Dit staat er in de aftapwet
Vandaag is het referendum over de aftapwet. Wat staat er nu écht in deze wet?
Op 11 juli 2017 werd de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv), zoals de aftapwet echt heet, door de Eerste Kamer aangenomen: de VVD, PvdA, CDA en PVV stemden voor. De wet is volgens de AIVD nodig om online te speuren naar gevaren voor de democratie, of het nu om potentiële terroristen of buitenlandse staatshackers gaat.
De grote vraag: wordt iedereen inderdaad straks constant bekeken? Daar is de wet duidelijk in: nee, dat is niet het geval. In de wet wordt gesproken 'onderzoeksopdrachtgerichte interceptie'. Dat houdt in dat de AIVD de internetkabel op specifieke plekken mag aftappen, maar niet alle burgers in de gaten mag houden.
Het is nog wel onduidelijk wat de AIVD wél mag aftappen. Dat staat namelijk niet precies beschreven in de wet, omdat de situatie per keer zal verschillen. Belangrijk: de geheime diensten moeten vooraf aantonen waarom het aftappen nodig is, wat ze ermee willen bereiken en in hoeverre de privacy van onschuldige burgers wordt geschonden.
Dat bepaalt de AIVD niet zelf. Er is, na kritiek op een vroege versie van de wet, een onafhankelijke toetsingscommissie aangesteld die deze aftapverzoeken goed gaat keuren. De commissie bestaat uit oud-rechters en een techneut die worden aangewezen door de Hoge Raad, Raad van State en Nationale Ombudsman. Het verzoek wordt dus niet getoetst door een echte rechter.
Metadata
Toch is er een klein beetje zicht op wat de AIVD afgetapt zou willen hebben. Zo bleek uit een geheim document dat de geheime dienst internetproviders vroeg om een berekening te maken van de kosten voor het aftappen. Een voorbeeld daarvan: een fictieve stad met 400.000 inwoners. Iedereen die een specifieke chat-app gebruikt, moet worden afgetapt, en daarna moet van 200 mensen het internetverkeer worden doorzocht.
De AIVD is vooral geïnteresseerd in metadata: wie communiceert met wie, vanuit waar en wanneer? Door te analyseren met wie een terrorismeverdachte allemaal contact heeft, probeert de dienst netwerken in kaart te brengen.
Daar komt nog eens bij dat veel communicatiediensten in een rap tempo end-to-end-encryptie toevoegen. Het veelal gebruikte voorbeeld dat de AIVD kan meelezen met je WhatsApp'jes is dan ook zo goed als onmogelijk. De berichten van WhatsApp zijn zodanig versleuteld dat ze alleen voor de ontvanger zijn in te zien. Als een geheime dienst wil meelezen met je WhatsApp-gesprekken, dan is het hacken van je telefoon een logischer optie.
Syrië en malware
Ronald Plasterk, demissionair minister van Binnenlandse Zaken, gaf eerder als voorbeeld het aftappen van alle communicatie tussen Nederland en Syrië. Ook blijkt uit de geheime documenten dat de AIVD openbare wifi-netwerken wil aftappen.
De toegang tot de internetkabel wordt niet alleen gebruikt voor het aftappen. De AIVD kan ook het dataverkeer analyseren, op zoek naar malware waarmee buitenlandse hackers bij belangrijke bedrijven en organisaties proberen in te breken. Als diezelfde aanvalsmethode wordt gespot kan de aanval worden tegengehouden.
Daarnaast krijgt de AIVD meer bevoegdheden om te hacken. Op dit moment mogen verdachten al worden gehackt, met de nieuwe wet kunnen dat ook eventuele kennissen zijn. Op die manier kan de AIVD bijvoorbeeld via de smartphone van een familielid toegang krijgen tot de laptop van de verdachte.
Kritiek
Tegenstanders van de wet hebben op verschillende punten kritiek. Allereerst vinden ze dat de AIVD te ruime bevoegdheden krijgt om het internet af te tappen en kennissen van de verdachte te hacken. Ze maken zich zorgen dat er te veel gegevens van onschuldige burgers worden verzameld en doorzocht.
Ook is er kritiek op de toetsingscommissie. Onder andere de Raad van State, Raad voor de Rechtspraak en Autoriteit Persoonsgegevens twijfelen aan de kennis en kunde van de leden van de toetsingscommissie. Zij vrezen voor een 'stempelmachine', waarmee ze bedoelen dat alle verzoeken standaard worden goedgekeurd.
De CTIVD, die al jaren toezicht houdt op de geheime diensten en daardoor veel kennis heeft over de werkwijze, had bijvoorbeeld graag zelf de aftapverzoeken willen goedkeuren. Daar dacht het kabinet anders over: zij willen niet dat de slager zijn eigen vlees keurt.
Als laatste is er veel kritiek op de bewaartermijn: verzamelde metadata mag drie jaar worden bewaard. Ook kunnen deze data met buitenlandse diensten worden gedeeld, en waar mogelijk worden de Nederlandse data eruit gefilterd. In bijvoorbeeld Groot-Brittannië is de bewaartermijn één jaar.
Zo hebben andere landen het geregeld: