Tag Evaluatie

Reflectie voorgestelde aanpassingen Wet op de inlichtingen- en veiligheidsdiensten

jjoerlemans

De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.

Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.

1.     Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid

Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.

Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.

Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).

2.     Bulkdatasets

In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.

De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.

3.     Toezicht

De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.

Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.

Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.

4.     Grijsgebieden

Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.

Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.

Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.

Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.

Jan-Jaap Oerlemans & Sophie Harleman

Evaluatierapport: ‘De hackbevoegdheid in de praktijk’

jjoerlemans Een reactie plaatsen

Op 16 september 2022 is de WODC-evaluatie de ‘De hackbevoegdheid in de praktijk’ gepubliceerd (.pdf). Het omvangrijke rapport (215 blz.) staat vol met interessante informatie over de inzet van de hackbevoegdheid (art. 126nba Sv) door de Nederlandse politie. Het betreft vooral een beschrijvend evaluatierapport; de auteurs trekken wel conclusies n.a.v. bevindingen, maar waardeoordelen of oplossingen voor de geconstateerde problemen blijven grotendeels uit. En full disclosure natuurlijk: ik heb zitting gehad in de begeleidingscommissie van het rapport en eerdere versies van het rapport becommentarieerd.

De minister van Justitie geeft pas in het voorjaar van 2023 een inhoudelijke reactie op het rapport, omdat er ook nog een ander (langverwacht) onderzoek verschijnt van de Procureur-Generaal bij de Hoge Raad “in het kader van het hem toekomende toezicht op het Openbaar Ministerie”. Enkele opvallende conclusies uit het rapport zet ik hier onder op een rijtje.

Inzet

Uniek aan dit rapport zijn de cijfers over de inzet van de hackbevoegdheid, afgesplitst tegen het type geautomatiseerd werk (30 van de 38 geautomatiseerde werken waarop de bevoegdheid is ingezet betreft een telefoon (!)) en het type misdrijf waarvoor het wordt ingezet (zie p. 86 en p. 88).

De auteurs van het rapport zeggen over de inzet op het type delicten het volgende:

“De naam computercriminaliteit suggereert wellicht dat de hackbevoegdheid vooral wordt ingezet voor cybercriminaliteit in enge zin. Bovenstaand overzicht laat echter zien dat het overgrote deel van de inzetten betrekking had op opsporingsonderzoeken naar zware vormen van meer traditionele criminaliteit, zowel wat betreft de proportionaliteit (feiten waarvoor een substantiële gevangenisstraf kan worden opgelegd en die de rechtsorde schaden) als wat betreft de subsidiariteit (andere bijzondere opsporingsbevoegdheden hebben weinig opgeleverd).”

In het onderzoek naar cybercriminaliteit in enge zin ging het volgens het rapport om ‘het ontoegankelijk maken van een botnet’. Volgens mij is maar één zaak daarover afgelopen jaren in de publiciteit geweest en dat was de ontoegankelijkheidmaking van het Emotet-botnet dat volgens dit persbericht 1 miljoen slachtoffers wereldwijd maakte. Luister ook deze podcast van Europol over de zaak (vond ‘m zelf wat tegenvallen overigens).

Binnen een groot deel van de onderzoeken waarbinnen het speciale team ‘Digit’ een inzet heeft gedaan (8 van de 25) was sprake van een misdrijf binnen de Opiumwet, al dan niet in combinatie met andere delicten zoals witwassen, omkoping en misdrijven gerelateerd aan de Wet Wapens en Munitie. Ten slotte betrof moord of doodslag een aanzienlijk deel (8 van de 25) van de delicten waarnaar een tactisch team van de politie onderzoek deed.  

