Ik wacht even af. De bal ligt nu bij degenen die wilden gaan procederen. Die hebben een moeilijke tactische keuze om te kijken of er in het parlement nog iets valt te onderhandelen over de inhoud van de wijzigingswet en kijken hoe het nieuwe toezichtsysteem in de praktijk gaat werken of procederen met het vooruitzicht dat de zaak op zijn best pas over vijf jaar bij een Europese rechter ligt.

Die wijzigingen zijn cosmetisch. Een "toets op het democratisch gehalte van de staat in kwestie" lost niet het probleem op dat de gegevens dus wel naar de VS gaan, waar allerlei dingen die wij normaal vinden, ongewoon of zelfs strafbaar zijn. Donald Trump heeft gegevens laten opvragen van bezoekers van een anti-Trump web site, en het feit dat ik die site heb bezocht kan dus tegen mij worden gebruikt als ik later dit jaar naar de VS reis.

Ik denk niet dat de terabytes aan gegevens die ze gaan tappen allemaal in detail bekeken gaan worden, dus hoe weten ze wie journalisten en bronnen zijn, en hoe weten ze of de informatie nog nodig is? Ik woon in Amsterdam Nieuw-West, de thuisbasis van de Mocro-Mafia, ik kan er dus zeker van zijn dat al mijn internetverkeer permanent gaat worden afgeluisterd. Terwijl ik nergens van wordt verdacht. Dat is in strijd met onze rechtsstaat.

De aanpassingen zijn dus niet substantieel noch afdoende. Ze zouden strikte regels moeten stellen voor wat wel en niet mag worden afgeluisterd. Bijvoorbeeld, als er een café of moskee is waarvan vermoed wordt of waarvan men weet dat het een verzamelplaats is van potentiële terroristen, dan mag je van dat café c.q. die moskee alle internetverkeer tappen.
Mensen die daar komen nemen immers zelf dat risico. Maar als mijn buurman een potentiële terrorist is, is dat geen reden mijn internetverkeer af te luisteren. Ons huizenblok mag je dus niet als geheel afluisteren. Dat zou een belangrijk bezwaar van het "sleep" gedeelte van de wet wegnemen.

Overigens vind ik dat de inlichtingendiensten helemaal niet moeten afluisteren, maar daarin zal ik wel alleen staan. Ik heb jarenlang gewerkt voor het Meldpunt Kinderporno, samengewerkt met de politie, en ik weet uit ervaring dat er voor opsporing, zowel voor de politie als voor inlichtingendiensten, allerlei middelen beschikbaar zijn die effectiever zijn dan in het wilde weg iedereen afluisteren.

Zoals bekend ging de Wiv qua bevoegdheden voor de diensten mij niet ver genoeg en ben ik tegen allerlei nieuwe bureaucratische obstakels die het zoekwerk vertragen en duurder maken. En daardoor minder efficiënt en dus beperkend zijn voor wat betreft aantallen onderzoeken die je kunt verwerken. Voor wat betreft de aangegeven punten:

OOG: Willekeurig is onjuiste omschrijving van de activiteiten. Gericht zoeken kan organisaties, personen en activiteiten betekenen.

Uitwisseling met buitenland: Wie bepaalt welk land democratisch genoeg is? Als uit een niet democratisch land informatie komt over een aanslag doen we dan onze vingers in de oren? Inlichtingenmensen zouden als vakmensen moeten worden vertrouwd dat er eerst wordt nagedacht alvorens van gegevens wordt gewisseld. Ben benieuwd of er nu ook meerdere Navo-landen buiten de boot vallen.

Bewaartermijn naar drie keer 1 jaar: Top, weer een administratieve procedure die overbodig is. Immers hoe gedateerder de informatie, hoe kleiner de relevantie wordt. Wie gaat beoordelen wat relevant is? Ik zou inlichtingen mensen dat laten doen, maar misschien dat beginnen studenten dit beter zouden kunnen (als ze de hele wet een keer lezen)

Journalisten extra sparen: Volstrekt belachelijk, journalisten nemen een bijzonder positie in die wordt gerespecteerd. Maar een status aparte voor een vak waarin iedereen zich journalist kan noemen? Wordt er binnen de journalistiek a la Wiv omgegaan met de informatie van "bronnen", of gaat u mij vertellen dat daar geen toezicht op wordt gehouden? Het wordt tijd dat journalisme een professie worden onderzoeksjournalisten zelfs extra papieren zouden moeten hebben (hetgeen ook bij WOB-verzoeken zou helpen).

Wat mij betreft had de evaluatieperiode van twee jaar voldoende geweest om vast te stellen wat zinvol, haalbaar is en of de wet wel nut heeft met te veel beperkingen. Tot nu toe mogen de diensten dus nog niet conform de Wiv 2017 opereren en weten tegenstanders van ons land waar ze voorshands hun goddelijke gang kunnen gaan. Mocht er ooit een aanslag in Nederland plaatsvinden en aantoonbaar dankzij de opgelegde beperkingen niet kon worden voorkomen, hoop dat ik alle theoretici die daarvoor hebben gezocht zich voor de rechter zullen verantwoorden.

