Toon items op tag: Geheime diensten

Vorige week werd bekend dat Amerikaanse geheime diensten (NSA, FBI etc.) in de "strijd tegen terrorisme" vrijwel alle communicatie op het internet monitoren, niet alleen in Amerika maar zelfs wereldwijd. De codenaam voor dit Amerikaanse Big Brother systeem is PRISM. Op jongerenzender FunX werd Vincent Böhre van Privacy First vanmiddag om een reactie gevraagd. Beluister hieronder het hele fragment:

In het kader van een openbare consultatie verzocht het ministerie van Binnenlandse Zaken Privacy First onlangs om een reactie op het huidige kabinetsvoorstel ter herziening van artikel 13 Grondwet (brief-, telefoon- en telegraafgeheim). Ons commentaar op het concept-wetsvoorstel treft u hieronder aan (klik HIER voor de versie in pdf):

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Plaatsvervangend Directeur Constitutionele Zaken en Wetgeving
Dhr. mr. W.J. Pedroli
Postbus 20011
2500 EA Den Haag

Amsterdam, 29 december 2012

Betreft: Commentaar Privacy First op concept-wetsvoorstel tot wijziging van artikel 13 Grondwet

Geachte heer Pedroli,

Op 16 oktober jl. verzocht u Stichting Privacy First om een reactie te geven op het concept-wetsvoorstel tot wijziging van artikel 13 Grondwet. Privacy First is u erkentelijk voor uw verzoek en voorziet u hierbij graag van kritisch commentaar. Daarbij zij allereerst opgemerkt dat Privacy First de wens van dit kabinet om het huidige, archaïsche artikel 13 Grondwet te moderniseren volledig onderschrijft. Privacy First betreurt het echter dat het kabinet niet de kans heeft gegrepen om ook andere ‘grondrechten in het digitale tijdperk’ te vernieuwen en te versterken.

Positieve aspecten
In de optiek van Privacy First vormen het eerste en derde lid van het huidige concept-wetsvoorstel ter herziening van artikel 13 Grondwet krachtige ankerpunten voor een toekomstbestendig recht op vertrouwelijke communicatie. Het eerste lid moderniseert terecht het oude brief-, telefoon- en telegraafgeheim tot een techniekonafhankelijk (of techniekneutraal) brief- en telecommunicatiegeheim. Het derde lid vormt een juiste waarborg voor de horizontale uitwerking hiervan. Privacy First onderschrijft bovendien de ruime interpretatie die in de concept-memorie van toelichting (MvT) aan diverse relevante begrippen gegeven wordt. Het tweede lid van het concept-wetsvoorstel bevat echter een systematische disbalans die onze maatschappij in minder democratische tijden uit het rechtsstatelijke lood zou kunnen doen slaan. Het is dan ook met name dit tweede lid waarop de kritiek van Privacy First zich richt. Andere punten van kritiek betreffen de notificatieplicht en verkeersgegevens alsmede het ontbreken van een rechtsvergelijkende paragraaf in de MvT.

Rechterlijke machtiging en nationale veiligheid
Terecht stelt de MvT dat “in het licht van artikel 13 (…) de bescherming van de burger tegen inbreuken van de overheid voorop [staat], met name in het licht van optreden van politie en inlichtingendiensten. (…) Het stellen van de eis van een rechterlijke machtiging in de Grondwet geeft een sterke en duidelijke rechtsstatelijke waarborg.”[1] Het is dan ook onbegrijpelijk dat in het tweede lid van het concept-wetsvoorstel het domein van de nationale veiligheid van rechterlijk toezicht wordt uitgezonderd. Daar waar de machtsconcentratie het hoogst is, dienen immers de juridische checks & balances het krachtigst te zijn om (toekomstig) machtsmisbruik te voorkomen. In het licht van de Europese geschiedenis is de uitzondering in lid 2 zelfs volstrekt onverantwoord: ook in onze contreien is een democratische rechtsstaat helaas geen statisch gegeven. Daarnaast geeft e.e.a. een gevaarlijk signaal aan het buitenland. De uitzondering in lid 2 acht Privacy First bovendien onverstandig met het oog op mogelijke technologische ontwikkelingen in de (verre) toekomst.[2] Hetzelfde geldt in verband met de (verdere) oprekking van het begrip “nationale veiligheid”. Ook in de toekomst dient de Nederlandse bevolking tegen willekeurige inbreuken op het communicatiegeheim beschermd te zijn; de huidige formulering van lid 2 biedt hiertoe geen enkele garantie.

Het toevoegen van een extra ‘rechterlijke laag’ zou het huidige stelsel van intern en extern toezicht op de inlichtingen- en veiligheidsdiensten (en daarmee de democratische rechtsstaat) versterken. Het systeem van rechterlijk toezicht in een land als Canada kan in dit opzicht een bron van inspiratie vormen. Een dergelijke rechterlijke check zou tevens in lijn zijn met de jurisprudentie van het Europees Hof voor de Rechten van de Mens:

“The Court has indicated, when reviewing legislation governing secret surveillance in the light of Article 8 [ECHR], that in a field where abuse is potentially so easy in individual cases and could have such harmful consequences for democratic society as a whole, it is in principle desirable to entrust supervisory control to a judge.”[3]

In het licht hiervan is de huidige formulering van lid 2 niet opportuun. Privacy First adviseert dan ook om dit lid als volgt te herzien:

“Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, met machtiging van één of meer bij de wet aangewezen ministers.” [doorstreping Privacy First]

Als eventueel alternatief voor de invoering van rechterlijk toezicht in het veiligheidsdomein adviseert Privacy First om de bestaande Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) te upgraden tot een krachtiger onafhankelijk toezichtsorgaan à la het Belgische of Duitse model, met algehele, verplichte toetsing vooraf i.p.v. steekproefsgewijs toezicht achteraf.

Notificatieplicht
Een tweede punt van kritiek betreft het ontbreken van expliciete grondwettelijke vermelding van een notificatieplicht bij inbreuken op het brief- en telecommunicatiegeheim. Een notificatieplicht versterkt immers de rechtsbescherming voor burgers en draagt bij aan correcte naleving van de wet door de overheid, ook in het veiligheidsdomein. Evenals rechterlijke machtiging biedt dit de beste garanties tegen misbruik op korte én lange termijn.

Verkeersgegevens
In de optiek van Privacy First dienen ook verkeersgegevens onder de reikwijdte van artikel 13 Grondwet te vallen. Deze gegevens zien immers vaak mede op de inhoud van communicatie; dit blijkt zelfs met zoveel woorden uit de MvT zelf, waar terecht SMS en de onderwerp-regel van email als voorbeelden worden genoemd.[4] Hetzelfde geldt bijvoorbeeld voor zoekopdrachten in zoekmachines. Daarnaast kan uit verkeersgegevens in combinatie met andere (al dan niet real-time verzamelde) gegevens alsnog de inhoud van communicatie tussen individuen en/of bedrijven worden afgeleid. Een krachtig regime van artikel 13 Grondwet in combinatie met rechterlijk toezicht is dus ook hier geboden.

Rechtsvergelijking
Tenslotte mist Privacy First in de huidige MvT een rechtsvergelijkende paragraaf waarin het huidige artikel 13 Grondwet vergeleken wordt met grondwettelijke best practices uit landen met hetzij een civil law, hetzij een common law traditie. Met een nieuw artikel 13 Grondwet als internationale state-of-the-art zou Nederland zich bovendien positief kunnen onderscheiden en haar vroegere positie als mensenrechtelijk gidsland enigszins kunnen heroveren.

Privacy First hoopt u met dit advies van dienst te zijn. Desgevraagd zijn wij graag tot een nadere toelichting op bovenstaande punten bereid.

Hoogachtend,

Stichting Privacy First

Vincent Böhre
director of operations

"Het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) is geen voorstander van Big Brother, zo liet hij tijdens een lezing bij Stichting Privacy First weten. Rob Bertholee was door de privacybeschermer uitgenodigd om over de AIVD te komen spreken en het recht op privacy. Zo ging hij in op verschillende taken waar de dienst zich mee bezighoudt, de bevoegdheden die het heeft en wat voor invloed dit op de maatschappij of privacy van burgers kan hebben.

Zo stelt Bertholee dat de koppeling en internationale uitwisseling van gegevens door de burger ervaren kan worden als 'Big Brother' en dat men zich hier zorgen over maakt. Iets waar Bertholee als burger zegt zich ook zorgen over te maken.

Big Brother
Geconfronteerd met een vraag vanuit het publiek over nieuwe, voorspellende technieken en het effect dat dit kan hebben op maatschappelijk gedrag stelt Bertholee "geen voorstander te zijn van Big Brother. Er zijn grenzen aan wat je wel en niet kunt doen. Dat heeft ook te maken met de risico’s die je bereid bent te lopen als maatschappij."

Bertholee eindigt zijn lezing door nog eens te benadrukken dat de AIVD geen dossiers van iedereen bijhoudt, niet iedereen onder de tap houdt, niemand neerschiet, niemand arresteert, niemand klemrijdt, niemand martelt, niet elke computer hackt, geen handhavende bevoegdheden heeft, geen druk op mensen uitoefent en geen journalisten ronselt. Mythes die de AIVD ook op de eigen website probeert te ontzenuwen."

