Tag Wiv 2017

Annotatie bij Contrafraternelle de la presse judiciaire e.a. t. Frankrijk 

jjoerlemans

Bron: afbeelding gecreëerd met WordPress AI en de (automatische) prompt: “Create a high-resolution, highly detailed image featuring a symbolic representation of judicial oversight within national intelligence services. Incorporate the French flag subtly in the background to emphasize the context of the legal case.”

Inleiding

Op het eerste gezicht lijkt de zaak Contrafraternelle de la presse judiciaire e.a. t. Frankrijk (ECLI:CE:ECHR:2024:1210DEC004952615) geen annotatie te verdienen. Het betreft namelijk grotendeels een niet-ontvankelijkheidsbeslissing van het Europees Hof voor de Rechten van de Mens (EHRM).

Toch hebben Mireille Hagens en ik een annotatie bij deze zaak geschreven, die in open access beschikbaar is op EHRC-Updates.nl. In deze zaak gaat het EHRM namelijk uitgebreid in op het Franse toezichtstelsel op de inlichtingen- en veiligheidsdiensten, en in het bijzonder op de vraag of een effectief rechtsmiddel (de ‘remedy’) wordt geboden.

Toezicht en klachtbehandeling in Frankrijk

Frankrijk kent een bijzonder toezichtstelsel, omdat de toets vooraf bij de inzet van sommige bevoegdheden, het toezicht tijdens de gegevensverwerking, en het toezicht achteraf (door middel van inspecties) en de behandeling van klachten, allemaal plaatsvinden door dezelfde toezichthouder: de Commission nationale de contrôle des techniques de renseignement (zie ook de informatieve website cnctr.fr)). Daarnaast speelt de Franse hoogste bestuursrechter, de Conseil d’État, een belangrijke rol. Deze fungeert als specialistische rechter en beroepsinstantie na de behandeling van klachten bij de CNCTR. In mijn recente rapport (.pdf) heb ik het Franse toezichtstelsel uitgebreider beschreven.

Conclusie annotatie

In ons uitgebreide commentaar leggen wij uit waarom het EHRM het Franse toezichtstelsel niet in strijd acht met de artikelen 6 en 13 EVRM. Deze zaak bood ook aanleiding om te onderzoeken of het Nederlandse stelsel nog voldoet aan de EHRM-vereisten die in deze uitspraak zijn geformuleerd. Die vraag is actueel geworden naar aanleiding van de regeringsplannen om mogelijk de Toetsingscommissie Inzet Bevoegdheden (TIB) en de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) samen te voegen.

Kort gezegd menen wij dat het huidige Nederlandse toezichtstelsel voldoet aan de EHRM-vereisten. Wel is het mogelijk de Nederlandse klachtenprocedure eventueel te versterken door inspiratie te halen uit het Franse systeem met als kenmerk de stevige rol voor de (hoogste) bestuursrechter. Daarmee sluiten wij ook aan bij het recente advies van de Raad van State over klachtbehandeling in de Wet op de inlichtingen- en veiligheidsdiensten.

Nieuwe Wet op de inlichtingen- en veiligheidsdiensten

Het toezicht op de inlichtingen- en veiligheidsdiensten staat in Nederland op een kruispunt. De komende herziening van de Wet op de inlichtingen- en veiligheidsdiensten biedt de kans om belangrijke keuzes te maken. De verwachting is dat de (nieuwe?) regering begin 2026 een wetsvoorstel voor een nieuwe Wiv aan de Tweede Kamer aanbiedt (zie de Stand van Zakenbrief van 17 juni 2025). Dit is daarom het moment om na te denken over de toekomst van het toezicht op de inlichtingen- en veiligheidsdiensten.

Publicatie rapport ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’

jjoerlemans

Van januari 2025 tot en met juli 2025 heb ik gewerkt aan een rapport over ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’ (.pdf). In opdracht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie bracht ik het toetsings- en toezichtstelsel op de inlichtingen- en veiligheidsdiensten in kaart van Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk. Mijn buitenpromovenda Naomi Stal werkte met name aan het hoofdstuk over het Verenigd Koninkrijk.

De aanleiding voor dit onderzoek is dat deze informatie mogelijk gebruikt kan worden bij de aangekondigde wijziging van de Wet op de inlichtingen- en veiligheidsdiensten (meest recent nog genoemd in deze Kamerbrief van 17 juni 2025). In deze blog benoem ik de belangrijkste onderzoeksresultaten en licht ik toe welke bevindingen tot meer discussie (zouden moeten) leiden.

Luister eventueel ook naar de onderstaande (automatisch gegenereerde) podcasts of bekijk het rapport:

Podcast (in English, 22-minute version, with more attention to the ECtHR case law)

Podcast (in English, short 6-minute version, focusing on the main research results)

Onderzoeksresultaten

Kort gezegd heb ik eerst een normatief kader opgesteld om de toetsingsmechanismen en het toezicht op de inlichtingen- en veiligheidsdiensten in de genoemde landen in kaart te brengen. Daarbij bouwde ik voort op eerder werk van mijzelf en anderen over de vereisten voor toezicht op de inzet van bulkinterceptie. Dit kader werkt goed voor de onderzochte landen, omdat in elk van deze landen bulkinterceptie wordt uitgevoerd door nationale SIGINT-organisaties en elk land het EVRM heeft geratificeerd. Behalve Denemarken heeft ook elk land het gemoderniseerde gegevensbeschermingsverdrag Conventie 108+ ondertekend, dat óók van toepassing is op het inlichtingen- en defensiedomein.

