“Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het wenselijk is nieuwe regels te stellen met betrekking de taken en bevoegdheden van de inlichtingen- en veiligheidsdiensten in het kader van de nationale veiligheid, de coördinatie van de taakuitvoering van deze diensten, de verwerking van gegevens door deze diensten, de nationale en internationale samenwerking van deze diensten, de uitoefening van het toezicht en de behandeling van klachten en de geheimhouding, alsmede in verband daarmee enkele wetten te wijzigen en de Wet op de inlichtingen- en veiligheidsdiensten 2002 te vervangen…”
Als je denkt “wat staat daar nou?”, dan heb je hem blijkbaar nog niet gelezen: de nieuwe wet op de inlichtingen en veiligheidsdiensten. Woensdag mogen we erover stemmen, in ons voorlopig laatste raadgevend referendum. Weet jij het al? Ik heb lang getwijfeld, maar heb na het lezen van de wet en vele gesprekken met experts toch besloten voor te stemmen. Aangezien vooral het Nee-kamp in de media is gekomen, beschrijf ik in dit stuk waarom. Dit is geen stemadvies, maar een verslag van mijn zoektocht om alle voors- en tegens in kaart te brengen. In een democratie is elke wet immers een compromis. Nooit zal iedereen 100% tevreden zijn. Vraag is of de voors voldoende opwegen tegen de tegens.
Het referendum
Ik vond het zelf eerlijk gezegd ook best even schrikken, de eerste berichten over de nieuwe wet: de veiligheidsdiensten kunnen ongericht internetkabels gaan tappen, de data drie jaar bewaren en ook nog delen met het buitenland. De Tweede Kamer, de Eerste Kamer en de Raad van Staten waren al akkoord, zodat de wet 1 januari 2018 van kracht kon worden. Dat gebeurde dus niet, omdat het vijf studenten, gesteund door Amnesty, Bits of Freedom, de Piratenpartij en Arjan Lubach, gelukt was 400.000 handtekeningen op te halen voor een referendum over, wat vanaf dat moment de “sleepwet” werd genoemd.
Tijdens het Chaos Computer Congres in Leipzig, zag ik een presentatie van Nina Boelsum, een van de studenten achter het referendum: “Fuck Dutch Mass surveillance, let’s have a referendum”. De titel geeft al duidelijk aan hoe haar betoog ging. Interessant vond ik vooral hoe ze aan zoveel de handtekeningen kwam. Ze kregen hulp van Amnesty, die een vliegtuigje huurde met de tekst “Ik word gevolgd, u ook. Stem tegen de sleepwet”. Bits of Freedom en de Piratenpartij hielpen ook mee in de pr. Samen haalden ze maar liefst 100.000 handtekeningen op, maar niet genoeg voor de benodigde 300.000. Met nog slechts een week te gaan, hadden ze de moed opgegeven.
Tot ze op zaterdagavond werden gebeld door Arjan Lubach. “Je kunt maar beter extra serverruimte regelen, want we gaan morgen een item doen over de sleepwet”. Die zondagavond vertelde hij dat de overheid voorzieningen treft om iedereen af te luisteren, maar daar in principe niets mee doet… Zo schoten ze ineens door naar 400.000 handtekeningen, genoeg voor een referendum. Pikant detail: die moesten allemaal geprint worden en naar Heerlen worden gebracht. Onmogelijk voor de vijf studenten, maar gelukkig heeft Amnesty ze daarbij geholpen.
Met een referendum, komen ook de subsidies beschikbaar: maar liefst 2 miljoen Euro, waarvan zes ton voor een campagne “voor”, zes ton voor een campagne “tegen” en acht ton voor “neutraal”. Wie wat kreeg is online te lezen bij de referendumcommissie. Slechts vier organisaties hebben elk 50.000 gekregen voor een campagne voor. Ik heb ze geGoogled, maar vond niks over hun campagnes. In het kamp “tegen” wel. We zien de studenten van het referendum onder Stichting De Kabel en Bits of Freedom, die elk ook 50k kregen. Zeer wel besteed zou ik zeggen. Ook zie je veel politieke partijen die campagnegeld kregen, wat ik een beetje dubieus vind in verkiezingstijd. Geenpeil zegt “neutraal” te zijn kreeg ook 50 k voor “informatie op de website”, waar alleen een knop staat “doneer”… In het tegenkamp zie je veel kleine groepjes privacy activisten die ook 50k krijgen voor “een website en evenement”.
Dus ik naar aanleiding van een blogpost naar een “kritisch debat” in Amsterdam. Het was een zolderkamer - “gratis, van een vriend”, zei een van de organisatoren - met acht bezoekers: vijf vertegenwoordigers van stichtingen die elk 50k hadden gekregen, ik en twee andere bezoekers die bij voorbaat tegen stemden. Na drie uur wederzijdse bevestiging en geklaag over de staat, vroeg ik of dit nu dat event was waar zij die 50k voor kregen. Nee, ze gingen ook nog een kritisch essay online zetten en bierfiltjes rondbrengen. Voor 50 Euro per uur, (ex BTW). Privacy is big business dus.
Het voorkamp had daarentegen steun van gratis kijkcijferkanon Rob Bertholee. De AIVD-baas mocht bij College Tour en DWDD uiteenzetten waarom we vooral voor de wet moeten zijn. En passant werd gelekt dat de AIVD de Russen had gehackt. Dit werd door de media opgepikt, compleet met beelden van een Rutte die trots is op zijn diensten. Het publiek raakte echter steeds meer in verwarring. Volgens I&O Research was er in september 2017 nog een meerderheid voor en een minderheid tegen. Die meerderheid is er nu niet meer, vanwege een groeiende groep die nog niet weet wat ze gaan stemmen. De stand op 6 februari was 42% voor, 28% tegen en 30% weet niet. Tot die 30% behoorde ik zelf toen ook, dus ging ik me inlezen.
De wet
Allereerst: hoe groot is het zogenaamde sleepnet? In de wet zelf gaat het over “onderzoeksopdracht gerichte interceptie”. Lekker vaag dus, want als je de onderzoeksopdracht maar breed genoeg definieert, kun je in wezen alles tappen. Als je verder leest, zie je dat dat niet het geval zal zijn. Elk onderzoek waarbij de dienst bijzondere bevoegdheden wil inzetten moet eerst voorgelegd worden aan de minister van Binnenlandse Zaken en een Toetsingscommissie Inzet Bevoegdheden (TIB). Die kijken of er niet teveel wordt getapt en of hetzelfde doel niet met minder ingrijpende middelen bereikt kan worden. Tijdens en achteraf evalueert de Commissie Toezicht Inlichtingen- en Veiligheidsdiensten (CTIVD) wat de dienst doet. Mocht je als burger toch onevenredig nadeel ondervinden van het werk van de dienst, kun je terecht bij deze zelfde CTIVD, die vervolgens een bindend oordeel uitspreekt. De minister brengt tot slot jaarlijks verslag uit.
De wet gaat niet alleen over tappen, maar vooral over de regels waar de diensten zich aan hebben te houden. Bijvoorbeeld: “De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, lidmaatschap van een vakvereniging, gezondheid en seksuele leven vindt niet plaats.” Ze doen ook geen onderzoek naar strafbare feiten, maar naar personen die een bedreiging vormen voor de Nederlandse rechtsorde. Afluisteren van journalisten of advocaten moet naast deze hele procedure ook nog eens voorgelegd worden aan de rechtbank in Den Haag. Inbreken op andermans computer mocht al en wordt nu veel stricter omschreven. Het verzwakken van encryptie – iets wat de NSA stelselmatig doet - is zelfs verboden, want daarmee brengt de dienst zelf de veiligheid van digitale communicatie in gevaar. Dit vind ik winst.