Bron: Security.nl, 21 september 2012.

Stichting Privacy First organiseert regelmatig borrels annex thema-avonden voor onze vrijwilligers, donateurs en experts uit ons netwerk van journalisten, wetenschappers, ICT’ers en juristen. Sinds juni 2011 vinden deze avonden gemiddeld eens per kwartaal plaats ten kantore van Privacy First in het voormalige Volkskrantgebouw in Amsterdam. Thema’s waren tot nu toe o.a. privacy in Nederland (spreker: Bart de Koning), biometrie (Max Snijder) en profiling door de overheid (Quirine Eijkman en André Hoogstrate). Ook waren er boekpresentaties door Dimitri Tokmetzis (De digitale schaduw) en Adriaan Bos (Advocaat van de waarheid). Op donderdagavond 13 september jl. was er sprake van een heuse primeur: een lezing over de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het recht op privacy door niemand minder dan het Hoofd van de AIVD zelf, de heer Rob Bertholee. (Klik HIER voor onze eerdere uitnodiging aan relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons!) De essentie van de lezing van de heer Bertholee verscheen de volgende ochtend op de website van de AIVD; klik HIER. Naar aanleiding van de lezing verscheen vandaag tevens een artikel in de Telegraaf. Hieronder volgt onze verkorte weergave van de (ruim twee uur durende) lezing en discussie door Bertholee met het publiek.

Gemeenschappelijk doel: vrijheid in een open democratische samenleving

De avond begint met een korte introductie door Privacy First voorzitter Bas Filippini. In de optiek van Filippini strijden Privacy First en de AIVD eigenlijk voor hetzelfde doel, namelijk vrijheid in een open democratische samenleving, weliswaar vanuit verschillend perspectief. Rob Bertholee beaamt dit en zegt dat hij zich hier vanavond, in tegenstelling tot wat sommige mensen misschien denken, niet in het hol van de leeuw waant. Na een lange carrière in de landstrijdkrachten is Bertholee inmiddels 9 maanden werkzaam als Hoofd van de AIVD. Het beeld dat hij al snel van de AIVD kreeg was dat van een professionele organisatie met mensen die worden gedreven door idealen, zo vertelt hij. Zowel de AIVD als de MIVD hebben dagelijks te maken met risico’s en bedreigingen van de nationale veiligheid en de democratische rechtsorde, oftewel met bedreigingen van de manier waarop wij gewend zijn te leven met alle borgingen voor onze vrijheden van dien. Als gevolg van internationalisering en technologisering nemen die dreigingen en risico’s toe in aantal, impact en bereik. Een voorbeeld is het internet dat zowel een positieve kant als een schaduwzijde heeft.

Veiligheid is geen grondrecht

De AIVD heeft twee hoofdtaken: inlichtingen en veiligheid. Veiligheid is formeel echter geen grondrecht, zo merkt Bertholee terecht op. Wel heeft het Europees Hof voor de Rechten van de Mens in haar jurisprudentie aangegeven dat Staten verplicht zijn alle redelijke maatregelen te nemen tegen levensbedreigende situaties, aldus Bertholee. De Raad van Europa heeft dit vervolgens bevestigd met de zogeheten Guidelines on human rights and the fight against terrorism. Waar de focus van Privacy First ligt op de bescherming van het individu, zo ligt de focus van de AIVD op de bescherming van de gemeenschap van individuen. Daartussen zit een trade-off: ter bescherming van de gemeenschap dient soms een inbreuk op de rechten van een individu te worden gemaakt. Bertholee noemt vervolgens enkele taken van de AIVD waarbij geen sprake is van inbreuk op de privacy, namelijk 1) bij persoonlijk veiligheidsonderzoek en 2) bij het bevorderen van beschermingsmaatregelen bij personen, organisaties en bedrijven, bijvoorbeeld i.v.m. spionage. Bij de uitvoering van persoonlijke veiligheidsonderzoeken en bij de taak onder (2) mag de AIVD immers geen bijzondere inlichtingenmiddelen inzetten (volgens de wet). En juist bij die inzet is er sprake van inbreuk op de privacy.

