In de komende maanden legt de wetgever de wettelijke basis voor versterking van de inzet van inlichtingen- en veiligheidsdiensten. In de huidige Wet voor de Inlichtingen en veiligheidsdiensten dient ‘ongerichte’ interceptie van telecommunicatie zich namelijk te beperken tot ‘niet-kabelgebonden’ netwerken. Dat wil zeggen dat het merendeel van alle digitale informatiestromen zich op dit ogenblik per definitie aan het zicht van de diensten onttrekken. Het wetsvoorstel maakt het mogelijk om datastromen ook op de kabel te onderscheppen.
Dagblad de Volkskrant publiceerde recent het wetsvoorstel: Regels met betrekking tot de inlichtingen- en veiligheidsdiensten alsmede wijziging van enkele wetten. Een omvangrijke wetstekst en toelichting geven zicht op de voorgenomen herziening van taken en bevoegdheden. De wet maakt het mogelijk om internetverkeer af te tappen en providers te verplichten daaraan medewerking te verlenen. Het kabinet heeft aangegeven de extra kosten voor de private partijen te willen vergoeden en verwacht met de nieuwe wettelijke kaders effectiever werken aan de veiligheid in Nederland. Bijzonder is dat in het wetsvoorstel slechts één keer het begrip big data voorkomt.
WRR
Tegelijk met het uitlekken van het wetsvoorstel op de inlichtingen en veiligheidsdiensten kwam de WRR met het rapport Big Data in een vrije en veilige samenleving. De WRR schetst in dit rapport dat het gebruik van Big Data zal toenemen en dat de praktijk is nog onvoldoende gereguleerd. Burgers en maatschappelijke organisaties laten met veel gemak allerlei informatiesporen achter. Langzamerhand dringt het besef door dat derden daarmee aan de haal kunnen gaan. Zij doen dat soms met toestemming van degene die de informatie vrijgaf, maar vaak ook zonder die expliciete toestemming. Vervolgens kan de combinatie van data leiden tot het genereren van nieuwe, secundaire informatie door een derde, die van die informatie de eigenaar is. De gegenereerde informatie wordt benut voor diensten van bedrijven en overheden en die werkwijze kan volgens het Kabinet een betekenisvolle rol spelen in het veiligheidsdomein. De WRR gaat diep in op de betekenis van Big Data en maakt een inhoudelijke analyse van de impact van het gebruik voor veiligheidsdoelstellingen ten opzichte van grondrechten van burgers. Enkele belangrijke citaten:
Big Data biedt voor veiligheidsdiensten mogelijkheden voor opsporing en surveillance. De WRR stelt (p.90): ‘Secundair gebruik – de grote kracht van Big Data – staat op gespannen voet met het beginsel van doelbinding, dat zegt dat informatie alleen mag worden gebruikt ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit is een hoeksteen van de gegevensbescherming en privacywetgeving.’
De WRR stelt verder (p.92): ‘De dooddoener ‘wie niets te verbergen heeft, heeft niets te vrezen’ kan niet verhelpen dat er een negatief sociaal effect uitgaat van het constante (elektronische) toezicht door publieke en private partijen in het digitale tijdperk. Wanneer overheidsorganisaties ook private data voor veiligheidsdoeleinden gaan gebruiken, zal dit effect naar alle waarschijnlijkheid sterk worden uitvergroot […] Mensen kunnen het gevoel krijgen dat hun recht op privacy en vrijheid van meningsuiting in gevaar is. Als deze effecten optreden bij journalisten, schrijvers, klokkenluiders, ngo’s en advocaten, komt ook het functioneren van de bredere democratie in het geding.’
Doelbinding
De WRR geeft aan dat Big Data niet gedemocratiseerd zijn. De overheid en grote bedrijven weten steeds meer van burgers. Maar voor de burgers is op hun beurt niet transparant welke data die organisaties bezitten en waarvoor ze die gebruiken. De voor analyse gebruikte algoritmen en daarop volgende conclusies en besluiten vormen een black box. Bij het gebruik van deze informatie door veiligheidsdiensten is er vaak sprake van geheimhouding; een oncontroleerbare machtsconcentratie bij de overheid is het resultaat. Het gebruik van Big Data door veiligheidsdiensten tast een aantal van de kernprincipes van de juridische kaders voor gegevensverzameling binnen het veiligheidsdomein aan. De WRR stelt (p.106):
‘Het principe van doelbinding koppelt de verzameling en verwerking van gegevens aan vooraf vastgestelde doeleinden. Dit staat op gespannen voet met het uitgangspunt van ongerichte verzameling en hergebruik van data binnen Big Data-processen. Het principe van noodzakelijkheid stelt dat gegevens alleen mogen worden verwerkt wanneer (1) de ingreep in relatie staat tot het te dienen belang (proportionaliteit) en (2) er niet een minder ingrijpende verwerking of ander middel voorhanden is. Noodzakelijkheid impliceert daarmee ook dataminimalisatie: de gegevensverzameling moet tot het hoogstnoodzakelijke worden beperkt. In het Big Data-tijdperk geldt daarentegen juist dat meer data resulteren in betere uitkomsten. Ten slotte impliceert de toets van noodzakelijkheid ook een effectiviteitstoets: een verwerking van persoonsgegevens die niet effectief is om het doel te bereiken, kan immers nooit noodzakelijk zijn. Voor deze afweging ontbreekt momenteel echter voldoende kennis van en inzicht in de effectiviteit van Big Data-analyses.’
Aanbevelingen
De WRR komt na een grondige bespreking wat Big Data is en welke rol het speelt in het veiligheidsdomein met een aantal aanbevelingen. Samengevat:
- Nederland moet meer Europees denken als het om wetgevende normering van het gebruik van (Big) Data gaat.
- Als de overheid Big Data wil gebruiken voor veiligheidsdoelstellingen doet zij er verstandig aan ook aandacht te besteden aan dienstverlening die bijdraagt aan preventiedoelstellingen ten aanzien van het veilig gebruik van internet door burgers en de maatschappelijke organisaties.
- Bovendien moet er meer aandacht zijn voor normering van analyse methoden en het gebruik van gegevens in Big Data processen. Nu is er teveel nadruk op het verzamelen van data en zijn er onvoldoende garanties dat er bij de analyses geen bias optreedt die verstrekkende gevolgen voor de rechten van burgers kan hebben.
- De WRR pleit voor de invoering van een zorgplicht gericht op kwalitatieve verantwoording van de behandeling van de gegevens waarop de toezichthouder kan toetsen.
- De verantwoordelijkheid voor de juistheid van de gegevens moet bij de gegevensverwerkende partij blijven liggen, deze blijft aansprakelijk voor de bewerking en de daarbij gehanteerde factoren en wegingen.
- Het toezicht op de taak van de veiligheidsdienst moet onafhankelijk zijn en doorzettingsmacht krijgen.
- Bovendien pleit de WRR voor meer transparantie van de gegevensverwerking; evenwicht tussen geheimhouding en openbaarheid over Big Data toepassingen.
- De aantasting van fundamentele vrijheden vraagt om verantwoording, democratische controle en gerechtelijke toetsing van wetgeving en beleid omtrent Big Data-toepassingen.
Het kabinet herziet het wettelijk kader voor de modernisering van opsporingsmethoden. Dat blijkt, ook uit de analyse van de WRR, hard nodig. Het lijkt logisch dat de wetgever nog eens goed nagaat of de voorliggende Wet inzake Regels met betrekking tot de inlichtingen- en veiligheidsdiensten aan de aanbevelingen van de WRR inzake de inzet van Big Data voldoet. De wet bevat bepalingen die overigens nog tot discussie zouden moeten leiden. Zoals de mogelijkheid dat een ambtenaar van een opsporingsdienst opgedragen kan worden om strafbare feiten te plegen in belang van de veiligheidsdoelstellingen. Die opdrachten kunnen uiteraard niet zomaar worden gegeven, maar vraag is wel wat de aanleiding dan kan zijn. Als aanleidingen worden gebaseerd op analyses met behulp van Big Data dan is er gezien de analyse van de WRR extra waakzaamheid geboden.
Kees Jansen zegt
Mooie weergave van het WRR rapport, Marijke. Lees ik het goed dat jij een cirkel-redenatie voorziet? Dat we voorzichtig moeten zijn met strafbare feiten. iets dat nu nog door mensen wordt “gevonden”, maar in de nabije toekomst (nu al?) steeds meer vanuit Big Data voortkomt?
Ik denk inderdaad dat we snel verkeerde conclusies kunnen trekken als we patronen denken te zien, die er niet zijn. Data-analyse is een vak op zich, waar je snel tot vreemde conclusies kan komen als je niet oplet.
Ben jij van mening dat er al snel een cirkel-redenatie ontstaat, omdat we steeds meer gebruik maken van algoritmes in data-analyse en daardoor mogelijk data-sets op elkaar leggen waar conclusies uit ontstaan die helemaal niet juist zijn?
Marijke van Hees zegt
Beste Kees,
Ik waarschuw inderdaad voor bewijsvoering die is gebaseerd op big data waarbij de basis voor de bewijslast niet transparant is. Ik snap dat daarin voor de samenleving de winst in zit dat terroristische dreiging eerder op te sporen is. Dat rechtvaardigt in het wetsvoorstel het gebruik van big data voor dit doel. Maar voor je het weet is dat indirecte “bewijs” een basis voor direct ingrijpen; inclusief de mogelijkheid voor het geven van toestemming voor het plegen van strafbare feiten ten opzichte van “verdachten”.
Dat gaat ver en vereist waakzaamheid van de wetgever. Het begrip cirkelredenering zou ik niet gebruiken, wel kan er een gebrek zijn aan bewezen causaliteit.
Met vriendelijke groet,
Marijke van Hees