Publicatie HR rapport over de hackbevoegdheid

Op 9 november 2022 heeft de Hoge Raad een onderzoeksrapport over de hackbevoegdheid gepubliceerd (.pdf). Het onderzoek zag op de periode van 2019-2021. De Hoge Raad, met procureur-generaal Edwin Bleichrodt als rapporteur, is opvallend positief over de uitvoering van de hackbevoegdheid. In de conclusie is te lezen:

“De wijze waarop het OM toepassing geeft aan de bevoegdheid tot het uitvoeren van onderzoek in een geautomatiseerd werk voldoet ten aanzien van de onderzochte gevallen tijdens de onderzoeksperiode 2019-2021 grosso mode aan de wettelijke voorschriften. In alle onderzochte zaken is op zichzelf voldaan aan beginselen van proportionaliteit en subsidiariteit.”

De volgende aantallen over 2019-2021 worden genoemd, waarbij het – als ik het goed begrijp – ook kan gaan om andere bevoegdheden dan de hackbevoegdheid, zoals direct afluisteren (art. 126l Sv).

Zie p. 111 van het rapport. En Let op: zaken waar ‘onderzoek in een geautomatiseerd werk’ is uitgevoerd in een ander land en onder gezag van de justitiële autoriteiten van dat andere land worden niet meegeteld (JJO: zoals EncroChat en SkyECC die juist een grote(re) invloed op de strafrechtpraktijk hebben), evenals zaken waarin een ander land via een rechtshulpverzoek om ‘onderzoek in een geautomatiseerd werk’ heeft verzocht.

Dit blogbericht licht slechts het verbeterpunt met betrekking tot de verbalisering en het gebrek aan toezicht uit. Zie voor alle aanbevelingen p. 141 van het rapport.

(Geheim) Commercieel hulpmiddel

Het geheime commerciële technische hulpmiddel dat verreweg in de meeste zaken (33 van de 36) wordt gebruikt, kan volgens de speciaal toegewezen officier van justitie (DIGIT officier) (en andere rechercheofficieren) niet worden gekeurd. Het systeem – dat bestaat uit zowel hardware als software – wordt vaak geüpdatet, zonder dat vooraf bekend is wanneer die updates plaatsvinden. Het is opvallend dat volgens de onderzoekers (JJO: beschreven met wat vaag taalgebruik, zoals wel vaker in het rapport) ‘de afwegingen van de digit-officier omtrent de geschiktheid voor keuring’ “plausibel voorkomen” (p. 113).

In het rapport wordt helder uitgelegd wat de bezwaren waren tegen de inzet van commerciële software (en het mogelijke gebruik van onbekende kwetsbaarheden). Daarbij wordt opgemerkt dat ‘de eventuele aanwezigheid van dergelijke kwetsbaarheden voor politie en het OM veelal niet bekend zal zijn’ en over de toets dat het commerciële product niet aan dubieuze regimes mag worden geleverd ‘mogen geen hoge verwachtingen worden gekoesterd’. Toch constateren de onderzoekers dat ‘een afweging van de hierboven geschetste risico’s en bezwaren enerzijds en het belang van de bestrijding van ernstige criminaliteit anderzijds, waarbij aan het tweede prioriteit is gegeven, is binnen het OM centraal en op zichzelf zorgvuldig tot stand gekomen. Het OM heeft het geldende rechtskader daarbij niet miskend’. Zij concluderen (JJO: in wat typische bewoordingen) dat:

“niet worden geoordeeld dat dit gebruik als zodanig in strijd is met de beginselen van proportionaliteit, subsidiariteit en behoorlijkheid in individuele zaken. Het probleemveld is voor het overige politiek van aard, zodat hier met de signalering van het voorgaande wordt volstaan”

 (p. 118) (JJO: door mij dikgedrukt).