Een relevant onderdeel van de AIVD is het Nationaal Bureau voor Verbindingsbeveiliging (NBV), dat de Rijksoverheid ondersteunt bij de beveiliging van bijzondere informatie. Het NBV evalueert beveiligingsproducten en speelt ook een rol in de ontwikkeling ervan. Hier worden bijvoorbeeld USB-sticks voor de overheid getest tegen datalekken. Verder is er de politieke inlichtingentaak van de AIVD in het buitenland, “die weliswaar de privacy van mensen aantast, maar niet hier te lande”. En tenslotte is er nog de taak van het maken van dreigingsanalyses voor personen (bijvoorbeeld politici), organisaties of evenementen. Een taak van de AIVD waarbij de privacy in Nederland wél in het geding komt betreft het onderzoek naar “bedreigingen van de nationale veiligheid, het voortbestaan van de democratische rechtsorde en andere, gewichtige belangen van de Staat”. Dit onderzoek vindt allereerst plaats middels open bronnen (media, internet etc.), maar kan (vervolgens) ook geschieden door het volgen, observeren of afluisteren van mensen of het binnendringen van virtuele of fysieke ruimtes. Bertholee benadrukt in dit verband de hoge mate waarin elke medewerker van de AIVD doordrongen is van “het wezen” van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv2002). “Als burger voelde ik mij redelijk gerustgesteld vanaf het moment dat ik inzicht kreeg in wat de dienst eigenlijk deed en kon en mocht doen, en hoe de overheid controle uit kon blijven oefenen op een dienst als de AIVD,” zegt Bertholee. “U hoeft mij niet te geloven, maar ik wilde dit toch even met u delen,” grapt hij. Dan stellig: “onze taken en bevoegdheden zijn allemaal strak omschreven in de wet.”

Wettelijk kader

Op het vlak van terrorismebestrijding gaat de aandacht van de AIVD momenteel vooral uit naar (potentiële) jihadisten en radicale eenlingen zoals Breivik. Bertholee vindt het zorgwekkend dat dergelijke eenlingen lastig op te sporen zijn, hoewel relevante informatie soms wel voorhanden is, bijvoorbeeld bij zorginstellingen of de politie. Een lastig dilemma is dan of zaken voorkomen hadden kunnen worden door informatie nationaal en internationaal te “correleren”, en welke risico’s je als maatschappij wilt aanvaarden met behoud van de privacy, aldus Bertholee. Hij kan zich echter ook voorstellen dat correlatie (koppeling) en internationale uitwisseling van gegevens door de burger ervaren wordt als “Big Brother” en dat men zich daar zorgen om maakt. Als burger maakt Bertholee zich daar zelf ook zorgen over. Waar ligt de balans tussen de bescherming van het individu en de bescherming van de gemeenschap? Elke bijzondere bevoegdheid van de AIVD is verankerd in de Wiv2002. En elke bijzondere bevoegdheid maakt een inbreuk op de privacy. De meest simpele bijzondere bevoegdheid is het praten met mensen (art. 17 Wiv2002). Voor elke bijzondere bevoegdheid in de Wiv2002 gelden de eisen van 1) noodzakelijkheid, 2) proportionaliteit en 3) subsidiariteit. Bijzondere bevoegdheden kunnen dan ook pas worden ingezet indien open bronnen (internet etc.) ontoereikend zijn. De AIVD dient zich telkens af te vragen: is het per se noodzakelijk? En weten we heel zeker dat er geen lichter middel is? De uitoefening van die bevoegdheden is achteraf controleerbaar. Op het openen van brieven na (dat valt onder de Postwet) komt er echter geen rechter-commissaris aan te pas. Voor de inzet van ieder bijzonder inlichtingenmiddel is wel toestemming nodig. Die wordt verleend door de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) of namens de minister door het Hoofd van de AIVD. Iedere nieuwe medewerker van de AIVD krijgt bovendien een basisopleiding, waarbij men onder meer goed in de Wiv2002 raakt ingevoerd. Bertholee vertelt in dit verband een interessante anekdote: eens in de zoveel tijd nodigt de AIVD een aantal journalisten, parlementariërs of juristen uit om samen een casus te behandelen. Daarbij blijken de niet-AIVD’ers meestal eerder geneigd tot het inzetten van bijzondere bevoegdheden dan de medewerkers van de AIVD zelf. Desgevraagd antwoordt Bertholee overigens dat hij de Wiv2002 persoonlijk aan minister Spies (BZK) heeft toegelicht, reeds anderhalf uur nadat zij door Koningin Beatrix was beëdigd. “Geen eigen spelregels, maar alleen datgene wat er in de wet staat,” aldus Bertholee. Hij vertelt verder over het proces waarlangs een bijzondere bevoegdheid wordt ingezet: dat begint met de medewerker die voor een AIVD-onderzoek een bijzondere bevoegdheid wil inzetten. Die medewerker dient dat schriftelijk te motiveren. Daar kijkt een operationeel AIVD-jurist naar. Vervolgens gaat het naar de leidinggevende. Daarna komt het bij Bertholee. En daarna komt het bij de Minister. Zo gaat het geval voor geval, telkens met inachtneming van de vereisten van de Wiv2002. Bij het vragen om informatie door de AIVD aan burgers mag overigens geen sprake zijn van enige vorm van druk. Hetzelfde geldt voor het vragen van informatie aan journalisten: journalisten zijn geheel vrij om daar wel of niet aan mee te werken. “Als een journalist er niet aan wil meewerken, dan is dat jammer voor de AIVD, maar daar houdt het mee op,” stelt Bertholee. E.e.a. wordt echter wel vastgelegd in een gespreksnotitie, aangezien voor de AIVD alles controleerbaar moet zijn.

Toezichtsmechanismen

Bertholee vertelt over het stelsel van controle op de AIVD waarin een aantal instanties ieder hun eigen rol spelen. Allereerst is er de parlementaire commissie voor de inlichtingen- en veiligheidsdiensten (“commissie Stiekem”), bestaande uit alle fractievoorzitters. Daarnaast is er de (openbare) Kamercommissie voor Binnenlandse Zaken. Ter controle van de rechtmatigheid van de taakuitvoering van de AIVD is er bovendien de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD); dit onafhankelijke toezichtsorgaan bestaat voornamelijk uit juristen. Volgens Bertholee was de beoordeling van de AIVD door de CTIVD de laatste jaren overwegend positief. Daarnaast is er ook nog een rol voor de Algemene Rekenkamer ter controle van de (geheime) begroting van de AIVD. Zowel de CTIVD als de Algemene Rekenkamer krijgen overal toegang toe.

Herziening Wiv2002

Wat eventuele herziening van de Wiv2002 betreft merkt Bertholee op dat de huidige wettelijke ruimte voor de AIVD voldoende is en dat hij niet meer bevoegdheden nodig heeft. Wel vindt hij het “bijzonder” dat de Wiv2002 in sommige aspecten gerelateerd is aan de Postwet en aan de Telecomwet, waardoor voor het openen van een brief door de AIVD toestemming van de rechter-commissaris nodig is terwijl diezelfde toestemming niet nodig is voor het onderscheppen en openen van een email. De wetgeving is dus technologie-afhankelijk en “daar moet je iets aan doen”, meent Bertholee. Op het terrein van SIGINT (Signals Intelligence) heeft de CTIVD overigens voorgesteld om de wetgeving aan te passen. Verder zou het parlement binnenkort de Wiv2002 kunnen gaan evalueren. Hete hangijzers lijken momenteel een mogelijk verbod van het inzetten van journalisten als informanten en meer controle op de doelmatigheid (effectiviteit) van de AIVD. Lastig aan dit laatste aspect is echter dat de effectiviteit van een organisatie als de AIVD zich soms moeilijk laat meten; dit hangt samen met de aard van het werk en het type dreigingen dat afgewend wordt. Bertholee: “Ik accepteer dat het leven bepaalde risico’s heeft. De vraag is echter of de maatschappij het wil. Hoeveel doden per jaar vindt u acceptabel?”

Geen Big Brother

Geconfronteerd met een vraag vanuit het publiek over nieuwe, voorspellende technieken en het effect dat dit kan hebben op maatschappelijk gedrag stelt Bertholee “geen voorstander te zijn van Big Brother. Er zijn grenzen aan wat je wel en niet kunt doen. Dat heeft ook te maken met de risico’s die je bereid bent te lopen als maatschappij.” Op een andere vraag vanuit het publiek antwoordt Bertholee dat een bijzondere bevoegdheid slechts mag worden toegepast zolang er een noodzaak toe is. Vervalt de noodzaak (c.q. de aanleiding of dreiging), dan vervalt ook de bevoegdheid. De CTIVD let daar ook op. Vervolgens geldt er 5 jaar na dato een notificatieplicht aan de betreffende burger, tenzij dit relevante bronnen of een huidige modus operandi zou kunnen onthullen. Tot op heden is deze notificatieplicht echter nog niet gebruikt. Bertholee vraagt zich bovendien af of een dergelijke notificatie niet juist een aanslag op iemands privéleven zou kunnen vormen indien er bij de betreffende persoon helemaal niets aan de hand was.

Internationale uitwisseling

Op internationale uitwisseling van inlichtingen tussen de AIVD en buitenlandse diensten blijft de Wiv2002 van toepassing, antwoordt Bertholee desgevraagd. Daarnaast geldt er ook een internationale code of conduct. Uitwisseling wordt van geval tot geval en van land tot land beoordeeld. Tevens wordt bij uitwisseling aangegeven wat er met de betreffende inlichtingen mag gebeuren. In het internationale verkeer houdt men zich daar redelijk goed aan, aldus Bertholee. In sommige gevallen (lees: landen) kan uitwisseling echter een dilemma vormen…

Grens ligt bij geweld

Op een vraag in hoeverre activisten in AIVD-dossiers voorkomen antwoordt Bertholee dat de AIVD in principe geen onderzoek doet naar activisten. Bertholee: “Wat iemand denkt maakt ons niets uit. Wij zijn niet de moraalridders van Nederland. Pas op het moment dat er geweld aan te pas komt, oproepen tot geweld, duidelijke intenties tot geweld, radicalisering, dan voelen wij ons betrokken.”