In diezelfde wet lees ik echter ook dat de diensten hun gegevens kunnen delen met diensten van andere landen, zelfs als die gegevens niet geëvalueerd zijn. Ze moeten hier echter wel een “dringende en gewichtige reden” voor hebben en “de ondersteuning kan niet bestaan uit het bieden van gelegenheid tot het zelfstandig verzamelen van gegevens door de desbetreffende dienst in Nederland.” Die landen moeten wel voldoen aan de voorwaarden voor een democratische rechtsstaat. De VS lijkt me daarmee uitgesloten, maar ik kan me niet voorstellen dat dat ook gebeurt. Wat ik ook te ver vind gaan is het hacken van derden om bij het doel uit te komen en bevoegdheid om databases te vorderen bij bedrijven zonder toestemming van de minister. Aan de andere kant kan ik me wel noodscenario’s voorstellen waarbij het doel de middelen heiligt.
Kortom, de wet geeft de diensten een aantal vergaande bevoegdheden, maar tegelijk ook meer regels waar zij zich aan hebben te houden en middelen om hen te controleren. Ik wist nog steeds niet wat ik moest stemmen. Daarom besloot ik zelf een debat te organiseren met mensen van wie ik weet dat ze kennis van zaken hebben: drie voor en drie tegen de wet. Ik deed overigens dat als aflevering van mijn eigen praatprogramma Hack Talk, zonder campagnesubsidie.
Het kettingdebat
13 maart 2018, Club Worm te Rotterdam. 120 bezoekers in: jong, oud, hackers, academici, anarchisten, zakenlui en ambtenaren. Het betoog hierboven is mijn inleiding, waarna een ketting van zes sprekers volgt, voor en tegen om en om. Hun opdracht: mij en het publiek te overtuigen.
Mijn eerste gast is Ton Siedsma, jurist en Senior Policy Advisor bij Bits of Freedom (BoF). Vanaf het begin, vijf jaar geleden, is zijn organisatie betrokken geweest bij de tot standkoming van de wet. Tijdens de internetconsultatie hebben ze hun reactie geformuleerd. Met een online tool, met uitleg en reactieformulier, verzamelden ze nog eens 1.100 reacties. Ze hebben de vijf studenten geholpen met pr voor hun handtekeningenactie, onder andere door 20.000 brieven te versturen naar Nederlandse huishoudens, namens 'Rijksveiligheidsdienst', met een link naar een Kieswijzer “waar trekt u de grens”. Op hun website eenbeterewet.nl is te lezen welke vijf punten volgens BoF beter kunnen. Bob Hoogeboom is mijn tweede gast. Hij is professor aan de Nyenrode Business Universiteit, docent aan de Politie Academie en organiseert politiedebatten. Over de wet schreef hij een artikel in NRC: “Slepen of niet slepen, dat is niet de vraag.”
Ton trapt af. Hij vindt het goed dat er een nieuwe wet komt, dat er een AIVD en MIVD is, maar niet met deze wet. Met name vanwege het sleepnet, omdat het mogelijk maakt grootschalig, stelselmatig burgers in de gaten te houden. De bevoegdheid om deze data drie jaar lang op te slaan is te veel, vooral als dat kan zonder die gegevens eerst te evalueren. Uitwisseling met Duitsland kan nog wel, maar andere landen dan, zoals Rusland? Zorgelijk vindt hij ook het hacken van derden om bij het doel uit te komen, het gebruik van informanten en toegang vorderen tot databases van bedrijven. Het toezicht hierop wordt beter, maar vindt hij nog niet goed genoeg. Tot slot zal de wet, op termijn leiden tot zelfcensuur omdat mensen denken dat ze in de gaten gehouden worden – een chilling effect.
Bob reageert fel op Tons uiteenzetting en de beeldvorming in de media in het algemeen. “Het is een verkleutering, versimpeling - een ‘dumbing down’ - van een complex vraagstuk. Het doet geen recht aan de belangrijke functie die veiligheidsdiensten hebben en de verbeteringen die deze wet bieden op de controle op de diensten. Vooral de term ‘sleepnet’ vindt hij misleidende framing.