Het toezichtmodel (zie Figuur 1 hieronder) gebruik ik vervolgens om het toezicht op de inlichtingen- en veiligheidsdiensten in Denemarken, Zweden, Frankrijk en het Verenigd Koninkrijk te beschrijven.

Figuur 1: Het stelsel van toezicht ten aanzien van bulkinterceptie

(bron: J.J. Oerlemans, ‘Toezicht op buitenlandse inlichtingen- en veiligheidsdiensten’, Universiteit Leiden 2025, p. 28)

Toezicht vooraf (ex ante)

De meeste landen hebben een onafhankelijke instantie of rechter die toestemming moet geven voor de inzet van bulkinterceptie, zoals is vereist in de ex ante-fase door het EHRM.

In Zweden voert een specialistische rechtbank een rechtmatigheidstoets uit op aanvragen voor bulkinterceptie. Kenmerkend is dat er in Zweden ook een speciaal aangestelde ‘privacyfunctionaris’ betrokken is bij dit oordeel, om de privacybelangen van betrokkenen te beschermen. Een wetsvoorstel uit 2025 moet ook in Denemarken voorzien in een voorafgaande toets door een dergelijk ‘Inlichtingenhof’. Dat ontbreekt vooralsnog in Denemarken.

Doorlopend toezicht (ex durante)

In elk van de onderzochte landen is een specialistische toezichthouder aanwezig die de rechtmatigheid van gegevensverwerkingen controleert. De toezichthouders in Denemarken, Frankrijk en het Verenigd Koninkrijk beschrijven in detail hoe zij deze ex durante-controle uitvoeren, met name door middel van geautomatiseerde controlesystemen en controle van logging via inspecties. In Frankrijk is zelfs een speciale organisatie opgericht om de specialistische toezichthouder CNCTR te faciliteren bij de toegang tot en ‘online controles’ van de systemen van de Franse inlichtingen- en veiligheidsdiensten.

Toezicht achteraf (ex post)

Elk van de onderzochte landen kent een specialistische toezichthouder voor het ex post-toezicht op inlichtingen- en veiligheidsdiensten, inclusief hun bulkinterceptieactiviteiten. Deze toezichthouders publiceren hun onderzoeksresultaten in een jaarrapport. Daarbij valt op dat niet elke toezichthouder bij het constateren van onrechtmatigheden bindende beslissingen kan nemen. 

Naar aanleiding van de uitspraak Centrum för Rättvisa e.a. zijn er veel ontwikkelingen in wet- en regelgeving om verzoekers een effectief rechtsmiddel te bieden via een klachtregeling. De invulling daarvan – via een afdeling bij de toezichthouder of een speciale rechtbank – verschilt per land.

Frankrijk is het enige land waar de toets vooraf op de inzet van vergaande bevoegdheden, het toezicht tijdens en achteraf, én de behandeling van klachten zijn ondergebracht bij één en dezelfde specialistische toezichthouder op de inlichtingen- en veiligheidsdiensten. In de beslissing Association Confraternelle de la Presse Judiciare et Autres achtte het EHRM dit stelsel niet problematisch en vond het de hoger beroepsfunctie van de Conseil d’État belangrijk en goed in elkaar zitten.

In deze blog licht ik verder alleen het ex post toezicht op bulkinterceptie in Denemarken uit. De ex post-toezichtsfase in Denemarken kent aanzienlijke beperkingen. Deense wet- en regelgeving bevat geen gedetailleerde regeling voor bulkinterceptie, en de toezichthouder TET heeft geen toegang tot de ruwe gegevens die met SIGINT worden verzameld. Bovendien richt de huidige taakstelling van TET zich op de rechtmatigheid van gegevensverwerkingen van particulieren en rechtspersonen die in Denemarken verblijven. De verantwoordelijke minister van een inlichtingen- en veiligheidsdienst (FE) heeft het laatste woord over wetsinterpretaties, wat vragen oproept over onafhankelijkheid.

Een wetsvoorstel uit 2025 moet daar verandering in brengen. De toezichthouder TET zou daarbij een breder toezichtmandaat krijgen, een voorafgaande toetsing voor bulkinterceptie wordt georganiseerd, en het toezicht wordt versterkt met een ‘College van toezicht op de inzagerechten’, met bindende bevoegdheden waartegen geen beroep mogelijk is bij de rechter.

Discussie

Het rapport brengt de toetsingsmechanismen en toezichtstelsels van de genoemde landen in kaart. Het maakt dus geen vergelijking met Nederland en bevat geen waardering of evaluatie van de stelsels in andere landen. Dat betekent echter niet dat er geen lessen uit kunnen worden getrokken. Ik nodig dan ook andere onderzoekers uit om de resultaten te benutten.

Nederland staat namelijk aan de vooravond van een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten, met aanpassingen in het toezichtstelsel. Daarbij kan inspiratie worden geput uit hoe deze stelsels in andere landen zijn ingericht.

Maar let wel op, zoals zo vaak geldt: the devil is in the details, en bepaalde onderzoeksresultaten verdienen nadere beschouwing. In het rapport heb ik dat slechts beperkt gedaan. Ik noem ter afsluiting enkele opvallende resultaten per land.