Actuele risico’s

Bertholee benadrukt tijdens de discussie met het publiek tevens dat het doel van de AIVD niet is om zoveel mogelijk informatie te verzamelen. Het doel is om de juiste informatie te verzamelen om een dreiging te kunnen afwenden. Niet de AIVD, maar de industrie vormt daarbij een drijvende kracht achter de ontwikkeling van nieuwe informatietechnologie die helaas ook in minder democratische landen wordt ingezet. Desgevraagd erkent Bertholee tevens het risico van een overvloed aan data waarin een dienst als de AIVD kan ‘verzuipen’. Biometrie is zo'n ontwikkeling van nieuwe technologie. Hierdoor wordt het lastiger om een valse identiteit aan te meten, zowel voor mensen die kwaad willen als voor agenten van de AIVD zelf. Verder is privatisering van inlichtingenwerk riskant, met name door het ontbreken van wettelijke checks & balances.

Tenslotte

Bertholee eindigt zijn lezing door nog eens te benadrukken dat de AIVD 1) geen dossiers van iedereen bijhoudt, 2) niet iedereen onder de tap houdt, 3) niemand neerschiet, 4) niemand arresteert, 5) niemand klemrijdt, 6) niemand martelt, 7) niet elke computer hackt, 8) geen handhavende bevoegdheden heeft, 9) geen druk op mensen uitoefent en 10) geen journalisten ronselt. Hierna sluit Privacy First voorzitter Filippini de avond af en nodigt alle aanwezigen uit voor de borrel met muziek.

Naschrift Privacy First: zoals internationale vrede en veiligheid vaak gebaat zijn bij dialoog tussen “opponenten”, zo geldt dit in eigen land ook voor een goede verstandhouding tussen de overheid en burgerrechtenorganisaties als Privacy First. In die zin hebben wij deze avond als zeer waardevol beschouwd en hopen wij dat ook de AIVD het voor herhaling vatbaar acht!

Update 27 september 2012: naar aanleiding van bovenstaande lezing verscheen vandaag een tweede artikel in de Telegraaf.

In vrijwel alle rechtszaken die inmiddels tegen de nieuwe Paspoortwet aanhangig zijn is een belangrijk onderwerp tot nu toe onderbelicht gebleven: het gebruik van gevoelige persoonsgegevens door geheime diensten. In dit geval draait het om biometrie: digitale gezichtsscans en vingerafdrukken die via paspoorten en identiteitskaarten in allerlei databanken terechtkomen. Momenteel bevinden die databanken zich nog bij gemeenten en bij de paspoortfabrikant in Haarlem (Morpho, voorheen Sagem), in de toekomst ongetwijfeld ook elders, uiteindelijk wereldwijd. In die zin is iedere Nederlander een potentiële globetrotter: op termijn zullen uw vingerafdrukken en gezichtsscan wellicht tot in de verste uithoeken van de wereld te vinden zijn. Niet alleen in de databanken van "bondgenoten", maar ook in de databanken van landen waarmee die "bondgenoten" op hun beurt weer (al dan niet geheime) uitwisselingsverdragen hebben gesloten. En daar is totaal geen zicht op. Evenmin is publiekelijk bekend waar geheime diensten onze biometrie voor willen gebruiken. Een Privacy First-medewerker die dit graag voor de WRR had willen onderzoeken liep al snel tegen een muur van onderzoeksrestricties op. Dus blijft het voorlopig gissen... Mogelijke intelligence-doeleinden van biometrie zijn: 1) identificatie van zwijgende verdachten en "interessante" personen in de openbare ruimte, 2) herkenning van emoties en leugendetectie, 3) de inzet of herkenning van dubbelgangers, 4) spionage, etc. Het eerste doel (identificatie) wordt vergemakkelijkt door het RFID-aspect van de biometrische chip in uw paspoort of ID-kaart. Die chip is daardoor immers op afstand uitleesbaar.

Terug naar ons hoofdonderwerp: het gebruik van gevoelige persoonsgegevens door geheime diensten. Tegenwoordig is dit "appeltje eitje": veel mensen zetten inmiddels ongegeneerd hun halve privéleven op internet, bijvoorbeeld op Facebook. En voorzover die informatie niet op het internet te vinden is, is het wel te traceren in databanken van bedrijven en de overheid. Zoals u in uw studententijd misschien weleens vanuit uw luie stoel de televisie aanzette met een biljartkeu, zo kunnen geheime diensten tegenwoordig "met één druk op de knop" uw hele leven tevoorschijn toveren, inclusief uw vingerafdrukken. Maar mag dat eigenlijk wel? En maakt het in dit verband iets uit of uw vingerafdrukken zijn opgeslagen bij 1) de gemeente, 2) een centrale databank of 3) de paspoortfabrikant? "Ja, dat mag", en "nee, het maakt niet uit waar ze zijn opgeslagen", zo impliceerde de Staat (bij monde van de landsadvocaat) tot medio 2011 consequent:

"Vingerafdrukken zullen ook aan de inlichtingendiensten AIVD en MIVD moeten worden verstrekt. Informatieverstrekking aan deze diensten is geregeld in artikel 17 van de Wet op de Inlichtingen- en veiligheidsdiensten. Dat gold vóór inwerkingtreding van delen van de gewijzigde Paspoortwet. Het wordt met de gewijzigde Paspoortwet niet anders. De vermelding in artikel 4b lid 2 sub d Paspoortwet ("staatsveiligheid") is slechts ingegeven door overwegingen van transparantie."
(Bron: Conclusie van Antwoord in de Paspoortzaak van Privacy First d.d. 28 juli 2010, par. 2.17; woordelijk herhaald in o.a. de verweerschriften van de Staat in de Paspoortzaken van Van Luijk d.d. 29 okt. 2010 & 10 juni 2011 (respectievelijk par. 3.17 & 5.8) en Deutekom d.d. 23 nov. 2010, par. 4.17.) 

Hierin stelt de Staat dus dat er door de nieuwe Paspoortwet in wezen niets zou veranderen, aangezien uw vingerafdrukken allang door de AIVD zouden kunnen worden opgevraagd. Inmiddels is de ontwikkeling van een centrale biometrische databank echter stopgezet en worden uw vingerafdrukken nog "slechts" relatief kort opgeslagen bij de gemeente en de fabrikant, waardoor de discussie in rechte zich inmiddels daarop toespitst. Bijvoorbeeld op 27 oktober jl. in een enkelvoudige kamer van de rechtbank Amsterdam: 

Rechter: "Ja, ik vroeg mij nog even af, mevrouw [landsadvocaat], u zegt, de angst van meneer dat inlichtingen- en veiligheidsdiensten inzage kunnen hebben in zijn persoonsgegevens, zijn vingerafdrukken en gezichtsscan, die [angst] wordt eigenlijk weggenomen door artikel 65 [Paspoortwet]..."
Landsadvocaat: "Artikel 65 ziet alléén op de vingerafdrukken."
Rechter: "Meneer [X] heeft gewezen op de artikelen 17 t/m 34 van de Wet op de Inlichtingen- en Veiligheidsdiensten [WIVD]. Hoe ziet u dat?"
Landsadvocaat: "Ik kan daar heel kort iets over zeggen, hoe je dat in relatie tot elkaar zou moeten zien. (...) Het punt is, daar is in de wetsgeschiedenis natuurlijk ook al het een en ander over gezegd, wanneer wordt dat dan een inzagemogelijkheid: als je een centrale administratie hebt met een biometrische zoekfunctie. Er zijn allerlei voorschriften, maar het is niet zo dat de AIVD bij wijze van spreken met een vingerafdruk zou kunnen aankomen en tegen de gemeente zou kunnen zeggen "laat ons maar eens zien bij wie die vingerafdruk hoort". Maar die mogelijkheid, die is er niet. Er is eenvoudigweg geen biometrische zoekfunctie. De enige verstrekkingsmogelijkheid op dat vlak, wat kunnen gemeenten met vingerafdrukken, die kunnen daar een print van maken, en een print houdt in: een vel papier met puntjes. Dat is de weergave op papier van die vingerafdrukken. Dus de AIVD zou, even aangenomen dat zou zijn voldaan aan de voorwaarden waaronder zij op grond van de WIVD informatie kan opvragen, een naam kunnen opgeven bij de gemeente waar die persoon staat ingeschreven, en daar dan persoonsgegevens opvragen. Voorzover dat vingerafdrukken zou betreffen, is dat dus niet meer dan die print met die puntjes. Dus het kan nooit zo zijn, en dat is toch een belangrijk punt, dat de AIVD met vingerafdrukken aan zou komen, en zou zeggen: van wie zijn deze vingerafdrukken?"
Advocaat: "Dat is niet de vrees van mijn cliënt. De vrees van mijn cliënt is dat de AIVD kan zeggen: wij willen de vingerafdrukken van meneer [X] zien."
Landsadvocaat: "Als de AIVD de vingerafdrukken van meneer [X] zou willen hebben, dan heeft de AIVD daarvoor de reisdocumentenadministratie niet nodig. Die zitten bij wijze van spreken hier op de stukken, op het bekertje..."
Advocaat: "Nou, ik zie niemand van de AIVD hier de vingerafdrukken van mijn cliënt afnemen, en het gaat niet alleen om hemzelf, het gaat erom dat hij zegt: ik vind het in strijd met mijn geweten om eraan mee te werken dat op die manier in feite van alle Nederlanders de vingerafdrukken kúnnen worden opgevraagd door de AIVD. Niet alleen de zijne, maar die van iedereen."
Rechter: "Met de regelgeving die er nu ligt, is het dan praktisch mogelijk dat de AIVD naar de gemeente Amsterdam stapt en zegt: wij zouden graag de vingerafdrukken van meneer [X] willen hebben?"
Landsadvocaat: "Uuh, nou [onverstaanbaar], artikel 65 tweede lid [Paspoortwet] zegt dat de vingerafdrukken niet mogen worden gevraagd anders dan voor de aanvraag- en uitgiftebevoegdheid. Voorzover de AIVD op grond van eigen regelgeving wél die gegevens zou mogen opvragen, zou dat dus niet meer kunnen zijn dan die puntjes.  Want de gemeente heeft ook niets anders."
Interruptie vanuit publiek: "Wel via [paspoortfabrikant] Morpho."
Rechter: "U bent geen partij in dit geding. Ik moet u toch vragen om niet mee te procederen." 

