WRR rapport: De publieke kern van het internet

Ik zal met de deur in huis vallen: dit is een belangwekkend rapport dat uitstekend aangeeft welke belangen er op het spel staan en hoe een land als Nederland daar op zou moeten reageren.

Veel dank voor dit belangrijke rapport, op dit belangrijke moment. We zijn bijna drie weken verwijderd van de Global Conference on Cyberspace, de GCCS. Bij BZ staat alles momenteel in het teken van deze conferentie. Nederland en Den Haag hebben de afgelopen jaren hun sporen verdiend op dit terrein. We hebben bewezen een goed gastheer te zijn voor conferenties op deze schaal. Denk aan de internationale Afghanistan-conferentie in 2009 en aan de Nuclear Security Summit in 2014.

Als het gaat om cyberspace en cyber security lopen we ook inhoudelijk met de voorsten mee. Je ziet het aan de plaats van Amsterdam als knooppunt voor internetdiensten. En aan de manier waarop Nederlanders nadenken over en meewerken aan het zekerstellen van een open, vrij en veilig internet.

De samenstelling van het panel dat zo dadelijk zal debatteren over de inhoud van dit rapport maakt dit ook duidelijk:

-    Marietje Schaake is in het Europees Parlement kampioen van openheid en openbaarheid.
-    Wil van Gemert van Europol heeft zijn sporen verdiend als NCTV-man belast met cybersecurity.
-    prof. Nico van Eijk is een van de leidende denkers op het gebied van internetvrijheid.

Het Amsterdamse Instituut voor Informaticarecht - waar prof. Van Eijk leiding aan geeft - is trouwens de plek waar Lodewijk Asscher is gepromoveerd op de vrijheid van meningsuiting en het communicatiegeheim in de informatiesamenleving. Een actueel onderwerp, in het licht van de discussie over een vrij internet. Maar het is aan mij om als lid van dit kabinet dit rapport in ontvangst te mogen nemen, omdat het zich uitspreekt over de inrichting van het buitenlands beleid.

Ik zal u bij voorbaat al gerust stellen: onze internetdiplomatie begint niet vandaag, daar zijn we al enige tijd mee bezig. De organisatie van de GCCS bevestigt dat. Wat niet wegneemt dat ik blij ben met de aanbeveling van het rapport om met een geïntegreerde internetdiplomatie te komen. Later daarover meer.
Belang van internet

De WRR maakt duidelijk dat de discussies over internet vergelijkbaar zijn met die over klimaatverandering of over stabiliteit van het financiële systeem. Ik denk dat het daarmee de spijker op de kop slaat. Internet is van immens belang voor de wereld en voor Nederland. Internet heeft zich ontwikkeld van een technisch fenomeen tot een maatschappelijk fenomeen dat van eminent belang is voor overheden en bedrijven, voor maatschappelijke organisaties en voor burgers.

Het internet levert enorme kansen op voor economische groei, ontwikkeling en innovatie. Maar daarnaast is het ook het terrein van cybercriminelen, cyberspionage en cyberconflict. En strategische belangen kunnen leiden tot strategisch gedrag tussen partijen die het internet willen controleren, beïnvloeden of tenminste willen vormgeven zodat het hun doelen zo goed mogelijk dient.

De raad doet drie aanbevelingen waarover ik een paar opmerkingen zal maken, waarbij ik zal beginnen met de relatie tussen cyber en buitenlands beleid. Daarover eerst een paar algemene opmerkingen.

Ideologische tegenstellingen

De ideologische tegenstelling op het net ligt tussen enerzijds een visie die pleit voor een vrij, open en veilig internet en anderzijds een visie die uitgaat van staatsgecontroleerd en beveiligd internet. Waar de eerste visie uitgaat van het veilig en vrij bewegen van informatie, pleit de tweede visie voor het controleren van informatie die zich over het net beweegt, in de dubbele betekenis van het woord: beheersen en toezicht houden.

Nederland pleit nadrukkelijk voor een vrij, open en veilig internet; dat is onze kernboodschap, dat is waaraan de GCCS ook moet bijdragen.
o    We doen dit vanuit de overtuiging dat we de innovatieve kracht van het internet niet aan banden moeten leggen; vanuit het besef dat internet mensen samenbrengt, ideeën genereert en zo helpt onze digitale toekomst vorm te geven.
o    Vrij en open betekent dat we vinden dat iedereen toegang moet hebben tot het internet en zijn ongekende mogelijkheden en dat informatie zonder beperkingen van de ene gebruiker naar de andere kan vloeien, in één ongedeelde cyberspace.
o    Veilig omdat gebruikers alleen producten, diensten en informatie willen gebruiken als ze er van overtuigd zijn dat hun gegevens veilig zijn en hun privacy gewaarborgd is.