Zoals hierboven al aangegeven, voldoet Denemarken kortgezegd niet aan de EHRM-vereisten uit Big Brother Watch e.a.. Een recent wetsvoorstel moet dat deels repareren, maar introduceert ook bredere bevoegdheden met betrekking tot ‘bulkverzameling’ (bulkdatasets). Ook in Zweden loopt een wetsvoorstel dat de inlichtingen- en veiligheidsdiensten meer ruimte moet geven voor de verzameling en verwerking van gegevens uit bulkdatasets. In Nederland is dat onderwerp deels geregeld in de Tijdelijke Cyberwet, die op 1 juli 2024 in werking is getreden.

Van Zweden vond ik het verder opvallend dat het Nationaal Cybersecurity Centrum, net als in veel andere landen, verantwoordelijk is voor de bescherming van vitale infrastructuren en daarvoor tot op zekere hoogte internetverkeer mag monitoren. Maar er is geen specifieke wet- en regelgeving of toezicht op deze activiteiten geregeld. Verrassend is dat in Denemarken de toezichthouder TET juist wél jaarlijks moet rapporteren over de activiteiten van het NCSC. Het toezicht op nationale cybersecuritycentra noem ik dan ook als een van de mogelijkheden voor vervolgonderzoek naar aanleiding van het rapport. Alhoewel NCSC’s geen inlichtingen- of veiligheidsdienst zijn, heb ik deze wel voor elk land beschreven.

Frankrijk beschikt over gedetailleerde wet- en regelgeving en biedt (op papier) een duidelijk en effectief rechtsmiddel aan personen die menen dat inlichtingen- en veiligheidsdiensten mogelijk onrechtmatig hebben gehandeld. Opvallend is echter dat de toezichthouder CNCTR – met overigens de zeer informatieve website CNCTR.fr – géén toezicht houdt op de gegevensuitwisseling door de inlichtingen- en veiligheidsdiensten. Dat wijkt af van de praktijk in andere landen.

Het toezichtstelsel in het Verenigd Koninkrijk is eveneens interessant, met voorafgaande toetsing én doorlopend en ex post toezicht door IPCO. De wet- en regelgeving voor bulkinterceptie en toezicht is gelaagd en complex, en ziet er op papier goed uit. Tegelijkertijd werd duidelijk dat IPCO toezicht moet houden op meer dan 600 organisaties in het Verenigd Koninkrijk. De aandacht moet dan wel sterk verdeeld worden…

Ik hoop van harte dat ook andere onderzoekers kunnen voortbouwen op deze onderzoeksresultaten. Wellicht is het ook leuk en zinvol om andere landen via het model van toezicht op bulkinterceptie in kaart te brengen. Zelf hoop ik het model ook in toekomstig onderzoek nog te gebruiken. Voor nu wens ik iedereen een fijne zomer toe!

Einde leerstoel en aankondiging symposium

jjoerlemans

Na vijf jaar is op 1 februari 2025 de leerstoel Inlichtingen en Recht aan de Universiteit Utrecht geëindigd. Daarmee is ook een einde gekomen aan mijn bijzonder hoogleraarschap. Ik blijf echter werkzaam als universitair docent Strafrecht aan de Universiteit Leiden. In 2024 heb ik uit enthousiasme ervoor gekozen mij volledig te richten op onderzoek en onderwijs en voor de universiteit te werken.

Korte terugblik
Van 2020 tot 2025 heb ik met veel plezier de leerstoel Inlichtingen en Recht bekleed. Veel dank ook aan de CTIVD voor het mogelijk maken van de leerstoel. Mijn focus lag op onderzoek, de begeleiding van mijn promovenda Sophie Harleman bij haar proefschrift, en het geven van lezingen en gastcolleges om het vakgebied te bevorderen en te promoten. Een grote klus was het schrijven van Tekst & Commentaar op de Wet op de inlichtingen- en veiligheidsdiensten, dat ik met veel plezier samen met Mireille Hagens heb opgepakt. Sinds vorig jaar begeleid ik ook Naomi Stal als buitenpromovenda in haar proefschriftonderzoek op het snijvlak van inlichtingen en opsporing.

Werkzaamheden
De afgelopen jaren heb ik gepubliceerd over onderwerpen zoals bulkinterceptie, de bewaarplicht van communicatiegegevens en de verwerking van gegevens ter bescherming van de nationale veiligheid (zie ook mijn publicaties). Ook heb ik de regulering van inlichtingenwerk in andere domeinen, zoals in het strafrecht en bestuursrecht, verkend. Door middel van interviews, lezingen, blogs en gastcolleges, waaronder drie keer voor Studium Generale van de Universiteit Utrecht, heb ik geprobeerd de soms complexe wetgeving en vraagstukken toegankelijk te maken voor een breder publiek.

Symposium
Op maandagmiddag 17 maart 2025 neem ik op feestelijke wijze afscheid van mijn tijd bij de Universiteit Utrecht met het symposium: ‘Seminar: 7 jaar na de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) – Tijd voor verandering? – Nieuws & Agenda – Universiteit Utrecht’. Met bijdragen van de nieuwe generatie onderzoekers op dit vakgebied, zoals Sophie Harleman en Rowin Jansen.

Bekijk deze webpagina voor meer informatie en schrijf je daar nu nog in. Er zijn slechts nog een beperkt aantal plaatsen beschikbaar.

