Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Ict'er: let bij referendum Sleepwet op uw zaak

Stapels argumenten om Wet op de Inlichtingen- en Veiligheidsdiensten (WIV 2017) af te serveren

 

Wet en regelgeving

Veel opiniemakers hebben zich uitgesproken tegen de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (WIV 2017). Misschien komt het omdat ik een ict’er ben en de overheid van binnen ken, maar ik mis een paar belangrijke argumenten die ik graag aan mijn vakgenoten wil voorleggen. Bij deze.

We mogen deze week stemmen over een wet waarover ict’ers meer dan de gemiddelde Nederlander een mening zouden moeten hebben. Je zou dus opiniestukken en ingezonden brieven op deze site kunnen verwachten. Het blijft op Computable echter opvallend stil, op wat belanghebbenden na. Op zichzelf is dat begrijpelijk. Echte insiders, de mensen die weten hoe het er bij de AIVD en de MIVD aan toe gaat, mogen er niet over schrijven. Natuurlijk hebben we Edward Snowden, maar de AIVD en de MIVD zijn de NSA niet. Ict’ers die over de modus operandi van de Nederlandse inlichtingendiensten praten zijn dus altijd relatieve buitenstaanders. Toch wil ik hier een poging wagen.

Multi-channel tappen

"Veiligheidsdiensten mogen bij radiografische gegevensoverdracht dingen doen die ze niet mogen bij informatieverkeer via de kabel."

Een hoofdreden om de wet WIV2002 te vervangen door de WIV2017 is om deze technologie-onafhankelijk te maken. De veiligheidsdiensten mogen bij radiografische gegevensoverdracht dingen doen die ze niet mogen bij informatieverkeer via de kabel. Daarvan wil men af en welke ict’er kan dáár nou iets tegenin brengen? De tegenstanders van de Sleepwet die zich daar tegen teweerstellen bevinden zich in een zwakke positie.

Wat mij wel verbaast is dat er niemand lijkt dóór te denken. De basis van onze rechtsbescherming als burger tegen een spionerende overheid ligt in de grondwet, meer in het bijzonder in het briefgeheim. Ik ben geen jurist, maar ergens hebben we de stap gezet om veiligheidsdiensten meer rechten te geven als het gaat om het aftappen van etherverkeer. Als we echt vinden dat het medium er niet toe doet dan is nu het moment om het briefgeheim af te schaffen. De andere logische oplossing is natuurlijk om het klassieke briefgeheim uit de grondwet toe te passen op alle communicatievormen van na de ganzenveer.

Wie tegen de nieuwe wet is zou er dus voor moeten pleiten dat de AIVD ook het recht moet krijgen om alle brievenbussen in de Haagse Schilderswijk te legen en alle post te openen. De gedachte alleen al zou velen ertoe aanzetten om ‘nee’ te stemmen in het referendum. En Thorbecke draait zich nog een keertje om in zijn graf.

Cyberfuik

Een sterk bezwaar tegen extra bevoegdheden om grootschalig data te tappen is dat we bij geslaagde terreurdaden steevast lezen dat de dader al in beeld was bij de veiligheidsdiensten. Het probleem lijkt dat de stap naar het tegengaan van terreurdaden vaak niet wordt gezet. Blijkbaar is gerichte surveillance nog geen effectief middel en het klassieke gleufhoedenwerk is gewoonweg te duur. Grootschalig tappen levert dan per saldo vooral meer vals-positieve signalen op en meer daders die al in beeld waren. Niet minder aanslagen maar meer daders die al in beeld waren bij de veiligheidsdiensten dus. Meer input, maar vermoedelijk niet meer nuttige output, zeg maar.

Ziehier de gangbare redenering van de 'privacygekkies'. En die is sterk. Maar laten we de redenering eens doortrekken. We maken as we speak een explosie door van registraties van persoonsgedrag. Mobiele appjes volgen ons 24x7. Camera’s worden overal opgehangen. Ai-software herkent ons op foto’s en in het wild. De telescreens uit Orwells 1984 komen in de vorm van smart tv's en Alexa’s de huiskamers in. Augmented reality en zelfrijdende auto’s zijn aan de horizon. Alles wat we doen wordt straks waargenomen en vastgelegd in een bonte verzameling servers.

