De tijd van de “surveillancestaat” is aangebroken! Afgelopen dinsdag 14 februari is in de Tweede Kamer het wetsvoorstel ‘Wet op de inlichtingen- en veiligheidsdiensten 20..’ met een grote meerderheid aangenomen. De nieuwe wet moet de verouderde wet uit 2002 gaan vervangen, welke diensten als de AIVD en MIVD een grondslag biedt om met terroristische dreigingen om te gaan.
Met het aannemen van het wetsvoorstel, geeft de regering een duidelijke boodschap af: veiligheid boven privacy, of het nu “Straatsburg proof” is of niet. De vraag is nu of – gelet op de juridische gevolgen - de nieuwe wet eigenlijk wel zo goed uitpakt voor de burgers die zij juist wilt beschermen. Wat betekent deze wet voor uw privacy?
De meest controversiële wijziging uit het wetsvoorstel is de uitbreiding van de bevoegdheid om communicatie te mogen onderscheppen. Voorheen mocht alleen niet-kabelgebonden telecommunicatie – bijvoorbeeld satellietverbindingen, draadloze verbindingen en radiofrequenties – ongericht worden ontvangen en opgenomen. Bij communicatie via de kabel mocht dit alleen gericht. Nu zou echter élke vorm van telecommunicatie mogen worden afgetapt, met een bewaartermijn van maar liefst drie jaar.
Het wetsvoorstel is namelijk technologieonafhankelijk, waarbij onderschepping gericht of “onderzoeksopdrachtgericht” (OOG) kan plaatsvinden. Hoe breed een dergelijke opdracht zou zijn wordt in de wet niet begrensd. Hiermee zou dus bijvoorbeeld al het internetverkeer in een stad of via een chatdienst worden afgetapt onder het mom van een “onderzoeksopdracht”.
Ook de bevoegdheid om apparaten binnen te dringen is uitgebreid. Nu zouden diensten dit niet alleen gericht mogen doen, maar ook computers van derden mogen binnendringen, bijvoorbeeld aan de hand van malware. Zo kan de computer van een verdachte burger via de computer van de onschuldige buren worden bereikt. Voor aanbieders van communicatiediensten wordt medewerking hieraan verplicht gesteld (artikel 53). Waar het voorheen nog ging om een enkel verzoek, wordt dit nu aangevuld met een opdracht en verplichting om medewerking te verlenen.
OOG-interceptie heeft bovendien nog een andere consequentie: doorgifte. Zowel geanalyseerde gegevens (artikel 89) als verzamelde gegevens waarvan de inhoud nog niet bekend (artikel 64) is mogen worden verstrekt aan buitenlandse inlichtingendiensten. Dit kan in de praktijk dus inhouden dat ook gegevens die irrelevant zijn en bijzondere persoonsgegevens in internationale handen terecht kunnen komen. Én dat gevoelige informatie over iemand uit een bepaald land, zijn weg terugvindt naar de diensten in dat betreffende land.
Op bescherming van de Autoriteit Persoonsgegevens hoeft de burger hierbij trouwens niet te rekenen; de bevoegdheden van de Nederlandse toezichthouder strekken zich niet uit tot de verwerking van persoonsgegevens door de diensten en blijft hiermee buiten toepassing.
Voor toezicht op de bevoegdheden, wordt een onafhankelijke commissie in het leven geroepen, de Toetsingscommissie inzet bevoegdheden (TIB). De minister die vooraf bijvoorbeeld toestemming moet verlenen voor de OOG-interceptie, moet de rechtmatigheid hiervan laten toetsen door de TIB. Het toezicht op de werkelijke invulling van de bevoegdheden wordt overgelaten aan de reeds bestaande Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).
Hoe effectief dit toezicht in de praktijk zal zijn, moet zich nog uitwijzen, maar hier kunnen zeker al enkele vraagtekens bij worden gezet. Zo is van geen van de drie leden van de TIB vereist dat zij relevante technische kennis hebben om de impact van de toestemming te kunnen beoordelen. Het wetsvoorstel geeft slechts de mogelijkheid tot benoeming van een lid met andersoortige kennis en expertise.
Bovendien zal de toetsing door de TIB zich enkel richten op hetgeen door de minister wordt verschaft; de TIB krijgt geen rechtstreekse toegang tot gegevens bij de diensten. Hierdoor lijkt de toetsing toch meer te lijken op een formaliteit, waar grenzeloos toezicht toch doorheen kan glippen.
Teveel. Of de nieuwe wet de balans tussen de nationale veiligheid en het privéleven van burgers zal kunnen waarborgen, valt nog te bezien. Hoewel de diensten zoveel mogelijk moeten kunnen doen om terroristische dreigingen te voorkomen, zit de wet nog te vol met grove inbreuken op de persoonlijke levenssfeer van burgers. Het gebrek aan wettelijk vastgelegde grenzen aan de bevoegdheden duidt daarnaast ook niet op grenzen die in de praktijk wel zullen worden gerespecteerd.
Bovendien hebben verschillende partijen, zoals de Autoriteit Persoonsgegevens, Raad van State, Raad voor de Rechtspraak en Bits of Freedom zich vanaf het begin uitgesproken tegen de wet. Zo zou er sprake zijn van een sleepnet met een onbeperkt grote hoeveelheid informatie, zonder dat dit leidt tot een gewenste vangst. Maar ondanks de geuite kritiek, lijkt niets de wet meer tegen te houden. De vraag is nu alleen of de regering hiermee echt de nationale veiligheid bevordert, of net achter het (sleep)net vist.
Dit artikel is geschreven i.s.m. Joy van Aanholt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.