Toetsingscommissie keurde 1,3 procent van verzoeken AIVD en MIVD af

[...]

Toen in 2020 een vacature voor technisch lid ontstond bij de TIB solliciteerde ik met enthousiasme - ik vond de wet en het stelsel van toezicht in balans, en wilde daar graag deel van uitmaken.

Eenmaal binnen merkte ik ook dat het klopte. De diensten doen de dingen die je van inlichtingen- en veiligheidsdiensten verwacht. En het toezicht werkt ook - als de toezichthouders constateren dat er dingen niet kloppen, dan gebeuren ze niet, of stoppen ze direct. Ik vind het belangrijk dit naar buiten te bevestigen.

Al vrij snel echter kwamen er diverse plannen om de wet en het toezicht aan te passen. Eind 2021 kwam dit alles in een stroomversnelling met de voorgestelde Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

Als lid van een toetsingscommissie ga je niet over de wet die je toetst. Ter vergelijking, rechters laten zich ook niet uit over wetgeving.

Maar deze nieuwe wet zinde mij niets.

Allereerst werden de criteria voor toetsing uitgekleed, met als hoogtepunt dat voor het integraal afluisteren van dikke internetkabels (om te ontdekken wat er op die kabels zit) helemaal geen reden meer opgegeven hoeft te worden. Voor het afluisteren voor productiegebruik hoeven alleen nog maar vrijblijvende ‘indicaties’ gegegeven te worden van wat er afgeluisterd wordt, en wat men er mee zou willen doen. Dan blijft er weinig over om te toetsen.

Ten tweede vond ik het lastig dat veel toezicht verschoof van vooraf naar achteraf, of ‘gedurend’. Een toets vooraf heeft een zelfregulerend effect: als een dienst incomplete of onjuiste verzoeken indient kosten die meer tijd, en in de tussentijd wordt er niets goedgekeurd. Het is op die manier in het belang van de aanvrager om kloppende verzoeken te sturen die er ook echt toe doen - anders raakt de toezichthouder overbelast en duurt alles langer.

Toezicht achteraf is veel meer werk - een toezichthouder moet zelf onderzoeken wat er precies gaande is en waarom. En pas als heel concreet blijkt dat de inzet niet deugt kan een zwaar traject ingezet worden om een operatie stop te zetten. Dit alles is veel arbeidsintensiever. En het effect van overbelasting is dat het toezicht aan dekking verliest, iets wat we zien bij de Autoriteit persoonsgegevens (onderzoek).

Ten derde zijn er uitvoeringsproblemen. Het is voorstelbaar dat het kan werken (zoals de TIB ook stelde in haar reactie) - als er voldoende technisch capabele toezichthouders gevonden worden. Maar daar wringt de schoen in de praktijk: dit is moeilijk werk. Mensen die kunnen hacken houden niet graag toezicht, die gaan eerder bij de AIVD of MIVD hacken (als we geluk hebben). En IT auditors hebben veel aantrekkelijkere plekken om te gaan werken. In deze tijden van personeelstekort is het moeilijk voorstelbaar dat er 10-20 mensen gevonden worden om dit toezicht gedurende en achteraf goed vorm te geven.

Afsluitend, de onderbouwing van noodzaak voor deze wet is voor een groot deel gelegen in dat toezicht vooraf te traag is. Dit gaat voorbij aan de bestaande en reeds veel gebruikte mogelijkheid om middels de spoedprocedure live telefonisch toestemming te krijgen, direct van de minister.