Het is misschien wel een van de meest besproken wetswijzigingen van de afgelopen jaren. De aanpassing van de Wiv 2002, de wet die regelt wat de inlichtingendiensten AIVD en MIVD wel en niet mogen, brengt veel wijzigingen met zich mee. De regering besloot eerder om een publieke consultatie op internet te houden, om zo input te vragen van mensen, bedrijven en organisaties over wat zij van de aanpassing vinden. Zoals je kon verwachten leverde dat een stroom aan reacties op. Het zijn er inmiddels meer dan vijfhonderd. De deadline voor reacties was dinsdagavond, om middernacht.
Wat gebeurt er nu? De regering gaat de reacties bekijken en beoordelen, zo lijkt het. De site over de internetconsultatie zegt daarover. "Het resultaat van de consultatie en de verwerking daarvan in het concept-voorstel wordt in een verslag op hoofdlijnen vermeld op de website. Dat gebeurt nadat de ministerraad het voorstel voor een wet of een Algemene Maatregel van Bestuur c.q. de minister de concept-ministeriële regeling heeft goedgekeurd." Kortom: het verslag komt nadat de ministers hebben ingestemd met de regelgeving zelf.
/i/2000630265.jpeg?f=imagenormal)
Het hoofdkantoor van de AIVD in Zoetermeer
Als er iets blijkt uit de reacties, dan is het dat het lang niet iedereen duidelijk is wat de nieuwe wet in de praktijk gaat betekenen. De wettekst zelf en de toelichting die de regering erop geeft, blijken op veel punten niet duidelijk genoeg te zijn. Bovendien stellen veel bedrijven vraagtekens bij details van de wet, zoals wie er precies moet meewerken met aftappen, hoe het zit met de kosten die ze dan maken en hoe het zit met het toezicht op de wet.
Tappen van de kabel
Het wetsvoorstel bevat behoorlijk wat wijzigingen op de huidige wet. De tekst van het voorstel staat hier, terwijl de regering ook de toelichting online heeft gezet.
De belangrijkste, meest in het oog springende wijziging is de uitbreiding van de aftapbevoegheden van de geheime diensten. Op dit moment mogen zij zogenoemde kabelgebonden communicatie enkel aftappen als ze een idee hebben wíe ze aftappen; een tap moet specifiek tegen een persoon gericht zijn. Niet-kabelgebonden communicatie mag ook ongericht worden afgetapt. In de praktijk valt mobiel verkeer onder kabelgebonden communicatie, aangezien de backbone van die netwerken vrijwel altijd over kabels verloopt.
In de nieuwe situatie zou het onderscheid tussen kabelgebonden en niet-kabelgebonden communicatie verdwijnen; alle digitale communicatie wordt dan gelijk behandeld. Dat betekent dat de geheime diensten ook in internetverkeer mogen struinen. Volgens het kabinet is dat nodig voor de fysieke veiligheid van Nederland, maar ook om digitale aanvallen te kunnen tegengaan.
Om te voorkomen dat er al te veel gegevens in de digitale datastofzuiger van de geheime dienst terechtkomen, zijn er wel wat waarborgen ingebouwd. Zo vindt het aftappen van data in drie fasen plaats. In de eerste fase wordt data onderschept en probeert de geheime dienst die te ontsleutelen. Daarbij kan het, in het voorbeeld van het kabinet, gaan om de data van alle Nederlanders die met personen in een bepaald ander land communiceren. Providers en internetknooppunten moeten kunnen worden gedwongen om mee te werken met het aftappen.
In de tweede fase mag worden gezocht in de data om te schatten welke gegevens relevant zijn voor het onderzoek. De inhoud van de gegevens mag samen met de metadata pas in de derde fase worden geanalyseerd. Daarvoor moet bovendien apart toestemming worden gegeven. De data mogen vervolgens drie jaar worden bewaard. Het is niet te zeggen hoe vaak de bevoegdheid zal worden ingezet.
Wie mag er tappen?
