Tag CTIVD

Nieuwe wetgeving voor inlichtingen- en veiligheidsdiensten

jjoerlemans Een reactie plaatsen

Op 2 december 2022 is het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ naar de Tweede Kamer gestuurd (hierna: Tijdelijke cyberwet).

Daarnaast is op 23 december 2022 de ‘Nota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ (hierna: Nota van wijziging) op internetconsultatie.nl gepubliceerd (reageren kan tot en met 16 januari 2023). De planning is dat deze nota begin april 2023 bij de Tweede Kamer wordt ingediend.

Ten slotte wordt in een Kamerbrief over de voorgenomen wetswijzigingen gesproken over een ‘hoofdlijnennotitie’ op de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2017. Daarin zet de regering haar visie uiteen voor een algehele wijziging van de wet. Deze hoofdlijnnotitie wordt naar verwachting ‘in het eerste kwartaal van 2023’ naar de Tweede Kamer gestuurd.

De Tijdelijke cyberwet en de Nota van wijziging zijn of worden al aan de Tweede Kamer aangeboden, omdat de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie – en de TIB en de CTIVD – van mening zijn dat ‘gelet op de in het geding zijnde belangen van nationale veiligheid en de bescherming van fundamentele rechten op kortst mogelijke termijn via aanpassing van wetgeving dienen te worden geregeld’. De regering verwacht dat de algehele herziening van de Wiv 2017 nog ‘geruime tijd’ zal vergen (zie de Kamerbrief).

In deze blog zet ik de kernpunten van de Tijdelijke cyberwet en Nota van wijziging op een rij. Daarbij sluit ik aan op de memorie van toelichting en onthoud ik mij verder van commentaar. Ik beoog daarmee een neutrale weergave van de wetgeving te geven.  Dit bericht wordt t.z.t. geüpdatet als de hoofdlijnennotitie beschikbaar is.

Tijdelijke cyberwet

Het doel van de Tijdelijke cyberwet is om de AIVD en de MIVD meer operationele armslag te bieden inlichtingen te verzamelen over de offensieve cyberprogramma’s van statelijke actoren, zoals Rusland en China.

Het wetvoorstel voorziet in een aantal wijzigingen ten aanzien van de inzet van bepaalde bijzondere bevoegdheden voor bulkinterceptie (dit wordt ‘onderzoeksopdracht gerichte interceptie’ (ook wel: OOG-interceptie) in de Wiv 2017 genoemd) en de hackbevoegdheid. Deze aanpassingen worden alleen mogelijk gemaakt voor zover deze bevoegdheden worden ingezet bij de uitvoering van onderzoeksopdrachten die te maken hebben met offensieve cyberprogramma’s van statelijke actoren. Door op bepaalde punten de toetsing van de inzet van deze bijzondere bevoegdheden te verschuiven van de Toetsingscommissie Inzet Bevoegdheden (TIB) naar bindend toezicht op de uitoefening ervan door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), wordt de operationele armslag van de diensten vergroot en zou de uitvoering van deze bevoegdheden beter aansluiten bij het toezicht.

Met betrekking tot de bijzondere bevoegdheden gaat het concreet om de volgende voorstellen:

  1. Het schrappen van de rechtmatigheidstoets van de TIB bij het ‘verkennen’ bij de uitvoering van de hackbevoegdheid (art. 45 Wiv 2017) (dus voordat op computers (geautomatiseerde werken) wordt binnengedrongen). Het hoofd van de dienst moet daartoe toestemming geven. De CTIVD houdt daarop (bindend) toezicht. Het doel van de wijziging is de drempel voor het verkennen te verlagen. Het verkennen dient ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap. Het verkennen van geautomatiseerde werken maakt ook een minder vergaande inbreuk op fundamentele rechten dan het binnendringen. De wijziging heeft tot doel de snelheid en effectiviteit van de inzet van de hackbevoegdheid te verhogen.
  1. Het vergroten van de mogelijkheden tot “bijschrijven” ten aanzien van de hackbevoegdheid (art. 45 lid 8 Wiv 2017), de bevoegdheid tot het gericht intercepteren van communicatie (art. 47 lid 7 Wiv 2017) en het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten (art. 54 Wiv 2017). De achtergrond van deze wijziging is ingegeven, omdat de TIB de wet zodanig uitlegt dat er een exclusiviteitscriterium zou gelden (de wet spreekt namelijk over een geautomatiseerd werk van een persoon of organisatie). Met de wijziging dat het bij te schrijven geautomatiseerd werk ‘in gebruik is’ bij een persoon of organisatie, is duidelijk dat de AIVD en de MIVD kunnen overgaan tot “bijschrijving” bij de uitvoering van de hackbevoegdheid als de statelijke actor van server wisselt bij hun activiteiten. Dan is duidelijk dat er geen sprake hoeft te zijn van eigendom over het geautomatiseerde werk en het bijvoorbeeld ook kan gaan om gedeelde systemen waar een target gebruik van maakt. De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.
  1. Het schrappen van de voorafgaande toets van de TIB op de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid (art. 45 lid 4 sub a en sub b Wiv 2017). In de memorie van toelichting staat dat de vooraf ‘bekende’ technische risico’s onderdeel zijn van de proportionaliteitstoets van de TIB. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds. In de praktijk is een spanningsveld ontstaan op deze toets op technische risico’s door de TIB, omdat het niet mogelijk zou zijn voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien. Wel moeten in de aanvraag nog steeds de relevante technische aspecten aan de orde dient te komen die de minister nodig heeft om tot een geïnformeerd oordeel te komen. Het gaat dan om technische informatie, inclusief risico’s, die op het moment van de aanvraag bekend is. Volgens de toelichting kan de TIB in het kader van haar proportionaliteitstoets dus wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een “hoger abstractieniveau” hebben. De CTIVD houdt verder toezicht op de technische risico’s bij de uitvoering van de hackbevoegdheid.
  1. De introductie van de mogelijkheid tot het verkennen ten behoeve van OOG-interceptie (art. 48 Wiv 2017), met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming tot OOG-interceptie betrekking dient te hebben (ook wel ‘snapshotten’ genoemd). Daarbij wordt het gerichtsheidsvereiste voor dit verkennen buiten werking gesteld. Er is wel toestemming van de minister en toetsing hiervan door de TIB vereist. De toestemming wordt verleend voor een periode van ten hoogste een jaar. De geïntercepteerde gegevens moeten na een periode van ten hoogste zes maanden worden vernietigd, als ze niet bijdragen aan het doel van de verwerking. De achtergrond van de introductie van de bevoegdheid tot het verkennen bij OOG-interceptie is de gevoelde noodzaak dat met de bevoegdheid kan worden onderbouwd waarom kan worden overgegaan tot kabelinterceptie (omdat er verkeer dat relevant is voor onderzoeksopdrachten langs de fiber op de kabel stroomt). De wijziging is ook ingegeven door CTIVD-rapport nr. 75 (2022), waarin de CTIVD constateert dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.
  1. De beperking van de proportionaliteitstoets en gerichtheidstoets van de TIB bij OOG-interceptie. In de toelichting is te lezen dat daarbij ‘met name’ de volgende aspecten mogen worden betrokken: a. een indicatie van de te verwerven gegevensstromen en b. een indicatie van de wijze waarop de reductie van gegevens binnen de gehele keten van verwerving invulling krijgt. De achtergrond van deze wijziging is volgens de toelichting dat ‘juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens’. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten. Het voorstel zou een oplossing moeten bieden ‘voor de verschillende zienswijzen ter zake van de Ministers en de TIB over de toepassing van het gerichtheidscriterium bij OOG-interceptie’.
  1. Het vervallen van de voorafgaande rechtmatigheidstoets van de TIB bij de bijzondere bevoegdheid tot ‘geautomatiseerde data analyse’ op OOG-interceptie (art. 50 lid 4 Wiv 2017). De CTIVD houdt bindend toezicht op de uitvoering van deze bijzondere bevoegdheid. De achtergrond is dat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, waardoor op voorhand niet is te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten (zie in dat kader ook mijn artikel ‘Metadata-analyse in de Wiv 2017’, Privacy & Informatie 2020, nr. 6, p. 260-267). De toets op voorhand sluit niet goed aan bij dit dynamische proces van gegevensverwerking. Ook ten aanzien van deze bijzondere bevoegdheid krijgt de CTIVD bindend toezicht.

Over de voorgestelde wijzigingen en achtergrond met betrekking tot deze bijzondere bevoegdheden is meer te lezen in dit NJB-artikel van Sophie Harleman.

Op de (bindende) besluiten van de TIB en de CTIVD, wordt in het kader van dit wetsvoorstel een ‘beroepsmogelijkheid’ gecreëerd bij de (hoogste) bestuursrechter, de Afdeling bestuursrecht van de Raad van State (ABRvS). Andere bepalingen uit het wetsvoorstel gaan over het proces dat wordt doorlopen als de ministers (AIVD en/of MIVD) van deze beroepsprocedure gebruik maken. In tegenstelling tot de versie van afgelopen zomer op internetconsultatie.nl, zijn de uitspraken van de ABRvS in beginsel nu wel openbaar.

