De Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (de Wiv) is de opvolger van een vergelijkbare wet uit 2002 en regelt de bevoegdheden van de Algemene en Militaire Inlichtingen- en Veiligheidsdiensten (AIVD en MIVD): onder welke voorwaarden mogen bijvoorbeeld geheim agenten worden ingezet, hoe mogen gegevens worden verwerkt en welke toestemming is nodig om gebruik te mogen maken van de verschillende bevoegdheden. Onder de oude wet mochten de AIVD en MIVD communicatie onderscheppen wanneer die door de ether werd verzochten, bijvoorbeeld via radio’s of satellieten. Ook mocht het telefoon- en internetverkeer worden afgetapt wanneer iemand al verdacht was. Maar, zo stellen de diensten en de commissie die de oude wet evalueerde, dat is in de huidige tijd niet meer voldoende. Een wet uit het tijdperk dat het internet in de kinderschoenen stond, is niet voldoende om grootschalige communicatie via internet en smartphones te kunnen opvangen en om nieuwe verdachten te kunnen opsporen. De Wiv 2017 voorziet daarom in een uitbreiding van de bevoegdheden voor AIVD en MIVD, én in een uitbreiding van het toezicht.

Wat verandert?
De belangrijkste wijziging in de Wiv 2017 is dat de diensten ook zonder concrete verdenking de zogenoemde kabelgebonden communicatie mogen onderscheppen: communicatie via het internet en de telefoon, inclusief mobiele telefoons (ook mobiel telefoonverkeer gaat voor een deel nog via kabels). Het hoeft niet duidelijk te zijn welke communicatie tussen welke personen moet worden opgevangen - het idee dat bepaalde personen betrokken zouden kunnen zijn bij staatsgevaarlijke zaken, of dat in een bepaald gebied mensen kwaad in de zin hebben, kan voldoende zijn voor een tap. Maar: dat moet dan wel passen binnen onderzoeksopdrachten die door de ministers van Binnenlandse Zaken, Defensie of de minister-president zijn goedgekeurd. Zo’n goedkeuring geldt telkens voor een jaar, en moet voordat de bevoegdheden kunnen worden gebruikt, worden getoest door de Toetsingscommissie Inzet Bevoegdheden (TIB). Deze commissie, bestaande uit twee oud-rechters en een lid met technische kennis, moet bezien of de minister de toestemming rechtmatig heeft verleend. Zo ja, dan kunnen de diensten hun gang gaan en gegevens voor maximaal drie jaar bewaren om te kunnen analyseren of er relevante informatie in te vinden is. Zelf stellen de diensten alleen die gegevens te gaan gebruiken die nodig zijn voor hun onderzoeken. Gegevens van onverdachte Nederlanders zullen zo snel mogelijk worden vernietigd.

Een andere nieuwe bevoegdheid, is dat de AIVD en MIVD een databank met DNA-profielen mogen opbouwen. DNA-profielen die in onderzoeken worden aangetroffen mogen voor 5 jaar worden opgeslagen, met de mogelijkheid dit steeds te verlengen tot maximaal 30 jaar. Ook mogen de diensten onder de nieuwe wet computers, mobiele telefoons en andere apparaten hacken om toegang te krijgen tot de informatie die zich op het apparaat bevindt. Dat kan bijvoorbeeld door gebruik te maken van beveiligingsfouten in de software, die nog niet bekend zijn gemaakt bij de fabrikant (zogenoemde zero-days). Deze twee bevoegdheden mogen ook alleen worden ingezet met toestemming van de betrokken minister en de TIB. Die toestemming is niet nodig wanneer de diensten via informanten toegang vragen tot de gegevensbestanden die zij beheren, bijvoorbeeld bij scholen of aanbieders van cloud-diensten. Op die manier kunnen de AIVD en MIVD snel toegang krijgen tot veel gegevens die kunnen worden geanalyseerd en vergeleken met andere gegevens in hun databases.

Kritiek op de wet
Tegenstanders van de Wiv 2017 hebben veel kritiek op de wet. Niet voor niets gebruiken zij het frame van de Sleepwet. Die naam komt vooral door de bezwaren tegen het niet-gericht verzamelen van gegevens op basis van de hierboven genoemde onderzoeksopdracht. Die opdrachten blijven geheim, waardoor niet duidelijk is hoe gedetailleerd zij zijn en hoeveel ruimte zij bieden aan het verzamelen van gegevens van mensen die helemaal niet verdacht zijn. Ook vinden de tegenstanders van de wet het onjuist dat een minister toestemming moet gegeven voor zo’n onderzoeksopdracht - daarmee zou het kunnen dat onderzoeken een politiek motief krijgen. Als alternatief wordt vaak gewezen op een toets door een zittende rechter, of meerdere rechters, die volledig onafhankelijk zouden moeten zijn. Een derde probleem met dit deel van de wet, is dat gegevens mogen worden gedeeld met buitenlandse inlichtingen- en veiligheidsdiensten, ook als zij nog niet door de AIVD en MIVD zijn bekeken. Dat betekent dat gegevens van Nederlanders, die (nog) nergens van worden verdacht, door buitenlandse diensten kunnen worden gebruikt in hun onderzoeken. Eigenlijk zeggen de tegenstanders: er mogen straks teveel gegevens van teveel onverdachte mensen worden verzameld en dat hoort niet thuis in een rechtstaat.

Er is nog meer kritiek. Zo vinden beveiligingsexperts het onverantwoord dat gebruik mag worden gemaakt van zero-days. Beveiligingsproblemen in software zouden altijd moeten worden gemeld bij de fabrikant, zodat zij kunnen worden opgelost. Wanneer de diensten gebruik kunnen maken van zero-days, kunnen anderen die kwaad willen dat ook.

Tot slot is er kritiek op het toezicht. Dat is weliswaar aangescherpt in de Wiv 2017 door de instelling van de TIB, maar nog niet voldoende. De TIB kan alleen de onderzoeksopdracht vooraf toetsen, maar houdt niet in de gaten of er vervolgens ook in lijn met die opdracht wordt gehandeld. Daarvoor is er de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), die achteraf bekijkt wat de diensten hebben gedaan met hun bevoegdheden. De CTIVD brengt over zijn onderzoeken verslag uit aan de minister, die vervolgens besluit wat er gaat gebeuren. Alleen als er onderzoek wordt gedaan naar aanleiding van een specifieke klacht, kan de CTIVD bepalen dat het handelen van de diensten moet worden gestaakt.

Het Referendum
Komende woensdag gaat het er dus om: mag de Wiv 2017 in werking treden of niet? Als de opkomst hoger ligt dat 30%, dan is het referendum geldig. Bij een ‘nee’, moet de Tweede Kamer opnieuw over de wet in debat. Of er dan ook iets verandert, is nog maar de vraag. De coalitie heeft immers in het regeerakkoord afgesproken dat de Wiv 2017 er moet komen, en dat twee jaar na inwerkingtreding wordt geëvalueerd of aanscherping nodig is. Ook stellen de coalitiepartijen dat het gevreesde sleepnet er niet zal komen. Maar: het regeerakkoord heeft geen kracht van wet - het is slechts een politieke afspraak. In de tussentijd werkt GroenLinks-kamerlid Buitenweg aan een initiatiefwet om de Wiv 2017 nu al aan te scherpen. De tijd zal leren wat er met de wet zal gebeuren.
 

Geschreven door Paul Breitbarth, gastdocent aan het Europees Centrum voor Privacy en Cyberveiligheid van de Faculteit der Rechtsgeleerdheid, Universiteit Maastricht.