Als dit de toekomst is dan is de Sleepwet onlogisch. Wat je dan wilt is inlichtingendiensten juist meer vergaande bevoegdheden geven om gericht te zoeken. De Mohamed Bouyeri van over tien jaar heeft veel minder kans om de volgende Theo van Gogh te vermoorden als de politie en AIVD straks gericht gebruik maken van e-surveillance in de cyberfuik waarin wij allemaal terechtkomen. Het massaal, ongericht aftappen van onschuldige burgers is dan helemaal disproportioneel geworden.

Regels en toezicht

"Men gaat ervan uit dat overheidsorganen netjes de regels uitvoeren, ook als dat overduidelijk niet zo is."

Ik heb sinds 2009 met pakweg 25 Kamerleden gesproken over ict-wantoestanden. Heel vaak komt dan naar voren dat men ervan uitgaat dat overheidsorganen netjes de regels uitvoeren, ook als dat overduidelijk niet zo is. Vanuit deze houding ontstaat dan het idee dat controle onbelangrijk is. Waar controle wel nodig is wordt steevast gekozen voor een toezichthouder binnen het publieke stelsel, een controle-ambtenarenclub, een 'autoriteit'.

Zowel uit de organisatietheorie als uit de praktijk weten we dat het effect van toezicht zeer beperkt is. Controleurs en gecontroleerden groeien naar elkaar toe. Mensen switchen van baan en rol en krijgen steeds meer begrip voor elkaar. Voorbeelden te over; denk aan de centrale banken in 2008, recent de Commissarissen van de ING Bank en in onze wereld de 'onafhankelijke' ict-toezichthouder, het BIT en de D66 consultancycarrousel rond de met de overheid vervlochten adviesclub PBLQ, waarover recent door Follow the Money werd geschreven. Toezicht binnen een systeem werkt nooit als dat systeem ook wordt gekenmerkt door inteelt.

De voorstanders van de Sleepwet willen ons laten geloven dat er streng toezicht gaat worden gehouden. Er is weinig reden om te geloven dat dit gaat gebeuren en geen reden om te denken dat toezicht ook streng blijft. Als uitvoerende ambtenaren of het management van de AIVD of de MIVD bewust buiten hun boekje gaan, dan moet die toezichthouder dat eerst waarnemen. En bij een geheime dienst is dat bovengemiddeld moeilijk.

Inlichtingendiensten zijn naar hun aard niet te controleren als ze dat niet willen, anders dan door andere inlichtingendiensten. Precies om die reden houden enge landen er meerdere veiligheidsdiensten op die als kerntaak hebben om elkaar te controleren.

Wapperende middelvinders

We weten helaas weinig hoe de veiligheidsdiensten omgaan met data van burgers. Gelukkig zijn er meer zichtbare overheidsorganisaties voor wie het controleren een kerntaak is, zoals de politie en de belastingdienst. Als de veiligheidsdiensten daar ook maar een beetje op lijken moeten we het ergste vrezen.

De politie ziet privacyregels als hinderlijk bij het boeven vangen. 'Privacy, dat regelen we zelf wel' blijkt bij onderzoek het devies. Waar dat als hinderlijk wordt ervaren worden regels gewoon aan de laars gelapt. Volgens onderzoek van privacywaakhond (buiten het systeem, dus echt) Bits of Freedom overtreedt de politie grootschalig en stelselmatig de specifiek voor de politie opgestelde regels voor de omgang met persoonsgegevens - vanouds overigens. Je lees ook wel eens wat over politiemollen (1234, …) want insiders kunnen altijd wel bij de gevoelige informatie komen.

Ook de Belastingdienst gaat steeds verder bij de uitvoering van het incassowerk. Men beschikt daar vanouds over enorm veel gegevens uit allerlei bronnen die echter sterk verkokerd werden gebruikt. Daarna bouwden twee [sic] medewerkers een superwarehouse waarin alle gegevens aan elkaar konden worden gerelateerd. Uitstekend natuurlijk, zeker toen toegang en gebruik werden gelogd. Dat was echter niet hi-tech genoeg en te goedkoop. Naast dit systeem mocht Accenture voor tientallen miljoenen een data-grabbelton neerzetten, maar dan zonder goede toegangscontrole, zonder logging en met een aansluiting voor usb-sticks.  Deze ‘broedkamer’ werd (en wordt) ook verrijkt met allerlei gedragsdata waarop de Belastingdienst de hand kan leggen (via convenanten). Zembla maakte er een ontluisterende uitzending over. Daarna [!] bleken er inderdaad gegevens te zijn gelekt.

Kortom, als de AIVD en de MIVD ook maar een beetje lijken op de politie en de belastingdienst dan is onze privacy serieus in gevaar. En de politiek staat erbij en kijkt ernaar, terwijl de Belastingdienst gewoon lekker doorgaat. Ambtenaren weten dat gegevensbescherming en privacy holle frasen van opportunistische politici zijn en dat ze binnen ruime grenzen de vrije hand hebben.

'Quid pro quo' als leidraad

Ongericht verzamelde gegevens moeten worden omgezet in informatie. Dat dit moeilijk blijkt bespraken we al. Het wordt gemakkelijker als je hulp kunt krijgen van andere partijen die daar beter voor zijn toegerust. Rauwe data laten verwerken door de Amerikaanse bondgenoot met schier ongelimiteerde budgetten is gewoon heel erg aantrekkelijk, zeker voor een AIVD die door de vorige minister een tijd lang kapot is bezuinigd. De kans dat rauwe tapdata nu of later terechtkomen in het buitenland in ruil voor antwoorden op specifieke veiligheidsvragen is reëel.

De zwakte van de veiligheidsdiensten op het gebied van het klassieke, arbeidsintensieve spionage- en infiltratiewerk leidt ook tot risico’s in de relatie tot andere landen. Naar verluidt weten de Turkse en Marokkaanse collega-veiligheidsdiensten veel meer van Nederlanders van Turkse of Marokkaanse komaf dan onze AIVD. Zonder een categorisch verbod op het delen van tapdata met buitenlandse diensten - ook die van bevriende landen - kan het bij toenemende aanslagdreiging gebeuren dat we straks tapinformatie uit de Schilderswijk delen met de Marokkaanse DGST in ruil voor gerichte informatie over Marrokkaans-Nederlandse aanslagplegers. Het is dan fijn als de Nederlandse wet dat expliciet en categorisch verbiedt. Als de wet ongericht tappen als zodanig verbiedt is dat nog veiliger. Ondertussen doet elke kritische Turk of Marokkaan er verstandig aan om tegen de WIV2017 te stemmen.

Tot slot

De vernieuwde Wet op de Inlichtingen- en Veiligheidsdiensten is veel meer dan een upgrade om de stand van de techniek bij te houden. In de nieuwe wet zit impliciet een andere visie vervat op veiligheid en de relatie tussen overheid en burgers. Die visie is dat de overheid in beginsel volledig te vertrouwen is en de overheid zichzelf wel controleert. Tegenover die visie staat het klassieke denken dat geen enkele organisatie en geen enkel individu volledig te vertrouwen is. Een wet die de overheid toestaat - jawel, onder randvoorwaarden - om massaal burgers af te luisteren en die data te delen met buitenlandse machten zou voor de negentiende-eeuwse vaders van onze grondrechten onbestaanbaar zijn. Woensdag 21 maart weten we of we in andere tijden leven.

Voor wie wil filosoferen over onze tijdgeest heb ik nog deze mooie tweet. En voor wie er graag bij lacht is er natuurlijk dat werkelijk briljante item op Zondag met Lubach.

Veel wijsheid in het stemhokje toegewenst.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6322957). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.