Op 21 maart was het referendum over de nieuwe Wet op de inlichtingen en veiligheidsdiensten. Presentator Chris wist nog niet wat hij moest stemmen en had daarom voor deze aflevering van 13 maart drie voor- en drie tegenstanders uitgenodigd om hem te overtuigen. We deden dit om en om in een kettingdebat, dus elke deelnemer kreeg twee opponenten. Lees hier de uitkomst in een uitgebreide verslag.
Onze eerste gast is Ton Siedsma, jurist en Senior Policy Advisor bij Bits of Freedom (BoF). Vanaf het begin, vijf jaar geleden, is zijn organisatie betrokken geweest bij de tot standkoming van de wet. Tijdens de internetconsultatie hebben ze hun reactie geformuleerd. Met een online tool, met uitleg en reactieformulier, verzamelden ze nog eens 1.100 reacties. Ze hebben de vijf studenten geholpen met pr voor hun handtekeningenactie, onder andere door 20.000 brieven te versturen naar Nederlandse huishoudens, namens 'Rijksveiligheidsdienst', met een link naar een Kieswijzer “waar trekt u de grens”. Op hun website eenbeterewet.nl is te lezen welke vijf punten volgens BoF beter kunnen. Bob Hoogenboom is mijn tweede gast. Hij is professor aan de Nyenrode Business Universiteit, docent aan de Politie Academie en organiseert politiedebatten. Over de wet schreef hij een artikel in NRC: “Slepen of niet slepen, dat is niet de vraag.”
Ton trapt af. Hij vindt het goed dat er een nieuwe wet komt, dat er een AIVD en MIVD is, maar niet met deze wet. Met name vanwege het sleepnet, omdat het mogelijk maakt grootschalig, stelselmatig burgers in de gaten te houden. De bevoegdheid om deze data drie jaar lang op te slaan is te veel, vooral als dat kan zonder die gegevens eerst te evalueren. Uitwisseling met Duitsland kan nog wel, maar andere landen dan, zoals Rusland? Zorgelijk vindt hij ook het hacken van derden om bij het doel uit te komen, het gebruik van informanten en toegang vorderen tot databases van bedrijven. Het toezicht hierop wordt beter, maar vindt hij nog niet goed genoeg. Tot slot zal de wet, op termijn leiden tot zelfcensuur omdat mensen denken dat ze in de gaten gehouden worden – een chilling effect.
Bob reageert fel op Tons uiteenzetting en de beeldvorming in de media in het algemeen. “Het is een verkleutering, versimpeling - een ‘dumbing down’ - van een complex vraagstuk. Het doet geen recht aan de belangrijke functie die veiligheidsdiensten hebben en de verbeteringen die deze wet bieden op de controle op de diensten. Vooral de term ‘sleepnet’ vindt hij misleidende framing.
Chris vraag daarom: “Hoe breed is de onderzoeksgerichte interceptie dan?” Ton geeft een voorbeeld dat hij van Plasterk zou hebben. “Ze nemen bijvoorbeeld alle wifihotspots in een middelgrote stad om alle whatsapps berichten tussen Nederland en Syrie af te tappen.” Een hele wijk aftappen zal niet zo snel gebeuren, omdat dat technisch lastig is. Bob vult aan: “Deze interceptie vindt pas plaats als er al heel veel is gedaan. De diensten hebben informaten gesproken, agenten uitgezet voor observatie, telefoontaps gezet, systemen gehackt (want dat mag ook al onder de huidige wet) … en pas in bepaalde omstandigheid kan het misschien nuttig zijn om op grotere schaal te inventariseren wie met wie contact heeft. Dat kan alleen met opdrachten en die wordt vooraf getoetst door de minister en de TIB en tijdens en achteraf door de CTIVD.”
Ton vindt de controle inderdaad al een verbetering. De minister moet oordelen, de TIB kan weigeren en de klachtenregeling voor burgers is bindend. De evaluatie achteraf door de CTIVD echter niet en die uitkomst zou bindend moeten zijn, vindt hij. Daar is Bob het ook wel mee eens. Maar goed, het kan altijd beter. “Zo’n wet blijft toch een uitkomst van een politiek spel.” Ton vindt dat we daarom tegen moeten stemmen, voor een betere wet. Bob vindt van niet: “Stem je tegen, dan behoud je de oude wet en ben je slechter af.”