Een van de onduidelijkheden in de wetsaanpassing zit in de omschrijving van wie de AIVD en MIVD mag benaderen om te tappen. De huidige wet spreekt van 'aanbieders van openbare telecommunicatienetwerken', terwijl het wetsvoorstel het heeft over een 'aanbieder van een communicatiedienst'. Dat klinkt als een klein verschil, maar het kan juist enorm groot blijken te zijn.
De vraag is wat er onder een communicatiedienst valt. Gaat het dan om isp's en mobiele providers of ook om diensten als Skype en WhatsApp? Of gaat het zelfs nog verder dan dat? In de toelichting staat in elk geval één duidelijk voorbeeld. "Het gaat daarbij om diensten als webhosting, opslag in de cloud en dergelijke [...] Voorts vallen ook aanbieders van webhostingdiensten en beheerders van websites onder deze definitie."
Vooral Tele2 ageerde tegen het gebrek aan een duidelijke definitie over wat een 'communicatiedienst' precies is. De provider merkt op dat het verkrijgen van bulkgegevens een doel op zich lijkt te zijn en betwijfelt of rekening is gehouden met zaken als effectiviteit en proportionaliteit. In een reactie buiten de consultatie om zegt een woordvoerder van Tele2 dat daarmee de AIVD sites als Nu.nl en Tweakers kan verplichten om te tappen, maar dat geldt ook voor sites van bijvoorbeeld sportverenigingen.
Tele2 waarschuwt bovendien dat Nederland minder aantrekkelijk wordt als vestigingsplaats voor bedrijven. PowerDNS/Open X-Change beaamt dat. PowerDNS is een softwarebedrijf dat de PowerDNS-nameserver maakt en ondersteunt. Het bedrijf zegt minder te gaan investeren in Nederland. "Deze onzekerheid zal voor veel bedrijven en zeker voor het onze leiden tot het besluit servers en communicatiediensten snel buiten Nederland te plaatsen, en zeker geen nieuwe investeringen te doen die onder de reikwijdte van deze wet vallen."
Bovendien valt de onderneming over de kosten, omdat er geen limiet aan zit en de diensten die niet vergoeden. Dat is misschien wel de klacht die de meeste bedrijven hebben. Ze klagen dat ze kosten moeten maken om het aftappen mogelijk te maken, maar de AIVD komt niet met een vergoeding. Daarnaast is het bedrijf bang voor de gevolgen van het plaatsen van apparatuur om communicatie te onderscheppen. Volgens PowerDNS is het onduidelijk wie er aansprakelijk is bij storing van de onder deze plicht geplaatste apparatuur en wie de schade vergoedt bij onderbreking van de communicatiedienstverlening.
Provider T-Mobile denkt daar hetzelfde over. "Het risico is aanwezig dat hierdoor ons netwerk aanpassingen kan ondergaan die ontregelend kunnen zijn voor het functioneren van het netwerk. Dit zou (kunnen zorgen, red.) voor een slechte performance van ons netwerk, met bijbehorende imagoschade."
Hacken
Op dit moment mogen de AIVD en MIVD al inbreken op computersystemen, maar die bevoegdheid wordt iets uitgebreid. Als een computersysteem waarin de geheime dienst wil inbreken niet te kraken is, mag ook een ander systeem worden gebruikt om van daaruit door te stoten naar het bewuste syteem. Zo mogen de diensten de router van een verdachte hacken om daarna in te breken op zijn computer, als dat niet rechtstreeks kan. Ook mag bijvoorbeeld een andere klant van dezelfde hoster worden aangevallen om van daaruit het systeem te kraken van de persoon die volgens de geheime dienst in de gaten moet worden gehouden. Volgens het kabinet is dat nodig omdat de mensen naar wie de geheime diensten onderzoek doen doorgaans 'veiligheidsbewust' zijn.
Daarnaast mogen de geheime diensten scans gaan uitvoeren om communicatienetwerken die voor de diensten interessant zijn te verkennen. Daarbij mogen bijvoorbeeld portscans worden uitgevoerd om te zien welke processen op een systeem draaien. Die bevoegdheid is bedoeld als ondersteuning voor het recht om een computer binnen te dringen.