De voorgestelde aanpassingen zijn concreet en verbeteringen. Dat er nu restrictiever wordt gekeken naar welke landen de inlichtingendiensten gevoelige data over bijvoorbeeld Nederlandse burgers mogen uitleveren, is een goede stap. De vraag is hoe publiek dat debat wordt gevoerd. Leveren wij gegevens bijvoorbeeld aan de VS uit? Maar een van de grootste pijnpunten blijft overeind: men mag data naar andere landen sturen zonder dat dit gefilterd of onderzocht wordt. Het blijft vreemd dat dit nog altijd overeind blijft. Want waarom gegevens over Nederlandse burgers naar andere landen sturen zonder te weten of het nuttig is.

Het laatste punt blijft ongelukkig. Andere landen leveren namelijk niet zomaar informatie over eigen burgers uit. Wij lijken hiermee meer te leveren dan andere landen ons aan informatie gunnen. Ook blijft onduidelijk hoe wordt voorkomen dat gesleepte data niet worden ingezet voor economische spionage. In Nederland is dat verboden, maar in het buitenland niet.

Verder is het goed dat fundamentele rechten nu op de radar komen bij het inzetten van ongericht (slepen) van gegevens. Het logisch gevolg daarvan is dat je ook gaat kijken hoe je zo’n bevoegdheid vervolgens gerichter gaat inzetten.

Ook het niet automatisch drie jaar bewaren van gegevens is een logische stap, omdat een inbreuk op rechten van mensen zo kort mogelijk hoort te zijn. Maar dit zijn ook precies twee van de punten waar zeer waarschijnlijk het Europese Hof voor de Rechten van de Mens over zou zijn gevallen.

Tot slot is het jammer dat het kabinet er niet voor gekozen heeft om het hacken van derden die volledig onschuldig zijn te schrappen. Juist Nederland zou beter moeten weten. In ons land is immers Diginotar gehackt met als doel verkeer van Iran naar vooral Google te kunnen tappen.

Samenvattend is dit een kleine stap in de goede richting. Het is niet te begrijpen dat nog altijd gegevens ongezien aan diverse andere landen worden verstrekt zonder dat bekend is dat dit iets oplevert of noodzakelijk is. Dat is ook ouderwets denken. Er zijn technische mogelijkheden om data veel slimmer en gerichter uit te wisselen. Dat die niet worden benut is een gemiste kans. Was de mensenrechtentoets ingezet, zouden we alleen gefilterde data uitwisselen en niet derden hacken dan was de wet echt een ander plaatje.

1. Wat mij betreft hadden deze wijzigingen niet gehoeven. Ze gaan over relatief ondergeschikte aspecten van de wet. Aan de grotere onderwerpen die controversieel zijn is geheel voorbij gegaan, zoals de ongerichte kabeltoegang als geheel, de uitbreiding van de hackbevoegdheid, de onafhankelijkheid van de TIB, of zwaardere waarborgen voor delen met buitenlandse diensten. Ook zonder daar wijzigingen in aan te brengen had de regering daar wel wat over kunnen zeggen om tenminste enkele spookbeelden weg te nemen.

2. Substantieel zijn de voorgestelde wijzigingen zeker niet te noemen. De wegingsnotities voor samenwerking met het buitenland waren bijvoorbeeld al lang in gang gezet. Zelfs de bewaartermijn voor ongerichte interceptie is feitelijk niet aangepast, maar alleen opgedeeld, terwijl het best denkbaar was geweest om een onderscheid aan te brengen, zoals bijvoorbeeld 1 jaar voor civiele onderzoeken door de AIVD en 5 jaar voor buitenlandse militaire operaties door de MIVD.

3. Voor tegenstanders van de Wiv zullen de wijzigingen niet ver genoeg gaan, maar in de praktijk zijn de meeste wijzigingen niet veel meer dan een verscherpte interpretatie van wat nu al reeds in de wet staat. Wat betreft het jaarlijks opnieuw toestemming vragen voor het bewaren van data uit ongerichte interceptie is dat alleen nog weer een extra bureaucratische last bovenop het waarschijnlijk toch al sterk knellende keurslijf waarin deze bevoegdheid is geperst.

‘Minder, meer, gehalte, wordt bekeken...’ Ik weet dat alles relatief is volgens Einstein, maar ik zie voor "licht" en de Wiv toch graag een uitzondering.

