Tag AIVD

Wetsvoorstel uitbreiding strafbaarheid spionageactiviteiten

jjoerlemans Een reactie plaatsen

Op 16 december 2022 is het wetsvoorstel ‘Uitbreiding strafbaarheid spionageactiviteiten’ naar de Tweede Kamer gestuurd. Ook de memorie van toelichting en advies van de Raad van State is daarmee beschikbaar.

Het voorstel voorziet in de invoering van een zelfstandige strafbaarstelling voor spionageactiviteiten. Ook worden enkele computerdelicten aangepast, als die zijn gepleegd “ten behoeve van een buitenlandse mogendheid”. Ten slotte wordt voorzien in uitbreiding van rechtsmacht naar ‘ieder die zich buiten Nederland schuldig maakt aan de spionageactiviteiten’. Dezelfde wijzigingen worden voorgesteld voor het Wetboek van Strafrecht BES (Bonaire, Sint Eustatius en Saba).

De regering acht de wetswijzigingen noodzakelijk, omdat naast staatsgeheime informatie (waarvan het lekken strafbaar is o.g.v. (o.a.) 98a Sr) ook andere (ongerubriceerde) informatie kan dienen als voorkennis voor staten om bijvoorbeeld in te kunnen spelen op politieke of maatschappelijke ontwikkelingen, om kwetsbaarheden in Nederlandse systemen of processen te identificeren, om besluitvorming te beïnvloeden of om economisch voordeel te behalen en de eigen concurrentiepositie te versterken. Ook is de gedachte dat door de strafbaarstelling op gelijkwaardig niveau te houden met de wetgeving in andere Europese landen, wordt voorkomen dat Nederland een interessant doelwit wordt en dat de nieuwe strafbaarstelling en aanpassingen van andere delicten het eenvoudiger zou worden vervolging in te zetten en opsporingsbevoegdheden in te zetten.

In deze blog volgt een samenvatting van het wetsvoorstel. Het valt mij op dat er weinig discussie is over het wetsvoorstel. Door de feiten op een rijtje te zetten kunnen (strafrecht)experts en geïnteresseerden zich beter een mening vormen. Zelf vind ik het ook (nog) lastig een waardeoordeel over het wetsvoorstel te geven.

Nieuwe strafbaarstelling voor spionageactiviteiten

Het voorstel voorziet in de invoering van een zelfstandige strafbaarstelling voor spionageactiviteiten. Het voorgestelde artikel 98d Sr luidt als volgt:

  1. Met een gevangenisstraf van ten hoogste acht jaar of geldboete van de vijfde categorie wordt gestraft hij die, wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen, opzettelijk in heimelijke betrokkenheid met een buitenlandse mogendheid

1°. schadetoebrengende handelingen verricht ten behoeve van die buitenlandse mogendheid; of

2°. aan die buitenlandse mogendheid onmiddellijk of middellijk inlichtingen, een voorwerp of gegevens verstrekt.

  1. Met dezelfde straf wordt gestraft hij die een ander beweegt tot de in het eerste lid bedoelde handelingen.

In de memorie van toelichting staat dat onder “spionage” wordt verstaan: ‘het heimelijk of onrechtmatig vergaren van (gevoelige) informatie of objecten door, of in opdracht van een buitenlandse mogendheid’. En daarnaast moet worden gedacht aan andere spionageactiviteiten, zoals sabotage, het interveniëren in (besluitvormings)processen of beïnvloeding van personen. Het gaat bij de spionageactiviteiten overigens niet alleen om Nederlandse instellingen. Nederland is ook gastland voor een groot aantal volkenrechtelijke organisaties en onderdeel uitmaakt van verschillende bondgenootschappen, die op zichzelf onderdeel kunnen zijn van spionage.

Met betrekking tot het element in het voorgestelde artikel 98d Sr van gevaar voor de veiligheid van de staat” moet volgens de memorie van toelichting worden gedacht aan de belangen die door Titel I van Boek 2 van het Wetboek van Strafrecht worden beschermd en de zes nationale veiligheidsbelangen, zoals beschreven in de Nationale Veiligheidsstrategie 2019. Dit zijn:

  1. territoriale veiligheid;
  2. fysieke veiligheid;
  3. economische veiligheid;
  4. ecologische veiligheid;
  5. sociale en politieke stabiliteit; en
  6. het functioneren van de internationale rechtsorde.

Deze belangen worden in de toelichting verder niet gedefinieerd.

Het begrip “vitale infrastructuur” staat ook in artikel 138b Sr, maar is niet gedefinieerd. De wetgever verwijst naar de memorie van toelichting van de wet ‘Implementatie richtlijn aanvallen op informatiesystemen’ (Kamerstukken II 2014/15, 34034, nr. 3, p. 9) en noemt dat het daarbij gaat om “voorzieningen, systemen of delen daarvan die van essentieel belang zijn voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn”. Door de continuïteit, weerbaarheid, vertrouwelijkheid of integriteit van vitale processen te verstoren kan een kwaadwillende buitenlandse mogendheid de stabiliteit van de Nederlandse samenleving verminderen en maatschappelijke ontwrichting veroorzaken.

