Verslag van de vergadering van 23 september 2014 (2014/2015 nr. 1)
Status: gecorrigeerd
Aanvang: 15.40 uur
Mevrouw Strik i (GroenLinks):
Voorzitter. Dit debat vormt het vervolg op een aantal expertbijeenkomsten over de ontwikkelingen in de cyberintelligence. In navolging van mijn collega De Vries wil ik de experts hartelijk danken voor hun inbreng. Ik herinner mij nog goed dat Willem Witteveen dit onderwerp als eerste te berde bracht in de commissie voor Veiligheid en Justitie naar aanleiding van het Snowden-schandaal. Bescherming van burgerrechten lag hem altijd na aan het hart. Wat is het wrang en verdrietig om dit debat nu zonder hem te moeten voeren.
Eind jaren negentig werden Nederland en de rest van Europa opgeschrikt door een NSA-schandaal: ECHELON. De onthullingen over de grootschalige afluisterpraktijk van radio- en satellietverkeer door de zogenaamde five eyes schudden overheden en burgers wakker. Ze zorgden voor discussies over de rol van de Europese overheden bij dit programma en over de vraag hoe burgers gewapend konden worden tegen dergelijke bemoeienis en privacyschending. De Nederlandse regering reageerde destijds lauw. Ze vond het niet nodig om medewerking te verlenen aan hoorzittingen over ECHELON, achtte een eigen onderzoek naar ECHELON niet nodig en vond het evenmin opportuun om het Verenigd Koninkrijk aan te spreken op deelname aan ECHELON. "Een relevante dreiging op het gebied van grootschalig afluisteren waartegen de Nederlandse inlichtingen- en veiligheidsdiensten actie kunnen voeren is thans niet aan de orde", zo schreef minister De Grave aan de Tweede Kamer. De toenmalige minister van Binnenlandse Zaken schreef aan het parlement dat op internet al voldoende praktische en relatief goedkope middelen voorhanden waren voor burgers om zichzelf te beschermen tegen dergelijke praktijken. "Het daadwerkelijk aanwenden van deze middelen is vooral een eigen verantwoordelijkheid van burgers, bedrijven en instellingen", zo schreef destijds minister De Vries. De minister toonde zich wel bereid om een bewustwordingscampagne op te zetten over een veilig internetgebruik. En zo gingen we allemaal gerustgesteld weer slapen.
Wat is er sinds die schok gebeurd? De NSA heeft zijn programma's verder uitgebreid, en vergaart sinds 2007 met PRISM inlichtingen uit persoonsgegevens via een reeks grote Amerikaanse internetbedrijven. Sinds de onthullingen van Snowden weten we hoe verstrekkend die praktijken zijn. Inmiddels weten we ook dat niet alleen de VS metagegevens verzamelt voor inlichtingenwerk en dat inlichtingendiensten op grote schaal samenwerken en daarmee de nationale privacywetgeving ontduiken. Wat was anno 2013 de reactie van de Nederlandse regering? Was deze meer adequaat, beschermend en transparant dan twaalf jaar daarvoor? Nou, nee. Er was sprake van tegenstrijdige berichtgeving en ontkenningen, en de VS wordt de schuld in de schoenen geschoven voor de verzameling van 1,8 miljoen telefoontjes. We maakten geen beste beurt. We zijn weer even wakker. Burgers beseffen nu des te meer dat constituties en verdragen niet afdoende zijn om hun persoonlijke levenssfeer te beschermen. De praktijk is veel lastiger te beteugelen. De vraag is nu of we wakker zullen blijven.
In dit debat wil mijn fractie stilstaan bij de bescherming van burgers en met name bij de vraag of ons wettelijk kader nationaal en internationaal wel is toegesneden op de huidige technologie en praktijk. Wat mijn fractie betreft staan vandaag daarom twee vragen centraal. Aan welke criteria willen wij het verzamelen en uitwisselen van data door inlichtingen- en veiligheidsdiensten verbinden? En welke aanpassingen aan wet- en regelgeving zijn nodig om naleving van die criteria te waarborgen?
Ik zal ingaan op de doelmatigheid van het verzamelen van data, het juridisch kader versus de technologische ontwikkelingen, het toezicht op de diensten en ten slotte op het probleem van de valspositieven.
