Veel opiniemakers hebben zich uitgesproken tegen de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (WIV 2017). Misschien komt het omdat ik een ict’er ben en de overheid van binnen ken, maar ik mis een paar belangrijke argumenten die ik graag aan mijn vakgenoten wil voorleggen. Bij deze.
We mogen deze week stemmen over een wet waarover ict’ers meer dan de gemiddelde Nederlander een mening zouden moeten hebben. Je zou dus opiniestukken en ingezonden brieven op deze site kunnen verwachten. Het blijft op Computable echter opvallend stil, op wat belanghebbenden na. Op zichzelf is dat begrijpelijk. Echte insiders, de mensen die weten hoe het er bij de AIVD en de MIVD aan toe gaat, mogen er niet over schrijven. Natuurlijk hebben we Edward Snowden, maar de AIVD en de MIVD zijn de NSA niet. Ict’ers die over de modus operandi van de Nederlandse inlichtingendiensten praten zijn dus altijd relatieve buitenstaanders. Toch wil ik hier een poging wagen.
Multi-channel tappen
Een hoofdreden om de wet WIV2002 te vervangen door de WIV2017 is om deze technologie-onafhankelijk te maken. De veiligheidsdiensten mogen bij radiografische gegevensoverdracht dingen doen die ze niet mogen bij informatieverkeer via de kabel. Daarvan wil men af en welke ict’er kan dáár nou iets tegenin brengen? De tegenstanders van de Sleepwet die zich daar tegen teweerstellen bevinden zich in een zwakke positie.
Wat mij wel verbaast is dat er niemand lijkt dóór te denken. De basis van onze rechtsbescherming als burger tegen een spionerende overheid ligt in de grondwet, meer in het bijzonder in het briefgeheim. Ik ben geen jurist, maar ergens hebben we de stap gezet om veiligheidsdiensten meer rechten te geven als het gaat om het aftappen van etherverkeer. Als we echt vinden dat het medium er niet toe doet dan is nu het moment om het briefgeheim af te schaffen. De andere logische oplossing is natuurlijk om het klassieke briefgeheim uit de grondwet toe te passen op alle communicatievormen van na de ganzenveer.
Wie tegen de nieuwe wet is zou er dus voor moeten pleiten dat de AIVD ook het recht moet krijgen om alle brievenbussen in de Haagse Schilderswijk te legen en alle post te openen. De gedachte alleen al zou velen ertoe aanzetten om ‘nee’ te stemmen in het referendum. En Thorbecke draait zich nog een keertje om in zijn graf.
Cyberfuik
Een sterk bezwaar tegen extra bevoegdheden om grootschalig data te tappen is dat we bij geslaagde terreurdaden steevast lezen dat de dader al in beeld was bij de veiligheidsdiensten. Het probleem lijkt dat de stap naar het tegengaan van terreurdaden vaak niet wordt gezet. Blijkbaar is gerichte surveillance nog geen effectief middel en het klassieke gleufhoedenwerk is gewoonweg te duur. Grootschalig tappen levert dan per saldo vooral meer vals-positieve signalen op en meer daders die al in beeld waren. Niet minder aanslagen maar meer daders die al in beeld waren bij de veiligheidsdiensten dus. Meer input, maar vermoedelijk niet meer nuttige output, zeg maar.
Ziehier de gangbare redenering van de ‘privacygekkies’. En die is sterk. Maar laten we de redenering eens doortrekken. We maken as we speak een explosie door van registraties van persoonsgedrag. Mobiele appjes volgen ons 24×7. Camera’s worden overal opgehangen. Ai-software herkent ons op foto’s en in het wild. De telescreens uit Orwells 1984 komen in de vorm van smart tv’s en Alexa’s de huiskamers in. Augmented reality en zelfrijdende auto’s zijn aan de horizon. Alles wat we doen wordt straks waargenomen en vastgelegd in een bonte verzameling servers.
Als dit de toekomst is dan is de Sleepwet onlogisch. Wat je dan wilt is inlichtingendiensten juist meer vergaande bevoegdheden geven om gericht te zoeken. De Mohamed Bouyeri van over tien jaar heeft veel minder kans om de volgende Theo van Gogh te vermoorden als de politie en AIVD straks gericht gebruik maken van e-surveillance in de cyberfuik waarin wij allemaal terechtkomen. Het massaal, ongericht aftappen van onschuldige burgers is dan helemaal disproportioneel geworden.
Regels en toezicht
Ik heb sinds 2009 met pakweg 25 Kamerleden gesproken over ict-wantoestanden. Heel vaak komt dan naar voren dat men ervan uitgaat dat overheidsorganen netjes de regels uitvoeren, ook als dat overduidelijk niet zo is. Vanuit deze houding ontstaat dan het idee dat controle onbelangrijk is. Waar controle wel nodig is wordt steevast gekozen voor een toezichthouder binnen het publieke stelsel, een controle-ambtenarenclub, een ‘autoriteit’.