Ondanks dat de hackbevoegdheid in 26 opsporingsonderzoeken is ingezet tussen maart 2019 tot en met maart 2021, zijn er nog geen uitspraken gepubliceerd waar de inzet van de hackbevoegdheid ter sprake komt. Volgens de auteurs zal dat ‘bij een deel ook nooit gebeuren’. Overigens geeft team Digit aan behoefte te hebben aan een steunbevoegdheid, zodat ze bijvoorbeeld ook fysiek een woning mogen binnendringen om vervolgens de hackbevoegdheid in te zetten.

Commerciële middelen

Volgens team Digit is het noodzakelijk gebruik te maken van binnendringsoftware van commerciële leveranciers. De informatie over de leverancier is vertrouwelijk en is daarom niet gedeeld met de auteurs van het rapport. De ‘ontwikkeling van eigen hulpmiddelen (en ze vooraf goedgekeurd krijgen) is nauwelijks haalbaar gebleken in de praktijk in verband met de tijd die het kost om een volledig goedgekeurd middel te ontwikkelen’.

De auteurs identificeren drie redenen voor de inzet van commerciële middelen. Ten eerste is er volgens team Digit veel kennis en mankracht nodig om de beveiliging van computers die worden gehackt te doorbreken. In het Regeerakkoord is destijds 10 miljoen euro beschikbaar gesteld, onder andere om Digit zelf producten te laten ontwikkelen. Ook met dat extra bedrag is het volgens sommige geïnterviewden niet realistisch om de samenwerking met commerciële leveranciers volledig los te laten. Niet alleen omdat veel extra personeel moet worden aangenomen, maar ook omdat de kennisachterstand inmiddels zo groot zou zijn dat het kennisniveau van leveranciers niet geëvenaard kan worden.

Het tweede argument is dat leveranciers ook het onderhoud van hun product voor hun rekening nemen. Bij de aanschaf van een product sluit Digit een onderhoudscontract af, zodat de continue werking ervan zo veel mogelijk gewaarborgd kan blijven.

Het derde argument heeft te maken met de meldplicht. Hierover zeggen de auteurs: ‘mocht het mogelijk zijn voor Digit om een zelf gevonden onbekende kwetsbaarheid gebruiksklaar te maken, eerder is gebleken dat dit vooral vanwege de technische complexiteit een zo goed als hypothetische situatie is, dan vormt de meldplicht een belemmering. Het zelf vinden van een kwetsbaarheid betekent dat deze gemeld moet worden en dat de kwetsbaarheid, waarin veel energie gestoken is om die gebruiksklaar te maken, voor één of hooguit twee zaken kan worden gebruikt’.

Melding onbekende kwetsbaarheden

De melding van het gebruik van onbekende kwetsbaarheden verloopt niet bepaald soepel. De geïnterviewden wijzen er op dat artikel 126ffa Sv m.b.t. de meldplicht géén onderscheid maakt tussen de geautomatiseerde werken waarin de onbekende kwetsbaarheid gevonden wordt. Dat betekent “dat een kwetsbaarheid in een computersysteem dat geproduceerd is door en voor personen met criminele intenties hetzelfde behandeld moet worden als een kwetsbaarheid in een geautomatiseerd werk dat in gebruik is bij een groot deel van de Nederlandse burgers of in een geautomatiseerd werk binnen de ‘kritieke infrastructuur’.” Dat is een knelpunt voor de opsporingsprakrijk, omdat personen met criminele intenties uiteindelijk op de hoogte moeten worden gebracht dat in hun systeem zich een kwetsbaarheid bevindt. Het is volgens de respondenten ‘de vraag of dat werd bedoeld met het veiliger maken van computersystemen en het internet, een belangrijke reden waarom de meldplicht er is gekomen’.

Een tweede punt van kritiek is dat de meldplicht samenwerking met andere partijen bemoeilijkt, zowel internationaal als nationaal. Volgens enkele geïnterviewden bevindt Nederland zich in een uitzonderingspositie wat betreft de meldplicht.