Reflectie voorgestelde aanpassingen Wet op de inlichtingen- en veiligheidsdiensten

jjoerlemans

De Vaste commissie voor Binnenlandse Zaken van de Tweede Kamer houdt zich momenteel bezig met de beoordeling van de voorgenomen wijzigingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De voorgenomen wijzigingen staan in de hoofdlijnennotitie zijn hoofdzakelijk gebaseerd op de aanbevelingen van de Commissie Jones-Bos, die in 2020 haar – wat premature – evaluatie uitvoerde en in 2021 publiceerde.

Op verzoek van deze commissie hebben wij een zogenoemde factsheet (.pdf) geschreven voor het samenwerkingsverband ‘Parlement & Wetenschap’. In september 2024 hebben wij deze factsheet toegelicht aan de rapporteurs van de commissie: Barbara Kathmann (GroenLinks-PvdA) en Jesse Six Dijkstra (NSC). Deze blog geeft onze factsheet in verkorte vorm weer.

1.     Problematiek uitvoering van bulkinterceptie en de hackbevoegdheid

Onze hoofdboodschap is dat de Tijdelijke cyberwet reeds enkele urgente knelpunten in de uitvoering van bijzondere bevoegdheden beoogt op te lossen, maar deze oplossingen niet altijd voldoende duidelijk regelt. Dit is met name zo met betrekking tot de reikwijdte van de rechtmatigheidstoets van de Toetsingscommissie Inzet Bevoegdheden (TIB). De problematiek bij bulkinterceptie op de kabel en de uitvoering van de hackbevoegdheid wordt gekenmerkt door een verschil in interpretatie over de reikwijdte van de toetsing door de TIB bij de inzet van deze bevoegdheden. De Tijdelijke cyberwet verlegt onder meer de voorafgaande toets te naar meer dynamisch toezicht tijdens de uitvoering van deze bevoegdheden. Eerder hebben wij afzonderlijk van elkaar ook betoogd dat dit een goede balans kan opleveren tussen voldoende slagkracht voor de diensten en voldoende waarborgen voor de bescherming van fundamentele rechten.

Het is volgens ons de vraag of de Tijdelijke cyberwet de eerder gesignaleerde knelpunten geheel kan wegnemen. Er bestaat nog steeds onduidelijkheid over het criterium van ‘zo gericht mogelijk’ bij bulkinterceptie, evenals over de reikwijdte van de toetsing door de TIB bij – bijvoorbeeld – de toetsing van technische risico’s bij de inzet van de hackbevoegdheid. Ook blijft onduidelijk of de TIB in het kader van de toets geclausuleerde toestemming mag geven met voorwaarden die zien op de verdere gegevensverwerking, zoals bewaartermijnen voor bulkdatasets of het delen van gegevens met buitenlandse inlichtingen- en veiligheidsdiensten.

Wij zijn ons ervan bewust dat het gebrek aan een effectieve inzet van kabelinterceptie voor een deel is te verklaren door tekorten in IT-capaciteit en achterstanden of uitvoeringsproblemen bij de diensten zelf. Voldoende huisvesting en capaciteit voor de toezichthouders zijn ook cruciaal. Wij realiseren ons terdege dat met wetgeving niet alle problemen kunnen worden opgelost, en dat organisatorische knelpunten ook een rol spelen. Desondanks is voldoende duidelijkheid over taakstellingen van alle betrokken partijen vereist. De voortdurende discussies over kwesties als het gerichtheidsvereiste, klaarblijkelijk ook tussen de TIB en de CTIVD onderling, moeten ophouden. Daarbij is meer afstemming en samenwerking vereist, onder een gedeelde verantwoordelijkheid (zie ook paragraaf 3 onder Toezicht).

2.     Bulkdatasets

In de hoofdlijnennotitie worden prima uitgangspunten benoemd voor de omgang met bulkdatasets. Daarbij geldt het devies: ‘bulk is bulk’, ongeacht hoe de data zijn verworven, en is het voornemen om een uniforme regeling voor bulkdatasets te creëren. Daarnaast wordt een stap aan het toestemmingsproces toegevoegd, waarbij de bulkbehoefte voorafgaand aan het toestemmingsverzoek wordt voorgelegd aan de minister.

De hoofdlijnennotitie voorziet desondanks in een differentiatie voor bepaalde bulkdatasets die via de informantenbevoegdheid geraadpleegd kunnen worden. Zoals eerder is betoogd, is het noodzakelijk de informantenbevoegdheid te herzien en een duidelijke en voorzienbare regeling te creëren voor (al dan niet geautomatiseerde) toegang van de AIVD en de MIVD tot gegevens van andere (overheids)instanties. De regeling in de Tijdelijke cyberwet is onvoldoende, omdat bulkdatasets óók kunnen worden verzameld met algemene bevoegdheden, zoals de informantenbevoegdheid, en uit OSINT. Daarnaast kunnen bulkdatasets worden verkregen van buitenlandse inlichtingen- en veiligheidsdiensten in het kader van internationale samenwerking. De Tijdelijke cyberwet is hierop niet van toepassing. Het is goed dat de diensten een eigen tussentijdse regeling aanhouden, maar dit zou bij wet geregeld moeten worden.

3.     Toezicht

De hoofdlijnennotitie biedt verschillende scenario’s met betrekking tot het toezichtstelsel. Gezien de discussies en ontwikkelingen in aanloop naar de Tijdelijke cyberwet lijken deze scenario’s al enigszins achterhaald. Met de Tijdelijke cyberwet heeft de wetgever duidelijk gekozen voor meer dynamisch toezicht, met name om de knelpunten van de statische voorafgaande toets tegen te gaan (zie paragraaf 2). Duidelijk is ook dat voor bepaalde bevoegdheden, zoals bulkinterceptie en de hackbevoegdheid, voorafgaande onafhankelijke toetsing noodzakelijk is. De verdere gegevensverwerking en de naleving van andere artikelen in de Wiv 2017 moeten door een onafhankelijk orgaan getoetst worden. Betrokkenen moeten de mogelijkheid hebben een klacht in te dienen, die vervolgens door een onafhankelijk orgaan dient te worden behandeld, en waar bindende beslissingen op kunnen volgen.

Volgens ons wijzen alle pijlen naar het creëren van één toezichthouder die – in aparte kamers – zowel een voorafgaande toets uitvoert, als achteraf toezicht houdt (scenario 3 uit de hoofdlijnennotitie). De Tijdelijke wet laat zien dat de uitvoering van toezicht met end-to-end safeguards ook afstemming vereist tussen de TIB en de CTIVD. De beide toezichthouders hebben zelf in jaarverslagen te kennen gegeven op te willen gaan in één ‘Autoriteit Nationale Veiligheid’. Het moet daarbij mogelijk zijn dat zij staatsgeheime informatie met elkaar delen. In een systeem van checks & balances is de beroepsmogelijkheid op beslissingen van de TIB en bindende oordelen van de CTIVD bij de afdeling bestuursrechtspraak van de Raad van State een welkome aanvulling. Het is echter te vroeg om een appreciatie van dit nieuwe systeem in het kader van de Tijdelijke wet te geven, aangezien er nog geen jurisprudentie ligt.

Uit bovenstaande paragrafen volgt onze aanbeveling dat de ervaringen met de Tijdelijke cyberwet via een volgende evaluatie mee te nemen in een nieuw wetgevingsproces.

4.     Grijsgebieden

Ten slotte is het dreigingsbeeld in de afgelopen jaren sterk veranderd. Nieuwe cyberdreigingen – wij noemen in onze factsheet desinformatie en cyberspionage – en ondermijnende criminaliteit worden nu door de AIVD opgepakt. Het is echter maar de vraag in hoeverre al deze dreigingen in gelijke mate de nationale veiligheid raken, en daarmee tot het taakgebied van de diensten zijn te rekenen. Het terugkerende punt is dat veel onduidelijkheid bestaat over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen.

Het is ons bijvoorbeeld onvoldoende duidelijk in hoeverre de AIVD, het Nationaal Cyber Security Centrum en andere onderdelen van het ministerie van Justitie en Veiligheid gegevens met elkaar mogen uitwisselen over de (cyber)dreigingen die de nationale veiligheid raken. Afgelopen zomer hebben de AIVD en de MIVD in samenwerking met de Nationale Politie bijvoorbeeld een ‘Russische offensieve cybercampagne verstoord’. Maar dat roept vragen op, zoals: welke bevoegdheden zijn daarvoor ingezet, welke gegevensuitwisseling heeft plaatsgevonden, is dat volgens de regels gegaan, wie is daar verantwoordelijk voor, en hoe wordt daar onafhankelijk en effectief toezicht op gehouden? Dit zijn vragen die niet tot een noemenswaardig parlementair debat hebben geleid, en volgens ons opheldering verdienen.

Wij signaleren soortgelijke grijsgebieden waar het gaat om criminaliteit die de democratische rechtsorde ondermijnt. Dit wordt wel als taakgebied op de website van de AIVD vermeld, maar is niet terug te vinden in de toelichting op de openbare versie van de Geïntegreerde Aanwijzing van 2023-2026. Het begrip ‘ondermijnende criminaliteit’ is op zichzelf al problematisch, omdat uit onderzoek blijkt dat niet duidelijk is wat met het begrip wordt bedoeld.

Kortom, meer duidelijkheid over de rollen en verantwoordelijkheden van de diensten bij deze nieuwe dreigingen is noodzakelijk. Daarbij moet ook antwoord komen op de vraag of de diensten actief gegevens verzamelen over deze dreigingen door de inzet van bijzondere bevoegdheden, om ook niet-traditionele afnemers, zoals bedrijven, handelingsperspectief te bieden. Mogelijk leidt een debat – en nopen de antwoorden op deze vragen – tot verdere aanpassingen van een nieuwe Wet op de inlichtingen- en veiligheidsdiensten.

Jan-Jaap Oerlemans & Sophie Harleman

The necessity of a new cyberlaw for dutch intelligence and security services 

jjoerlemans

Growing cyber threats to Dutch national security reveal an urgent need to amend current  powers of intelligence and security services. The proposed “Cyber Act” aims to address these challenges by granting bulk interception and hacking capabilities, and by allowing for greater flexibility in the oversight process. However, further clarification is needed on the scope of the Act.

In my opinion, there is an urgent need for a new bill that amends the bulk interception and hacking powers of Dutch intelligence and security services. In this blog post, I share the essential points that I presented during a ‘round table hearing’ at the Dutch parliament on 5 April 2023. My original contribution (in Dutch) can be found here.

The (cyber)threat

The cyberthreat the proposed legislation aims to address should be completely clear. The Dutch General Intelligence and Security Service (AIVD) first reported about ‘digital infringements on Dutch vital ICT infrastructures’ in 2007. This message highlighting the risks of digital espionage to our national security has been reiterated in every annual report since 2013. These reports explicitly mention various victims of digital espionage, including Dutch ministries, telecom providers, universities, educational institutions, think tanks, and biotechnology companies.

