De sleepwet gaat speurwerk alleen maar onoverzichtelijker maken

Op donderdag 14 december komt Ben Makuch, de presentator van Cyberwar, op ons hoofdkantoor in Amsterdam langs om te praten over cyberoorlog.Wil je ook aanwezig zijn? Meld je dan hier aan.

“Met de Sleepwet zullen we er technisch gezien niet erg op vooruit gaan. Hoe meer informatie, hoe meer big data je verzamelt, hoe lastiger het zal worden om de boef te vinden,” schrijft hoogleraar softwaretechnologie Marko van Eekelen zelfzeker in een recent nieuwsbericht van de Open Universiteit. Hij herhaalt: “Hoe meer hooi je op de hooiberg gooit, hoe lastiger het wordt om de speld te vinden”. Zijn onze inlichtingendiensten de zoveelste slachtoffers van data-overload?

“We willen geen hooi toevoegen, maar weghalen,” zegt een woordvoerder van de AIVD via de telefoon. “Op zoveel mogelijk informatie zitten we niet te wachten. Daarom zoeken wij gericht naar dreigingen, en proberen we dan zo snel mogelijk naar de kern te gaan.” De diensten zullen dankzij de Sleepwet toegang tot veel meer data krijgen, maar er naar eigen zeggen slechts een kleiner, overzichtelijk (gericht) deel van gebruiken.

De woordvoerder vertelt dat de diensten namelijk niet elk appje gaan lezen dat in Nederland verstuurd wordt, maar enkel het internetverkeer aftappen (via de kabel) in de wijk van iemand die ze al op het oog hebben. Ze halen de metadata binnen: bijvoorbeeld wie met wie chat, maar niet de inhoud van het gesprek, en beperken zich indien mogelijk tot de relevante telefoonnummers en ip-adressen. Zo kunnen ze eventueel dus zien dat jij met je beste vriend chat, maar niet dat je net vertelde dat dat je een gigantische kater hebt. Pas wanneer ze een verdachte op het spoor zijn, mogen de inlichtingendiensten de gespreksinhoud bekijken. “Het gaat om heel gericht onderzoek, niet om het doorspitten van allerlei data,” zegt hij.

Gericht zoeken versus veel data doorspitten: volgens Rejo Zenger is dat een valse tegenstelling. Hij is beleidsadviseur bij digitale burgerrechtenbeweging Bits of Freedom, en schrijft al jaren over privacykwesties bij de politie. Via de telefoon vertelt hij: “Als je een hele wijk aftapt, zul je toch gigantisch veel gegevens verzamelen, ook al is dat enkel metadata. Hoe gericht je uiteindelijk ook zoekt, eerst moet je al die metadata doorspitten.”

Vorig jaar kreeg de NOS een vertrouwelijk document van de AIVD in handen dat een concreet beeld geeft van een internettap onder de Sleepwet. In het document vraagt de AIVD internetproviders hoeveel het zou kosten om in een stad van 400.000 inwoners al het internetverkeer te onderscheppen van mensen die een bepaalde chatdienst gebruiken. Je weet wel, zo’n kleine, overzichtelijke wijk van bijna een half miljoen mensen.

In het document schrijft de AIVD dat ze zo maximaal de gegevens van 200 mensen zullen onderscheppen. Veel versleutelde chatdiensten, zoals Telegram, Signal of Cryptocat, zijn ontzettend populair. En bijna elke week krijg je wel weer deze notificatie: “is nu actief op Telegram.” Dus steeds meer mensen gebruiken versleutelde chatapps. "We hebben de indruk dat ze het aantal mensen [dat kan worden afgetapt] proberen te downplayen," zegt een anonieme medewerker uit de telecomindustrie, die veel te maken heeft met het aftappen van netwerken, tegen de NOS.

