Sinds 1 april ligt er een wetsvoorstel ter consultatie voor een tijdelijke aanpassing van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017). Deze ”sleepwet” bepaalt of en hoe de inlichtingendiensten (AIVD en MIVD) telefoon- en internetverkeer mogen afluisteren of aftappen.

Gelukkig legt de wet de afluisterbevoegdheid van de inlichtingendiensten wel aan banden. Zij mogen niet iedereen zomaar afluisteren. Voordat bijvoorbeeld internetkabels mogen worden afgetapt, moet de onafhankelijke Toetsingscommissie Inzet Bevoegdheden (TIB) toestemming geven.

Sinds de invoering van de Wiv 2017 is echter gebleken dat die een aantal dringende aanpassingen behoeft. Eerder dit jaar zei voormalig minister Henk Kamp (Defensie) dat de Nederlandse inlichtingen- en veiligheidsdiensten slagvaardiger moeten worden. Volgens hem is Nederland „met de handen op de rug” gebonden; terwijl „landen als Rusland en China kunnen doen wat ze willen, hebben wij ethische principes en regels.”

Minder toezicht

In het wetsvoorstel is opgenomen dat de inlichtingendiensten geautomatiseerde netwerken mogen scannen zonder toestemming vooraf. Het doel van het verkennen is om inzicht te krijgen in hoe een bepaald netwerk in elkaar zit. Bijvoorbeeld door in kaart te brengen welke hard- en software er is. Bij dit verkennen wordt er dus nog niet gehackt.

Kunnen de inlichtingendiensten dan ongecontroleerd deze bevoegdheid inzetten? Nee. De toezichthouder op de inlichtingen- en veiligheidsdiensten (CTIVD) gaat achteraf controleren of er wel rechtmatig is verkend. De gedachte is dat toezicht achteraf beter aansluit bij de dynamiek van de cyberaanpak.

Is deze verlaging van het toezichtsniveau terecht? Ik denk van wel. Cyberdreigingen zijn zeer veranderlijk en niet gebonden aan een fysieke plek. Data op een server in Nederland kunnen in een paar uur verplaatst worden naar een server ergens in Zuid-Amerika. Dus is een snelle, flexibele inzet van deze scanbevoegdheid nodig. Toetsing vooraf is dan te vertragend. Ook wordt er niet echt gehackt; de inbreuk op de privacy is beperkt.

Aftappen internetkabels

Ook een opvallend wijzigingsvoorstel is de bevoegdheid om internetkabels grootschalig af te tappen, de zogenoemde bulkinterceptie. Cyberdreigingen komen bij ons binnen via het internet en niet alleen bij bedrijven of overheden. Ook uw computer kan onopgemerkt gebruikt worden voor cyberaanvallen.

Dus is het voor inlichtingendiensten cruciaal inzicht te krijgen in welke gegevens er over die internetkabels gaan. Ook hier moet nu vooraf toestemming worden gevraagd. Daarnaast is er een extra gerichtheidseis. Dat betekent dat de inlichtingendiensten vooraf moeten aangeven waar ze naar op zoek zijn.

Het probleem met deze gerichtheidseis is dat veel van die dreigingen op internet onbekend zijn. Vooraf precies aangeven wat je wilt onderzoeken, is dan lastig. Het is al voorgekomen dat een hackoperatie niet door kon gaan vanwege deze eis. Begrijpelijk dat de inlichtingendiensten daar niet blij mee zijn.

Uitvoerbaarheid moet volgens Erik Akerboom het sleutelwoord zijn. In de podcast ”Cyberhelden” van Ronald Prins (ex-AIVD, ex-TIB en oprichter van Fox-IT) pleit het hoofd van de AIVD voor werkbare oplossingen. Volgens hem is daar bij de komst van de Wiv 2017 onvoldoende rekening mee gehouden.

In het wetsvoorstel vervalt de gerichtheidseis bij bulkinterceptie. Kort gezegd mogen de inlichtingendiensten een willekeurige internetkabel aftappen om te zien of er wat interessants te vinden is. Ook hier wordt de toetsing vooraf een toetsing achteraf.

Privacy

Is deze wet een verdere inbreuk op onze privacy? Zeker. Maar de vraag is of de inbreuk proportioneel is. Niemand wil naar een samenleving zonder privacy, zoals in George Orwells roman ”1984”. In het boek ”Je hebt wél iets te verbergen” schrijven Maurits Martijn en Dimitri Tokmetzis: „Privacy is van levensbelang, het is de smeerolie voor een functionerende rechtsstaat.” Onze privacy moet juist daarom gewaarborgd blijven. De inlichtingendiensten hebben echter, vanwege toenemende cyberdreigingen, middelen nodig om hiertegen op te treden. Het voorliggende wetsvoorstel is een betere balans tussen privacybescherming en uitvoerbaarheid. Over enkele jaren wordt de Wiv 2017 weer geëvalueerd. Mocht dan blijken dat deze balans toch niet in evenwicht is, dan kan het parlement opnieuw een afweging maken.

Of de voorgestelde toetsing achteraf binnen de TIB nog voor vuurwerk gaat zorgen, staat te bezien. De voorzitter van de TIB, mr. Mariëtte Moussault, heeft vorig jaar tijdens een interview in NRC aangegeven haar functie neer te leggen als er geen normale toets op proportionaliteit kan worden gedaan. Wat haar betreft moet de TIB „geen stempelmachine” worden.

De auteur is jurist.