Hoe de overheid je privacy om zeep helpt

Het lijkt alweer enige tijd geleden: de op 1 september jl. gesloten internetconsultatie over het conceptwetsvoorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) kreeg 557 publieke reacties, en dat tijdens het zomerreces. Het is afwachten hoe deze indrukwekkende respons zich gaat vertalen in een aangepaste versie van het voorstel, en hoe de Raad van State daar weer op zal reageren, maar het is overduidelijk dat zowel bedrijven, maatschappelijke organisaties, wetenschappers als eindgebruikers zich ernstig zorgen maken over de kabinetsvoornemens om de bevoegdheden van deze Nederlandse diensten zo sterk uit te breiden. Het meest controversiële element uit het voorstel is de mogelijkheid die de diensten moeten krijgen om ongericht, alle mogelijke data, op iedere vorm van internetinfrastructuur te kunnen tappen. ‘In bulk’ zoals de wetgever het in de toelichting bij het voorstel formuleert.

Zelf heb ik namens de Internet Society (ISOC) Nederland een kritische respons ingediend en ben ik betrokken geweest bij het schrijven van de reactie van de stichting Digitale Infrastructuur Nederland (DINL). Afgezien van de introductie van nieuwe ongerichte bevoegdheden, zijn de belangrijkste bezwaren tegen het extreme voorstel als volgt samen te vatten: 

• Nut en noodzaak van de gewenste uitbreiding van het instrumentarium van de diensten is niet onderbouwd, terwijl de nadelige gevolgen verstrekkend zijn.

• Er is sprake van een potentieel zeer vergaande inbreuk op de privacy van iedereen die in Nederland online communiceert en data laat hosten.

• Het toezicht- en toestemmingsregime is ondoorzichtig, politiek, en niet onafhankelijk.

• De diensten mogen ‘targets’ hacken via onschuldige derden en kunnen daarbij decryptie van versleutelde data afdwingen.

• De met interceptie samenhangende hoge uitvoeringskosten worden geheel eenzijdig bij de sector neergelegd.

• Die sector wordt gedefinieerd in de vorm van een bijkans onbegrensde nieuwe categorie van ‘aanbieders van communicatiediensten’.

• De beoogde samenwerking met buitenlandse diensten is niet transparant van opzet, waarbij in Nederland verzamelde bulk-data rechtstreeks en zonder voorafgaande evaluatie met andere diensten gedeeld moeten kunnen worden. 

Kortom: dat klinkt als toegang tot ‘alles’ en bij ‘iedereen’, een intentie die dus in de luwte van de vakantieperiode online is gezet. Menigeen, geconfronteerd met de opsomming, reageert dan ook in de trant van: ‘goh, daar wist ik helemaal niets van, dat gaat wel heel erg ver!’ En inderdaad, je zou bijna zeggen dat Snowden het niet had kunnen verzinnen.

Interessant is dat eerder deze maand het Europese Hof het zogenaamde Safe Harbour besluit uit 2000 niet langer geldig heeft verklaard. In dit besluit van de Europese Commissie werd onder andere bepaald dat onder voorwaarden gegevens van Europese burgers door Amerikaanse internet bedrijven naar de Verenigde Staten verplaatst mochten worden. Mits hun privacy voldoende gewaarborgd was. Met de uitspraak van het Hof zien we steun voor het pleidooi dat het schenden van digitale Europese burgerrechten door de Amerikaanse overheid onrechtmatig is. Datzelfde zal dan ook moeten gelden voor de Europese lidstaten zelf, en het is de vraag hoe de Kabinetsvoornemens met betrekking tot de Nederlandse veiligheidsdiensten zich verhouden tot dit soort Europese ontwikkelingen. 

Naast genoemde bezwaren is er een cruciaal element dat in de motivatie van het Kabinetsvoorstel geheel ontbreekt, en dat we vanuit de private sector hebben moeten benadrukken: als de voorgestelde bevoegdheden werkelijkheid worden, is dat zeer schadelijk voor het vertrouwen om online zaken te doen in Nederland. Dit vertrouwen is essentieel bij het gebruik van de geavanceerde en neutrale Nederlandse digitale infrastructuur zoals we die nu hebben. Deze negatieve economische consequenties zijn geheel onderbelicht in de toelichting bij het wetsvoorstel, wat het buitenproportionele karakter van de voornemens benadrukt. Inmiddels heeft Minister Kamp van Economische Zaken aangegeven, in reactie op Kamervragen naar aanleiding van de door de sector geuite zorgen, dat die economische belangen meegewogen moeten worden in dit wetgevingstraject. Een bemoedigend signaal, en het lijkt me wel het minste wat het Kabinet kan doen.

