Op 2 december 2022 is het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ naar de Tweede Kamer gestuurd (hierna: Tijdelijke cyberwet).

Daarnaast is op 23 december 2022 de ‘Nota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ (hierna: Nota van wijziging) op internetconsultatie.nl gepubliceerd (reageren kan tot en met 16 januari 2023). De planning is dat deze nota begin april 2023 bij de Tweede Kamer wordt ingediend.

Ten slotte wordt in een Kamerbrief over de voorgenomen wetswijzigingen gesproken over een ‘hoofdlijnennotitie’ op de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2017. Daarin zet de regering haar visie uiteen voor een algehele wijziging van de wet. Deze hoofdlijnnotitie wordt naar verwachting ‘in het eerste kwartaal van 2023’ naar de Tweede Kamer gestuurd.

De Tijdelijke cyberwet en de Nota van wijziging zijn of worden al aan de Tweede Kamer aangeboden, omdat de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie – en de TIB en de CTIVD – van mening zijn dat ‘gelet op de in het geding zijnde belangen van nationale veiligheid en de bescherming van fundamentele rechten op kortst mogelijke termijn via aanpassing van wetgeving dienen te worden geregeld’. De regering verwacht dat de algehele herziening van de Wiv 2017 nog ‘geruime tijd’ zal vergen (zie de Kamerbrief).

In deze blog zet ik de kernpunten van de Tijdelijke cyberwet en Nota van wijziging op een rij. Daarbij sluit ik aan op de memorie van toelichting en onthoud ik mij verder van commentaar. Ik beoog daarmee een neutrale weergave van de wetgeving te geven.  Dit bericht wordt t.z.t. geüpdatet als de hoofdlijnennotitie beschikbaar is.

Tijdelijke cyberwet

Het doel van de Tijdelijke cyberwet is om de AIVD en de MIVD meer operationele armslag te bieden inlichtingen te verzamelen over de offensieve cyberprogramma’s van statelijke actoren, zoals Rusland en China.

Het wetvoorstel voorziet in een aantal wijzigingen ten aanzien van de inzet van bepaalde bijzondere bevoegdheden voor bulkinterceptie (dit wordt ‘onderzoeksopdracht gerichte interceptie’ (ook wel: OOG-interceptie) in de Wiv 2017 genoemd) en de hackbevoegdheid. Deze aanpassingen worden alleen mogelijk gemaakt voor zover deze bevoegdheden worden ingezet bij de uitvoering van onderzoeksopdrachten die te maken hebben met offensieve cyberprogramma’s van statelijke actoren. Door op bepaalde punten de toetsing van de inzet van deze bijzondere bevoegdheden te verschuiven van de Toetsingscommissie Inzet Bevoegdheden (TIB) naar bindend toezicht op de uitoefening ervan door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), wordt de operationele armslag van de diensten vergroot en zou de uitvoering van deze bevoegdheden beter aansluiten bij het toezicht.

Met betrekking tot de bijzondere bevoegdheden gaat het concreet om de volgende voorstellen:

1. Het schrappen van de rechtmatigheidstoets van de TIB bij het ‘verkennen’ bij de uitvoering van de hackbevoegdheid (art. 45 Wiv 2017) (dus voordat op computers (geautomatiseerde werken) wordt binnengedrongen). Het hoofd van de dienst moet daartoe toestemming geven. De CTIVD houdt daarop (bindend) toezicht. Het doel van de wijziging is de drempel voor het verkennen te verlagen. Het verkennen dient ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap. Het verkennen van geautomatiseerde werken maakt ook een minder vergaande inbreuk op fundamentele rechten dan het binnendringen. De wijziging heeft tot doel de snelheid en effectiviteit van de inzet van de hackbevoegdheid te verhogen.

2. Het vergroten van de mogelijkheden tot “bijschrijven” ten aanzien van de hackbevoegdheid (art. 45 lid 8 Wiv 2017), de bevoegdheid tot het gericht intercepteren van communicatie (art. 47 lid 7 Wiv 2017) en het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten (art. 54 Wiv 2017). De achtergrond van deze wijziging is ingegeven, omdat de TIB de wet zodanig uitlegt dat er een exclusiviteitscriterium zou gelden (de wet spreekt namelijk over een geautomatiseerd werk van een persoon of organisatie). Met de wijziging dat het bij te schrijven geautomatiseerd werk ‘in gebruik is’ bij een persoon of organisatie, is duidelijk dat de AIVD en de MIVD kunnen overgaan tot “bijschrijving” bij de uitvoering van de hackbevoegdheid als de statelijke actor van server wisselt bij hun activiteiten. Dan is duidelijk dat er geen sprake hoeft te zijn van eigendom over het geautomatiseerde werk en het bijvoorbeeld ook kan gaan om gedeelde systemen waar een target gebruik van maakt. De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.

3. Het schrappen van de voorafgaande toets van de TIB op de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid (art. 45 lid 4 sub a en sub b Wiv 2017). In de memorie van toelichting staat dat de vooraf ‘bekende’ technische risico’s onderdeel zijn van de proportionaliteitstoets van de TIB. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds. In de praktijk is een spanningsveld ontstaan op deze toets op technische risico’s door de TIB, omdat het niet mogelijk zou zijn voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien. Wel moeten in de aanvraag nog steeds de relevante technische aspecten aan de orde dient te komen die de minister nodig heeft om tot een geïnformeerd oordeel te komen. Het gaat dan om technische informatie, inclusief risico’s, die op het moment van de aanvraag bekend is. Volgens de toelichting kan de TIB in het kader van haar proportionaliteitstoets dus wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een “hoger abstractieniveau” hebben. De CTIVD houdt verder toezicht op de technische risico’s bij de uitvoering van de hackbevoegdheid.

4. De introductie van de mogelijkheid tot het verkennen ten behoeve van OOG-interceptie (art. 48 Wiv 2017), met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming tot OOG-interceptie betrekking dient te hebben (ook wel ‘snapshotten’ genoemd). Daarbij wordt het gerichtsheidsvereiste voor dit verkennen buiten werking gesteld. Er is wel toestemming van de minister en toetsing hiervan door de TIB vereist. De toestemming wordt verleend voor een periode van ten hoogste een jaar. De geïntercepteerde gegevens moeten na een periode van ten hoogste zes maanden worden vernietigd, als ze niet bijdragen aan het doel van de verwerking. De achtergrond van de introductie van de bevoegdheid tot het verkennen bij OOG-interceptie is de gevoelde noodzaak dat met de bevoegdheid kan worden onderbouwd waarom kan worden overgegaan tot kabelinterceptie (omdat er verkeer dat relevant is voor onderzoeksopdrachten langs de fiber op de kabel stroomt). De wijziging is ook ingegeven door CTIVD-rapport nr. 75 (2022), waarin de CTIVD constateert dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.

5. De beperking van de proportionaliteitstoets en gerichtheidstoets van de TIB bij OOG-interceptie. In de toelichting is te lezen dat daarbij ‘met name’ de volgende aspecten mogen worden betrokken: a. een indicatie van de te verwerven gegevensstromen en b. een indicatie van de wijze waarop de reductie van gegevens binnen de gehele keten van verwerving invulling krijgt. De achtergrond van deze wijziging is volgens de toelichting dat ‘juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens’. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten. Het voorstel zou een oplossing moeten bieden ‘voor de verschillende zienswijzen ter zake van de Ministers en de TIB over de toepassing van het gerichtheidscriterium bij OOG-interceptie’.

6. Het vervallen van de voorafgaande rechtmatigheidstoets van de TIB bij de bijzondere bevoegdheid tot ‘geautomatiseerde data analyse’ op OOG-interceptie (art. 50 lid 4 Wiv 2017). De CTIVD houdt bindend toezicht op de uitvoering van deze bijzondere bevoegdheid. De achtergrond is dat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, waardoor op voorhand niet is te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten (zie in dat kader ook mijn artikel ‘Metadata-analyse in de Wiv 2017’, Privacy & Informatie 2020, nr. 6, p. 260-267). De toets op voorhand sluit niet goed aan bij dit dynamische proces van gegevensverwerking. Ook ten aanzien van deze bijzondere bevoegdheid krijgt de CTIVD bindend toezicht.

Over de voorgestelde wijzigingen en achtergrond met betrekking tot deze bijzondere bevoegdheden is meer te lezen in dit NJB-artikel van Sophie Harleman.

Op de (bindende) besluiten van de TIB en de CTIVD, wordt in het kader van dit wetsvoorstel een ‘beroepsmogelijkheid’ gecreëerd bij de (hoogste) bestuursrechter, de Afdeling bestuursrecht van de Raad van State (ABRvS). Andere bepalingen uit het wetsvoorstel gaan over het proces dat wordt doorlopen als de ministers (AIVD en/of MIVD) van deze beroepsprocedure gebruik maken. In tegenstelling tot de versie van afgelopen zomer op internetconsultatie.nl, zijn de uitspraken van de ABRvS in beginsel nu wel openbaar.

Het idee is dat de bepalingen in deze tijdelijke wet op termijn onderdeel uitmaken van de hoofdlijnennotitie dat als basis moet dienen voor een wetsvoorstel voor de algehele wijziging van de Wiv. De wijzigingen kunnen daarmee een doorwerking krijgen op de algehele wijziging. Over de wijzigingen met betrekking tot het toezichtstelsel is meer te lezen in dit NJB-artikel van Rowin Jansen. 

Nota van wijziging

De Nota van wijziging regelt de volgende drie onderwerpen:

1. De introductie van een rechtmatigheidstoets van de TIB na toestemming voor de inzet van de zogeheten “stomme tap”. Dat wil zeggen een vordering voor ‘real time’ verkeers- en locatiegegevens bij aanbieders van communicatiediensten.

2. De introductie van de mogelijkheid de beoordelingstermijn ten behoeve van de toets op relevantie, na de verwerving van bulkdatasets met een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017), telkens met een jaar te verlengen. De CTIVD moet (bindend) toestemming geven voor de verlenging of kan de verlenging afkeuren. Bij afkeuring kunnen de ministers/diensten ‘in beroep’ gaan bij de ABRvS.

3. Een overgangsregeling voor bulkdatasets die op grond van een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017) zijn verzameld, voordat de deze wet in werking treedt en nog aan de relevantietoets van art. 27 Wiv 2017 zijn onderworpen. 

De Nota wijzigt de Tijdelijke cyberwet. Het is echter belangrijk te realiseren dat de reikwijdte van de Nota vervolgens breder is dan de Tijdelijk wet, omdat het ook werking heeft voor alle andere inlichtingenonderzoeken van de diensten. Bulkdatasets en de inzet van de stomme tap zijn namelijk ook belangrijk bij andere onderzoeken, ook buiten het ‘cyberdomein’, aldus de (concept)memorie van toelichting.

Aanpassing van de regeling omtrent de ‘stomme tap’

De aanpassing van artikel 55 Wiv 2017 voor de zogeheten “stomme tap” is ingegeven door de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2020 (zie ook HvJ EU 6 oktober 2020, C-511/18, C512/18 en C-520/18, ECLI:EU:C:2020:791 (La Quadrature du Net e.a./Premier ministre e.a.) (zie ook onze annotatie in JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens). In deze zaak waren door de Franse Raad van State en het Belgische Constitutionele Hof enkele prejudiciële vragen voorgelegd, onder meer over het in  real time verzamelen van verkeers- en locatiegegevens. Dit zou naar het oordeel van het HvJ EU alleen zijn toegestaan als een dergelijk besluit onderworpen is een voorafgaande bindende toetsing door een rechter of een onafhankelijke administratieve autoriteit, waarbij wordt vastgesteld dat deze maatregel zich beperkt tot wat strikt noodzakelijk is. In de toelichting is te lezen dat ‘hoewel de uitspraak in deze prejudiciële zaak direct van betekenis is voor de rechterlijke instantie die de prejudiciële zaak aanhangig heeft gemaakt en aan deze uitspraak is gebonden, heeft deze uitspraak uiteraard ook (indirect) effect voor de andere lidstaten van de Unie. Immers het ligt in de rede dat in vergelijkbare zaken een vergelijkbaar oordeel zal worden geveld’.

Om bovenstaande reden wordt de Nederlandse wetgeving met het arrest in lijn gebracht voor de bijzondere bevoegdheid tot het in real time verzamelen van verkeers- en locatiegegevens (artikel 55 lid 1 Wiv 2017). Na toestemming van de minister en een rechtmatigheidstoets van de TIB kunnen de AIVD en de MIVD zich wenden tot een aanbieder van een communicatiedienst met de opdracht gegevens te verstrekken over het communicatieverkeer dat met betrekking tot een bepaalde gebruiker na het tijdstip van de opdracht zal plaatsvinden.

Aanpassing van de relevantietoets bij bulkdatasets

De aanpassing van de beoordelingstermijn van de relevantietoets ten aanzien van bulkdatasets die zijn verworven met bijzondere bevoegdheden is ingegeven door de problematiek dat gegevens die door de inzet van een bijzondere bevoegdheid worden verworven binnen maximaal 1,5 jaar op relevantie moeten worden beoordeeld (op grond art. 27 lid 1 en lid 3 Wiv 2017). Deze termijn is volgens de toelichting in de praktijk problematisch, omdat de gegevens in bulkdatasets vaak langer van waarde zijn voor de onderzoeken van de diensten. Het verstrijken van de beoordelingstermijn kan er dan ook toe leiden dat mogelijk waardevolle gegevens moeten worden vernietigd. De Wiv 2017 biedt echter geen ruimte om deze bulkdatasets langer op relevantie te beoordelen. Dit onderstreept volgens de regering zowel de noodzaak voor deze regeling als een spoedige inwerkingtreding van de Tijdelijke wet en de Nota van wijziging. Zie over deze problematiek de CTIVD-voortgangsrapportages nrs. 66 (2019) en 69 (2020) en het toezichtrapport over het verzamelen van bulkdatasets met de hackbevoegdheid (nr. 70 (2020)).

In de Nota van wijziging wordt verder uitgelegd dat het een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingenonderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde kan zijn, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Het voorgaande brengt mee dat de gegevens in bulkdatasets puzzelstukjes kunnen zijn, die soms jaren na verwerving van een set gegevens een cruciale rol spelen bij inlichtingenonderzoeken. Ook regelt het voorstel dat in – in afwijking van art. 27 lid 1 Wiv 2017 – de gegevens niet zo spoedig mogelijk op relevantie dienen te worden onderzocht.

De regeling zit zo in elkaar dat in de toestemmingsaanvraag aan de CTIVD om een bulkdataset langer te bewaren onderbouwd moet worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar. In dit systeem is dus geen vooraf vastgestelde bewaartermijn voorzien, maar wordt deze per bulkdataset bepaald.

In de toelichting staat dat de noodzakelijkheid van de verlenging kan worden getoetst aan de hand van de volgende objectieve toetsingscriteria:

a. het gebruik van gegevens uit de bulkdataset door de betrokken dienst van het afgelopen jaar of de afgelopen jaren. Hierbij kan, indien relevant, worden meegenomen in hoeverre de bulkdataset de inzet van andere (gerichte) middelen mogelijk heeft gemaakt. Dat kan bijvoorbeeld afgeleid uit het feit in hoeverre informatie uit de bulkdataset in onderzoek is gebruikt of heeft geleid tot exploitatie.

En:

b. de verwachte potentiële bijdrage van gegevens uit de bulkdataset aan onderzoeken van de betrokken dienst gedurende het komende jaar of de komende jaren. De vraag die kan worden gesteld is of naar verwachting de komende periode meer of minder gebruik wordt gemaakt van de bulkdataset. Ook kunnen onderdelen van de bulkdataset meer of minder intensief worden gebruikt in de komende periode, bijvoorbeeld vanwege een verwachte ontwikkeling binnen het onderzoek in het komende jaar.

Hoofdlijnennotitie

De Tijdelijke cyberwet en de Nota van wijziging hebben hun achtergrond in het rapport van de Evaluatiecommissie Wiv 2017 (ook wel de commissie Jones-Bos genoemd, naar haar voorzitster) en het rapport van de Algemene Rekenkamer over de operationele slagkracht van de diensten. Zie voor de duidelijkheid ook deze tijdlijn op de website van de AIVD:

Het demissionaire kabinet was indertijd enthousiast over het rapport en ‘omarmde de analyse, conclusies en aanbevelingen van de commissie’. Indertijd werd aangekondigd dat werd gewerkt aan een algehele wijziging van de Wiv 2017, maar dit heeft tot nu toe alleen geresulteerd in de Tijdelijke wet en de Nota van wijziging.

De andere aanbevelingen van de commissie Jones-Bos behoeven nog steeds opvolging in een algehele wijziging van de Wiv 2017, volgens de  Nota van wijziging. Daar aan vooraf gaat nog een ‘hoofdlijnennotitie’. Qua planning is ‘de verwachting dat het traject tot herziening van de Wiv 2017 binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet het geval zijn, dan zal moeten worden bezien of een traject tot verlenging van de werkingsduur van de Tijdelijke wet moet worden ingezet’.

Uit de  Nota van wijziging is ten slotte nog af te leiden, dat in de hoofdlijnennotitie in ieder geval de uitgangspunten voor een ‘breed en integraal bulkregime’ verwerkt worden (ook voor bulkdatasets verkregen uit algemene bevoegdheden, zoals de informantenbevoegdheid).

Verder blijft de inhoud van de hoofdlijnennotitie en planning voor algehele herziening van de Wiv 2017 vooralsnog onduidelijk.