Verslag van de vergadering van 23 september 2014 (2014/2015 nr. 1)
Status: gecorrigeerd
Aanvang: 14.07 uur
De heer Franken i (CDA):
Voorzitter. Bij het begin van dit debat wil ik graag de naam van onze helaas inmiddels oud-collega Willem Witteveen noemen. Hij was een van de initiatiefnemers voor het debat dat vandaag plaatsvindt. Ik heb het voorrecht gehad om Willem ook in mijn universitaire functies als collega te mogen meemaken. In onze overeenkomstige leeropdrachten op het terrein van de rechtstheorie hielden wij met overtuiging een gezamenlijke lijn aan, waaraan hij door zijn belezenheid en eruditie extra kleur heeft gegeven. Ik ben hem dankbaar voor de stimulerende contacten.
In de tweede plaats wil ik graag de medewerkers van het Rathenau Instituut en de staf van l&A en JBZ van onze Eerste Kamer bedanken voor hun actieve ondersteuning bij de voorbereiding van dit debat.
Op 5 juni vorig jaar publiceerden The Washington Post en The Guardian een geheim bevel van de Amerikaanse overheid waarin aan telefoonmaatschappij Verizon werd opgelegd om aan de National Security Agency (NSA) gegevens te verstrekken van alle Amerikaanse nationale en internationale telefoongesprekken "on an ongoing basis". Op 6 juni openbaarden deze kranten het bestaan van het NSA-programma onder de codenaam PRISM, waardoor de NSA vrijelijk kan grasduinen in gegevens van burgers die zijn opgeslagen bij bedrijven als Microsoft, Google, YouTube, Facebook, Yahoo en Skype. Drie dagen later verscheen een interview met Edward Snowden; uit door hem geopenbaarde documenten bleek vervolgens dat de NSA op grote schaal telecommunicatie van Europese bondgenoten onderschepte. In Nederland zouden in december 2012 1,8 miljoen sets metadata zijn verzameld. Uit een door de staf van het EU-parlement opgesteld overzicht blijkt dat ook al bij reeds langer actieve programma's — ik denk dan in het bijzonder aan ECHELON — de fundamentele rechten van niet-Amerikanen volstrekt worden genegeerd.
Nu is de surveillance van bepaalde volken of bevolkingsgroepen, ook door liberale regimes, niet iets heel nieuws. Wel is de schaalgrootte van de datasurveillance vele malen groter dan voorheen voor mogelijk werd gehouden. De technologische ontwikkelingen van de telecommunicatie, inclusief mobiele telefoons, internet, satellieten en meer in het algemeen alle data die kunnen worden gedigitaliseerd en geïntegreerd in "platforms", hebben geleid tot de mogelijkheid om een volstrekt onvoorziene hoeveelheid data te verzamelen, te bewaren, te ordenen en te doorzoeken. Een hoeveelheid die miljoenen malen groter is dan het Stasi-archief ooit is geweest.
Verder zien we dat de nieuwe technologieën er zijn en dat zij "daarom" worden gebruikt — zoals dat ook vaak met nieuwe wapens het geval is — zelfs om de leiders en diplomatieke vertegenwoordigingen van de meest trouwe bondgenoten af te luisteren. De Duitse minister van buitenlandse zaken heb ik dan ook horen zeggen dat de Amerikaanse overheid hiermee het vertrouwen van haar beste bondgenoot heeft verspeeld. De heer Steinmeier gebruikte weliswaar het woord "eroded", maar hij kan dat niet anders dan in deze zin hebben bedoeld. Het blijkt dat de Amerikaanse overheid een verschil maakt tussen eigen onderdanen en instituties en niet-Amerikaanse personen en instituties. Voor een dergelijk onderscheid zouden volgens de Amerikaanse wetgeving nog wel redenen kunnen worden aangevoerd, maar inmiddels hebben wij gelezen dat ook de communicatiesystemen van de eigen senatoren door de CIA of de NSA zijn gehackt. Het is overduidelijk dat ook wij in een surveillancemaatschappij leven.
De laatste constatering heeft niet alleen consequenties voor de privacy van burgers; daarmee wordt ook bevestigd dat er schade wordt geleden wegens industriële spionage — onlangs door minister Plasterk geschat op zeker 2 miljard euro voor de Nederlandse industrie — en dat onze kwetsbare infrastructuur wordt bedreigd.