Bij deze visie past ook de overtuiging dat internet niet iets is dat van overheden is. Sterker nog: veel overheden hebben pas in de laatste paar jaar beseft hoezeer hun belangen met internet verweven zijn geraakt. De eerste reflex van die overheden is dan vaak om greep op dat internet te proberen te verkrijgen door hier multilaterale afspraken over te maken – tussen staten onderling en met uitsluiting van de private sector en civil society.

Gezien de aard van cyberspace kan dat echter nooit tot duurzame oplossingen leiden. Nederland is daarom ervan overtuigd dat overheden, bedrijven en civil society gezamenlijk moeten werken aan het ontwikkelen en besturen van het internet via het zogenaamde multistakeholder-model. Ieder heeft daarin een eigen rol.

o    Interconnectiviteit is met name iets voor de technische gemeenschap,
o    Cyber security moet zoveel mogelijk een gedeeld belang zijn, terwijl
o    Nationale veiligheid juist vooral een overheidstaak is.

Alles op basis van een gelijk uitgangspunt, namelijk dat er een rij, open en veilig internet is.

Ik vergelijk het met het financieel systeem: ook dat moet vrij en open - het dient immers een vitale functie in de maatschappij, zonder toegang tot het financiële systeem is het vrijwel onmogelijk een volwaardig burger te zijn. En het moet veilig zijn, anders komt die vitale functie in het geding. Als je niet zeker weet dat je PIN-code van jou is, of dat het bankbiljet dat je als wisselgeld krijgt echt is, heb je weinig aan een vrij en open financieel systeem. Dan wordt alles van waarde weerloos, om met dichter Lucebert te spreken.

Bouwen aan coalities

Wereldwijd is er veel steun voor deze visie, maar dat betekent niet dat deze zienswijze daarom vanzelfsprekend dominant is. Geenszins. Wereldwijd zien we steeds vaker dat de permissionless innovation van de internet pioniers moet concurreren met soevereine staatsmacht.

De exponenten van de “staatsgecontroleerde” visie laten zich maar moeizaam overtuigen van de noodzaak van vrijheid en openheid. Het winnen van de hearts and minds richt zich op de groep landen in het midden. Ik haak hier aan op de aanbeveling van de WRR om een extra diplomatieke inspanning te doen richting zogenaamde swing states: landen in Azië en Zuid-Amerika, en opkomende economieën in Afrika. Landen die zich soms om politieke redenen in het ene kamp bevinden, maar om economisch, sociaal of ontwikkelingsperspectief in het andere. Juist die landen moeten we overtuigen.

In dit debat is dat juist zo belangrijk omdat we praten over een nieuw terrein waarop de oude wereldorde - zoals we die kennen op de financieel-economisch of op militair terrein - zich moeilijk laat toepassen. Dit is een terrein waar opkomende economieën hun eigen verwachtingen waargemaakt willen zien worden. Deze landen zullen niet voetstoots nieuwe afspraken accepteren, zonder dat zij aan tafel zitten. Nederland erkent het belang van deze nieuwe dynamiek en speelt hier op in.

Online privacy

Vrijheid en privacy zijn essentieel voor een florerend internet. Nederland maakt zich al langer sterk voor vrije toegang tot internet via de Freedom Online Coalitie. De onthullingen van Snowden hebben het internationale debat over privacybescherming opnieuw hoog op de agenda gezet.

Terwijl de nationale bescherming van privacy goed is geregeld, vallen er internationaal geregeld gaten. Er zijn nog geen adequate oplossingen voor deze constatering, maar er wordt aan gewerkt. In de mensenrechtenraad wordt gesproken op basis van een resolutie van Duitsland en Brazilië over rechten in het digitale tijdperk. En afgelopen week is, mede op initiatief van Nederland, een speciale rapporteur ingesteld die het debat over het recht op privacy in het digitale tijdperk verder moet brengen.

Dit is een gecompliceerd debat, tech-bedrijven roeren zich, opsporingsinstanties, consumenten en journalisten, maar ook inlichtingendiensten en bloggers. Dit toont juist aan dat we ons moeten inzetten voor de bescherming van onze waarden online.

Internetdiplomatie en het buitenlands beleid (WRR aanbeveling 3)

Hier kom ik dan bij een van de drie hoofdaanbevelingen van WRR rapport, die rechtstreeks aan het beleidsveld van BZ raakt: internetdiplomatie als speerpunt van het buitenlands beleid. Laat ik daar helder over zijn: ik vind dat Nederland belang heeft bij een geïntegreerd strategisch buitenlands internetbeleid. Dat betekent niet dat we geen beleid hebben. Integendeel. Nederland doet mee in de voorhoede van debatten over internet governance.

Ook op cyber security loopt Nederland voorop. We zijn mede-oprichter van de Freedom Online Coalitie en werken in de Mensenrechtenraad aan digitale vrijheden. Nederland is zeer succesvol in het aantrekken van investeringen van internetbedrijven.