Voor de invulling moet bij “hoogwaardige technologieën kan volgens de memorie van toelichting worden gekeken naar de Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo). Blijkens die wet worden als sensitieve technologieën aangeduid: “militaire technologieën, technologieën die een ‘dual use-toepassing’ hebben; (andere) technologieën die van essentieel belang zijn voor het functioneren van defensie, opsporings-, inlichtingenen veiligheidsdiensten bij de uitoefening van hun taken; technologieën die essentieel zijn om onaanvaardbare risico’s voor de verkrijgbaarheid van bepaalde essentiële producten of voorzieningen te voorkomen; technologieën die worden gekenmerkt door een breed toepassingsbereik binnen verschillende vitale processen of processen die raken aan de nationale veiligheid (vgl. artikel 8 van de Wet vifo)”. Daarnaast worden onder “hoogwaardige technologieën” begrepen (andere) innovatieve technologieën die (ook) kwaadaardig kunnen worden toegepast tegen Nederland, andere landen en burgers of die van groot belang zijn voor de economische en strategische positie van Nederland. Voorbeelden zijn kunstmatige intelligentie, hoogwaardige micro-elektronica (waaronder semi-conductoren), DNA-technieken en agrarische innovaties als zaadveredeling.

Ten slotte is het belang van “de veiligheid van één of meer personen” in art. 98d Sr opgenomen, mede met het oog op de zogenoemde “diasporaspionage”. Daarmee wordt gedoeld op landen met een diaspora in Nederland die hier (persoons)gegevens verzamelen en burgers uit deze gemeenschap proberen te beïnvloeden vanuit een (vermeend) eigen intern veiligheidsbelang. Familie- of vriendschapsbanden kunnen hierbij door een buitenlandse mogendheid als drukmiddel worden ingezet om handelingen ten behoeve van deze mogendheid te verrichten.

Met het element “een ander bewegen tot spionageactiviteiten in art. 98d lid 2 Sr wordt voorgesteld om niet alleen degene die de hiervoor beschreven gedragingen ten behoeve van de buitenlandse mogendheid verricht, maar ook degene die de ander beweegt om dergelijke gedragingen te verrichten strafbaar te stellen. Ook personen werkzaam voor buitenlandse inlichtingendiensten vallen daarmee binnen het bereik van deze strafbaarstelling.

Met het opzetvereiste van “wetende dat” wordt de strafbaarstelling van deze nieuwe bepaling beperkt. Met het element wordt tot uitdrukking gebracht dat de verdachte zich bewust moet zijn geweest – in de zin van opzet – van deze gevaarzetting en die tot drijfveer moet hebben gehad of op de koop toe hebben genomen. De verdachte moet er daarnaast opzet op hebben gehad de handelingen te verrichten ten behoeve van een buitenlandse mogendheid. Personen die bijvoorbeeld niet konden weten dat zij handelingen verrichtten voor een buitenlandse mogendheid, zijn niet strafbaar. Het opzetvereiste van “wetende dat” bevat overigens ook voorwaardelijk opzet (HR 30 mei 2008, ECLI:NL:HR:2008:BC8673). Dat betekent dat een persoon ook strafbaar is als hij bewust de aanmerkelijke kans heeft aanvaard (op de koop heeft toegenomen) dat gevaar zou komen te duchten voor de genoemde belangen en dat zijn handelingen werden verricht ten behoeve van een buitenlandse mogendheid.

Strafverzwarende omstandigheid bij computerdelicten

Met betrekking tot de computerdelicten wordt aan de artikelen 138ab Sr (computervredebreuk) en 138c Sr (het overnemen van niet-openbare gegevens) een bepaling met strafverzwaring toegevoegd als het feit ‘is gepleegd ten behoeve van een buitenlandse mogendheid’.

In artikel 138b Sr – dit artikel bevat de strafbaarstelling voor ddos-aanvallen en betreft een verzamelbepaling voor strafverzwarende omstandigheden bij computerdelicten – wordt een bepaling toegevoegd dat de op het feit gestelde gevangenisstraf met een derde verhoogd ‘indien het feit is gepleegd ten behoeve van een buitenlandse mogendheid’.

Kritiek

Ten opzichte van de versie op internetconsultatie is veranderd dat er nu bij staat dat de gedraging “in heimelijke betrokkenheid met een buitenlandse mogendheid” moet plaatsvinden en het moet gaan om “schadetoebrengende handelingen”.

Het element van “heimelijke betrokkenheid” kan wordt afgeleid uit de “uiterlijke verschijningsvorm van de gedraging”. Hierbij kan worden gedacht aan omstandigheden zoals de heimelijkheid van het contact of de handelingen, het handelen in strijd met integriteitscodes, pogingen het gedrag te verhullen, het gebruikmaken van versleutelde communicatie of codetaal en de gevoeligheid van de betrokken informatie.

Bij “schadetoebrengende handelingen” gaat het volgens de memorie van toelichting om de situatie waarin nadeel of verlies is geleden. Daarbij kan worden gedacht aan fysieke en vermogensschade, maar ook aan schade die wordt toegebracht aan andere te beschermen belangen, zoals de persoonlijke levenssfeer en persoonlijke vrijheid, de integriteit en waarachtigheid van (overheids)handelen of van informatie en de openbare orde. Het kan ook gaan om het in de gaten houden, volgen of intimideren van in Nederland verblijvende personen en het openbaar maken of het verspreiden van schadelijke informatie, bijvoorbeeld over personen. In verband met de gekozen strafmaat is niet alleen poging tot plegen van schadetoebrengende handelingen als bedoeld in sub 1° of het verstrekken van informatie als bedoeld in sub 2° strafbaar (artikel 45 Sr), maar zijn voorbereidingshandelingen dat eveneens (artikel 46 Sr). Door zowel het ‘onmiddellijk als middellijk’ verstrekken van gegevens strafbaar te stellen is ook het verstrekken van informatie en voorwerpen via bijvoorbeeld tussenpersonen strafbaar.

Bovengenoemde wijzigingen zijn ingegeven door de (forse) kritiek van – onder andere – de Raad van State (.pdf) op het wetsvoorstel. Met name de reikwijdte van de voorgestelde strafbaarstelling zou te ruim zijn in het licht van het strafrechtelijk legaliteitsbeginsel. Ook de Raad voor de Rechtspraak vindt duidelijkheid over de reikwijdte van de strafbaarstelling is geboden. Volgens de wetgever is het “niet in strijd met het legaliteitsbeginsel dat een wet tot op zekere hoogte open normen bevat. De wet mag enige ruimte laten om veranderende omstandigheden mee te kunnen nemen”. Om deze reden zijn geen wettelijke definities in het wetsvoorstel opgenomen. Wel zijn ten opzichte van de versie op internetconsultatie.nl bepaalde begrippen verduidelijkt.

Het advies van de NVvR om de behandeling van deze strafbare feiten te concentreren bij één rechtbank wordt niet overgenomen. In concentratie wordt volgens de wetgever alleen in bijzondere gevallen voorzien. In “spionagezaken” zal weliswaar in voorkomende gevallen gebruik worden gemaakt van bijvoorbeeld rapporten van de inlichtingen- en veiligheidsdiensten, maar dat kan ook aan de orde zijn in andere zaken, zoals wanneer andere misdrijven tegen de staat zijn gepleegd of bij een verdenking van een terroristisch misdrijf. Dit lijkt op zichzelf dus een onvoldoende rechtvaardiging voor wettelijke concentratie, aldus de memorie van toelichting.

Opsporing en vervolging

In de toelichting wordt opgemerkt dat ‘in de praktijk in de regel een ambtsbericht van de AIVD of de MIVD aan de basis liggen van een opsporingsonderzoek naar gedragingen die samenhangen met spionage’. Als een van de inlichtingen- en veiligheidsdiensten beschikt over voor de opsporing of vervolging relevante informatie, is er de mogelijkheid om via een ambtsbericht de Landelijke Officier van Justitie te informeren op basis van artikel 66 van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Inlichtingen- en veiligheidsdiensten hebben op grond van artikel 17 Wiv 2017 overigens zelf geen bevoegdheid tot het opsporen van strafbare feiten.

Het is daarnaast ook mogelijk dat aangifte wordt gedaan door bijvoorbeeld een getroffen bedrijf of een persoon uit een diaspora. Ook kunnen politie en OM over eigen informatie beschikken uit strafrechtelijke onderzoeken. Dit laatste zal volgens de toelichting met name voorkomen bij onderzoeken naar (hightech) cybercrime. Door de strafverhoging van maximaal 6 jaar gevangenisstraf naar 8 jaar gevangenisstraf (ten opzichte van de consultatieversie) wordt het in het bijzonder mogelijk de bevoegdheden van het opnemen van vertrouwelijke communicatie in een woning (art. 126l lid 2 Sv) en de hackbevoegdheid (art. 126nba Sv) in te zetten (en daarmee bewijs te verzamelen voor het opsporingsonderzoek). Het OM en de politie hadden blijkens hun reactie overigens graag een uitgebreidere strafbaarstelling gezien, omdat ‘de vereisten wetenschap op het te duchten gevaar’ te beperkend zou zijn en het een bewijstechnische drempel op werpt. Dat voorstel is niet overgenomen.

De inschatting is dat de politie en het OM ‘structureel meer in overleg zullen treden met de inlichtingen- en veiligheidsdiensten ten behoeve van informatie-uitwisseling over en coördinatie van de uitvoering en handhaving van de in dit wetsvoorstel voorgestelde strafbare gedragingen’. Voor informatie-uitwisseling tussen de uitvoeringsorganisaties lijken vooralsnog geen nieuwe of aanvullende afspraken benodigd. De bestaande afspraken in het kader van ‘het afstemmingsoverleg waarin onder andere terrorisme en cyber gerelateerde zaken’ worden besproken, lijken hiervoor te volstaan, aldus de regering.

In de memorie van toelichting wordt nog opgemerkt dat het ‘niet in alle gevallen mogelijk zal zijn (alle) betrokkenen bij spionageactiviteiten te vervolgen en te berechten. In voorkomende gevallen kan sprake zijn van immuniteit en/of onschendbaarheid onder internationaal recht. Te denken valt hierbij aan leden van diplomatieke en consulaire zendingen en officiële missies. In dergelijke gevallen zijn aanhouding en vervolging niet aan de orde, tenzij de zendstaat van de buitenlandse overheidsfunctionaris hiermee instemt’.

Samen met de AIVD verwacht het OM dat het ‘om aantal zaken per jaar’ zal gaan, maar deze zaken ‘(zeer) complex en lang kunnen duren’.

Conclusie

De uitbreiding voor de strafbaarstelling van spionageactiviteiten heeft veel vragen opgeroepen bij de organisaties die geconsulteerd zijn. Hun adviezen hebben tot wijzigingen geleid in het huidige wetsvoorstel, maar de vraag blijft natuurlijk of die organisaties daarmee tevreden zijn. Ik blijf zelf ook kritisch naar het wetsvoorstel kijken.

Een vraag waar ik bijvoorbeeld mee zit is of er geen sprake moet zijn van bepaalde drempelwaarden bij ‘een gevaar voor de veiligheid van de staat’ bij onderwerpen als ‘economische veiligheid’ en ‘ecologische veiligheid’? Het gebrek aan definities vind ik nog steeds problematisch, omdat dan het gevaar bestaat dat te eenvoudig en voor onduidelijke gronden voor het nieuwe delict wordt vervolgd. De staat krijgt met deze wet immers meer mogelijkheden haar zwaardmacht en vervolging in te zetten.

In het verleden hebben we in Nederland weinig vervolgingen gehad voor het schenden van staatsgeheimen (de vervolging o.g.v. 98 en 98a Sr van een voormalig F-16 piloot is een belangrijk geval (ECLI:NL:GHDHA:2013:BZ8627). Dat maakt het ook lastig in te schatten hoe het OM – blijkbaar samen met de AIVD en de MIVD die vaak de basis voor vervolging leggen – hiermee om zullen gaan, in zaken waar de verdachten vaak in precaire situaties zitten en/of gechanteerd worden. Al met al is dit een spannend wetsvoorstel, waar ik meer discussie over hoop te zien en heel benieuwd ben naar de uitvoering (als deze wet wordt aangenomen).  

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

jjoerlemans Een reactie plaatsen

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman

Van zorgen over privacy naar zorgen over administratieve rompslomp

jjoerlemans

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Rubriek inlichtingen en recht december 2020

jjoerlemans

Jaarplan AIVD 2021

De minister van BZK heeft op 15 december 2020 de Tweede Kamer geïnformeerd over de hoofdlijnen van het jaarplan van de AIVD (Kamerstukken II 2020/21, 30977, nr. 158). Het volledige jaarplan is vanwege zijn inhoud staatsgeheim gerubriceerd. Een aantal punten wordt ter informatie door de minister uitgelicht.

De AIVD wil de samenwerkingen met de MIVD en andere ketenpartners versterken.  Door de COVID-19 pandemie is de spionagedreiging richting de farmaceutische en medische sector toegenomen. De dreiging van buitenlandse inlichtingenactiviteiten richting de Nederlandse samenleving is daarnaast onverminderd aanwezig. Het gaat hierbij zowel om spionage en ongewenste inmenging als heimelijke politieke beïnvloeding. Een aantal landen richt zijn inlichtingen- en beïnvloedingsactiviteiten met name op hun diaspora in Nederland. Deze ontwikkeling benadrukt volgens de AIVD het belang van de strafbaarstelling van spionage. Om Nederland in staat te stellen zich op effectieve wijze te kunnen weren tegen de dreiging vanuit Rusland en China zetten de MIVD en AIVD in op een gecombineerde inzet.

De AIVD benoemt verder de grote afhankelijkheid van digitale systemen die leidt tot grotere kwetsbaarheid van de Nederlands samenleving. De cyber gerelateerde inlichtingenposities van de AIVD vormen de basis voor het tijdig onderkennen van hoogwaardige (statelijke) dreigingen, en het adequaat voorkomen of tot een minimum beperken van schade die uit cyberaanvallen voortkomt. Wereldwijd vindt een bredere proliferatie van offensieve cyberprogramma’s plaats. In reactie hierop is de Cyber Intel/Info Cel (CIIC) opgericht, een samenwerkingsverband tussen de AIVD, MIVD, het Nationaal Cyber Security Centrum, de politie en het OM (zie ook Stcrt. 2020, 30702). De AIVD levert dreigingsinformatie, en combineert dat met advies over informatiebeveiliging in het digitale domein.

De AIVD wil zijn werkwijze verbeteren en streeft naar een gezamenlijke datahuishouding met de MIVD. Met dat systeem kan inzicht worden gegeven in de juridische status van gegevens, waarmee recht wordt gedaan aan de opmerkingen daarover in de voortgangsrapportages van de CTIVD. De AIVD benoemt in de jaarplanbrief ook het rapport van de onafhankelijke Wiv evaluatiecommissie Jones-Bos dat in 2021 zal verschijnen, alsmede een rapport van de Algemene Rekenkamer over de impact van de implementatie Wiv 2017 op de operationele slagkracht van de diensten. De AIVD heeft zich tot doel gesteld om mede naar aanleiding van deze rapporten en in navolging van het openbare beleid bulkdatasets dat in november 2020 is gepubliceerd, in 2021 over een aantal maatschappelijk relevante onderwerpen te voorzien in openbaar beleid om de maatschappij te laten zien hoe de AIVD de wet in de praktijk invult.  

Eén van de initiatieven waar de AIVD in 2021 mee aan de slag gaat is de noodzaak om, op basis van inlichtingen over de (digitale) dreiging vanuit statelijke actoren, concreet handelingsperspectief te geven om de digitale weerbaarheid te vergroten.

Sophie Harleman

Defensienota, lijst van vragen en antwoorden

De vaste commissie voor Defensie heeft een aantal vragen voorgelegd aan de minister van Defensie over de Defensievisie 2035 (Kamerstuk 34919, nr. 71). Een paar vragen en antwoorden (Kamerstukken II 2020/21, 34919, nr. 73) zal ik hieronder uitlichten.

Zo vraagt de commissie zich af (vraag 42) of de minister het risico ziet dat de drempel voor het aangaan van een conflict lager komt te liggen door de optie om hybride oorlogsinstrumenten in te zetten, zoals “cyber”. De minister geeft aan dat de drempel voor hybride conflictvoering door tegenstanders onder het niveau van een gewapend conflict lager ligt dan voor openlijk militair conflict. Hybride conflict wordt gekenmerkt door meer heimelijke activiteit, zoals economische spionage, cyberaanvallen, militaire intimidatie, aanvallen met chemische wapens en/of ondermijnende desinformatie. Door deze handelswijze onttrekken statelijke tegenstanders zich doelbewust aan het geldende internationaal (oorlogs)recht.

Vervolgens stelt de commissie de vraag (43) hoe Nederland met de uitvoering van de Defensievisie 2035 bijdraagt aan een effectief weerwoord op conventionele militaire dreigingen alsmede zeer moderne militaire technologieën, en geeft daarbij het voorbeeld van Russische hypersone wapens en Chinese Robots. De minister antwoordt dat de drie eigenschappen en tien inrichtingsprincipes van Defensie ertoe dienen te leiden dat in de toekomst de Nederlandse belangen kunnen worden beschermd tegen de in de Defensievisie onderkende dreigingen. Hieronder vallen ook nieuwe dreigingen zoals hybride conflictvoering en dreigingen in het cyberdomein. Defensie wil inzetten op een technologisch hoogwaardige en informatiegestuurde organisatie om te voorkomen dat Defensie achterop komt bij potentiele tegenstanders die hierin investeren.

In vraag 44 legt de commissie aan de minister voor wat de afgelopen kabinetsperiode had moeten gebeuren om ervoor te zorgen dat Defensie wél toegerust zou zijn op het verdedigen tegen hybride dreigingen en optreden in de informatieomgeving. De minister geeft aan dat dit kabinet fors heeft geïnvesteerd in Defensie, te weten €1,7 miljard euro structureel en €1,7 miljard euro incidenteel over de periode tot en met 2024. In de Defensienota 2018 zijn verder de maatregelen uiteengezet die worden genomen om stappen te zetten richting een informatiegestuurde krijgsmacht die is opgewassen tegen technologisch hoogwaardige tegenstanders en hybride dreigingen. Defensie investeerde onder andere in cyber, inlichtingen, IT, informatievergaring en het gehele informatiedomein.