Op Skype vraagt prof Van Eekelen zich nog steeds af of dat aftappen van online (meta)data de beste oplossing is: “Ik kan je geen wetenschappelijk bewijs geven, maar in de krant lees ik na een aanslag vaak: ‘de daders waren bekend bij de autoriteiten’. Daardoor vraag ik me af: hoe effectief is die massaverzameling van gegevens eigenlijk? Als ze de daders kenden, maar hen toch niet konden tegengehouden… dan ben je niet veel met al die data.”

Hoe effectief zou de Sleepwet zijn als deze er komt? Die vraag is niet zo gemakkelijk beantwoorden, omdat de werking van geheime diensten nogal eh… geheim is. Tijd om eens te kijken naar gelekte gegevens van klokkenluiders en nationale onderzoeksrapporten na aanslagen.

Laten we beginnen met Snowden. The Intercept publiceerde een stuk over zijn onthullingen met de grafiek hier boven. Die laat zien dat de Britse geheime dienst MI5 in 2008 en 2009 vijf miljoen oproepen, berichten en andere data heeft onderschept. Opvallend is dat 97% van de gegevens niet bekeken werd. “Er is een wanverhouding tussen de verzameling en de uiteindelijke benutting van de data”, klinkt het in het rapport van MI5. De oorzaak? “Een gebrek aan personeel en tools. Het materiaal werd niet volledig benut, omdat de evaluatie ervan aanzienlijk veel tijd kost.” Dan kom je niet ver met al die data, zou Van Eekelen zeggen.

Net zoals in het Verenigd Koninkrijk hebben ook de Belgische veiligheidsdiensten te weinig personeel voor hun data-inspanningen. “Ze hebben steen en been geklaagd omdat ze geen analisten hadden”, vertelt de Belgische advocaat Jos Vander Velpen via de telefoon. “Ondertussen is er meer personeel, maar dat gaat maar mondjesmaat. Competente werknemers zijn duur.” Ook de Nederlandse AIVD en MIVD zijn meer technisch personeel aan het aanwerven: op dit moment staan er bij hen 13 tech-vacatures open, met titels zoals ‘big data engineer’.

Volgens Vander Velpen, voorzitter van de Belgische Liga voor Mensenrechten, wordt de effectiviteit van massasurveillance overdreven. “Alles wordt ingezet op high tech, op buitensporige investeringen, die heel veel informatie opleveren. Daarin verdwijnt de echt nuttige informatie dan,” zei hij eerder dit jaar op een conferentie over de nieuwe veiligheidswetten en -maatregelen in Brussel.

“Ondertussen kiest men niet voor de echt efficiënte aanpak: investeren in mensen, in onderzoekswerk, in preventie. Het aloude 'detectivewerk' is nog altijd de beste oplossing,” ging hij verder. Die uitspraken baseert Vander Velpen op een recent verschenen parlementair onderzoek naar de omstandigheden die hebben geleid tot de terroristische aanslagen van 22 maart 2016 in Brussel.

“Elektronische onderschepping heeft toen nauwelijks iets opgebracht: het heeft de daders niet in beeld kunnen brengen. Verder waren er ernstige tekortkomingen in het klassieke, menselijke onderzoekswerk, zoals infiltranten of informanten. Die zijn nauwelijks gebruikt geweest, hoewel dat nu net voor de hand liggend was,” zegt Vander Velpen.

“Om de daders van de aanslagen in Brussel [tegen te houden], heb je geen computers nodig, maar vooral de ogen en oren van [de politie in de buurt]”, zegt Vander Velpen. “Het is een groot gemis dat die gemeenschapsgerichte politie voor een groot stuk is afgebouwd. Die leegte werd dan opgevuld met de magische formule van massasurveillance.“

Ook in Frankrijk zijn er te weinig politiemannen en -vrouwen op straat. The Guardian schreef na de aanslagen in Parijs in 2015: “Franse veiligheidsdiensten en politie hebben tussen de 500 à 600 agenten om mensen fysiek te volgen. Maar daartegenover staan ongeveer 11.000 mensen die geïdentificeerd zijn als mogelijke bedreiging voor de nationale veiligheid.” Eén persoon schaduwen doen ze met een groep van 30 à 40 politiemensen. Als je maar 20 verdachten in heel Frankrijk kan schaduwen, wordt kiezen al snel heel letterlijk verliezen.