Het idee is dat de bepalingen in deze tijdelijke wet op termijn onderdeel uitmaken van de hoofdlijnennotitie dat als basis moet dienen voor een wetsvoorstel voor de algehele wijziging van de Wiv. De wijzigingen kunnen daarmee een doorwerking krijgen op de algehele wijziging. Over de wijzigingen met betrekking tot het toezichtstelsel is meer te lezen in dit NJB-artikel van Rowin Jansen

Nota van wijziging

De Nota van wijziging regelt de volgende drie onderwerpen:

  1. De introductie van een rechtmatigheidstoets van de TIB na toestemming voor de inzet van de zogeheten “stomme tap”. Dat wil zeggen een vordering voor ‘real time’ verkeers- en locatiegegevens bij aanbieders van communicatiediensten.
  1. De introductie van de mogelijkheid de beoordelingstermijn ten behoeve van de toets op relevantie, na de verwerving van bulkdatasets met een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017), telkens met een jaar te verlengen. De CTIVD moet (bindend) toestemming geven voor de verlenging of kan de verlenging afkeuren. Bij afkeuring kunnen de ministers/diensten ‘in beroep’ gaan bij de ABRvS.
  1. Een overgangsregeling voor bulkdatasets die op grond van een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017) zijn verzameld, voordat de deze wet in werking treedt en nog aan de relevantietoets van art. 27 Wiv 2017 zijn onderworpen. 

De Nota wijzigt de Tijdelijke cyberwet. Het is echter belangrijk te realiseren dat de reikwijdte van de Nota vervolgens breder is dan de Tijdelijk wet, omdat het ook werking heeft voor alle andere inlichtingenonderzoeken van de diensten. Bulkdatasets en de inzet van de stomme tap zijn namelijk ook belangrijk bij andere onderzoeken, ook buiten het ‘cyberdomein’, aldus de (concept)memorie van toelichting.

Aanpassing van de regeling omtrent de ‘stomme tap’

De aanpassing van artikel 55 Wiv 2017 voor de zogeheten “stomme tap” is ingegeven door de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2020 (zie ook HvJ EU 6 oktober 2020, C-511/18, C512/18 en C-520/18, ECLI:EU:C:2020:791 (La Quadrature du Net e.a./Premier ministre e.a.) (zie ook onze annotatie in JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens). In deze zaak waren door de Franse Raad van State en het Belgische Constitutionele Hof enkele prejudiciële vragen voorgelegd, onder meer over het in  real time verzamelen van verkeers- en locatiegegevens. Dit zou naar het oordeel van het HvJ EU alleen zijn toegestaan als een dergelijk besluit onderworpen is een voorafgaande bindende toetsing door een rechter of een onafhankelijke administratieve autoriteit, waarbij wordt vastgesteld dat deze maatregel zich beperkt tot wat strikt noodzakelijk is. In de toelichting is te lezen dat ‘hoewel de uitspraak in deze prejudiciële zaak direct van betekenis is voor de rechterlijke instantie die de prejudiciële zaak aanhangig heeft gemaakt en aan deze uitspraak is gebonden, heeft deze uitspraak uiteraard ook (indirect) effect voor de andere lidstaten van de Unie. Immers het ligt in de rede dat in vergelijkbare zaken een vergelijkbaar oordeel zal worden geveld’.

Om bovenstaande reden wordt de Nederlandse wetgeving met het arrest in lijn gebracht voor de bijzondere bevoegdheid tot het in real time verzamelen van verkeers- en locatiegegevens (artikel 55 lid 1 Wiv 2017). Na toestemming van de minister en een rechtmatigheidstoets van de TIB kunnen de AIVD en de MIVD zich wenden tot een aanbieder van een communicatiedienst met de opdracht gegevens te verstrekken over het communicatieverkeer dat met betrekking tot een bepaalde gebruiker na het tijdstip van de opdracht zal plaatsvinden.

Aanpassing van de relevantietoets bij bulkdatasets

De aanpassing van de beoordelingstermijn van de relevantietoets ten aanzien van bulkdatasets die zijn verworven met bijzondere bevoegdheden is ingegeven door de problematiek dat gegevens die door de inzet van een bijzondere bevoegdheid worden verworven binnen maximaal 1,5 jaar op relevantie moeten worden beoordeeld (op grond art. 27 lid 1 en lid 3 Wiv 2017). Deze termijn is volgens de toelichting in de praktijk problematisch, omdat de gegevens in bulkdatasets vaak langer van waarde zijn voor de onderzoeken van de diensten. Het verstrijken van de beoordelingstermijn kan er dan ook toe leiden dat mogelijk waardevolle gegevens moeten worden vernietigd. De Wiv 2017 biedt echter geen ruimte om deze bulkdatasets langer op relevantie te beoordelen. Dit onderstreept volgens de regering zowel de noodzaak voor deze regeling als een spoedige inwerkingtreding van de Tijdelijke wet en de Nota van wijziging. Zie over deze problematiek de CTIVD-voortgangsrapportages nrs. 66 (2019) en 69 (2020) en het toezichtrapport over het verzamelen van bulkdatasets met de hackbevoegdheid (nr. 70 (2020)).

In de Nota van wijziging wordt verder uitgelegd dat het een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingenonderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde kan zijn, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Het voorgaande brengt mee dat de gegevens in bulkdatasets puzzelstukjes kunnen zijn, die soms jaren na verwerving van een set gegevens een cruciale rol spelen bij inlichtingenonderzoeken. Ook regelt het voorstel dat in – in afwijking van art. 27 lid 1 Wiv 2017 – de gegevens niet zo spoedig mogelijk op relevantie dienen te worden onderzocht.

De regeling zit zo in elkaar dat in de toestemmingsaanvraag aan de CTIVD om een bulkdataset langer te bewaren onderbouwd moet worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar. In dit systeem is dus geen vooraf vastgestelde bewaartermijn voorzien, maar wordt deze per bulkdataset bepaald.

In de toelichting staat dat de noodzakelijkheid van de verlenging kan worden getoetst aan de hand van de volgende objectieve toetsingscriteria:

a. het gebruik van gegevens uit de bulkdataset door de betrokken dienst van het afgelopen jaar of de afgelopen jaren. Hierbij kan, indien relevant, worden meegenomen in hoeverre de bulkdataset de inzet van andere (gerichte) middelen mogelijk heeft gemaakt. Dat kan bijvoorbeeld afgeleid uit het feit in hoeverre informatie uit de bulkdataset in onderzoek is gebruikt of heeft geleid tot exploitatie.

En:

b. de verwachte potentiële bijdrage van gegevens uit de bulkdataset aan onderzoeken van de betrokken dienst gedurende het komende jaar of de komende jaren. De vraag die kan worden gesteld is of naar verwachting de komende periode meer of minder gebruik wordt gemaakt van de bulkdataset. Ook kunnen onderdelen van de bulkdataset meer of minder intensief worden gebruikt in de komende periode, bijvoorbeeld vanwege een verwachte ontwikkeling binnen het onderzoek in het komende jaar.

Hoofdlijnennotitie

De Tijdelijke cyberwet en de Nota van wijziging hebben hun achtergrond in het rapport van de Evaluatiecommissie Wiv 2017 (ook wel de commissie Jones-Bos genoemd, naar haar voorzitster) en het rapport van de Algemene Rekenkamer over de operationele slagkracht van de diensten. Zie voor de duidelijkheid ook deze tijdlijn op de website van de AIVD:

Het demissionaire kabinet was indertijd enthousiast over het rapport en ‘omarmde de analyse, conclusies en aanbevelingen van de commissie’. Indertijd werd aangekondigd dat werd gewerkt aan een algehele wijziging van de Wiv 2017, maar dit heeft tot nu toe alleen geresulteerd in de Tijdelijke wet en de Nota van wijziging.

De andere aanbevelingen van de commissie Jones-Bos behoeven nog steeds opvolging in een algehele wijziging van de Wiv 2017, volgens de  Nota van wijziging. Daar aan vooraf gaat nog een ‘hoofdlijnennotitie’. Qua planning is ‘de verwachting dat het traject tot herziening van de Wiv 2017 binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet het geval zijn, dan zal moeten worden bezien of een traject tot verlenging van de werkingsduur van de Tijdelijke wet moet worden ingezet’.

Uit de  Nota van wijziging is ten slotte nog af te leiden, dat in de hoofdlijnennotitie in ieder geval de uitgangspunten voor een ‘breed en integraal bulkregime’ verwerkt worden (ook voor bulkdatasets verkregen uit algemene bevoegdheden, zoals de informantenbevoegdheid).

Verder blijft de inhoud van de hoofdlijnennotitie en planning voor algehele herziening van de Wiv 2017 vooralsnog onduidelijk.

Overzicht Inlichtingen en Recht – oktober 2020

jjoerlemans

In dit nieuwe overzicht over ‘Inlichtingen en recht’ wordt periodiek een overzicht gegeven van relevante rapporten, Kamerstukken en jurisprudentie over inlichtingen, nationale veiligheid en recht. Het doel is de kern van de stukken te vatten en op deze wijze de nodige kennis te verschaffen aan geïnteresseerden.

Deze klus doe ik samen Sophie Harleman. Zij is vanaf 1 september 2020 als promovenda door de Universiteit Utrecht aangesteld in het kader van mijn leerstoel ‘Inlichtingen en Recht’. Mr. S.A.M. Harleman is verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en het Willem Pompe Instituut voor Strafrechtwetenschappen van de Universiteit Utrecht.

Voortgangsrapportage IV over de implementatie Wiv 2017

In onderstaande blogpost ga ik (Sophie) in op de belangrijkste constateringen van de CTIVD in de laatste en vierde voortgangsrapportage over de Wiv 2017. De CTIVD concludeert dat de implementatie van de Wiv 2017 nog niet volledig is afgerond.