De hoeveelheid data groeit ons volkomen boven het hoofd. Tegelijkertijd wordt de bewaarduur alleen maar langer. Vanwaar die informatiehonger? Wat willen we ermee bereiken? En lukt dat ook? Tot nu toe blijkt uit onderzoek steeds dat er nauwelijks een aanslag mee verijdeld wordt. De NSA gaf laatst toe dat er geen enkele aanslag is verijdeld door massasurveillance. Er zouden hooguit dertien terrorist events gevonden zijn. Deze bekentenissen roepen ook meteen vragen op over het jaarverslag van 2013 van de CTIVD, waarin de commissie meldt dat PRISM in 2013 26 aanslagen wist te verijdelen. Ik hoor hierop graag de reactie van het kabinet.
Dergelijke verwaarloosbare resultaten stroken ook met andere onderzoeken, bijvoorbeeld naar de effectiviteit van PNR-gegevens. De vraag lijkt gerechtvaardigd of de groei van de hooiberg het inlichtingenwerk niet juist minder effectief maakt. Al die energie en middelen gaan ten koste van de klassieke recherche, en zelfs ook van een integrale preventieve aanpak van terrorisme. Denk daarbij aan onderwijs, diplomatie, ontwikkelingssamenwerking en dergelijke. Wanneer vormen deze schamele resultaten nu een aanleiding voor kritische reflectie op onze verzamelwoede? Graag hoor ik daarop een reactie van de bewindslieden. Het volstaat immers niet om te zeggen "baat het niet, dan schaadt het niet". Deze praktijken schaden namelijk wel. Ze schaden de persoonlijke levenssfeer van mensen en vergroten het risico op onterechte weigeringen aan de grens, blokkades van rekeningen of strafrechtelijke vervolgingen. Hoeveel schade mag massasurveillance opleveren? En wie bepaalt dat? Hoe kun je misbruik van informatie en onnodige lange retentieduur voorkomen?
Tot nu toe lijkt het adagium te gelden dat het vooral de stand van de techniek zelf is die bepaalt wat we verzamelen en voor hoelang. Dat zou naar de mening van mijn fractie moeten worden omgedraaid. Bovendien lopen wetgeving en technologie bijna nooit synchroon. De klassieke indeling in methodieken van verzamelen — kabel versus ether — in gerichte en ongerichte interceptie is inmiddels achterhaald. Ook het onderscheid tussen metadata en data is minder functioneel, omdat ook uit metadata veel persoonlijke informatie te destilleren is. Dat is vandaag al eerder geconstateerd.
Wat betekent dit voor het onderscheid dat we maken tussen het toelaten van surveillance op kabel enerzijds en ether anderzijds? De evaluatiecommissie van de Wiv beveelt aan om ongerichte kabelgebonden interceptie toe te staan, maar dan wel gekoppeld aan steviger wettelijke waarborgen van toestemming en toezicht. De commissie onderbouwt dit met het uitgangspunt dat hoe groter de inbreuk op de privacy is, hoe hoger de eisen aan toezicht en toestemming moeten zijn. Wij steunen de aanbeveling om niet langer de techniek, maar de mate van indringendheid van de inbreuk op de privacy leidend te laten zijn voor deze waarborgen. Als aan die voorwaarden is voldaan, zou kabelgebonden interceptie eventueel acceptabel zijn, omdat het meeste verkeer daar op te halen is.
Daar is echter wel een aantal vragen aan verbonden. Hoe kan dit zodanig beperkt worden dat we niet onnodig veel toestaan? Kunnen we bijvoorbeeld volstaan met het toestaan van gerichte interceptie, zodat ongericht zoeken niet te verleidelijk wordt? Of zou je hier een strenger criterium aan moeten verbinden? Een voorbeeld is een direct gevaar voor lijf en leden, zoals dat in de Duitse wetgeving is opgenomen.
Een ander idee, tijdens de expertmeeting geuit door professor Jacobs, is om data wel breed binnen te halen, maar deze bulkdata slechts enkele minuten vast te houden en meteen in te zoomen op de verdachte gegevens. Graag hoor ik de visie van het kabinet op dit punt. In maart van dit jaar gaf het kabinet namelijk aan er nog niet uit te zijn wat betreft een reactie op deze aanbeveling. Als het kabinet kabelgebonden interceptie zou willen toestaan, is het dan ook bereid om het toestemmingsvereiste en de rechtmatigheidstoets door de CTIVD te laten verstrekken? En zo ja, op welke wijze?