“Betrekkelijk minutieus” geregelde bevoegdheid

Tussen de regels door is wel te lezen dat de PG het een streng gereguleerde bevoegdheid vindt. Zie p. 80:

“De weergegeven schets van dit regelkader (JJO: de eerste 80 pagina’s van het rapport (!)) maakt duidelijk dat de bevoegdheid die in de artikelen 126nba lid 1, 126uba lid 1 en 126zpa lid 1 Sv aan de officier van justitie is toegekend (op sommige punten) betrekkelijk minutieus is geregeld. Dat bergt het risico van een zekere starheid in zich, die het OM beperkt in de ruimte om in te spelen op nieuwe ontwikkelingen of om rekening te houden met de omstandigheden van het geval.”

Het is wel een heel voorzichtig geformuleerde “conclusie”, waardoor het niet helemaal duidelijk is wat dan het gevolg van die conclusie moet zijn. Zie in vergelijkbare zin ook de afsluiting van Ybo Buruma’s blog over ‘wettelijke hackbevoegdheden’: “De rapportages over de wettelijke hackbevoegdheden lijken geruststellend vanuit het oogpunt van geldend recht. Maar dat betekent niet dat het geldend recht optimaal is.”

Verbeteringen

De belangrijkste constatering met betrekking tot de hackbevoegdheid vind ik het volgende:

“In de processen-verbaal die de politie opstelt over de toepassing van het hacken wordt met het oog op de afscherming van methodieken slechts zeer globaal en op zeer korte wijze verantwoording afgelegd over het toepassen van de hackbevoegdheid.” (uit het persbericht)

Op p. 102 is bijvoorbeeld te lezen dat over de onderzoeksdoelen van de hackbevoegdheid het ‘LP DIGIT’ het standpunt heeft ingenomen dat ‘onderzoekshandelingen niet méér concreet kunnen worden omschreven dan dat “gegevens worden overgenomen”. Indien ook wordt omschreven op welke wijze dat overnemen plaatsvindt, zal de toegepaste methode (mogelijk) worden prijsgegeven.’ De identiteit van het technische hulpmiddel, de broncode en/of de specificaties kunnen niet worden prijsgegeven. Overigens worden in de praktijk andere opsporingsmiddelen ook wel ingezet om de informatie dat wordt verkregen door toepassing van de hackbevoegdheid te verifiëren (p. 122).

Het bovenstaande staat mijns inziens wel in spanning met het recht op een eerlijk proces en het beginsel van equality of arms. Het vormt een belangrijk punt van discussie voor in de toekomst als belangrijk bewijs met de hackbevoegdheid en gebruik van software is verzameld.

De PG beveelt hierover het OM aan “op meer concrete wijze invulling te geven aan de plicht verantwoording af te leggen over de uitvoering van het hacken. Datzelfde geldt voor het opnemen van de vereiste informatie in het hackbevel zelf.”

Verder zien enkele van de suggesties op het beschermen van communicatie van professionele geheimhouders, zoals artsen en advocaten. De procureur-generaal bij de Hoge Raad adviseert het Openbaar Ministerie om de rechter-commissaris een regisserende rol toe te kennen bij de selectie van geheimhoudersgegevens, eventueel in afwachting van nieuwe regelgeving die door de procureur-generaal op dit punt wenselijk wordt geacht.

Al met al is de PG van de Hoge Raad mijns inziens tamelijk mild over de niet-naleving van de keuring, mogelijk gebruik van onbekende kwetsbaarheden en gebruik van commerciële software. Het rapport getuigt van een pragmatische insteek, met begrip van en voor de praktijk, waarbij duidelijk keuzes zijn gemaakt voor belangrijke verbeterpunten voor het OM.

Gebrek aan toezicht op de hedendaagse gedigitaliseerde strafrechtspraktijk

Een andere belangrijke conclusie uit het rapport waar ik nog aandacht aan wil geven gaan over gebreken in het toezicht op de gedigitaliseerde politiepraktijk.  

De PG van de Hoge Raad schetst in p. 1-3 het rapport de belangrijke ontwikkeling dat het OM steeds intensiever samenwerkt met publiekrechtelijke en privaatrechtelijke partijen.

“Samen met verschillende partners probeert het OM te kiezen voor interventies die een maximaal effect sorteren. Het strafrecht wordt hierbij ingezet als ‘optimum remedium’ en als instrument dat in verbinding staat met andere vormen van handhaving en toezicht.