Ik vraag daarom: “Hoe breed is de onderzoeksgerichte interceptie dan?” Ton geeft een voorbeeld dat hij van Plasterk zou hebben. “Ze nemen bijvoorbeeld alle wifihotspots in een middelgrote stad om alle whatsapps berichten tussen Nederland en Syrie af te tappen.” Een hele wijk aftappen zal niet zo snel gebeuren, omdat dat technisch lastig is. Bob vult aan: “Deze interceptie vindt pas plaats als er al heel veel is gedaan. De diensten hebben informaten gesproken, agenten uitgezet voor observatie, telefoontaps gezet, systemen gehackt (want dat mag ook al onder de huidige wet) … en pas in bepaalde omstandigheid kan het misschien nuttig zijn om op grotere schaal te inventariseren wie met wie contact heeft. Dat kan alleen met opdrachten en die wordt vooraf getoetst door de minister en de TIB en tijdens en achteraf door de CTIVD.”
Ton vindt de controle inderdaad al een verbetering. De minister moet oordelen, de TIB kan weigeren en de klachtenregeling voor burgers is bindend. De evaluatie achteraf door de CTIVD echter niet en die uitkomst zou bindend moeten zijn, vindt hij. Daar is Bob het ook wel mee eens. Maar goed, het kan altijd beter. “Zo’n wet blijft toch een uitkomst van een politiek spel.” Ton vindt dat we daarom tegen moeten stemmen, voor een betere wet. Bob vindt van niet: “Stem je tegen, dan behoud je de oude wet en ben je slechter af.”
Ondertussen wordt Kees Verhoeven, die straks als laatste aan tafel komt, al wat ongeduldig en roept vanuit de zaal “Dit is wel erg veel Ton voor ons geld!” – verwijzend naar de referendumsubsidie. OK, verder met het kettingdebat. Exit Ton, enter Mary-Jo de Leeuw. Zij is van cyber security bedrijf Revnext, een van de oprichtsters van de Rotterdamse Cyberwerkplaats en is tegen de Wiv.
Mary-Jo heeft weinig vertrouwen in commissies die toetsen. “Wat opvalt is dat voor leden van dergelijke commissies onduidelijk is wat het profiel is, hoe je onderdeel wordt. Als je vriendjes naar voren schuift, zijn die commissies niks waard.” Ik vul aan: “Maar, de Kamer stemt over de benoeming.” Mary-Jo: “Is dat al gebeurd?”. Ronald Prins, een van de leden van de Toetsingscommissie Inzet Bevoegdheden, blijkt in de zaal te zitten en roept: “Ja”.
Ronalds benoeming had kritiek opgeleverd omdat beweerd werd dat hij bij de AIVD had gewerkt en dus niet onafhankelijk zou zijn. Ik heb het hem voorafgaand aan dit debat gevraagd en hij vertelde dat hij 20 jaar geleden heeft gewerkt bij wat toen de BVD heette en er na negen maanden al klaar mee was. In de media is hij vooral bekend als de voormalige directeur van Fox-IT, een IT-security bedrijf dat veel voor de AIVD heeft gedaan. Oftewel: hij weet wat tappen in de praktijk betekent. De Tweede Kamer heeft daarom ingestemd met zijn benoeming. Door de verkoop van zijn bedrijf heeft hij bovendien een financieel onafhankelijke positie. Ik had hem nog gevraag zich te mengen in het debat, maar dat wilde hij niet: het gaat immers over zijn nieuwe baan.