Vraag 49 luidt: “Wat bedoelt u precies met “we specialiseren ons in het opbouwen en behouden van een gezaghebbende informatiepositie”? Welke extra capaciteiten wilt u creëren/aanschaffen om deze ambitie te realiseren?” De minister geeft aan dat de visie niet ingaat op welke capaciteiten aangeschaft (moeten) gaan worden, omdat dat afhangt van het toekomstige budget en toekomstige keuzes.

Vraag 54 ziet specifiek op data die Defensie vergaart en gebruikt. De vraag luidt als volgt: “Wat voor specifieke data heeft de toekomstige krijgsmacht vooral nodig? Naast het gebruiken van deze data moet het ook vergaard worden; hoe doet de krijgsmacht dit en aan welke privacy-kwesties raakt dit?”

De minister geeft als antwoord dat de toekomstige krijgsmacht onder andere data zal gebruiken uit open bronnen, haar eigen (wapen)systemen, sensoren, satellieten en inlichtingen van de MIVD. Defensie moet dit soort informatie kunnen ontsluiten, filteren, verwerken, analyseren, erop kunnen sturen en naar kunnen handelen om hun kerntaken uit te voeren. Eigenlijk, stelt de minister, is informatie voor Defensie net zo belangrijk als brandstof voor een auto. Zij geeft aan dat Defensie nu en in de toekomst binnen wettelijke kaders werkt. Omdat de inzet van nieuwe technologische fundamentele ethische en maatschappelijke vragen kan oproepen, participeert Defensie in interdepartementale en internationale trajecten om deze publieke waarden te blijven beschermen. De minister geeft aan dat de Wiv 2017 de inlichtingendienst bevoegdheden en taken geeft ten behoeve van de nationale veiligheid. De minister stelt dat hierbij altijd in ogenschouw wordt genomen dat het middel niet erger is dan de kwaal.

Vraag 56 ziet op samenwerking en interoperabiliteit tussen de partners in het Nederlandse cyberbeveiligingsnetwerk. Defensie is volgens de minister een cruciale partner in het Nederlandse cybersecuritylandschap, en probeert samen met strategische partners zoals het Nationaal Cyber Security Centrum (NCSC), de Algemene Inlichtingen en Veiligheidsdienst (AIVD), de Politie en het OM Nederland digitaal veilig te houden. Een voorbeeld van dit soort samenwerkingsverbanden is de Cyber Intel/Info Cell, waar sinds deze zomer medewerkers van de bovengenoemde organisaties fysiek bij elkaar zitten om relevante informatie zo snel mogelijk te kunnen delen.

De minister noemt verder het Nationaal Respons Netwerk waar Defensie bij is aangehaakt. Dit betreft een samenwerkingsverband tussen o.a. Defensie, NCSC en Rijkswaterstaat waar kennis, informatie en personeel (in het geval van crises) wordt gedeeld. De minister stelt dat Defensie als bron van informatie en inlichtingen en door het beschikbaar hebben van cruciale personele capaciteit een belangrijke speler in het nationale cybersecuritylandschap is.  

Als antwoord op vraag 58 stelt de minister ten slotte dat bredere bewustwording van de dreiging van desinformatie van groot belang is. Openheid over desinformatiecampagnes kan daaraan bijdragen.

Sophie Harleman

Brief van de Minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces

In deze Kamerbrief (Kamerstukken II 2020/21, 33997, nr. 155) wordt door de minister van Buitenlandse Zaken gereageerd op het rapport van onderzoekscollectief Bellingcat, waarin werd gesteld dat de Russische militaire inlichtingendienst GROe via ‘Bonanza Media’ desinformatie verspreidt rondom het MH17 strafproces.

Uit de jaarverslagen van de AIVD en de MIVD is reeds gebleken dat het kabinet zorgen heeft over de Russische beïnvloedingsactiviteiten, waaronder ook met betrekking tot de beeldvorming over het MH17 strafproces.

De minister geeft aan dat de strategie van het kabinet om verspreiding van desinformatie tegen te gaan drie actielijnen kent: preventie, de informatiepositie verstevigen en, zo nodig, reactie. Het kabinet hecht grote waarde aan het onafhankelijke en pluriforme medialandschap in Nederland. De minister geeft aan dat het kabinet Rusland herhaaldelijk heeft aangesproken op het verspreiden van desinformatie rondom het neerhalen van vlucht MH17 en dat het kabinet dit waar nodig ook zal blijven doen.

Sophie Harleman

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over nationale veiligheid en het tegengaan van digitale inmenging Tweede Kamer verkiezingen 2021

De minister geeft in deze Kamerbrief (Kamerstukken II 2020-21, 30821, nr. 118) aan dat het beschermen van onze verkiezingen tegen ongewenste (digitale) inmenging van groot belang is voor onze democratie. Hoewel zich bij het stemmen geen digitale dreigingen voordoen, kan de dreiging van digitale inmenging bij verkiezingen in diverse vormen voorkomen. In de brief gaat de minister in op de uitdagingen rond digitale inmenging omtrent de verkiezingen, zowel bij het verkiezingsproces zelf als in aanloop naar de verkiezingen. Ook noemt zij de maatregelen die de overheid neemt digitale inmenging bij de Tweede Kamerverkiezing van 2021 te voorkomen, en biedt ze de Kamer het rapport ‘Digitale dreigingen voor onze democratie’ van het Rathenau Instituut aan. Hieronder ga ik kort in op de voor deze rubriek relevante punten.