Bij deze andere vormen van handhaving en toezicht is de strafrechter niet de eerst aangewezene om controle uit te oefenen. Een substantieel deel van het werk van het OM onttrekt zich daardoor aan het gezichtsveld van de strafrechter.

Vanuit rechtsstatelijk oogpunt is het wenselijk en noodzakelijk dat de controle en het toezicht op de uitoefening van bevoegdheden door of onder verantwoordelijkheid van het OM worden versterkt, vooral voor zover de uitoefening van die bevoegdheden slechts in beperkte mate aan rechterlijk toezicht is onderworpen.”

Daarnaast wijzen zij erop dat ‘een effectieve bestrijding van computercriminaliteit de toepassing van alternatieve interventies, zoals preventieve of verstorende maatregelen richting cybercriminelen, digitale infrastructuur of facilitators vergt’. (met uitgebreide verwijzing naar het interessante WODC-rapport over de ‘Verstoring van cybercriminaliteit’ (de .pdf is hier te vinden)).

En: “het toenemend gebruik van de telefoon- en internettap, de opslag van verkeersgegevens omtrent internet- en telefoongebruik, de registratie en opslag van kentekengegevens (ANPR), de toepassing van gezichts- en gedragsherkenningssoftware bij het cameratoezicht, en de overige toepassingen van digitale opsporingsmethoden tot de verwerking (registratie, opslag en afgifte) van een immense hoeveelheid (persoons)gegevens. Op al deze terreinen is controle door de strafrechter onvolledig of zelfs nagenoeg afwezig.”

Het is mooi dat de PG van de Hoge Raad het bovenstaande allemaal observeert. Maar als zijn toezichtsclub zo’n drie jaar doet over één toezichtsrapport op één bijzondere opsporingsbevoegdheid, geeft dit rapport niet direct vertrouwen in effectief toezicht op deze (bredere) praktijk. Gelukkig wordt dat ook in het rapport erkent. Op p. 6 en 7 is namelijk te lezen:

“Volgens de Afdeling advisering van de Raad van State is structureel systeemtoezicht nodig op de rechtmatige uitoefening van opsporingsbevoegdheden waarbij gebruik wordt gemaakt van ICT in zaken die niet aan de strafrechter zijn voorgelegd” (…) “Structureel systeemtoezicht op de rechtmatige uitoefening van taken van het OM op het terrein van opsporingsbevoegdheden zal de PG-HR niet kunnen bieden. De PG-HR is wel in staat (en bereid) tot het bieden van aanvullend toezicht in de vorm van thematische, probleemgerichte onderzoeken”. (JJO: woorden zijn door mij dikgedrukt).

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

De Wijzigingswet Wiv 2017

De ‘Wijzigingswet 2017’ krijgt weinig aandacht in de literatuur en media, maar er staan toch belangrijke bepalingen in het wetsvoorstel die ik even op een rijtje wil zetten. Het wetsvoorstel betreft voor een belangrijk deel de codificatie van de Beleidsregels Wiv 2017. De Beleidsregels waren ingevoerd gelet op de zorgen in de samenleving, zoals deze onder meer uit de uitslag van het raadgevend referendum over de Wiv 2017 zijn gebleken (49,44% stemmen tegen en 46,53% stemmen voor de Wiv 2017).

In deze blogpost bespreek ik niet niet alle bepalingen van het wetsvoorstel Wijzigingswet Wiv 2017 maar de aanpassingen van (in mijn ogen) de belangrijkste artikelen rond het gerichtheidsvereiste en het delen van ongeëvalueerde gegevens met buitenlandse diensten. Daarnaast signaleer ik nog een paar interessante vragen en antwoorden in het Kamerdebat over het wetsvoorstel.