Mary-Jo vervolgt: “De overheid zegt eerst ‘Je hebt toch niks te verbergen?’. Vervolgens organiseren ze Alert online (landelijke awareness campagne) en zegt de overheid dat je wel wat te verbergen hebt. En nu komen ze lekker met een sleepnetje. Ze spreken zich op dat vlak tegen.” Ze heeft ook weinig vertrouwen in de evaluatie van het functioneren van de dienst. “Hoe gaat er gerapporteerd worden? Het is wel duidelijk hoe dat gebeurd. De Cyber Security Raad zou ook geëvalueerd worden. We hebben een WOB verzoek ingediend, maar kregen niets. Wat je leest in de berichtgevingen over diensten is dat ze zoveel aanslagen zouden hebben voorkomen. Maar dat wordt nooit aangetoond. Laat dat zien.” Bob: “De controlestructuren zijn op papier veelbelovend, maar ik deel je opmerking dat we daar kritisch naar moeten kijken. De CTIVD heeft over tal van zaken rapportages gemaakt waardoor we inzicht kregen in werk van de diensten. Meer kan ook niet altijd.”
Exit Bob, enter Pim Takkenberg. Hij is momenteel Directeur Cyber Security bij Northwave en was in het verleden teamleider bij Team High Tech Crime van de politie en werkzaam bij de AIVD. Mag hij iets vertellen over zijn werk bij de dienst? Pim: “Nee, je moet heel precies afschermen hoe je te werk gaat. Sterker nog, het is strafbaar.” Wat hij wel mag vertellen is dat hij daar een team heeft geleid dat onderzoek doet naar spionage. Dus bijvoorbeeld hoe vanuit Rusland, Iran of China bij Nederlandse bedrijven en de overheden wordt ingebroken om geheimen te stelen en wat we kunnen doen om dat tegen te gaan.
Wat vindt Pim van Mary-Jo’s argumenten tegen de wet, met name dat de controles en rapportages te onduidelijk zijn gedefinieerd? Pim: “In een democratie stem je op je vertegenwoordiger. We hebben een mooi bestel en polderen om compromissen te sluiten. De rapportage zal zich in de praktijk moeten bewijzen.” Mary-Jo: “Als je zegt dat de praktijk het nog moet bewijzen, dan laat je het dus op zijn beloop. We moeten strakker definiëren waaraan zo’n rapportage moet voldoen, wat het kader is en de frequentie.”
Pim: “Ik heb vooral wel vertrouwen in de toetsing door die commissies. Toen ik bij AIVD werkte, was de inzet op controle vele malen ingewikkelder dan bij de politie. Als je de minister wilt overtuigen, moet je echt wel van heel goede huize komen. Bij de politie was het: je zet een middel in en de rechter toetst achteraf. Bij de dienst is er toetsing vooraf: kan het doel niet met minder ingrijpende middelen bereikt worden en wordt het middel niet teveel ingezet? Dat wordt met deze wet nog vele malen strakker geregeld.”
Over naar de stelling van Pim. Hij betoogt: “Als wij deze wet niet krijgen, gaat het economische verdienmodel van Nederland naar de kloten. Ik heb jaren gekeken naar digitale aanvallen op onze kritieke infrastructuur. Het bedrijfsleven is onvoldoende in staat zich hiertegen te weren. Er gaat met vrachten tegelijk aan intellectueel eigendom en geheimen naar het buitenland, waar andere bedrijven producten mee maken en overnames mee doen. Dan hebben we een dienst nodig die in staat is om op knooppunten te zoeken naar indicatoren voor deze aanvallen.”
In de praktijk betekent dit dat de AIVD vooral verkeer tapt aan de grenzen en die data scant op aanvalsindicatoren die ze vooraf hebben gedefinieerd, bijvoorbeeld IP-adressen of configuratiebestanden. Veel grote Nederlandse bedrijven doen al aan dergelijke monitoring vanuit hun Security Operations Centers, maar volgens Pim is hun blik te beperkt: “Ze kijken alleen naar hun eigen omgeving, met commercieel beschikbare indicatoren. De AIVD kijkt landelijk en heeft meer informatie.”
