Van zorgen over privacy naar zorgen over administratieve rompslomp

Dit stuk is eerder verschenen in Computerrecht 2021/57

Op 20 januari 2021 heeft de Commissie Jones-Bos haar evaluatierapport over Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) uitgebracht. Slechts twee jaar na de inwerkingtreding van de nieuwe wet op 1 mei 2018 werd het door het kabinet al noodzakelijk geacht deze wet te evalueren. In eerste instantie werd deze vervroegde evaluatie ingegeven vanuit privacyzorgen. De nieuwe wet was omstreden, met name vanwege de uitbreiding van de bevoegdheid tot bulkinterceptie op de kabel om meer internetverkeer te intercepteren (het ‘sleepnet’ genoemd). In het raadgevend referendum over de Wiv 2017 in april 2018 stemden in Nederland 49,44% van de mensen tegen en slechts 46,53% van de mensen voor de wet.

Net voor de start van de evaluatiecommissie vond er echter een kentering in het debat plaats. Tijdens het Kamerdebat over een tussentijdse wijzigingswet van de Wiv 2017 vroegen plotseling een aantal Kamerleden de minister of de nieuwe de Wiv 2017 door alle nieuwe administratieve verplichtingen nog wel voldoende ‘werkbaar’ was. Deze zorgen zijn o.a. ingegeven door de voormalige AIVD-baas Dick Schoof die in april 2019 in het programma Nieuwsuur nog waarschuwde dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. De evaluatiecommissie kreeg vervolgens expliciet de opdracht mee te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen’.

Het gevolg is dat er nu een rapport van 180 pagina’s ligt waar een groot deel van de aanbevelingen een ‘werkbaarder wet’ nastreven, soms ten koste van reeds bestaande privacywaarborgen. Het gaat dan bijvoorbeeld om het voorstel tot het schrappen van onafhankelijke voorafgaande toestemming door de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de kennisname van de inhoud van de communicatie en de geautomatiseerde analyse van metadata na bulkinterceptie. Ook zou het volgens de evaluatiecommissie eenvoudiger moeten worden bulkdata relevant te verklaren, waardoor grote hoeveelheden gegevens zonder maximale bewaartermijn bewaard mogen worden.

Het demissionaire kabinet heeft op 5 maart 2021 in een Kamerbrief laten weten de opdracht te geven de aanbevelingen van de evaluatiecommissie te vertalen in een wetsvoorstel. Mijn hoop is dat wetenschappers en Kamerleden de gevolgen van de voorstellen voldoende doorgronden en het wetsvoorstel kritisch beoordelen.

Jan-Jaap Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en redacteur van dit blad.

— UPDATE —

Op 21 april 2021 heeft Algemene Rekenkamer rapport ‘Operationele Slagkracht van de AIVD en MIVD: De Wet Dwingt, de Tijd Dringt, de Praktijk Wringt’ gepubliceerd. De belangrijkste conclusies zijn: (1) dat de nieuwe waarborgen uit de Wiv 2017 de inzet van bepaalde bijzondere bevoegdheden beperken het verzamelen van inlichtingen en de snelheid in internationale samenwerking, en (2) de constatering van een toename van de administratieve lasten voor de AIVD en de MIVD, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid.

De Algemene Rekenkamer geeft als verklaring van deze problemen mee: de suboptimale voorbereiding en inbreng van de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) op technisch en operationeel vlak op het wetstraject van de Wiv 2017, het ontbreken van een uitvoeringstoets, een onderschatting aard en omvang implementatie Wiv 2017, onvoldoende budget voor implementatie, achterstanden bij interne processen van de diensten, een tekort aan IT-capaciteit en achterstanden op IT-gebied.

Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly

Op 20 januari 2021 heeft de Commissie-Jones-Bos haar rapport ‘Evaluatie 2020. Wet op de inlichtingen- en veiligheidsdiensten 2017’ (.pdf) uitgebracht. De Wiv 2017 schrijft in artikel 167 voor dat de wet (telkens) na vijf jaar wordt geëvalueerd. Toch is besloten het evaluatieproces al twee jaar na de inwerkingtreding van de wet op 1 mei 2018 te starten.

De evaluatiecommissie verklaart dat de vervroegde evaluatie tegen de achtergrond van de ‘stevige maatschappelijke discussie over de Wiv 2017’, maar verwijst daarbij niet expliciet naar de uitslag van het raadgevend referendum waarbij meer mensen tégen de Wiv 2017 hebben gestemd, dan vóór (49,44% tegen en 46,53% voor de Wiv 2017). Hoewel de vervroegde evaluatie dus in eerste instantie was ingegeven door privacyzorgen, heeft de evaluatiecommissie klaarblijkelijk nadrukkelijk ook tot doel gehad de Wiv 2017 werkbaarder te maken. Het onderzoeken van de werkbaarheid van de Wiv 2017 was ook één van de opdrachten die de commissie van het kabinet heeft meegekregen.

In deze blogpost geef ik al mijn eigen korte reactie op belangrijke punten uit het rapport. Wie weet is het een begin van een volledige beschouwing van het rapport dat ik later in een artikel publiceer. Het kan zijn dat mijn standpunten later wijzigen (gelukkig mag dat in de wetenschap). Maar ik denk niet dat iedereen doorziet wat de mogelijke effecten zijn van de aanbevelingen en het leek mij goed in dit stadium hier al op te wijzen.