Een kernpunt van de rapportage is dat de CTIVD de achterstand in het implementatieproces van de Wiv 2017 te wijten acht aan onvoldoende aandacht voor de implementatie van de wet bij de totstandkoming. In hun beleidsreactie geven de ministers van BZK en Defensie aan het hiermee eens te zijn. Desalniettemin vinden zowel de ministers als de CTIVD dat de diensten een goede koers hebben ingezet. Een belangrijke rol speelt daarbij de verdere verankering van de zorgplicht op de kwaliteit van de gegevensverwerking. De AIVD heeft het zorgplichtstelsel volgens de CTIVD nu op orde, waardoor het risico voor die dienst wordt bijgesteld van beperkt naar geen. Voor de MIVD wordt het risico bijgesteld van gemiddeld naar beperkt. De diensten hebben volgens het rapport echter nog onvoldoende bereikt als het gaat om de vertaalslag van wet naar praktijk. Voor de speciale bevoegdheid van onderzoeksopdrachtgerichte interceptie (“OOG-I”) is de vertaalslag overigens niet te beoordelen, nu die bevoegdheid nog niet is ingezet.

Voor wat betreft de relevantiebeoordeling oordeelt de CTIVD dat een risico op onrechtmatigheden blijft bestaan door een grote vrijheid voor ontwikkelaars om op decentraal niveau oplossingen te zoeken en systemen in te richten. De kritiek van de CTIVD is niet onopgemerkt gebleven. Huib Modderkolk spreekt bijvoorbeeld van ‘zorgen bij de toezichthouder’.

Meer specifiek onderscheidt de CTIVD in de vierde en laatste voortgangsrapportage de volgende (knel)punten die nadere aandacht behoeven in het kader van de wetsevaluatie:

  • Datareductie

De CTIVD acht het in zijn geheel of grotendeels relevant beoordelen van bulkdatasets door de diensten onrechtmatig. De Wiv 2017 biedt hiervoor geen ruimte. De CTIVD is van mening dat de aard van de gegevensset doorslaggevend behoort te zijn. Bulkdatasets, ongeacht of deze zijn verkregen door OOG-I, vereisen in het licht daarvan bijzondere wettelijke waarborgen. In Toezichtsrapport 70 en 71 gaat de CTIVD verder in op het verzamelen van bulkdatasets met de hackbevoegdheid. Volgens de CTIVD is er sprake van een onrechtmatigheid bij het zo spoedig mogelijk beoordelen op relevantie van bulkdatasets. Er blijft een gemiddeld risico bestaan op onrechtmatig handelen voor de AIVD als het gaat om relevantiebeoordeling. De verdere risico’s blijven volgens de toezichthouder beperkt. Voor de MIVD geldt een hoog risico voor de wijze waarop onomkeerbare vernietiging plaatsvindt. Het risico m.b.t. de relevantiebeoordeling wordt verlaagd van hoog naar gemiddeld. Wat betreft het relevantiebegrip en de termijn stelt de CTIVD het risico voor de MIVD vast op beperkt.  Opvallend is dat de ministers van BZK en Defensie het oordeel van de CTIVD dat de relevantiebeoordeling van bulkdatasets onrechtmatig is uitgevoerd, niet delen. Het is daarom goed, aldus de beleidsreactie van de ministers, dat de evaluatiecommissie dit onderwerp betrekt bij de evaluatie van de Wiv 2017.

  • Geautomatiseerde data-analyse (GDA)

Ook bij geautomatiseerde data-analyse verloopt het implementatieproces volgens de CTIVD moeizaam. De algemene bevoegdheid van GDA (neergelegd in artikel 60 Wiv 2017) kan zonder waarborgen toegepast worden op het verzamelen of verkrijgen van bulkdatasets met toepassing van andere bevoegdheden dan OOG-I. De toezichthouder vindt dat een onderscheid naar eenvoudige of complexe vormen van GDA niet leidend mag zijn. Ook acht de CTIVD van belang dat de geautomatiseerde analyse van metadata (m.u.v. OOG-I) in de Wiv 2017 niet met aanvullende waarborgen is omgeven, terwijl uit jurisprudentie van het EHRM en van het HvJ EU blijkt dat metadata-analyse een zwaarwegende inmenging op het recht op privacy inhoudt (respectievelijk uit Big Brother Watch e.a. en Tele2 Sverige AB/Watson). Voldoende waarborgen zijn daarbij dus wel degelijk nodig. Desalniettemin verlaagt de CTIVD het risico voor GDA-60 van hoog naar gemiddeld. Het risico voor GDA-50 blijft op gemiddeld staan.

  • Internationale samenwerking

De toezichthouder vindt de niet-afgeronde inhoudelijke aanpassing van wegingsnotities (een schriftelijke verantwoording van een beslissing tot samenwerking met buitenlandse diensten) in combinatie met onverminderde samenwerking met buitenlandse diensten risicovol. Daarnaast onderscheidt de CTIVD een belangrijk zorgpunt bij het delen van bulkdatasets met buitenlandse diensten, gezien het gebruik van een ruimere toepassing van de reeds genoemde relevantiebeoordeling. In dit licht behoeft de definiëring van de begrippen ‘geëvalueerde’ en ‘ongeëvalueerde’ nadere aandacht bij de wetsevaluatie.

De CTIVD sluit af met de opmerking dat zij met deze rapportage een bijdrage wil leveren aan de wetsevaluatie, en dat zij onderwerpen die relevant zijn voor de evaluatie ook buiten deze rapportage zal aandragen bij de evaluatiecommissie.

Sophie Harleman

CTIVD-rapport over de hackbevoegdheid

De CTIVD heeft op 22 september 2020 twee toezichtsrapporten gepubliceerd. Rapport nr. 70 gaat over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD. Rapport nr. 71 gaat over het verzamelen en verder verwerken van passagiersgegevens van luchtvaartmaatschappijen door de AIVD en MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De belangrijkste conclusies van het rapport ver de hackbevoegdheid zijn dat van de zestien onderzochte operaties, in drie van de door de AIVD aangevraagde operaties gegevens zijn verzameld nadat een toestemmingsverzoek door de Toetsingscommissie Inzet Bevoegdheden (TIB) is afgewezen. Dit is onrechtmatig. Snel na deze constatering zijn de datasets door de AIVD vernietigd. Veel dingen gingen goed, zoals het opruimen van de ‘technische hulpmiddelen’ in de systemen en het (voor zover mogelijk) aantekening houden door de gezamenlijke uitvoerende afdeling ‘Computer Network Exploitation’ (CNE).

De CTIVD constateert ook dat de toets in art. 27 Wiv 2017 – dat gegevens zo spoedig mogelijk op relevantie moeten worden beoordeeld – in de praktijk niet goed uitvoerbaar is. De diensten hebben in de onderzoeksperiode in een aantal gevallen bulkdatasets gedeeltelijk of integraal relevant verklaard, ondanks dat het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. De CTIVD geeft aan dat door deze handeling de gegevens nu ‘in het betekenisregime zitten’ zonder definitieve vernietigingstermijn. De CTIVD beschouwt deze wijze van relevantiebeoordeling als een ‘kunstgreep om de bewaartermijn van de datasets in kwestie te verlengen, het is immers onrechtmatig om datasets met voor het merendeel niet-relevante gegevens relevant te verklaren’.

In de beleidsreactie onderstrepen de beide ministers de noodzaak van het gebruik van bulkdatasets door de diensten. Hoewel hoogst ongebruikelijk, geven de ministers aan waarvoor de gegevens in de bulkdatasets gebruikt zijn: voor het onderkennen van locaties van Nederlandse uitreizigers in (voormalig) ISIS-gebied (onder andere van wie het Nederlanderschap is ingetrokken), voor onderzoek naar de inzet van ‘Improvised Explosive Devices’ (IED’s) tegen Nederlandse militairen, voor onderzoek van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland en voor het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrië in 2016/2017.

Het is ook ongebruikelijk dat de ministers het oneens zijn met twee conclusies en aanbevelingen in het rapport. Het onrechtmatigheidsoordeel over de relevantieverklaring en het advies tot vernietiging over te gaan van bepaalde bulkdatasets wordt ‘niet opgevolgd’. Zij achten de vernietiging ‘onverantwoord’. In de tussentijd passen de AIVD en de MIVD interne aanvullende waarborgen toe, zoals een strikt autorisatieregime en herbeoordeling voor het bewaren van de gegevens.

Jan-Jaap Oerlemans

CTIVD-rapport over passagiersgegevens

Op 22 september 2020 heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) ook rapport nr. 71 over de verzameling en verdere verwerking van passagiersgegevens van luchtvaartmaatschappijen gepubliceerd. In de onderzoeksperiode van 1 januari 2019 tot 1 september 2019 stonden in de database van de AIVD de gegevens van miljoenen personen. Het betreft daarmee ook een bulkdataset; gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De ‘Advanced Passenger Information’-database wordt door de Koninklijke Marechaussee (Kmar) aangelegd na verstrekking van API-gegevens door luchtvaartmaatschappijen op grond van de EU-richtlijn 2004/82/EG (API-richtlijn). API-gegevens zijn bijvoorbeeld gegevens over nationaliteit, volledige naam, geboortedatum, geslacht, vluchtnummer en het eerste instappunt (zie ook Stb. 2012, 688). De KMar verwerkt de gegevens ten behoeve van haar eigen taaktuitvoering; de uitvoering van de grenscontrole. De AIVD verzamelt de API-gegevens van de KMar op ‘structurele en geautomatiseerde wijze’ op grond van een algemene bevoegdheid, in dit geval de informantenbevoegdheid (artikel 39 Wiv 2017). De gegevens worden bijvoorbeeld verwerkt in het kader van onderzoeken naar organisaties en personen die een bedreiging voor de nationale veiligheid vormen. Daarnaast worden de gegevens gebruikt in veiligheidsonderzoeken.

De CTIVD concludeert in het rapport dat de Wiv 2017 de ruimte geeft de bulkdataset aan passagiersgegevens structureel en geautomatiseerd te verzamelen met de informantenbevoegdheid. Ook mogen de gegevens verder worden verwerkt, onder andere door middel van ‘geautomatiseerde data-analyse’. Daarnaast zijn andere dingen onrechtmatig, zoals het niet-uitvoeren van een schriftelijke toets op noodzakelijkheid, proportionaliteit en subsidiariteit voor de verzameling van de gegevens en niet toepassen van het eigen beleid ‘Werken met grote datasets’ door de AIVD en de MIVD. Ook merkt de toezichthouder op dat de diensten toegang kunnen krijgen tot PNR-gegevens op basis van de PNR-richtlijn 2016/681/EU. Dat betreft een grotere set aan gegevens, omdat het vluchten binnen de EU betreft en – naast API-gegevens – gaat over gegevens over de reservering, contactgegevens, betaalgegevens en bagage-informatie.

Vanwege de grootte van de dataset vraagt de CTIVD in het rapport zich af of een dergelijke invulling van de informantenbevoegdheid voldoende voorzienbaar is voor de burger. De toezichthouder geeft mee in de Wet op de inlichtingen- en veiligheidsdiensten een specifieke regeling op te nemen voor het verzamelen en verder verwerken van bulkdatasets.

Jan-Jaap Oerlemans

Wetsvoorstel Zerodays

Het initiatiefvoorstel Zerodays van het lid Verhoeven is in behandeling bij de Tweede Kamer. Zerodays zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. De initiatiefnemer van het voorstel is van mening dat de huidige regeling rondom zerodays niet werkt. De Raad van State staat in haar advies overigens duidelijk negatief tegenover het wetsvoorstel.

Het wetsvoorstel is in juni 2020 gewijzigd. Er is met de wijziging een behandeltermijn van vier weken voor onbekende kwetsbaarheden ingevoegd. Ook moet het orgaan ter beoordeling van kwetsbaarheden informatie verzamelen over de potentiële gevolgen van het openhouden van een kwetsbaarheid voor de samenleving, alvorens een onbekende kwetsbaarheid te beoordelen. Op 23 september 2020 is het gewijzigde voorstel plenair behandeld. Door de leden Buitenweg en Middendorp zijn verscheidene moties ingediend. Op 13 oktober 2020 is de stemming over het wetsvoorstel voor de derde keer uitgesteld.

Op 12 oktober 2020 is een tweede nota van wijziging ingediend het lid Verhoeven, de initiatiefnemer. Hij is van mening dat het initiële voorstel om te voorzien in beoordelingsorgaan voor kwetsbaarheden, bestaande uit verschillende ministeries en organisaties, teveel weerstand oproept. De wijzigingsnota ziet dan ook op het weglaten van een dergelijk orgaan. Wel moet er voor alle overheidsorganen een goed afwegingskader komen voor de inzet van onbekende kwetsbaarheden. Ook mogen bedrijven waarvan de Nederlandse overheid hacksoftware koopt, volgens het initiatiefvoorstel geen zaken doen met landen die op de EU of VN sanctielijsten staan. Voor inlichtingendiensten geldt dat zij dit moeten meenemen in hun weging bij aankoop van dergelijke software.

Privacyorganisatie Bits of Freedom heeft zich overigens op Twitter al afgevraagd of de wijziging inhoudt dat de politie nu zelf de afweging kan maken omtrent zerodays, in plaats van dat een (semi-) onafhankelijk commissie dit doet. Ook het gewijzigde voorstel roept dus vast op verschillende fronten weerstand op. Het blijft voorlopig afwachten.

Sophie Harleman

Wijzigingswet Wiv 2017

Het wetsvoorstel ‘Wijzigingswet Wiv 2017’ is op 9 juni 2020 aangenomen in de Tweede Kamer. De wet betreft onder meer een wijziging ten aanzien van het gerichtheidsvereiste. Het gerichtheidsvereiste houdt volgens de memorie van toelichting op het wetsvoorstel in: ‘in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus’ (Kamerstukken II 2018/19, 35242, 3, p. 4-5). De te vergaren gegevens moeten daarbij worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object.

De gewijzigde Wiv 2017 biedt deze extra waarborg voor bescherming van fundamentele rechten, omdat het vereiste, door het toe te voegen aan artikel 26 Wiv 2017, gaat gelden voor alle bevoegdheden , in plaats van slechts voor de bijzondere bevoegdheden in de Wiv 2017. Ook ziet een wijziging op het delen van ongeëvalueerde gegevens met buitenlandse diensten. De meldplicht aan de CTIVD wordt uitgebreid tot elke verstrekking van ongeëvalueerde gegevens aan een buitenlandse dienst, ongeacht de bevoegdheid waarmee deze zijn verworven. Op 15 juli 2020 is het voorlopig verslag (.pdf) over het wetsvoorstel verschenen. De leden van de fractie van GroenLinks, PvdA, PV en PvdD hebben vragen gesteld over het wetsvoorstel. Hieronder bespreek ik (Sophie) kort enkele door de fractieleden opgeworpen vragen.

GroenLinks en de PvdA vragen zich af in hoeverre de regering meent dat zij met het wetsvoorstel tegemoetkomt aan de zorgen die blijken uit de uitslag van het referendum. Daarnaast vragen leden van de GroenLinks-fractie zich af op welke wijze de positie van journalisten, advocaten en medici in het wetsvoorstel is verbeterd n.a.v. de consultatiereacties en het advies van de Raad van State. De leden van de PVV-fractie is benieuwd of de regering kan duiden hoe er met dit voorstel precies tegemoet wordt gekomen aan de zorgen in de samenleving, onder andere over de bescherming van advocaten en journalisten.

Als het gaat over samenwerkingsverbanden met andere diensten, willen de leden van de GroenLinks-fractie graag weten of de wegingsnotitie en het afwegingskader dat daarbij hoort, gedeeld kan worden met de Eerste Kamer. Daarnaast hebben zij verdere vragen over de samenwerkingsverbanden en over de mogelijkheid van het verstrekken van ongeëvalueerde gegevens aan diensten van landen waarmee geen samenwerkingsrelatie bestaat (zoals is neergelegd in artikel 64 van de Wiv 2017). Een specifieke vraag van de fractie is bijvoorbeeld: Is het mogelijk dat data wordt gedeeld met diensten die gebruik maken van gezichtsherkenningstechnologie of technologie van Clearview AI? Ook stellen zij vragen over het vergaren van informatie buiten onderzoeksopdrachtgerichte intercepties en de toetsing daarvan. De leden van de PvdA-fractie en de PvdD-fractie zitten met soortgelijke vragen over de uitwisseling van geëvalueerde gegevens. Door de PvdD fractieleden wordt de vraag gesteld waarom in deze context de bescherming ten aanzien van verschoningsgerechtigden (journalisten en advocaten) niet explicieter is gemaakt.

De leden van de PVV-fractie stellen in deze context de opvallende vraag of de regering nader kan onderbouwen waarom het mogelijk niet kunnen verstrekken van ongeëvalueerde gegevens aan andere diensten überhaupt een onaanvaardbaar risico voor de nationale veiligheid zou zijn.

Wat betreft het gerichtheidscriterium stellen de leden van de PvdA-fractie de vraag of de regering voorziet dat het criterium ‘zo gericht mogelijk’ in de toekomst nog nader wordt gespecificeerd. Verder zijn de leden benieuwd welke juridische voorzieningen de regering treft om de ‘zo gericht mogelijke’ behandeling van door informanten verkregen bulkdata af te dwingen. De leden van de PvdD-fractie vragen zich af waarom het gerichtheidscriterium, niet in de wet is opgenomen. Tot slot hebben ook de leden van de PVV-fractie verscheidene vragen over de eisen die aan het gerichtheidscriterium worden gesteld.

Het is interessant te bezien hoe de regering in de memorie van antwoord op deze vragen in zal gaan. Na verschijning van de memorie van antwoord zal dit bericht geupdate worden.

Sophie Harleman

Uitspraken HvJ EU over dataretentie

Op 6 oktober 2020 heeft het Hof van Justitie van de Europese Unie (HvJ EU) verscheidene arresten gewezen over het in bulk verstrekken van communicatiegegevens aan inlichtingen- en veiligheidsdiensten. Het betreft de zaken Privacy International (C-623/17) en samengevoegde zaken La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18) en Ordre des barreaux francophones et germanophone and Others (C-520/18).

De afgelopen jaren heeft het Hof van Justitie van de Europese Unie zich in verscheidene zaken uitgesproken over het opslaan van en toegang tot persoonsgegevens op het gebied van elektronische communicatie. Een opvallende uitspraak van het Hof is de Tele2 Sverige (C-203/15) uitspraak, waarin het Hof besliste dat lidstaten niet van aanbieders van elektronische communicatienetwerken en – diensten (hierna: providers) konden verlangen op een ongerichte en algemene wijze verkeers- en locatiegegevens te bewaren (zogenoemde metadata). In de uitspraken van het Hof van 6 oktober 2020 speelt, net als in Tele2 Sverige, de Europese richtlijn betreffende privacy en elektronische communicatie (Richtlijn 2002/58/EG) een centrale rol. Deze richtlijn ziet specifiek op de verwerking van persoonsgegevens door elektronische communicatiediensten.

