Tag Bulkinterceptie

Reflectie voorgestelde aanpassingen Wet op de inlichtingen- en veiligheidsdiensten

jjoerlemans

De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.

Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.

1.     Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid

Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.

Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.

Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).

2.     Bulkdatasets

In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.

De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.

3.     Toezicht

De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.

Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.

Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.

4.     Grijsgebieden

Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.

Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.

Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.

Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.

Jan-Jaap Oerlemans & Sophie Harleman

Nieuwe wetgeving voor inlichtingen- en veiligheidsdiensten

jjoerlemans Een reactie plaatsen

Op 2 december 2022 is het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ naar de Tweede Kamer gestuurd (hierna: Tijdelijke cyberwet).

Daarnaast is op 23 december 2022 de ‘Nota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ (hierna: Nota van wijziging) op internetconsultatie.nl gepubliceerd (reageren kan tot en met 16 januari 2023). De planning is dat deze nota begin april 2023 bij de Tweede Kamer wordt ingediend.

Ten slotte wordt in een Kamerbrief over de voorgenomen wetswijzigingen gesproken over een ‘hoofdlijnennotitie’ op de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2017. Daarin zet de regering haar visie uiteen voor een algehele wijziging van de wet. Deze hoofdlijnnotitie wordt naar verwachting ‘in het eerste kwartaal van 2023’ naar de Tweede Kamer gestuurd.

De Tijdelijke cyberwet en de Nota van wijziging zijn of worden al aan de Tweede Kamer aangeboden, omdat de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie – en de TIB en de CTIVD – van mening zijn dat ‘gelet op de in het geding zijnde belangen van nationale veiligheid en de bescherming van fundamentele rechten op kortst mogelijke termijn via aanpassing van wetgeving dienen te worden geregeld’. De regering verwacht dat de algehele herziening van de Wiv 2017 nog ‘geruime tijd’ zal vergen (zie de Kamerbrief).

In deze blog zet ik de kernpunten van de Tijdelijke cyberwet en Nota van wijziging op een rij. Daarbij sluit ik aan op de memorie van toelichting en onthoud ik mij verder van commentaar. Ik beoog daarmee een neutrale weergave van de wetgeving te geven.  Dit bericht wordt t.z.t. geüpdatet als de hoofdlijnennotitie beschikbaar is.

Tijdelijke cyberwet

Het doel van de Tijdelijke cyberwet is om de AIVD en de MIVD meer operationele armslag te bieden inlichtingen te verzamelen over de offensieve cyberprogramma’s van statelijke actoren, zoals Rusland en China.

Het wetvoorstel voorziet in een aantal wijzigingen ten aanzien van de inzet van bepaalde bijzondere bevoegdheden voor bulkinterceptie (dit wordt ‘onderzoeksopdracht gerichte interceptie’ (ook wel: OOG-interceptie) in de Wiv 2017 genoemd) en de hackbevoegdheid. Deze aanpassingen worden alleen mogelijk gemaakt voor zover deze bevoegdheden worden ingezet bij de uitvoering van onderzoeksopdrachten die te maken hebben met offensieve cyberprogramma’s van statelijke actoren. Door op bepaalde punten de toetsing van de inzet van deze bijzondere bevoegdheden te verschuiven van de Toetsingscommissie Inzet Bevoegdheden (TIB) naar bindend toezicht op de uitoefening ervan door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), wordt de operationele armslag van de diensten vergroot en zou de uitvoering van deze bevoegdheden beter aansluiten bij het toezicht.

Met betrekking tot de bijzondere bevoegdheden gaat het concreet om de volgende voorstellen:

  1. Het schrappen van de rechtmatigheidstoets van de TIB bij het ‘verkennen’ bij de uitvoering van de hackbevoegdheid (art. 45 Wiv 2017) (dus voordat op computers (geautomatiseerde werken) wordt binnengedrongen). Het hoofd van de dienst moet daartoe toestemming geven. De CTIVD houdt daarop (bindend) toezicht. Het doel van de wijziging is de drempel voor het verkennen te verlagen. Het verkennen dient ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap. Het verkennen van geautomatiseerde werken maakt ook een minder vergaande inbreuk op fundamentele rechten dan het binnendringen. De wijziging heeft tot doel de snelheid en effectiviteit van de inzet van de hackbevoegdheid te verhogen.
  1. Het vergroten van de mogelijkheden tot “bijschrijven” ten aanzien van de hackbevoegdheid (art. 45 lid 8 Wiv 2017), de bevoegdheid tot het gericht intercepteren van communicatie (art. 47 lid 7 Wiv 2017) en het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten (art. 54 Wiv 2017). De achtergrond van deze wijziging is ingegeven, omdat de TIB de wet zodanig uitlegt dat er een exclusiviteitscriterium zou gelden (de wet spreekt namelijk over een geautomatiseerd werk van een persoon of organisatie). Met de wijziging dat het bij te schrijven geautomatiseerd werk ‘in gebruik is’ bij een persoon of organisatie, is duidelijk dat de AIVD en de MIVD kunnen overgaan tot “bijschrijving” bij de uitvoering van de hackbevoegdheid als de statelijke actor van server wisselt bij hun activiteiten. Dan is duidelijk dat er geen sprake hoeft te zijn van eigendom over het geautomatiseerde werk en het bijvoorbeeld ook kan gaan om gedeelde systemen waar een target gebruik van maakt. De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.
  1. Het schrappen van de voorafgaande toets van de TIB op de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid (art. 45 lid 4 sub a en sub b Wiv 2017). In de memorie van toelichting staat dat de vooraf ‘bekende’ technische risico’s onderdeel zijn van de proportionaliteitstoets van de TIB. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds. In de praktijk is een spanningsveld ontstaan op deze toets op technische risico’s door de TIB, omdat het niet mogelijk zou zijn voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien. Wel moeten in de aanvraag nog steeds de relevante technische aspecten aan de orde dient te komen die de minister nodig heeft om tot een geïnformeerd oordeel te komen. Het gaat dan om technische informatie, inclusief risico’s, die op het moment van de aanvraag bekend is. Volgens de toelichting kan de TIB in het kader van haar proportionaliteitstoets dus wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een “hoger abstractieniveau” hebben. De CTIVD houdt verder toezicht op de technische risico’s bij de uitvoering van de hackbevoegdheid.
  1. De introductie van de mogelijkheid tot het verkennen ten behoeve van OOG-interceptie (art. 48 Wiv 2017), met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming tot OOG-interceptie betrekking dient te hebben (ook wel ‘snapshotten’ genoemd). Daarbij wordt het gerichtsheidsvereiste voor dit verkennen buiten werking gesteld. Er is wel toestemming van de minister en toetsing hiervan door de TIB vereist. De toestemming wordt verleend voor een periode van ten hoogste een jaar. De geïntercepteerde gegevens moeten na een periode van ten hoogste zes maanden worden vernietigd, als ze niet bijdragen aan het doel van de verwerking. De achtergrond van de introductie van de bevoegdheid tot het verkennen bij OOG-interceptie is de gevoelde noodzaak dat met de bevoegdheid kan worden onderbouwd waarom kan worden overgegaan tot kabelinterceptie (omdat er verkeer dat relevant is voor onderzoeksopdrachten langs de fiber op de kabel stroomt). De wijziging is ook ingegeven door CTIVD-rapport nr. 75 (2022), waarin de CTIVD constateert dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.
  1. De beperking van de proportionaliteitstoets en gerichtheidstoets van de TIB bij OOG-interceptie. In de toelichting is te lezen dat daarbij ‘met name’ de volgende aspecten mogen worden betrokken: a. een indicatie van de te verwerven gegevensstromen en b. een indicatie van de wijze waarop de reductie van gegevens binnen de gehele keten van verwerving invulling krijgt. De achtergrond van deze wijziging is volgens de toelichting dat ‘juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens’. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten. Het voorstel zou een oplossing moeten bieden ‘voor de verschillende zienswijzen ter zake van de Ministers en de TIB over de toepassing van het gerichtheidscriterium bij OOG-interceptie’.
  1. Het vervallen van de voorafgaande rechtmatigheidstoets van de TIB bij de bijzondere bevoegdheid tot ‘geautomatiseerde data analyse’ op OOG-interceptie (art. 50 lid 4 Wiv 2017). De CTIVD houdt bindend toezicht op de uitvoering van deze bijzondere bevoegdheid. De achtergrond is dat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, waardoor op voorhand niet is te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten (zie in dat kader ook mijn artikel ‘Metadata-analyse in de Wiv 2017’, Privacy & Informatie 2020, nr. 6, p. 260-267). De toets op voorhand sluit niet goed aan bij dit dynamische proces van gegevensverwerking. Ook ten aanzien van deze bijzondere bevoegdheid krijgt de CTIVD bindend toezicht.

Over de voorgestelde wijzigingen en achtergrond met betrekking tot deze bijzondere bevoegdheden is meer te lezen in dit NJB-artikel van Sophie Harleman.

Op de (bindende) besluiten van de TIB en de CTIVD, wordt in het kader van dit wetsvoorstel een ‘beroepsmogelijkheid’ gecreëerd bij de (hoogste) bestuursrechter, de Afdeling bestuursrecht van de Raad van State (ABRvS). Andere bepalingen uit het wetsvoorstel gaan over het proces dat wordt doorlopen als de ministers (AIVD en/of MIVD) van deze beroepsprocedure gebruik maken. In tegenstelling tot de versie van afgelopen zomer op internetconsultatie.nl, zijn de uitspraken van de ABRvS in beginsel nu wel openbaar.

Het idee is dat de bepalingen in deze tijdelijke wet op termijn onderdeel uitmaken van de hoofdlijnennotitie dat als basis moet dienen voor een wetsvoorstel voor de algehele wijziging van de Wiv. De wijzigingen kunnen daarmee een doorwerking krijgen op de algehele wijziging. Over de wijzigingen met betrekking tot het toezichtstelsel is meer te lezen in dit NJB-artikel van Rowin Jansen

Nota van wijziging

De Nota van wijziging regelt de volgende drie onderwerpen:

  1. De introductie van een rechtmatigheidstoets van de TIB na toestemming voor de inzet van de zogeheten “stomme tap”. Dat wil zeggen een vordering voor ‘real time’ verkeers- en locatiegegevens bij aanbieders van communicatiediensten.
  1. De introductie van de mogelijkheid de beoordelingstermijn ten behoeve van de toets op relevantie, na de verwerving van bulkdatasets met een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017), telkens met een jaar te verlengen. De CTIVD moet (bindend) toestemming geven voor de verlenging of kan de verlenging afkeuren. Bij afkeuring kunnen de ministers/diensten ‘in beroep’ gaan bij de ABRvS.
  1. Een overgangsregeling voor bulkdatasets die op grond van een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017) zijn verzameld, voordat de deze wet in werking treedt en nog aan de relevantietoets van art. 27 Wiv 2017 zijn onderworpen. 

De Nota wijzigt de Tijdelijke cyberwet. Het is echter belangrijk te realiseren dat de reikwijdte van de Nota vervolgens breder is dan de Tijdelijk wet, omdat het ook werking heeft voor alle andere inlichtingenonderzoeken van de diensten. Bulkdatasets en de inzet van de stomme tap zijn namelijk ook belangrijk bij andere onderzoeken, ook buiten het ‘cyberdomein’, aldus de (concept)memorie van toelichting.

Aanpassing van de regeling omtrent de ‘stomme tap’

De aanpassing van artikel 55 Wiv 2017 voor de zogeheten “stomme tap” is ingegeven door de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2020 (zie ook HvJ EU 6 oktober 2020, C-511/18, C512/18 en C-520/18, ECLI:EU:C:2020:791 (La Quadrature du Net e.a./Premier ministre e.a.) (zie ook onze annotatie in JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens). In deze zaak waren door de Franse Raad van State en het Belgische Constitutionele Hof enkele prejudiciële vragen voorgelegd, onder meer over het in  real time verzamelen van verkeers- en locatiegegevens. Dit zou naar het oordeel van het HvJ EU alleen zijn toegestaan als een dergelijk besluit onderworpen is een voorafgaande bindende toetsing door een rechter of een onafhankelijke administratieve autoriteit, waarbij wordt vastgesteld dat deze maatregel zich beperkt tot wat strikt noodzakelijk is. In de toelichting is te lezen dat ‘hoewel de uitspraak in deze prejudiciële zaak direct van betekenis is voor de rechterlijke instantie die de prejudiciële zaak aanhangig heeft gemaakt en aan deze uitspraak is gebonden, heeft deze uitspraak uiteraard ook (indirect) effect voor de andere lidstaten van de Unie. Immers het ligt in de rede dat in vergelijkbare zaken een vergelijkbaar oordeel zal worden geveld’.

Om bovenstaande reden wordt de Nederlandse wetgeving met het arrest in lijn gebracht voor de bijzondere bevoegdheid tot het in real time verzamelen van verkeers- en locatiegegevens (artikel 55 lid 1 Wiv 2017). Na toestemming van de minister en een rechtmatigheidstoets van de TIB kunnen de AIVD en de MIVD zich wenden tot een aanbieder van een communicatiedienst met de opdracht gegevens te verstrekken over het communicatieverkeer dat met betrekking tot een bepaalde gebruiker na het tijdstip van de opdracht zal plaatsvinden.

Aanpassing van de relevantietoets bij bulkdatasets

De aanpassing van de beoordelingstermijn van de relevantietoets ten aanzien van bulkdatasets die zijn verworven met bijzondere bevoegdheden is ingegeven door de problematiek dat gegevens die door de inzet van een bijzondere bevoegdheid worden verworven binnen maximaal 1,5 jaar op relevantie moeten worden beoordeeld (op grond art. 27 lid 1 en lid 3 Wiv 2017). Deze termijn is volgens de toelichting in de praktijk problematisch, omdat de gegevens in bulkdatasets vaak langer van waarde zijn voor de onderzoeken van de diensten. Het verstrijken van de beoordelingstermijn kan er dan ook toe leiden dat mogelijk waardevolle gegevens moeten worden vernietigd. De Wiv 2017 biedt echter geen ruimte om deze bulkdatasets langer op relevantie te beoordelen. Dit onderstreept volgens de regering zowel de noodzaak voor deze regeling als een spoedige inwerkingtreding van de Tijdelijke wet en de Nota van wijziging. Zie over deze problematiek de CTIVD-voortgangsrapportages nrs. 66 (2019) en 69 (2020) en het toezichtrapport over het verzamelen van bulkdatasets met de hackbevoegdheid (nr. 70 (2020)).

In de Nota van wijziging wordt verder uitgelegd dat het een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingenonderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde kan zijn, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Het voorgaande brengt mee dat de gegevens in bulkdatasets puzzelstukjes kunnen zijn, die soms jaren na verwerving van een set gegevens een cruciale rol spelen bij inlichtingenonderzoeken. Ook regelt het voorstel dat in – in afwijking van art. 27 lid 1 Wiv 2017 – de gegevens niet zo spoedig mogelijk op relevantie dienen te worden onderzocht.

De regeling zit zo in elkaar dat in de toestemmingsaanvraag aan de CTIVD om een bulkdataset langer te bewaren onderbouwd moet worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar. In dit systeem is dus geen vooraf vastgestelde bewaartermijn voorzien, maar wordt deze per bulkdataset bepaald.

In de toelichting staat dat de noodzakelijkheid van de verlenging kan worden getoetst aan de hand van de volgende objectieve toetsingscriteria:

a. het gebruik van gegevens uit de bulkdataset door de betrokken dienst van het afgelopen jaar of de afgelopen jaren. Hierbij kan, indien relevant, worden meegenomen in hoeverre de bulkdataset de inzet van andere (gerichte) middelen mogelijk heeft gemaakt. Dat kan bijvoorbeeld afgeleid uit het feit in hoeverre informatie uit de bulkdataset in onderzoek is gebruikt of heeft geleid tot exploitatie.

En:

b. de verwachte potentiële bijdrage van gegevens uit de bulkdataset aan onderzoeken van de betrokken dienst gedurende het komende jaar of de komende jaren. De vraag die kan worden gesteld is of naar verwachting de komende periode meer of minder gebruik wordt gemaakt van de bulkdataset. Ook kunnen onderdelen van de bulkdataset meer of minder intensief worden gebruikt in de komende periode, bijvoorbeeld vanwege een verwachte ontwikkeling binnen het onderzoek in het komende jaar.

Hoofdlijnennotitie

De Tijdelijke cyberwet en de Nota van wijziging hebben hun achtergrond in het rapport van de Evaluatiecommissie Wiv 2017 (ook wel de commissie Jones-Bos genoemd, naar haar voorzitster) en het rapport van de Algemene Rekenkamer over de operationele slagkracht van de diensten. Zie voor de duidelijkheid ook deze tijdlijn op de website van de AIVD:

Het demissionaire kabinet was indertijd enthousiast over het rapport en ‘omarmde de analyse, conclusies en aanbevelingen van de commissie’. Indertijd werd aangekondigd dat werd gewerkt aan een algehele wijziging van de Wiv 2017, maar dit heeft tot nu toe alleen geresulteerd in de Tijdelijke wet en de Nota van wijziging.

De andere aanbevelingen van de commissie Jones-Bos behoeven nog steeds opvolging in een algehele wijziging van de Wiv 2017, volgens de  Nota van wijziging. Daar aan vooraf gaat nog een ‘hoofdlijnennotitie’. Qua planning is ‘de verwachting dat het traject tot herziening van de Wiv 2017 binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet het geval zijn, dan zal moeten worden bezien of een traject tot verlenging van de werkingsduur van de Tijdelijke wet moet worden ingezet’.

Uit de  Nota van wijziging is ten slotte nog af te leiden, dat in de hoofdlijnennotitie in ieder geval de uitgangspunten voor een ‘breed en integraal bulkregime’ verwerkt worden (ook voor bulkdatasets verkregen uit algemene bevoegdheden, zoals de informantenbevoegdheid).

Verder blijft de inhoud van de hoofdlijnennotitie en planning voor algehele herziening van de Wiv 2017 vooralsnog onduidelijk.

Privacy en bulkinterceptie in de Wiv 2017

jjoerlemans Een reactie plaatsen
Privacy-en-bulkinterceptie-in-de-Wiv-2017-Oerlemans-en-Hagens-def-1Download

Posted on 14/08/2019 op Oerlemansblog

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht. Zie ook mijn eigen analyse van de big Brother Watch-zaak in mijn annotatie.

annotatie-Big-Brother-Watch-J.J.-Oerlemans-1Download

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.

De Wiv 2017: een technologisch gedreven wet

jjoerlemans Een reactie plaatsen

Posted on op Oerlemansblog

Vorige week is een artikel gepubliceerd van Mireille Hagens en mijzelf over de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Het artikel gaat in op de bijzondere bevoegdheden van onderzoeksopdrachtgerichte interceptie, de hackbevoegdheid, de informantenbevoegdheid en het verzamelen van gegevens op internet. Ook worden belangrijke wijzigingen met betrekking tot toezicht en enkele waarborgen in de wet toegelicht. Hieronder volgt een korte toelichting op de achtergrond en het doel van het artikel.

Achtergrond

Het landschap waarin inlichtingen- en veiligheidsdiensten opereren is in de afgelopen 15 jaar door technologische ontwikkelingen drastisch veranderd. Aan de ene kant betekende dit een beperking van de mogelijkheden van de AIVD en de MIVD, met name met betrekking tot het onderscheppen van de inhoud van communicatie met de bevoegdheden die ze hadden onder de Wet op de inlichtingen- en veiligheidsdienst 2002. Daarin was immers niet voorzien in de bevoegdheid tot bulkinterceptie van de kabel. Aan de andere kant biedt de andere (digitale) context nieuwe mogelijkheden met de bestaande bevoegdheden. Daarmee kunnen immers grotere hoeveelheden (persoons)gegevens worden verkregen. Daarbij kan gedacht worden aan de hackbevoegdheid, de bevoegdheid op vrijwillige basis gegevens te verkrijgen (informantenbevoegdheid) en het verzamelen van gegevens op internet. De verkregen gegevens konden vervolgens met steeds geavanceerder technieken worden geanalyseerd.

Veranderingen in de Wiv

Deze technische ontwikkelingen zijn een belangrijke drijfveer geweest voor de wijzigingen die in de Wiv 2017 zijn vastgelegd. Als tegenwicht voor – onder andere – het mogelijk maken van de nieuwe bevoegdheid tot onderzoeksopdrachtgerichte interceptie op de kabel (ook wel bulkinterceptie genoemd), zijn nieuwe waarborgen en een versterking van het toezicht in de wet gecreëerd. Daarbij kan worden gedacht aan de instelling van de Toetsingscommissie Inzet Bevoegdheden (TIB) en meer waarborgen omtrent het verwerken van gegevens, zoals de introductie van een zorgplicht voor de kwaliteit van gegevensverwerking en het vereiste van een ‘zo gericht mogelijke inzet’. Deze wijzigingen zijn ook deels ingegeven door de jurisprudentie van het Europees Hof van de Rechten van de Mens en aanbevelingen uit toezichtsrapporten van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Artikel

In ons artikel (.pdf) bespreken we de bevoegdheden die een andere dimensie door digitalisering hebben gekregen en de belangrijkste wijzigingen met betrekking tot toezicht en waarborgen in de wet. Daarbij hebben wij ook de laatste ontwikkelingen met betrekking tot de nieuwe Wiv uit april van dit jaar meegenomen die het kabinet heeft aangekondigd als resultaat van de negatieve uitslag van het raadgevend referendum over de nieuwe Wiv op 21 maart 2018. Ook in de toekomst zullen wij ons bezighouden met het schrijven over de Wiv 2017.

Jan-Jaap Oerlemans & Mireille Hagens