Verslag van de vergadering van 19 juni 2018 (2017/2018 nr. 34)
Status: gecorrigeerd
Aanvang: 14.20 uur
Mevrouw Strik i (GroenLinks):
Voorzitter, dank u wel. Zelfs George Orwell had het niet kunnen bevroeden. Als hij met de kennis van de huidige technologieën vandaag de dag 38 jaar vooruit zou blikken, wat zou hij dan schrijven? Hij zou wellicht verrast zijn dat we nu vrijwel allemaal vrijwillig met een veel geavanceerder telescherm rondlopen dan hij had voorzien in zijn Big Brother house. Een scherm dat we technisch vaak niet begrijpen, dat enorm persoonlijk en belangrijk is en tegelijkertijd eenvoudig is te volgen, te bespioneren en te hacken. Er is daarom grote maatschappelijke behoefte aan een overheid die optreedt tegen criminaliteit, maar die tegelijkertijd de veiligheid van onze persoonlijke levenssfeer hoog in het vaandel heeft staan en die garandeert dat gebruikmaking van deze bevoegdheid altijd in overeenstemming is met criteria zoals ontwikkeld door het EHRM en het Hof van Justitie. De technologische vooruitgang biedt namelijk vele voordelen, maar maakt ons ook kwetsbaarder.
Dit wetsvoorstel biedt met de hackbevoegdheid verregaande mogelijkheden om een kijkje te nemen in het dagelijks leven van mensen: via de microfoon meeluisteren, via de webcam meekijken en dankzij gps de locatie exact bepalen, toetsaanslagen vastleggen, screenshots maken, en gegevens vastleggen en eventueel ontoegankelijk maken. Maar ook de thermostaat, de auto en medische apparatuur vallen allemaal onder deze wet. In feite is de hackbevoegdheid, zo werd ook bij de deskundigenbijeenkomst gezegd, een inkijkoperatie, een heimelijke doorzoeking en afluisteren in één.
Zoals de heer Wolfsen destijds ook al zei: dichter op de huid van mensen kun je niet komen dan wanneer je in hun computers en andere apparaten kunt kijken. Dat raakt daarom zelfs aan onze vrijheid van gedachte. Vanwege deze grove inbreuk op de persoonlijke levenssfeer en ook de effecten die deze heeft op ons gedrag, acht mijn fractie het van groot belang dat we deze bevoegdheden met uiterste zorgvuldigheid inzetten en controleren. Juist daar bestaan grote zorgen over.
Mijn fractie onderschrijft de toegenomen relevantie van de aanpak van cybercriminaliteit en is het met het kabinet eens dat de opsporingsautoriteiten adequaat moeten zijn toegerust om die te bestrijden. Dat daar soms hacken voor nodig is, begrijpt mijn fractie ook. Bestrijding van cybercrime die het risico in zich heeft dat onze digitale samenleving onveiliger en minder beschermd wordt, schiet echter zijn doel voorbij. In dat licht bespreek ik hier graag de definitie van "geautomatiseerd werk", toetsing vooraf en achteraf, de verschillende soorten hackbevoegdheden en de verhouding tot de meldplicht en de AMvB in relatie tot de reikwijdte van het wetsvoorstel.
Voorzitter. In de toekomst kan ons hele huis als geautomatiseerd werk worden beschouwd, evenals onze vervoersmiddelen. Tot dusver wil de regering niets weten van een specifieke lijst met geautomatiseerd werk dat onder de definitie van de wet valt. Mijn fractie vindt dat, in navolging van veel experts, een onverstandig besluit. Het maakt nogal wat uit welke apparatuur wordt gehackt of gebruikt en waar die apparatuur staat. In een limitatieve opsomming kan ten minste bij de toegestane apparatuur worden ingegaan op hoe, wanneer, hoe diep en waarom een bepaald apparaat is toegestaan, waarbij het opsporingsbelang, de privacybelangen en de mate van indringing integraal worden afgewogen. Welke criteria hanteert de regering om te bepalen welke apparaten wanneer mogen worden ingezet?