Vooral KPN maakt bezwaar tegen de nieuwe regels rondom hacken. Het bedrijf is bang dat het netwerk waarlangs de AIVD een ander netwerk in wil komen, het netwerk van KPN kan zijn. Daarom wil de provider een uitzondering voor netwerken van providers. De provider wil dat de netwerken van providers in de wet expliciet worden uitgesloten en dus niet ongestraft mogen worden gehackt.
Toezicht
De uitbreiding van de bevoegdheden van de geheime diensten gaat gepaard met beter toezicht. Zo moet de minister vaker toestemming geven voor bepaalde acties van de geheime dienst, zoals het inhoudelijk analyseren van communicatie. Tegelijkertijd heeft de waakhond die de geheime dienst in de gaten moet houden, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, niet de bevoegdheid gekregen om zelf in te grijpen als de geheime dienst over de schreef gaat. Een commissie die het kabinet adviseerde over de uitbreiding van de bevoegdheden van de geheime diensten, heeft dat wel aangeraden. In plaats daarvan blijft het advies van de Ctivd vrijblijvend. De Ctivd vindt zelf ook dat het toezicht op de geheime dienst verscherpt moet worden, omdat het bij lange na niet voldoet. Volgens de toezichthouder is het parlement aan zet om dat alsnog te doen.
Wel moet de minister het parlement straks informeren als hij een activiteit van de AIVD of de MIVD toch doorzet, ondanks een negatief advies van de toezichthouder. Dat gebeurt dan in vertrouwen, in de zogenoemde commissie-Stiekem, waarin alle fractievoorzitters van de Tweede Kamer zitten.
Vooral de Ombudsman maakt zich zorgen over deze constructie. De Ombudsman redeneert dat een klacht over de AIVD tegelijk een klacht over de toezichthouder van de AIVD inhoudt. Die heeft dan immers kennelijk ook een fout gemaakt. Daarom moeten de afhandeling van klachten en het toezicht bij verschillende instanties liggen. "Het verwijt van de slager die zijn eigen vlees keurt, ligt in de lijn der verwachtingen."
Supertappers
:fill(white)/i/2000657956.jpeg?f=thumblarge)
Een andere wijziging die PowerDNS tegen de borst stuit, is artikel 34. Daarin staat dat de betrokken minister ambtenaren mag aanwijzen die kennis mogen nemen van de inhoud van verworven gegevens.
Volgens het bedrijf heeft dit grote gevolgen. Het zou een nieuwe klasse ambtenaren, ‘supertappers’, creëren, die ook zonder specifieke toestemming in de gegevens mogen rondneuzen. Dit zou worden verantwoord met het idee dat de desbetreffende gegevens geen echte privacyschending opleveren. Het gaat echter om metadata, waarmee het mogelijk is om iemand gedetailleerd te volgen.
Daardoor kunnen die ambtenaren in een vervelende positie komen, redeneert de PowerDNS, want bij uitsluiting van hun collega’s kunnen zij kijken naar de ‘ruwe’ afgeluisterde informatie, ook uit bronnen waar in bulk afgeluisterd wordt. Als de minister geen toestemming heeft verleend om kennis te nemen van afgetapte informatie, zouden deze medewerkers onder grote druk van collega's kunnen komen te staan om een tip van de sluier op te lichten of eventueel een voorschot te nemen op te verwachten ministeriële toestemming. "Wij wensen niemand deze rol toe".
Over de grens
Sommige van de bedrijven die reageren opereren internationaal en bijvoorbeeld Microsoft uit zorgen over de reikwijdte van de nieuwe regels. Zo is het volgens Microsoft onduidelijk of de verplichtingen uit deze wet ook van toepassing zullen zijn op aanbieders die hun diensten onder andere in Nederland aanbieden, maar in het buitenland gevestigd zijn en waarbij de gegevens zich eveneens in het buitenland bevinden. Dat leidt tot onzekerheid, zegt Microsoft, dat vindt dat de Nederlandse regering op dit punt meer duidelijkheid moet verschaffen. Daarbij zou het volgens het bedrijf marktpartijen helpen als de Nederlandse regering aan de hand van de hierboven vermelde factoren de verschillende scenario’s afloopt waarin de wet en de daarin vermelde verplichtingen wel of niet van toepassing zijn op aanbieders die internationaal opereren.
Waar Microsoft nog spreekt van onduidelijkheid, lijkt Tele2 zeker te weten dat het data moet afstaan die het bedrijf in het buitenland bewaart. "Organisaties zijn verplicht toegang te geven tot en kopieën te maken van gegevensbestanden, zelfs als deze zich in het buitenland bevinden. Voor Tele2 is het onmogelijk dat zij hier aan kan, mag en zal meewerken, aangezien een deel van onze infrastructuur en systemen in andere EU-landen staat."
Als de regering bedoelt dat bedrijven data uit het buitenland moeten overhandigen, wil Microsoft dat die verplichting komt te vervallen. Volgens het Amerikaanse bedrijf kan het opleggen van dergelijke verplichtingen aan aanbieders van diensten wiens infrastructuur buiten Nederland is gevestigd, leiden tot conflicten met de wetgeving in die andere landen. Daarnaast vraagt Microsoft aandacht voor de harmonisatie met wetgeving in andere landen. "Zoals nu opgesteld, zou het wetsvoorstel het huidige wereldwijde stelsel van nationale wet- en regelgeving op dit gebied – dat nu al inconsistent en gefragmenteerd is – nodeloos verder compliceren. Deze tegengestelde standaarden vormen een uitdaging voor bedrijven die diensten aanbieden in meer dan één land."
Vodafone wijst erop dat Nederland uit de pas loopt met onder meer de Verenigde Staten. "Doordat bevoegdheden en medewerkingsplichten met dit concept vrijwel onbeperkt worden uitgebreid, zonder daarbij transparantie en toezicht te versterken, beweegt Nederland precies in omgekeerde richting van bijvoorbeeld de Verenigde Staten."
Transparantie
Over transparantie gesproken: Vodafone hamert vooral daarop. Het is de provider een doorn in het oog dat de geheime diensten van alles mogen vragen, maar dat Vodafone niets mag zeggen. "Dat is echt anders dan in bijvoorbeeld Duitsland", zegt Vodafones expert op dit gebied, Michiel Prinsen Geerlings, in een mondelinge toelichting aan Tweakers. "In andere landen zijn tapstatistieken en dergelijke openbaar, hier is dat niet zo."
Volgens Vodafone moeten uitgebreide bevoegdheden en transparantie over wat de inlichtingendiensten doen, hand in hand gaan. Het bedrijf zegt veel vragen daarover te krijgen, terwijl alles met betrekking tot verzoeken van de AIVD staatsgeheim is.
Privacy
Een van de belangrijkste elementen van de aanpassingen is de impact op de privacy, iets wat het College voor de Rechten van de Mens onder de aandacht brengt. Volgens die instantie zijn de omvang en privacy-impact van de nieuwe bevoegdheden niet te overzien. De technische mogelijkheden voor gegevensuitwisseling ontwikkelen zich momenteel zo snel volgens het College, dat de wetgever nu nog niet kan weten welke vormen van gegevensoverdracht op basis van deze wettekst allemaal onderschept zouden kunnen worden. Het College, dat door de overheid zelf in het leven is geroepen, zegt dat het niet mogelijk is om te toetsen of de wet noodzakelijk en proportioneel is, juist omdat de impact niet te overzien is.
:fill(black)/i/1234533186.jpeg?f=thumblarge)
Bovendien vindt het College dat het kabinet meer aandacht moet hebben voor privacy, ook voor het vertrouwen van Nederlanders in de eigen inlichtingendiensten. Het gaat immers om een voorstel tot het reguleren van bevoegdheden die in het geheim worden uitgeoefend en die diep ingrijpen in de privacy van burgers. Het College verwijt het kabinet een benepen houding aan de dag te leggen waar het gaat om het creëren van onafhankelijke controlemechanismen die een tegenwicht kunnen bieden aan deze ‘secret surveillance’. "Hiermee wordt geen bijdrage geleverd aan het creëren van publiek vertrouwen in het optreden van de inlichtingen- en veiligheidsdiensten. Integendeel, het reeds aanwezige wantrouwen zal daardoor eerder worden versterkt", aldus het College.
Het Instituut voor Informatierecht van de Universiteit van Amsterdam verwoordt dat misschien nog het beste. "Het huidige wetsvoorstel voldoet in ieder geval niet aan een aantal belangrijke standaarden (rondom bevoegdheden van geheime diensten, red.) Deze standaarden zijn niet vrijblijvend: het zijn aanbevelingen gebaseerd op grondrechtelijke verplichtingen. Wij adviseren dan ook het hele wetsvoorstel stevig te herzien, zodat het in lijn is met de verplichtingen van Nederland en de best practices op dit vlak."
En nu?
Wat opvalt, is dat de kritiek op het huidige concept uit zoveel hoeken komt. Niet alleen internationale bedrijven als Microsoft en Vodafone hebben belangrijke kritiekpunten, maar ook een grote Nederlandse provider als KPN, organisaties als de Nederlandse Orde voor Advocaten en zelfs door de overheid zelf ingestelde instanties als de Nationale Ombudsman en het College voor de Rechten van de Mens. Nu er ruim vijfhonderd reacties zijn verzameld, is het aan de ministeries om de bezwaren in kaart te brengen. Het zal de bedoeling zijn om er in elk geval op te reageren. Of de regering past het wetsvoorstel op punten aan, of de verantwoordelijke bewindslieden zullen motiveren waarom dat niet gebeurt.
Met de openbare consultatie kan iedereen de bezwaren van bedrijven, organisaties en mensen tegen de aanpassing van de bestaande wet zien. Dat geldt uiteraard ook voor de fracties in de Tweede en Eerste Kamer. Als zij bezwaren gegrond vinden, kunnen ze, als de regering niets met de kritiek doet, ook nog om opheldering vragen en zelf het wetsvoorstel aanpassen of afkeuren. Ook de Tweede en Eerste Kamer moeten immers nog akkoord gaan met de wijziging van de wet. Er zal nog heel wat water door de Rijn moeten stromen, en data door de kabels, voordat deze wetsaanpassing uiteindelijk wordt aangenomen. De kans lijkt groot dat deze wet er dan heel anders uitziet dan de regering nu heeft voorgesteld.
:strip_icc():strip_exif()/i/2001874817.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2001398823.jpeg?f=fpa_thumb)
/i/2001714923.png?f=fpa)
:strip_exif()/i/2001672911.jpeg?f=fpa)
/i/1208377233.png?f=fpa)
:strip_exif()/i/1207076674.gif?f=fpa)
:strip_exif()/i/1117705964.jpg?f=fpa)
:strip_exif()/i/1298020644.gif?f=fpa)
/i/1281689481.png?f=fpa)
/i/1302867960.png?f=fpa)
:strip_icc():strip_exif()/u/32933/18.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/52218/euxn3oDw.jpeg?f=community){kind=small}
/u/3041/crop651a776a4ad9f_cropped.png?f=community){kind=small}
:strip_exif()/u/396800/D-_3427da0a9c293b63f2a66dea2e642102.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/25867/no_bugs_small.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/52660/crop639bb9cd34b8f_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/664938/twava1_60.jpg?f=community){kind=small}
:strip_exif()/u/193139/tweakersIconSmall.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
(prachige wilders like beeldspraak.)
Je mag geen rechten schenden, punt.:strip_icc():strip_exif()/u/3572/mashell%2520avatar_klein.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/407815/PANDA%2520WTF.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/436410/crop58891eaab4cb6_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/215031/crop5db1d4fe1001f_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/238/crop5f2547539c687.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/359001/crop619b9c75eefa9_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/157053/crop574c68cea92df_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/5844/LEAP-X-3-D-Model-02%2520avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/93936/achtsubm.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/354091/crop5fc1321b6391b_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/243744/crop59841d984204f_cropped.gif?f=community){kind=small}