Persoonlijk begrijp ik het goed dat de opsporingspraktijk geen melding wil doen aan een maker van hardware of software dat vooral door criminelen kan worden gebruikt. Maar de melding kan ook worden uitgesteld. In het rapport is te lezen dat (slechts) één keer een verzoek is gedaan een melding uit te stellen (en verder blijkbaar geen melding is gedaan). In het rapport wordt uitgelegd dat ze niet kunnen nagaan of de commerciële leverancier van onbekende kwetsbaarheden gebruik maakt en “omdat de onbekende kwetsbaarheden onbekend zijn bij Digit, geldt voor deze kwetsbaarheden niet de eerder besproken meldplicht”. Ik vond p. 95-107 over deze (controversiële) praktijk heel lezenswaardig.

Toezicht

Een groot deel van het rapport gaat over het toezicht (of eigenlijk met name over de problemen die praktijk ervaart met het toezicht) door de Inspectie Justitie & Veiligheid en de Keuringsdienst. Overigens lijkt de Inspectie zeer intensief toezicht te houden en de Keuringsdienst nogal ‘understaffed’ te zijn voor toezicht op de hackbevoegdheid en de technische middelen die daarvoor worden ingezet.

Hieronder volgen de (voor mij) belangrijkste conclusies over toezicht uit het rapport:

  • De reikwijdte van het toezicht van de Inspectie is op dit moment onderwerp van gesprek, vooral ten aanzien van het handelen van het Openbaar Ministerie. Uit het rapport blijkt ook dat er onenigheid bestaat over definitiekwesties.
  • Digit is met een deel van de door de Inspectie geconstateerde punten aan de slag gegaan, maar zegt ook met een deel ervan niets te zullen kunnen doen, omdat het Besluit op een aantal punten niet goed uitvoerbaar zou zijn.
  • De reactie van de minister op de Verslagen van de Inspectie werkt bij de Inspectie op sommige punten verbazing, omdat daaruit blijkt dat aan haar constateringen niet altijd gevolgtrekkingen worden verbonden.
  • Digit-OM heeft besloten dat de aard van een gebruikt commercieel middel zich verzet tegen een keuring. Het middel zal op basis van het Besluit en de geformuleerde keuringseisen (hoogstwaarschijnlijk) ook niet goedgekeurd kunnen worden. Wel neemt team Digit (en het tactisch team) maatregelen in het kader van aanvullende tactische en technische waarborgen bij middelen die niet (goed)gekeurd zijn.

In het rapport staat eufemistisch dat het toezicht ‘niet zonder discussie’ verloopt en ‘de verhouding lijkt enigszins stroever geworden te zijn’. Persoonlijk weet ik (nog) niet zo goed wat ik hier allemaal van moet denken. Blijkbaar is de discussie vastgelopen en komen de betrokken partijen niet voldoende tot elkaar. Uiteindelijk gaat het erom dat de waarborgen die wet stelt zo goed mogelijk worden nagekomen en de bevoegdheid daadwerkelijk kan worden uitgevoerd waar noodzakelijk, maar blijkbaar zijn sommige bepalingen voor de praktijk onuitvoerbaar.

De auteurs van het rapport merken – volgens mij terecht – op:

Daarom zou het goed zijn om met alle betrokken actoren gezamenlijk te kijken op welke manieren het beste een oordeel kan worden gegeven of gegevens op een betrouwbare, integere en herleidbare manier verzameld kunnen worden, ook wanneer gebruik wordt gemaakt van commerciële middelen. Het verzamelen van betrouwbare gegevens is per slot van rekening een belang dat alle actoren met elkaar delen.”

Maar suggesties voor concrete oplossingen ontbreken daarbij. Andere punten zoals het regelen van een steunbevoegdheid en eventueel m.b.t. de melding kan de wetgever oplossen. Kortom, er lijken genoeg belangrijke conclusies uit het rapport om op te pakken en waar de wetgever een rol in kan spelen. In dat opzicht vind ik het jammer dat zo laat een reactie van de minister volgt.

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman