Extra bevoegdheden voor inlichtingen- en veiligheidsdiensten in nieuwe wet onvoldoende begrensd
Er is een wetsvoorstel ter consultatie gepubliceerd dat de inlichtingendiensten AIVD en MIVD in staat stelt sneller te kunnen optreden bij cyberaanvallen. Deze 'Cyberwet' betekent een verruiming van de mogelijkheden om onderzoek te doen naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. In zijn advies op dit wetsvoorstel wijst het College de regering op een aantal onvolkomenheden vanuit mensenrechtelijk perspectief.
Waarom is dit wetsvoorstel er?
Een aantal landen voert steeds vaker digitale aanvallen uit op Nederland en Nederlandse belangen. Bijvoorbeeld om te spioneren, te beïnvloeden of te saboteren. Deze landen maken voor hun cyberaanvallen gebruik van digitale infrastructuur, verspreid over de hele wereld, en wisselen daarbij voortdurend van positie. Om deze cyberdreiging tegen te gaan is het volgens de regering noodzakelijk dat de MIVD en AIVD sneller en effectiever hun bevoegdheden kunnen inzetten.
Wat houdt het voorstel in?
Met dit wetsvoorstel krijgen de inlichtingen- en veiligheidsdiensten meer mogelijkheden om onderzoek te doen naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Normaal is de Wet op de Inlichtingen-en Veiligheidsdiensten 2017 (Wiv 2017) van toepassing. Maar als de inlichtingen- en veiligheidsdiensten vermoeden dat het gaat om een land met een offensief cyberprogramma, kunnen zij zich beroepen op deze nieuwe wet, waardoor hun bevoegdheden worden vergroot.
Zo zou het bijvoorbeeld mogelijk worden om, als eenmaal toestemming is verleend voor het hacken van een systeem van een persoon of organisatie, vervolgens zonder verdere toestemming ook alle andere systemen waar deze persoon of organisatie toegang toe heeft, te hacken. Ook wordt het in bepaalde gevallen mogelijk om data niet na anderhalf jaar te vernietigen, maar de bewaartermijn telkens met een jaar te verlengen. Daarnaast mogen de AIVD en MIVD ongericht gaan verkennen wat voor informatie er via de kabel gedeeld wordt.
Wat heeft dit met mensenrechten te maken?
De bescherming van de persoonlijke levenssfeer van burgers is een mensenrecht. Dit is onder andere vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van Mens (EVRM). Onder dit mensenrecht valt ook de bescherming van persoonsgegevens en correspondentie. Het werk van de inlichtingen- en veiligheidsdiensten valt binnen het bereik van artikel 8 EVRM, maar zij mogen bij de inzet van bijzondere bevoegdheden wel inbreuk maken op dit recht. Bijvoorbeeld door een database te hacken die ook gegevens van onschuldige burgers bevat. Dat mag echter alleen als het in de wet staat, een legitiem doel dient, zoals de nationale veiligheid, en noodzakelijk is in een democratische samenleving.
Zorgen over dit wetsvoorstel
- De verruiming van een aantal bevoegdheden van de inlichtingen- en veiligheidsdiensten, zoals de bovengenoemde hackbevoegdheid en verkenning op de kabel, is vanuit mensenrechtelijk perspectief zorgelijk. De inzet van deze bevoegdheden is in het nu voorliggende wetsvoorstel nog onvoldoende begrensd.
- Deze wet mag straks alleen worden toegepast bij onderzoeken van de inlichtingen- en veiligheidsdiensten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Om welke landen het precies gaat is echter niet duidelijk, omdat de lijst met landen niet openbaar is. Ook wordt de wet van toepassing wanneer alleen nog een vermoeden bestaat dat zo’n land achter een cyberaanval zit. Uit het wetsvoorstel wordt daarnaast niet duidelijk op basis van welke criteria bepaald wordt of een land een offensief cyberprogramma heeft.
- Deze Cyberwet brengt zoals hierboven omschreven een aantal fundamentele veranderingen met zich mee. Het College hecht eraan dat de voorgestelde veranderingen niet onomkeerbaar zijn. Het moet mogelijk blijven voor het parlement en andere stakeholders om over deze veranderingen bij de aanstaande grote herziening van de Wiv 2017 uitgebreid te spreken, en zo nodig andere regels voor te stellen.
Update januari 2023: College adviseert over wijziging Cyberwet
Eind 2022 heeft de regering een wijziging voor de voorgestelde Cyberwet ter consultatie gepubliceerd. Met de zogenoemde nota van wijziging wordt het wetsvoorstel voor de Cyberwet aangepast en aangevuld. Het voorstel bevat regels over bulkdatasets. Een bulkdataset is een omvangrijke verzameling gegevens waarbij het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek zijn die inlichtingen- en veiligheidsdiensten en dat ook niet worden. Een bulkdataset bevat dus erg veel persoonsgegevens, vooral over onschuldige burgers en organisaties. Wanneer de inlichtingen- en veiligheidsdiensten bulkdatasets verkrijgen, bewaren, beoordelen en gebruiken tast dit de privacy aan. Zij mogen dit daarom alleen doen als is voldaan aan de voorwaarden die mensenrechten daaraan stellen.
Het voorstel de cyberwet aan te passen bevat regels over het verkrijgen, bewaren en beoordelen van bulkdatasets door de diensten. Zo wil de regering het mogelijk maken voor de diensten om bulkdatasets met daarin veel gegevens van onschuldige burgers en organisaties onbeperkt te kunnen bewaren. In een advies over de wijziging aan de wetgever heeft het College zich hiertegen uitgesproken. Mensenrechten vereisen namelijk dat er duidelijke beperkingen gesteld worden op het bewaren van bulkdatasets.
Ook moet de wetgever volgens het College duidelijker vastleggen hoe de inlichtingen- veiligheidsdiensten moeten onderbouwen waarom zij een bulkdataset langer willen bewaren. Het College onderstreept daarnaast het belang van stevig en effectief toezicht op bulkdatasets.