Belangrijke wijzigingen Wiv 2017

1. Het gerichtheidsvereiste

In artikel 5 van de Beleidsregels Wiv 2017 staat dat bijzondere bevoegdheden “zo gericht mogelijk” moeten worden ingezet. Het nieuwe vereiste die per 1 mei 2018 van kracht is, is geïntroduceerd naar aanleiding van de motie Recourt. In de motie stond dat het wenselijk is dat het gerichtheidsvereiste voor álle bevoegdheden geldt en niet alleen voor de bijzondere bevoegdheden zoals in de Beleidsregels is opgenomen. In de Beleidsregel en de toelichting wordt echter niet uitgelegd wat het gerichtheidsvereiste behelst.

In het wetsvoorstel wordt in de memorie van toelichting (p. 4-5) verduidelijkt dat onder “zo gericht mogelijk” wordt verstaan

“in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus.”

De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object. Per inzet van een bevoegdheid krijgt het vereiste aldus zijn uitwerking. Zonder voorbeelden blijft deze uitleg natuurlijk wel wat vaag. Het was overigens sowieso al gek dat het vereiste niet eerder was gedefinieerd.

In de praktijk is wel ervaring met het vereiste opgedaan, waar de CTIVD ook al op heeft getoetst. In CTIVD-rapport nr. 64 (2019) over de selectie van geïntercepteerde communicatie uit de ether, constateert de toezichthouder bijvoorbeeld dat in de aanvraag tot de inzet van de bijzondere bevoegdheid tot selectie in één geval een heldere omschrijving ontbrak van de organisatie ten aanzien waarvan de selectiebevoegdheid werd ingezet. De geformuleerde groep was te ruim omschreven en in de aanvraag was niet omschreven waarom sprake was van een organisatie.

En in het CTIVD-rapport nr. 63 (2019) over filtering bij ‘onderzoeksopdrachtgerichte interceptie’ (bulkinterceptie) gaf de toezichthouder aan dat bij een specifieke vorm van satellietinterceptie tijdens de onderzoeksperiode ‘een deel van gebruikte verwerkingssystemen alle inhoud en metadata van herkende typen data or protocollen doorlaat. Het zonder meer opslaan van gegevens op deze manier laat zich niet verenigen met het vereiste dat de interceptie ‘zo gericht mogelijk’ dient te zijn’ (onderstreping toegevoegd). In reactie op beide rapporten zeiden de ministers zich in te spannen deze onrechtmatigheden in de toekomst te voorkomen.

Als het wetsvoorstel Wijzigingswet Wiv 2017 wordt aangenomen en van kracht is, geldt het gerichtheidsvereiste verder voor álle bevoegdheden. Daartoe wordt artikel 26 Wiv 2017 gewijzigd, waar nu ook de andere algemene vereisten van proportionaliteit en subsidiariteit zijn neergelegd. Als gevolg daarvan moet het vereiste ook worden toegepast bij de inzet van algemene bevoegdheden zoals de informantenbevoegdheid en het stelselmatig verzamelen van persoonsgegevens op internet. Als je bijvoorbeeld gegevens opvraagt bij een bedrijf of instelling op grond van de informantenbevoegdheid (die dat dan al dan niet vrijwillig verstrekt), dan vraag je dat zo gericht mogelijk; bijvoorbeeld de gegevens van het target die je als dienst in de gaten houdt en niet een hele database. Een dergelijke toets raakt overigens ook sterk de proportionaliteitstoets en subsidiariteitstoets, maar goed. Vanuit het perspectief van de bescherming van fundamentele rechten is de bepaling zeker een winst, omdat het als extra waarborg kan fungeren voor alle bevoegdheden.

2. Delen van ongeëvalueerde gegevens met buitenlandse diensten

Het wettelijk kader voor het delen van gegevens is nogal ingewikkeld. In deze blogpost sluit ik aan bij de uitleg uit de memorie van toelichting en het nader verslag.

In het nader verslag wordt uitgelegd dat voorafgaand aan het aangaan van een samenwerkingsrelatie met een buitenlandse dienst een ‘wegingsnotitie’ wordt opgesteld. In de wegingsnotitie wordt aan de hand van wettelijk vastgelegde criteria, zoals de ‘democratische inbedding van de buitenlandse dienst’ en ‘de eerbiediging van mensenrechten door het betreffende land’, nagegaan of een dergelijke samenwerkingsrelatie kan worden aangegaan en in hoeverre gegevens kunnen worden uitgewisseld. Daarbij wordt onderscheid gemaakt tussen geëvalueerde of ongeëvalueerde gegevens. Ongeëvalueerde gegevens zijn gegevens waarvan de AIVD en de MIVD te weinig kennis van de inhoud hebben om een adequate weging te kunnen maken van de noodzaak, behoorlijkheid en zorgvuldigheid van de verstrekking van de gegevens.