Een aanvulling hierop is dat de AIVD en MIVD meer doen dan alleen terroristen volgen. Ze monitoren ook cyberaanvallen en houden zich bezig met spionage van landen zoals China en Rusland. Informatie, ook die van terroristen, gaat voor een belangrijk deel via de kabel - niet de telefoon, maar het internet. Door de Nieuwe Wet op de inlichtingen- en veiligheidsdiensten (De Wiv, zoals de sleepwet officieel heet) hopen de inlichtingendiensten ook daarop meer zicht te krijgen. Het gevaar dreigt anders dat de Nederlandse inlichtingendiensten overklast worden.

Toch wijst Rejo Zenger van Bits of Freedom erop dat de daders van aanslagen telkens bekend waren bij de Nederlandse autoriteiten, maar niet meer gevolgd werden. “Dat pleit er volgens mij voor dat de diensten slimmer moeten omgaan met de gegevens die ze hebben, want blijkbaar waren die daders al in beeld. Daarom moeten we meer investeren in slimmer onderzoek, en niet perse in het toevoegen van meer gegevens. Het kost misschien meer tijd om met mensen te werken, maar ik denk dat je zo heel goed werk kan doen.”

Hij vindt het belangrijk dat de inlichtingendiensten goed kunnen aanvoelen hoe verdachten denken. “Je zult te weten moeten komen wat de waarden van iemand zijn. Zo kom je bijvoorbeeld te weten of iemand die aan het radicaliseren is ook werkelijk een gevaar vormt.” Dat doe je volgens hem met behulp van de juiste contacten en degelijk menselijk werk.

Die visie bevestigen politiedeskundigen Teun Meurs en Jan Kreulen in hun artikel over ‘gebiedsgebonden politiezorg’ in de een recente editie van vakblad Justitiële verkenningen. Wijkagenten hebben het blijkbaar vaak nog moeilijk met aanvoelen of iemand aan het radicaliseren is of dat er iets anders aan de hand is: “De interacties tussen burgers en politieagenten verlopen geregeld moeizaam en met wederzijds onbegrip.” Vooral in steden is het politiewerk volgens hen complexer geworden, omdat agenten moeten kunnen omgaan met ‘superdiversiteit’: inwoners met allerlei verschillende landen van herkomst, culturen en religies. “Journalist en Arabist Maarten Zeegers geeft in zijn boek over de moslimgemeenschap in de Transvaal in Den Haag een inkijk in dit complexe werkterrein. Hij laat zien dat het niet vanzelfsprekend is dat de politie effectief omgaat met de diversiteit in de wijk.”

Volgens Rejo Zenger werken overheden volgens het motto beschikbaarheid creëert behoefte: “Omdat big data bestaat, wil de overheid die gebruiken. Hetzelfde geldt voor slimme camera's.” Over de AIVD en MIVD kan hij geen zekere uitspraken doen, omdat ze in het geheim opereren. “Maar bij de Nederlandse politie weet ik het zeker,” zegt Zenger, “Daar worden allerlei technologieën ingezet waarvan het niet duidelijk is of ze werkelijk een meerwaarde hebben voor het politiewerk. Maar omdat de technologie bestaat, en cool is, wordt deze ingezet. Het zou me niet verrassen als iets soortgelijks ook bij de geheime diensten speelt.” Zijn conclusie? “Ik denk dat de geheime diensten de bestaande middelen beter moeten leren gebruiken, in plaats van nieuwe maatregelen te eisen die haaks staan op de waarden van onze rechtsstaat.”