Beheer

Security
Hacken

Onlinedienstverleners klem door aftapwet

Klem tussen inlichtingendiensten en wantrouwende klanten

© CC BY 2.0 - Flickr.com Blogtrepreneur
4 december 2017

Het zal niemand zijn ontgaan: de wet op de inlichtingen- en veiligheidsdiensten (WIV) blijft een controversieel onderwerp. De WIV is door beide kamers aangenomen, maar de kritiek op de ruime bevoegdheden van de AIVD en MIVD is niet verstomd.

De wet heeft de benamingen ‘aftapwet’ en ‘sleepwet’ gekregen. Een groep verontruste studenten initieerden een referendum over de wet, dat in maart 2018 tegelijk met de gemeenteraadsverkiezingen zal plaatsvinden. En een groep bedrijven heeft onlangs aangekondigd naar de rechter te stappen.

De discussie is door de voorstanders ‘geframed’ als een tegenstelling tussen veiligheid en privacy. Slim, want wie kan er tegen veiligheid zijn. Zo zet je de tegenstanders in de hoek van activisten. En effectief, want iedereen heeft dat frame overgenomen. Daardoor is buiten beeld geraakt hoe het ons als onlinedienstverleners raakt. De WIV zet ons als sector namelijk tussen twee vuren.

Vertrouwen

Aan de ene kant worden we geconfronteerd met wantrouwen vanuit de samenleving. Want na beveiligingsincidenten – de kwestie van de met het buitenland gedeelde telefoongegevens en meer gedoe – is een deel van de samenleving het vertrouwen in de overheid als hoeder van gevoelige informatie en beschermer van de persoonlijke levenssfeer kwijt.

Kritiek van Raad van State genegeerd

Onthullingen over inlichtingendiensten in andere landen gooiden olie op het vuur. En het feit dat de kritiek van nota bene de eigen toezichtscommissie CITVD en de Raad van State op het wetsvoorstel is genegeerd, heeft dat wantrouwen verder versterkt. Die maatschappelijke discussie zien we terug in zorgen van onze afnemers. Vragen als ‘Waar staan mijn data’, ‘Zijn mijn data wel veilig in de cloud’ en ‘Komen mijn gegevens niet zomaar bij buitenlandse diensten terecht’ zijn rechtstreeks te herleiden naar dat thema: vertrouwen. Omdat niet helder is wat er in de praktijk gaat gebeuren en er nauwelijks informatie wordt verstrekt, hebben we als sector onvoldoende antwoorden om die klanten gerust te stellen.

De inlichtingendiensten mogen ook hacken

Aan de andere kant krijgen digitale dienstverleners ook zelf te maken met de inlichtingendiensten. Want die hebben het recht gekregen om medewerking te vorderen, om toegang te krijgen tot data en communicatie. Het gaat om telecombedrijven, datacenters en netwerk- en internetbedrijven zoals hosters en cloudproviders. Dat verplicht meewerken staat haaks op hun sterke veiligheidscultuur, die erop gericht is om hun klanten te beschermen tegen allerlei zaken waar de inlichtingendiensten nu juist de bevoegdheden voor hebben gekregen. De diensten mogen bijvoorbeeld ook hacken.

Dialoog

Deze situatie brengt bedrijven in een lastige positie. Wat moet je doen als je ziet dat je netwerk wordt gehackt en je vermoedt dat het om de overheid zelf gaat? Wat zijn je rechten en plichten als er iemand aanbelt die zegt ‘ik ben van de AIVD en ik wil dat u dit en dat voor mij doet’? Bij wie kun je terecht als je vindt dat er iets misgaat?

We hopen dat er een constructieve dialoog komt

Nu de WIV een feit is, moeten we als sector die nieuwe realiteit accepteren. Bij de inlichtingendiensten werken ook bevlogen mensen, met de beste bedoelingen, die net als wij hun werk moeten kunnen doen. We hopen dan ook dat er alsnog een constructieve dialoog tot stand kan komen. We zullen ons blijven inzetten voor reparaties aan onderdelen in de wet die afbreuk doen aan dat broodnodige vertrouwen. Zoals de aanbevelingen van juristen op het gebied van toezicht, de kwestie van de zero days, transparantie en verantwoording. Als dat realiteit wordt en als er betere voorlichting vanuit de diensten naar de sector op gang komt, dan kan het vertrouwen worden hersteld en weten we waar we aan toe zijn. Zodat we ook onze klanten ervan kunnen verzekeren dat hun data in Nederland echt veilig zijn.

Reactie toevoegen