Redactie
Redactie Life 16/03/2018

Sleepwet voor dummies: wat je moet weten over het Wiv-referendum

Op 21 maart kun je stemmen voor de nieuwe wet op de inlichtingen- en veiligheidsdiensten, de Wiv. Tegenwoordig ook wel bekend als de sleepwet. Deze wet gaat over wat de Nederlandse veiligheidsdiensten, AIVD en MIVD, mogen doen. Om voor of tegen te kunnen stemmen, moet je eerst weten waar de wet over gaat en wat er gaat veranderen. Hier zijn de vier belangrijkste onderdelen uit de wet.

Nederland is uniek in de wereld

De wet wordt ook wel de sleepwet genoemd, maar het is helemaal geen sleepwet. Het gaat namelijk over veel meer dan het aftappen van informatie. Het is een ingrijpende wet, want in de wet worden de voorwaarden besproken waarop onze geheime diensten de privacy van Nederlanders mogen schenden.

De nieuwe wet is een update van de bestaande wet uit 2001. Dat we in Nederland zo’n wet hebben is best uniek. De wet is namelijk limitatief, oftewel beperkend. Staat het niet in de wet? Dan mogen de AIVD en MIVD het niet uitvoeren. Iedereen kan door de wet te bekijken zien wat de diensten wel en niet mogen. Dat is uniek in de wereld. Nergens is wat veiligheidsdiensten wel en niet mogen zo transparant als in Nederland.

Verandering 1: Hacken

Hoewel de wet in de volksmond ‘sleepwet’ heet, is een belangrijk deel gericht op hacken. De AIVD en MIVD mogen sinds 2000 al gericht hacken. Dat is handig voor informatie die je niet met een tap boven water kunt halen. Denk aan reeds verstuurde e-mails of WhatsApp-berichten.

Momenteel mogen de diensten alleen gericht hacken. Dat wil zeggen dat alleen bij een verdachte zelf ingebroken mag worden. Als die zijn beveiliging op orde heeft, staan de diensten machteloos. De nieuwe sleepwet geeft de diensten echter ook de mogelijkheid om informatie te vergaren door anderen te hacken. Ze mogen dus meerdere schakels gebruiken om tot een verdachte te komen.

Stel de AIVD wil in de e-mailbox van een potentiële terrorist kijken, maar hij heeft zijn beveiliging strak op orde. Dan kan de dienst ervoor kiezen om de server waar zijn e-mail op draait te hacken. Of in te breken in de mailbox van contacten die hun beveiliging niet zo goed op orde hebben. Op grotere schaal kan dat ook betekenen dat een server wordt gehackt om de informatie van één persoon te vergaren.

Om te hacken zijn kwetsbaarheden nodig. Dit worden ook wel zero days genoemd. Dat zijn lekken in hard- en software die nog niet publiek zijn en dus nog niet door de fabrikant zijn gedicht. Die hebben diensten nodig en zijn duur. De FBI betaalde ooit meer dan een miljoen dollar voor een iPhone-lek. De vraag is of de diensten er goed aan doen om dit soort lekken te hamsteren, met het risico dat software langer kwetsbaar is. Of is het beter om fabrikanten te waarschuwen?
Hacken klinkt eng, maar het is wel gericht. Er komt geen sleepnet aan te pas.

>> Inzetten van bevoegdheden heeft drie voorwaarden

Voordat een bevoegdheid (zoals hacken) ingezet mag worden, moet deze aan een aantal voorwaarden voldoen. Hij moet proportioneel zijn, noodzakelijk zijn voor het uitvoeren van de taak en voldoen aan het subsidiariteitsbeginsel. Dat laatste wil zeggen dat het niet gebruikt mag worden als informatie ook op andere wijze -binnen de wet- verkregen kan worden. Een hele e-mailserver hacken mag bijvoorbeeld niet als door het onderscheppen van een smartphone dezelfde informatie verkregen kan worden.

Verandering 2: Het sleepnet (kabelinterceptie)

Een andere grote verandering is de inzet van een sleepnet, oftewel kabelinterceptie. Het ongericht aftappen van internetkabels. Hier dankt de ‘sleepwet’ zijn naam aan. Wat gaat er veranderen? Momenteel mogen de inlichtingendiensten al tappen, maar alleen als ze een verdachte in het vizier hebben. In de nieuwe ‘sleepwet’ mag ongericht getapt worden. Een tap kan dus preventief en breed worden ingezet.

Helaas wordt dit in de vaak verkeerd uitgelegd en is het beeld ontstaan dat een sleepnet over een hele wijk gespannen kan worden, maar zo werkt het internet niet. Pakketjes worden via verschillende routes en providers het web op gestuurd en zijn niet op wijkniveau te scheiden. De tap zal eerder gezet worden op grote internetknooppunten, zoals de Amsterdam Internet Exchange waar apparatuur van providers aan elkaar gekoppeld is. Op dat punt mag data afgetapt worden en dat is nieuw.