Zowel uit de organisatietheorie als uit de praktijk weten we dat het effect van toezicht zeer beperkt is. Controleurs en gecontroleerden groeien naar elkaar toe. Mensen switchen van baan en rol en krijgen steeds meer begrip voor elkaar. Voorbeelden te over; denk aan de centrale banken in 2008, recent de Commissarissen van de ING Bank en in onze wereld de ‘onafhankelijke’ ict-toezichthouder, het BIT en de D66 consultancycarrousel rond de met de overheid vervlochten adviesclub PBLQ, waarover recent door Follow the Money werd geschreven. Toezicht binnen een systeem werkt nooit als dat systeem ook wordt gekenmerkt door inteelt.
De voorstanders van de Sleepwet willen ons laten geloven dat er streng toezicht gaat worden gehouden. Er is weinig reden om te geloven dat dit gaat gebeuren en geen reden om te denken dat toezicht ook streng blijft. Als uitvoerende ambtenaren of het management van de AIVD of de MIVD bewust buiten hun boekje gaan, dan moet die toezichthouder dat eerst waarnemen. En bij een geheime dienst is dat bovengemiddeld moeilijk.
Inlichtingendiensten zijn naar hun aard niet te controleren als ze dat niet willen, anders dan door andere inlichtingendiensten. Precies om die reden houden enge landen er meerdere veiligheidsdiensten op die als kerntaak hebben om elkaar te controleren.
Wapperende middelvinders
We weten helaas weinig hoe de veiligheidsdiensten omgaan met data van burgers. Gelukkig zijn er meer zichtbare overheidsorganisaties voor wie het controleren een kerntaak is, zoals de politie en de belastingdienst. Als de veiligheidsdiensten daar ook maar een beetje op lijken moeten we het ergste vrezen.
De politie ziet privacyregels als hinderlijk bij het boeven vangen. ‘Privacy, dat regelen we zelf wel’ blijkt bij onderzoek het devies. Waar dat als hinderlijk wordt ervaren worden regels gewoon aan de laars gelapt. Volgens onderzoek van privacywaakhond (buiten het systeem, dus echt) Bits of Freedom overtreedt de politie grootschalig en stelselmatig de specifiek voor de politie opgestelde regels voor de omgang met persoonsgegevens – vanouds overigens. Je lees ook wel eens wat over politiemollen (1, 2, 3, 4, …) want insiders kunnen altijd wel bij de gevoelige informatie komen.
Ook de Belastingdienst gaat steeds verder bij de uitvoering van het incassowerk. Men beschikt daar vanouds over enorm veel gegevens uit allerlei bronnen die echter sterk verkokerd werden gebruikt. Daarna bouwden twee [sic] medewerkers een superwarehouse waarin alle gegevens aan elkaar konden worden gerelateerd. Uitstekend natuurlijk, zeker toen toegang en gebruik werden gelogd. Dat was echter niet hi-tech genoeg en te goedkoop. Naast dit systeem mocht Accenture voor tientallen miljoenen een data-grabbelton neerzetten, maar dan zonder goede toegangscontrole, zonder logging en met een aansluiting voor usb-sticks. Deze ‘broedkamer’ werd (en wordt) ook verrijkt met allerlei gedragsdata waarop de Belastingdienst de hand kan leggen (via convenanten). Zembla maakte er een ontluisterende uitzending over. Daarna [!] bleken er inderdaad gegevens te zijn gelekt.
Kortom, als de AIVD en de MIVD ook maar een beetje lijken op de politie en de belastingdienst dan is onze privacy serieus in gevaar. En de politiek staat erbij en kijkt ernaar, terwijl de Belastingdienst gewoon lekker doorgaat. Ambtenaren weten dat gegevensbescherming en privacy holle frasen van opportunistische politici zijn en dat ze binnen ruime grenzen de vrije hand hebben.
‘Quid pro quo’ als leidraad
Ongericht verzamelde gegevens moeten worden omgezet in informatie. Dat dit moeilijk blijkt bespraken we al. Het wordt gemakkelijker als je hulp kunt krijgen van andere partijen die daar beter voor zijn toegerust. Rauwe data laten verwerken door de Amerikaanse bondgenoot met schier ongelimiteerde budgetten is gewoon heel erg aantrekkelijk, zeker voor een AIVD die door de vorige minister een tijd lang kapot is bezuinigd. De kans dat rauwe tapdata nu of later terechtkomen in het buitenland in ruil voor antwoorden op specifieke veiligheidsvragen is reëel.
