Privacy en bulkinterceptie in de Wiv 2017

Posted on 14/08/2019 op Oerlemansblog

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht. Zie ook mijn eigen analyse van de big Brother Watch-zaak in mijn annotatie.

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.

De Wiv 2017: een technologisch gedreven wet

Posted on op Oerlemansblog

Vorige week is een artikel gepubliceerd van Mireille Hagens en mijzelf over de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Het artikel gaat in op de bijzondere bevoegdheden van onderzoeksopdrachtgerichte interceptie, de hackbevoegdheid, de informantenbevoegdheid en het verzamelen van gegevens op internet. Ook worden belangrijke wijzigingen met betrekking tot toezicht en enkele waarborgen in de wet toegelicht. Hieronder volgt een korte toelichting op de achtergrond en het doel van het artikel.

Achtergrond

Het landschap waarin inlichtingen- en veiligheidsdiensten opereren is in de afgelopen 15 jaar door technologische ontwikkelingen drastisch veranderd. Aan de ene kant betekende dit een beperking van de mogelijkheden van de AIVD en de MIVD, met name met betrekking tot het onderscheppen van de inhoud van communicatie met de bevoegdheden die ze hadden onder de Wet op de inlichtingen- en veiligheidsdienst 2002. Daarin was immers niet voorzien in de bevoegdheid tot bulkinterceptie van de kabel. Aan de andere kant biedt de andere (digitale) context nieuwe mogelijkheden met de bestaande bevoegdheden. Daarmee kunnen immers grotere hoeveelheden (persoons)gegevens worden verkregen. Daarbij kan gedacht worden aan de hackbevoegdheid, de bevoegdheid op vrijwillige basis gegevens te verkrijgen (informantenbevoegdheid) en het verzamelen van gegevens op internet. De verkregen gegevens konden vervolgens met steeds geavanceerder technieken worden geanalyseerd.

Veranderingen in de Wiv

Deze technische ontwikkelingen zijn een belangrijke drijfveer geweest voor de wijzigingen die in de Wiv 2017 zijn vastgelegd. Als tegenwicht voor – onder andere – het mogelijk maken van de nieuwe bevoegdheid tot onderzoeksopdrachtgerichte interceptie op de kabel (ook wel bulkinterceptie genoemd), zijn nieuwe waarborgen en een versterking van het toezicht in de wet gecreëerd. Daarbij kan worden gedacht aan de instelling van de Toetsingscommissie Inzet Bevoegdheden (TIB) en meer waarborgen omtrent het verwerken van gegevens, zoals de introductie van een zorgplicht voor de kwaliteit van gegevensverwerking en het vereiste van een ‘zo gericht mogelijke inzet’. Deze wijzigingen zijn ook deels ingegeven door de jurisprudentie van het Europees Hof van de Rechten van de Mens en aanbevelingen uit toezichtsrapporten van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD).

Artikel

In ons artikel bespreken we de bevoegdheden die een andere dimensie door digitalisering hebben gekregen en de belangrijkste wijzigingen met betrekking tot toezicht en waarborgen in de wet. Daarbij hebben wij ook de laatste ontwikkelingen met betrekking tot de nieuwe Wiv uit april van dit jaar meegenomen die het kabinet heeft aangekondigd als resultaat van de negatieve uitslag van het raadgevend referendum over de nieuwe Wiv op 21 maart 2018. Ook in de toekomst zullen wij ons bezighouden met het schrijven over de Wiv 2017.

Jan-Jaap Oerlemans & Mireille Hagens