Omdat alle data op een glasvezelkabel afgetapt mag worden, wordt de communicatie van onschuldige burgers ook getapt. Dat die data opgevangen kan worden, wil echter niet zeggen dat de diensten er ook echt in gaan kijken. Dat mag ook niet, want er moet altijd een zoekvraag geformuleerd worden. Die zoekvraag moet ook weer voldoen aan de drie eerder genoemde voorwaarden.

Een voorbeeld. Stel dat er een terroristencel in Irak actief is en dat de diensten willen weten of er ook gecommuniceerd wordt met Nederland. Op dat moment wordt eerst gekeken hoe alle internetkabels naar Irak lopen. De data komt ongetwijfeld op een internetknooppunt in Amsterdam binnen. De diensten kunnen vervolgens de juiste kabel pakken en een grof filter toepassen. Er wordt dan alleen naar verkeer van en naar Irak gekeken en verkeer van YouTube, Spotify of Netflix wordt gefilterd. De diensten zitten immers niet te wachten op een hooiberg aan data en zijn alleen geïnteresseerd in e-mailverkeer of communicatie via bijvoorbeeld Telegram, VOIP en WhatsApp.

Vervolgens wordt naar de metadata van die gegevens gekeken en op hotspots ingezoomd. Stel dat er tien mensen zijn die opvallend vaak met Irak chatten via Telegram, dan mag er -na het opnieuw vragen van toestemming- naar de inhoud gekeken worden.

>> Metadata vs. inhoud

Er is een belangrijk verschil tussen metadata en inhoud van berichten. De metadata bevat alles behalve de boodschap zelf. Dus van en naar wie een bericht verstuurd is, hoe laat dat gebeurde en of het gelezen en beantwoord is.

In de wet staat dat alle metadata die door het grove filter is gekomen, drie jaar lang bewaard mag worden. Het is dus best mogelijk dat een onschuldige e-mail naar een tante in Irak drie jaar lang bij de AIVD in het archief gaat. De inhoud wordt niet bewaard en is in veel gevallen (zoals WhatsApp en iMessage) versleuteld. Metadata is echter niet onschuldig en kan heel veel onthullen.

Verandering 3: Toezicht

Door de nieuwe wet krijgen diensten meer bevoegdheden, dus kunnen ook meer fouten gemaakt worden. Daarom is er meer toezicht geregeld. Momenteel is er één toezichthouder, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Die houdt toezicht op de AIVD en MIVD. De commissie kijkt alleen achteraf of een actie rechtmatig is geweest. Als dat niet het geval was, wordt een rapport gemaakt en de naar de tweede kamer gestuurd. Dat rapport bevat twee delen. Er is een openbaar deel dat naar iedereen in de tweede kamer gaat en een vertrouwelijk deel dat alleen door de ‘commissie stiekem’ wordt ingezien. Daar zitten de fractievoorzitters van de 5 grootse partijen in.

Toestemming vooraf bestaat momenteel dus niet en dat is best vreemd. Bij de politie moet een rechter-commissaris immers ook altijd vooraf toestemming geven om tot actie over te gaan. De nieuwe wet brengt dat principe ook naar de AIVD en MIVD. Er komt een nieuwe commissie, de toetsingscommissie inzet bevoegdheden (TIB). Die gaat vooraf toetsen. Zonder toestemming geen actie. De toestemming van de minister en controle achteraf blijft ook bestaan. En er komt nog iets bij. Bij het aftappen van journalisten en advocaten moet men altijd eerst naar de rechtbank van Den Haag om toestemming te vragen.

Verandering 4: Data uitwisselen met het buitenland

De veiligheidsdiensten opereren autonoom. Dat wil zeggen dat de sancties tegen Rusland een eventuele samenwerking tussen de Nederlandse en Russische diensten niet belemmeren.
In de huidige wet is er geen controle op de uitwisseling van informatie met het buitenland. De beslissing om informatie te delen is aan de inlichtingendienst zelf. In de nieuwe wet worden samenwerkingen wel getoetst aan een aantal factoren.

Dat zijn onder andere de mate van democratische inbedding, de omgang met mensenrechten en het niveau van gegevensbescherming (kun je garanderen dat de data niet gebruikt wordt voor andere doelen dan het onderzoek?) van de buitenlandse diensten. Turkije zou onder deze voorwaarden geen bulkdata van Nederland ontvangen.
De AIVD/MIVD gaan dit onder de nieuwe wet in samenwerking met de minister per land beslissing. De toetsingscommissie komt er echter niet aan te pas. Dat is jammer, want het maakt het proces een stuk politieker.

Voor of tegen stemmen?

Zijn de nieuwe bevoegdheden te ingrijpend? Zijn er voldoende waarborgen? Wij geven geen stemadvies, maar je hebt nu wel genoeg informatie om een goede mening te vormen. Simpel gezegd is de kans dat de communicatie van een gemiddelde Nederlander een keer door de zeef van de inlichtingendiensten gaat groter. Daar staat echter tegenover dat de voorwaarden waaronder diensten dat mogen strenger worden. Je kunt 21 maart stemmen.

Dit artikel verscheen al eerder bij onze collega’s van One More Thing.

Reageer op artikel:
Sleepwet voor dummies: wat je moet weten over het Wiv-referendum
Sluiten