Mary-Jo: “Ik hoor niets nieuws. Die geheimen worden al op andere manieren gestolen en we hebben toch al het Nationale Detectienetwerk van het NCSC?” Pim: “NCSC monitort beperkt en is geen AIVD. Het gaat om de kwaliteit van je indicatoren en waar je kunt kijken. Wat we nu hebben is niet genoeg om de Nederlandse economie te beschermen.” Mary-Jo: “Dat snap ik, maar ik blijf weerstand houden. Ik hoop van harte dat, als we hier over twee jaar weer staan, je me alsnog ongelijk kan geven.” Die afspraak staat.
Exit Mary-Jo, enter Brenno de Winter. In zijn tijd als journalist heeft hij vele datalekken aan de kaak gesteld, momenteel is hij beveiligingsonderzoeker, schrijver, spreker en trainer. Wat vond hij van Pim zijn betoog, dat zonder deze wet het economische verdienmodel van Nederland naar de klote gaat?
Brenno: “Dat gaat eigenlijk alleen over de vitale infrastructuur en niet een regulier bedrijf. Ik kom bij kleinere organisaties waar het stelen van data grote problemen geeft, maar in de meeste gevallen komt dat door verouderde software en configuratiefoutjes. Heel geavanceerde aanvallen zijn er niet zoveel. Zowel, dan krijgen ze die informatie niet van de AIVD. Zomaar delen is voor hen geen optie.”
Brenno keert zelfs Pim zijn stelling om: “Door de Wiv gaat ons economisch verdienmodel naar de klote. Als je wil monitoren, moet je dus alles wat binnenkomt op de kabel analyseren. Daardoor zal voor bedrijven Nederland minder interessant worden als vestigingsplaats voor hun data.” Volgens Pim laat de praktijk in het Verenigd Koninkrijk het tegendeel zien. “Britse diensten kunnen tijdig zien of er aanvallen zijn en hebben meer methodes om info te delen met bedrijven. Dat is voor veel bedrijven juist aantrekkelijk.”
Volgens Brenno moeten we sowieso tegenstemmen, want: “De wet gaat toch door. De AIVD en MIVD zijn nog nooit zo open geweest. Stem je voor, dan stopt dat proces. De checks en balances zijn namelijk nogal ingewikkeld geworden.” Pim geeft toe dat het toezicht wel wat rommelig is geworden. “Er zijn al veel rapportages. Ik heb dat intern meegemaakt: ongelofelijk veel gedetailleerde regels waar je makkelijk foutjes in maakt. Daar waar gewerkt wordt gaat altijd wel iets mis. Het wordt interessant om te zien of die commissies body genoeg hebben om dit allemaal af te handelen.”
Wat vinden de heren ervan dat straks bij wet is geregeld dat de diensten encryptie niet mogen verzwakken? Daar zijn beiden blij mee. En de specifiekere eisen voor hacken? Idem. Inbreken op computers mocht al, maar is nu veel preciezer omschreven. Brenno maakt zich wel zorgen om de onvoorziene effecten bij het hacken van derden. “Er hangt veel gevoelige apparatuur aan het internet: een beveiligingscamera in een sauna of systeem in een ziekenhuis.”
Pim: “Het is flauwekul dat diensten die gaan hacken. Ze willen bij een target uitkomen. Als bijvoorbeeld een bedrijf wordt gehackt, dan willen ze zien waar de command en control server zit, of er meer bedrijven gehackt zijn en achterhalen wie erachter zit. Ga je die zelf als AIVD direct hacken, dan zien ze je. Dan kan het handig zijn om een systeem te hacken dat daar in de buurt zit, bijvoorbeeld bij de provider en niet een ziekenhuis.”
“Maar, met de wiv krijgen we toch juist meer inzicht in wie ze hacken, of niet?” probeer ik. Volgens Brenno niet. Pim bevestigd dat de uiteindelijke rapportage inderdaad niet specifiek laten zien wie gehackt is, maar de diensten zullen wel vooraf kijken wie er achter het IP adres zit voor ze die hacken. “Wat dat betreft vertrouwt hij wel op het inzicht van de TIB dergelijke risico’s goed in te schatten, met name de technisch expert die daarin zit…” En weer kijkt iedereen in de zaal naar Ronald die zich wijselijk afzijdig houdt.
Exit Pim, enter Kees Verhoeven, Tweede Kamerlid voor D66 en woordvoerder ICT, privacy, Europa en terrorisme. Hij is een van de weinige Kamerleden die campagne voert om voor te stemmen en doet dat zonder subsidie van de referendumcommissie. Toen de Wiv nog niet was aangenomen was hij tegen en heeft hij maar liefst twintig amendementen ingediend, waarvan er niet een is aangenomen. Hij was daarom een van de 36 tegenstemmers. Met 114 Kamerleden voor, werd de wet aangenomen.
Kees: “Dan is de wet dus een feit. Toen kwam de formatie en kon ik iets unieks doen, namelijk de wet amenderen in het regeerakkoord. Hierdoor hebben we de politieke afspraak dat er geen sleepnet is, dus niet ongericht wordt getapt, we de wet na twee jaar gaan evalueren en aanpassen als daar aanleiding toe is.” Dankzij deze wijzigingen stemt Kees dus voor. Bovendien: “Stem je voor die wet, dan kunnen we die evalueren. Stem je tegen, dan wil je eigenlijk de oude wet behouden.”
Wat vindt hij van Brenno’s stellingen? Ik doe nog een schepje op het economische argument: “Datacenters zijn een enorme groeimarkt in Nederland, mede dankzij de AMSIX en ons vestigingsklimaat. Schrikt de Wiv die markt niet af?” Kees: “Er zullen bedrijven zijn die zich daar zorgen om maken. Die zullen overigens niet naar Duisland gaan, want dat is vreemd genoeg het slechtst verbonden land van Europa. In Frankrijk mogen de diensten encryptie doorbreken, dus daar wil je ook niet naartoe. Veel bedrijven vinden juist dat de diensten helpen de infrastructuur intact te houden. Daarom profileert de UK zich als ‘a safe place to do business’. Ik zie het eigenlijk niet echt als plus of minpunt.”
Kees kan zich behoorlijk opwinden over Brenno’s stelling dat je sowieso nee moet stemmen, omdat zo de wet scherper gecontroleerd wordt. Kees: “Natuurlijk, is er nog veel mis. Het is een wet waar je met een vergrootglas veel tekortkomingen in kunt vinden, maar mensen moeten niet denken dat ze door een tegenstem wel een perfecte wet krijgen. Wat wel kan is een praktijk met toetsingscommissies en Kamerleden, maar ook mensenrechtenorganisaties, die beter kunnen controleren hoe de wet wordt ingevoerd.”
Brenno: “Het is een fundamentele verandering, de schaal waarop straks data wordt verzameld. De tijd zal leren of het Europese Hof niet ingrijpt.” Kees: “Als het hof ingrijpt ben ik blij. Bertholee zegt dat zijn dienst niet massaal data gaat verzamelen. Als het misgaat, volgens de commissie, of de rechter, dan hebben we tenminste bewijslast. Nu heb ik alleen maar de doemscenario’s van mensen die zeggen wat mis kan gaan - nota bene met subsidies van de referendumcommissie. We hebben dus een land waarin de oppositie betaalt wordt om campagne te voeren. Hoe mooi is dat? Nederland is ook een van de weinige landen die zegt dat ze geen encryptie gaat verzwakken. En er is straks geen land waar de inlichtingdiensten zo gecontroleerd worden als hier.”
Maar, wanneer is het nu een sleepnet en wanneer onderzoek? Kees: “De suggestie is dat je heel breed, heel lomp, heel veel data gaat binnen halen. Dat is niet zo. Per keer dat ze intercepteren moeten de diensten precies omschrijven wat ze gaan doen, wanneer en of er geen ander middel is. Dat is niet ongericht, ook niet gericht, het zit er tussenin.”
Exit Brenno, enter Ton. Hij opende namelijk het debat en hiermee is de ketting rond.
Ton: “Kees heeft ongelofelijk veel werk gestoken in het verbeteren van de wet. Jammer dat zijn amendementen niet zijn overgenomen. Nu hebben we een nieuwe politieke realiteit en zegt hij: ‘Stem voor, vertrouw mij, het komt goed.’ Dat kan ik niet. Als er een kabinetscrisis komt zijn die afspraken van tafel. Kees: “Heel formeel is dat een goed argument. Maar, als je tegen stemt krijg je geen betere wet. Dat is niet hoe een referendum werkt. Je krijgt de oude wet terug. Hebben we gezien bij Oekraïne. De regering gaat inderdaad weg. Als er een regering komt die privacy slecht gezind is, kunnen ze ook de hele Wiv ook afschaffen.”
Stel het volk stemt 21 maart tegen, wat doet Kees dan? “De referendumwet was nog van kracht toen dit referendum is gestart, dus dan zal het kabinet de wet moeten heroverwegen. Dan komt er een stemming: ze kunnen de Wiv intrekken, of in stand houden. Een tussenvorm vind ik niet waarschijnlijk omdat zoveel Kamerleden hebben voorgestemd. Dat zullen ze pas doen als we ook feiten hebben en dat is over twee jaar.”
Stel het volk stemt voor, houdt Bits of Freedom dan op over privacy? Ton: “Nee. Het feit dat we dit debat hebben is al winst. Het privacy debat is daardoor volwassener geworden. Wat de verhouding ook is, miljoenen mensen stemmen tegen. We gaan naar de Europese rechter, ook als de meerderheid voor stemt. Het gaat om het beschermen van een minderheid tegen de meerderheid.”
De balans
Ik heb veel voors en tegens gehoord die ik hier nu niet zal herhalen. De Wiv is voor mij geen sleepwet, want er wordt per opdracht gekeken wat de diensten mogen verzamelen en alleen als er geen andere manier is. Wat mij zorgen blijft baren is dat de diensten ongeëvalueerde data mogen delen met het buitenland en de bevoegdheid krijgen om te hacken via derden. Dat ze die methoden ook gaan inzetten om de Nederlandse kritieke infrastructuur te monitoren en te beveiligen, vind ik een pluspunt. Door dit debat heb ik meer vertrouwen gekregen in de rol die de TIB en CTIVD gaan spelen in controle vooraf en achteraf. Ik ben ook erg benieuwd wat de klachtenprocedure gaat opleveren, zodat we eindelijk echte voorbeelden hebben en niet alleen maar doemscenario’s.
Dit zijn de rationele redenen waardoor ik neig voor te stemmen. In een democratie is elke wet immers een compromis en vergeleken met de oude wet, hebben we meer voor- dan nadelen, denk ik.
Maar, stemmen doe je ook op basis van emotie. Vertrouw je de overheid? Ik wellicht iets meer dan de gemiddelde Nederlander. In ieder geval meer dan veel van mijn vrienden, collega’s en bezoekers van Hack Talk die waarschijnlijk tegen de Wiv gaan stemmen. Dat weegt ook mee. En als ik openlijk voor stem, zal ik nog een hoop shit krijgen van privacy activisten en Twittertrollen. Toch wil ik niet bezwijken voor het chilling effect dat deze links conservatieve populisten uitoefenen op iedereen die voorstemt, door hen publiekelijk aan te vallen. Denkend aan de bijeenkomst op het zoldertje in Amsterdam, voel ik zelfs een zekere boosheid opkomen over hun zelfbevestigende debatten en flyers met kortweg “Nee”. Ik wil feiten, nuance en wederzijds begrip. Daarom is mijn stem niet alleen aan rationele overweging, maar ook een proteststem.
Daarom stem ik voor.
Chris van ‘t Hof
17 maart 2018