Kwetsbaarheid politieke partijen voor digitale incidenten verminderen
Het vertrouwen in de betrouwbaarheid van de verkiezingen is in Nederland hoog. Personen en instituties die een rol spelen in het democratisch proces zijn een potentieel doelwit voor kwaadwillenden om desinformatie te verspreiden of informatie te ontvreemden. Het moet bij betrokken partijen bekend zijn wat te dreiging van cybercrime, cyberspionage en cybersabotage inhouden teneinde de dreigingen effectief te bestrijden. De rijksoverheid geeft hierbij ondersteuning waar nodig. Politieke partijen kunnen tevens altijd een vrijwillige melding doen bij het Nationaal Cyber Security Centrum in het geval van ernstige incidenten.

Voorkomen dat mis- en desinformatie het democratisch proces ondermijnt
Mis- en desinformatie kunnen ervoor zorgen dat burgers de stembusgang wordt belemmerd. Waar bij misinformatie onbedoeld onjuiste of misleidende informatie wordt verspreid, is desinformatie gericht op het toebrengen van schade aan het publieke debat, democratische processen, de open economie of nationale veiligheid. Er zijn geen aanwijzingen dat er bij eerder verkiezingen in Nederland door statelijke actoren grootschalige desinformatiecampagnes hebben plaatsgevonden maar uit het jaarverslag van de AIVD blijkt dat online Russische beïnvloeding op West-Europese sociale media aan de orde van de dag is.

Zoals ook blijkt uit de brief van de minister van Buitenlandse Zaken over het bericht dat de Russische militaire inlichtingendienst via ‘Bonanza Media’ desinformatie verspreidt rond het MH17 strafproces (Kamerstukken II 2020/21, 33997, nr. 155), kent de strategie tegen desinformatie drie actielijnen: preventie, informatiepositie verstevigen en (indien nodig) reactie. De overheid kan in het licht van de verkiezingen misleidende informatie actief tegenspreken, zoals ook gebeurd is tijdens de COVID-19 crisis. Ook kan de overheid juridische middelen inzetten, zoals artikel 127 Wetboek van Strafrecht, dat betrekking heeft op het plegen van een bedriegelijke handeling. Verder kan de overheid juridische handvatten ontlenen aan het civielrecht, of als er sprake is van een strafbaar feit als smaad of laster.

Gebrek aan transparantie omtrent digitale campagnes verminderen
In aanloop naar de verkiezingen moet het voor burgers duidelijk zijn wie de afzender is van een politieke advertentie en waarom zij deze te zien krijgen. Vanwege de Europese gedragscode tegen desinformatie hebben internetdiensten maatregelen genomen om de transparantie van politieke advertenties te vergroten, en staan sommige internetdiensten geen politieke advertenties meer toe op hun platforms. Volgens de minister moet de Europese gedragscode tegen desinformatie worden verbeterd, onder meer door het toevoegen van minimale transparantie- en rapportagestandaarden en gemeenschappelijke definities van sleutelconcepten. Op nationaal niveau werkt de minister aan een Wet op de politieke partijen (Wpp), waarin transparantieregels ook een plek krijgen.

Informatiepositie over mis- en desinformatie verder ontwikkelen
Overheden dienen een goede informatiepositie te hebben over de aanwezigheid van mis- en desinformatie zodat zij weten of er sprake is van een dreiging die een reactie van de overheid vereist. Hiervoor dient  informatie in nationaal en internationaal verband gedeeld te worden. In Nederland staan de betrokken ministeries en diensten doorlopend in nauw contact om informatie over en signalen van mogelijke desinformatieactiviteiten te delen, te duiden en daarop zo nodig te acteren. Internationale samenwerkingsverbanden dragen bij aan het versterken van de informatiepositie. De Europese Commissie heeft recent het European Digital Media Observatory gelanceerd, waarbinnen fact-checkers, wetenschappers en andere stakeholders worden gefaciliteerd.

Rekening houden met nieuwe technieken om mis- en desinformatie te verspreiden
De technologie waarmee mis- en desinformatie kan worden verspreid is voortdurend in ontwikkeling. Het rapport ‘Digitale dreigingen voor de democratie’ van het Rathenau Instituut geeft een overzicht van de technologische ontwikkelingen die de komende jaren een rol kunnen gaan spelen bij de productie en verspreiding van desinformatie. De mogelijkheden bestaan onder andere uit tekstsynthese, voice cloning, deepfakes, microtargeting en chatbots. Met name deepfakes en psychographing, een geavanceerde vorm van microtargeting, kunnen in de toekomst ingezet worden door kwaadwillende actoren om het publieke debat en het democratische proces heimelijk te beïnvloeden. De minister geeft aan niet te verwachten dat deze technologieën bij de komende Tweede Kamerverkiezingen al een grote rol zullen spelen. De minister deelt de conclusie van het Rathenau Instituut dat met name internetdiensten een verantwoordelijkheid hebben om het verspreiden van desinformatie tegen te gaan. De overheid kan daarbij bedrijven wel aansporen om maatregelen te nemen. De beschreven nieuwe technologieën zouden een plek kunnen krijgen in een verbeterde gedragscode.

De minister wil teneinde bovenstaande uitdagingen het hoofd te bieden thematafels organiseren waarbij relevante ministeries, toezichthouders, het maatschappelijk middenveld, politieke partijen en internetdiensten worden uitgenodigd.

Sophie Harleman

Tijdelijke regeling verdere verwerking bulkdatasets 

Op 5 november 2020 is de ‘Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017’ gepubliceerd (Stcrt. 2020, 56482). Een bulkdataset wordt gedefinieerd als ‘een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden’. Bulkdatasets zijn volgens de toelichting op de regeling van grote operationele waarde.  

De toelichting op de regeling noemt dat  de verwerving van bulkdatasets de diensten in staat stelt zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben een langdurige waarde voor de uitoefening van de taken van de diensten. Het stelt de AIVD en de MIVD in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot. 

De regeling moet worden gezien als regelgeving die de minister van BZK of Defensie kan nemen ten aanzien van de organisatie, de werkwijze en het beheer van de diensten (art. 16 Wiv 2017). Daarnaast is het natuurlijk geen toeval dat de regeling is gepubliceerd na de publicatie toezichtsrapporten nr. 70 en nr. 71 van de CTIVD over bulkdatasets.  

In mijn meest recente artikel ‘Metadata-analyse in de Wiv 2017’ in het tijdschrift Privacy & Informatie merk ik het volgende over de regeling op. De toegang van AIVD- en MIVD-medewerkers tot gegevens in bulkdatasets wordt beperkt afhankelijk van de ernst van inmenging op de persoonlijke levenssfeer van personen die plaatsvindt bij de verwerking van de gegevens in de bulkdataset.De ernst van de inmenging wordt bepaald op basis van de volgende vier elementen: (1) identificerende gegevens, (2) locaties, (3) netwerk van de contacten van een persoon en (4) vertrouwelijke inhoud. Hierbij valt op dat de verwerkingsvormen van de gegevens uit de bulkdatasets niet worden meegenomen om de privacy-inbreuk te bepalen, terwijl dit volgens jurisprudentie van het EHRM en HvJ EU wel een belangrijke factor is om de ernst van de privacy-inmenging te meten. 

De toegang tot gegevens in bulkdatsets is met de regeling ingedeeld in een (a) standaard toegangsregime, (b) beperkt toegangsregime of (c) strikt beperkt toegangsregime. Onder het standaard toestemmingsregime behoren medewerkers die toegang vanuit hun functie nodig hebben, zoals medewerkers die het inlichtingenonderzoek uitvoeren, maar ook data-analisten en data-scientists. Onder het beperkt toegangsregime behoren functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Dat kunnen medewerkers uit een inlichtingenteam zijn of een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Onder het strikte toegangsregime hebben alleen specifieke medewerkers met een bepaalde functie toegang of toegang waarbij de functionaliteit beperkt is tot het bevragen van gegevens. Een speciaal verzoek tot toestemming moet worden ingediend om toegang te krijgen tot gegevens in de bulkdataset als blijkt dat zich daarin een kenmerk bevindt, zoals een telefoonnummer. 

De tijdelijke regeling bevat geen maximale bewaartermijn van de gegevens, omdat de gegevens in de bulkdatasets allemaal relevant worden geacht. In plaats daarvan vindt een periodieke beoordeling vindt plaats om de 3 jaar, 2 jaar, of 1 jaar; afhankelijk van het type bulkdataset. Over het geheel gezien biedt deze regeling meer bescherming dan (de huidige uitvoering) van de Wiv 2017 en kan het worden gezien als een invulling van de algemene bepalingen omtrent gegevensverwerking en de zorgplicht uit de Wiv.  

Jan-Jaap Oerlemans

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

jjoerlemans

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).  

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:  

  • Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
  • Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
  •  Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

  1. het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:
  • de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
  • de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
  • de rechtseenheidsvoorziening TIB – CTIVD;
  • de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

  • de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
  • de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
  • het datareductiestelsel en de bewaartermijnen;
  • de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.