Tag privacy

Annotatie bij Contrafraternelle de la presse judiciaire e.a. t. Frankrijk 

jjoerlemans

Bron: afbeelding gecreëerd met WordPress AI en de (automatische) prompt: “Create a high-resolution, highly detailed image featuring a symbolic representation of judicial oversight within national intelligence services. Incorporate the French flag subtly in the background to emphasize the context of the legal case.”

Inleiding

Op het eerste gezicht lijkt de zaak Contrafraternelle de la presse judiciaire e.a. t. Frankrijk (ECLI:CE:ECHR:2024:1210DEC004952615) geen annotatie te verdienen. Het betreft namelijk grotendeels een niet-ontvankelijkheidsbeslissing van het Europees Hof voor de Rechten van de Mens (EHRM).

Toch hebben Mireille Hagens en ik een annotatie bij deze zaak geschreven, die in open access beschikbaar is op EHRC-Updates.nl. In deze zaak gaat het EHRM namelijk uitgebreid in op het Franse toezichtstelsel op de inlichtingen- en veiligheidsdiensten, en in het bijzonder op de vraag of een effectief rechtsmiddel (de ‘remedy’) wordt geboden.

Toezicht en klachtbehandeling in Frankrijk

Frankrijk kent een bijzonder toezichtstelsel, omdat de toets vooraf bij de inzet van sommige bevoegdheden, het toezicht tijdens de gegevensverwerking, en het toezicht achteraf (door middel van inspecties) en de behandeling van klachten, allemaal plaatsvinden door dezelfde toezichthouder: de Commission nationale de contrôle des techniques de renseignement (zie ook de informatieve website cnctr.fr)). Daarnaast speelt de Franse hoogste bestuursrechter, de Conseil d’État, een belangrijke rol. Deze fungeert als specialistische rechter en beroepsinstantie na de behandeling van klachten bij de CNCTR. In mijn recente rapport (.pdf) heb ik het Franse toezichtstelsel uitgebreider beschreven.

Conclusie annotatie

In ons uitgebreide commentaar leggen wij uit waarom het EHRM het Franse toezichtstelsel niet in strijd acht met de artikelen 6 en 13 EVRM. Deze zaak bood ook aanleiding om te onderzoeken of het Nederlandse stelsel nog voldoet aan de EHRM-vereisten die in deze uitspraak zijn geformuleerd. Die vraag is actueel geworden naar aanleiding van de regeringsplannen om mogelijk de Toetsingscommissie Inzet Bevoegdheden (TIB) en de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) samen te voegen.

Kort gezegd menen wij dat het huidige Nederlandse toezichtstelsel voldoet aan de EHRM-vereisten. Wel is het mogelijk de Nederlandse klachtenprocedure eventueel te versterken door inspiratie te halen uit het Franse systeem met als kenmerk de stevige rol voor de (hoogste) bestuursrechter. Daarmee sluiten wij ook aan bij het recente advies van de Raad van State over klachtbehandeling in de Wet op de inlichtingen- en veiligheidsdiensten.

Nieuwe Wet op de inlichtingen- en veiligheidsdiensten

Het toezicht op de inlichtingen- en veiligheidsdiensten staat in Nederland op een kruispunt. De komende herziening van de Wet op de inlichtingen- en veiligheidsdiensten biedt de kans om belangrijke keuzes te maken. De verwachting is dat de (nieuwe?) regering begin 2026 een wetsvoorstel voor een nieuwe Wiv aan de Tweede Kamer aanbiedt (zie de Stand van Zakenbrief van 17 juni 2025). Dit is daarom het moment om na te denken over de toekomst van het toezicht op de inlichtingen- en veiligheidsdiensten.

Annotatie bij het arrest van de Hoge Raad over gegevensdragers

jjoerlemans

Bron: WordPress. Automatisch gegenereerd met prompt: “Create a featured image for a blog post discussing the recent High Court ruling on data carriers, focusing on the theme of legal analysis and technology.”