De ingrijpende bevoegdheden mogen volgens het wetsvoorstel alleen worden toegepast bij verdenking van een misdrijf waarop een gevangenisstraf van acht jaar is gesteld, dan wel een misdrijf dat bij AMvB is aangewezen. Deze AMvB maakt de inhoudelijke waarborg van de wet boterzacht. Dat is een groot contrast met bijvoorbeeld de Duitse wetgeving, die bepaalt dat hacken alleen is toegestaan bij een acuut gevaar voor lijf en leden, of wanneer de Staat gevaar loopt.
Het kabinet heeft aangegeven dat de AMvB zal gaan over cybercrime en zedenzaken, maar waar moet mijn fractie nog meer aan denken? Wat zijn de precieze criteria? Waarom kiest het kabinet ervoor om toekomstige beslissingen buiten het parlement om te nemen? Is het bereid dit te heroverwegen en hiervoor een wetswijziging voor te stellen? Is immers zo'n fundamentele inbreuk op iemands persoonlijke levenssfeer, waarbij je figuurlijk in iemands huis inbreekt en daar ook blijft zonder dat die persoon het weet, niet reden genoeg om heel precies in de wet vast te leggen wanneer dit wel en niet geoorloofd is?
Voorzitter. Op vragen over de voorhangprocedure verwijst de minister naar aanwijzing 35 van de aanwijzingen voor de regelgeving. Nog afgezien van het feit dat er goede redenen zijn om die parlementaire betrokkenheid wel te regelen, zou ik de minister ook willen wijzen op aanwijzing 31. Daarin staat dat in hogere regelgeving niet wordt toegestaan dat daarvan bij lagere regelgeving wordt afgeweken. Deze aanwijzing is het gevolg van de motie-Jurgens die deze Kamer ruim twaalf jaar geleden heeft aangenomen, met de strekking dat een delegatie van wetgevende bevoegdheid bij wet aan een lagere regelgever die de lagere regelgever machtigt om af te wijken van de wet in formele zin, niet is toegelaten.
In de toelichting op de aanwijzing staat dat dit weliswaar formeel mag, maar niet móet worden toegepast omdat dit tot onoverzichtelijke wetgeving leidt. Ook in dit geval gaat het om de mogelijkheid van afwijking van het strikte criterium van de wettelijke norm van acht jaar strafbedreiging en daarbij om strijdigheid met de wet. Erkent de minister dit?
De heer Wolfsen van de Autoriteit Persoonsgegevens noemde het in deze Kamer "unprecedented" dat de criteria in de AMvB minder streng zijn dan die in de wet. In zijn ogen wordt de wettelijke waarborg hiermee feitelijk illusoir, omdat het via de AMvB in theorie mogelijk wordt om de wet zelfs voor fietsendiefstal toepasbaar te maken. Nou zal dat misschien niet snel gebeuren, maar welke garanties hebben we daar eigenlijk voor? Komt een soepeler norm in een AMvB niet feitelijk neer op een afwijking van de wettelijke waarborg? Welke rechtvaardiging heeft de minister hiervoor? Snelheid kan toch niet het enige argument zijn om de democratische waarborgen te omzeilen? Onlangs nog hebben wij met betrekking Sint-Eustatius laten zien dat wij heel snel wetgeving kunnen behandelen. Graag een toelichting op mijn punt.
De regering gaf aan dat "kan worden verwacht dat de inzet van onderzoek in een geautomatiseerd werk mogelijk ook andere vormen van politie-inzet kan vervangen". Hoe ziet de regering dit? Welke andere vormen? Hoe ziet ze dit in het licht van de proportionaliteits- en de subsidiariteitstoets?
Onze fractie vindt het cruciaal dat de vergaande hackbevoegdheid is omkleed met onafhankelijk en bindend toezicht in elk stadium. Het wetsvoorstel voorziet in een toets vooraf door de centrale toetsingscommissie van het OM en van de rechter-commissaris. Die twee vullen elkaar goed aan. Wel horen de leden graag of het verzoek om toestemming aan de rechter-commissaris in een individueel geval vergezeld gaat van een specifieke motivering ten aanzien van de apparatuur die wordt ingezet, zodat de rechter-commissaris die proportionaliteitstoets kan uitvoeren. Ook mijn fractie vraagt naar de benodigde expertise van de rc. Wordt gedacht aan gespecialiseerde rechters-commissarissen of wordt er anderszins geïnvesteerd in up-to-datekennis?