De zwakte van de veiligheidsdiensten op het gebied van het klassieke, arbeidsintensieve spionage- en infiltratiewerk leidt ook tot risico’s in de relatie tot andere landen. Naar verluidt weten de Turkse en Marokkaanse collega-veiligheidsdiensten veel meer van Nederlanders van Turkse of Marokkaanse komaf dan onze AIVD. Zonder een categorisch verbod op het delen van tapdata met buitenlandse diensten – ook die van bevriende landen – kan het bij toenemende aanslagdreiging gebeuren dat we straks tapinformatie uit de Schilderswijk delen met de Marokkaanse DGST in ruil voor gerichte informatie over Marrokkaans-Nederlandse aanslagplegers. Het is dan fijn als de Nederlandse wet dat expliciet en categorisch verbiedt. Als de wet ongericht tappen als zodanig verbiedt is dat nog veiliger. Ondertussen doet elke kritische Turk of Marokkaan er verstandig aan om tegen de WIV2017 te stemmen.
Tot slot
De vernieuwde Wet op de Inlichtingen- en Veiligheidsdiensten is veel meer dan een upgrade om de stand van de techniek bij te houden. In de nieuwe wet zit impliciet een andere visie vervat op veiligheid en de relatie tussen overheid en burgers. Die visie is dat de overheid in beginsel volledig te vertrouwen is en de overheid zichzelf wel controleert. Tegenover die visie staat het klassieke denken dat geen enkele organisatie en geen enkel individu volledig te vertrouwen is. Een wet die de overheid toestaat – jawel, onder randvoorwaarden – om massaal burgers af te luisteren en die data te delen met buitenlandse machten zou voor de negentiende-eeuwse vaders van onze grondrechten onbestaanbaar zijn. Woensdag 21 maart weten we of we in andere tijden leven.
Voor wie wil filosoferen over onze tijdgeest heb ik nog deze mooie tweet. En voor wie er graag bij lacht is er natuurlijk dat werkelijk briljante item op Zondag met Lubach.
Veel wijsheid in het stemhokje toegewenst.
Politiek en techniek gaan niet samen.
Helemaal eens met bovenstaand stuk maar toch het idee dat politiek niet luistert (what’s new).
En de mensen die dondersgoed weten wat ze voor elkaar proberen te krijgen houden zich verdacht stil.
Dit gaat echt vreselijk de verkeerde kant op!
René, wat je niet in je verhaal hebt meegenomen is dat de diverse diensten, qua organisatie, bemensing, techniek, beleid, wettelijke bevoegdheden, enz., vaak niet van elkaar te scheiden zijn. Een politiefunctionaris kan bijvoorbeeld lid zijn van meerdere organisaties. De lijntjes van de ICT-infrastructuur loopt vaak anders dan je zou denken. Er wordt ook steeds weer met mensen geschoven uit operationele bewegingen of vanwege bezuinigingsbehoefte. De naam van de dienst (team, afdeling) geeft vaak niet weer wat hun status is en waar het om gaat. En de naam wisselt ook regelmatig (zelfs als er verder niks wezenlijks verandert).
De betrouwbaarheid en dus de controle is het heikele punt. Mijn vader had het vaak over de 50, 5, 0,5 % regel. 50% van de mensen is bereid vanuit hun functie een niet legale vriendendienst te leveren, 5 % gaat daarbij zover dat een disciplinaire reactie daarop onvoldoende is. Maar 0,5 % is bereid verder te gaan dan de gemiddelde crimineel in de gevangenis. De controle op collega’s/organisaties, is in de werkelijkheid vaak slechter geregeld dan op papier. Het gaat vaak fout. Daarbij gaat het niet alleen om mensen die ten onrechte op zwarte lijsten zijn gezet en in de loop der jaren heel veel inkomsten en werkplezier ontzegd zijn. Het gaat ook om gigablunders zoals rond de Pakistaanse atoomgeleerde Abdul Qadir Khan, die veel meer petten op had dan inlichtingendiensten van allerlei landen kenden.
Minder middelen is ook geen oplossing. Er zijn aardig wat gevallen bekend waarbij zeer zware criminelen, spionnen en terroristen hun gang konden gaan omdat vanwege de beperkte middelen. Als er sprake is van een single source, dan kan je deze vaak niet gebruiken. Dan moet men die bron beschermen, tenzij de onmiddellijke belangen te groot zijn. Een ander voorbeeld; men kan gegevens hebben die nog door een mens bekeken moeten worden. Gebeurt dit niet op tijd, dan kunnen er doden vallen door bijvoorbeeld liquidaties. Waar de meeste inlichtingencapaciteit voor nodig is, dat zijn de activiteiten van inlichtingendiensten van andere landen, die van multinationals en radicale partijen (denk aan Facebook-gate). Dat is zo evident, dat de inlichtingendiensten daar het liefst over zwijgen.
Ik ben benieuwd welke verbeteringen er in de Wet op de Inlichtingen- en Veiligheidsdiensten gaan komen en vooral hoe de uitvoering in de praktijk zal gaan.
Inderdaad heel wonderlijk dat op de Computable site eigenlijk niets te lezen viel over de Sleepwet en het referendum. Viel me op bij meer computersites. In de media zijn de goede en begrijpelijke stukken op 1 hand te tellen. Zegt misschien ook iets over de complexiteit. Vind het ook heel moeilijk en lastig om erover te oordelen en het gaat vaak boven het petje.
Wat me het meest tegenstaat aan de Sleepwet zoals ik hem lees is het kunnen doorsluizen van een ongecheckte datavangst naar andere mogendheden, het toestaan van het hacken onschuldige omstanders voor het goede doel en het aanleggen van een DNA database. Dat zijn zomaar een paar dingen waarvan ik denk: is dat verstandig en moet dat nou? Ook al weet je, het is internet, dat kent geen grenzen. Wie kwaad wil van waar dan ook, die kan dat. En anders vraag je het aan Facebook.
Als het voor de burger al lastig is, hoe is de tweede kamer dan tot een oordeel gekomen? Hebben die alles begrepen? En als dat zo is, waarom houden politieke partijen dan hun mond en zijn het niet meer dan een paar jongerenafdelingen die zich roeren? Dit en het vorige is voor mij de reden om nee te stemmen. Net zoals bij het vorige referendum over de Oekraine duiken de politieke partijen en ontwijken de discussie. Een doffe ergernis. Was het niet: pas toe, leg uit? Doe dat dan en terug naar de tekentafel.
Wat Veldwijk beschrijft, we laten één groot digitaal spoor met data op allerlei gebied. Als schending van privacy ook het verzamelen van ‘persoonlijke’ data betekent dan is die privacy een gepasseerd station.
Ik denk dat schending van privacy pas echt aan de orde wanneer die data wordt gecombineerd, conclusies worden getrokken en dit gevolgen heeft voor je persoonlijk leven. Vandaag weer een pak sigaretten en een fles drank gekocht? U weet wat dat betekent! U kost meer dan u opbrengt. Wat dacht u ervan? Ik wacht op de dag dat men vanuit De Controlekamer met 1 druk op de knop een burger kan volgen. Dan is de privacy in het geding. Wat dat betreft was het programma over China ontluisterend. Een overheid die toegang heeft over alle data en burgers classificeert naar hun digitaal gemeten gedrag. Meten is weten, je ziet het hier ook al langzaam doorsijpelen bij bedrijven en in sommige beroepen. Controleren en monitoren van werknemers. Dat is ook privacy schending.
René Veldwijk heeft hier veel geschreven over de grote ICT projecten bij de overheid en het mislopen daarvan. Dat geeft de burger moed in deze discussie, als het slepen en spioneren met dezelfde voortvarendheid wordt aangepakt dan hoef je je geen zorgen te maken.
Hoop toch dat het Nee-kamp wint en dat alsnog op een goede en begrijpelijke discussie uitloopt. Al vrees ik het ergste.
Je kunt voor- en tegenargumenten afwegen tot je groen en geel voor de ogen ziet, maar bedenk dat het ‘slechts’ een *raadgevend* referendum is. En bedenk dat de Sleepwet grotendeels een codificatie is van hetgeen reeds gebeurt.
Lees ‘Sleepwet: de privacy-kaasschaaf’ even op http://sargasso.nl/de-privacy-kaasschaaf/ en klik ook even het eerste linkje.
Chinees model of raadgevende refenda ?
@PJWesterhof Maar dat maakt het toch niet minder waardevol? Juist goed dat een raadgevend referendum is, het geeft in ieder geval discussie in plaats van dat het met stille trom ingevoerd wordt. Snap daarom ook niet dat regerering dat referendum perse weg wilde hebben. Oekraine referendum was toch ook raadgevend? Nou, daar kreeg het kabinet vlekken van in de nek.
Leuk artikel in de sargasso, ik vind het een glijdende schaal. Maar ik had even gemakkelijk kunnen zeggen, de overheid weet waar de auto is, maar ook de telefoonprovider weet waar je mobiel is. Op een of andere manier accepteren we meer van bedrijven (en criminelen…) dan van onze eigen overheid. Een overweging die met doet twijfelen deze morgen.
Maar goed dat ook in dat artikel het verzamelen van DNA wordt genoemd. Onlangs een paspoort aangevraagd, je levert een pasfoto in, die wordt ingescand en een paar weken later heb je een paspoort. Maar wat zou er met die ingescande gebeuren? In De Grote Database?