Verslag van de vergadering van 11 juli 2017 (2016/2017 nr. 35)
Status: gecorrigeerd
Aanvang: 14.38 uur
De heer Lintmeijer i (GroenLinks):
Voorzitter. De gemiddelde leeftijd van de leden van onze Kamer is 67 jaar. Een doorsnee senator begon dus aan zijn werkende leven in de jaren tachtig, een tijd waarin het internet een vreemd en onbekend woord was en de eerste mobiele telefoon, voor de liefhebbers de Dynatac 8000X, die in 1983 op de markt kwam, een hebbedingetje was voor een kleine 4.000 dollar.
Hoe anders is het nu? Een dag zonder internet is haast niet geleefd en tegenwoordig weegt de mobiele telefoon met camera en andere vernuftigheden nog geen onsje. Anno 2017 is onze manier van werken en communiceren compleet getransformeerd. De digitale revolutie verandert onze manier van doen en denken fundamenteel. Het tempo van technologische ontwikkelingen op het gebied van communicatie is genadeloos. Mede om die reden namen we nog geen uur geleden in eerste termijn een herziening van artikel 13 van de Grondwet aan, die de onschendbaarheid, c.q. eerbiediging van het briefgeheim vat in een toekomstbestendige formulering.
En daarmee deden we ook iets anders. Deze Kamer stemde ermee in dat in artikel 13 het begrip "nationale veiligheid" wordt geïntroduceerd en dat we in dat geval het overall beschermingsniveau niet meer uitsluitend via de rechter opheffen, maar per onderliggende wet regelen. "Alles door de rechter laten toetsen zou wel een hoop werk zijn", zei de minister daarover vorige week.
Het wetsvoorstel dat nu voorligt, is niet het minste dat het beschermingsniveau goed moet regelen. Extra reden om daar goed naar te kijken en te zien of er sprake is van proportionaliteit. Wegen de middelen die deze wet inzet op tegen het doel van de wet, het moderniseren van de bevoegdheden van de veiligheidsdiensten?
Vooropgesteld, de fractie van GroenLinks begrijpt en ondersteunt de noodzaak tot het vernieuwen van de Wiv. De Nationaal Coördinator Terrorismebestrijding en Veiligheid Schoof constateerde recent dat Nederland elk jaar een stukje verder achterloopt op internetcriminelen en vijandige staten wat digitale veiligheid betreft. Ook het bedrijfsleven dringt terecht aan op meer inzet op het gebied van digitale veiligheid. Recente digitale aanvallen herinneren ons nog maar eens aan de enorme groei in de ransomware, malware die je computer vergrendelt en pas weer ontgrendelt als je geld betaalt. Nederlandse bedrijven zijn hierin, net als andere, ook hard geraakt. Met dank overigens aan de NSA, die achterdeurtjes openliet waar ook criminele hackers dankbaar gebruik van maken.
Vooral ook de niet aflatende kans op terroristische aanslagen vergt een actief en scherp veiligheidsbeleid, op straat, in de wijken, bij de recherche en zeker ook in de digitale wereld. De memorie van toelichting bij deze wet benoemt de balans tussen de modernisering van de bevoegdheden en de grondrechtelijke waarborgen. In de woorden van mijn fractie: nemen we bij de bescherming van onze vrijheden die gewaarborgd zijn door onze rechtsstaat geen maatregelen die juist onze vrijheden en de rechtsstaat inperken?
Specifiek gaat het er wat mijn fractie betreft om of de taken, de bevoegdheden en de verantwoordelijkheden van de AIVD en de MIVD nauwkeurig worden vastgelegd in de wet en dat er voldoende waarborging is voor de individuele privacy. Dat vereist een ingewikkelde maar cruciale balans tussen vrijheid en veiligheid. Mijn fractie signaleert nog altijd twijfels of dit het geval is. De Raad van State, de Autoriteit Persoonsgegevens, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten zelf, het College voor de Rechten van de Mens, de Raad voor de rechtspraak, de Raad van Europa, tal van maatschappelijke organisaties op het gebied van de digitale privacy, op het gebied van journalistieke bronbescherming en op het gebied van medisch beroepsgeheim, hebben forse commentaren geuit. Het aantal aanpassingen op basis van de kritische commentaren bleef echter beperkt.
Een van de belangrijkste wetswijzigingen is het toestaan van bulkinterceptie, met een sleepnet door het dataverkeer gaan om te kijken of dat informatie oplevert. Het is alsof in vroeger tijden de BVD voor de zekerheid alle post openmaakt die vanuit laten we zeggen Amsterdam-Noord naar Brussel-Zuid wordt gestuurd, want je weet maar nooit of er iets tussen zit. Straks kan de veiligheidsdienst een flinke berg digitale brieven openmaken en er al dan niet met slimme algoritmes verdachte signalen uitfilteren. Daarmee kan bijvoorbeeld de AIVD — en dat is goed — in de gaten houden wat er binnen het internetverkeer tussen Nederland en Syrië gebeurt. Maar in het verzamelen van die gegevens komt de dienst ook bijzonder veel persoonlijke gegevens tegen die geen connectie hebben met een strafbare zaak en gegevens van burgers die überhaupt niets te maken hebben met enig strafrechtelijk onderzoek. Die algoritmes kunnen gemakkelijk tot onnodige of onlogische conclusies leiden. Een arts die met zijn patiënt een paar keer mailt over het wel of niet opnemen in een verslavingskliniek met een cc naar de betreffende kliniek. Alleen al op basis van metadata beschikken veiligheidsdiensten dan over een medisch dossier dat daar niet thuishoort. Bij mij thuis, om maar eens een voorbeeld te noemen, zijn we lid van Amnesty. Toevallig kennen we een paar mensen die daar werken. We zijn overigens ook lid van de Dierenbescherming om de balans goed te houden. Dus we mailen weleens heen en weer over geslaagde acties om iemand vrij te krijgen of gewoon privé over een weekje vakantie in Istanbul. Dan waarschuwen we elkaar voor verbranden in de hete zon of voor stakingen op het vliegveld of de lange wachtrijen bij de security op Schiphol. Die combinatie van trefwoorden in het sleepnet, zoals Amnesty, actie, security, Istanbul, verbranden en stakingen, in handen van de veiligheidsdienst van NATO-partner Turkije kan tot heel andere conclusies leiden dan u en ik zouden willen, zeker omdat dit wetsvoorstel niet verhindert dat een buitenlandse veiligheidsdienst zijn eigen evaluatie van gegevens kan maken.
De sleepnetbevoegdheid of, in de woorden van de minister, de onderzoeksgerichte interceptie is een van de belangrijkste wijzigingen die de wet introduceert. Het is dan ook belangrijk om helder te krijgen wat wel en niet mag en onder welke condities en welke waarborgen er zijn om te zorgen dat het medisch beroepsgeheim niet wordt geschonden, dat advocaten vertrouwelijk kunnen communiceren met hun cliënten, dat journalisten hun bronnen kunnen blijven beschermen en dat duidelijk is wanneer deze gegevens nu wel of niet met buitenlandse veiligheidsdiensten mogen worden gedeeld en wat die diensten er dan mee kunnen doen of niet.
De complexe manier waarop het toezicht is geregeld, roept vragen op bij mijn fractie. Effectief toezicht is cruciaal. Het wetsvoorstel voorziet in een systeem waarbij in beginsel alle besluiten tot het inzetten van bijzondere middelen vooraf getoetst worden. In specifieke gevallen, zoals bij journalisten en advocaten, gebeurt dat door een onafhankelijk rechter en meestal door de nieuwe toetsingscommissie, de TIB, waarover mevrouw Beuving een aantal vragen heeft gesteld die ik nu niet zal herhalen. Waarom die toetsende taak niet gewoon bij de bestaande CTIVD is belegd, blijft voor mijn fractie onduidelijk. Graag horen we dat nog eens helder uiteengezet door de minister. De taak van de CTIVD is nu vooral achteraf en op basis van klachtbehandeling. Zo heeft de wetgever, zoals ook de CTIVD zelf stelde, een gelaagd en complex stelsel geïntroduceerd door toetsing, toezicht en klachtbehandeling bij aparte instanties onder te brengen. Een vergelijking met het debat van vorige week drong zich even bij mij op, waarbij het kabinet ook even niet meer weet hoe het met het toezicht op de bouw verder moet, maar dat terzijde. Wat beoogt de minister met deze complexer gemaakte vorm van toezicht? De helderheid wordt niet gevoed door de wijze van rapporteren door de instanties. De toetsingen die aan de rechtbank zijn voorgelegd blijven, als we het goed begrijpen, altijd vertrouwelijk. TIB en CTIVD rapporteren alleen via de minister aan het parlement. Dat geheel leidt tot een aantal extra vragen. Waarom kiest de minister voor grotere complexiteit in het toezicht? Waarom houdt hij dat niet strak, streng en simpel? Waarom komt de rechterlijke toets maar in enkele gevallen, zoals bij de advocaten en journalisten, aan de orde? Ik verwijs net als vorige week bij het debat over artikel 13 nog een keer naar de jurisprudentie van het Europees Hof uit november 2012, waar het Hof feitelijk zegt dat als het schenden van de rechten van individuen gemakkelijk mogelijk is en de gevolgen heftig kunnen zijn, in principe de rechter zou moeten meekijken. Graag krijg ik nu wel een concrete reactie van de minister.
De CTIVD heeft bij meerdere gelegenheden aangegeven zich zorgen te maken of zij voldoende middelen ter beschikking heeft om haar taken uit te oefenen. Is de minister bereid om in gesprek te gaan over de financiën en, zo nee, om met een versnelde evaluatie te komen om te zien of de taken met de bestaande bezetting kunnen worden uitgevoerd? Is de minister tevens bereid een voldoende transparant, onafhankelijk en compleet stelsel van rapportages onverkort en onverwijld, eventueel vertrouwelijk, aan de Kamers te sturen om de Kamers inzicht te geven in de werking van het toezicht na inwerkingtreding van de wet?
De nieuwe techniekonafhankelijke formulering van interceptie was ook reden voor een reeks vragen in de schriftelijke behandeling. De CTIVD bepleitte dat het verzamelen en analyseren van data selectief, doelgericht en met zorg moet plaatsvinden. Het is belangrijk dat niet-relevante gegevens direct verwijderd worden, de zogenaamde nevenvangst. Uit de antwoorden van de minister maak ik op dat hij meent dat de "select while you collect"-handelwijze al nadrukkelijk genoeg verankerd is in de wet. GroenLinks heeft ook daar haar vragen bij. Is er bijvoorbeeld genoeg digitale ondersteuning en is er voldoende toezicht om deze handelwijze te realiseren? Zullen de diensten niet, tenzij er een sterke waarborg in de wet tegenover staat, altijd geneigd zijn om gegevens voor de zekerheid maar te bewaren, omdat er altijd een kleine kans is dat ze relevant zullen blijken in de nabije toekomst?
Gewone mensen willen veiligheid, maar ook de garantie dat ze ongehinderd hun mailtjes, sms'jes en whatsappjes kunnen sturen, zonder dat de overheid onnodig vaak en onnodig veel over hun schouder meekijkt. Het werk dat de veiligheidsdiensten doen, is een groot goed. Als zij dit werk kunnen blijven doen met het vertrouwen van de samenleving dat dit vakkundig, gericht en onder goede wettelijke waarborgen wordt gedaan, kan dat hun positie alleen maar versterken. In het maatschappelijk debat zien wij op dat punt echter bezorgdheid en erosie van draagvlak.
Daarom leg ik nog even een paar punten onder het vergrootglas. De minister stelde onder meer in de memorie van antwoord aan de Kamer dat voor het bepalen van de ernst van de inbreuk op de privacy gekeken wordt naar drie factoren: de vraag of het bij de inbreuk gaat om de inhoud van berichten of om metadata, de schaal waarop gegevens worden verzameld en hoe ingrijpend de gehanteerde ontsluitingssystematiek is. Dat vraagt, naar de mening van de fractie van GroenLinks, om een betere invulling van de criteria. Kan de minister nog eens uiteenzetten hoe hij in de praktijk concreet beoordeelt wat de impact is van de schaal waarop gegevens worden verzameld? Welke ontsluitingsmethodieken zijn in zijn ogen wel of niet aanvaardbaar? Waar ligt volgens de minister de grens waarbij een inbreuk op de privacy niet meer proportioneel is? Als alle mails van een stadswijk of buurt worden onderschept? Of mag dat wel? Als we iedereen met de naam Jansen — ik formuleer het bewust maar even met een neutrale naam — onder de loep nemen? Als we al het berichtenverkeer uit Rusland onderscheppen vanwege mogelijk hackgevaar? Waar ligt volgens de minister de grens van het toelaatbare? Ligt die grens voor de inhoud lager dan voor metadata? Is de toegepaste techniek van invloed? In de Tweede Kamer zei de minister dat het volgens het kabinet niet aannemelijk is dat bijvoorbeeld persoonlijke apparaten die mensen om medische redenen dragen, gehackt worden, maar dat staat niet in de wet. Waarom eigenlijk niet? Ook dat kun je techniekonafhankelijk formuleren. Het is van fundamenteel belang dat dit soort zaken helder en eenduidig geformuleerd is, ook om het draagvlak voor de veiligheidsdiensten zo groot mogelijk te houden.
