuldig en in strijd met de wet hebben gehandeld bij het periodiek (her)beoordelen van meerdere bulkdatasets. Deze bulkdatasets dienden om die reden te worden verwijderd en vernietigd."

Wordt vervolgd...