De door de minister van BZK of minister van Defensie verleende toestemming voor het aangaan van de samenwerkingsrelatie bepaalt dus ook de grenzen van die samenwerking en of er gegevens mogen worden verstrekt en zo ja, welke soorten gegevens.

Artikel 64 Wiv 2017 vormt een uitzondering op deze regeling. In het kader van een goede taakuitvoering kan de AIVD of de MIVD op grond van een dringende en gewichtige reden – bijvoorbeeld indien men beschikt over gegevens die wijzen in de richting van een ophanden zijnde terroristische aanslag in het desbetreffende land – gegevens verstrekken aan de buitenlandse dienst waarmee geen samenwerkingsrelatie bestaat. Dat mag alleen met toestemming van de verantwoordelijke minister. Het kan daarbij óók gaan om de verstrekking van ongeëvalueerde gegevens.

De aanpassing ziet er op de situatie dat er wél een samenwerkingsrelatie is, maar de wegingsnotitie aangeeft dat het regulier niet is toegestaan gegevens met de buitenlandse dienst te delen. Door aanpassing van artikel 64 Wiv 2017 wordt dit bij bovengenoemde gewichtige redenen wel mogelijk met toestemming van de verantwoordelijke minister. Als er toch al een uitzondering is met toestemming van de minister de gegevens te delen bij gewichtige redenen, is het wat mij betreft ook niet gek dat dit ook mogelijk wordt gemaakt als er wel een samenwerkingsrelatie bestaat. De CTIVD wordt overigens via een melding op de hoogte gesteld bij een verstrekking van ongeëvalueerde gegevens.

In het nader verslag vragen leden van GroenLinks nog hoe het staat met het internationaal toezicht op het delen van gegevens met buitenlands diensten. De minister van Defensie herhaalt dat bij samenwerkingsverbanden de controle op de handelingen van de inlichtingen- en veiligheidsdiensten door de nationale toezichthouders plaatsvindt. Het is volgens minister ‘te vroeg om voor het toezicht op samenwerkingsverbanden multilaterale afspraken te maken over het integraal wegnemen van wettelijke beperkingen voor de uitwisseling van staatsgeheime gegevens tussen toezichthouders’.

Tweede Kamerdebat (nota naar aanleiding van het verslag)

Tijdens het Tweede Kamerdebat over de Wijzigingswet Wiv 2017 kwamen een aantal interessante onderwerpen voorbij (zie de ‘nota naar aanleiding van het verslag’). Ik licht er drie uit.  

1. Geclausuleerde toestemming TIB

De leden van de Partij van de Dieren vroegen zich of in hoeverre het mogelijk is dat de TIB ‘geclausuleerd’ voorafgaand aan de inzet goedkeuring geeft van de inzet van (bepaalde) bijzondere bevoegdheden die door de minister zijn goedgekeurd. Dan wordt dus goedkeuring gegeven, maar onder voorwaarde dat bij de uitvoering ergens rekening mee wordt gehouden. Blijkbaar ziet de partij deze ruimte niet, omdat in artikel 36 lid 2 Wiv 2017 is vastgelegd dat de commissie oordeelt of de toestemming van de minister rechtmatig is. Deze toestemming zou ook geen geheime voorwaarden toelaten volgens de partij. De minister van Defensie beaamt dat strikt genomen de Wiv 2017 niet voorziet in de mogelijkheid tot geclausuleerde goedkeuring. In de praktijk is dit slechts in enkele situaties voorgekomen, zo geeft zij aan. Opvallend is dat verderop wordt gezegd dat: 

“Mocht een geclausuleerde goedkeuring door de TIB voor de inzet van de bijzondere bevoegdheid overigens voorwaarden bevatten die om verschillende redenen als niet aanvaardbaar worden beschouwd (praktisch onwerkbaar, verschil in interpretatie wettelijke bepalingen e.d.), dan ligt het voor de hand dat – nu de verleende toestemming niet van rechtswege is vervallen – deze door de Minister wordt ingetrokken.”

Ten slotte wordt gewezen op de aanstaande evaluatie (die uiterlijk start op 1 mei 2020, maar waarvan de Commissieleden nog niet publiekelijk bekend zijn) zich buigt over ‘de hele inrichting, de functie en de plek van de TIB in het bestel, een en ander tegen de achtergrond van de ministeriële verantwoordelijkheid’. Het vraagstuk geclausuleerde goedkeuring door de TIB maakt daar onderdeel van uit.

2. ‘Werken met grote gegevenssets en GDA’

Verder vond ik het interessant – en ook terecht overigens – dat verschillende Kamerleden vroegen of de regering kon ingaan op de kritiek van de TIB over de verzameling van grote gegevenssets door middel van hacken of informanten. De leden van GroenLinks geven aan dat ook bij andere bevoegdheden gegevens in bulk worden verzameld, ook van personen die niet in onderzoek zijn bij de diensten. De leden vragen waarom deze waarborgen niet in bindende bepalingen zijn gegoten voor GDA-verwerking van alle verzamelde data, of deze data nu uit een open bron zijn verkregen, via een zogeheten bulk-hack zijn binnengehaald, met de OOG-interceptie bevoegdheid zijn afgevangen of van een andere dienst zijn ontvangen. De minister geeft aan dat dit onderwerp niet wordt behandeld in de Wijzigingswet en daarom hier niet op wordt ingegaan. Het wordt mogelijk in de wetsevaluatie betrokken.

Ook wordt de suggestie om de waarborgensystematiek voor geautomatiseerde data-analyse na bulkinterceptie op bijvoorbeeld metadata in de Wiv 2017 uit te breiden, wordt niet door de minister omarmt. De minister is er geen voorstander van, omdat dan voor ‘alle gevallen van geautomatiseerde data-analyse waarbij persoonsgegevens worden verwerkt, toestemming van de minister en een toets van de TIB noodzakelijk zou zijn’. Dat is mijns inziens afhankelijk van hoe je het regelt, maar de minister geeft in ieder geval aan een dergelijke regeling niet wenselijk te vinden.

De minister zegt dat ook geautomatiseerde data-analyse onderwerp kunnen zijn voor de wetsevaluatie. De minister wilt eerst de resultaten van de evaluatie af te wachten, alvorens tot aanpassingen van het stelsel te komen. De leden van wetsevaluatie gaan het dus nog druk krijgen gezien het aantal onderwerpen op die voor hen op de agenda zijn geplaatst! (zie deze Kamerbrief (.pdf) uit november 2019).  

3. Regelgeving en invloed opslagkracht van de diensten

De leden van CDA- en VVD fractie stelden verschillen vragen ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘op welke wijze met het voorliggende wetsvoorstel de slagkracht van de diensten wordt bevorderd en de disproportionele bureaucratisering van het werk van de diensten tegengegaan’.

De minister (die uiteraard haar eigen wetsvoorstel verdedigde) antwoordde daarop dat de bepalingen uit de Wijzigingswet  2017 naar inschatting werkbaar zijn. Over de bepalingen uit de Wiv 2017 (ten opzichte van de Wiv 2002) antwoord de minister dat de AIVD en de MIVD ‘intensief betrokken’ waren bij de totstandkoming van de wet en naar hun beste vermogen een inschatting hebben gemaakt van de impact van de nieuwe regels op hun werkwijze. Maar: ‘in de toepassingspraktijk is gebleken dat op onderdelen er frictie kan ontstaan tussen de wettelijke norm (en de wijze waarop deze is toegelicht) en de werkbaarheid voor de praktijk’. De minister wordt niet concreter welke onderdelen dat zijn en geeft aan dat ‘een en ander’ bij de wetsevaluatie wordt ingebracht.