Nu kan ik mij voorstellen dat nieuwe of andersoortige bedreigingen voor onze veiligheid leiden tot nieuwe of andersoortige beveiligingsmaatregelen en daaraan aangepaste bevoegdheden. Dat is op zich niet nieuw. Spionnen oefenen, zoals wel wordt gezegd, het op een na oudste beroep van de wereld uit. En het is nodig nieuwe technieken te gebruiken om inlichtingen over potentiële vijanden te vergaren. Wij kunnen niet meer volstaan met "een vent onder een bed of een man met een gleufhoed" en ook niet meer met het in beperkte mate onderscheppen van het berichtenverkeer. Wij zullen ook data en het dataverkeer moeten analyseren. De vraag is echter: wat is nog verantwoord en wat is eigenlijk effectief?
De extreme toename van het dataverkeer heeft geleid tot ongeveer 10 biljoen sms'jes per dag en tot enige tientallen miljarden e-mails die dagelijks worden verzonden. Daarvan kan men er wel veel bewaren, maar het is onmogelijk die hoeveelheden adequaat te verwerken. Het schijnt dat de NSA ongeveer 20 miljoen e-mails, oftewel 6 miljard metadata per dag, opslaat, maar niet meer dan 0,01% van het opgeslagen verkeer kan analyseren. En dat voor een organisatie met een — naar de deskundigen ons zeggen — jaarlijks budget van $52 miljard. Zoeken in deze massa is het zoeken van een druppel in de oceaan. Het levert dus bar weinig op. In de VS zijn maar enkele voorbeelden genoemd van zaken die met behulp van de verzamelde metadata zouden zijn opgelost en deze voorbeelden zijn volgens een door ons gehoorde deskundige ook nog onjuist. Ik beschik over literatuur waarin dit wordt bevestigd. Ik ben benieuwd of de minister naar aanleiding van de door de regering steeds sterk aangeprezen dataretentie Nederlandse voorbeelden kan noemen.
Een tweede probleem met betrekking tot de opsporing betreft de convergentie van de infrastructuren. Telefoon, tv, e-mail en Twitter vormen een steeds groter wordende massale berg, waarbij burgers door middel van diverse IP-nummers tegelijk met behulp van verschillende netwerken kunnen communiceren, en dus in feite verschillende namen hanteren. Opsporingsacties zijn dus gemakkelijk te omzeilen.
Een volgend punt is dat overheden, en ook de Nederlandse overheid, altijd de kritiek op het grootschalig bewaren van metadata hebben getracht te sussen door te zeggen dat zij niet kijken naar de inhoud, de content, maar dat alleen de verkeersgegevens worden bewaard. In het rapport van Koops en Smits is duidelijk aangetoond dat verkeersgegevens wel degelijk vallen onder "vertrouwelijke informatie" zoals bedoeld in artikel 13 van de Grondwet en dus als persoonsgegevens moeten worden beschouwd. Het is tegenwoordig ook wel algemeen aanvaard dat de digitale enveloppe meer bevat dan alleen de namen van de afzender en de geadresseerde, maar ook te zien geeft waar en op welk moment zij zich ergens bevinden, wat hun bewegingspatronen zijn, wat hun positie in sociale netwerken is, enzovoorts. Daarom kunnen metadata zeer privacygevoelig zijn. Het maken van profielen blijkt een voor de burger zeer bedreigende bezigheid. Iemand kan een identiteit opgelegd krijgen die in werkelijkheid niet bij hem hoort en waardoor hij ten onrechte onder een bepaalde verdenking kan vallen.
Ten slotte merk ik in dit verband op dat het vergaren van data meer zal worden bemoeilijkt door het toepassen van privébeveiligingsmethoden en encryptietechnieken. Natuurlijk zijn er ook mensen die een modern nudistenbestaan leiden door hun hele hebben en houden op bijvoorbeeld Facebook te plaatsen, maar zij doen dat op eigen risico. Er zijn ook anderen, niet alleen overheden maar vooral ook bedrijven, die graag willen dat alleen de door hen uitgekozen geadresseerde hun bericht leest. En dan is daar weer een valkuil, want de leverancier van het encryptieprogramma kan aan de grote klant Google of de overheid een achterdeurtje aanbieden om in het beveiligde systeem van de burger binnen te komen. Uw geheim is dus maar schijn!
We zien dus dat de effectiviteit van de verzamelwoede van overheidsdiensten en bepaalde bedrijven helemaal niet is aangetoond en ook dat de techniek van het maken van profielen buitengewoon gevaarlijk is, omdat daarmee bepaalde identiteiten aan personen worden toegedeeld, die daarvan niet op de hoogte zijn. Bovendien zijn de diensten machtig en ongevoelig voor enigerlei controle, zoals ook het Amerikaanse voorbeeld van het door de CIA/NSA hacken van de systemen van "eigen" senatoren aangeeft. Zij vormen inmiddels "een staat in de staat".
Nu zou men zich kunnen afvragen of het nog wel zin heeft om je tegen zo'n overmacht te verzetten. Ik citeer een uitspraak van de executive chairman van Google, Eric Schmidt, uit 2013: "There's been spying for years, there's been surveillance for years, and so forth, l'm not going to pass judgement on that, it's the nature of our society". Is de "nature of our society" inderdaad zo veranderd dat we moeten accepteren dat we leven in een surveillancestaat of zelfs een controlestaat? De technologie bestaat en het gebruik daarvan is een feit en we zijn als Nederlanders naïef als we die niet gebruiken, is dan de stelling. En de overheden doen het allemaal voor onze veiligheid. Maar, zo vraag ik mij dan af, hoe veilig willen wij zijn? Ik spreek Rousseau na wanneer ik zeg: het is pas echt veilig als we allemaal alleen in een kerker zitten.
Dat soort veiligheid kunnen we bewerkstelligen met een orwelliaans Ministry of Love, waarin het hoofdkwartier van de gevreesde Thought Police is gevestigd. Ik geef met mijn fractie echter de voorkeur aan een uitspraak van de beroemde chef van de CIA uit de jaren vijftig en zestig, Allen Dulles: "Our government in its very nature, and our open society in all its instinct, under the Constitution and the Bill of Rights automatically outlaws intelligence organizations of the kind that have developed in police states."
Wij erkennen in het "vrije Westen", en dan denk ik maar aan de EU, nog steeds het fundamentele recht van de burger op vrije meningsuiting, op bescherming van de persoonlijke levenssfeer en op de mogelijkheid van vertrouwelijke communicatie. Deze rechten zijn verworven in een lang historisch proces. Ik denk aan de Magna Charta, Verenigd Koninkrijk 1215, de Declaration of lndependence, Verenigde Staten 1776, en de Déclaration des droits de l'homme et du citoyen, Frankrijk 1789. Bij deze verklaringen is het uitgangspunt dat burgers rechten hebben en dat zij vervolgens de overheid toestaan op deze rechten beperkingen toe te passen als dat nuttig en noodzakelijk is voor het gemeenschappelijk belang.
Wij zullen dus een plaats moeten bepalen op een continuüm waarbij het ene uiterste de kerker is, dus absolute veiligheid met totale onvrijheid, en het andere uiterste een letterlijk vogelvrij bestaan. Voor het maken van een keuze tussen deze twee grootheden speelt een derde begrip een rol: vertrouwen. In een politiestaat wantrouwt de overheid de burger en vice versa. Wanneer wij, zoals Dulles, willen leven onder een constitutie waarin respect voor mensenrechten is opgenomen, zal de burger een beperking van zijn vrijheid ten behoeve van een grotere veiligheid accepteren. De overheid zal het daaraan ten grondslag liggende vertrouwen echter niet krijgen wanneer onder het mom van terrorismebestrijding die vrijheid zonder meer wordt beperkt door met name uitgebreide surveillance met programma's van datamining en profilering. Wanneer zulke programma's zonder nadere motivering worden gehanteerd, kunnen we ook niet meer spreken van een balans tussen veiligheid en privacy, maar tasten de veiligheidsmaatregelen de democratie aan. De behoefte aan veiligheid is niet hetzelfde als de instemming van de burger met het ongemotiveerd beperken van zijn grondrechten. Veiligheidsmaatregelen dienen daarom te worden gelegitimeerd met behulp van een verantwoordingsplicht van de overheid. Zij moeten zijn gebaseerd op een formele wet en een motivering waarmee nut, noodzaak en proportionaliteit worden aangetoond. Maar we zijn het overzicht en de controle verloren en we hebben, nog afgezien van de rechtmatigheidsvraag, geen publieke discussie over de doelmatigheid en proportionaliteit van het ongebreidelde datagraaien dat nu plaatsvindt.
Ook de politieke aansturing is onduidelijk. Het Europees Parlementslid Claude Moraes bepleit in een LIBE-rapport een "Digitale Habeas Corpus", met instrumenten die ervoor moeten zorgen dat de burger enigszins de controle op de verzameling van zijn persoonlijke data terugkrijgt. Daarbij zou Europa een onafhankelijke IT-strategie moeten ontwikkelen. Het land waar de servers staan, heeft immers de macht in handen. Ik ben benieuwd naar de visie van de regering daaromtrent. Ook de VN High Commissioner for Human Rights, Navi Pillay, heeft eind juni 2014 een rapport uitgebracht over massasurveillance. Graag verneem ik het commentaar van de ministers ook op dit rapport.
Wanneer we ons nu, in verband met de beperkte spreektijd, beperken tot de Nederlandse situatie, heb ik nog een aantal concrete vragen. Let wel: een goed werkende intelligence service acht mijn fractie een must, maar dat wil zeggen een intelligence service die dienstbaar is aan een democratische samenleving, dus een intelligence service die is geplaatst onder de checks-and-balances van een parlementaire en justitiële controle.
Gelukkig kunnen wij, voor zover we dat nu kunnen beoordelen, over onze Nederlandse diensten tevreden zijn. Het is niet gebleken dat zij zich niet aan de wet houden. Toch zullen wij een nieuwe Wiv nodig hebben, nu de wet uit 2002 door de techniek is achterhaald. Dat betekent een Wiv die bestaat uit techniekonafhankelijke formuleringen, omdat hij niet meer verwijst naar instrumenten die snel obsoleet zullen raken, maar is gericht op het gebruik van diverse middelen en technieken en de bevoegdheden van de gebruiker.
Hierbij past meteen de vraag: wat is de opvatting van de bewindslieden over het idee van professor Jacobs om ongericht zoeken zowel via satelliet als kabel mogelijk te maken, waarbij alleen bepaalde gegevens volgens transparante criteria worden geselecteerd en voor een bepaalde periode worden bewaard, terwijl de rest ongemoeid wordt gelaten? Dit is dus ruimer dan gericht zoeken, zoals dat nu mogelijk is, maar meer beperkt dan geheel ongericht zoeken. Het komt mijn fractie overigens ongewenst voor wanneer ISP'ers door de overheid zouden worden gedwongen om gegevens om andere dan strikt bedrijfsmatige redenen te bewaren. Ik verwijs hiervoor naar het rapport van de VN-rapporteur Navi Pillay en naar de uitspraak van het Hof van Justitie van de EU over de dataretentie. Ik verbaas mij er nog steeds over dat de regering een onrechtmatig verklaarde wet handhaaft. Ik wil graag horen waarom dat het geval is.
Kan de minister verder aangeven wanneer er in de huidige situatie sprake is van notificatie van zoekactiviteiten? Is hij het ermee eens dat notificatie van een toe te passen surveillance als uiting van transparantie zal bijdragen aan het vertrouwen van de burger in de overheid?
Volgens het huidige artikel 24 Wiv is gericht hacken, met last, toegestaan. In hoeverre is dit "gericht zijn" beperkt? Komt ook grootschalig verspreiden van malware door de diensten voor en, zo ja, onder welke voorwaarden gebeurt dit? In hoeverre is een vergelijking met undercoveractiviteiten juist? Is de minister bereid om te stimuleren dat de inlichtingendiensten kwetsbaarheden in de systemen van burgers of bedrijven aan de betrokkenen melden, wanneer zij daarop zijn gestuit? Ik zou een verhaal kunnen houden over de zero-day-exploits, maar dat zal ik nu achterwege laten. Misschien kan ik dat na het antwoord nog debiteren.
Democratische controle op onze inlichtingen- en veiligheidsdiensten vindt plaats door een onafhankelijke toezichthouder, de CTIVD, en door het parlement, waarbij de zogenaamde commissie-stiekem een belangrijke rol speelt. Mijn fractie schaart zich in grote lijnen achter de voorstellen, die de commissie-Dessens met betrekking tot dit onderwerp doet. Het verdient aanbeveling voor de bemensing van de commissie-stiekem de expertise van de leden als doorslaggevend criterium te hanteren en ook eens aandacht te geven aan de situatie in het Verenigd Koninkrijk en Duitsland, waar parlementariërs worden toegelaten tot controle op het operationele niveau van de diensten, waarmee zo veel mogelijk publieke verantwoording wordt afgelegd.
Ten aanzien van de CTIVD onderschrijft de CDA-fractie van harte het voorstel dat de rechtmatigheidstoetsing, die is gericht op het voldoen aan wet, proportionaliteit en subsidiariteit, moet worden uitgebreid met een toetsing van de doelmatigheid van de acties van de diensten. Immers, nut en effectiviteit van een maatregel kunnen pas dan werkelijk worden beoordeeld wanneer de actie in volle omvang door de toetsende instantie kan worden bezien. Juist ook voor maatregelen die preventief kunnen werken — te denken valt aan "privacy enhancing technologies" en "human rights by design" — is een volle toetsing onontbeerlijk.
Met betrekking tot het werk van de CTIVD wil ik er nog nadrukkelijk op wijzen dat afspraken met buitenlandse organisaties ook toetsbaar moeten zijn. Wij willen immers dat Nederlandse waarden worden gerespecteerd. Dit moet contractueel worden vastgelegd.
Naast de parlementaire controle dient ook er een "judicial review" mogelijk te zijn — ik verwijs naar het rapport van de Venice Commission uit 2007 — waardoor de burger zich kan verweren tegen onterechte verdenkingen. Ik wijs hier op de "blacklisting" activiteiten, die op mondiale en Europese schaal plaatsvinden. Graag hoor ik het commentaar van de minister hierop en een vermelding van de bestaande mogelijkheden van beroep.
Sprekend over toezicht moeten we overigens de inlichtingen- en veiligheidsdiensten niet alleen als doelgroep zien. Ook de Nationale Politie, oftewel "de grootste tapper van Nederland", die met betrekking tot telefoontaps zelfs de VS ver achter zich laat, de FIOD en de Belastingdienst zijn grote verzamelaars van persoonsgegevens. Hoe stelt de regering zich hier op? Daarbij denk ik in het bijzonder aan het feit dat de CIOT-database ongecontroleerd wordt gebruikt. Er wordt geen "loglisting" bijgehouden, zodat niet bekend is wat de politie met deze gegevens doet. Daarover wordt al jaren geklaagd, evenwel zonder resultaat. Gaarne vandaag een antwoord van de bewindspersoon op mijn vraag hoe de situatie is.
Ten slotte een opmerking over de wetstechniek. Het gaat om een belangrijk en gevoelig onderwerp, waarbij technologie is betrokken die aan snelle en ingrijpende veranderingen onderhevig is. Daarom moeten beide Nederlandse inlichtingen- en veiligheidsdiensten worden geïntegreerd en is een nieuwe Wiv noodzakelijk. Deze nieuwe wet zal rigoureuze horizonbepalingen moeten bevatten, rigoureus, omdat de uitoefening van bevoegdheden wordt gekoppeld aan een bepaald, beperkt budget. Voor enkele onderwerpen zal met een korte evaluatietermijn moeten worden gewerkt. De maatregelen, of ze nu op technisch, organisatorisch of juridisch niveau plaatsvinden, dienen aan transparante procedures te voldoen. Wij willen immers een "open society", waarin democratische controle mogelijk is en niet de technologie onze handelingen bepaalt. Wij willen dat de technologie op een redelijke manier wordt gebruikt, met de rule of law als fundament voor het handelen van de overheid. Wij willen dat ons parlement beoordeelt of de vorm, de schaal en de diepgang van de surveillance past in onze democratie. Daarbij zullen we onze grondwettelijke rechten als basis nemen en de onschuldpresumptie blijven hanteren. Verdenking dient te worden gerelateerd aan een specifieke delictsomschrijving en niet aan een toevallige gedraging of leefstijl. Naast de vraag wat kan, zullen wijzelf moeten bepalen hoe de overheid deze kennis en kunde dient te gebruiken. Voor onze veiligheid zullen wij offers moeten brengen, maar wij kiezen voor een plaats op de balans waarbij we onze vrijheid niet tegen elke prijs zullen verkopen.