Zoals we weten heeft de Nederlandse digitale infrastructuur zich geheel zelfstandig ontwikkeld tot het bloeiende ecosysteem dat het nu is. Beleidsmakers gebruiken nu de termen ‘derde mainport’ en ‘Digital Gateway to Europe’, en zelfs de laatste miljoenennota spreekt van Nederland als ‘de digitale ingang van ons werelddeel’. De ambities die daaruit spreken lijken mij veelzeggend, en ze zijn terecht. Zet de groei van de sector zich met hetzelfde tempo voort, wat de verwachting is, dan laat de waarde van de interneteconomie in Nederland de impact van de luchthaven Schiphol en zeehaven Rotterdam op termijn achter zich. 

Vertrouwen ligt aan de basis van dit succes. Zoals het vertrouwen van buitenlandse bedrijven die zich in Nederland vestigen vanwege de gunstige omstandigheden: denk aan wereldspelers als Netflix, Google, Microsoft en Amazon. Het gaat om een klimaat waar datacenters zich willen vestigen, concurrerende netwerk-providers fibers uitrollen en ook de kleinere hosting partijen goed gedijen. Deze internationale status wil Nederland gebruiken om een ‘start-up delta’ te worden. Die status is echter niet vrijblijvend en allesbehalve vanzelfsprekend. Ook andere Europese landen focussen steeds meer op de groei die een sterke digitale infrastructuur kan bieden. Het is tenslotte de sector van de toekomst. Bovendien zetten de ontwikkelingen in het internet, dat geen rekening houdt met nationale grenzen, zich onverminderd door. Denk aan de ‘cloud’, ‘the Internet of Things’, 4K video streaming, nieuwe virtual reality- en mobiele toepassingen: ze zorgen allen voor een continue toename van interconnectiviteit en groei in gebruik van data. Met de daarmee samenhangende kansen maar ook bedreigingen. 

Om ervoor te zorgen dat buitenlandse partijen bewust de keuze blijven maken om naar Nederland te komen en hier te investeren, én dat we de randvoorwaarden voor digitale innovatie en de daaruit voortvloeiende bedrijvigheid behouden, moet de overheid een helder faciliterend beleid formuleren. En moet zij zorgen voor expliciete samenhang tussen de wetgevingsinitiatieven van de verschillende departementen. Het kan niet zo zijn dat er enerzijds een accent gelegd wordt op de economische kansen die er zijn, en dat daar anderzijds het mes in gezet wordt door de veiligheidsdiensten toegang tot alle mogelijke data te verlenen. We kunnen onze positie niet versterken als we tornen aan het fundament van ons succes. Als dit wetsvoorstel doorgang vindt, zal het de integriteit van het Nederlandse digitale ecosysteem aantasten, al is het maar in de perceptie, en daarmee onze concurrentiepositie bij buitenlandse bedrijven in de internationale digitale economie beschadigen. 

Er is dus geen garantie dat we in Nederland onze voorloperspositie als digital mainport behouden. Bovendien willen we veel meer dan alleen bitjes rondpompen: we willen échte toegevoegde waarde creëren, met de bijbehorende hoogstaande werkgelegenheid. Ik pleit er dan ook voor om uit te gaan van de kansen die er zijn, en ervoor te zorgen dat innovatieve ontwikkelingen in Nederland plaatsvinden: dat we internationaal mede richting geven, en dat we daar de economische en maatschappelijke vruchten van plukken. Ook op de langere termijn. 

Natuurlijk zijn er ook uitdagingen en problemen in een dergelijk digitaal toekomstscenario. Maar ik geloof heilig in een samenwerking tussen alle betrokken partijen – de private sector, maatschappelijke organisaties en de overheid – als het gaat om de aanpak daarvan. Ook om de aanpak van veiligheidsvraagstukken. Er zijn legio publiek-private samenwerkingsverbanden waar gezamenlijk gewerkt wordt aan de mitigatie van de minder gewenste gevolgen en effecten van onze sterke digitale infrastructuur. Of het nu gaat om botnetbestrijding of het verwijderen van duidelijk illegale content. Deze publiek-private samenwerking werkt alleen wanneer er een vertrouwensrelatie en een gezamenlijk belang is.

Dat de Nederlandse veiligheidsdiensten een opdracht hebben om onze nationale veiligheid te beschermen en daartoe passende middelen nodig hebben, daar is iedereen het over eens. Maar het is dan wel zaak dat de overheid zich ook hier een betrouwbare partner toont, en zich beperkt tot hetgeen noodzakelijk en proportioneel is. Dan pas hebben we het vereiste vertrouwen om samen te werken aan een juiste balans tussen veiligheid, privacy en economie. En blijft de randvoorwaarde voor een succesvolle Nederlandse digitale toekomst beschermd.