Inlichtingendiensten hebben de naam genegen te zijn om zo veel mogelijk te willen weten. Je weet tenslotte maar nooit waarvoor je informatie gebruiken kunt. Bovendien kunnen individuele medewerkers het soms te interessant vinden om in bestanden te zoeken naar de achtergrond van hun buren of schoonzoon. In de Snowden files is hiervoor bewijs gevonden, onder meer in LOVEINT.
Het NSA-debacle maakte voor het eerst ook de omvangrijke en vergaande inbreuk van IVD-bevoegdheden in de digitale wereld op de persoonlijke levenssfeer duidelijk. De CTIVD heeft geconstateerd dat ook bij de Nederlandse diensten grenzen worden overschreden. Denk aan de disproportionele toepassing van bevoegdheden bij het hacken van algemene internetfora. De heer Arnbak, een van de experts, gaf aan dat dit soort praktijken al voorafgaan aan de daadwerkelijke inbreuk op de privacy. De grondrechten bieden daarbij dus geen bescherming. Dat is een punt van zorg. Welke bescherming kunnen we daar dan toch tegenoverstellen?
Kortom: al dit soort vragen maken het naar de mening van onze fractie duidelijk dat er een onderzoek zou moeten komen naar de effectiviteit van die praktijk, in samenhang met de impact op de persoonlijke vrijheden. Alleen zo kunnen we analyseren of onze onderzoeksbevoegdheden wel in balans zijn. We hebben nu een heel mooie evaluatie van de Wiv, waar heel veel dingen in staan. De evaluatie gaat echter niet over de effectiviteit in samenhang met de impact op de privacy.
Een baanbrekend arrest van het Hof van Justitie over de bewaarplicht heeft ook gevolgen voor de wetgeving en de werkwijze van inlichtingendiensten. Blanket retention, de grootschalige opslag van metadata van onverdachte personen, is in strijd bevonden met artikel 7 en 8 van het Handvest van de Grondrechten. Mijn collega Van Tongeren heeft daarom in de Tweede Kamer het initiatiefwetsvoorstel ingediend om de Wet bewaarplicht voor telecommunicatiegegevens in te trekken. Wij wachten nog op een reactie van het kabinet op dit arrest. De eerste reactie van staatssecretaris Teeven was weinig hoopgevend, moet ik zeggen. Zou het kabinet in deze reactie ook kunnen meenemen of naast wettelijke aanpassing ook de Grondwet zou moeten worden aangepast?
Verder is de vraag of we naast wetgeving niet vooral de techniek zouden moeten aanpassen om zelfbeperking te garanderen. Zo zouden we meer kunnen investeren en regelen om bijvoorbeeld encryptie aan burgers te kunnen aanbieden. Ook door meer regels te stellen via privacy by design kan de overheid ervoor zorgen dat alleen wordt opgevangen wat noodzakelijk en toegestaan is.
Een andere mogelijkheid waaraan gedacht kan worden, is om de inlichtingen- en veiligheidsdiensten zo in te richten dat het niet te verleidelijk is om misbruik te maken van bevoegdheden en mogelijkheden. De diensten zouden bijvoorbeeld alleen bevoegd kunnen worden gemaakt voor de analyses zelf, waarbij ze de gegevens laten vergaren door een andere organisatie. De verzoeken van de diensten zouden dan worden geregistreerd en gekoppeld aan een specifiek onderzoeksproject. Daarnaast zou een ruimere klokkenluidersregeling helpen om ambtenaren die misbruik constateren het te laten aandurven om dit misbruik ook te melden. Graag hoor ik een reactie op deze suggesties.
