Voor het referendum zullen uiterlijk op 16 oktober aanstaande 300.000 handtekeningen nodig zijn. Met de nodige propaganda lijken die gehaald te worden. Voorstanders van het referendum noemen de nieuwe wet steevast de ‘sleepwet’, afgeleid van de term ‘sleepnet’ die privacy-activisten doorgaans gebruiken voor de ongerichte toegang tot kabelverkeer - het nieuwe onderdeel van de wet waartegen veruit de meeste weerstand bestaat. Amnesty International schreef zelfs dat hierdoor ‘ongekende massasurveillance’ zou dreigen.

De vrees is dat via de ongerichte kabeltoegang massaal communicatie van iedereen afgeluisterd zou kunnen worden, ook van niet verdachte burgers. Als voorbeeld wordt ook telkens genoemd dat een hele wijk afgeluisterd mag worden wanneer er een verdacht persoon woont. Deze data zouden dan ook nog eens met buitenlandse diensten gedeeld mogen worden, zonder eerst geanalyseerd te zijn.

Deze bezwaren geven weinig blijk van inzicht in de materie en zijn dus feitelijk bangmakerij. Om te beginnen is de term ‘afluisteren’ al niet op z'n plaats: in veruit de meeste gevallen zal het gaan om internetcommunicatie die wordt onderschept, gefilterd en geanalyseerd. Het daadwerkelijk beluisteren van telefoongesprekken gebeurt alleen bij een gerichte tap en kost vaak zoveel tijd dat het alleen wordt gedaan als het echt nodig is.

De wet verbiedt onbeperkte massasurveillance

Ook van het onderscheppen van de ‘communicatie van iedereen’ of van ‘jouw data’ zal geen sprake zijn. De wet staat dit gewoonweg niet toe: de AIVD mag namelijk alleen onderzoek doen naar organisaties en personen die een gevaar kunnen vormen voor de democratische rechtsorde en de veiligheid of andere gewichtige belangen van de staat, alsmede naar bepaalde onderwerpen met betrekking tot andere landen.

In concreto komt dat neer op terrorisme en radicalisering, gewelddadig extremisme, verspreiding van massavernietigingswapens, (cyber)spionage vanuit het buitenland, het achterhalen van de werkelijke intenties van andere landen en de beveiliging van vitale bedrijven, overheidspersonen en staatsgeheimen. Al met al behoorlijk specifieke aandachtsgebieden waar maar heel weinig gewone burgers mee te maken hebben.

Voorts bepaalt de wet dat de AIVD de ongerichte toegang tot de kabel alleen mag inzetten als aan de volgende criteria is voldaan:
- Noodzakelijkheid (de bevoegdheid is nodig voor de wettelijke inlichtingen- of veiligheidstaak)
- Proportionaliteit (de bevoegdheid moet in verhouding staan tot het te bereiken doel)
- Subsidiariteit (een bepaalde bevoegdheid mag alleen worden ingezet als het doel niet met minder zware middelen bereikt kan worden)

Het beperkte aantal taakgebieden van de AIVD in combinatie met deze drie criteria maken dat het zo goed als uitgesloten is dat er op legale wijze ‘massasurveillance’ zal kunnen plaatsvinden. Daar hoeft de nieuwe wet dus niet voor aangepast of afgewezen te worden.


Geen ‘hele wijk’ afgetapt

Een en ander neemt niet weg dat via de ongerichte kabeltoegang, of zoals het officieel heet: OnderzoeksOpdrachtGerichte (OOG) interceptie, op grotere schaal data verzameld zullen worden dan middels de bestaande gerichte telefoon- en internettaps. Minister Plasterk gaf tijdens het Kamerdebat ook toe dat deze bevoegdheid inhoudt dat op grote schaal en systematisch data zullen worden verzameld.

De vraag is dus hoe groot die schaal in de praktijk zal zijn. Om te beginnen zal geen ‘hele wijk worden afgeluisterd wanneer er een verdacht persoon woont’ - die verdachte persoon kan dan immers gewoon onder een gerichte tap worden geplaatst. Hooguit kan het nuttig zijn om een internetcafé of een wifi-hotspot in de buurt af te tappen als die verdachte persoon op die manier anoniem van het internet gebruik wil maken.

Dan het telkens weer genoemde voorbeeld van het aftappen van een hele wijk, of zelfs van een hele stad. Zowel in schriftelijke antwoorden aan de Tweede Kamer als mondeling tijdens het kamerdebat sloot minister Plasterk dit uitdrukkelijk uit. Afgezien van dat het niet aan de wettelijke vereisten van proportionaliteit en subsidiariteit zal voldoen, is het namelijk ook technisch gezien nauwelijks haalbaar.

Vroeger, toen alles nog via de telefoonlijnen van het staatsbedrijf der PTT liep, zou men inderdaad een buurt- of wijkcentrale hebben kunnen aftappen, maar tegenwoordig is er geen centraal punt meer waar alle communicatie van een wijk of stad doorheen loopt. Zo gaan mobiele telefonie en mobiel internet via de netwerken van KPN, T-Mobile en Vodafone en kan vast internet ook nog via Ziggo gaan.