De Hoge Raad stelt naar aanleiding van de zaak Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830 (CG t. Bezirkshauptmannschaft Landeck)) zijn eigen rechtspraak bij over het onderzoek op gegevensdragers. In mijn annotatie (.pdf) (gepubliceerd in Computerrecht 2025/90) bespreek ik achtereenvolgens de aanleiding van het arrest HR 18 maart 2025, ECLI:NL:HR:2025:409, schets ik de ontwikkeling ten aanzien van de Smartphone-arresten van de Hoge Raad, en analyseer ik de belangrijkste overwegingen uit het arrest. Hieronder volgt een verkorte versie van de annotatie.  

Ontwikkeling Smartphone-arresten

Het onderhavige arrest van de Hoge Raad betreft de cassatie op een arrest van het Hof Den Haag, waarin de raadsheren stelden dat als het voorzienbaar is dat als op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, de rechter-commissaris moet overwegen beperkingen aan dat onderzoek te verbinden. Het ging daarmee verder dan de Hoge Raad in eerdere jurisprudentie over het onderzoek aan gegevensdragers had geoordeeld. In een ander arrest overwoog het Hof Den Haag iets heel anders (ECLI:NL:GHDHA:2023:324), namelijk dat uit het (eerste Smartphone)-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584) zou volgen dat de doorzoekings- en inbeslagnemingsbevoegdheden van de rechter-commissaris mede de bevoegdheid inhouden om de gegevens op de gegevensdrager ongeclausuleerd te onderzoeken. 

De Hoge Raad verwijst naar eerdere jurisprudentie en merkt op dat voor de waarheidsvinding onderzoek mag worden gedaan aan in beslag genomen voorwerpen – waaronder in computers opgeslagen gegevens – teneinde gegevens voor het strafrechtelijk onderzoek ter beschikking te krijgen. In de bekende ‘Smartphone-arresten’, stelde de Hoge Raad eerder dat voor stelselmatig onderzoek aan ‘elektronische gegevensdragers’ en ‘geautomatiseerde werken’ (hierna: gegevensdragers) een bevel van een officier van justitie of machtiging van een rechter-commissaris noodzakelijk is. Stelselmatigheid betekende in deze context dat ‘een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk’ wordt verkregen.  

Bijstelling Smartphone-jurisprudentie

De Hoge Raad doet een krachtige bijstelling van de geformuleerde norm uit de voorgaande Smartphone-arresten. Het ‘stelselmatigheidscriterium’ wordt namelijk losgelaten. In plaats daarvan noemt het bepaalde typen gegevens op een gegevensdrager, waarbij toegang tot die gegevens kunnen leiden tot een ernstige of bijzonder ernstige inbreuk op het recht op privacy en de bescherming van persoonsgegevens van de betrokkene. Daar is sprake van als op voorhand is te voorzien dat door het onderzoek aan de smartphone (of andere elektronische gegevensdrager of geautomatiseerd werk) inzicht wordt verkregen in verkeers- en locatiegegevens, of in andersoortige gegevens (zoals foto’s, de browsergeschiedenis, de inhoud van via die smartphone uitgewisselde communicatie, en gevoelige gegevens). Het sluit daarbij aan op de typen gegevens die ook door het HvJ EU in de Landeck-uitspraak worden genoemd. Als de politie en justitie in zo’n geval onderzoek willen verrichten aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken, dan is voor dat onderzoek – behalve in spoedeisende gevallen – een voorafgaande toetsing door de rechter-commissaris vereist. Daarbij neemt de Hoge Raad in aanmerking dat het openbaar ministerie niet kan worden aangemerkt als een onafhankelijk bestuursorgaan. De verdachte zal in het algemeen van deze gronden op de hoogte komen als de stukken die op het onderzoek betrekking hebben, bij de processtukken worden gevoegd.

