Extra bevoegdheden voor inlichtingen- en veiligheidsdiensten in nieuwe wet onvoldoende begrensd

Er is een wetsvoorstel ter consultatie gepubliceerd dat de inlichtingendiensten AIVD en MIVD in staat stelt sneller te kunnen optreden bij cyberaanvallen. De spoedwet betekent een verruiming van de mogelijkheden om onderzoek te doen naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. In zijn advies op dit wetsvoorstel wijst het College de regering op een aantal onvolkomenheden vanuit mensenrechtelijk perspectief.

Waarom is dit wetsvoorstel er?

Een aantal landen voert steeds vaker digitale aanvallen uit op Nederland en Nederlandse belangen. Bijvoorbeeld om te spioneren, te beïnvloeden of te saboteren. Deze landen maken voor hun cyberaanvallen gebruik van digitale infrastructuur, verspreid over de hele wereld, en wisselen daarbij voortdurend van positie. Om deze cyberdreiging tegen te gaan is het volgens de regering noodzakelijk dat de MIVD en AIVD sneller en effectiever hun bevoegdheden kunnen inzetten.

Wat houdt het voorstel in?

Met dit wetsvoorstel krijgen de inlichtingen- en veiligheidsdiensten meer mogelijkheden om onderzoek te doen naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Normaal is de Wet op de Inlichtingen-en Veiligheidsdiensten 2017 (Wiv 2017) van toepassing. Maar als de inlichtingen- en veiligheidsdiensten vermoeden dat het gaat om een land met een offensief cyberprogramma, kunnen zij zich beroepen op deze nieuwe wet, waardoor hun bevoegdheden worden vergroot.

Zo zou het bijvoorbeeld mogelijk worden om, als eenmaal toestemming is verleend voor het hacken van een systeem van een persoon of organisatie, vervolgens zonder verdere toestemming ook alle andere systemen waar deze persoon of organisatie toegang toe heeft, te hacken. Ook wordt het in bepaalde gevallen mogelijk om data niet na anderhalf jaar te vernietigen, maar de bewaartermijn telkens met een jaar te verlengen. Daarnaast mogen de AIVD en MIVD ongericht gaan verkennen wat voor informatie er via de kabel gedeeld wordt.

Wat heeft dit met mensenrechten te maken?

De bescherming van de persoonlijke levenssfeer van burgers is een mensenrecht. Dit is onder andere vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van Mens (EVRM). Onder dit mensenrecht valt ook de bescherming van persoonsgegevens en correspondentie. Het werk van de inlichtingen- en veiligheidsdiensten valt binnen het bereik van artikel 8 EVRM, maar zij mogen bij de inzet van bijzondere bevoegdheden wel inbreuk maken op dit recht. Bijvoorbeeld door een database te hacken die ook gegevens van onschuldige burgers bevat. Dat mag echter alleen als het in de wet staat, een legitiem doel dient, zoals de nationale veiligheid, en noodzakelijk is in een democratische samenleving.

Zorgen over dit wetsvoorstel

  • De verruiming van een aantal bevoegdheden van de inlichtingen- en veiligheidsdiensten, zoals de bovengenoemde hackbevoegdheid en verkenning op de kabel, is vanuit mensenrechtelijk perspectief zorgelijk. De inzet van deze bevoegdheden is in het nu voorliggende wetsvoorstel nog onvoldoende begrensd.
  • Deze wet mag straks alleen worden toegepast bij onderzoeken van de inlichtingen- en veiligheidsdiensten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Om welke landen het precies gaat is echter niet duidelijk, omdat de lijst met landen niet openbaar is. Ook wordt de wet van toepassing wanneer alleen nog een vermoeden bestaat dat zo’n land achter een cyberaanval zit. Uit het wetsvoorstel wordt daarnaast niet duidelijk op basis van welke criteria bepaald wordt of een land een offensief cyberprogramma heeft.
  • Deze spoedwet brengt zoals hierboven omschreven een aantal fundamentele veranderingen met zich mee. Het College hecht eraan dat de voorgestelde veranderingen niet onomkeerbaar zijn. Het moet mogelijk blijven voor het parlement en andere stakeholders om over deze veranderingen bij de aanstaande grote herziening van de Wiv 2017 uitgebreid te spreken, en zo nodig andere regels voor te stellen.