Het Hof beslist in Privacy International allereerst dat zowel nationale wetgeving die providers verplicht verkeers- en locatiegegevens vast te houden, als wetgeving die ze verplicht de gegevens te overhandigen aan de inlichtingen- en veiligheidsdiensten, onder de reikwijdte van de richtlijn valt (par. 49).

Vervolgens buigt het Hof zich over de vraag of de richtlijn nationale wetgeving uitsluit die een overheidsinstantie de mogelijkheid verschaft van providers te eisen dat zij algemene en ongerichte verkeers- en locatiegegevens overdragen aan de inlichtingen- en veiligheidsdiensten, als deze overdracht als doel heeft de nationale veiligheid te waarborgen. Deze vraag is van belang gelet op artikel 4, lid 2 van het Verdrag betreffende de Europese Unie, dat o.a. luidt: “Met name de nationale veiligheid blijft de uitsluitende verantwoordelijkheid van elke lidstaat.”

Verkeers- en locatiegegevens mogen volgens artikel 5 van de privacy en elektronische communicatierichtlijn niet zonder toestemming worden opgeslagen of verstrekt aan derden, ook niet aan inlichtingen- of veiligheidsdiensten. De uitzondering op deze regel is neergelegd in artikel 15, lid 1 van de richtlijn: het mag wel wanneer er sprake is van een noodzakelijke, subsidiaire en proportionele maatregel in een democratische samenleving, die als doel heeft de nationale veiligheid en openbare veiligheid te waarborgen, criminaliteit te voorkomen en te bestrijden, of misbruik van het elektronische communicatienetwerk tegen te gaan.

Het Hof benadrukt dat het waarborgen van nationale veiligheid als doel zwaarder weegt dan de andere doelen die in artikel 15 van de richtlijn geformuleerd zijn (par. 75). Het gaat bij nationale veiligheid met name om het beschermen van essentiële functies en fundamentele belangen van de staat en de maatschappij. Daarbij moet ook worden gedacht aan het voorkomen en bestraffen van ontwrichtende activiteiten, zoals terrorisme (het Hof verwijst hierbij naar par. 135 van La Quadrature du Net and Others en de gevoegde uitspraken).

Het Hof stelt vast dat er in onderhavige zaak sprake is van wetgeving die ongerichte en algemene toegang tot verkeers- en locatiegegevens mogelijk maakt. Ook als er geen bewijs bestaat dat personen iets te maken hebben met het gestelde doel de nationale veiligheid te waarborgen, kunnen hun verkeers- en locatiegegevens overgedragen worden (par. 80).  Dergelijke wetgeving gaat volgens het Hof de grenzen van wat strikt noodzakelijk is te buiten, en kan niet worden geacht noodzakelijk te zijn in een democratische samenleving (par. 81).

Het Hof is dan ook van oordeel dat artikel 15, lid 1 van de Richtlijn, gelezen in het licht van artikel 4, lid 2 VEU en artikel 7, 8, 11 en 52, lid 2 van het Handvest van de Grondrechten van de Europese Unie, nationale wetgeving uitsluit die het mogelijk maakt dat overheidsinstanties van een provider algemene en ongerichte overdracht van verkeers- en locatiegegevens aan de inlichtingen en veiligheidsdiensten verlangt, ook als dit als doel heeft de nationale veiligheid te waarborgen (par. 82).

Het Hof benadrukt in de gevoegde zaken C-511/18, C-512/18 en C-520/18 echter, dat wetgeving die providers verplicht tot het vasthouden van gegevens voor een bepaalde tijd, en indien dit strikt noodzakelijk is, niet in strijd is met de richtlijn. Er moet dan wel sprake zijn van een serieuze dreiging voor de nationale veiligheid, die oprecht, aanwezig en voorzienbaar is (par. 137). Ook moet een dergelijke maatregel onderhevig zijn aan toetsing door een rechtbank of door een onafhankelijk bestuursorgaan dat bindende besluiten kan nemen (par. 139).

Het in real-time verzamelen van verkeers- en locatiegegevens dient volgens het Hof beperkt te zijn tot personen van wie het vermoeden bestaat dat zij betrokken zijn bij terroristische activiteiten. Ook hier geldt dat een voorafgaande controle door een rechter of onafhankelijk bestuursorgaan vereist is en dat de maatregel enkel is toegestaan voor zover dit strikt noodzakelijk is (par. 183-192).

Tot slot trekt het hof nog de conclusie dat het Unierecht niet de ongerichte en algemene retentie van IP-adressen uitsluit, mits dit als doel heeft de nationale veiligheid te waarborgen, serieuze criminaliteit tegen te gaan of de openbare veiligheid te beschermen. Ook hier geldt dat dit slechts voor een beperkte periode is toegestaan en dat de maatregel strikt noodzakelijk dient te zijn (par. 168).

Volgens deze recente uitspraken van het Hof is het ongericht verzamelen van telefoon- en internetgegevens dus strijdig met Europese privacyregels, ook wanneer dit gebeurt in het kader van het waarborgen van nationale veiligheid. Het is opvallend dat het Hof tot deze beslissing komt, gezien de tekst van artikel 4, lid 2 VEU. 

Sophie Harleman

Veroordeling tot 17-jaar gevangenisstraf voor voorbereiden van aanslag

Op 8 oktober 2020 heeft de rechtbank Rotterdam zes mannen veroordeeld (ECLI:NL:RBROT:2020:8905) voor het voorbereiden van een grote terroristische aanslag in Nederland. Daartoe heeft de verdachte deelgenomen aan een terroristische organisatie en heeft hij training gevolgd. De zaak heeft veel media-aandacht gekregen (zie ook dit NOS-bericht en de video).

In de uitspraak is de lezen hoe de verdachten met z’n vijven zijn een aanslag wilden plegen op een festival en dat zij ook een grote auto met behulp van een afstandsbediening tot ontploffing willen brengen in een andere stad, mogelijk vanuit Amsterdam.

De zaak kwam aan het rollen door een ambtsbericht van 26 april 2018 van de AIVD. In dit ambtsbericht werd melding gemaakt van het feit dat de verdachte (met de hoogst opgelegde gevangenisstraf) voorbereidingen trof om met een groep personen veel slachtoffers te maken door een terroristische aanslag te plegen op een groot evenement in Nederland. Hij was op zoek naar aanslagmiddelen voor meerdere personen en iemand die hierin kon faciliteren. Direct na ontvangst van dit ambtsbericht werd een groot opsporingsonderzoek, genaamd ‘26Orem’, gestart.

De verdediging voert aan dat sprake is van uitlokking van de verdachten en overtreding van het beginsel van ‘détournement de pouvoir’ door de AIVD. Volgens de verdediging is sprake van misbruik van bevoegdheden door de AIVD. De inlichtingendienst heeft haar bevoegdheden ingezet ten behoeve van strafvorderlijke doeleinden, waarbij belangrijke strafvorderlijke waarborgen opzij werden gezet. De verdediging kan volgens de rechtbank niet onderbouwen waarom sprake zou zijn van uitlokking.

Over de mate van controle door de strafrechter op AIVD onderzoek en de toetsing van de bruikbaarheid in het strafproces, verwijst de rechtbank naar het arrest (ECLI:NL:HR:2006:AV4122) van de Hoge Raad in de zaak ‘Eik’ uit 2006 met de volgende overweging:

“Een onderzoek door een inlichtingen- en veiligheidsdienst vindt plaats buiten de verantwoordelijkheid van de politie en het openbaar ministerie. De wetgever heeft de toetsing van de rechtmatigheid van het handelen van de AIVD toebedeeld aan de CTIVD. Dat daarmee de rechtmatigheidstoets aan de strafrechter onttrokken is en art. 359a Sv niet van toepassing is, neemt niet weg dat in een strafprocedure waarin van een inlichtingen- en veiligheidsdienst afkomstig materiaal voor het bewijs wordt gebruikt, moet zijn voldaan aan de eisen van een eerlijk proces. De strafrechter moet toetsen of dat het geval is. Onder omstandigheden mogen de resultaten van het door een inlichtingen- en veiligheidsdienst ingesteld onderzoek niet tot het bewijs worden gebezigd, bijvoorbeeld indien het optreden van de betrokken dienst een schending van de aan een verdachte toekomende fundamentele rechten heeft opgeleverd die van dien aard is dat daardoor geen sprake meer is van fair trial als bedoeld in art. 6 EVRM.”

