Stel overheid aansprakelijk voor kwaliteit van surveillance
OPINIE - Er is een dilemma tussen misdaadbestrijding en privacybescherming, stelt Judith Sargentini in haar bijdrage aan dit online privacydebat. De onderliggende vraag is hoe misdaad kan worden bestreden zonder een alles-controlerende staat te creëren. Aan de orde is vooral de kwaliteit van data-analyse, want de kwantiteit is al geruime tijd succesvol onderwerp van debat. Schadevergoedingen lijken een goede remedie tegen willekeur van surveillance en vervolging.
Dictaturen als Irak bleken de veiligste landen op aarde, maar ook de meest onvrije. In een dictatuur is het hele veiligheidsapparaat gericht op het overleven van het regime. Dat dit leidt tot inperking van de vrijheid van de burger hoeft geen betoog. In een democratie gebruikt de regering het veiligheidsapparaat om de burger te beschermen tegen criminaliteit en aantasting van de rechtsstaat. In democratieën zijn waarborgen ingebouwd om de burger tegen willekeur te beschermen. Zo bestaat er in Nederland een Commissie van Toezicht betreffende de Inlichtingen en Veiligheidsdiensten die toeziet op het functioneren van de diensten.
In Nederland is criminaliteitsbestrijding overigens een verantwoordelijkheid van het Ministerie van Veiligheid en Justitie, het Openbaar Ministerie en de politie. Politie en OM tappen op grote schaal. Dat is al jaren bekend. Er is kennelijk een overheid die het gedrag van burgers wil sturen en controleren; er is een burger die vindt dat als je niets te verbergen hebt, je niets te vrezen hebt; en er is techniek die grootschalig data verzamelen mogelijk maakt. Recent stelde Procureur Generaal Van Nimwegen dat tappen een Pavlovreactie van OM en politie is geworden en op deze wijze geen doel dient. Vreemd is dat over zijn uitspraken geen politiek en maatschappelijk debat is ontstaan.
Het debat over Snowdens onthullingen gaat niet over deze vorm van tappen, maar over de inlichtingen- en veiligheidsdiensten, kortweg ‘de diensten’, zoals de AIVD die de bescherming van de democratische rechtsstaat tot taak hebben. Regeringen vrezen dat de discussie over de diensten het werk van diensten belemmert, waardoor de rechtsstaat niet goed beschermd kan worden. Tegelijkertijd vinden delen van de bevolking dat Snowdens onthullingen juist aantonen dat juist de diensten, bijvoorbeeld met het verzamelen van metadata, het bespioneren van een bevriende regeringsleider of onrechtmatig verkregen informatie de rechtsstaat ondermijnen. Regeringen, ook de Nederlandse, zullen het vertrouwen van de burger moeten zien terug te winnen.
Er staat veel op het spel. Stel dat er een aanslag in Nederland wordt gepleegd die met onrechtmatig verkregen informatie had kunnen worden voorkomen. Hoe reageren politiek en burger dan? Nu is alleen het onderscheppen van gegevens die via de ether worden verspreid wettelijk toegestaan; het controleren van informatie die via internationale kabelnetwerken wordt verspreid, ook wel cable-sigint (signal intelligence) genoemd, is verboden. Stel dat de Commissie Dessens, die de Wet Inlichtingen- en Veiligheidsdiensten evalueert, aanbeveelt om dit laatste in Nederland ook mogelijk te maken, omdat anders de inlichtingen- en veiligheidsdiensten achter de feiten aanlopen? De kans dan is dan groot dat door alle discussies voor een dergelijke aanbeveling onvoldoende draagvlak bestaat. Daardoor kan uiteindelijk het functioneren van de diensten en dus de democratische rechtsstaat geschaad worden.
De vrees dat de democratische rechtsstaat onvoldoende kan worden beschermd is een reden waarom Europese regeringen redelijk onderkoeld op de NSA-onthullingen reageerden. Naar aanleiding van een bericht in NRC Handelsblad van 23 november dat onthulde dat Amerika sinds de jaren na de Tweede Wereldoorlog afluisterde, reageerde premier Rutte met: ‘door te reageren zouden we inzage geven in onze informatiepositie. Dat zou afbreuk kunnen doen aan onze belangen.’ Zeker is dat elk land spioneert en wordt bespioneerd. Precies daarom hebben alle landen behalve inlichtingen- en veiligheidsdiensten ook afdelingen contraspionage.
Vrijheid versus veiligheid
De huidige discussie draait om de vraag welke en hoeveel informatie moet en mag worden ingewonnen. Dat is een oude discussie die te maken heeft met doelmatigheid en de balans tussen veiligheid en vrijheid. Een probleem is de technology push: als het technisch mogelijk is, is er een onbedwingbare neiging om alle data te verzamelen die voorhanden zijn, zonder naar de doelmatigheid ervan te kijken. Daarbij komt dat de hoeveelheid data die rond de wereld wordt gepompt zo groot is dat het onderscheppen van een fractie daarvan astronomische getallen oplevert. Toen bekend werd dat in december 2012 in Nederland de metadata van 1,8 miljoen telefoontjes door de NSA waren verzameld, zette minister Plasterk daartegen over dat het hier om 0,2 procent van het berichtenverkeer van die maand betrof.
Het verzamelen van metadata leidt tot de suggestie dat iedereen voortdurend wordt bespied. Maar dat klopt niet. Daarvoor is de hoeveelheid data te groot, kan een deel van het berichtenverkeer technisch niet worden onderschept, is de analysecapaciteit te klein en de gemiddelde burger te oninteressant. Ook is de suggestie onjuist dat het verzamelen van metadata de privacy per definitie aantast. Dat is pas het geval als de metadata worden geanalyseerd en wordt gekeken naar de inhoud van berichten.
Het verzamelen van die metadata lijkt mij echter een belangrijke mogelijkheid om verdachte patronen te onderkennen die nader onderzocht moeten worden. Het echte probleem lijkt niet de maatvoering of de hoeveelheid data die wordt verzameld, maar de kwaliteit van de analyse en wat er vervolgens mee gedaan wordt. Sommige experts stelden dat er gegevens beschikbaar waren op basis waarvan de aanslagen van 11 september 2001 en Boston van 15 april 2013 mogelijk voorkomen konden worden. Maar tegelijkertijd blijkt onder meer uit de studie Doelwit Europa die ik met Carla Relk schreef, dat inlichtingendiensten en politie alleen al in Europa tientallen aanslagen succesvol hebben voorkomen.
Tegelijkertijd constateert Sargentini terecht dat in databanken fouten kunnen zitten en dat de hoeveelheid namen die bijvoorbeeld in de Amerikaanse Terrorist Identities Data Environment zit te groot lijkt voor prudent inlichtingenwerk. Zo bezien kleven er ook risico’s aan zaken als de SWIFT-overeenkomst tussen de VS en de EU en het EURODAC-systeem waarin asielzoekers hun vingerafdrukken moeten geven zodat die vervolgens door de politie voor opsporingsactiviteiten kunnen worden gebruikt.
Maatvoering en kwaliteit
Maatvoering en kwaliteit van de analyse zijn twee verschillende vraagstukken. Wat maatvoering betreft, valt onmogelijk te zeggen hoeveel inlichtingen er maximaal mogen worden verzameld om terrorisme te voorkomen. Het dilemma is dat wanneer diensten hun werk goed doen, de roep klinkt dat het wel een tandje minder kan omdat de privacy gevaar loopt, maar dat wanneer het misgaat de roep klinkt om privacy ondergeschikt aan de veiligheid te maken.
Dit pleit ervoor om niet te proberen vast te leggen hoeveel data mogen worden verzameld, maar om naar de kwaliteit van de analyse te kijken. Van elke dienst of bedrijf mag worden verwacht dat die in orde is, maar dat is niet zeker. Een oplossing is om hoge schadevergoedingen uit te keren aan degenen die het slachtoffer zijn geworden van fouten. Die schadevergoedingen dienen zowel door overheden als door eventuele uitvoerende bedrijven te worden uitgekeerd. Internationale afspraken over data-uitwisselingen zouden slechts mogen worden gemaakt als tevens overeenstemming bestaat over dergelijke schadevergoedingen. Hierbij kan worden aangesloten bij een resolutie van de Algemene Vergadering van de VN die oproept slachtoffers van onrechtmatig overheidsoptreden te compenseren. Mogelijk kunnen regeringen hiermee het vertrouwen van burgers terugwinnen. Want in onze maatschappij blijken schadevergoedingen een goede buffer tegen willekeur.
Rob de Wijk is directeur van het HCCC Centre for Strategic Studies.