De voorgestelde wijzigingen klinken als boterzachte we-kijken-er-naar-en-doen-iets-meer-ons-best... Een beetje in de categorie D66: "het staat toch in het regeerakkoord". Het is meer dan niets, maar eigenlijk is er geen substantiële wijziging voorgesteld maar meer een soort Service Level Specificatie in plaats van een Service Level Agreement... en dan over zaken die uiteindelijk gaan over democratie en persoonlijke vrijheid.

Wat mij betreft verre van afdoende en is het een spelletje good-cop, bad-cop... een deel van de burgers zal denken: "toch maar mooi meegenomen die wijzigingen" terwijl Buma, Rutte en Verhoeven elkaar high five'n over het feit dat Turkije, Oman en de Verenigde Staten onze bevriende, economisch en democratische partners zijn.

1. Een toets op het democratisch gehalte van een staat lijkt me wat mager. De VS zullen de toets ongetwijfeld doorstaan, en misschien China/Rusland/Turkije ook wel. Relevanter lijkt me te kijken naar welke informatie wordt doorgespeeld en wat de staat waaraan de informatie wordt doorgespeeld van plan is daarmee te doen.

De gerichte verzameling vind ik niet tegenover willekeurig staan. Het lijkt me dat je gericht bepaalde personen moet volgen, maar inherent aan inlichtingenwerk lijkt me ook dat je ongericht bezig moet kunnen zijn, dat is niet het zelfde als willekeurig, je kan bepaalde dreigingen analyseren, fenomeenanalyse, zonder nog zekere personen op het oog te hebben.

Wat vooral ook van belang is om de vergaarde inlichtingen technisch en juridisch goed te duiden.

2. De veranderingen komen niet als substantieel over als zodanig.

3. Afdoende? Er kan wel meer verbeterd, in zin van waarborgen. Die zouden zich ook meer op de techniek moeten richten, hieronder wat snippets uit de paper die ik eerder noemde, Data Algorithms and Privacy in Surveillance: On Stages, Numbers and the Human Factor.

“Data collection that is mere logging is clearly less invasive than data collection that directly produces a list of persons of interest. Much of the time, an algorithm is looking at a record in order to discard it as uninteresting.

(…) It is not the complexity of the algorithm or the amount of data, but the risk of inference, intended and unintended. The risk of certain kinds of inferences comes with the potential damage that a person will be classified. Classification leads to denial of rights or worse. These are the things that concerned Posner, and should be considered explicitly by regulations.

These are more important than fighting over the two extremes of collect-it-all and collect-none-whatsoever.(…) the way that AI is portrayed, that people fear the privacy incursions of AI the way they would feel if the AI were replaced by a human. But of course, the AI is there because a human was unsuitable: either too slow, too unreliable, too easily bored or tired, too expensive, not facile with foreign language, not trained to optimal discrimination with respect to narrow criteria.

AI is a business decision to automate, usually based on the quality of automation. But there is another reason to insert the AI: it has a natural uninterest in aspects of data that might impact an individual’s privacy concerns. It doesn’t gossip; it can’t be distracted by irrelevance; it forgets what it is told to forget; it is not subject to human subterfuge or machination.”

Lijkt me prima en terechte wijzigingen. Op zich afdoende maar ik zal wel de aangepaste wettekst moeten lezen. De duivel schuilt in de kleine lettertjes.

Uitwisseling met buitenland lijkt me bijvoorbeeld niet te (blijven) kunnen bij bulkdata. Alleen al omdat landen snel hun democratische gehalte kunnen kwijtraken. Alleen gegevens van personen tegen wie concrete verdenkingen bestaan.

* Gegevens minder willekeurig en gerichter verzamelen klinkt als een wens en niet een juridische maatregel. Het impliceert daarnaast dat voorheen, en in de ‘oude’ WIV, met meer willekeur en ongericht werd verzameld. Wat gaat er nu daadwerkelijk veranderen?

*De democratische toets geldt voor diensten met wie er reeds een samenwerkingsrelatie is. De WiV maakt vervolgens niet duidelijk wat er gebeurt met de mogelijke uitruil van gegevens als er geen samenwerkingsrelatie is. Is er dan geen toets nodig? Ook in dit element zit net als bij het “beter gaan zoeken” een stukje wensdenken besloten. In hoeverre is het democratisch gehalte i.r.t. informatie uitruil eigenlijk te meten? En geldt dit alleen voor het verzenden van informatie, of willen we ook geen informatie hebben van landen die niet aan onze democratische meetlat voldoen?

* Wat betreft de bewaartermijn komt de regering tegemoet aan het referendum. Hetzelfde geldt voor de bescherming van journalisten. Echter, uiteindelijk gaat het hierbij om het verzachten van de gevolgen van de WiV. De wet zelf is naar mijn mening nog onvoldoende aangepast omdat het heikele punt, het sleepnet, blijft bestaan. De ambitie uitspreken beter naar boeven te gaan zoeken, is niet hetzelfde als uitleggen hoe je dit gaat doen.