MR. 5 2023 / 21 interview WIE IS JAN-JAAP OERLEMANS? Jan-Jaap Oerlemans (1985, zijn geboorteplaats houdt hij liever privé) studeerde rechten in Leiden (bachelor) en aan de Universiteit van Amsterdam (masters informatierecht en strafrecht). Hij werkte ruim vijf jaar als onderzoeker bij Fox-IT, bijna drie jaar bij het WODC en tegelijkertijd elf jaar bij de Universiteit Leiden, waar hij in 2017 promoveerde op het proefschrift Investigating cybercrime. Sinds 2017 is Oerlemans senior onderzoeker bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), en sinds februari 2020 is hij bijzonder hoogleraar Inlichtingen en recht aan de Universiteit Utrecht. Hij is redacteur bij het tijdschrift Computerrecht. In zijn vrije tijd gamet Oerlemans ‘best veel’, met name strategiespellen en ‘space RPG’s’. “Zoals Starfield, daaraan zal ik de komende maanden heel wat uurtjes besteden.” nog steeds: waar liggen de grenzen van digitale opsporing? Onder welke opsporingsbevoegdheden mag de politie via computers en internet gegevens verzamelen? Welke waarborgen gelden er dan? Kun je dit beter regelen, of duidelijker? En welke checks and balances zijn nodig?” Daaronder valt ook gegevensvergaring voorafgaand aan het opsporingsonderzoek of een handhavingsactie. De politie kiest steeds vaker voor verstoring in plaats van opsporing. Daarvoor is intelligence vereist. “Kan dat zomaar? Biedt de Wet politiegegevens die basis? Wordt buiten bevoegdheden getreden of gehandeld zonder wettelijke basis, dan is er kans op misbruik van overheidsmacht. Dat wil je in een rechtsstaat reguleren. Dit geldt dus ook voor het werk van de inlichtingendiensten. Het gaat bij de AIVD en de MIVD natuurlijk wel ergens over: onze nationale veiligheid.” Buitenlandse inlichtingendiensten hacken ook of breken in onze systemen in. Ik heb niet de indruk dat Russen zich zorgen maken of ze daarvoor een wettelijke basis hebben. “Wij willen misbruik van bevoegdheden door onze overheidsinstanties wél tegengaan. Je kunt daardoor als burger worden getroffen in je persoonlijke levenssfeer: je kunt schade lijden, in de gevangenis belanden, je nationaliteit kan worden ingetrokken. Overheidsacties en gegevensverzameling kunnen verstrekkende gevolgen hebben, zeker in de internationale veiligheidscontext. Dat moet je goed reguleren. De maatstaf van Rusland, China, Polen en Hongarije moeten we hier niet willen.” Maar als je de vijand niet kunt verslaan omdat je bepaalde bevoegdheden niet hebt, kan dat ook gevaarlijk zijn voor Nederlandse burgers. “Bepaalde inlichtingenmethoden mogen nu eenmaal niet, ook al lijken ze noodzakelijk. De wetgever beslist welke bevoegdheden de AIVD en de MIVD krijgen en daar moeten ze zich aan houden. Maar binnen de regels kunnen ze al heel veel. De inlichtingen- en veiligheidsdiensten hebben de meest vergaande bevoegdheden van alle overheidsinstanties. Die mogen hacken, tappen, undercover agenten inzetten, het internet afstruinen. De politie heeft tegenwoordig ook een hackbevoegdheid, niet voor bulkinterceptie maar dat komt daar wel dicht in de buurt. Bij recente cryptofoonoperaties zijn naar verluidt een miljard berichten verzameld. Dat is ook bulk, maar gerichter dan bulkinterceptie zoals inlichtingen- en veiligheidsdiensten dat kunnen doen voor meerdere onderzoeken tegelijk.” Hebben wij het toezicht op de veiligheidsdiensten goed geregeld? “Ik denk van wel. Dit gebeurt overal anders. Het Verenigd Koninkrijk heeft één toezichthouder voor intelligence van alle overheidsinstanties. Elders is er alleen parlementair toezicht, maar dan bestaat het risico dat je onderdeel wordt van een politiek proces en dat is niet per se beter. Weer andere landen kiezen ervoor dat rechters aan de voorkant de inzet van bijzondere bevoegdheden controleren, maar daar is er vaak weinig toezicht aan de achterkant. Er zijn ook landen waar een klachteninstantie of ombudsman problemen afhandelt. In Nederland hebben we het goed geregeld, met toetsing vooraf, tijdens én achteraf. Controle op de gegevensverwerking door de politie moet de Autoriteit Persoonsgegevens doen, maar die lijkt daar niet heel actief in.” Als het zo goed werkt, heeft de CTIVD het vast niet druk. “Er kunnen altijd wel dingen misgaan. Er wordt niet altijd aan alle bepalingen van de wet voldaan, maar vaak is dat niet dramatisch. Stel, iemand heeft gegevens verwerkt maar dit wordt niet goed vastgelegd. Dan rapporteer je daarover: er is iets mis met de logging of bijvoorbeeld de autorisatie, en dan is de bedoeling dat die dienst dat intern snel herstelt. Los van de tekortkoming in logging, kan het bijvoorbeeld wel noodzakelijk en proportioneel zijn geweest. Wel ernstig is het als er geen toestemming is voor de inzet van een bevoegdheid en als dat toch gebeurt. Dat komen we gelukkig zelden tegen. Ik kan mij bijvoorbeeld niet herinneren dat daar een keer sprake van was.” BULKINTERCEPTIE Een van de meest controversiële bevoegdheden van de AIVD en de MIVD
RkJQdWJsaXNoZXIy ODY1MjQ=