De Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan grondrechten geschonden mogen worden. Verschillende burgers en organisaties hadden de rechtszaak aangespannen tegen de Staat naar aanleiding van de Snowden-onthullingen over grootschalig gebruik van data door de Amerikaanse NSA.
Allereerst is er een stuk discussie over óf deze burgers en organisaties wel een rechtszaak mogen beginnen. Je kunt niet zomaar naar de rechter, je moet wel een “redelijk belang” hebben zoals de wet dat noemt. En dat belang moet wel over jou gaan. Als mijn buurmans auto bekrast wordt, kan ik niets eisen. Hier erkent de rechter dat dat het geval is: de burgers (waaronder Rop Gonggrijp, Brenno de Winter en Mathieu Paapst) hebben een meer dan gemiddelde kans
dat zij door hun activiteiten een gevaar voor de nationale veiligheid zouden kunnen opleveren en derhalve op grond van de Wiv 2002 onderwerp zouden kunnen zijn van onderzoek door de diensten.
Het zal je maar gezegd worden.
Afijn. De inhoudelijke discussie is een stuk lastiger. De grootschalige uitwisseling van persoonsgegevens levert juridisch gezien een schending van de privacy op, en die is beschermd in het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Ook is dit te rekenen onder de informatievrijheid, het beschermen van je bronnen is daar voor journalisten deel van.
Het grootste probleem zit hem in het ‘witwassen’ van gegevens: de NSA verkrijgt gegevens langs illegale weg, en verstrekt ze dan via het uitwisselingsprogramma aan de Nederlandse AIVD die dan vrolijk kan zeggen ze legaal van een buitenlandse partner verkregen te hebben.
Hoewel de NSA in principe legaal handelt naar Amerikaans recht, en er uitgebreid imbedding en controle is binnen het Amerikaanse rechtssysteem, moet er rekening worden gehouden met de mogelijkheid dat de diensten in het kader van de internationale samenwerking gegevens ontvangen die zijn verzameld op een wijze die niet in overeenstemming is met het EVRM en IVBPR. Die verdragen eisen allereerst een duidelijke wettelijke basis, daarna een legitiem doel en vervolgens een noodzakelijkheidstoets – moet dat nou écht op deze manier, kan het niet een onsje minder.
In een uitspraak van het Europese Hof voor de Rechten van de Mens (de hoogste privacyhandhaver, niet te verwarren met het Europese Hof van Justitie) is bepaald dat voor legaal aftappen duidelijk moet zijn:
the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their telephones tapped; a limit for the duration of telephone tapping; the procedure to be followed for examening, using and storing of the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which recordings may or must be erased or the tapes destroyed.
Dit geldt ook voor ongericht aftappen van personen. Maar het grootschalig in bulk vergaren van data zoals de NSA doet, is nóg een stapje verder en de rechtbank wil er niet aan dat ook dáár zulke specifieke grenzen moeten worden getrokken. Dat voelt minder erg, net zoals het minder erg is om iemands locatie via GPS ontvangers bij te houden dan zijn gesprekken consequent af te luisteren. De vraag is dan of de nationale wetgeving toereikende en effectieve waarborgen biedt tegen een willekeurige inbreuk op de persoonlijke levenssfeer.
Voor toepassing van deze laatste maatstaf, meer dan voor toepassing van de gestelde minimumwaarborgen, is naar het oordeel van de rechtbank ook aanleiding in het geval van de ontvangst van gegevens in bulk, waarbij immers ten tijde van de ontvangst niet bekend is wat de aard van de gegevens is en op welk(e) individu(en) deze gegevens betrekking hebben.
Volgens de rechter hoeven we ons geen zorgen te maken: De Wiv 2002 bevat voorts voldoende waarborgen voor de verdere verwerking (waaronder het gebruik) van die gegevens. Immers in de wet staat
In artikel 12 Wiv 2002 is immers geborgd dat de verwerking van gegevens slechts plaatsvindt voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2002 of de Wet veiligheidsonderzoeken, en ook dat dit in overeenstemming met de Wiv 2002 en op behoorlijke en zorgvuldige wijze geschiedt. In artikel 13 van de Wiv 2002 zijn de categorieën van personen genoemd ten aanzien van wie gegevens kunnen worden verwerkt.
En er is niet bewezen dat de Nederlandse veiligheidsdiensten deze artikelen overtreden. Verder kun je als burger individueel naar de rechter als blijkt dat de veiligheidsdiensten specifiek informatie over jou delven uit NSA-bulkdata. Een tikje formele opstelling, ahem.
Dan komt nog de algemene vraag: is het doel en de noodzaak duidelijk aanwezig? Dat is immers nodig onder het EVRM en het IVBPR. Daarvan is sprake omdat het gewoon zo is en het gewoon niet anders kan:
Het gaat om een dringende maatschappelijke behoefte dat met buitenlandse diensten wordt samengewerkt en dat in dat verband verzamelingen gegevens in bulk worden uitgewisseld. Zoals de Staat ter zitting naar voren heeft gebracht, kan wel naar de herkomst van informatie worden geïnformeerd, maar zal daarop in de regel geen antwoord worden gegeven. Dat, als een partner eenmaal aan de voor samenwerking geldende criteria voldoet, de aard en inhoud van die samenwerking, op voorhand niet zijn beperkt, is ook gerechtvaardigd gelet op de risico’s voor de nationale veiligheid die aan een andere benaderingswijze zouden kunnen zijn verbonden.
Wat nu specifiek met de bulkgegevens die men van de VS kan verkrijgen die in strijd met het EVRM of IVBPR zijn verkregen? Die zijn in beginsel ook legaal. Immers:
Daarbij gelden voor het onderscheppen van (ruwe) gegevens in bulk zonder dat deze op relevantie zijn beoordeeld – hetgeen in deze procedure centraal staat – minder strikte eisen dan voor het kennisnemen van de inhoud van de communicatie. Er is bovendien een relevant onderscheid tussen het ontvangen van gegevens en het vervolgens gebruikmaken van die gegevens in individuele gevallen.
Dus ga maar op individuele basis naar de rechter als specifiek jij aangepakt wordt op basis van informatie die uit bulkgegevens is verkregen. “Het zwaarwegende belang van de nationale veiligheid geeft hier de doorslag.”
Jammer. Het is een láng en uitgebreid vonnis maar toch valt de onderbouwing me bij eerste lezing wat tegen. Waaróm is het zo dringend nodig dat er wordt samengewerkt en bulkdata wordt uitgewisseld? Waarom accepteren we dat een partner niet zegt waar de data vandaan komt? En daarbij komt de ergerlijke houding van “je kunt individueel een zaak aanspannen hoor”. Nee. Grmbl.
Arnoud