Ondertussen wordt Kees Verhoeven, die straks als laatste aan tafel komt, al wat ongeduldig en roept vanuit de zaal “Dit is wel erg veel Ton voor ons geld!” – verwijzend naar de referendumsubsidie. OK, verder met het kettingdebat. Exit Ton, enter Mary-Jo de Leeuw. Zij is van cyber security bedrijf Revnext, een van de oprichtsters van de Rotterdamse Cyberwerkplaats en is tegen de Wiv.
Mary-Jo heeft weinig vertrouwen in commissies die toetsen. “Wat opvalt is dat voor leden van dergelijke commissies onduidelijk is wat het profiel is, hoe je onderdeel wordt. Als je vriendjes naar voren schuift, zijn die commissies niks waard.” Chris vul aan: “Maar, de Kamer stemt over de benoeming.” Mary-Jo: “Is dat al gebeurd?”. Ronald Prins, een van de leden van de Toetsingscommissie Inzet Bevoegdheden, blijkt in de zaal te zitten en roept: “Ja”.
Ronalds benoeming had kritiek opgeleverd omdat beweerd werd dat hij bij de AIVD had gewerkt en dus niet onafhankelijk zou zijn. Ik heb het hem voorafgaand aan dit debat gevraagd en hij vertelde dat hij 20 jaar geleden heeft gewerkt bij wat toen de BVD heette en er na negen maanden al klaar mee was. In de media is hij vooral bekend als de voormalige directeur van Fox-IT, een IT-security bedrijf dat veel voor de AIVD heeft gedaan. Oftewel: hij weet wat tappen in de praktijk betekent. De Tweede Kamer heeft daarom ingestemd met zijn benoeming. Door de verkoop van zijn bedrijf heeft hij bovendien een financieel onafhankelijke positie. Chris had hem nog gevraagd zich te mengen in het debat, maar dat wilde hij niet: het gaat immers over zijn nieuwe baan.
Mary-Jo vervolgt: “De overheid zegt eerst ‘Je hebt toch niks te verbergen?’. Vervolgens organiseren ze Alert online (landelijke awareness campagne) en zegt de overheid dat je wel wat te verbergen hebt. En nu komen ze lekker met een sleepnetje. Ze spreken zich op dat vlak tegen.” Ze heeft ook weinig vertrouwen in de evaluatie van het functioneren van de dienst. “Hoe gaat er gerapporteerd worden? Het is wel duidelijk hoe dat gebeurd. De Cyber Security Raad zou ook geëvalueerd worden. We hebben een WOB verzoek ingediend, maar kregen niets. Wat je leest in de berichtgevingen over diensten is dat ze zoveel aanslagen zouden hebben voorkomen. Maar dat wordt nooit aangetoond. Laat dat zien.” Bob: “De controlestructuren zijn op papier veelbelovend, maar ik deel je opmerking dat we daar kritisch naar moeten kijken. De CTIVD heeft over tal van zaken rapportages gemaakt waardoor we inzicht kregen in werk van de diensten. Meer kan ook niet altijd.”
Exit Bob, enter Pim Takkenberg. Hij is momenteel Directeur Cyber Security bij Northwave en was in het verleden teamleider bij Team High Tech Crime van de politie en werkzaam bij de AIVD. Mag hij iets vertellen over zijn werk bij de dienst? Pim: “Nee, je moet heel precies afschermen hoe je te werk gaat. Sterker nog, het is strafbaar.” Wat hij wel mag vertellen is dat hij daar een team heeft geleid dat onderzoek doet naar spionage. Dus bijvoorbeeld hoe vanuit Rusland, Iran of China bij Nederlandse bedrijven en de overheden wordt ingebroken om geheimen te stelen en wat we kunnen doen om dat tegen te gaan.