Louter een "print met puntjes" dus, bij de gemeente, aldus de landsadvocaat. Het vorderen van vingerafdrukken bij de paspoortfabrikant bleef tijdens deze rechtszitting helaas onbesproken. Vervolgens werd de zaak binnen de rechtbank Amsterdam naar de meervoudige kamer (drie rechters) doorverwezen. Daar kwam dit punt op 25 januari jl. alsnog kort aan bod, en wel als volgt:

Rechter 3: "En hoe zit het dan als de informatie bij de producent is?"
Landsadvocaat: "Uuuuhhh.... Op welke basis zou die dan die gegevens mogen verstrekken?"
Rechter 3: "Nou, dat vraag ik aan u."
Op deze vraag volgt geen duidelijk antwoord van de kant van de landsadvocaat, maar slechts een vage verwijzing naar art. 65 lid 2 Paspoortwet. Vervolgens valt er een pijnlijke stilte... en vragen de rechters op dit punt niet door.
Rechter 3: "En meneer [advocaat van X], hoe ziet u dat op dit punt?"
Advocaat: "Anders!" [hilariteit bij het publiek] De advocaat van X verwijst vervolgens uitgebreid naar de relevante wetsgeschiedenis van de Paspoortwet en de bepalingen van de WIVD 2002.
Landsadvocaat: "Zelfs als het zo zou zijn dat de AIVD op basis van art. 17 WIVD tóch vingerafdrukken zou kunnen vragen, dan zouden ze nooit meer dan alleen een print met die puntjes krijgen.  (...) Dan zou men een print krijgen van de vingerafdrukken, en dat is dus een print met puntjes." Even later, na mondelinge attendering door een ambtenaar van BZK: "Ik heb net iets verkeerd gezegd. Ik heb gezegd dat je een print krijgt met puntjes, maar ik begrijp nu dat je een print krijgt met een plaatje."

Na een dozijn rechtszittingen over de Paspoortwet luidt de officiële toelichting van de Staat op het gebruik van vingerafdrukken door geheime diensten dus als volgt: "een print met een plaatje, bij de gemeente". Blijft dus de vraag of e.e.a. ook digitaal kan worden opgevraagd bij 1) de gemeente en 2) de paspoortfabrikant, en zo ja, wat er dan vervolgens precies mee gebeurt. Idem voor de gezichtsscan. De eerstvolgende rechtszitting in de Paspoortwet-saga volgt op maandag 2 april as. (11.00u) bij de Raad van State. Het is dan aan de Raad om deze kwestie alsnog op te helderen en daartoe desnoods getuigen-deskundigen op te roepen.

Update 10 feb. 2012: naar aanleiding van bovenstaand bericht zijn schriftelijke vragen gesteld door Europarlementariër Sophie in 't Veld aan zowel paspoortfabrikant Morpho als aan de Europese Commissie. Parallel hieraan heeft Tweede Kamerlid Gerard Schouw vergelijkbare Kamervragen gesteld aan minister Liesbeth Spies van Binnenlandse Zaken.