The good 

  • Het rapport is helder geschreven en bevat een heldere omschrijving van lastige onderwerp zoals: (1) het gebruik van bulkdata, (2) het proces van de verwerking van gegevens in de praktijk, (3) internationale samenwerking en de invloed van internationaal recht op het werk van de diensten, (4) het stelsel van toezicht.
  • De wettelijke regeling voor het verwerven van ‘register bulkdata’, zoals gegevens van de Kamer van Koophandel en de Rijksdienst Wegverkeer (RDW) voor kentekengegevens, is onvoldoende voorzienbaar en verdiend een aparte wettelijke basis (zie ook mijn oratie). Ook de waarborg van toestemming van de minister vind ik passend.
  • Een speciaal regime voor de (verdere) verwerking van bulkgegevens, incl. autorisatievereisten.
  • Voorstel tot aanpassing van de bijzondere bevoegdheid voor geautomatiseerde data-analyse aan (zie ook mijn recente preadvies en artikel hierover).
  • De aanbevelingen m.b.t. OOG-interceptie en de hackbevoegdheid.
  • De meeste aanbevelingen over internationale samenwerking (steviger waarborgen en bescherming van Nederlanders bij gegevensverstrekking aan buitenlande diensten).
  • De aanbevelingen over de reikwijdte van de TIB-toets en procedurele aanbevelingen over benoeming van de leden van de TIB en CTIVD.

The bad 

  • De aanbeveling voor één grondslag voor het verkrijgen van gegevens (incl. bulkdata) van Nederlandse medeoverheden. Deze aanbeveling is onvoldoende uitgewerkt. Vraagstukken zijn bijvoorbeeld: moet altijd verplicht worden verstrekt naar de diensten? En met welke waarborgen op het gebied van gegevensverwerking? Welke bewaartermijn geldt voor deze gegevens? In het strafrecht werd voor deze regeling een hele commissie aangesteld (de Commissie-Mevis met het rapport ‘Strafvorderlijke gegevensvergaring in de informatiemaatschappij‘).
  • Een nieuwe categorie voor geautomatiseerde data-analyse (‘GDA+’) met als argument (als ik het goed begrijp) dat alleen data-analyse waarbij wordt gewerkt met ‘statistische methoden’ (bijvoorbeeld bij profiling) privacy-intrusief zijn. Zogenoemde ‘naslagen’ waarbij allerlei soorten gegevens uit verschillende bronnen gekoppeld en gevisualiseerd kunnen worden zouden slechts een ‘beperkte privacy-inbreuk’ opleveren. Net zoals bijna twee jaar geleden (!) in een brief in reactie op een rechtseenheidbrief over geautomatiseerde data-analyse door de ministers uiteen is gezet. Het is een fundamenteel andere kijk op de privacy-effecten van data-analyse dan van veel juristen en dat verdient meer aandacht.  
  • Het schrappen van de bijzondere bevoegdheid van ‘selectie’ bij onderzoeksopdrachtgerichte-interceptie. Nu moet apart toestemming worden gegeven voor het kennisnemen van de inhoud na interceptie (zoals het uitluisteren van een telefoongesprek). Het voorstel is dit te schrappen (geen voorafgaande toestemming meer van de TIB). Maar welk probleem wordt hier opgelost en waarom is deze privacy-waarborg niet passend?
  • Het niet-samenvoegen van de TIB en CTIVD. Het stelsel werkt klaarblijkelijk niet zoals gehoopt (zoals eerder voorspeld door onder andere de Raad van State), mede door een verdergaande toetsing van de TIB dan gedacht. Volgens de aanbevelingen wordt de rol van TIB beduidend teruggeduwd, krijgt de afdeling toezicht van de CTIVD geen bindende toetsinstrumenten en worden verantwoordelijkheden meer belegd bij de verantwoordelijke ministers. Zie voor een andere kijk ook de bijdrage van de CTIVD aan de evaluatiecommissie.

The ugly 

  • De aanbeveling de relevantietoets aan te passen door een toets op ‘operationele waarde’. Het gevolg is dat bulkdatasets na de termijn van drie jaar bijna in hun geheel ‘van betekenis’ worden verklaard. De gevolgen voor het gegevenbeschermingsrecht zijn hier onvoldoende doordacht. Er geldt niet eens een maximale bewaartermijn van de gegevens. Het beginsel van ‘datareductie’ met een verplichte vernietiging van gegevens wordt hierdoor uitgehold.
  • De aanbeveling het mogelijk te maken begrippen voor te leggen aan de bestuursrechter. In een rechtsstaat kan een rechter beslissen over besluiten van een toezichtsorgaan, maar de toezichthouder interpreteert in eerste instantie de wet bij de taakuitvoering.

Conclusie

In de kern kan ik mij in veel gevallen vinden in de aanbevelingen van de evaluatiecommissie. Aandacht voor de werkbaarheid van wetgeving is belangrijk, ook in het kader van een effectieve bescherming van de nationale veiligheid.

Maar ‘the devil is in the details’ en ik heb veel vraagtekens bij de uitwerking van bepaalde voorstellen. Het rapport is ook niet altijd gebalanceerd, in de zin dat het soms super technisch-juridisch en over details gaat (zoals bij OOG-interceptie en de hackbevoegdheid) en andere keer weer heel hoog over is, zonder uitgebreid te toetsen aan de juridische basis of juridische consequenties (incl. grondrechten), met name m.b.t. bulkdatasets en geautomatiseerde data-analyse.

Het onvermijdelijke wetsvoorstel (ik verwacht dat een nieuw kabinet aan de hand van de aanbevelingen de opdracht geeft een wetsvoorstel voor te bereiden) en daaropvolgende de wetsbehandeling ga ik uiteraard met interesse volgen!