Tag Bulk

Legal Aspects of the EncroChat-Operation

jjoerlemans Een reactie plaatsen

In our article, ‘Legal Aspects of the EncroChat Operation: A Human Rights Perspective’, we examined what lessons can be learned from the Dutch experience with the EncroChat operation from a human rights perspective, in particular the right to a fair trial. The full article is published in open access in the European Journal of Crime, Criminal Law and Criminal Justice (.pdf).

As compared to other legal systems, the Dutch judiciary published a large number of cases at First Instance Courts and Courts of Appeal, in which EncroChat evidence is used. Dutch courts extensively considered arguments of defence attorneys relating to the right to a trial. Therefore, it is interesting for lawyers from other legal systems to review the state of knowledge in the Netherlands.

In order to explain what lessons can be learned from the Dutch experience, we set out the known facts about the operation, show how Dutch courts dealt with legal questions arising from the operation and examined relevant case law of the European Court of Human Rights (ECtHR).

We conclude that the right to a fair trial in Article 6 ECHR proved important in Dutch case law in three ways:

  1. Providing transparency about the operation;
  2. Providing a legal basis to test the reliability of the evidence obtained; and
  3. Providing access to data used as evidence against suspects in a criminal case.

1. Transparency about the operation

In our article, we explain how unrelenting questions of defence attorneys, with a(n) often implicit) basis in article 6 ECHR, led to discovery of details about the EncroChat operation in France and how the data was shared by French authorities and further processed by Dutch authorities. That was no easy feat, as the French declared the operation a state secret and the Dutch judiciary accepted that as fact with regards of the principle of trust.

Keeping the operation secret challenges the right to a fair trial under article 6 ECHR, more specifically the principle of equality of arms. Part of the principle of equality of arms is transparency about the manner in which the evidence is gathered. Law enforcement authorities and the public prosecutor can have a legitimate interest to keep information about the operation secret. However, keeping this information secret is allowed only insofar as it is strictly necessary and must be counterbalanced by the procedures followed by the judicial authorities.

In the Netherlands, as a counterbalance, an extra warrant must be obtained to create a subset of the EncroChat data to use it in a (new) criminal investigation. This way another (Dutch) judge will test the principles of proportionality and subsidiarity with regard to the processing of the EncroChat data, while taking into account the reproducibility of evidence and the protection of privileged communication.

2. Testing the reliability of the evidence obtained

The right to a fair trial also provides a legal basis to test the reliability of the evidence and the method of acquisition. When software is used in the collection of data, this can have a major influence on the reliability of evidence, because it challenges the confidentiality, integrity and availability of data.

Dutch case law shows that the Netherlands Forensic Institute reported that the hacking and interception software did not operate continuously, not all messages on EncroChat phones were intercepted during the entire operation and there had been instances of a mix-up in outgoing and incoming calls from EncroChat phones.

However, these shortcomings did not lead to the conclusion that all evidence from the EncroChat operation is unreliable. So far, Dutch defence attorneys failed to establish that the EncroChat data used as evidence was unreliable and no data has been excluded from evidence.

3. Access to EncroChat data

The right to a fair trial enables the defence – to a certain extent – to access EncroChat data that may be relevant in the trial against their client. Suspects need to be able to access the data in order (a) to review its integrity; (b) to review its reliability (because all EncroChat messages are sent under pseudonyms); and (c) to determine whether exculpatory evidence can be found in the dataset.

Our analysis of case law of the ECtHR shows that, while suspects cannot access all information collected in the EncroChat operation, they have a right to access data that is deemed relevant in their case. In addition, the defence should be able to reason why they require further access to EncroChat data, including data that is not part of the dataset created by the public prosecution service. They should also have the sufficient facilities (an ‘effective opportunity’) to access and analyse the data.

In the Netherlands, the defence can argue why they should be able to access both types of data based on key words and the use of filters. Sometimes access is refused because of ongoing (other) criminal investigations or for privacy reasons of individuals involved. The defence is facilitated in accessing the data at the Netherlands Forensic Institute and can use the same software as law enforcement authorities use to search and analyse the EncroChat data themselves. They can also request the data, which could then be provided to the defence in a readable format.

Conclusion

In conclusion, legal practitioners can learn from the Dutch experience with criminal cases following from the EncroChat operation. Especially arguments of defence attorneys relating to the right to a fair trial and the way Dutch practice dealt with these questions are noteworthy. 

The following three lessons can be learned:

  1. Defence attorneys will demand more transparency about the way the evidence is collected following the EncroChat operation. Some details about the operation may be kept secret, but must be counterbalanced. In the Netherlands, additional warrants with specific safeguards must be obtained to create a subset of the collected data. This data can then be used in a new criminal investigation. We argue this should be viewed a good practice.

  1. Defence attorneys will question the reliability of the evidence. The public prosecution service and law enforcement authorities should prepare for this argument and explain why the particular EncroChat data that is used in a criminal investigation is reliable. In addition, we recommend that other sources of evidence are used besides EncroChat data. Multiple sources of evidence may validate each other and strengthen the case.