De rechtbank overweegt dat er sterke aanwijzingen zijn dat er een verband is tussen de inzet van (niet politiële) infiltranten en de AIVD. Bij gebreke aan nadere transparantie gaat de rechtbank ervan uit dat de desbetreffende persoon of personen die met de verdachte contact heeft/hebben gehad gerelateerd zijn aan de AIVD. Deze infiltranten zijn contact met de verdachte blijven onderhouden. Ondanks dat de infiltranten in hun e-mails de verdachte lijken te steunen bij de uitvoering van zijn plannen, religieuze opvattingen met hem uitwisselen, bij hem erop aandringen nieuwe e-mailadressen aan te maken en contact op te nemen en te onderhouden met ‘hun broeder (de politie-infiltrant)’, is er volgens de rechtbank geen sprake van (het verbod op) uitlokking. De verdachte is door de politie-infiltrant niet tot handelingen gebracht waarop zijn opzet niet al tevoren was gericht

De handelingen onder verantwoordelijkheid van de AIVD hebben echter wel aan bijgedragen dat de verdachte met de politie-infiltrant in contact is gekomen en gebleven en zij lijken hem te hebben beïnvloed bij het vasthouden aan een bepaald doelwit voor een aanslag, ook op momenten dat de verdachte leek af te dwalen of meer tijd nodig leek te hebben. Dit handelen van de AIVD tijdens het opsporingsonderzoek is een vorm van niet-toegestane beïnvloeding. Een dergelijke vorm van niet controleerbare en niet transparante bemoeienis brengt naar het oordeel van de rechtbank het waarborgen van een eerlijk proces in gevaar. De rechtbank verbindt hier een sanctie aan, namelijk drie jaar strafvermindering voor de verdachte.

De rechtbank acht de verdachte schuldig aan de voorbereiding van een grote terroristische aanslag op willekeurige burgers en politie in Nederland. Zij hebben gezamenlijk deelgenomen aan een terroristische organisatie en een training gevolgd met het oog op het plegen van een terroristisch misdrijf. De verdachte en de medeverdachten waren voornemens eind 2018 met een voertuig een (zware) bomaanslag te plegen en elders een festival binnen te dringen ‘schietend als een gek op mensen’ met Kalasjnikovs. De verdachte en de medeverdachten zouden daarbij ook handgranaten en bomvesten hebben willen gebruiken. De bomvesten zouden gebruikt moeten worden als de politie zou arriveren, zodat ook zij daarmee slachtoffer zouden worden. De verdachte en de medeverdachten hadden namelijk duidelijk kenbaar gemaakt dat zij zelf niet levend in handen van de politie zouden willen vallen. De verdachte heeft grote hoeveelheden (beeld)materiaal aangaande het radicale en extremistische gedachtengoed van de gewapende jihadstrijd voorhanden gehad, zoals dat onder meer door terroristische organisaties als Islamitische Staat (verder: IS) wordt gepubliceerd en verkondigd.

De rechtbank overweegt ook dat deze aanslagen worden gepleegd vanuit een intolerante religieuze ideologie, waarbij wordt geprobeerd het eigen gelijk op gewelddadige wijze aan anderen op te leggen en waarbij de bevolking veelal slachtoffer is en ernstige vrees wordt aangejaagd. Daarbij worden geen middelen en methoden geschuwd. De verdachte en de medeverdachten hebben zowel de burgerbevolking als de politie in Nederland op zware wijze beoogd te treffen met een bloedige aanslag waarbij grote aantallen onschuldige personen het slachtoffer zouden moeten worden. Dankzij tijdig ingrijpen van de Nederlandse overheidsdiensten hebben de verdachte en de medeverdachten hun plannen niet kunnen uitvoeren.

De verdachte wordt veroordeeld voor de hoge gevangenisstraf van 17 jaar. De rechtbank legt tevens een maatregel voor gedragsbeïnvloeding of vrijheidsbeperking op, zoals bedoeld in artikel 38z Sr. Op die manier wordt het mogelijk om de verdachte in aansluiting op de gevangenisstraf onder toezicht te stellen indien dit op dat moment nog noodzakelijk wordt geacht.

Jan-Jaap Oerlemans

Intrekking Nederlanderschap en ongewenstverklaring

Op 11 augustus 2020 heeft de afdeling bestuursrecht van de rechtbank Den Haag een zeer uitvoering vonnis gewezen over de intrekking van Nederlanderschap en ongewenstverklaring van een Syriëganger. Normaal bespreek ik geen uitspraken uit andere rechtsgebieden, maar voor deze rubriek en in dit geval maak ik een uitzondering.

De eiser krijg geen toestemming op grond van art. 8:29 Algemene wet bestuursrecht (hierna: Awb) om de onderliggende stukken te zien voor de intrekking van het Nederlanderschap, waaronder een ambtsbericht van de AIVD. De rechtbank heeft met toepassing van artikel 8:45 lid 1 van de Awb de minister van Binnenlandse Zaken en Koninkrijksrelaties (hierna: de minister), die geen partij is, bij brief van 13 mei 2020 verzocht inzage te geven in de stukken die ten grondslag liggen aan het ambtsbericht. Bij brief van 22 mei 2020 heeft de minister de rechtbank onder verwijzing naar het bepaalde in artikel 8:29, eerste lid, van de Awb medegedeeld dat alleen de rechtbank kennis mag nemen van de onderliggende stukken van het ambtsbericht.

Eiser is in 1982 geboren in Amsterdam, uit ouders met de Marokkaanse nationaliteit. Later is hij Nederlander geworden. Op 25 oktober 2010 is eiser wegens vertrek uit Nederland uitgeschreven uit de brp van de gemeente Amsterdam naar het Register Niet-Ingezetenen. Op 18 oktober 2019 heeft de Algemene Inlichtingen- en Veiligheidsdienst (hierna: AIVD) een individueel ambtsbericht uitgebracht over eiser. Dit ambtsbericht luidt als volgt:

“In het kader van zijn wettelijke taakuitvoering beschikt de Algemene Inlichtingen en Veiligheidsdienst (AIVD) over de volgende betrouwbare informatie met betrekking tot [eiser] , geboren op [geboortedag] 1982 te Amsterdam, BSN [BSN-nummer], die volgens de BRP per 25-10-2010 is uitgeschreven met onbekende bestemming. Betrokkene bevindt zich sinds de zomer van 2012 in Syrië, alwaar hij zich aansloot bij de Islamitische Staat in Irak en al-Sham (ISIS). Vanaf medio 2014 tot maart 2019 wordt hij uitsluitend gelokaliseerd in Syrië in plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS. Na 11 maart 2017 bleef betrokkene in het strijdgebied en verrichtte hij (administratieve) medische werkzaamheden voor ISIS in Syrië. Uit een eerdere relatie heeft betrokkene een minderjarige zoon genaamd [C]. [C] is begin 2014 in Syrië geboren. Een afschrift van dit ambtsbericht wordt verstrekt aan de LOvJ.”

Bij afzonderlijke besluiten van 3 december 2019 heeft het ministerie van Justitie en Veiligheid het Nederlanderschap van eiser ingetrokken op grond van artikel 14, vierde lid, van de Rijkswet op het Nederlanderschap (hierna: RWN) en hem tot ongewenst vreemdeling verklaard in de zin van artikel 67 van de Vreemdelingenwet 2000 (Vw 2000) wegens gevaar voor de nationale veiligheid en in het belang van de internationale betrekkingen van Nederland.

De rechtbank overweegt dat uit de Memorie van Antwoord blijkt dat de aansluiting bij een organisatie zal moeten blijken uit de gedragingen van betrokkene, waarvoor doorgaans een ambtsbericht van de AIVD voorhanden is. Dit ambtsbericht kan gebaseerd zijn op een veelheid van bronnen en van geval tot geval zal moeten worden bepaald wanneer er sprake is van voldoende zekerheid over de feiten (Kamerstukken I 2015-2016, 34 356 (R2064), nr. C, onderdeel 4).

De rechtbank overweegt over het ambtsbericht dat uit het ambtsbericht onder meer blijkt dat eiser zich sinds de zomer van 2012 in Syrië bevindt, alwaar hij zich heeft aangesloten bij de Islamitische Staat in Irak en al-Sham (ISIS), dat hij vanaf medio 2014 tot maart 2019 uitsluitend gelokaliseerd wordt in Syrië op plaatsen die op dat moment liggen in het territorium dat werd gecontroleerd door ISIS, en dat hij na 11 maart 2017 in het strijdgebied verbleef en (administratieve) medische werkzaamheden verrichtte voor ISIS in Syrië.

De verweerder stelt dat de opgelegde maatregel disproportioneel is. De rechtbank overweegt dat de intrekking van de nationaliteit is weliswaar een zwaar middel is, maar dat het doel van de maatregel -het belang van bescherming van de nationale veiligheid- rechtvaardigt dat hiervan gebruik gemaakt wordt indien aan de eisen voor toepassing van artikel 14, vierde lid, van de RWN is voldaan. Naar het oordeel van de rechtbank is daaraan in het geval van eiseres voldaan. Door de intrekking van het Nederlanderschap en de ongewenstverklaring wordt de legale terugkeer van eiseres naar Nederland en het Schengengebied onmogelijk gemaakt en wordt de feitelijke terugkeer bemoeilijkt doordat eiseres zal worden gesignaleerd als ongewenst vreemdeling in verschillende systemen die kunnen worden geraadpleegd bij grenscontroles en uitgifte van visa. De rechtbank beoordeelt de maatregel als geschikt en passend om het doel te bereiken. De verweerder (het ministerie van justitie en veiligheid) heeft terecht gesteld dat er geen alternatieven zijn die hetzelfde effect hebben als de onderhavige maatregel. De intrekking of vervallenverklaring van een paspoort is geen redelijk alternatief omdat dit, kort gezegd, het recht op terugkeer naar Nederland onverlet laat.

