Internetbankieren, diplomatiek verkeer, communicatie tussen multinationals: de beveiliging hiervan is essentieel, en is gebaseerd op sterke cryptografie die de berichten tussen zender en ontvanger versleutelt, zodat derde partijen niet mee kunnen lezen. Veel websites zijn beveiligd met TLS, e-mailverkeer is beveiligd met PGP of S/MIME, en moderne chat-applicaties zoals WhatsApp en Signal zijn ook end-to-end beveiligd.

Ook criminelen en terroristen maken gebruik van deze applicaties. De heer Rob Bertholee, hoofd van de veiligheidsdienst AIVD, stelt daarom in de Volkskrant van 17 september dat de veiligheidsdiensten toegang moeten krijgen tot de inhoud van deze communicatie. De AIVD moet de mogelijkheid krijgen die versleuteling ongedaan te maken. In dat interview lijkt het alsof het hoofd van de AIVD het verschil tussen privacybescherming en veiligheid niet begrijpt, en dat hij bovendien willens en wetens de feiten verdraait.

Als de AIVD de mogelijkheid krijgt de versleuteling ongedaan te maken, dan kunnen andere veiligheidsdiensten (zoals die van Rusland, China of Amerika) net zo goed van die ‘achterdeur’ gebruikmaken. De heer Bertholee ziet dat niet als een probleem: als je dit niet wilt (*) dan

[…] moet je accepteren dat je veiligheid inlevert. Dan moet je je dus afvragen hoeveel veiligheid is privacy je eigenlijk waard?

Hier begrijpt de directeur van de veiligheidsdienst het verschil tussen privacy en veiligheid dus niet. Want de kern van dit belangenconflict is nu juist dat er hierdoor een gigantisch veiligheidsprobleem wordt gecreëerd. Immers: ook andere veiligheidsdiensten krijgen dan toegang tot ons diplomatiek verkeer en gevoelige communicatie van Nederlandse bedrijven, overheden en burgers. Veiligheidsdiensten bovendien van landen waar we niet altijd even vriendelijke betrekkingen mee hebben, of die in het verleden al hebben laten zien niet vies te zijn van economische spionage.

Met de nieuwe wet op de inlichtingen- en veiligheidsdiensten krijgt de AIVD de mogelijkheid ook internetverkeer grootschalig in de gaten te houden. Privacy-organisaties noemen dat een ´sleepnet´, maar Bertholee baalt van die term.

Weet je hoe dik een glasvezelkabel is? En hoeveel kleine fibers daar in zitten? Niemand hoeft de illusie te hebben dat we zo’n dikke kabel helemaal aftappen. […] We gaan op zoek naar die ene specifieke kabel, maken een netwerkanalyse en zoomen dan in.

Dit is op zijn best een bizarre interpretatie van wat ‘aftappen’ betekent, en op zijn slechtst een leugen. Want ja: zo’n glasvezel is ontzettend dik. Maar je zult toch echt alle fibers in de gaten moeten houden en bekijken wat daar over verstuurd wordt om te weten te komen door welke fiber de berichten gaan waar je werkelijk in geïnteresseerd bent. Dat weet je echt niet van te voren.

En ook het gebruik van het woord ‘netwerkanalyse’ is interessant, zeker gezien de discussie over toegang tot versleutelde communicatie. Netwerkanalyse is het in kaart brengen van welke personen met elkaar communiceren, welke middelen ze daarvoor gebruiken, hoe vaak en hoe lang ze communiceren, en of er verbanden zijn te leggen met externe gebeurtenissen. Interessant om te weten is dat je voor netwerkanalyse geen toegang tot de inhoud van de communicatie nodig hebt. Het enige wat je hoeft te weten is wie met wie communiceert. Die informatie wordt standaard niet beschermd en is eenvoudig te achterhalen door het internetverkeer te monitoren: dan is simpel te zien welke beveiligde website door iemand wordt bezocht, of met wie iemand WhatsApp-berichten uitwisselt.

De discussie over de bevoegdheden van de veiligheidsdiensten, en of die toegang moeten krijgen tot versleutelde communicatie, moet gehouden worden op basis van feiten en rationele argumenten. Daar draagt de heer Bertholee, zo blijkt uit het bovenstaande, helaas niet aan bij. Ook niet met zijn drogreden dat een slachtoffer van een aanslag even wat minder in privacy is geïnteresseerd. Uiteraard. Net zo goed als slachtoffers van een misdrijf de dader het liefst aan de hoogste boom zien hangen. Maar voor die onderbuikgevoelens hebben we nu juist een rechtsstaat gecreëerd. Om te zorgen dat emotionele argumenten niet de overhand krijgen, en om te voorkomen dat we terugvallen in de duistere tijden van oog om oog, tand om tand.

Zo’n discussie over versleuteling is bovendien onmogelijk als we geen informatie krijgen over de effectiviteit van de bevoegdheden waarover de veiligheidsdiensten beschikken. Zeker als het gaat om verregaande bevoegdheden die de democratische rechtsorde, als ze in verkeerde handen vallen, volledig te gronde kunnen richten. Over die bevoegdheden houdt Bertholee ook in dit interview stijf de kaken op elkaar: hij weigert de broodnodige inzage te geven. Zo overtuigt hij de samenleving niet van het feit dat de nood zo hoog is, dat de exceptionele maatregelen waar hij voor pleit echt noodzakelijk zijn. Een gemiste kans in zo een cruciaal maatschappelijk debat.

Deze column verscheen 24 september 2016 in het Morgen katern van het FD (met een andere titel, een storende redactionele fout (*), en zonder onderstaand post scriptum).

P.S.: Je kunt je afvragen of iemand die de feiten verdraait en ook nog eens weigert openheid van zaken te geven over zaken die essentieel zijn voor een onafhankelijke controle op de veiligheidsdiensten de juiste persoon is om directeur van de AIVD te zijn. Totale transparantie over hoe de AIVD werkt is (gegeven de aard van het werk) onmogelijk. Juist daarom moet de directeur van de AIVD niet alleen het belang van de dienst, maar ook de (soms tegenstrijdige) belangen van de samenleving kunnen behartigen. Hij (en zijn medewerkers) zijn soms de enigen die dat spanningsveld kunnen waarnemen. De directeur is er verantwoordelijk voor dat de veiligheidsdienst de normen en waarden van de samenleving respecteert, en daar moeten wij op kunnen vertrouwen. Dat vertrouwen heeft de heer Bertholee beschaamd.