Zou de AIVD een bepaalde wijk of zelfs een hele stad willen aftappen, dan zouden dus tappunten op al deze vier netwerken geplaatst moeten worden - netwerken met een zeer complexe en snel veranderlijke structuur waar dagdagelijks enorme hoeveelheden data overheen gaan. Dit zal dus niet gauw een aantrekkelijke en efficiënte optie zijn.

Hoe het wel werkt

Hoe zal de ongerichte kabeltoegang dan wel worden ingezet? De regering heeft als voorbeelden genoemd het toegang verkrijgen tot een applicatie die door en voor jihadisten is gebouwd, of de interceptie van een datastroom tussen Nederland en de Syrische stad Raqqa, zodat ‘op basis van technische kenmerken de communicatie behorend bij persoon A door middel van selectie uit de datastroom kan worden gefilterd’.

De AIVD zal dus waarschijnlijk, in overleg met de telecom- en internetproviders, kijken over welke glasvezelkanalen datastromen lopen die genoeg informatie kunnen opleveren voor een van de eerder genoemde taken van de dienst. Vervolgens wordt een negatieve filtering toegepast, waarbij alle niet-relevante datastromen, zoals van Netflix, Youtube en veel browserverkeer, worden weggegooid.

Van wat daarna overblijft worden de metadata bewaard, waarmee bijvoorbeeld door middel van ‘contact-chaining’ kan worden gezocht naar welke nog onbekende telefoonnummers in contact staan met een reeds bekend nummer. Op die manier kan een terroristisch netwerk in kaart gebracht worden. Deze metadata mogen drie jaar bewaard blijven, en kunnen in bulk met buitenlandse diensten gedeeld worden, maar waar mogelijk zullen Nederlandse data hier uit worden gefilterd.

Volgens een rapport van de toezichtscommissie worden met name metadata met betrekking tot militaire missies en de inhoud van jihadistische webfora met buitenlandse diensten gedeeld. Dus niet de inhoud van een telefoongesprek met je tante, zoals ergens te lezen viel.

Na de negatieve filtering worden op de onderschepte datastroom positieve filters toegepast, dat wil zeggen dat via samengestelde filters wordt bepaald welke inhoud bewaard moet blijven. Een voorbeeld dat de regering noemt: ‘verwijder alle spraakverkeer afkomstig van een satelliet, behalve vanuit een bepaald gebied.’ De data worden dus zo gericht mogelijk gereduceerd tot wat van nut kan zijn voor het onderzoek van de dienst. Het resultaat hiervan mag dan 3 jaar bewaard worden.

Na deze stappen is er dus een hoeveelheid data opgeslagen, maar die is nog steeds niet door iemand bekeken, gelezen of beluisterd. Dat gebeurt pas na een laatste stap, namelijk wanneer bepaalde content uit de opgeslagen dataset wordt gehaald om nader geanalyseerd te worden. Deze content wordt eruit gepikt aan de hand concrete e-mailadressen of telefoonnummers die bijvoorbeeld bij de metadata-analyse naar voren zijn gekomen.

Ongerichte versus gerichte interceptie

We zien dus dat er via de ongerichte kabeltoegang, oftewel het ‘sleepnet’, een brede hoeveelheid data wordt binnengehaald, maar dat deze als het ware via een trechter van filters wordt teruggebracht tot datgene wat het meest relevant is. Wat analisten uiteindelijk daadwerkelijk zullen bekijken wordt er in wezen net zo gericht uitgehaald als hoe dat met een gerichte tap gebeurt. Zodra wordt vastgesteld dat bepaalde data niet relevant zijn, moeten deze terstond worden vernietigd.

Het verschil tussen een klassieke gerichte tap en deze nieuwe ongerichte interceptie is dus dat er een extra hoeveelheid metadata en content wordt opgeslagen, die niet direct geselecteerd en bekeken wordt. Wordt daar binnen de bewaartermijn van drie jaar niet alsnog gebruik van gemaakt, dan worden deze data weer vernietigd.

Het is dus duidelijk niet zo dat onder de nieuwe wet ‘iedereen gevolgd’ gaat worden, al kan men wel terecht bezwaar hebben tegen dat de data drie jaar lang bewaard worden. Privacyvriendelijker zou zijn om de data slechts in een ‘rolling buffer’ van enkele dagen beschikbaar te maken, net zoals in het door Snowden - ten onrechte - verdacht gemaakte systeem XKeyscore van de NSA gebeurt.

Tenslotte werd na de vele kritiek op het eerste ontwerp van de nieuwe wet nog een extra waarborg voor de ongerichte interceptie ingevoerd. Deze houdt in dat de minister in drie fases toestemming moet geven voor de toepassing van deze bevoegdheid. Hoe dat in de praktijk zal uitpakken is echter nog de vraag, aangezien de fases in de wet niet helemaal synchroon lopen met het hiervoor beschreven proces en mede daarom wellicht simpelweg met één ‘combinatielast’ zullen worden afgedaan.

Er valt dus zeker nog wel het een en ander aan te merken op de nieuwe bevoegdheid tot ongerichte kabeltoegang, maar concrete verbeteringen kunnen er alleen komen als we weten hoe dit behoorlijk ingewikkelde systeem in elkaar zit.

Mensen bang maken met mythes van dat iedereen gevolgd en in de gaten gehouden gaat worden brengt ons daarbij niet veel verder.