Ik heb nog een aantal opmerkingen over het toezicht. De controle op het handelen van de inlichtingen- en veiligheidsdiensten is onbevredigend. Dat geldt voor zowel de rechtmatigheidstoets van de CTIVD als de parlementaire doelmatigheidstoets. De CTIVD toetst alleen achteraf. De evaluatiecommissie heeft de aanbeveling gedaan voor een onmiddellijke toets door de CTIVD bij de uitoefening van bijzondere bevoegdheden. Hoe denkt het kabinet hierover? Dat zou de rechtmatigheidstoets meer naar voren halen in de procedure, waardoor onrechtmatige handelingen sneller kunnen worden gestaakt. Mijn fractie juicht dit toe. Het kabinet is in elk geval geen voorstander van een bindend rechtmatigheidsoordeel van de CTIVD, omdat dit tot de eindverantwoordelijkheid van de politiek zou behoren. Het is de vraag of dit ook bij een rechtmatigheidstoets zou moeten gelden. De CTIVD toetst aan de normen in de wetgeving. Ik ga ervan uit dat de minister of de Kamer een onrechtmatige actie toch nooit zou willen goedkeuren. Waarom zou deze commissie van toezicht dit niet op een bindende wijze kunnen doen?
Een ander punt is of de CTIVD ook een doelmatigheidstoets zou moeten uitvoeren. Mijn fractie ervaart het als een groot gemis dat die toets eigenlijk nergens goed extern is belegd. Deelt het kabinet dit en, zo ja, welke oplossingen ziet het hiervoor? Wellicht zou de Kamercommissie voor de Inlichtingen- en Veiligheidsdiensten, de commissie-stiekem, daarvoor toegerust moeten worden, of zou deze Kamercommissie duidelijker criteria moeten vaststellen voor de doelmatigheid, aan de hand waarvan de CTIVD zou kunnen toetsen.
In elk geval lijkt er nu wel consensus over te bestaan dat de huidige politieke controle via de commissie-stiekem gebrekkig is, onder andere vanwege het grote kennisverschil tussen het ministerie en de diensten enerzijds en de fractievoorzitters anderzijds. De Kamercommissie zou moeten worden uitgebreid met een fractiespecialist en een deskundige staf die in staat is om informatie te analyseren en de juiste vragen te formuleren. Wat onze fractie betreft zouden wij niet alleen moeten denken aan extra griffie, maar bijvoorbeeld ook aan het inhuren van experts, mits zij garant kunnen staan voor de vertrouwelijkheid. Alleen op die manier zou het parlement de analyses van de diensten kunnen doorgronden en beoordelen en zelf meer sturing kunnen geven aan de doelmatigheid van het werk van de diensten.
Tevens moeten wij ons de vraag stellen of ook andere overheidsdiensten dan de inlichtingen- en veiligheidsdiensten wellicht zoveel doen aan interceptie en opslag van gegevens dat ook voor hen een toezichthoudende commissie noodzakelijk zou moeten zijn. Ik denk aan de FIOD, de IND — die als het aan de evaluatiecommissie ligt nog vaker moet worden betrokken — en de Nationale Politie. Graag ontvangen wij op dit punt een reactie.
Het toezicht van de burgers zelf vormt een interessante dimensie. In artikel 29 van de Data Protection Working Party wordt gepleit voor meer transparantie voor burgers over de werkwijze van surveillanceprogramma's. Wij hadden al een aantal expertmeetings nodig om te doorgronden hoe het werkt, dus men kan nagaan hoe het voor andere burgers is. Op die manier zouden de burgers meer inzicht kunnen krijgen in de wijze waarop een en ander werkt en zich daarvan meer bewust kunnen worden, en hebben zij ook meer mogelijkheid om zich te mengen in discussies over wat nog gelegitimeerd is en wat niet. Op die manier kunnen de surveillanceprogramma's meer democratisch worden ingebed. Tenslotte is het ook voor de veiligheid van de burgers dat wij de rechten van de burgers soms schenden en daar inbreuk op maken.
Vervolgens enkele opmerkingen over het probleem van de omzeiling. Mijn fractie ziet op een drietal punten het gevaar dat het wettelijk kader dat wij hebben relatief gemakkelijk kan worden omzeild. Ik loop de drie punten even langs.