Wat vindt Pim van Mary-Jo’s argumenten tegen de wet, met name dat de controles en rapportages te onduidelijk zijn gedefinieerd? Pim: “In een democratie stem je op je vertegenwoordiger. We hebben een mooi bestel en polderen om compromissen te sluiten. De rapportage zal zich in de praktijk moeten bewijzen.” Mary-Jo: “Als je zegt dat de praktijk het nog moet bewijzen, dan laat je het dus op zijn beloop. We moeten strakker definiëren waaraan zo’n rapportage moet voldoen, wat het kader is en de frequentie.”
Pim: “Ik heb vooral wel vertrouwen in de toetsing door die commissies. Toen ik bij AIVD werkte, was de inzet op controle vele malen ingewikkelder dan bij de politie. Als je de minister wilt overtuigen, moet je echt wel van heel goede huize komen. Bij de politie was het: je zet een middel in en de rechter toetst achteraf. Bij de dienst is er toetsing vooraf: kan het doel niet met minder ingrijpende middelen bereikt worden en wordt het middel niet teveel ingezet? Dat wordt met deze wet nog vele malen strakker geregeld.”
Over naar de stelling van Pim. Hij betoogt: “Als wij deze wet niet krijgen, gaat het economische verdienmodel van Nederland naar de kloten. Ik heb jaren gekeken naar digitale aanvallen op onze kritieke infrastructuur. Het bedrijfsleven is onvoldoende in staat zich hiertegen te weren. Er gaat met vrachten tegelijk aan intellectueel eigendom en geheimen naar het buitenland, waar andere bedrijven producten mee maken en overnames mee doen. Dan hebben we een dienst nodig die in staat is om op knooppunten te zoeken naar indicatoren voor deze aanvallen.”
In de praktijk betekent dit dat de AIVD vooral verkeer tapt aan de grenzen en die data scant op aanvalsindicatoren die ze vooraf hebben gedefinieerd, bijvoorbeeld IP-adressen of configuratiebestanden. Veel grote Nederlandse bedrijven doen al aan dergelijke monitoring vanuit hun Security Operations Centers, maar volgens Pim is hun blik te beperkt: “Ze kijken alleen naar hun eigen omgeving, met commercieel beschikbare indicatoren. De AIVD kijkt landelijk en heeft meer informatie.”
Mary-Jo: “Ik hoor niets nieuws. Die geheimen worden al op andere manieren gestolen en we hebben toch al het Nationale Detectienetwerk van het NCSC?” Pim: “NCSC monitort beperkt en is geen AIVD. Het gaat om de kwaliteit van je indicatoren en waar je kunt kijken. Wat we nu hebben is niet genoeg om de Nederlandse economie te beschermen.” Mary-Jo: “Dat snap ik, maar ik blijf weerstand houden. Ik hoop van harte dat, als we hier over twee jaar weer staan, je me alsnog ongelijk kan geven.” Die afspraak staat.
Exit Mary-Jo, enter Brenno de Winter. In zijn tijd als journalist heeft hij vele datalekken aan de kaak gesteld, momenteel is hij beveiligingsonderzoeker, schrijver, spreker en trainer. Wat vond hij van Pim zijn betoog, dat zonder deze wet het economische verdienmodel van Nederland naar de klote gaat?
Brenno: “Dat gaat eigenlijk alleen over de vitale infrastructuur en niet een regulier bedrijf. Ik kom bij kleinere organisaties waar het stelen van data grote problemen geeft, maar in de meeste gevallen komt dat door verouderde software en configuratiefoutjes. Heel geavanceerde aanvallen zijn er niet zoveel. Zowel, dan krijgen ze die informatie niet van de AIVD. Zomaar delen is voor hen geen optie.”
Brenno keert zelfs Pim zijn stelling om: “Door de Wiv gaat ons economisch verdienmodel naar de klote. Als je wil monitoren, moet je dus alles wat binnenkomt op de kabel analyseren. Daardoor zal voor bedrijven Nederland minder interessant worden als vestigingsplaats voor hun data.” Volgens Pim laat de praktijk in het Verenigd Koninkrijk het tegendeel zien. “Britse diensten kunnen tijdig zien of er aanvallen zijn en hebben meer methodes om info te delen met bedrijven. Dat is voor veel bedrijven juist aantrekkelijk.”
