Vijf bezwaren op de aftapwet

De veelbesproken Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel de 'aftapwet' genoemd, maakt het voor de AIVD en MIVD mogelijk om grote hoeveelheden internetverkeer via de kabel af te tappen. Veel burgers en organisaties hebben hier zorgen om en bezwaren tegen. Onlangs heeft een groep studenten het voortouw genomen en een referendum over de wet aangevraagd. Meerdere organisaties steunen dit initiatief en hopen op een breed maatschappelijk debat. In deze bijdrage worden vijf bezwaren op de wet nog eens op een rijtje gezet.

1. Privacyschending

De wetgever heeft verzuimd om het nut, de noodzaak en de effectiviteit van de aftapwet aan te tonen. De proportionaliteit van de maatregelen is daardoor dubieus. Duizenden organisaties moeten data afstaan en netwerken tapbaar maken. De privacybezwaren hiervan worden onvoldoende geadresseerd. Burgers zullen zich bespied voelen en daardoor in hun privacy beknot worden. Zelfs Amnesty International, die niet bekend staat als activistisch, spreekt zich uit tegen deze schending van de mensenrechten. In de wet staat de grondslag 'gewichtige belangen van de staat' beschreven voor de inzet van bijzondere bevoegdheden. Deze omschrijving is vrij onduidelijk en daardoor is het risico op 'function creep' aanzienlijk.

2. Verslechterde concurrentiepositie

Met deze nieuwe wet wordt het Nederlandse vestigingsklimaat onaantrekkelijk. De wet heeft namelijk gevolgen op gebied van privacy, security en financiën. Vrijwel elke organisatie zal als aanbieder van communicatiediensten worden aangemerkt. Wanneer internationale bedrijven zich dan in Nederland vestigen, moeten zij ervoor zorgen dat alle data doorzoekbaar is en het volledige netwerk aftapbaar is. Helaas draaien deze bedrijven, anders dan in andere landen, zelf voor de kosten op om aan deze gestelde eisen te voldoen. Zeker voor internetbedrijven wordt het nadelig om zich in Nederland te vestigen. Deze wet zorgt ervoor dat de verplichtingen imago- en vertrouwensschade toebrengen. Ondanks dat Nederland bekend staat om de goede internetbranche, verzwakt de concurrentiepositie. 

3. Geen belang bij het melden van vulnerabilities

De in de wet beschreven hackbevoegdheid zorgt ervoor dat de inlichtingen en veiligheidsdiensten geen belang hebben bij het melden van (zero-day) vulnerabilities. Tijdens recente virusuitbraken is al gebleken dat ook de Nederlandse digitale infrastructuur kwetsbaar is voor vulnerabilities die door veiligheidsdiensten zijn ontwikkeld. Deze aangeschafte of ontwikkelde malware kan ook in verkeerde handen vallen. Bovendien mag de hackbevoegdheid bij derden ingezet worden om zo via-via bij het doelwit terecht te komen. Dat levert weer veiligheidsrisico's op voor die derden. Een door de veiligheidsdiensten geïnfiltreerd systeem is kwetsbaarder voor andere kwaadwillenden, waaronder het oorspronkelijke doelwit van de diensten. Daarnaast moet je er niet aan denken wat er allemaal mis kan gaan als de diensten gebruikmaken van IoT-systemen, waarvan niet direct duidelijk is wat voor soort systeem het is. Denk hierbij bijvoorbeeld aan medische systemen.

4. Stabiliteitsproblemen communicatie-infrastructuur

De inlichtingen en veiligheidsdiensten krijgen met deze wet de mogelijkheid om op grote schaal taps te plaatsen. Met deze taps wordt al het internet- en telefoonverkeer van bijvoorbeeld een middelgrote stad afgeluisterd. Dit levert niet alleen privacybezwaren op, maar het zorgt ook voor extra risico’s ten aanzien van de betrouwbaarheid en veiligheid van de netwerken. Zo hebben telecomproviders ervaren dat het plaatsen van taps voor stabiliteitsproblemen zorgt. En telecomproviders doen dit nu al op veel kleinere schaal dan dat de aftapwet straks eist. Stabiliteitsproblemen op het de Nederlandse communicatie-infrastructuur is zorgwekkend, zeker als we nagaan dat ook oproepen van bijvoorbeeld 112 hier overheen gaan.

5. Onmogelijke ontsleutelplicht

Tot slot legt de wet een ontsleutelplicht voor communicatienetwerken op. Enerzijds betekent dit wederom extra kosten voor de netwerken. Want hoe beter de versleuteling, hoe hoger de kosten die ontsleuteling met zich meebrengt. Anderzijds kan er door technieken als one-way-encryptie en de inzet van hardware security modules (HSM) niet aan de onsleutelplicht voldaan worden, omdat de private key er hierbij vaak niet uit te halen is. Een mogelijk gevolg is dus dat men minder sterke versleutelingen van data hanteert. Bovendien zal de afgifte en daarmee het breder beschikbaar komen van private keys zorgen voor veiligheidsrisico's als die sleutels in verkeerde handen terecht komen.

Auteur: Wido Potters (foto), Manager Support & Sales bij BIT