De toets achteraf is beperkter, omdat die is belegd bij de Inspectie JenV. In de ogen van mijn fractie ziet die niet op de rechtmatigheid van de inzet van het hacken, maar ik wil graag weten of dat juist is en zo ja, waarom de minister dan deze toets voldoende zou achten. Volgens de minister opereert de inspectie onafhankelijk binnen het ministerie, maar erkent hij dat de inspectie als onderdeel van het ministerie niettemin toch een ander soort onafhankelijkheid heeft dan een orgaan dat op meer afstand staat? Ook ontbreekt het de inspectie aan cruciale bevoegdheden, zoals het onder ede horen van ambtenaren. Het toezicht achteraf schiet in onze ogen daarom tekort, vooral omdat lang niet alle zaken voor een zittingsrechter zullen komen en dus niet achteraf aan die rechterlijke toets zullen worden onderworpen. Graag een reactie daarop.
Dat geldt wat ons betreft ook, en wellicht des te meer, voor de inzet van de hackbevoegdheid met handhavingsdoeleinden, bijvoorbeeld bij het ontoegankelijk maken van online informatie of het onklaar maken van botnetinfrastructuur. Ook hierbij zou toezicht achteraf gegarandeerd moeten zijn. Erkent de minister het belang daarvan en zo ja, welke mogelijkheden ziet hij om dat te versterken? Is overwogen om hier het toetsingsmodel van de CTIVD toe te passen, waarbij de inzet achteraf op een integrale en beleidsmatige wijze kan worden beoordeeld?
De toetsing achteraf bij verstoringsacties wordt sowieso bemoeilijkt omdat verslaglegging van een hack ontbreekt. Daarnaast vindt er wel controle op daadwerkelijke hacks plaats via login. Kan de minister aangeven waarom hij dit voldoende vindt? Ook hierbij hanteert de overheid eenzelfde constructie met de AMvB's als bij de hackbevoegdheid. Waarom hier niet ook een lijst aanleggen van materiaal dat in aanmerking komt voor een eventuele blokkade? Ook hierbij zijn natuurlijk die wettelijke waarborgen van belang, omdat deze bevoegdheid immers ook raakt aan onze vrijheid van meningsuiting en vrije nieuwsgaring. Hoe gaat de minister voorkomen dat een te ruim gebruik van deze bevoegdheid de weg openzet naar censurerende internetpolitie?
Vervolgens heb ik een vraag over de notificatieplicht. Er is geregeld dat die geldt zodra het belang van het onderzoek dat toelaat. Dat criterium is voor meerdere uitleg vatbaar. Daarom graag antwoord op de vraag of de minister nader kan toelichten hoe er in de praktijk mee wordt omgegaan en hoe er in de praktijk wordt omgegaan met de afwijking dat er niet wordt genotificeerd als de uitreiking van de mededeling redelijkerwijs niet mogelijk is. In hoeverre gaat de minister zorgen dat er inspanningen worden verricht om die notificatie wel mogelijk te maken? Is het juist dat een sanctie ontbreekt bij het niet-nakomen en zo ja, wat is hiervan de reden?
De regering heeft aangegeven dat er goede werkafspraken zijn met Europese landen en dat er altijd een rechtshulpverzoek wordt ingediend door Nederland in het land dat men wil hacken. Behalve blijkbaar, aldus staatssecretaris Dijkhoff bij de behandeling in de Tweede Kamer, bij landen die bekende vrijplaatsen zijn voor criminelen. "Dan ga je niet zitten wachten op een rechtshulpverzoek", zei hij losjes. Deelt deze minister de opvatting van zijn voorganger en zo ja, welke rechtvaardiging ligt er ten grondslag aan deze schending van het internationaal recht? Op welke landen doelt het kabinet en wat zijn de criteria om af te zien van een rechtshulpverzoek? Heeft de regering nagedacht over de gevolgen van repercussies? Vormt het niet doen van een rechtshulpverzoek ook onderdeel van de toets door de rechter-commissaris?
