De aftapwet - of 'sleepwet' zoals de initiatiefnemers van het referendum hem noemen - heet formeel de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Hij bevat verschillende nieuwe bevoegdheden voor de AIVD en MIVD:

• Alle soorten internetverkeer mogen ongericht worden afgetapt. Op zoek naar een terrorist mogen de inlichtingendiensten bijvoorbeeld al het dataverkeer in een bepaalde buurt verzamelen. Eerder zei Ronald Plasterk, de toenmalige minister van Binnenlandse Zaken, dat bijvoorbeeld al het internetverkeer tussen Nederland en Syrië zou kunnen worden afgetapt.

• De inlichtingendiensten krijgen de bevoegdheid om meer mensen te hacken. Nu mogen de AIVD en MIVD al verdachten zelf hacken, maar zometeen mogen ze zich ook richten op mogelijke kennissen van verdachten. De smartphone van een huisgenoot van een potentiële terrorist zou bijvoorbeeld kunnen worden gehackt, om te kijken of er zo informatie over een verdachte kan worden verzameld.

• Gegevens die bijvoorbeeld in clouddiensten of bij grote internetbedrijven staan opgeslagen, kunnen door de AIVD en MIVD worden opgevraagd. In de wet is vastgelegd dat bedrijven hieraan moeten meewerken waar mogelijk. Dat zal niet altijd kunnen: sommige bedrijven slaan alle gegevens dusdanig versleuteld op dat zij hier ook zelf niet bij kunnen.

• Er komt een wettelijke regeling voor DNA-onderzoek. De diensten mogen een DNA-databank aanleggen om het genetische materiaal van verdachten te bewaren. DNA-profielen mogen in principe vijf jaar worden bewaard, maar die termijn kan maximaal worden verlengd tot dertig jaar.

• Er komt een duidelijkere regeling voor het uitwisselen van gegevens tussen Nederlandse en buitenlandse inlichtingendiensten. De diensten uit verschillende landen werken nu vaak al samen, maar in de nieuwe Wiv wordt vastgelegd dat verzamelde gegevens, die nog niet door de diensten zijn geëvalueerd, met buitenlandse collega's gedeeld mogen worden.

Omdat de nieuwe bevoegdheden een vergaande impact op de privacy van burgers kunnen hebben, zijn er ook verschillende waarborgen die ervoor moeten zorgen dat ze correct worden ingezet:

• Voor inzet van het 'sleepnet' en de hackbevoegdheid, en voordat gegevens worden doorgegeven aan buitenlandse diensten, moet de minister altijd toestemming geven. Dat gebeurt door de minister van Binnenlandse Zaken (voor de AIVD) of Defensie (voor de MIVD).

• Een speciale nieuwe commissie, de Toetsingscommissie Inzet Bevoegdheden, moet ook zijn goedkeuring geven voor inzet van de nieuwe bevoegdheden. De commissie bestaat uit drie leden, van wie twee minstens zes jaar als rechter moeten hebben gewerkt. Als derde lid wordt iemand met specifieke technische kennis gezocht.

• Achteraf blijft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in de gaten houden of de diensten hun werk goed uitvoeren. Deze commissie kan aan de bel trekken als de AIVD of MIVD zich niet aan de wet houden.

Nederland kreeg in 1987 voor het eerst een Wiv; de wet werd in 2002 voor het laatst vernieuwd.

De aanzet voor een nieuwe Wiv werd in 2013 gegeven. De door het kabinet aangestelde commissie-Dessens besloot toen dat de tijd rijp was voor de AIVD en de MIVD om nieuwe bevoegdheden te krijgen, om in te spelen op nieuwe dreigingen van terroristen en andere staatsvijanden.

Volgens de commissie was het vooral belangrijk dat een eerder onderscheid tussen 'kabelgebonden' en 'niet-kabelgebonden' dataverkeer uit de wet zou verdwijnen. Eerder mochten de diensten niet-kabelgebonden verkeer, bijvoorbeeld via satellieten, al ongericht onderscheppen. Maar tegenwoordig gaat steeds meer internetverkeer juist via de kabel. In dat verkeer mochten de diensten alleen gericht aftappen.

In februari 2017 kwam de nieuwe Wiv door de Kamer met steun van VVD, PvdA, PVV, CDA, ChristenUnie en 50Plus. De belangrijkste tegenstanders waren D66, GroenLinks, SP en Partij voor de Dieren. In juli 2017 ging ook de Eerste Kamer akkoord.

De nieuwe Wiv zou op 1 januari 2018 in werking treden, maar die datum is inmiddels verschoven naar 1 mei 2018. Dat heeft niet te maken met het referendum, maar met vertragingen bij het vinden van leden voor de nieuwe toetsingscommissie.

Tegenstanders van de wet vinden dat het 'sleepnet' en de nieuwe hackbevoegdheid te ver gaan. Volgens hen is er een te groot risico dat gegevens van veel onschuldige burgers worden opgevangen en doorzocht door de inlichtingendiensten.

Zij wijzen naar de onthullingen van klokkenluider Edward Snowden, waaruit bleek dat de Amerikaanse inlichtingendienst NSA grote hoeveelheden internetverkeer verzamelde. Daar ontstond binnen en buiten de VS veel commotie over.

Tijdens de behandeling van de wet was er ook veel kritiek op het toezichtsstelsel. De Raad van State, de Autoriteit Persoonsgegevens, de Raad voor de Rechtspraak en CTIVD plaatsten allemaal kanttekeningen bij de wet.

Deze organisaties vonden dat de TIB niet voldoet als toezichthouder. De Raad van State had liever een sterkere CTIVD gezien. Ook de CTIVD zelf had graag het toezicht voor inzet van de aftapbevoegdheid op zich genomen.

Dezelfde instanties hadden ook kritiek op de bewaartermijn van maximaal drie jaar. Dat is volgens hen te lang, zonder dat duidelijk is dat het noodzakelijk is om data jarenlang te bewaren.

Volgens de Autoriteit Persoonsgegevens is de nieuwe Wiv in strijd met het Europees Verdrag voor de Rechten van de Mens, al was de Raad van State het daar niet mee eens. Verschillende privacygroepen willen een rechtszaak tegen de Staat beginnen om de Wiv van tafel te krijgen.

Het nieuwe kabinet heeft in het regeerakkoord afgesproken dat er geen sprake mag zijn van "willekeurig en massaal" aftappen. Die belofte deed het vorige kabinet ook al, en inhoudelijk wil het nieuwe kabinet vooralsnog niets veranderen aan de Wiv.

Wel belooft het nieuwe kabinet dat de wet versneld zal worden geëvalueerd. Dit gebeurt binnen twee jaar na de inwerkingtreding door een onafhankelijke commissie.

Bij een raadgevend referendum zei een merendeel van de Nederlanders tegen de Wiv te zijn. Het kabinet heeft vervolgens beloofd dat een aantal veranderingen worden doorgevoerd:

• De bewaartermijn van drie jaar wordt opgesplitst in driemaal één jaar. Na ieder jaar moet opnieuw toestemming worden gevraagd om de data te bewaren.
• Volgens het kabinet zal er gerichter worden afgeluisterd. Er zal dus geen sprake zijn van grootschalig ongericht aftappen. Datzelfde werd eerder ook beloofd in het regeerakkoord, maar zal nu in de wet worden vastgelegd.
• Er zal strenger worden gekeken naar met welke buitenlandse inlichtingendiensten data wordt gedeeld. Zo wordt bijvoorbeeld gekeken of er een democratische rechtsorde aanwezig is in landen waar data naartoe wordt verstuurd.