Volgens Brenno moeten we sowieso tegenstemmen, want: “De wet gaat toch door. De AIVD en MIVD zijn nog nooit zo open geweest. Stem je voor, dan stopt dat proces. De checks en balances zijn namelijk nogal ingewikkeld geworden.” Pim geeft toe dat het toezicht wel wat rommelig is geworden. “Er zijn al veel rapportages. Ik heb dat intern meegemaakt: ongelofelijk veel gedetailleerde regels waar je makkelijk foutjes in maakt. Daar waar gewerkt wordt gaat altijd wel iets mis. Het wordt interessant om te zien of die commissies body genoeg hebben om dit allemaal af te handelen.”
Wat vinden de heren ervan dat straks bij wet is geregeld dat de diensten encryptie niet mogen verzwakken? Daar zijn beiden blij mee. En de specifiekere eisen voor hacken? Idem. Inbreken op computers mocht al, maar is nu veel preciezer omschreven. Brenno maakt zich wel zorgen om de onvoorziene effecten bij het hacken van derden. “Er hangt veel gevoelige apparatuur aan het internet: een beveiligingscamera in een sauna of systeem in een ziekenhuis.”
Pim: “Het is flauwekul dat diensten die gaan hacken. Ze willen bij een target uitkomen. Als bijvoorbeeld een bedrijf wordt gehackt, dan willen ze zien waar de command en control server zit, of er meer bedrijven gehackt zijn en achterhalen wie erachter zit. Ga je die zelf als AIVD direct hacken, dan zien ze je. Dan kan het handig zijn om een systeem te hacken dat daar in de buurt zit, bijvoorbeeld bij de provider en niet een ziekenhuis.”
“Maar, met de wiv krijgen we toch juist meer inzicht in wie ze hacken, of niet?” Volgens Brenno niet. Pim bevestigt dat de uiteindelijke rapportage inderdaad niet specifiek laten zien wie gehackt is, maar de diensten zullen wel vooraf kijken wie er achter het IP adres zit voor ze die hacken. “Wat dat betreft vertrouwt hij wel op het inzicht van de TIB dergelijke risico’s goed in te schatten, met name de technisch expert die daarin zit…” En weer kijkt iedereen in de zaal naar Ronald die zich wijselijk afzijdig houdt.
Exit Pim, enter Kees Verhoeven, Tweede Kamerlid voor D66 en woordvoerder ICT, privacy, Europa en terrorisme. Hij is een van de weinige Kamerleden die campagne voert om voor te stemmen en doet dat zonder subsidie van de referendumcommissie. Toen de Wiv nog niet was aangenomen was hij tegen en heeft hij maar liefst twintig amendementen ingediend, waarvan er niet een is aangenomen. Hij was daarom een van de 36 tegenstemmers. Met 114 Kamerleden voor, werd de wet aangenomen.
Kees: “Dan is de wet dus een feit. Toen kwam de formatie en kon ik iets unieks doen, namelijk de wet amenderen in het regeerakkoord. Hierdoor hebben we de politieke afspraak dat er geen sleepnet is, dus niet ongericht wordt getapt, we de wet na twee jaar gaan evalueren en aanpassen als daar aanleiding toe is.” Dankzij deze wijzigingen stemt Kees dus voor. Bovendien: “Stem je voor die wet, dan kunnen we die evalueren. Stem je tegen, dan wil je eigenlijk de oude wet behouden.”
Wat vindt hij van Brenno’s stellingen? Chris doet nog een schepje op het economische argument: “Datacenters zijn een enorme groeimarkt in Nederland, mede dankzij de AMSIX en ons vestigingsklimaat. Schrikt de Wiv die markt niet af?” Kees: “Er zullen bedrijven zijn die zich daar zorgen om maken. Die zullen overigens niet naar Duitsland gaan, want dat is vreemd genoeg het slechtst verbonden land van Europa. In Frankrijk mogen de diensten encryptie doorbreken, dus daar wil je ook niet naartoe. Veel bedrijven vinden juist dat de diensten helpen de infrastructuur intact te houden. Daarom profileert de UK zich als ‘a safe place to do business’. Ik zie het eigenlijk niet echt als plus of minpunt.”