  1. The defence has a right to access data that is used as evidence against a suspect. In the Netherlands, the defence now has the practical means to access this data and the right to argue why they should have access to a larger dataset. The defence is also facilitated in accessing the data in readable format. In our view, the public prosecution office and judiciary should prepare for requests of defence attorneys to access EncroChat data and States should invest in an infrastructure to facilitate these requests.

J.J. Oerlemans and D.A.G. van Toor

This blog is a cross-post from ‘Montaigne Blog‘.

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

jjoerlemans Een reactie plaatsen

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

Cybercrime jurisprudentieoverzicht mei 2022

jjoerlemans

Bulk en EncroChat

Op 17 maart 2022 heeft de rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2022:1273) voor onder andere drugshandel. De verdachte was werkzaam in een drugslaboratorium en had als aanspreekpunt voor de criminele organisatie een essentiële rol. Daarnaast wordt hij (mede) verantwoordelijk gehouden voor de inrichting van het laboratorium en het productieproces van de handel in cocaïne. Hij is veroordeeld voor vier jaar gevangenisstraf.

De overwegingen over privacy en bulkdata zijn met name interessant om te lezen. De rechtbank overweegt dat er geen sprake is geweest van ‘bulkdata’ in de zin van ongedifferentieerde dataverzameling (zie in soortgelijke zin ook (Rb. Noord-Holland 4 mei 2022, ECLI:NL:RBNHO:2022:3899)). Het ging hier om een afgebakende groep, namelijk de gebruikers van EncroChat, en om een concrete verdenking, namelijk dat EncroChat werd gebruikt, geheel of in overwegende mate, door deelnemers aan georganiseerde criminaliteit. Dat is een essentieel andere situatie dan bijvoorbeeld het bewaren van alle metadata van alle abonnees van een telecomprovider ten behoeve van eventuele toekomstige strafrechtelijke onderzoeken.

Zie over bulkbevoegdheden en strafvordering ook het recente artikel van M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek – Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7 (in een themanummer over cryptophones). In dat themanummer is onder andere ook een overzichtartikel van EncroChat-jurisprudentie te vinden (tot februari 2022): B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2 en een bijdrage van S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3.

Diefstal van bitcoins

Op 7 april 2022 is een verdachte veroordeeld (ECLI:NL:RBMNE:2022:1414) voor diefstal van Bitcoins en Bitcoin Cash. De virtuele valuta had een waarde van € 120.000,-. De verdachte wordt veroordeeld voor zowel computervredebreuk als diefstal. De diefstal kwam aan het ligt toen het slachtoffer zag dat 30 Bitcoins uit zijn wallet waren weggenomen, vanaf de computer op zijn tandartsenpraktijk waar zijn blockchain-account op stond. Uit onderzoek van het IT beveiligingsbedrijf Fox IT bleek dat een ‘Remote Dekstop Protocol’ was geactiveerd op de computer, hetgeen leidde tot nader onderzoek. Uit het bewijs blijkt dat de verdachte door middel van een ‘remote desktop’-sessie toegang had verkregen tot het systeem van de aangever.

De verbalisant stelde met Chainalysis vast dat de Bitcoins uit de wallet van de aangever waren verstuurd naar een ander Bitcoin-adres. Vervolgens waren de Bitcoins opgesplitst in negen transacties. Alle transacties werden uiteindelijk naar Shapeshift.io verzonden (Shapeshift.io is een platform waar je cryptocurrencies kunt wisselen, een soort digitaal wisselkantoor, maar staat ook wel bekend als ‘Bitcoinmixer’). De rechtbank overweegt dat ‘een mixer een soort dienst is die Bitcointransacties door elkaar husselt, zodat het spoor onderbroken wordt en het traceren van de transacties vrijwel onmogelijk wordt’.

De verdachte is veroordeeld tot (slechts) een taakstraf van 240 uren en een voorwaardelijke gevangenisstraf van zes maanden, een hogere straf dan de officier van justitie had gevorderd. De rechtbank houdt bij de strafoplegging rekening met het feit dat verdachte vader is van twee jonge kinderen en een gezin te onderhouden heeft en een overschrijding van de redelijke termijn.

Arrest over controle van gegevensdragers

Op 15 maart 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:338) gewezen over het stellen van bijzondere voorwaarden bij zedendelinquenten. In deze zaak ging het om de volgende voorwaarden:

“3. de veroordeelde onthoudt zich op welke wijze dan ook van het seksueel getint communiceren met minderjarigen, gedrag dat is gericht op een digitale omgeving waarin kinderpornografisch materiaal kan worden verkregen en gedrag dat is gericht op een digitale omgeving waarin over seksuele handelingen met minderjarigen wordt gecommuniceerd,

a. waarbij de veroordeelde tijdens de gesprekken met de reclassering bespreekt hoe hij denkt dit gedrag te voorkomen;

b. waarbij het toezicht op deze voorwaarde onder andere kan bestaan uit controles van computers en andere apparatuur;

c. waarbij de betrokkene meewerkt aan controle van digitale gegevensdragers tijdens een huisbezoek;”

