Metadata
Privacyorganisatie Bits of Freedom (BoF) is positief kritisch en stelt vijf verbeteringen in de Wiv voor. Een daarvan gaat over de drie artikelen van de ‘sleepwet’. Dit vind ik een onterechte benaming. BoF stelt dat in de Wiv is geregeld dat er ‘bijvoorbeeld ongefilterde communicatie tussen een stad als Utrecht en Syrië wordt onderschept, waarbij telefoongesprekken van onschuldige (!) burgers worden afgeluisterd en e-mailtjes meegelezen’. Nee, providers verstrekken slechts metadata, telefoonnummers en IP-adressen, niet de inhoud van gesprekken of van e-mails!
BoF stelt ook dat de diensten nu meer gegevens mogen binnenhalen dan voorheen. Dat ‘voorheen’ is betrekkelijk: ze mochten sinds 2002 al massaal data via de ether binnenhalen, maar communicatie verloopt meer en meer via kabels. Het verloren terrein mag, ter compensatie, worden aangevuld door interceptie op de kabel.
Loopgravenoorlog
Dit soort gebrek aan kennis valt me op in protesten tegen de Wiv. Ook aan geduld om de Memorie van Toelichting bij de Wiv te lezen en dus aan onderliggend begrip voor deze wet. Gevolg is ondermeer een warboel aan opinies in de media die de discussie vertroebelen. Daarom heeft de overheid de plicht de burgers goed voor te lichten. In ieder geval is de AIVD-site flink uitgebreid. Of de kennis ook daadwerkelijk wordt opgepikt, is twijfelachtig.
Tegenstanders van de Wiv houden pokhouterig vast aan de populistische term ‘sleepwet’ en zijn bang voor ernstige aantasting van hun privacy. Opmerkelijk, vind ik, dat zij wel naïef achter populisten aanlopen.
Zelfs de zondagavondclown Arjen Lubach wist - zonder zelf de invloed van zijn activisme te beseffen – zijn het klapvolk gedwee te bewegen om een referendum te vragen voor een wet waarvan de inhoud hen onbekend is. Hier dreigt een dommige ‘zwartepiet’ discussie, waarbij verschillende stellingen niet worden onderbouwd en naar meningen niet meer wordt geluisterd. Een loopgravenoorlog!
Syrische terroristen
Vóór het jaar 2002 was er helemaal geen wet en moesten de diensten in het geheim, soms met toestemming van de minister vooraf maar nauwelijks controle achteraf, operaties opzetten voor de bestrijding van terrorisme. Bijvoorbeeld in 1975, toen vier Syrische terroristen in Amersfoort een trein met Joden uit Rusland wilden kapen. Na een tip van de Binnenlandse Veiligheidsdienst (BVD) arresteerde de Amsterdamse politie de vier mannen. Hoe werkte dat toen?
Interceptie
Buitenlandse inlichtingendiensten stelden (delen van) telefoonnummers van personen en organisaties ter beschikking aan westerse veiligheidsdiensten – ook aan de BVD - om telefonische contacten tussen terroristen in het Midden-Oosten en West-Europa te kunnen vaststellen. Telefoongesprekken vanuit Nederland naar Syrië kwamen in 1975 nog niet automatisch tot stand. Je moest eerst bellen met de Amsterdamse telefooncentrale. Daar zette PTT (nu KPN) de verbinding op en de metadata ‘wie belt met wie’ kwamen op ponskaarten.
Lange lijsten metadata – dus ook van ‘onschuldige burgers ‘ - werden dagelijks en handmatig door de BVD nagevlooid op eventuele contacten met verdachte telefoonnummers. Onbelangrijke communicatie (ruim 99 procent) werd direct weggegooid, nog geen 1 procent inhoudelijk onderzocht.
Op een dag bleek dat er vanuit een hotel in Amsterdam was gebeld met verdachte contacten in Damascus. Dit spoor leidde uiteindelijk terug naar vier Syrische terroristen in een Amsterdams hotel. Vervolgens werd uit verdere analyse duidelijk dat zij in Nederland (Amersfoort) een trein wilden kapen en wachtte hun in de nacht voor de geplande aanslag arrestatie.
Blijkbaar kon een terreuractie, ook zonder onderzoeksopdracht of aanwijzingen van het kabinet, worden voorkomen. Op eigen initiatief, intelligent bedacht en met vakmanschap uitgevoerd. Strikt genomen is daar (nog steeds) geen opdracht voor nodig.
Onderzoeksopdracht
Nu komt er een nieuwe Wiv 2017. Daardoor mogen AIVD en MIVD minder zelfstandig werken en krijgen meer gecontroleerde opdrachten voor interceptie; moet niet alleen de minister maar ook de Toetsingscommissie Inzet Bevoegdheden (TIB) toestemming geven; en is er ook controle achteraf (CTIVD).
Qua werkwijze is inhoudelijk weinig, maar procedureel juridisch veel veranderd. Ook nu wordt bij een doelgerichte opdracht (onderzoek cyberaanvallen) in stap 1 gekeken of al metadata bekend zijn of nog moeten worden binnengehaald (bulkinterceptie). Metadata zijn stukjes van een puzzel.
Bij de tweede stap (ook hiervoor is apart toestemming nodig) wordt er geanalyseerd welke stukjes van de puzzel ontbreken: het compleet maken van lokalisering en communicatie van concrete doelwitten, spionnen en/of terroristen. de bewegingen van verdachten volgen en hun contacten. Kloppen deze gegevens misschien met al bestaande informatie?
Niet meer met de hand maar met de computer. Op zoek naar patronen, net zoals overigens Google doet bij iedere klant aan de hand van IP-nummers en vaak namen, of Bellingcat voor specifiek onderzoek met namen en rugnummers en openbaarmaking.
Zodra de puzzel duidelijker wordt, bestaat de kans te weten waar de dreiging vandaan komt, maar nog niet precies ‘hoe groot het gevaar is’. Meer AIVD- of MIVD-onderzoek is nodig en na opnieuw toestemming gaat het onderzoek verder, wellicht met het aftappen van verbindingen van verdachten op zoek naar de inhoud.
Zijn er uiteindelijk aanwijzingen van een concrete dreiging dan kan er een brief naar het Openbaar Ministerie met conclusies en aanbevelingen. Dan is het werk voor de AIVD in principe gedaan en moet het OM zelfstandig bewijs gaan verzamelen.
Conclusie
Wanneer het ‘analoge’ werk van de BVD van de vorige eeuw wordt afgezet tegen het ‘digitale’ van de AIVD anno 2018, is duidelijk dat nu wel wettelijk is vastgelegd wat de diensten vóór 2002 in het geheim op eigen houtje deden. Deze verbetering geldt niet alleen voor de toestemming vooraf en controle achteraf, de wet beschrijft ook een zichtbare bescherming (klachtenregeling) van de privacy.
Wanneer het besef doordringt dat de controle beter is geregeld dan in ons omringende landen, is eveneens duidelijk dat tegenstanders van de verfoeide ‘sleepwet’ eigenlijk heel tevreden mogen zijn. Er is nogal wat verbeterd!
Maar laten we deze wet over twee jaar wel goed evalueren; transparantie is, tot op zekere hoogte, in ieders belang in het kader van noodzakelijk vertrouwen dat de diensten voor ons goed werk verrichten, en binnen de wet.