Daarbij gelden de volgende procedureregels. De officier van justitie kan een vordering sturen tot het verkrijgen van een machtiging van de rechter-commissaris voor het verrichten van het onderzoek aan de betreffende gegevensdrager. In geval van dringende noodzaak kan de machtiging van de rechter-commissaris mondeling worden gegeven. In dat geval stelt de rechter-commissaris de machtiging binnen drie dagen op schrift. Als de officier van justitie een machtiging van de rechter-commissaris vordert, moet in deze vordering voldoende concreet worden omschreven welk onderzoek aan de gegevensdrager zal worden verricht en hoe dit onderzoek zal worden uitgevoerd. Bij het verlenen van een machtiging voor het gevorderde onderzoek kan de rechter-commissaris zo nodig nadere eisen stellen aan het te verrichten onderzoek.

De Hoge Raad stelt dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. De bevoegdheden van opsporingsambtenaren zoals neergelegd in artikel 94 in samenhang met artikel 95 en 96 Sv en in artikel 141 en 148 lid 1 Sv bieden een toereikende grondslag voor een onderzoek aan voorwerpen – waaronder ook elektronische gegevensdragers en geautomatiseerde werken – als de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd. De wet vereist in zo’n geval geen voorafgaande rechterlijke toetsing of tussenkomst van de officier van justitie. De Hoge Raad noemt daarbij twee situaties waarbij daar sprake van kan zijn: 1. onderzoek dat slechts strekt tot het identificeren van de gebruiker; en 2. Het bekijken van een aangetroffen gegevensdrager bij een verdachte, waarbij ‘enkele beperkte waarnemingen’ worden gedaan over ‘het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand’. Als nadere toelichting wordt dan genoemd dat het kan gaan om welke contacten de gebruiker van een telefoon kort tevoren heeft gelegd.

De Hoge Raad bevestigd ook dat de rechter-commissaris gehouden is een instructie te geven welk onderzoek moet plaatsvinden en hoe dit onderzoek moet worden uitgevoerd. De rechter-commissaris kan beperkingen aanbrengen bij het te verrichten onderzoek. Het Hof Den Haag gaf meer concrete suggesties mee. Beperkingen kunnen worden aangebracht ten aanzien van het aantal te onderzoeken gegevensdragers, van de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag, et cetera), of van de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende elektronische gegevensdrager zijn terechtgekomen. Ook kan volgens het hof worden gekozen voor fasering van toegestane onderzoekshandelingen, waarbij de rechter-commissaris tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek. De Hoge Raad noemt verder dat door het onderzoek geautomatiseerd uit te voeren met behulp van een technisch hulpmiddel (forensische software) en door schriftelijke vastlegging van de uitkomsten van dat onderzoek, de inrichting en omvang van het onderzoek duidelijk kan worden. Dit kan bijdragen aan het waarborgen dat geen grotere inbreuk wordt gemaakt op de persoonlijke levenssfeer van de gebruiker dan noodzakelijk is.

Nabeschouwing

De Hoge Raad meent zelf dat het Landeck-arrest met zich meebrengt dat het onderzoek aan gegevensdragers op een “enigszins andere manier moet worden genormeerd”. Dat is nogal eufemistisch, omdat de praktijk helemaal anders moet. Veel vaker dan voorheen moet nu een machtiging van een rechter-commissaris worden verkregen bij onderzoek op gegevensdragers, omdat het al snel voorzienbaar is dat een ernstige inbreuk op het privéleven van een persoon kan plaatsvinden. In het recente verleden werd in de lagere rechtspraak bijvoorbeeld nog het kennisnemen van ‘enkele foto’s’ of ‘enige Whatsapp-berichten’ gezien als een ‘beperkte privacy-inbreuk’ (Zie bijvoorbeeld HR 10 juli 2018, ECLI:NL:HR:2018:1121 (foto’s in een fotogalerij op een smartphone), Hof Arnhem-Leeuwarden 14 juli 2017, ECLI:NL:GHARL:2017:6069 (afbeeldingen op een SD-kaart), Hof Arnhem-Leeuwarden 3 november 2023, ECLI:NL:GHARL:2023:9312 (sms en Whatsapp verkeer), en Rb. Rotterdam 17 april 2024, ECLI:NL:RBROT:2024:3887 (openstaand Whatsapp-gesprek)). Vanwege de nieuwe categorieën van de inhoud van communicatie en foto’s, worden deze handelingen nu gezien als een ernstige privacy-inbreuk, waarvoor voortaan toestemming van de rechter-commissaris noodzakelijk is. Bovendien is het onderzoek aan gegevens niet standaard ongeclausuleerd; nu moet worden uitgelegd op welke wijze het onderzoek moet worden uitgevoerd.

De Hoge Raad maakt, in navolging van de conclusie van Advocaat Generaal Harteveld, een wat vreemde vergelijking met de dataretentie-zaak La Quadrature du Net II (zie ook HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens). Uit deze dataretentie-uitspraak zou namelijk zijn af te leiden dat onderzoek aan gegevensdragers ook een beperkte inmenging in de grondrechten van de gebruiker kan meebrengen, afhankelijk van de keuzes en de inrichting van de aard van het te verrichten onderzoek. Het opvragen van gebruikersgegevens bij een elektronische communicatiedienst laat zich echter lastig vergelijken met onderzoek aan smartphones. In Landeck wordt niet gerept over een beperkte privacy-inbreuk, maar overweegt het HvJ EU wel dat de ernst van de inmenging met het recht op privacy en het recht op bescherming van persoonsgegevens (onder andere) afhangt van ‘de aard en de gevoeligheid van de gegevens’ waartoe de bevoegde politiediensten zich toegang kunnen verschaffen. In het geschetste scenario van een beperkte privacy-inmenging door de Hoge Raad, is het lastig na te gaan of de opsporingsambtenaar zich ook aan het beperkte onderzoek houdt.

De Hoge Raad acht het noodzakelijk dat in de aanvraag van de officier van justitie of de machtiging van de rechter-commissaris voor onderzoek aan de gegevensdrager beschreven staat welk onderzoek moet plaatsvinden, en hoe dit onderzoek moet worden uitgevoerd. Dat neemt niet weg dat er in de praktijk nog steeds sprake kan zijn van een tamelijk breed onderzoek op apparaten, zeker als niet vooraf duidelijk is welke informatie zal worden aangetroffen, terwijl deze gegevens mogelijk wel relevant kunnen zijn voor het opsporingsonderzoek. De suggestie van het Hof Den Haag van gefaseerde onderzoekshandelingen – evenals beperkingen in het aantal te onderzoeken gegevensdragers, de te onderzoeken gegevens, of de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd – zou de evenredigheid van een dergelijk onderzoek kunnen waarborgen.

In de literatuur is vooral de vraag opgeworpen of het arrest ertoe leidt dat bij het maken van een kopie (een ‘image’) van een gegevensdrager, zoals een smartphone, een machtiging van een rechter-commissaris is vereist. Ik sluit mij aan bij Taylor Parkins-Ozephius & Van Toor dat het maken van een image doorgaans een onderzoekshandeling is waarvoor een machtiging van een rechter-commissaris is vereist, omdat op voorhand redelijk is te voorzien dat een ernstige privacy-inbreuk zal plaatsvinden vanwege de verkeers- en locatiegegevens en gevoelige gegevens die zich op deze apparaten bevinden. In het bevel of in de machtiging moet vervolgens worden gemotiveerd op welke wijze het onderzoek zal plaatsvinden en waarom dat proportioneel is.

Aanpassen van wetgeving

Op 1 april 2025 heeft de Tweede Kamer ingestemd met boek 2 van het nieuwe Wetboek van Strafvordering over het opsporingsonderzoek. Artikel 2.7.38 van dit nieuwe Wetboek van Strafvordering bevat echter nog de driedeling n.a.v. de oude Smartphone-arresten. Deze driedeling is nu door de Hoge Raad vervangen door de tweedeling (de beperkte en ernstige privacy-inbreuk), met veel meer concrete categorieën van persoonsgegevens i.p.v. het criterium van ‘stelselmatigheid’ om te bepalen dat sprake is van een ernstige privacy-inbreuk. Naar aanleiding van het onderhavige arrest zal dit artikel daarom moeten worden aangepast.

Daarnaast is het belangrijk na te gaan welke consequenties het arrest moet hebben voor andere bevoegdheden (en de voorgestelde regelingen in het nieuwe Wetboek van Strafvordering) met betrekking tot het onderzoek op gegevensdragers. In het bijzonder denk ik aan de bevoegdheid tot het doorzoeken van een plaats ter vastlegging van gegevens op deze plaats die op een gegevensdrager zijn opgeslagen of vastgelegd (art. 125i Sv) en aan de netwerkzoeking in art. 125j Sv. Het ligt voor de hand hierbij hetzelfde criterium aan te leggen voor het bepalen van een ernstige privacy-inbreuk en dezelfde procedurele waarborg aan te leggen van voorafgaande toestemming van een onafhankelijke autoriteit. Zoals ik eerder in mijn annotatie met Anna Berlee bij HR 5 april 2022, ECLI:NL:HR:2022:475Computerrecht 2022/186 heb aangegeven zou de wetgever daarbij ook een nieuwe autoriteit kunnen overwegen, in plaats van deze voorafgaande machtiging bij de rechter-commissaris te beleggen. In de tussentijd moet de praktijk geïnstrueerd worden over deze nieuwe normering voor onderzoek aan gegevensdragers. Vermoedelijk levert het een stevige verzwaring van het takenpakket van de rechter-commissaris, gezien het feit dat smartphones en andere gegevensdragers een dankbare bron aan bewijs in strafzaken lijken te zijn.

New article about Commercially Available Information and OSINT

jjoerlemans

Our article “Balancing National Security and Privacy: Examining the Use of Commercially Available Information in OSINT Practices”, co-authored by myself and Sander Langenhuijzen, is now published in open access in the International Journal of Intelligence and CounterIntelligence! Of course, a .pdf is also available. You can also listen to the automatically generated podcast below, which I created with Google’s Notebook LM.

Summary

In our article, we critically examine how intelligence and security services utilize commercially available information from OSINT tools and consider its impact on data protection rights. Our analysis builds on the work of the Dutch oversight committee on intelligence and security services and the U.S. Office of the Director of National Intelligence.

It was fascinating to discover that while this OSINT practice is seen as a national security threat in the United States, it is perceived more as a privacy threat in continental Europe (particularly in the Netherlands). Despite these differing perspectives, the recommendations from oversight authorities and existing legal provisions on lawful information processing are remarkably similar.

We propose the following four steps to ensure necessary safeguards are in place to prevent the abuse of personal information in modern OSINT practices:

  1. Prior to using OSINT tools or acquiring commercially available information, intelligence and security services must be aware: (a) how data are processed, (b) what data are processed, and (c) why the data are processed, in order to identify risks of abuse of these data. In other words, intelligence and security services should first assess their impact in a data protection impact assessment and take measures to mitigate risks.
  2. The intelligence community should set up standards and procedures and implement safeguards, such as identifying the need for and value of the use of these data (while balancing this with the impact on fundamental rights), analyze the vendor and data quality, apply acquisition mechanics (such as procurement procedures), and periodically evaluate these standards. Then, intelligence and security services should implement safeguards when processing commercially available information, such as data minimization approaches and techniques, as well as limits on retention, access, querying, other use, and the dissemination of commercially available information.
  3. OSINT practitioners must be appropriately educated and brought up to speed with the “do’s and don’ts” with OSINT tools. Intelligence and security services should periodically evaluate their policy and guidelines and review their practices.
  4. An independent and effective oversight authority should scrutinize whether legislation and internal policies are respected.