Kortgezegd overweegt de Hoge Raad met betrekking tot de ‘Toezichtgeoriënteerde gedragsvoorwaarde’ dat er sprake moet zijn dat ‘er ernstig rekening mee moet worden gehouden dat veroordeelde wederom misdrijf zal begaan dat gericht is tegen of gevaar veroorzaakt voor onaantastbaarheid van lichaam van een of meer personen” art. 14c Sr). De door het hof gestelde bijzondere voorwaarde dat de veroordeelde ‘meewerkt aan controle van digitale gegevensdragers tijdens huisbezoek’ voldoet niet aan hiervoor genoemde eisen en is daarom in strijd met art. 14c.2.14 Sr. Zo’n voorwaarde moet volgens de Hoge Raad voldoende precies het daarin gevatte gedragsvoorschrift formuleren. Zij mag echter niet gedrag van de verdachte omvatten dat in feite overeenkomt met het meewerken aan door de politie uit te oefenen veelomvattende en ingrijpende dwangmiddelen (met verwijzing naar HR 7 juli 2020, ECLI:NL:HR:2020:1215, SR-Updates.nl 2020-0260, m.nt. J.H.J. Verbaan).

Hoewel hof voldoende duidelijk tot uitdrukking heeft gebracht dat deze bijzondere voorwaarde het toezicht op naleving van bijzondere voorwaarden beoogt te regelen, blijkt uit voorwaarde immers niet met welke frequentie en op welke wijze controles van gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat persoonlijke levenssfeer van verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor beoogd toezicht. De klacht slaagt.  

Gebruik van risicoscore en veroordeling voor kinderopvangtoeslagfraude

Op 5 april 2022 veroordeelde (ECLI:NL:RBAMS:2022:1827) de rechtbank Amsterdam een verdachte voor het medeplegen valsheid in geschrift, gewoontewitwassen en als leider deelnemen aan een criminele organisatie in verband met kinderopvangetoeslagfraude. Volgens de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) kunnen drie stadia bij kinderopvangtoeslagfraude worden geïdentificeerd. Het eerste stadium is het werven van aanvragers. In het eerste stadium van ‘werven’ worden personen benaderd en erop worden gewezen dat zij kinderopvang toeslag aan te vragen. De daders bieden daarbij aan te helpen en doen zich voor als belastingmedewerker. Het tweede stadium is het indienen van de aanvraag tot kinderopvangtoeslag. Aan aanvragers werd gevraagd om hun DigiD-wachtwoord, bankgegevens en andere persoonlijke gegevens af te geven. Daarvan worden valse bescheiden opgemaakt en bij de aanvraag gevoegd. In het derde stadium van betaling werd met aanvragers afgesproken welk deel van de ontvangen kinderopvangtoeslag zij moesten afdragen, aan wie zij dit moesten afdragen en hoe zij dit moesten betalen. De zaak is met name interessant vanwege de overwegingen omtrent het ‘frauderisico’ die de Belastingdienst hanteerde.

Het onderzoek met de naam ‘Bonsai’ is begonnen na een melding van het Fraudeteam van de Belastingdienst Toeslagen dat een persoon bij haar aanvraag van kinderopvangtoeslag valse bewijsstukken had aangeleverd. Naar aanleiding hiervan is onderzocht welk IP-adres is gebruikt voor die aanvraag. Het bleek dat nog voor zeven andere personen via dit IP-adres kinderopvangtoeslag te zijn aangevraagd. Naar aanleiding daarvan is ook onderzoek gedaan naar de aanvragen van deze zeven personen. Daarbij was in meerdere gevallen ook sprake van een onjuiste aanvraag waardoor onterecht kinderopvangtoeslag is uitgekeerd. Uit vervolgonderzoek is gebleken dat de aanvragen van deze zeven personen aan in totaal 23 IP-adressen zijn te koppelen. Vanaf deze 23 IP-adressen zijn in totaal voor 50 personen onjuiste aanvragen ingediend, waarbij voor ongeveer 30 personen het vermoeden bestond dat ook valse documenten waren ingestuurd.

Aan de hand van de tenaamstellingen van de IP-adressen kwamen enkele verdachten in beeld en zijn huiszoekingen gedaan. Op de laptops die zijn aangetroffen in de woningen van een aantal verdachten zijn IP-adressen aangetroffen die zijn gebruikt bij de aanvragen van kinderopvangtoeslag. Op die laptops zijn ook sporen van digitaal contact tussen de aanvragers en de Belastingdienst Toeslagen aangetroffen. Daarnaast zijn in de woning van de verdachte 11 DigiD-codes aangetroffen waarvan er vijf zijn te herleiden tot onjuiste aanvragen. Ook zijn op de telefoon en laptop van een medeverdachte chatsessies met de verdachte over kinderopvangtoeslag en betalingen aangetroffen.