De gemachtigde van eiser vraagt zich verder af hoe het ministerie weet dat het ambtsbericht op voldoende grondslag is gebaseerd. De gemachtigde vraagt zich ook af of wordt voldaan aan de eis van objectiviteit en wijst er op dat de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten, die op 16 juni 2020 een rapport heeft uitgebracht over deze materie, niet geëquipeerd zou zijn een oordeel te geven over individuele ambtsberichten en dat de onderliggende motivering van het standpunt van de landsadvocaat ontbreekt. De verweerder stelt dat uit het ambtsbericht blijkt dat eiser concrete taken ten behoeve van ISIS heeft verricht. Wat de conclusies van de CTIVD betreft, merkt verweerder op dat de CTIVD heeft geoordeeld dat dat de AIVD bij het uitbrengen van de ambtsberichten in het kader van artikel 14, vierde lid, van de RWN in alle gevallen rechtmatig heeft gehandeld, maar dat het bestuursorgaan degene is die de beslissingen neemt op basis van de ambtsberichten. De mogelijkheid om inzage te vragen in de onderliggende stukken als de ambtsberichten onvoldoende duidelijk zijn, is aanwezig. Aangezien het ambtsbericht helder is en voldoende essentiële informatie bevat, is van deze mogelijkheid geen gebruik gemaakt.

De rechtbank overweegt dat het ambtsbericht zoals het er ligt voldoende feitelijke en kenbare informatie bevat. Eiser was ten tijde van belang aangesloten bij een terroristische organisatie die voorkomt op de lijst (ISIS) en heeft concrete werkzaamheden voor de organisatie verricht. Verweerder heeft aan zijn motiveringsplicht voldaan. Er is geen tegenbewijs geleverd. In hetgeen de gemachtigde naar voren heeft gebracht ziet de rechtbank geen aanknopingspunten voor twijfel aan de juistheid van het gestelde in het ambtsbericht. Verweerder heeft terecht geconcludeerd dat eiser een gevaar vormde voor de nationale veiligheid. De rechtbank overweegt voorts dat het rapport van de CTIVD (Toezichtsrapport over het handelen van de AIVD in het kader van de intrekking van het Nederlanderschap in het belang van de nationale veiligheid, nr. 68, vastgesteld op 29 april 2020) geen aanknopingspunten bevat voor het oordeel dat op grond daarvan geen betekenis aan de uitgebrachte ambtsberichten kan worden gehecht. De rechtbank moet beoordelen of in het individuele geval van eiser voldaan is aan de vereisten voor intrekking en of het ambtsbericht daar voldoende grondslag voor biedt. Zoals in het voorgaande is geconcludeerd, is de rechtbank van oordeel dat in het geval van eiser, gelet op de inhoud van het uitgebrachte ambtsbericht, voldaan is aan de vereisten voor intrekking van het Nederlanderschap. Zoals de rechtbank in eerdere vergelijkbare zaken heeft geoordeeld (zie bijvoorbeeld de uitspraak van 14 april 2020, ECLI:NL:RBDHA:2020:5784) acht zij de maatregel noodzakelijk en proportioneel.

Verweerder heeft, onder verwijzing naar verschillende edities van het Dreigingsbeeld Terrorisme Nederland, het rapport ‘Terugkeerders in beeld’ (.pdf) van de AIVD van februari 2017 en eerder gepleegde aanslagen door zogeheten terugkeerders, er op gewezen dat het risico bestaat dat terugkeerders aanslagen plegen en de binnenlandse jihadistische beweging versterken. Ook bestaat het gevaar dat zij anderen rekruteren voor de gewapende strijd. De rechtbank is van oordeel dat, zoals ook de Afdeling in de eerdergenoemde uitspraken van 17 april 2019 heeft overwogen, daarmee de noodzaak van de maatregel in het belang van de bescherming van de nationale veiligheid is aangetoond. Daarnaast heeft de rechtbank geoordeeld dat de intrekking van de nationaliteit weliswaar een zwaar middel is, maar dat naast bestaande maatregelen aan deze -preventieve- maatregel behoefte bestaat gezien het doel ervan, te weten het belang van de bescherming van de nationale veiligheid. De maatregel moet daarom proportioneel worden geacht. De rechtbank overweegt verder dat uit vaste jurisprudentie volgt (zie bijvoorbeeld de uitspraken van 22 april 2015, ECLI:NL:RVS:2015:1278 en 15 mei 2019, ECLI:NL:RVS:2019:1582) dat, indien uit een ambtsbericht van de AIVD op objectieve, onpartijdige en inzichtelijke wijze blijkt welke feiten en omstandigheden aan de conclusie vervat in dit ambtsbericht ten grondslag zijn gelegd en deze conclusie niet onbegrijpelijk is zonder nadere toelichting, voor het bestuursorgaan dat beslist over de verkrijging van het Nederlanderschap geen aanleiding bestaat om de aan dit ambtsbericht ten grondslag liggende stukken in te zien, tenzij de betrokkene concrete aanknopingspunten voor twijfel aan de juistheid of volledigheid van dit ambtsbericht naar voren heeft gebracht. Verder volgt hieruit dat er in beginsel van mag worden uitgegaan dat door de AIVD verricht onderzoek op zorgvuldige wijze heeft plaatsgevonden en dat vermelding van de aan een ambtsbericht van de AIVD ten grondslag liggende bron, dan wel bronnen, achterwege mag blijven wegens de vertrouwelijkheid ervan.

De rechtbank is van oordeel dat het Ministerie van Justitie en Veiligheid op grond van de informatie uit het ambtsbericht bevoegd was tot intrekking van het Nederlanderschap van eiseres over te gaan.

Jan-Jaap Oerlemans

De Wijzigingswet Wiv 2017

jjoerlemans 2 reacties

De ‘Wijzigingswet 2017’ krijgt weinig aandacht in de literatuur en media, maar er staan toch belangrijke bepalingen in het wetsvoorstel die ik even op een rijtje wil zetten. Het wetsvoorstel betreft voor een belangrijk deel de codificatie van de Beleidsregels Wiv 2017. De Beleidsregels waren ingevoerd gelet op de zorgen in de samenleving, zoals deze onder meer uit de uitslag van het raadgevend referendum over de Wiv 2017 zijn gebleken (49,44% stemmen tegen en 46,53% stemmen voor de Wiv 2017).

In deze blogpost bespreek ik niet niet alle bepalingen van het wetsvoorstel Wijzigingswet Wiv 2017 maar de aanpassingen van (in mijn ogen) de belangrijkste artikelen rond het gerichtheidsvereiste en het delen van ongeëvalueerde gegevens met buitenlandse diensten. Daarnaast signaleer ik nog een paar interessante vragen en antwoorden in het Kamerdebat over het wetsvoorstel.

Belangrijke wijzigingen Wiv 2017

1. Het gerichtheidsvereiste

In artikel 5 van de Beleidsregels Wiv 2017 staat dat bijzondere bevoegdheden “zo gericht mogelijk” moeten worden ingezet. Het nieuwe vereiste die per 1 mei 2018 van kracht is, is geïntroduceerd naar aanleiding van de motie Recourt. In de motie stond dat het wenselijk is dat het gerichtheidsvereiste voor álle bevoegdheden geldt en niet alleen voor de bijzondere bevoegdheden zoals in de Beleidsregels is opgenomen. In de Beleidsregel en de toelichting wordt echter niet uitgelegd wat het gerichtheidsvereiste behelst.

In het wetsvoorstel wordt in de memorie van toelichting (p. 4-5) verduidelijkt dat onder “zo gericht mogelijk” wordt verstaan

“in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus.”

De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object. Per inzet van een bevoegdheid krijgt het vereiste aldus zijn uitwerking. Zonder voorbeelden blijft deze uitleg natuurlijk wel wat vaag. Het was overigens sowieso al gek dat het vereiste niet eerder was gedefinieerd.

In de praktijk is wel ervaring met het vereiste opgedaan, waar de CTIVD ook al op heeft getoetst. In CTIVD-rapport nr. 64 (2019) over de selectie van geïntercepteerde communicatie uit de ether, constateert de toezichthouder bijvoorbeeld dat in de aanvraag tot de inzet van de bijzondere bevoegdheid tot selectie in één geval een heldere omschrijving ontbrak van de organisatie ten aanzien waarvan de selectiebevoegdheid werd ingezet. De geformuleerde groep was te ruim omschreven en in de aanvraag was niet omschreven waarom sprake was van een organisatie.

En in het CTIVD-rapport nr. 63 (2019) over filtering bij ‘onderzoeksopdrachtgerichte interceptie’ (bulkinterceptie) gaf de toezichthouder aan dat bij een specifieke vorm van satellietinterceptie tijdens de onderzoeksperiode ‘een deel van gebruikte verwerkingssystemen alle inhoud en metadata van herkende typen data or protocollen doorlaat. Het zonder meer opslaan van gegevens op deze manier laat zich niet verenigen met het vereiste dat de interceptie ‘zo gericht mogelijk’ dient te zijn’ (onderstreping toegevoegd). In reactie op beide rapporten zeiden de ministers zich in te spannen deze onrechtmatigheden in de toekomst te voorkomen.