Ten eerste gelden de waarborgen voor de verifieerbaarheid van bewijsmiddelen in het strafrecht en de privacywaarborgen bij de uitvoering door overheidsorganisaties doorgaans niet voor de meer schimmige praktijk van de inlichtingen- en veiligheidsdiensten. Gegevens die via inlichtingen- en veiligheidsdiensten worden verzameld, kunnen vrij gemakkelijk worden "witgewassen" en vervolgens een rol spelen in strafrechtelijke procedures. Burgers die verdacht worden, worden daarmee op achterstand gezet. Zouden strafrechters en advocaten niet meer inzicht moeten hebben in deze gegevens, om de gelijkwaardigheid tussen partijen terug te brengen?
Ten tweede staan diensten onder de beperking van hun nationale wetgeving, maar mogen zij data van hun collega-diensten gebruiken zonder dat die aan de nationale criteria hoeven te voldoen. Dit zorgt voor het gevaar van uitruil van data, zelfs van verzoeken aan internationale collega's om data te verzamelen in een ander land. Al dan niet intentioneel wordt nationale wetgeving hiermee ontdoken. Dit vraagt van de diensten waarmee de Nederlandse diensten samenwerken om transparante minimumeisen waaraan de nationale wetgeving moet voldoen. Uiteraard gelden er al minimumeisen voor de samenwerking met landen, maar de vraag is of die voldoen. Moeten die niet, behalve op meer algemene voorwaarden, ook zien op wetgeving?
De voorzitter:
Mevrouw Strik, kunt u langzamerhand afronden?
Mevrouw Strik (GroenLinks):
Ja.
Een voorbeeld is de VS. Dit land sluit Unieburgers uit van de grondwettelijke bescherming waar Amerikaanse burgers zich wel op kunnen beroepen. Internetproviders en andere bedrijven die hun hoofdzetel in de VS hebben, worden op grond van de Patriot Act gedwongen om gegevens af te staan aan de VS. Op deze manier wordt nationale en zelfs Europese bescherming van onze privacy ondermijnd. Zou de EU zich op dit punt niet krachtiger moeten kunnen opstellen? De lidstaten van de Unie hebben de Unie nadrukkelijk uitgesloten van bevoegdheid op het gebied van inlichtingen- en veiligheidsdiensten. In de Europese ontwerprichtlijn en -verordening inzake privacy wordt daarom niet veel geregeld over inlichtingen- en veiligheidsdiensten. Wel staat als gevolg van Snowden een nieuwe bepaling in de verordening dat bedrijven worden verboden om gegevens van Unieburgers over te dragen aan veiligheidsdiensten van niet-EU-landen. Dit brengt de bedrijven in de VS in een spagaat. Hopelijk leidt dit ertoe dat bedrijven druk gaan uitoefenen op de VS om uit die spagaat te komen. Zou echter ook de EU zelf niet in de onderhandelingen over het TTIP-vrijhandelsverdrag, of andere verdragen inzake dataoverdracht met de VS en Safe Harbour, moeten eisen dat ook de data van Unieburgers onder de Amerikaanse bescherming vallen?
Ten slotte nog één punt, te weten het probleem van de valspositieven. Dat probleem is levensgroot. Data komen om verschillende redenen incorrect in bestanden en gaan een eigen leven leiden. Onschuldige burgers raken daardoor in de problemen en hebben heel weinig mogelijkheden om op een snelle manier die gegevens te kunnen corrigeren. Dit houdt verband met allerlei oorzaken, waaronder de slechte kwaliteit van de opgeslagen gegevens, het mensenwerk van de opslag, maar ook met het feit dat mensen niet worden geïnformeerd over de opslag van hun gegevens, zodat zij niet kunnen corrigeren. Het houdt ook verband met de inherente onzekerheden van het op basis van algoritmes opsporen van onbekende feiten. Vooral echter als mensen niet weten dat gegevens over hen worden opgeslagen, kunnen zij natuurlijk niet vragen om correctie. De voorstellen van de commissie-Dessens om meer inzagerecht te krijgen in gegevens zijn goed. Dit kan echter niet los staan van het belang van meer notificatie van die gegevens. Wij begrijpen dat het werk van de veiligheidsdiensten zich er niet altijd voor leent om mensen erover te informeren dat hun gegevens worden gebruikt, maar misschien kan dit wel sneller achteraf gebeuren, of kunnen mensen, als er geen gevaar dreigt voor het werk van de inlichtingendiensten, vaker, beter en sneller worden geïnformeerd over het gebruik van hun gegevens.