De verdediging voert het interessante verweer dat uit het procesdossier valt niet af te leiden op welke basis de aanvrager is geselecteerd, zodat niet kan worden uitgesloten dat dit is gebeurd op basis van discriminatoire algoritmes. Gelet op het feit dat – indien er sprake is geweest van een selectie op basis van discriminatoire algoritmes – heeft er volgens de verdediging een ernstige schending plaatsgevonden en moet er worden overgegaan tot uitsluiting van het bewijs dat door middel van het onrechtmatige, niet onafhankelijke en niet onpartijdige onderzoek is verkregen.

In haar verweer verwijst het Openbaar Ministerie naar de brief ‘Openbaarmaking risicoclassificatiemodel Toeslagen’ van 26 november 2021, waarin de werkwijze van de Belastingdienst Toeslagen uiteen wordt gezet. Wat uit die brief in ieder geval kan worden afgeleid is dat er met algoritmes werd gewerkt bij de Belastingdienst Toeslagen en dat op basis van meerdere indicatoren werd gekomen tot een risico-score per aanvraag. Scoorde een aanvraag hoog, dan liep die aanvraag meer kans om gecontroleerd te worden. Over de wenselijkheid van de gehanteerde indicatoren is veel politiek debat gevoerd, met name ook over een indicator op het gebied van nationaliteit. ‘Persoon 1’, waarnaar wordt verwezen, had in ieder geval de Nederlandse nationaliteit. In dat geval werd er door de Belastingdienst Toeslagen geen nadere selectie gemaakt op het bestaan van een eventuele tweede nationaliteit bij de selectie van het controleren van de aanvragen kinderopvangtoeslag. De keuze om de aanvraag van ‘persoon 1’ te controleren had dus niet te maken met haar afkomst, aldus het Openbaar Ministerie.

De rechtbank overweegt dat in het rapport ‘De verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag’ van juli 2020 is geconstateerd dat er met selectie op basis van nationaliteit in het model sprake was van een overtreding. Deze verwerking was niet noodzakelijk omdat er minder vergaande mogelijkheden voorhanden waren. Deze overtreding is door de Autoriteit Persoonsgegevens als discriminerend en daarmee onbehoorlijk aangemerkt. De rechtbank stelt vast dat er meerdere indicatoren voor de Belastingdienst Toeslagen waren om te bepalen of een aanvraag al dan niet als risicovol moest worden aangemerkt. Medewerkers van Toeslagen ontwikkelden het model in 2013 aan de hand van een set risico-indicatoren en op basis van voorbeelden van juiste en onjuiste toeslagaanvragen. Door het model te voeden met duizenden voorbeelden van handmatig behandelde aanvragen, herkende het model statistische verbanden tussen indicatoren en voorspelde het model op basis daarvan hoe groot het risico was op onjuistheden in de toeslagaanvragen. Het model werd daarmee in de loop van de tijd aangepast en het model leerde welke posten (on)terecht van een hoge risicoscore waren voorzien. Elke maand kregen de toeslagaanvragen die in het Toeslagen Verstrekkingen Systeem (TVS) klaar stonden voor ‘formeel beschikken’ een risicoscore van 0 tot 1. De meest risicovolle aanvragen kregen een risicoscore dicht bij 1 en de minst risicovolle aanvragen een risicoscore dicht bij 0. De indicatoren voor de kinderopvangtoeslag zagen op de situatie van de opvang (soort opvang zoals gastouder of buitenschoolse opvang, afstand tussen woon- en opvangadres) en op de situatie van de aanvrager (zoals inkomen, toeslagschulden, partner of alleenstaand, leeftijd en aantal kinderen).

Het model heeft ook gebruik gemaakt van de indicator ‘Nederlanderschap Ja/Nee’. Deze indicator was in het model opgenomen, vanwege enerzijds fraude via toeslagaanvragers zonder Nederlandse nationaliteit die in dezelfde periode als de ontwikkeling van het model speelde en anderzijds omdat medewerkers van Toeslagen de ervaring hadden dat toeslagaanvragers zonder Nederlandse nationaliteit soms moeite hadden met het aanvragen van toeslagen en er vaker fouten in hun toeslagaanvragen werden aangetroffen. Deze indicator gaf een ‘Ja’ gaf als de aanvrager de Nederlandse nationaliteit bezat, ook als daarnaast sprake was van nog een andere nationaliteit. Dus ongeacht of er sprake was van meerdere nationaliteiten, iemand met alleen de Nederlandse nationaliteit werd exact hetzelfde gescoord als iemand met een Nederlandse en andere nationaliteit. De rechtbank concludeert dat volgens de hiervoor omschreven werkwijze van de Belastingdienst Toeslagen niet verder werd geselecteerd op een eventuele tweede nationaliteit en daarmee was er op dit vlak geen sprake van een risico-indicatie. Het dossier bevat geen aanwijzingen dat discriminatoire, indicatoren zoals haar Surinaamse naam of uiterlijke kenmerken daarbij een rol hebben gespeeld.

In de beoordeling overweegt de rechtbank dat de verdachte en zijn mededaders zich op grote schaal bezighielden met het valselijk opmaken van stukken en indienen van aanvraag- en wijzigingsformulieren kinderopvangtoeslag en hebben de verkregen gelden vervolgens witgewassen. Daarmee hebben zij misbruik gemaakt van het systeem van de Belastingdienst, waarvan het doel is miljoenen ouders op een zo efficiënt mogelijke manier financieel te ondersteunen als zij gebruik maken van kinderopvang. De Belastingdienst is gedurende een lange periode voor honderdduizenden euro’s opgelicht. De verdachte wordt veroordeeld tot twee jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar.

Diefstal met geweld en digitaal bewijs

Op 18 maart 2022 verscheen er een uitspraak (ECLI:NL:RBGEL:2022:1253) over diefstal met geweld, waarbij een mix van fysiek als digitaal bewijs een belangrijke rol speelde. De zaak gaat over een verdachte en medeverdachte (haar schoonzus) die met mannen afspraken en vervolgens diefstal pleegden.

In de eerste zaak werd afgesproken via de datingsite ‘knuz.nl’. Het slachtoffer werd gedrogeerd door iets in de koffie te doen. Het slachtoffer geeft aan dat hij nog hoorde dat ‘ze’ tegen hem zeiden dat hij geld moest geven zodat ze sigaretten konden halen. Aangever heeft verklaard dat hij toen waarschijnlijk het geld heeft gepakt dat hij contant in huis had. Dat was 150 euro. Bij het sporenonderzoek in de woning aan van aangever te Heerewaarden hebben verbalisanten een restje koffie, dat nog in de mok zat waaruit aangever had gedronken, in beslag genomen. Daarvan is een monster genomen. Ook van koffiebekers van de vrouwen die op bezoek waren is een monster afgenomen. Het Nederlands Forensisch Instituut (NFI) heeft die monsters onderzocht en heeft vastgesteld dat het monster van het restant koffie benzodiazepinen (te weten temazepam en oxazepam) bevatte. Door het NFI is gerapporteerd dat benzodiazepines stoffen zijn die een kalmerende, slaapverwekkende en spierverslappende werking hebben. Op de koffiemokken is ook DNA gevonden die een match opleverde met een DNA-profiel van de medeverdachte.

Bij een tweede slachtoffer werd context gelegd via ‘Lexa.nl’ en gebeurde iets soortgelijks. Bij hem werden dure goederen gestolen. In de tweede zaak werd een onderzoek ingesteld naar de historische telecommunicatiegegevens van het mobiele telefoonnummer en bijbehorend imei-nummer. Uit die gegevens is vast komen te staan dat, op twee gesprekken na, tijdens alle verkregen gesprekken gebruik werd gemaakt van de zendmast op een bepaald adres in Zeist, dat binnen de zendrichting van de zendmast valt. Bovendien zijn de ‘de Lexa-profielen uitgevraagd’. Een van de accounts maakte gebruik van ene IP-adres stond die ‘op naam stond van de verdachte’.

Bij het derde slachtoffer werd contact gelegd via de site ‘NL-Date’. Bij hem zijn dure horloges gestolen na een bezoek. Ook daarbij leidde een monster van een kopie tot een DNA-match met de verdachte op. Het ‘gebruikers ID’ bij NL-Date maakte bovendien gebruik van het IP-adres op naam van verdachte en op naam van haar schoonzus.

De rechtbank acht de diefstal bij de drie slachtoffers bewezen en overweegt dat het tenlastegelegde op grond van artikel 81 Sr kan worden bewezen, omdat het toedienen van een dergelijk middel als een vorm van geweld kan worden beschouwd. Het slachtoffer is in een staat van bewusteloosheid of onmacht is gebracht, waardoor de fysieke macht tot weerstand is gebroken.

De verdachte in de onderhavige zaak werd veroordeeld voor 12 maanden gevangenisstraf, waarvan 8 maanden voorwaardelijk.

Themanummer over cryptophones

jjoerlemans 1 reactie

In mei 2022 is een themanummer over cryptophones verschenen in het Tijdschrift voor Bijzonder Strafrecht en Rechtshandhaving (TBS&H). Het themanummer bevat hele actuele en relevante bijdragen (zie het overzicht hieronder).

In het artikel die ik samen met Bart Schermer heb geschreven bieden we een overzicht en analyse van de EncroChat-jurisprudentie (tot en met februari 2022). Daarnaast heb ik een annotatie geschreven over de veroordeling van de oprichter van Ennetcom.

Veel bijdragen zijn van collega’s van de Universiteit Utrecht. Met speciale dank voor de inspanningen van Dave van Toor die het themanummer heeft gecoördineerd!

Inhoudsopgave:

D.A.G. van Toor, ‘Het enkele gebruik van cryptophones als basis voor procesrechtelijke concepten’, TBS&H 2022/2.1

B.W. Schermer & J.J. Oerlemans, ‘De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?’, TBS&H 2022/2.2

S. Royer & R. Vanleeuw, ‘Cryptofoons, privacyvriendelijke applicaties en het vermoeden van onschuld’, TBS&H 2022/2.3

D.A.G. van Toor, ‘Het gebruik van resultaten uit de Encro­Chat-­hack in de Duitse strafrechtspleging’, TBS&H 2022/2.4

L.W. Verbeek & T. Beekhuis, ‘Executieve jurisdictie: het (grote) obstakel in grensoverschrijdende opspo­ringsonderzoeken naar (gebruikers van) cryptoaanbieders?’, TBS&H 2022/2.5

M.M. Egberts, ‘De reikwijdte van het inzagerecht en ‘equality of arms’ in het licht van grote datasets, Hansken en toekomstige ontwikkelingen’, TBS&H 2022/2.6

M. Galič, ‘Bulkbevoegdheden en strafrechtelijk onderzoek. Lessen uit de jurisprudentie van het EHRM voor de normering van grootschalige data-analyse’, TBS&H 2022/2.7

Rb. Rotterdam 21 september 2021, ECLI:NL:RBROT:2021:9085, TBS&H 2022/2.8, m.nt. J.J. Oerlemans (Oprichter van cryptotelefoonaanbieder Ennetcom veroordeeld)

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman

De Wijzigingswet Wiv 2017

jjoerlemans 2 reacties

De ‘Wijzigingswet 2017’ krijgt weinig aandacht in de literatuur en media, maar er staan toch belangrijke bepalingen in het wetsvoorstel die ik even op een rijtje wil zetten. Het wetsvoorstel betreft voor een belangrijk deel de codificatie van de Beleidsregels Wiv 2017. De Beleidsregels waren ingevoerd gelet op de zorgen in de samenleving, zoals deze onder meer uit de uitslag van het raadgevend referendum over de Wiv 2017 zijn gebleken (49,44% stemmen tegen en 46,53% stemmen voor de Wiv 2017).

In deze blogpost bespreek ik niet niet alle bepalingen van het wetsvoorstel Wijzigingswet Wiv 2017 maar de aanpassingen van (in mijn ogen) de belangrijkste artikelen rond het gerichtheidsvereiste en het delen van ongeëvalueerde gegevens met buitenlandse diensten. Daarnaast signaleer ik nog een paar interessante vragen en antwoorden in het Kamerdebat over het wetsvoorstel.

Belangrijke wijzigingen Wiv 2017

1. Het gerichtheidsvereiste

In artikel 5 van de Beleidsregels Wiv 2017 staat dat bijzondere bevoegdheden “zo gericht mogelijk” moeten worden ingezet. Het nieuwe vereiste die per 1 mei 2018 van kracht is, is geïntroduceerd naar aanleiding van de motie Recourt. In de motie stond dat het wenselijk is dat het gerichtheidsvereiste voor álle bevoegdheden geldt en niet alleen voor de bijzondere bevoegdheden zoals in de Beleidsregels is opgenomen. In de Beleidsregel en de toelichting wordt echter niet uitgelegd wat het gerichtheidsvereiste behelst.

In het wetsvoorstel wordt in de memorie van toelichting (p. 4-5) verduidelijkt dat onder “zo gericht mogelijk” wordt verstaan

“in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus.”

De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object. Per inzet van een bevoegdheid krijgt het vereiste aldus zijn uitwerking. Zonder voorbeelden blijft deze uitleg natuurlijk wel wat vaag. Het was overigens sowieso al gek dat het vereiste niet eerder was gedefinieerd.

In de praktijk is wel ervaring met het vereiste opgedaan, waar de CTIVD ook al op heeft getoetst. In CTIVD-rapport nr. 64 (2019) over de selectie van geïntercepteerde communicatie uit de ether, constateert de toezichthouder bijvoorbeeld dat in de aanvraag tot de inzet van de bijzondere bevoegdheid tot selectie in één geval een heldere omschrijving ontbrak van de organisatie ten aanzien waarvan de selectiebevoegdheid werd ingezet. De geformuleerde groep was te ruim omschreven en in de aanvraag was niet omschreven waarom sprake was van een organisatie.

En in het CTIVD-rapport nr. 63 (2019) over filtering bij ‘onderzoeksopdrachtgerichte interceptie’ (bulkinterceptie) gaf de toezichthouder aan dat bij een specifieke vorm van satellietinterceptie tijdens de onderzoeksperiode ‘een deel van gebruikte verwerkingssystemen alle inhoud en metadata van herkende typen data or protocollen doorlaat. Het zonder meer opslaan van gegevens op deze manier laat zich niet verenigen met het vereiste dat de interceptie ‘zo gericht mogelijk’ dient te zijn’ (onderstreping toegevoegd). In reactie op beide rapporten zeiden de ministers zich in te spannen deze onrechtmatigheden in de toekomst te voorkomen.

Als het wetsvoorstel Wijzigingswet Wiv 2017 wordt aangenomen en van kracht is, geldt het gerichtheidsvereiste verder voor álle bevoegdheden. Daartoe wordt artikel 26 Wiv 2017 gewijzigd, waar nu ook de andere algemene vereisten van proportionaliteit en subsidiariteit zijn neergelegd. Als gevolg daarvan moet het vereiste ook worden toegepast bij de inzet van algemene bevoegdheden zoals de informantenbevoegdheid en het stelselmatig verzamelen van persoonsgegevens op internet. Als je bijvoorbeeld gegevens opvraagt bij een bedrijf of instelling op grond van de informantenbevoegdheid (die dat dan al dan niet vrijwillig verstrekt), dan vraag je dat zo gericht mogelijk; bijvoorbeeld de gegevens van het target die je als dienst in de gaten houdt en niet een hele database. Een dergelijke toets raakt overigens ook sterk de proportionaliteitstoets en subsidiariteitstoets, maar goed. Vanuit het perspectief van de bescherming van fundamentele rechten is de bepaling zeker een winst, omdat het als extra waarborg kan fungeren voor alle bevoegdheden.

2. Delen van ongeëvalueerde gegevens met buitenlandse diensten

Het wettelijk kader voor het delen van gegevens is nogal ingewikkeld. In deze blogpost sluit ik aan bij de uitleg uit de memorie van toelichting en het nader verslag.

In het nader verslag wordt uitgelegd dat voorafgaand aan het aangaan van een samenwerkingsrelatie met een buitenlandse dienst een ‘wegingsnotitie’ wordt opgesteld. In de wegingsnotitie wordt aan de hand van wettelijk vastgelegde criteria, zoals de ‘democratische inbedding van de buitenlandse dienst’ en ‘de eerbiediging van mensenrechten door het betreffende land’, nagegaan of een dergelijke samenwerkingsrelatie kan worden aangegaan en in hoeverre gegevens kunnen worden uitgewisseld. Daarbij wordt onderscheid gemaakt tussen geëvalueerde of ongeëvalueerde gegevens. Ongeëvalueerde gegevens zijn gegevens waarvan de AIVD en de MIVD te weinig kennis van de inhoud hebben om een adequate weging te kunnen maken van de noodzaak, behoorlijkheid en zorgvuldigheid van de verstrekking van de gegevens.

De door de minister van BZK of minister van Defensie verleende toestemming voor het aangaan van de samenwerkingsrelatie bepaalt dus ook de grenzen van die samenwerking en of er gegevens mogen worden verstrekt en zo ja, welke soorten gegevens.

Artikel 64 Wiv 2017 vormt een uitzondering op deze regeling. In het kader van een goede taakuitvoering kan de AIVD of de MIVD op grond van een dringende en gewichtige reden – bijvoorbeeld indien men beschikt over gegevens die wijzen in de richting van een ophanden zijnde terroristische aanslag in het desbetreffende land – gegevens verstrekken aan de buitenlandse dienst waarmee geen samenwerkingsrelatie bestaat. Dat mag alleen met toestemming van de verantwoordelijke minister. Het kan daarbij óók gaan om de verstrekking van ongeëvalueerde gegevens.

De aanpassing ziet er op de situatie dat er wél een samenwerkingsrelatie is, maar de wegingsnotitie aangeeft dat het regulier niet is toegestaan gegevens met de buitenlandse dienst te delen. Door aanpassing van artikel 64 Wiv 2017 wordt dit bij bovengenoemde gewichtige redenen wel mogelijk met toestemming van de verantwoordelijke minister. Als er toch al een uitzondering is met toestemming van de minister de gegevens te delen bij gewichtige redenen, is het wat mij betreft ook niet gek dat dit ook mogelijk wordt gemaakt als er wel een samenwerkingsrelatie bestaat. De CTIVD wordt overigens via een melding op de hoogte gesteld bij een verstrekking van ongeëvalueerde gegevens.

In het nader verslag vragen leden van GroenLinks nog hoe het staat met het internationaal toezicht op het delen van gegevens met buitenlands diensten. De minister van Defensie herhaalt dat bij samenwerkingsverbanden de controle op de handelingen van de inlichtingen- en veiligheidsdiensten door de nationale toezichthouders plaatsvindt. Het is volgens minister ‘te vroeg om voor het toezicht op samenwerkingsverbanden multilaterale afspraken te maken over het integraal wegnemen van wettelijke beperkingen voor de uitwisseling van staatsgeheime gegevens tussen toezichthouders’.

Tweede Kamerdebat (nota naar aanleiding van het verslag)

Tijdens het Tweede Kamerdebat over de Wijzigingswet Wiv 2017 kwamen een aantal interessante onderwerpen voorbij (zie de ‘nota naar aanleiding van het verslag’). Ik licht er drie uit.  

1. Geclausuleerde toestemming TIB

De leden van de Partij van de Dieren vroegen zich of in hoeverre het mogelijk is dat de TIB ‘geclausuleerd’ voorafgaand aan de inzet goedkeuring geeft van de inzet van (bepaalde) bijzondere bevoegdheden die door de minister zijn goedgekeurd. Dan wordt dus goedkeuring gegeven, maar onder voorwaarde dat bij de uitvoering ergens rekening mee wordt gehouden. Blijkbaar ziet de partij deze ruimte niet, omdat in artikel 36 lid 2 Wiv 2017 is vastgelegd dat de commissie oordeelt of de toestemming van de minister rechtmatig is. Deze toestemming zou ook geen geheime voorwaarden toelaten volgens de partij. De minister van Defensie beaamt dat strikt genomen de Wiv 2017 niet voorziet in de mogelijkheid tot geclausuleerde goedkeuring. In de praktijk is dit slechts in enkele situaties voorgekomen, zo geeft zij aan. Opvallend is dat verderop wordt gezegd dat: 

“Mocht een geclausuleerde goedkeuring door de TIB voor de inzet van de bijzondere bevoegdheid overigens voorwaarden bevatten die om verschillende redenen als niet aanvaardbaar worden beschouwd (praktisch onwerkbaar, verschil in interpretatie wettelijke bepalingen e.d.), dan ligt het voor de hand dat – nu de verleende toestemming niet van rechtswege is vervallen – deze door de Minister wordt ingetrokken.”

Ten slotte wordt gewezen op de aanstaande evaluatie (die uiterlijk start op 1 mei 2020, maar waarvan de Commissieleden nog niet publiekelijk bekend zijn) zich buigt over ‘de hele inrichting, de functie en de plek van de TIB in het bestel, een en ander tegen de achtergrond van de ministeriële verantwoordelijkheid’. Het vraagstuk geclausuleerde goedkeuring door de TIB maakt daar onderdeel van uit.

2. ‘Werken met grote gegevenssets en GDA’

Verder vond ik het interessant – en ook terecht overigens – dat verschillende Kamerleden vroegen of de regering kon ingaan op de kritiek van de TIB over de verzameling van grote gegevenssets door middel van hacken of informanten. De leden van GroenLinks geven aan dat ook bij andere bevoegdheden gegevens in bulk worden verzameld, ook van personen die niet in onderzoek zijn bij de diensten. De leden vragen waarom deze waarborgen niet in bindende bepalingen zijn gegoten voor GDA-verwerking van alle verzamelde data, of deze data nu uit een open bron zijn verkregen, via een zogeheten bulk-hack zijn binnengehaald, met de OOG-interceptie bevoegdheid zijn afgevangen of van een andere dienst zijn ontvangen. De minister geeft aan dat dit onderwerp niet wordt behandeld in de Wijzigingswet en daarom hier niet op wordt ingegaan. Het wordt mogelijk in de wetsevaluatie betrokken.

Ook wordt de suggestie om de waarborgensystematiek voor geautomatiseerde data-analyse na bulkinterceptie op bijvoorbeeld metadata in de Wiv 2017 uit te breiden, wordt niet door de minister omarmt. De minister is er geen voorstander van, omdat dan voor ‘alle gevallen van geautomatiseerde data-analyse waarbij persoonsgegevens worden verwerkt, toestemming van de minister en een toets van de TIB noodzakelijk zou zijn’. Dat is mijns inziens afhankelijk van hoe je het regelt, maar de minister geeft in ieder geval aan een dergelijke regeling niet wenselijk te vinden.

De minister zegt dat ook geautomatiseerde data-analyse onderwerp kunnen zijn voor de wetsevaluatie. De minister wilt eerst de resultaten van de evaluatie af te wachten, alvorens tot aanpassingen van het stelsel te komen. De leden van wetsevaluatie gaan het dus nog druk krijgen gezien het aantal onderwerpen op die voor hen op de agenda zijn geplaatst! (zie deze Kamerbrief (.pdf) uit november 2019).  

3. Regelgeving en invloed opslagkracht van de diensten

De leden van CDA- en VVD fractie stelden verschillen vragen ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘op welke wijze met het voorliggende wetsvoorstel de slagkracht van de diensten wordt bevorderd en de disproportionele bureaucratisering van het werk van de diensten tegengegaan’.

De minister (die uiteraard haar eigen wetsvoorstel verdedigde) antwoordde daarop dat de bepalingen uit de Wijzigingswet  2017 naar inschatting werkbaar zijn. Over de bepalingen uit de Wiv 2017 (ten opzichte van de Wiv 2002) antwoord de minister dat de AIVD en de MIVD ‘intensief betrokken’ waren bij de totstandkoming van de wet en naar hun beste vermogen een inschatting hebben gemaakt van de impact van de nieuwe regels op hun werkwijze. Maar: ‘in de toepassingspraktijk is gebleken dat op onderdelen er frictie kan ontstaan tussen de wettelijke norm (en de wijze waarop deze is toegelicht) en de werkbaarheid voor de praktijk’. De minister wordt niet concreter welke onderdelen dat zijn en geeft aan dat ‘een en ander’ bij de wetsevaluatie wordt ingebracht.