Ik ga nog even kort in op de bewaartermijn. Ook daar is eerder over gesproken. Voorstellen om deze termijn terug te brengen naar twee of een jaar worden afgewezen door de minister, terwijl landen als het Verenigd Koninkrijk en Duitsland niet langer dan een halfjaar respectievelijk 90 dagen onbewerkte data bewaren. Waarom is de minister hierover zo halsstarrig? Hoe verhoudt de voorgestelde bewaartermijn zich tot de uitspraak van het Hof van Justitie uit 2014 over de Dataretentierichtlijn? De conclusie van het Hof van Justitie was destijds dat de bewaarplicht een disproportionele inbreuk vormt op het recht op privacy. In verband daarmee werd de Wet bewaarplicht telecommunicatiegegevens gezien als strijdig met het Handvest van de grondrechten van de Europese Unie, terwijl de bewaartermijn in die wet slechts een halfjaar bedroeg. Met welke argumenten kan deze bewaartermijn nu dan wel worden gelegitimeerd? Deze Kamer zou wat ons betreft geen wetsvoorstel moeten aannemen als er gerede twijfel is over de vraag of dit in strijd is met uitspraken van het Europese Hof. Ook recentelijk werd in Europees verband nog gesproken over de bewaartermijn van gegevens. Ik verwijs naar de brief van minister Blok over de JBZ-Raad van 3 juli 2017. Is er een advies van de juridische dienst van de Raad? Kan de minister dat bevestigen? Zo ja, kan de Kamer dat advies dan ontvangen, hetzij schriftelijk, hetzij mondeling, liefst vandaag nog?
Bestaande kwetsbaarheden in het digitale systeem zullen soms doelbewust worden opengelaten door de veiligheidsdiensten, om zo toegang te krijgen tot bepaalde gegevens. Wij vinden dat die achterdeurtjes zonder meer gemeld moeten worden. Hebben we niets geleerd van de recente malware? De minister spreekt van een richtlijn daarvoor. Hoe staat het met die richtlijn? Welke criteria worden daar dan in opgenomen? Graag krijg ik hierop een reactie van de minister.
De inzet van onze diensten om de veiligheid van Nederlanders te garanderen stopt niet bij de landsgrenzen. Het is ook belangrijk dat de Nederlandse diensten samenwerken met buitenlandse geheime diensten en in dat verband gegevens kunnen uitwisselen. Met deze wet wordt echter ook voorgesteld om in bepaalde gevallen niet-geëvalueerde data te delen. Dat wil zeggen dat buitenlandse diensten dan aan de slag kunnen met een complete set data waarvan geen analyse is gemaakt door onze veiligheidsdiensten. Dat is voor ons onaanvaardbaar. Als dat gebeurt, is het volstrekt onduidelijk wat een buitenlandse dienst uitspookt met gegevens van Nederlandse burgers, die niets anders hebben gedaan dan per ongeluk in het verkeerde sleepnet zitten. De gevolgen kunnen ernstig zijn voor mensen wier gegevens in handen komen van veiligheidsdiensten in landen waar bijvoorbeeld andere opvattingen over seksualiteit heersen. Welke zekerheid biedt dit wetsvoorstel volgens de minister dat data die gedeeld worden met buitenlandse diensten vooraf op enige wijze getoetst zijn op de gevolgen voor de positie van Nederlandse burgers?
Ik wil heel kort nog een paar puntjes aanstippen. Allereerst is er de waarborging van journalistieke vrijheden. Is de regeling die daarvoor is ingesteld in lijn met de eisen die het EVRM daaraan stelt? En geeft die klokkenluiders en journalisten voldoende ruimte om gevoelige informatie te delen met de media? Om mijn vraag uit de schriftelijke ronde nog eens te herhalen: is het voorstel nu zo ingericht dat er alleen een uitzondering gemaakt kan worden in gevallen waarin een rechter oordeelt dat het belang van de diensten zwaarder weegt dan het belang van bronbescherming? Ik heb ook nog een puntje over het systeem van nummerherkenning. Is het overleg daarover met de Nederlandse orde van advocaten al in gang gezet? Wat is daarvan de stand van zaken?
Ik kom tot een afronding. Een wetsvoorstel dat in potentie dusdanig ingrijpt in de individuele vrijheid van de Nederlandse burger en dusdanig belangrijk is voor de nationale veiligheid vraagt om heldere afspraken over de vraag wanneer er op grote schaal getapt kan worden, om eenduidig toezicht en een rechterlijke toets, om uit te sluiten dat ongefilterde data van Nederlandse burgers zomaar naar het buitenland verdwijnen. Als daar geen sprake van is, dan ontstaan er onbehagen en bezorgdheid. Die zijn er nu nog te veel. Zo bereiken we niet de veiligheidsdoelen die we willen bereiken en ook niet het niveau van privacy en rechtsbescherming waar burgers op mogen rekenen. Wij zijn erg benieuwd naar de antwoorden van de minister.