Foto gemaakt door Arzu Geybullayeva voor Global Voices, gemaakt met Canva Pro.

De nieuwe Turkse wet op cyberbeveiliging, die op 13 maart 2025 werd aangenomen, heeft direct vanaf de indiening van het wetsvoorstel op 10 januari 2025 tot felle discussies geleid over de gevolgen ervan voor digitale rechten, vrijheid van meningsuiting, persvrijheid en toegang tot informatie. Tal van Turkse experts, maatschappelijke organisaties en internationale waarnemers zien de wet als een nieuw instrument om onafhankelijke journalistiek te beperken en afwijkende meningen de kop in te drukken. Turkije kent al een reeks beperkende wetten, waaronder de zogenoemde desinformatie-wet die in 2022 werd aangenomen. Deze nieuwe wet wordt daarom beschouwd als een extra wapen in handen van de autoriteiten om kritische stemmen en ongewenste inhoud te censureren.

Wat staat er in de wet?

De kern van de wet introduceert strenge maatregelen, zoals het strafbaar stellen van berichtgeving over datalekken en het verlenen van uitzonderlijke bevoegdheden aan het hoofd van het nieuwe Turkse directoraat Cybersecurity. Critici stellen dat de vage en veelomvattende formuleringen in de wet vooral gericht zijn op het controleren van content, in plaats van op het daadwerkelijk beschermen van digitale infrastructuur.

De regerende Partij voor Rechtvaardigheid en Ontwikkeling (AKP) diende het wetsontwerp, bestaande uit 21 artikelen, voor het eerst in op 10 januari 2025. De makers van het wetsvoorstel, AKP-parlementariërs, beweerden dat de wet bedoeld was om het land beter te beschermen tegen cyberdreigingen, de nationale veiligheid te versterken en zowel overheidsinstanties als bedrijven te beveiligen. Volgens hen schiet de huidige desinformatie-wet uit 2022 tekort op het gebied van cyberbeveiliging en zou deze nieuwe wet de strijd tegen cybercriminaliteit effectiever maken.

Twee artikelen uit het wetsvoorstel kregen speciale aandacht: artikel 8 en artikel 16. In de oorspronkelijke versie voorzag artikel 8 in verregaande bevoegdheden voor het hoofd van het directoraat Cybersecurity, waaronder het recht om onderzoek te doen, materiaal in beslag te nemen en digitale inhoud te kopiëren, zonder toestemming van de rechter. Na stevige kritiek is deze bevoegdheid uit de uiteindelijke versie verwijderd en verplaatst naar de officier van justitie.

Ook artikel 16 bevatte in zijn oorspronkelijke vorm twee controversiële termen: ‘datalek’ en ‘zij die inhoud verspreiden’. In de definitieve versie zijn deze vervangen door ‘datalek met betrekking tot cyberbeveiliging’ en ‘zij die inhoud creëren’. De gevangenisstraf van vijf jaar voor overtreding van dit artikel bleef echter ongewijzigd. Daarom staat er in paragraaf 5 van artikel 16:

Those who create false content about data leak related to cybersecurity, even though they know that there is no data leak in cyberspace, or those who spread this content for this purpose, shall be sentenced to two to five years in prison.

Zij die opzettelijk valse inhoud creëren over een vermeend datalek met betrekking tot cyberbeveiliging, terwijl zij weten dat er helemaal geen lek is, of zij die deze inhoud met dat doel verspreiden, worden gestraft met een gevangenisstraf van twee tot vijf jaar.

De Media and Rights Studies Association (MLSA) wees in haar juridische analyse op meerdere zorgwekkende elementen in de wet. Zo kunnen journalisten die berichten over datalekken dezelfde straffen krijgen als de daadwerkelijke daders. MLSA concludeert dan ook dat de wet in feite een nieuw censuurmiddel is.

Het hoofd van het directoraat Cybersecurity wordt benoemd door president Recep Tayyip Erdoğan, en krijgt het recht om van alle instellingen en organisaties informatie en documenten op te vragen, en om hun IT-systemen te controleren. Volgens MLSA kan het hoofd van het directoraat hierdoor gegevens van elke organisatie opslaan en inzien. Wie weigert mee te werken, riskeert een gevangenisstraf tot drie jaar.

Deze ruime bevoegdheden en straffen zijn vooral zorgwekkend voor maatschappelijke organisaties. Zij kunnen worden verplicht communicatie en gevoelige informatie over hun activiteiten vrij te geven. Dit opent de deur voor machtsmisbruik.  De wet zou een afschrikkend effect kunnen hebben op de vrijheid van meningsuiting. Maatschappelijke organisaties zouden kunnen aarzelen om hun mening te uiten als ze met gevangenisstraf worden bedreigd. De bevoegdheid om gegevens in te zien en op te slaan kan het recht op privacy van organisaties en personen en, in het geval van journalisten, de privacy van hun bronnen ernstig in gevaar brengen. De wet zou ertoe kunnen leiden dat specifieke groepen, waarvan sommigen vaak kritisch staan tegenover de autoriteiten, het doelwit worden van een verregaande aanpak met deze nieuwe wet, waardoor de controleerbaarheid binnen de democratische processen wordt onderdrukt en ondermijnd. Omdat de wet niet duidelijk afbakent wat onder ‘naleving’ valt en wanneer het directoraat mag ingrijpen, is er ruimte voor willekeurige toepassing.

Er zijn meer straffen ingevoerd als onderdeel van de wet (bron: onafhankelijk nieuwsplatform Bianet):

8 to 12 years in prison for carrying out cyber attacks targeting elements of Turkey's national power in the cyberspace;

2 to 4 years in prison and fines for operating without the required licenses and permits;

4 to 8 years in prison for failing to comply with confidentiality obligations;

3 to 5 years in prison for sharing or selling personal or sensitive government data obtained through a cybersecurity breach;

2 to 5 years in prison for falsely claiming that a cybersecurity-related data leak has occurred to cause public panic or defame institutions or individuals.

8 tot 12 jaar gevangenisstraf voor het uitvoeren van cyberaanvallen gericht tegen delen van de Turkse overheid in de cyberspace;

2 tot 4 jaar cel plus boetes voor het opereren zonder de vereiste vergunningen;

4 tot 8 jaar cel voor het schenden van geheimhoudingsplichten;

3 tot 5 jaar cel voor het delen of verkopen van persoonlijke of gevoelige overheidsdata die via een cyberaanval is verkregen;

2 tot 5 jaar cel voor het valselijk beweren dat er een datalek heeft plaatsgevonden met als doel paniek te zaaien of reputatieschade te veroorzaken.

Naast het directoraat Cybersecurity zal er ook een raad voor cybersecurity worden opgericht, voorgezeten door de president. De raad bestaat onder meer uit het hoofd van het directoraat, de vicepresident, de inlichtingenchef en diverse ministers, volgens Bianet.

Een lange geschiedenis van datalekken in Turkije

Turkse burgers worden al lange tijd in gevaar gebracht door het lekken van persoonsgegevens. Er zijn reeds een aantal bekende gevallen. In 2016 werd de persoonlijke informatie van zo’n 50 miljoen Turken (namen, adressen, voornamen van ouders, geboorteplaatsen en -data, burgerservicenummers) gelekt.

In 2017 werden de gegevens van ongeveer 60 miljoen klanten van Turkcell, de grootste telecomprovider in Turkije, gehackt. In 2021 werd het grootste maaltijdbezorgplatform Yemeksepeti getroffen, waarbij de gegevens van 19 miljoen gebruikers uitlekten, zoals login-gegevens, telefoonnummers, en (e-mail)adressen.

In 2023 werden via een hack op e-Devlet (het overheidsportaal) de persoonsgegevens van 85 miljoen Turkse burgers gelekt.

In 2024 lekten medische gegevens van miljoenen patiënten na een cyberaanval op het informatiebeheersysteem van een ziekenhuis in Istanbul. Datzelfde jaar maakten de Turkse autoriteiten bekend dat door een datalek tijdens de pandemie, de gegevens van meer dan 100 miljoen mensen zijn gestolen, waaronder burgers die in het buitenland wonen, vluchtelingen en andere personen die bij officiële instellingen geregistreerd stonden. In januari 2025 werd satellietdata gelekt.

Deze lijst is verre van volledig. Het rapporteren over dergelijke lekken was tot nu toe een manier om de samenleving te informeren, ondanks het feit dat veel Turken inmiddels geen privacy of betere bescherming van hun persoonsgegevens verwachten.

Gezien deze context én de al problematische score van Turkije op het gebied van vrijheden, met name persvrijheid en vrijheid van meningsuiting, is het van groot belang om de mogelijke gevolgen van de nieuwe cyberwet in dat licht te bekijken. Zo zei Özgür Ceylan, woordvoerder van de parlementaire commissie namens de grootste oppositiepartij CHP, in een interview met Turkey ReCap:

In a situation where critical views and the right to inform the public are already faced with the risk of arbitrary punishment, this regulation will pave the way for them [the ruling government] to go one step further. In this context, posts claiming data leaks or breaches of cybersecurity that closely concern the public could be targeted. Individuals’ ability to express themselves freely may be restricted, and people who report data breach claims may be tried under this crime — foreseeing heavy penalties.

In een situatie waarin kritische geluiden en het recht om het publiek te informeren al onder druk staan, zal deze wet de overheid in staat stellen om nóg een stap verder te gaan. In deze context kunnen berichten over datalekken of inbreuken op de cyberbeveiliging die het publiek aangaan, worden aangepakt. Het vrije uiten van meningen zal verder worden beperkt en mensen die melding maken van een lek kunnen vervolgd worden op basis van deze wet, met zware straffen als gevolg.

Sinds de invoering van de desinformatie-wet in 2022 zijn er al minstens 66 onderzoeken gestart tegen journalisten, en meer dan 4.500 personen worden onderzocht op beschuldiging van het ‘verspreiden van misleidende informatie’.