Voor mijn fractie is het simpel. Op de zwarte markt hacksoftware kopen en deze software hoog in de servers van de providers installeren met het risico dat de overheid zelf het systeem onveiliger maakt, gaat wat ons betreft te ver. Het is bovendien in onze ogen onverantwoord dat gebruik van zulke hacksoftware met onbekende kwetsbaarheden niet wordt gemeld, omdat de veiligheid van consumenten daarmee ernstig in de waagschaal wordt gesteld. De meldplicht wordt zo door het gebruik van deze sofware een dode letter. Erkent de minister dat en zo ja, hoe gaat hij voorkomen dat opsporingstechnieken feitelijk tot meer onveiligheid voor ons gaan leiden?
Het regeerakkoord vermeldt dat de komende twee jaar alleen voor een specifieke zaak hacksoftware wordt gekocht. Er is al eerder over gesproken in deze bespreking. Bij de evaluatie wordt dan gekeken of deze regel de effectiviteit belemmert of niet. Voor mijn fractie is het in het geheel nog niet duidelijk hoeveel bescherming deze afspraak überhaupt biedt. Zowel kwalitatieve als kwantitatieve criteria ontbreken immers. Welke criteria gaan gelden voor die specifieke zaak? Wie bepaalt de criteria en wie toets daaraan bij de aankoop? Wat verstaat de minister onder dubieuze regimes waar indirect geen zaken zullen worden gedaan? Valt China daar ook onder? Wij denken allemaal aan Rusland maar ik vraag me af hoe Nederland met China omgaat. Gelet op de surveillancestaat die China in rap tempo is geworden en het ontbreken van mensenrechtelijke waarborgen zou ik China er ook onder scharen. Graag een toelichting.
Gebruikmaken van bestaande kwetsbaarheden en die pas later melden is van een andere orde dan ze zelf erin plaatsen. Maar ook hiervoor geldt wat ons betreft dat de opsporingdiensten deze zo snel mogelijk moeten melden, om ons niet bloot te stellen aan schade of inmenging van buitenaf. Zou hierop niet betere controle van buitenaf op moeten worden georganiseerd, om de kat niet met het spek alleen te laten? Wat zijn de criteria voor een redelijke termijn, zoals net ook is gevraagd, en voor een verlenging van de termijn?
Het lijkt onze fractie van belang, vanwege al deze redenen en vragen, om tot de evaluatieperiode alle hackacties achteraf te laten toetsen en daarin specifiek mee te nemen in hoeverre de schending van de persoonlijke levenssfeer gerechtvaardigd was. Hoe kijkt de minister hiertegen aan? Aan de hand van welke criteria zal de minister bij de evaluatie de wet gaan toetsen?
Wij leven in een tijd waarin de privacy van de mensen steeds meer onder druk staat. Soms komt dat door onszelf, als wij vrijwillig onze data afstaan, soms omdat wij te pas en te onpas worden gevraagd akkoord te gaan met gebruiksvoorwaarden, en soms komt het door een overheid die steeds dieper in het leven van haar burgers kan doordringen. De analyse van de gevolgen van deze incrementele aantasting van onze persoonlijke levenssfeer is pas achteraf te maken, maar ik zou hier wel gesteld willen zien dat privacy en veiligheid niet tegenover elkaar staan. Ze zijn niet elkaars vijanden. Privacy is een wezenlijk onderdeel van veiligheid. Privacy is ook meer dan veiligheid. Toezicht op wat we denken, lezen, bekijken, schrijven of bespreken kan ons verlammen in het verkennen van nieuwe ideeën en het uiten van onze identiteit. Ook is een gezond wantrouwen in de overheid van belang, voor de bescherming van onze grondrechten. Technologie is niet neutraal en het is tevens wel stuurbaar. Dit lijkt het kabinet ook te beseffen, maar helaas meer ten faveure van de opsporingsmogelijkheden dan ten opzichte van onze persoonlijke levenssfeer.
Net als bij de Wiv ligt er hier in de basis een redelijk goede wet, maar de ruimte criteria, de uitzonderingsmogelijkheden en het beperkte toezicht achteraf zijn voor ons grote reden tot zorg. Wij kijken daarom uit naar de reactie van de minister.
De voorzitter:
Dank u wel, mevrouw Strik. Ik geef het woord aan de heer Van de Ven.