Kees kan zich behoorlijk opwinden over Brenno’s stelling dat je sowieso nee moet stemmen, omdat zo de wet scherper gecontroleerd wordt. Kees: “Natuurlijk, is er nog veel mis. Het is een wet waar je met een vergrootglas veel tekortkomingen in kunt vinden, maar mensen moeten niet denken dat ze door een tegenstem wel een perfecte wet krijgen. Wat wel kan is een praktijk met toetsingscommissies en Kamerleden, maar ook mensenrechtenorganisaties, die beter kunnen controleren hoe de wet wordt ingevoerd.”
Brenno: “Het is een fundamentele verandering, de schaal waarop straks data wordt verzameld. De tijd zal leren of het Europese Hof niet ingrijpt.” Kees: “Als het hof ingrijpt ben ik blij. Bertholee zegt dat zijn dienst niet massaal data gaat verzamelen. Als het misgaat, volgens de commissie, of de rechter, dan hebben we tenminste bewijslast. Nu heb ik alleen maar de doemscenario’s van mensen die zeggen wat mis kan gaan - nota bene met subsidies van de referendumcommissie. We hebben dus een land waarin de oppositie betaalt wordt om campagne te voeren. Hoe mooi is dat? Nederland is ook een van de weinige landen die zegt dat ze geen encryptie gaat verzwakken. En er is straks geen land waar de inlichtingdiensten zo gecontroleerd worden als hier.”
Maar, wanneer is het nu een sleepnet en wanneer onderzoek? Kees: “De suggestie is dat je heel breed, heel lomp, heel veel data gaat binnen halen. Dat is niet zo. Per keer dat ze intercepteren moeten de diensten precies omschrijven wat ze gaan doen, wanneer en of er geen ander middel is. Dat is niet ongericht, ook niet gericht, het zit er tussenin.”
Exit Brenno, enter Ton. Hij opende namelijk het debat en hiermee is de ketting rond.
Ton: “Kees heeft ongelofelijk veel werk gestoken in het verbeteren van de wet. Jammer dat zijn amendementen niet zijn overgenomen. Nu hebben we een nieuwe politieke realiteit en zegt hij: ‘Stem voor, vertrouw mij, het komt goed.’ Dat kan ik niet. Als er een kabinetscrisis komt zijn die afspraken van tafel. Kees: “Heel formeel is dat een goed argument. Maar, als je tegen stemt krijg je geen betere wet. Dat is niet hoe een referendum werkt. Je krijgt de oude wet terug. Hebben we gezien bij Oekraïne. De regering gaat inderdaad weg. Als er een regering komt die privacy slecht gezind is, kunnen ze ook de hele Wiv ook afschaffen.”
Stel het volk stemt 21 maart tegen, wat doet Kees dan? “De referendumwet was nog van kracht toen dit referendum is gestart, dus dan zal het kabinet de wet moeten heroverwegen. Dan komt er een stemming: ze kunnen de Wiv intrekken, of in stand houden. Een tussenvorm vind ik niet waarschijnlijk omdat zoveel Kamerleden hebben voorgestemd. Dat zullen ze pas doen als we ook feiten hebben en dat is over twee jaar.”
Stel het volk stemt voor, houdt Bits of Freedom dan op over privacy? Ton: “Nee. Het feit dat we dit debat hebben is al winst. Het privacy debat is daardoor volwassener geworden. Wat de verhouding ook is, miljoenen mensen stemmen tegen. We gaan naar de Europese rechter, ook als de meerderheid voor stemt. Het gaat om het beschermen van een minderheid tegen de meerderheid.”
Uiteindelijk moest presentator Chris een keuze maken. Stemt hij voor of tegen? Lees hier de uitkomst in zijn verslag met uitgebreide overwegingen.
Anders dan veel andere Wiv debatten, hebben we dit georganiseerd zonder subsidie van de Referendum commissie. TV programma EditieNL maakte hier nog een leuk item van. Toch was de toegang gratis. Dat kon omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security en ons volledig vrij laten in wat we op het podium doen. Dus, met dank aan: