In onze nieuwsbrief van maart 2006 schreven over het wetsvoorstel dat de Wet op de Inlichtingen- en Veiligheidsdiensten dusdanig wil wijzigen dat er voor bestuursorganen, financiële dienstverleners en vervoerders een verplichting komt om gegevens af te staan aan de inlichtingendiensten indien zij daarom vragen. Momenteel is die plicht er alleen in de communicatiesector. Een tweede belangrijke wijziging is de mogelijk om gegevens in bulk op te vragen. Het doel van deze gegevensverzameling wordt uiteindelijk ook expliciet in de wet opgenomen: datamining. Aan de hand van profielen wordt gezocht naar mogelijke terroristen. Laatste belangrijke wijziging is het geven van bevoegdheid tot verstoring aan medewerkers van de diensten zelf. Deze bevoegdheid ligt nu bij infiltranten, diw erken voor de dienst.

CIA – SWIFT

Een voorbeeld van de betekenis van het wetsvoorstel diende zich op 23 juni 2006 aan. De New York Times en de Wall Street Journal onthulden dat de CIA de financiële gegevens van SWIFT doorzoekt. Swift is gevestigd in Brussel en staat voor Society for Worldwide Interbank Financial Telecommunication. In totaal zijn 7.863 financiële instellingen uit 202 landen bij SWIFT aangesloten. Vorige jaar verwerkte SWIFT 123 miljoen internationale overboekingen. Doel zou zijn het opsporen van internationale overboekingen die mogelijk gerelateerd zijn aan terrorisme.
Naar aanleiding van deze onthulling heeft het Europees parlement op 6 juli jl. een resolutie aangenomen waarin opheldering wordt gevraagd aan de Europese Centrale Bank, de Europese Commissie, en de regeringen in Europa. Zij moeten bekendmaken wat zij wisten over de inzage van bankgegevens van particulieren door de Amerikaanse inlichtingendienst CIA. Privacy International heeft vervolgens in 17 landen, waaronder Nederland, bij instellingen die toezicht houden op privacyregels een klacht ingediend tegen de overdracht van zulke informatie.
Zowel het Europees Parlement als Privacy International maken zich zorgen over de bescherming van de persoonsgegevens, het ontbreken van een wettelijke basis en mogelijke bij-effecten zoals bijvoorbeeld economische spionage.

Wetsvoorstel Wijziging WIV

Het wetsvoorstel wijziging WIV geeft de Nederlandse inlichtingendiensten precies dezelfde bevoegdheid. Het wetsvoorstel kent immers naast de verplichting voor de financiële sector om gegevens over specifieke personen af te staan aan de AIVD ook de verplichting om (een deel van) geautomatiseerde gegevensbestanden beschikbaar te stellen. De wet zelf zegt eigenlijk niet welke gegevens het betreft. Bij Algemene Maatregel van Bestuur zal worden vastgelegd ‘op welke soorten gegevens de verplichting betrekking heeft’. In de Memorie van Toelichting wordt uitgelegd dat ‘op deze wijze dus per aangewezen categorie kan worden voorzien in een daarop toegesneden regeling van de informatieverplichting’. In de praktijk zal het betekenen dat de AIVD de beschikking krijgt over zeer veel financiële gegevens. Die worden dan aangevuld met databestanden van vervoerders, telecom bedrijven en bestuursorganen, waarna de AIVD de gegevens gaat doorzoeken aan de hand van profielen of op zoek gaat naar bepaalde patronen.

Gevolgen

De AIVD zal hiermee de beschikking krijgen over zeer veel uiterst gevoelige financiële gegevens. Belangrijk is dat hiermee een strak getrokken grens, waarbij de AIVD alleen gegevens mag verzamelen over targets die een gevaar vormen voor de nationale veiligheid wordt overschreden. In de VS en Duitsland hebben dergelijke uitbreidingen, waarbij gegevens over daadwerkelijk alle inwoners van een land zouden worden verzameld, geleid tot veel protest en het afblazen van de voorstellen.

De vraag is natuurlijk of de noodzaak van deze maatregel zo groot is dat het een dergelijk grote aantasting van de privacy rechtvaardigt. In het wetsvoorstel is de regering hier niet duidelijk over, iets wat ook de PvdA en de VVD op is gevallen.
In de eerste ronde van de parlementaire behandeling (verslag van de commissie) vroeg de PvdA daarom om een algemene toelichting. De VVD-fractie toonde zich kritisch over de inhoudelijke uitwerking. Deze fractie vindt teveel onduidelijk en is daardoor onzeker over de uitwerking van de verstrekkende gevolgen van de wetswijziging.

Naast de noodzaak vereist een dergelijk wetsvoorstel ook duidelijkheid.
In het wetsvoorstel is eigenlijk niet gespecificeerd wat er gebeurd als iemand door middel van de middel van de datamining als hit als het systeem rolt.
Kan iemand op basis van de data-analyse een object van onderzoek van de dienst worden? Kan iemand op een zwarte lijst terecht komen? Wordt iemand ingebracht in de CT-Infobox? Kan iemand op deze basis worden verstoord? Als het een vreemdeling betreft kan iemand dan uitgezet worden? Als het mogelijk criminele activiteiten betreffen, mag de AIVD die dan in een ambtsbericht doorgeven aan de politie?
Gekoppeld aan de vraag van het rechtsgevolg is de rechtspositie van personen die door het doorzoeken van de data als een gevaar voor de nationale veiligheid worden aangemerkt. Ook hierover is geen woord terug te vinden in het wetsvoorstel, terwijl de noodzaak hiervan, gezien de middelen die kunnen worden ingezet, ontzettend groot is.
De PvdA vraagt de regering in de eerste behandeling of dit wetsvoorstel nu daadwerkelijk datamining of profiling door de AIVD mogelijk wordt gemaakt. De fractie wil dan graag de risico’s in kaart gebracht hebben. “Immers indien bepaalde verbanden worden gevonden en de AIVD op grond daarvan besluit in te grijpen (te verstoren) , bestaat de kans dat ook onschuldige burgers daarvan de dupe worden”.

Wat rest is de effectiviteit van de datamining op zo’n grote schaal. De data-analyse vindt immers plaats op basis van profielen. En daar zit direct het grote probleem van het hele systeem. Het samenstellen van een zinvol profiel is simpelweg niet te doen.
Of de kenmerken zijn zo algemeen, zodat heel veel mensen uit de analyse tevoorschijn komen, of de kenmerken zijn weer zo specifiek dat de analyse niks oplevert. Het grote probleem is dat de beoordelingscriteria niet bekend gemaakt worden.
In Duitsland lekte een tijd geleden een profileringslijst uit die gebruikt wordt bij het dataminen op zoek naar potentiële terroristen. De lijst is nog steeds zo algemeen, dat veel mannen van Arabische afkomt tussen de 18 en 45 jaar in aanmerking komen.
Prof. Dr. Bart Jacobs (hoogleraar Beveiliging en Correctheid van computerprogramma’s, universiteit Nijmegen) schreef in Ars Aequi (Select before you Collect) dat profilering nu juist bij terrorismebestrijding niet realistisch is. “Stel we hebben een extreem goed profiel met een (onrealistische) foutmarge van 1%. Hoeveel terroristen zijn er? Dat weten we natuurlijk niet precies, maar laten het er eens 1 op de miljoen zijn. Dan moet je dus 10.000 mensen uit de rij halen om die ene (mede) te selecteren, waarbij je hoopt dat het je vervolgens lukt de gezochte terrorist met andere middelen te identificeren in de overgebleven groep van 10.000. Dit is niet werkbaar. In lijn met de select before you collect gedachte steunen inlichtingendiensten eerst vooral op traditionele eyes and ears (humint) voor de selectie van bronnen van mogelijk gevaar en gebruiken ze vervolgens hun uitgebreide bevoegdheden voor data-verzameling (sigint) voor verdergaande focus op deze bronnen”.
De AIVD zelf is ook voorzichtig over de mogelijkheden van data-analyse. In Onder Druk, terrorismebestrijding melde de dienst dat ‘waar het in de zeventiger jaren nog relatief mogelijk was om een profiel van een ‘home grown’ Raf-terrorist te maken dat tegenwoordig veel ingewikkelder is. Niet alleen omdat zo’n profiel wordt samengesteld aan de hand van geregistreerde gegevens, ook omdat het uitgangspunt een heel ander paradigma is. Bovendien stelt de AIVD terecht de vraag wat de rechtsgevolgen zouden zijn en hoe effectief zo’n systeem nu eigenlijk is. Rasterfahndung past wel in de strategie van de AIVD om te streven naar een reductie van de ‘ongekende’ parallelle samenleving’.
CIA SWIFT op tweakers.net
Privacy International
Klacht PI bij College Bescherming Persoonsgegevens