Finally, we suggest that the use of commercially available data in other contexts, especially in the cybersecurity and the financial sector, warrants further research.

La Quadrature du Net e.a. II: Meer ruimte voor bewaarplicht van identificerende gegevens

jjoerlemans Een reactie plaatsen

La Quadrature du Net e.a. II (HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370) gaat over de toegang tot identificerende gegevens en de verwerking daarvan door een Franse toezichthouder (Hadopi) die schendingen van auteursrechten op internet tegengaat. De Franse privacyvoorvechter en non-profit organisatie La Quadrature du Net heeft met een aantal andere belangenorganisaties een zaak tegen de Franse staat aangespannen, omdat zij van mening zijn dat een bewaarplicht voor dit doeleinde een disproportionele inbreuk maakt op de fundamentele rechten van personen. Eerder boekte de belangenorganisatie La Quadrature du Net succes met een soortgelijke procedure. Wij schreven hierover eerder de overzichtsannotatie ‘De dataretentie-uitspraken: is er licht aan het einde van de tunnel?’.

Het Hof van Justitie van de Europese Unie acht nu een algemene bewaarplicht van identificerende gegevens van internetgebruikers om auteursrechtinbreuken tegen te gaan onder voorwaarden toelaatbaar. Het gaat daarbij met name om een duidelijke regeling met waarborgen tegen misbruik, voorwaarden voor de verwerking van de gegevens, het toezicht daarop en de rechten van een betrokkene als het tot een procedure komt. In onze annotatie bespreken we het arrest en de voorwaarden die het HvJ EU stelt uitvoerig.  

Onze annotatie is in open acces gepubliceerd in EHRC-Updates.nl. Lees daar bijvoorbeeld ook de interessante annotatie van Dave van Toor en Celine Taylor Parkins-Ozephius over de Grensoverschrijdende aspecten van de EncroChat-operatie.

Jan-Jaap Oerlemans & Mireille Hagens

Citeerwijze: HvJ EU 30 april 2024, C-470/21, ECLI:EU:C:2024:370 (La Quadrature du Net e.a. II), EHRC-Updates.nl, m.nt. J.J. Oerlemans & M. Hagens

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman

Van zorgen over privacy naar zorgen over administratieve rompslomp

jjoerlemans

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

jjoerlemans

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!  

Privacy en bulkinterceptie in de Wiv 2017

jjoerlemans Een reactie plaatsen
Privacy-en-bulkinterceptie-in-de-Wiv-2017-Oerlemans-en-Hagens-def-1Download

Posted on 14/08/2019 op Oerlemansblog

Samen met mijn collega Mireille Hagens heb ik het artikel ‘Privacy en bulkinterceptie in de Wiv 2017’ geschreven voor het themanummer van ‘Privacy’ van Ars Aequi. In het artikel gaan we uitgebreid in op de bijzondere bevoegdheid tot het in bulk tappen van communicatie (‘bulkinterceptie’); in de Wet op de inlichtingen- en veiligheidsdiensten 2017 ‘onderzoeksopdrachtgerichte interceptie’ genoemd.

In het artikel leggen we uit hoe het stelsel van onderzoeksopdrachtgerichte interceptie precies is geregeld, met daarbij speciale aandacht voor de bijzondere bevoegdheid van ‘geautomatiseerde data-analyse’ als onderdeel daarvan. Ook bespreken we welke waarborgen daarbij in de Wiv 2017 zijn voorzien voor de rechtsbescherming van burgers en hoe deze zich verhouden tot de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) over bulkinterceptie. De zaken Big Brother Watch e.a. en Centrum för Rättvisa (2018), waarin het EHRM zich baseert op eerdere jurisprudentie zoals de Grote Kameruitspraak in Roman Zakharov (2015), krijgen in onze analyse daarbij de meeste aandacht. Zie ook mijn eigen analyse van de big Brother Watch-zaak in mijn annotatie.

annotatie-Big-Brother-Watch-J.J.-Oerlemans-1Download

Stevige regeling voor bulkinterceptie

In ons artikel constateren wij dat voor onderzoeksopdrachtgerichte interceptie de Wiv 2017 sterke waarborgen biedt, waaronder het getrapte systeem van voorafgaande toestemming door de minister en de toetsing hiervan door de Toetsingscommissie Inzet Bevoegdheden (TIB) voor de interceptie zelf, maar ook voor de optimalisatie van het interceptieproces en de nadere analyse van de onderschepte gegevens uit interceptie.

Het stelsel voor onderzoeksopdrachtgerichte interceptie voldoet daarmee aan een belangrijk kritiekpunt in de Big Brother Watch-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces). Overigens bestaat de mogelijkheid dat de Grote Kamer van het EHRM, waar deze zaak nu voorligt, tot een ander oordeel komt over bulkinterceptie als bijzondere bevoegdheid. De resultaten van onze analyse kunnen daardoor wijzigen, maar dat is niet onze verwachting.

Knelpunt: geautomatiseerde data-analyse

Als knelpunt in de Wiv 2017 identificeren wij de beperkte reikwijdte van de regeling voor de bijzondere bevoegdheid tot geautomatiseerde data-analyse. In de bovengenoemde EHRM-zaken legt het Hof goed uit dat dat de analyse van metadata uit telecommunicatie een zware inmenging in het recht op privacy van de betrokkenen kan inhouden. De reden is dat metadata gevoelig kan zijn, omdat het onder meer informatie kan bevatten over de identiteit van beide communicerende partijen, hun contacten, hun geolocatie en gebruikte apparatuur. Bij de opslag en analyse van deze gegevens in bulk wordt de inmenging in het recht op privacy groter, omdat het daarmee mogelijk is de contacten van een persoon, bewegingen en locaties, internetgeschiedenis en communicatiepatronen in kaart te brengen (zie par. 353-355 uit Big Brother Watch e.a)).

Geautomatiseerde data-analyse krijgt om deze reden ook een specifieke regeling in artikel 50 Wiv 2017, maar nog weinig aandacht gekregen in de literatuur. Wij wijzen er in het artikel op dat de bijzondere bevoegdheid slechts geldt voor de metadata-analyse van gegevens uit onderzoeksopdrachtgerichte interceptie (en geen andere bevoegdheden) met het doel om personen of organisaties te identificeren (en niet voor andere doelen). Het zou duidelijk moeten zijn welke data-analyses dan precies buiten de regeling van artikel 50 lid 1 sub b jo lid 4 Wiv 2017 vallen. Tot dusver is dat echter nog onduidelijk, mede door een gebrek aan nadere duiding in de toelichting op de wet.

De CTIVD en de TIB hebben in 2018 aangegeven dat de bijzondere bevoegdheid ook voor analyse van metadata afkomstig uit andere bevoegdheden zou moeten gelden. De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben daarentegen in hun reactie (brief en  bijlage (.pdf)) aangegeven dat de bevoegdheid slechts zou moeten gelden in gevallen waarbij de analyse tot een ‘substantiële privacy-inbreuk’ leidt.

Meenemen in de evaluatie Wiv 2017?

Het is interessant om te zien of de bijzondere bevoegdheid van geautomatiseerde data-analyse in de evaluatie van de Wiv 2017 wordt meegenomen en mogelijk een andere invulling krijgt. Het onderwerp is in het nieuwe wetsvoorstel ‘Wijzigingswet Wiv 2017’ in ieder geval niet meegenomen. De evaluatie moet overigens voor 1 mei 2020 van start gaan en hiervoor moet nog een commissie worden ingesteld.