Voorposten in de nationale veiligheid
Nederland is al weer toe aan een nieuwe herziening van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv). De grote achterliggende vraag is: hoe houden we ons land veilig en beschaafd, zonder ondermijnende aanslagen en verstikkende surveillance? De herziening biedt ruimte om het nationale veiligheidsdomein breder te aanschouwen en effectief te (her)organiseren, waarbij meer informatie uit de diensten breder gebruikt kan worden. Hoogleraar computerbeveiliging en privacy, Bart Jacobs, stelt voor zelfstandige expertiseorganisaties in te richten als voorposten van de inlichtingendiensten
Nieuwe wet
Dit najaar is de herziening van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) van start gegaan, onder andere met de recente bespreking van de Hoofdlijnennotitie herziening Wiv 2017, in de Kamercommissie voor Binnenlandse Zaken. Zoals vaker ging de discussie in de Kamer eigenlijk alleen over het toezicht en niet over het werk van de diensten zelf.
De huidige wet stamt uit 2017. De regering hoopt dat de nieuwe Wiv in 2028 van kracht zal zijn. Deze wet zal dan weer voor zo’n 10 jaar gaan gelden. In de discussie moet dus zeker 15 jaar vooruit gekeken worden. Dat is een grote uitdaging bij de alle technologische ontwikkelingen, vooral op ICT-gebied, die een grote impact hebben op het functioneren van de inlichten- en veiligheidsdiensten AIVD en MIVD – hierna kortweg gezamenlijk aangeduid als ‘de diensten’. Een dergelijk perspectief van zoveel jaren zou ruimte moeten bieden voor enige bezinning.
Via een zogenaamd factsheet, geschreven voor de Tweede Kamer, heb ik samen met collega Rowin Jansen een voorzetje voor deze herziening (en bezinning) gegeven. Een van de suggesties daarin is om te komen tot een bredere (kader)wet voor het nationale veiligheidsdomein, waar niet alleen de diensten onder zouden moeten vallen, maar bijvoorbeeld ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Deze discussie wordt hieronder verbreed en iets verder uitgewerkt.
Veel naar binnen, weinig naar buiten
De verschillende versies van de Wiv leggen door de jaren heen vanzelfsprekend veel nadruk op het verwerven en verwerken van gegevens door de diensten. Het gaat dus om informatie die de diensten in gaat, naar binnen toe. De pijl andersom, over informatiestromen naar buiten toe, krijgt minder aandacht. Een heersend beeld is dat de diensten een zwart gat vormen, waar heel veel informatie in gaat en waar maar heel weinig uit komt. Dat is te begrijpen, want een deel van de informatie van de diensten is zeer vertrouwelijk.
Natuurlijk, er komt wel eens wat naar buiten, via jaarverslagen of rapporten over actuele onderwerpen. De diensten zijn belangrijke adviseurs, op kabinetsniveau. Daarnaast kunnen de diensten zogenaamde ambtsberichten aan het Openbaar Ministerie sturen, over personen met gevaarlijke plannen. Verder kunnen bedrijven gewaarschuwd en geholpen worden wanneer de diensten een digitale aanval op hen detecteren, typisch van een statelijke actor zoals Rusland, China of Iran. Er is zeker meer, maar het is een feit dat deze pijl naar buiten toe beperkt van aard is. Zouden we deze uitgaande richting niet beter in kunnen richten? We leven in een netwerksamenleving, waarin de diensten een meer structurele rol kunnen vervullen in het netwerk van spelers op het gebied van de nationale veiligheid.
In de huidige opzet is er weinig ruimte voor de pijl naar buiten. Samenwerken met de diensten is in de praktijk gewoon moeizaam. Zo wordt geheim gehouden wie er bij de diensten werkt – op enkele uitzonderingen na – om mensen terecht niet aan gevaren bloot te stellen. Medewerkers van de diensten zeggen zelf vaak dat ze bij het ‘moeder’ ministerie werken om hun daadwerkelijke werkgever te verhullen. In externe contacten maken ze zich vaak alleen met een voornaam bekend. Dat alles maakt structureel (en ook informeel) contact lastig.
Maar belangrijker nog, er zijn geen praktische regelingen voor declassificatie, om gevoelige informatie een lagere rubricering te geven, bijvoorbeeld van ‘staatsgeheim’ naar ‘departementaal vertrouwelijk’, voor breder gebruik. Met name op digitaal gebied bestaat de behoefte om belangrijke informatie vanuit de diensten snel te kunnen delen – zoals IP-adressen of kenmerken van aanvalsoftware – met name wanneer een digitale aanval ergens plaatsvindt en verdediging in de breedte georganiseerd moet worden.
Een voorpostenmodel
De eerder genoemde NCTV is in zekere zin bedoeld als een ‘voorpost’ van de inlichtingendiensten, om betere samenwerking mogelijk te maken, met name op het gebied van terrorisme. De NCTV stelt informatie van de diensten in bruikbare vorm beschikbaar voor andere (overheids)organisaties. Die organisaties kunnen ook bij de NCTV terecht met vragen en signalen. In Nederland is het Nationaal Cyber Security Center (NCSC) een zelfstandige organisatie, maar in het Verenigd Koninkrijk is een vergelijkbare organisatie een vooruitgeschoven onderdeel van de inlichtingendienst GCHQ (gericht op signals intelligence). Het Nederlandse NCSC zou ook kunnen functioneren als een voorpost van de diensten, met een sterkere informatiepositie. In feite functioneert de zogenaamde CT-infobox nu reeds als een hub waarin verschillende partijen relevante informatie uitwisselen en zaken coördineren. Er kunnen nieuwe voorposten komen, bijvoorbeeld voor openbare orde en veiligheid, voor ondermijnende criminaliteit, voor economische veiligheid en weerbaarheid, voor internationale verhoudingen, voor militaire planning, voor trend- en fenomeen-analyse, enzovoort.
Voorpost
Een voorpost is aldus een zelfstandige expertiseorganisatie die zelf nadrukkelijk geen inlichtingendienst is, maar wel gevoed wordt door een inlichtingendienst, met informatie die gedeclassificeerd is of wordt. De medewerkers van de voorposten hebben een verbindende netwerkrol, om niet alleen organisaties op hun eigen gebied te adviseren, maar ook beleidsmakers en bewindspersonen. Ook verzamelen ze ervaringen en informatie uit de praktijk, om hun eigen kennis- en advies-positie te versterken. Met een dergelijke opzet zou de geheime inlichtingentaak, met bijzondere bevoegdheden, bij een kleinere centrale dienst ondergebracht kunnen worden. Mogelijk kunnen de inlichtingenactiviteiten van de AIVD en MIVD zelfs verder geïntegreerd worden in één enkele centrale organisatie, omringd door dergelijke voorposten.
Een boeiende, open vraag is of de gegevensverwerking binnen de voorposten ook onder de Wiv moet vallen, of onder de AVG. De laatste optie lijkt voor de hand te liggen – net zoals nu geldt voor de NCTV en NCSC. De AVG wordt vaak als beknellend ervaren, maar als de voorposten voldoende wettelijke grondslag krijgen voor hun beoogde verwerkingen zou er geen probleem hoeven te zijn. Vanuit het gezichtspunt van toezicht en toetsing ligt positionering van de voorposten onder de Wiv echter meer voor de hand, omwille van dekkende end-to-end safeguards. De voorgestelde herschikking onder een nieuwe wet nationale veiligheid vereist overigens ook nieuwe wettelijke regelingen voor declassificatie en delen.
Effectieve inrichting nationale veiligheid
Concentratie van (geheime) inlichtingenverzameling in een centrale organisatie met daaromheen voorposten met heldere verantwoordelijkheden en coördinatietaken, binnen de relevante sectoren op het gebied van nationale veiligheid, behelst een niet-triviale wijziging van de huidige institutionele en juridische structuur. Het geschetste voorposten-model biedt perspectief op effectief en breed gebruik van waardevolle kennis en informatie, in een tijd vol dreigingen, met name op digitaal gebied. Door zonodig de voorposten te herschikken kan in de loop van de tijd flexibel ingespeeld worden op veranderende omstandigheden en prioriteiten.
Hopelijk gaat de discussie niet direct over hoeveel mensen in welk gebouw onder wiens leiding bij welk ministerie moeten gaan functioneren. Een conceptuele discussie over de voorgestelde opzet lijkt zinvoller – als deze tenminste voldoende resoneert.
Bart Jacobs was in 2020 lid van de Evaluatiecommissie Wiv 2017 (de ‘commissie Jones-Bos’).
Lees ook: