In een referendum stemde een kleine meerderheid van de Nederlanders in 2018 tegen de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv 2017). Die moest de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), Nederlandse geheime diensten, toegang geven tot zowat alle Nederlandse telecommunicatie in naam van nationale veiligheid, voornamelijk inzake terrorismebestrijding. Maar de zogenaamde ‘sleepwet’ werd beperkt tot het zo gericht mogelijk verzamelen en slechts tijdelijk bewaren van gegevens.
Nu, enkele jaren later, zou een nieuw wetsvoorstel volgens de Volkskrant het grootschalig aftappen van communicatie via internetkabels dan toch mogelijk maken. Een kwestie die de Nederlandse bodem overstijgt in de context van het delen van gegevens tussen de landen van de Five Eyes-allianties.
Wat doen deze allianties precies, wat betekent het vernieuwde wetsvoorstel rond de ‘sleepwet’ voor de doorsnee Nederlandse burger en vooral: wat kunt u doen om ondanks deze veranderingen veilig te blijven online? Dat ontdekt u hier.
Meer lezen: Waarom hebben we een VPN nodig?
Wat is de Five Eyes-alliantie?
De Five Eyes-alliantie (ook bekend als 5 Eyes, FVEY of Vijf Ogen) is gegroeid uit informele gesprekken tussen de Verenigde Staten en het Verenigd Koninkrijk tijdens de Tweede Wereldoorlog. Beide landen besloten toen inlichtingen te delen over onderschepte buitenlandse communicatie. Dit werd in 1946 geformaliseerd als het UKUSA-pact. Bijna tien jaar later, in 1955, sloten ook Canada, Australië en Nieuw-Zeeland zich aan.
De naam Five Eyes is steno voor AUS/CAN/NZ/VK/VS Eyes Only. Five Eyes was dan ook gedurende decennia een geheime alliantie. Het was zo geheim dat ondanks het feit dat Australië sinds 1955 lid was, de Australische premier tot 1973 niet van het bestaan ervan afwist. In 2005 werd de alliantie echter openbaar gemaakt en sindsdien is het een erkend orgaan. Sinds 2010 zijn de originele UKUSA-dossiers ook publiek toegankelijk.
Van onderschepping tot massale gegevensverzameling
Het was altijd de bedoeling van de alliantie om buitenlandse inlichtingen met elkaar te delen. Oorspronkelijk kwamen de inlichtingen voort uit onderschepte signalen (bekend als ‘signals intelligence’, of SIGINT) die communicatie- en elektronische inlichtingen omvatten, zoals signalen van radars en raketsystemen. Onze communicatie is sinds de Koude Oorlog echter aanzienlijk veranderd, zodat SIGINT nu ook alles van telefoongesprekken en sms’jes tot e-mails en browsegeschiedenis omvat.
De communicatie tussen de vijf bondgenoten van de Koude Oorlog breidde uit tot massale gegevensverzameling en online surveillance van burgers wereldwijd. Daarbij werden nog meer landen betrokken en de Nine Eyes- en Fourteen Eyes-allianties opgericht.
De Five Eyes-landen:
- De VS
- Het VK
- Canada
- Australië
- Nieuw-Zeeland
In elk van de Five Eyes-landen wordt internetsurveillance en het verzamelen van gegevens op een andere manier aangepakt. Eigenlijk mogen deze landen hun eigen burgers niet bespioneren en hebben ze een onderlinge overeenkomst om ook elkaar niet te surveilleren. Maar de onthullingen van NSA-klokkenluider Edward Snowden in 2013 brachten wijdverbreide spionagepraktijken aan het licht.
De Nine Eyes-landen:
De ‘Negen Ogen’ omvatten de Five Eyes-landen alsook:
- Nederland
- Frankrijk
- Noorwegen
- Denemarken
Het eerste pact werd later uitgebreid met andere allianties, zoals de Nine Eyes (oftewel Negen Ogen) en de Fourteen Eyes (oftewel Veertien Ogen). Deze allianties voor een in theorie verhoogde staatsveiligheid werken op dezelfde manier als de originele Five Eyes: de landen verzamelen SIGINT en delen informatie over buitenlandse bedreigingen en strategieën.
De Fourteen Eyes-landen:
De ‘Veertien Ogen’ bestaan uit de landen van de ‘Negen Ogen’ plus:
- België
- Duitsland
- Italië
- Spanje
- Zweden
De Fourteen Eyes-alliantie, ook bekend als SIGINT Seniors Europe, of SSEUR, werd opgericht tijdens de Koude Oorlog en bestond voorheen uit negen landen. Na de aanslagen van 11 september 2001 in de VS werden dat er echter veertien gericht op terrorismebestrijding.
Internetsurveillance in Nederland, de VS en het VK
Er is bezorgdheid dat het geheimzinnige karakter van de Five Eyes-alliantie toezicht op de naleving van de wetgeving in de weg staat. De Electronic Frontier Foundation (EFF) zegt: “Het gevaar is dat door deze brede overeenkomsten, de landen uiteindelijk zullen profiteren van de laagste privacynormen onderling.”
De sleepwet in Nederland
Hoewel Nederlanders in een referendum tegen de sleepwet stemden, moet een nieuw wetsvoorstel de bevoegdheden van de inlichtingendiensten uitbreiden voor operaties tegen landen met offensieve cyberprogramma’s, zoals China en Rusland.
Onder de huidige wetgeving gaat de onafhankelijke Toetsingscommissie Inzet Bevoegdheden (TIB) op voorhand na of de operaties van de AIVD en MIVD voldoen aan vereisten als doelgerichtheid. Het nieuwe wetsvoorstel moet de werking van de geheime diensten echter vereenvoudigen waardoor operaties zoals hacks en het aftappen van internetverkeer niet langer op goedkeuring moeten wachten. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) voert de controle uit wanneer operaties al zijn ingezet of afgerond.
Volgens de Volkskrant hebben de AIVD en MIVD bovendien nu de nodige technische infrastructuur opgezet met grote kabelbedrijven als Eurofiber en Relined om in heel Nederland communicatie te kunnen aftappen.
Internetsurveillance in de VS
In de VS wordt SIGINT verzameld door de National Security Agency (NSA). Momenteel kan de NSA op grond van de Patriot Act Reauthorization Bill de browse- en zoekgeschiedenis van Amerikanen in de gaten houden zonder bevelschrift.
De NSA beheerde PRISM, een surveillanceprogramma dat informatie verzamelde van Amerikaanse internetbedrijven. PRISM is een van de programma’s die gebruikmaakten van XKeyscore, de NSA-database die door Snowden werd onthuld. Hij bracht ook de enorme NSA-database van Amerikaanse telefoongegevens aan het licht. In 2020 oordeelde het Amerikaanse Hof van Beroep dat de NSA de Foreign Intelligence Surveillance Act had geschonden.
Internetsurveillance in het VK
Het Government Communications Headquarters (GCHQ) verzamelt SIGINT namens het Verenigd Koninkrijk. De Investigatory Powers Act 2016 (ook bekend als het Snoopers’ Charter) stelt politie en veiligheidsdiensten in staat om zonder bevelschrift gegevens in beslag te nemen bij aanbieders van communicatiediensten. Daarnaast moeten internetproviders metadata een jaar lang verzamelen en bewaren.
In mei 2021 oordeelde het Europees Hof voor de Rechten van de Mens dat de GCHQ het recht op privacy had geschonden. The Guardian schreef dat de “massale interceptie van online communicatie door het GCHQ het recht op privacy schond en dat het regime voor het verzamelen van gegevens onwettig was.”
Hoe bescherm ik mezelf tegen de sleepwet en Five Eyes?
Het is onduidelijk hoe de digitale privacy van individuen wordt beïnvloed door deze allianties en de sleepwet. Lawfares suggereert dat het onmogelijk is om de omvang van de surveillance te kennen zolang we “in het duister blijven over de algemene aard en omvang van het delen van inlichtingen tussen de Five Eyes-landen”.
U moet er altijd van uitgaan dat alles wat u online doet, kan worden onderschept of gevolgd. Gelukkig kunt u de nodige maatregelen nemen om uw privacy te beschermen.
Het gebruik van een VPN bij toegang tot het internet kan uw digitale voetafdruk kleiner maken. ExpressVPN is gevestigd op de Britse Maagdeneilanden, waarvan de wetten gebruikers meer privacy en anonimiteit bieden dan die van de VS en Europa. Jurisdictie zou een van de vele factoren moeten zijn bij het kiezen van een VPN.