Wat we meer nodig hebben is een geïntegreerde visie op internet en op de strategische uitdagingen die voor ons liggen. Dat betekent niet dat we allerlei zaken overhoop moeten gooien. Het betekent vooral dat we slimmer moeten opereren, nog meer zelf initiatieven moeten nemen en aan slimme coalities moeten werken om onze lange termijn belangen veilig te stellen.

De Global Conference on Cyber Space is een voorbeeld dit geïntegreerde beleid, avant la lettre. In nauwe samenwerking tussen de verschillende ministeries zetten we Nederland daar nadrukkelijk op de kaart als het gaat om internetdiplomatie. Op de conferentie zetten we de Nederlandse visie voor vrij open en veilig internet neer. Versterken van de coalities van landen die deze visie steunen, is een kerndoelstelling van de GCCS. Dat doen we door met een brede groep landen in discussie te gaan over hoe het internet er in hun ogen uit zou moeten zien:

o    door met hen en niet over hen te spreken,
o    door hen niet alleen een visie te presenteren, maar om die samen te ontwikkelen en
o    door de middelen aan te reiken om die visie handen en voeten te geven.

Veel landen in Afrika, Azië en Latijns-Amerika zijn voor hun economische groei net zo afhankelijk van internet als wij, maar hebben niet altijd de middelen en de kennis om de noodzakelijke veiligheidsstructuren op te zetten. Een voorbeeld: in veel Afrikaanse landen hebben meer mensen toegang tot een mobiele telefoon dan tot een pin automaat. Mobiel bankieren neemt een hoge vlucht, maar is nog onvoldoende beveiligd. Wij willen daarbij helpen.Cyber criminaliteit komt over het algemeen vanuit landen waar nauwelijks cybercrime wetgeving is, laat staan opsporings- of berechtingscapaciteit. Als we deze landen in staat willen stellen om cyber crime aan te pakken, moeten we onze kennis en expertise ter beschikking stellen. Door te investeren in capaciteit ver over onze grenzen, helpen we uiteindelijk ook onszelf en stoppen we cybercriminaliteit. Die criminaliteit kan ons in een nanoseconde treffen.

Vrijwaring van overheidsbemoeienis als norm (WRR aanbeveling 1)

Als tweede hoofdaanbeveling - het rapport begint ermee - stelt de raad de norm voorop de publieke kern van het internet gevrijwaard moet zijn van bemoeienis van overheden.

Dit is een norm die wij van harte steunen en ook al tijden uitdragen. Nederland is groot voorstander van een systeem van internet governance waarbij overheden wel in een buitenring betrokken zijn bij het proces en dat van legitimiteit voorzien, maar waarbij de technische gemeenschap de controle over standaarden en protocollen behoudt. Nederland pleit in dit verband wel voor meer accountability en transparantie van bijvoorbeeld ICANN jegens overheden.

Mede door onze inzet heeft de Europese Raad zich er in de recente Raadsconclusies over Internet Governance voor uitgesproken dat capture (overname of gijzeling)van het beheer van het internet door commerciële of overheidsbelangen moet worden voorkomen.

Deze aanbeveling heeft voor ons ook een internationale veiligheidscomponent. We zien dat cyberdreigingen inmiddels zo’n niveau aan kunnen nemen dat zij een vergelijkbaar effect kunnen hebben als een conventionele aanval. De NAVO heeft dat ook onderschreven in de Wales Summit Declaration van vorig jaar. Naast deze directe dreiging voor het eigen en bondgenootschappelijk grondgebied, kunnen cyberaanvallen echter ook onze twee andere internationale veiligheidsbelangen ondermijnen, namelijk een goed functionerende internationale rechtsorde en economische veiligheid.

Het verhelderen van de toepassing van het internationaal recht en het opstellen van concrete gedragsnormen is een concreet antwoord op die dreigingen en Nederland werkt daar actief aan mee. Dat past in de Nederlandse traditie zoals die is vastgelegd in de grondwettelijke opdracht om de internationale rechtsorde te versterken.

Hier kunnen we pionierswerk verrichten. Nederland heeft in de aanloop naar de GCCS gepleit voor afspraken die zich richten op het instellen van neutrale zones op internet, waaronder mogelijk de kern-infrastructuur van het net.

Dit is het domein van cyberoperaties door staten en van mogelijk cyberconflict. Juist op dit terrein is er sprake van heel fundamentele tegenstellingen. Deze hebben deels te maken met de aard van het cyberdomein. Er zijn twee hoofdproblemen.

o    Het eerste probleem is dat van attributie, toeschrijving: het is bijna onmogelijk vast te stellen waar een aanval vandaan komt. De discussie over de Sony hack en de discussie over mogelijke betrokkenheid van Noord-Korea daarbij illustreert dit nadrukkelijk.
o    Het tweede probleem is dat niet te controleren is welke capaciteiten staten bezitten. In de klassieke ontwapening is het principe van “trust but verify” een hoeksteen van elke overeenkomst. In cyber gaat deze niet op: je kunt malware (software die gebruikt wordt om computersystemen te verstoren) niet tellen. Je kan niet eens bepalen wat het precies doet, voordat het wordt toegepast en ingezet!

We zitten in het cyber domein daarom pas helemaal aan het begin van afspraken, van ordening en van voorzichtige stappen naar meer stabiliteit. Het ontwikkelen van normen voor staten, die zijn gebaseerd op wederzijds eigenbelang, is in mijn ogen dan ook de eerste stap naar een systeem van wapenbeheersing in cyber. Ter illustratie: geen enkel land kan het zich permitteren om het internet schade te doen. Immers, elk land is er in toenemende mate van afhankelijk. Als je de vergelijking zou trekken met nucleaire wapens, dan zitten we nog maar in de vroege jaren vijftig. De weg naar cyber-MAD is nog lang. Overigens zou dat in de cyber wereld betekenen: Mutual Assured Disruption (in plaats van Destruction). Niettemin is het van cruciaal belang om te zorgen dat we afspraken maken om escalatie en misrekening te voorkomen.

Het internationaal recht is hier van doorslaggevende betekenis. In 2013 heeft is in VN-kader bepaald dat het internationaal recht van toepassing is. Dat is een mooie constatering, maar hoe dat nu precies toepasbaar is in cyber, is nog niet zo eenvoudig. Nederland heeft met Den Haag een reputatie op te houden en wil nadrukkelijk een rol spelen in verdere ontwikkeling van internationaal recht in het cyberdomein.

Functie- en machtscheiding (WRR aanbeveling 2)

Resteer de aanbeveling van de Raad om te bevorderen dat verschillende vormen van internetveiligheid - op nationaal en internationaal niveau - beter van elkaar onderscheiden worden. Aparte actoren moeten deze dan adresseren.

Ook hier zijn we stappen aan het zetten. Binnenlands loopt er bijvoorbeeld een onderzoek van V&J en Defensie om de wederzijdse verantwoordelijkheden te verhelderen en scherper te begrenzen.

Internationaal bepleiten we dat zoveel mogelijk van bestaande fora gebruikt wordt gemaakt bij het oplossen van veiligheidsproblemen. Oprichting van nieuwe cyberspecifieke fora is niet meteen zinvol. We verzetten ons bijvoorbeeld tegen een nieuwe gedragscode voor cyber security die door autoritaire landen wordt gepropageerd als antwoord op “terrorisme, extremisme en radicalisme” online. Nederland vindt dat bestaande kanalen hier voldoende voor zijn. We moeten bestaande veiligheidsarrangementen niet opnieuw gaan uitonderhandelen voor cyberspace.

Ter afronding van deze aanbeveling wil ik nog een project noemen dat wij steunen. Het gaat de status van Computer Emergency Response Teams (CERTs), teams die waken over de veiligheid van overheidsnetwerken en ook van veel vitale infrastructuren. Dit zijn weliswaar overheidsorganisaties, maar zij vervullen een a-politieke taak, die te vergelijken is met die van een militair hospitaal in tijden van oorlog. Naar analogie daarvan zouden CERTs ook de status van non-combattanten krijgen, zodat zij in tijden van conflict geen legitiem doelwit zijn. 

Conclusie

Ik heb een aantal uitdagingen geschetst die ik voor me zie in het internetdomein. Enkele van die uitdagingen liggen op het terrein van buitenlandse zaken. Maar de meeste hebben veel bredere maatschappelijke raakvlakken en raken de verantwoordelijkheden van andere ministeries. Wat ze gemeenschappelijk hebben is dat het allemaal aspecten van het wereldwijde fenomeen zijn, dat internet / cyber heet. We kunnen deze aspecten niet los zien van elkaar. Daarom zijn de elementen van de visie vrij, open en veilig onderling met elkaar verbonden, en versterken ze elkaar. We moeten ze in samenhang zien en op basis daarvan een koers bepalen voor het internationale beleid op het gebied van internet.

Wat de uitdagingen gemeen hebben is dat ze zowel een lange adem vragen als creativiteit om met nieuwe initiatieven de discussie naar onze hand te zetten. Ik denk dat Nederland uitstekend gepositioneerd is om in de voorhoede van deze discussies mee te doen. En dat dit rapport ons daar heel goed mee zal helpen. Mijn grote dank en waardering gaat dan ten slotte uit naar de auteurs en naar de WRR, voor hun tijdige en belangwekkende bijdrage aan dit debat.