Als het wetsvoorstel Wijzigingswet Wiv 2017 wordt aangenomen en van kracht is, geldt het gerichtheidsvereiste verder voor álle bevoegdheden. Daartoe wordt artikel 26 Wiv 2017 gewijzigd, waar nu ook de andere algemene vereisten van proportionaliteit en subsidiariteit zijn neergelegd. Als gevolg daarvan moet het vereiste ook worden toegepast bij de inzet van algemene bevoegdheden zoals de informantenbevoegdheid en het stelselmatig verzamelen van persoonsgegevens op internet. Als je bijvoorbeeld gegevens opvraagt bij een bedrijf of instelling op grond van de informantenbevoegdheid (die dat dan al dan niet vrijwillig verstrekt), dan vraag je dat zo gericht mogelijk; bijvoorbeeld de gegevens van het target die je als dienst in de gaten houdt en niet een hele database. Een dergelijke toets raakt overigens ook sterk de proportionaliteitstoets en subsidiariteitstoets, maar goed. Vanuit het perspectief van de bescherming van fundamentele rechten is de bepaling zeker een winst, omdat het als extra waarborg kan fungeren voor alle bevoegdheden.

2. Delen van ongeëvalueerde gegevens met buitenlandse diensten

Het wettelijk kader voor het delen van gegevens is nogal ingewikkeld. In deze blogpost sluit ik aan bij de uitleg uit de memorie van toelichting en het nader verslag.

In het nader verslag wordt uitgelegd dat voorafgaand aan het aangaan van een samenwerkingsrelatie met een buitenlandse dienst een ‘wegingsnotitie’ wordt opgesteld. In de wegingsnotitie wordt aan de hand van wettelijk vastgelegde criteria, zoals de ‘democratische inbedding van de buitenlandse dienst’ en ‘de eerbiediging van mensenrechten door het betreffende land’, nagegaan of een dergelijke samenwerkingsrelatie kan worden aangegaan en in hoeverre gegevens kunnen worden uitgewisseld. Daarbij wordt onderscheid gemaakt tussen geëvalueerde of ongeëvalueerde gegevens. Ongeëvalueerde gegevens zijn gegevens waarvan de AIVD en de MIVD te weinig kennis van de inhoud hebben om een adequate weging te kunnen maken van de noodzaak, behoorlijkheid en zorgvuldigheid van de verstrekking van de gegevens.

De door de minister van BZK of minister van Defensie verleende toestemming voor het aangaan van de samenwerkingsrelatie bepaalt dus ook de grenzen van die samenwerking en of er gegevens mogen worden verstrekt en zo ja, welke soorten gegevens.

Artikel 64 Wiv 2017 vormt een uitzondering op deze regeling. In het kader van een goede taakuitvoering kan de AIVD of de MIVD op grond van een dringende en gewichtige reden – bijvoorbeeld indien men beschikt over gegevens die wijzen in de richting van een ophanden zijnde terroristische aanslag in het desbetreffende land – gegevens verstrekken aan de buitenlandse dienst waarmee geen samenwerkingsrelatie bestaat. Dat mag alleen met toestemming van de verantwoordelijke minister. Het kan daarbij óók gaan om de verstrekking van ongeëvalueerde gegevens.

De aanpassing ziet er op de situatie dat er wél een samenwerkingsrelatie is, maar de wegingsnotitie aangeeft dat het regulier niet is toegestaan gegevens met de buitenlandse dienst te delen. Door aanpassing van artikel 64 Wiv 2017 wordt dit bij bovengenoemde gewichtige redenen wel mogelijk met toestemming van de verantwoordelijke minister. Als er toch al een uitzondering is met toestemming van de minister de gegevens te delen bij gewichtige redenen, is het wat mij betreft ook niet gek dat dit ook mogelijk wordt gemaakt als er wel een samenwerkingsrelatie bestaat. De CTIVD wordt overigens via een melding op de hoogte gesteld bij een verstrekking van ongeëvalueerde gegevens.

In het nader verslag vragen leden van GroenLinks nog hoe het staat met het internationaal toezicht op het delen van gegevens met buitenlands diensten. De minister van Defensie herhaalt dat bij samenwerkingsverbanden de controle op de handelingen van de inlichtingen- en veiligheidsdiensten door de nationale toezichthouders plaatsvindt. Het is volgens minister ‘te vroeg om voor het toezicht op samenwerkingsverbanden multilaterale afspraken te maken over het integraal wegnemen van wettelijke beperkingen voor de uitwisseling van staatsgeheime gegevens tussen toezichthouders’.

Tweede Kamerdebat (nota naar aanleiding van het verslag)

Tijdens het Tweede Kamerdebat over de Wijzigingswet Wiv 2017 kwamen een aantal interessante onderwerpen voorbij (zie de ‘nota naar aanleiding van het verslag’). Ik licht er drie uit.  

1. Geclausuleerde toestemming TIB

De leden van de Partij van de Dieren vroegen zich of in hoeverre het mogelijk is dat de TIB ‘geclausuleerd’ voorafgaand aan de inzet goedkeuring geeft van de inzet van (bepaalde) bijzondere bevoegdheden die door de minister zijn goedgekeurd. Dan wordt dus goedkeuring gegeven, maar onder voorwaarde dat bij de uitvoering ergens rekening mee wordt gehouden. Blijkbaar ziet de partij deze ruimte niet, omdat in artikel 36 lid 2 Wiv 2017 is vastgelegd dat de commissie oordeelt of de toestemming van de minister rechtmatig is. Deze toestemming zou ook geen geheime voorwaarden toelaten volgens de partij. De minister van Defensie beaamt dat strikt genomen de Wiv 2017 niet voorziet in de mogelijkheid tot geclausuleerde goedkeuring. In de praktijk is dit slechts in enkele situaties voorgekomen, zo geeft zij aan. Opvallend is dat verderop wordt gezegd dat: 

“Mocht een geclausuleerde goedkeuring door de TIB voor de inzet van de bijzondere bevoegdheid overigens voorwaarden bevatten die om verschillende redenen als niet aanvaardbaar worden beschouwd (praktisch onwerkbaar, verschil in interpretatie wettelijke bepalingen e.d.), dan ligt het voor de hand dat – nu de verleende toestemming niet van rechtswege is vervallen – deze door de Minister wordt ingetrokken.”

Ten slotte wordt gewezen op de aanstaande evaluatie (die uiterlijk start op 1 mei 2020, maar waarvan de Commissieleden nog niet publiekelijk bekend zijn) zich buigt over ‘de hele inrichting, de functie en de plek van de TIB in het bestel, een en ander tegen de achtergrond van de ministeriële verantwoordelijkheid’. Het vraagstuk geclausuleerde goedkeuring door de TIB maakt daar onderdeel van uit.

2. ‘Werken met grote gegevenssets en GDA’

Verder vond ik het interessant – en ook terecht overigens – dat verschillende Kamerleden vroegen of de regering kon ingaan op de kritiek van de TIB over de verzameling van grote gegevenssets door middel van hacken of informanten. De leden van GroenLinks geven aan dat ook bij andere bevoegdheden gegevens in bulk worden verzameld, ook van personen die niet in onderzoek zijn bij de diensten. De leden vragen waarom deze waarborgen niet in bindende bepalingen zijn gegoten voor GDA-verwerking van alle verzamelde data, of deze data nu uit een open bron zijn verkregen, via een zogeheten bulk-hack zijn binnengehaald, met de OOG-interceptie bevoegdheid zijn afgevangen of van een andere dienst zijn ontvangen. De minister geeft aan dat dit onderwerp niet wordt behandeld in de Wijzigingswet en daarom hier niet op wordt ingegaan. Het wordt mogelijk in de wetsevaluatie betrokken.

Ook wordt de suggestie om de waarborgensystematiek voor geautomatiseerde data-analyse na bulkinterceptie op bijvoorbeeld metadata in de Wiv 2017 uit te breiden, wordt niet door de minister omarmt. De minister is er geen voorstander van, omdat dan voor ‘alle gevallen van geautomatiseerde data-analyse waarbij persoonsgegevens worden verwerkt, toestemming van de minister en een toets van de TIB noodzakelijk zou zijn’. Dat is mijns inziens afhankelijk van hoe je het regelt, maar de minister geeft in ieder geval aan een dergelijke regeling niet wenselijk te vinden.

De minister zegt dat ook geautomatiseerde data-analyse onderwerp kunnen zijn voor de wetsevaluatie. De minister wilt eerst de resultaten van de evaluatie af te wachten, alvorens tot aanpassingen van het stelsel te komen. De leden van wetsevaluatie gaan het dus nog druk krijgen gezien het aantal onderwerpen op die voor hen op de agenda zijn geplaatst! (zie deze Kamerbrief (.pdf) uit november 2019).  

3. Regelgeving en invloed opslagkracht van de diensten

De leden van CDA- en VVD fractie stelden verschillen vragen ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘op welke wijze met het voorliggende wetsvoorstel de slagkracht van de diensten wordt bevorderd en de disproportionele bureaucratisering van het werk van de diensten tegengegaan’.

De minister (die uiteraard haar eigen wetsvoorstel verdedigde) antwoordde daarop dat de bepalingen uit de Wijzigingswet  2017 naar inschatting werkbaar zijn. Over de bepalingen uit de Wiv 2017 (ten opzichte van de Wiv 2002) antwoord de minister dat de AIVD en de MIVD ‘intensief betrokken’ waren bij de totstandkoming van de wet en naar hun beste vermogen een inschatting hebben gemaakt van de impact van de nieuwe regels op hun werkwijze. Maar: ‘in de toepassingspraktijk is gebleken dat op onderdelen er frictie kan ontstaan tussen de wettelijke norm (en de wijze waarop deze is toegelicht) en de werkbaarheid voor de praktijk’. De minister wordt niet concreter welke onderdelen dat zijn en geeft aan dat ‘een en ander’ bij de wetsevaluatie wordt ingebracht.