Our Military Intelligence and Security Services (MIVD), as well as the National Cyber Security Centre (NCSC), have echoed these concerns. In fact, the NCSC considers the threat posed by ‘state actors’ to cybersecurity as the most significant among all threats, surpassing even the threats posed by criminal actors. 

The problem

In 2021, the Dutch intelligence and security services raised concerns regarding challenges they encountered in their cyber operations. These issues primarily stem from the “legality review” process conducted by the newly established Investigatory Powers Commission (TIB). The TIB is responsible for granting or denying warrants for investigatory powers, including bulk interception and hacking.

The proposed Cyber Act  

To address these challenges, a bill has been introduced, which I refer to as the ‘Cyber Act’. This proposed legislation specifically addresses bulk interception and hacking capabilities and proposes significant changes to the oversight system in the Netherlands. It is crucial to emphasise that the scope of the bill is limited to operations conducted by Dutch intelligence and security services that target the gathering of intelligence related to “offensive cyber operations of foreign states”. 

The aim of the proposed bill is to amend and partially shift the oversight of bulk interception and hacking as investigatory powers from the Investigatory Powers Commission (TIB) to the Dutch Review Committee on Intelligence and Security Services, allowing for greater flexibility for intelligence and security services. It seeks to establish a more dynamic oversight process that aligns with the technical realities of these powers. 

It is also noteworthy that the proposal grants the Dutch Review Committee on Intelligence and Security Services the (binding) power to halt an operation and (ultimately) order the deletion of unlawfully processed data when specific investigatory powers are employed. Currently, this oversight body lacks any binding authority in its task of overseeing intelligence and security services. Additionally, the proposed legislation introduces an appeals procedure for decisions made by the Dutch oversight bodies, enabling a judge to make the final determination regarding the legality of actions and decisions. 

Bulk interception 

Bulk interception serves as a notable example that illustrates how investigatory powers are amended in the Cyber Act. One significant challenge in the current application of bulk interception as an investigatory power is the disagreement between the intelligence and security services (and their responsible ministers who authorise these powers) and the Investigatory Powers Commission (TIB) regarding the level of focus that should be applied to bulk interception.

It is important to clarify that bulk interception is inherently non-targeted in nature. It involves the interception of large volumes of data (bulk) after it is collected at a specific location. This process differs from, for instance, wiretapping. With wiretapping, data associated with a particular identifying number, such as a telephone number or IP address is intercepted. Bulk interception captures a greater volume of data, including unidentified numbers that may be connected to potential national security threats. In a cybersecurity context, bulk interception can be used to collect intelligence about the IT infrastructure utilised by foreign actors engaging in covert activities on Dutch infrastructure.

The Cyber Act aims to do more justice to the untargeted nature of bulk interception, but solely within the context of gathering intelligence related to the threat of offensive cyber operations conducted by state actors that pose a risk to national security. While the bill includes numerous detailed provisions, which I will not delve into here, I believe the arguments put forth in support of the proposals are compelling. Therefore, it is in my view necessary to amend the law. In fact, I think we should consider an even more substantial role for intelligence and security services in combating cybersecurity threats.

Addressing the threat of cybercrime to national security

The issue of cybercrime posing a threat to national security deserves attention. I emphasised that the Dutch National Security Centre identified ransomware as a national security threat. I agree with this assessment, insofar ransomware attacks have severe economic consequences or disrupt vital infrastructures. Regrettably, we have already witnessed ransomware incidents targeting the Port of Rotterdam, hospitals, and municipalities in the Netherlands.

In the Netherlands, there is a strict separation between the investigation of criminal activities and the investigation of national security threats. It is evident to me that the Dutch Intelligence and Security Services should investigate ransomware attacks that pose a risk to national security. However, it remains unclear whether such investigations are currently being carried out. While the Dutch Cyber Act appears to primarily focus on state actors, I would appreciate clarification on whether it also encompasses ransomware activities conducted by criminal organisations.

This is a cross-post from my blog post on aboutintel.eu. It is part of a discussion prompt about the ‘Dutch Temporary Cyber Act‘, with contributions of Lotte Houwing and Bert Hubert.

Nieuwe wetgeving voor inlichtingen- en veiligheidsdiensten

jjoerlemans Een reactie plaatsen

Op 2 december 2022 is het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ naar de Tweede Kamer gestuurd (hierna: Tijdelijke cyberwet).

Daarnaast is op 23 december 2022 de ‘Nota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ (hierna: Nota van wijziging) op internetconsultatie.nl gepubliceerd (reageren kan tot en met 16 januari 2023). De planning is dat deze nota begin april 2023 bij de Tweede Kamer wordt ingediend.

Ten slotte wordt in een Kamerbrief over de voorgenomen wetswijzigingen gesproken over een ‘hoofdlijnennotitie’ op de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2017. Daarin zet de regering haar visie uiteen voor een algehele wijziging van de wet. Deze hoofdlijnnotitie wordt naar verwachting ‘in het eerste kwartaal van 2023’ naar de Tweede Kamer gestuurd.

De Tijdelijke cyberwet en de Nota van wijziging zijn of worden al aan de Tweede Kamer aangeboden, omdat de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie – en de TIB en de CTIVD – van mening zijn dat ‘gelet op de in het geding zijnde belangen van nationale veiligheid en de bescherming van fundamentele rechten op kortst mogelijke termijn via aanpassing van wetgeving dienen te worden geregeld’. De regering verwacht dat de algehele herziening van de Wiv 2017 nog ‘geruime tijd’ zal vergen (zie de Kamerbrief).

In deze blog zet ik de kernpunten van de Tijdelijke cyberwet en Nota van wijziging op een rij. Daarbij sluit ik aan op de memorie van toelichting en onthoud ik mij verder van commentaar. Ik beoog daarmee een neutrale weergave van de wetgeving te geven.  Dit bericht wordt t.z.t. geüpdatet als de hoofdlijnennotitie beschikbaar is.

Tijdelijke cyberwet

Het doel van de Tijdelijke cyberwet is om de AIVD en de MIVD meer operationele armslag te bieden inlichtingen te verzamelen over de offensieve cyberprogramma’s van statelijke actoren, zoals Rusland en China.

Het wetvoorstel voorziet in een aantal wijzigingen ten aanzien van de inzet van bepaalde bijzondere bevoegdheden voor bulkinterceptie (dit wordt ‘onderzoeksopdracht gerichte interceptie’ (ook wel: OOG-interceptie) in de Wiv 2017 genoemd) en de hackbevoegdheid. Deze aanpassingen worden alleen mogelijk gemaakt voor zover deze bevoegdheden worden ingezet bij de uitvoering van onderzoeksopdrachten die te maken hebben met offensieve cyberprogramma’s van statelijke actoren. Door op bepaalde punten de toetsing van de inzet van deze bijzondere bevoegdheden te verschuiven van de Toetsingscommissie Inzet Bevoegdheden (TIB) naar bindend toezicht op de uitoefening ervan door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), wordt de operationele armslag van de diensten vergroot en zou de uitvoering van deze bevoegdheden beter aansluiten bij het toezicht.

Met betrekking tot de bijzondere bevoegdheden gaat het concreet om de volgende voorstellen:

  1. Het schrappen van de rechtmatigheidstoets van de TIB bij het ‘verkennen’ bij de uitvoering van de hackbevoegdheid (art. 45 Wiv 2017) (dus voordat op computers (geautomatiseerde werken) wordt binnengedrongen). Het hoofd van de dienst moet daartoe toestemming geven. De CTIVD houdt daarop (bindend) toezicht. Het doel van de wijziging is de drempel voor het verkennen te verlagen. Het verkennen dient ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap. Het verkennen van geautomatiseerde werken maakt ook een minder vergaande inbreuk op fundamentele rechten dan het binnendringen. De wijziging heeft tot doel de snelheid en effectiviteit van de inzet van de hackbevoegdheid te verhogen.
  1. Het vergroten van de mogelijkheden tot “bijschrijven” ten aanzien van de hackbevoegdheid (art. 45 lid 8 Wiv 2017), de bevoegdheid tot het gericht intercepteren van communicatie (art. 47 lid 7 Wiv 2017) en het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten (art. 54 Wiv 2017). De achtergrond van deze wijziging is ingegeven, omdat de TIB de wet zodanig uitlegt dat er een exclusiviteitscriterium zou gelden (de wet spreekt namelijk over een geautomatiseerd werk van een persoon of organisatie). Met de wijziging dat het bij te schrijven geautomatiseerd werk ‘in gebruik is’ bij een persoon of organisatie, is duidelijk dat de AIVD en de MIVD kunnen overgaan tot “bijschrijving” bij de uitvoering van de hackbevoegdheid als de statelijke actor van server wisselt bij hun activiteiten. Dan is duidelijk dat er geen sprake hoeft te zijn van eigendom over het geautomatiseerde werk en het bijvoorbeeld ook kan gaan om gedeelde systemen waar een target gebruik van maakt. De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.
  1. Het schrappen van de voorafgaande toets van de TIB op de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid (art. 45 lid 4 sub a en sub b Wiv 2017). In de memorie van toelichting staat dat de vooraf ‘bekende’ technische risico’s onderdeel zijn van de proportionaliteitstoets van de TIB. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds. In de praktijk is een spanningsveld ontstaan op deze toets op technische risico’s door de TIB, omdat het niet mogelijk zou zijn voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien. Wel moeten in de aanvraag nog steeds de relevante technische aspecten aan de orde dient te komen die de minister nodig heeft om tot een geïnformeerd oordeel te komen. Het gaat dan om technische informatie, inclusief risico’s, die op het moment van de aanvraag bekend is. Volgens de toelichting kan de TIB in het kader van haar proportionaliteitstoets dus wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een “hoger abstractieniveau” hebben. De CTIVD houdt verder toezicht op de technische risico’s bij de uitvoering van de hackbevoegdheid.
  1. De introductie van de mogelijkheid tot het verkennen ten behoeve van OOG-interceptie (art. 48 Wiv 2017), met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming tot OOG-interceptie betrekking dient te hebben (ook wel ‘snapshotten’ genoemd). Daarbij wordt het gerichtsheidsvereiste voor dit verkennen buiten werking gesteld. Er is wel toestemming van de minister en toetsing hiervan door de TIB vereist. De toestemming wordt verleend voor een periode van ten hoogste een jaar. De geïntercepteerde gegevens moeten na een periode van ten hoogste zes maanden worden vernietigd, als ze niet bijdragen aan het doel van de verwerking. De achtergrond van de introductie van de bevoegdheid tot het verkennen bij OOG-interceptie is de gevoelde noodzaak dat met de bevoegdheid kan worden onderbouwd waarom kan worden overgegaan tot kabelinterceptie (omdat er verkeer dat relevant is voor onderzoeksopdrachten langs de fiber op de kabel stroomt). De wijziging is ook ingegeven door CTIVD-rapport nr. 75 (2022), waarin de CTIVD constateert dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.
  1. De beperking van de proportionaliteitstoets en gerichtheidstoets van de TIB bij OOG-interceptie. In de toelichting is te lezen dat daarbij ‘met name’ de volgende aspecten mogen worden betrokken: a. een indicatie van de te verwerven gegevensstromen en b. een indicatie van de wijze waarop de reductie van gegevens binnen de gehele keten van verwerving invulling krijgt. De achtergrond van deze wijziging is volgens de toelichting dat ‘juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens’. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten. Het voorstel zou een oplossing moeten bieden ‘voor de verschillende zienswijzen ter zake van de Ministers en de TIB over de toepassing van het gerichtheidscriterium bij OOG-interceptie’.
  1. Het vervallen van de voorafgaande rechtmatigheidstoets van de TIB bij de bijzondere bevoegdheid tot ‘geautomatiseerde data analyse’ op OOG-interceptie (art. 50 lid 4 Wiv 2017). De CTIVD houdt bindend toezicht op de uitvoering van deze bijzondere bevoegdheid. De achtergrond is dat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, waardoor op voorhand niet is te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten (zie in dat kader ook mijn artikel ‘Metadata-analyse in de Wiv 2017’, Privacy & Informatie 2020, nr. 6, p. 260-267). De toets op voorhand sluit niet goed aan bij dit dynamische proces van gegevensverwerking. Ook ten aanzien van deze bijzondere bevoegdheid krijgt de CTIVD bindend toezicht.

Over de voorgestelde wijzigingen en achtergrond met betrekking tot deze bijzondere bevoegdheden is meer te lezen in dit NJB-artikel van Sophie Harleman.

Op de (bindende) besluiten van de TIB en de CTIVD, wordt in het kader van dit wetsvoorstel een ‘beroepsmogelijkheid’ gecreëerd bij de (hoogste) bestuursrechter, de Afdeling bestuursrecht van de Raad van State (ABRvS). Andere bepalingen uit het wetsvoorstel gaan over het proces dat wordt doorlopen als de ministers (AIVD en/of MIVD) van deze beroepsprocedure gebruik maken. In tegenstelling tot de versie van afgelopen zomer op internetconsultatie.nl, zijn de uitspraken van de ABRvS in beginsel nu wel openbaar.

Het idee is dat de bepalingen in deze tijdelijke wet op termijn onderdeel uitmaken van de hoofdlijnennotitie dat als basis moet dienen voor een wetsvoorstel voor de algehele wijziging van de Wiv. De wijzigingen kunnen daarmee een doorwerking krijgen op de algehele wijziging. Over de wijzigingen met betrekking tot het toezichtstelsel is meer te lezen in dit NJB-artikel van Rowin Jansen

Nota van wijziging

De Nota van wijziging regelt de volgende drie onderwerpen:

  1. De introductie van een rechtmatigheidstoets van de TIB na toestemming voor de inzet van de zogeheten “stomme tap”. Dat wil zeggen een vordering voor ‘real time’ verkeers- en locatiegegevens bij aanbieders van communicatiediensten.
  1. De introductie van de mogelijkheid de beoordelingstermijn ten behoeve van de toets op relevantie, na de verwerving van bulkdatasets met een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017), telkens met een jaar te verlengen. De CTIVD moet (bindend) toestemming geven voor de verlenging of kan de verlenging afkeuren. Bij afkeuring kunnen de ministers/diensten ‘in beroep’ gaan bij de ABRvS.
  1. Een overgangsregeling voor bulkdatasets die op grond van een bijzondere bevoegdheid (niet zijnde OOG-interceptie in art. 48 Wiv 2017) zijn verzameld, voordat de deze wet in werking treedt en nog aan de relevantietoets van art. 27 Wiv 2017 zijn onderworpen. 

De Nota wijzigt de Tijdelijke cyberwet. Het is echter belangrijk te realiseren dat de reikwijdte van de Nota vervolgens breder is dan de Tijdelijk wet, omdat het ook werking heeft voor alle andere inlichtingenonderzoeken van de diensten. Bulkdatasets en de inzet van de stomme tap zijn namelijk ook belangrijk bij andere onderzoeken, ook buiten het ‘cyberdomein’, aldus de (concept)memorie van toelichting.

Aanpassing van de regeling omtrent de ‘stomme tap’

De aanpassing van artikel 55 Wiv 2017 voor de zogeheten “stomme tap” is ingegeven door de uitspraak van het Hof van Justitie van de Europese Unie van 6 oktober 2020 (zie ook HvJ EU 6 oktober 2020, C-511/18, C512/18 en C-520/18, ECLI:EU:C:2020:791 (La Quadrature du Net e.a./Premier ministre e.a.) (zie ook onze annotatie in JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens). In deze zaak waren door de Franse Raad van State en het Belgische Constitutionele Hof enkele prejudiciële vragen voorgelegd, onder meer over het in  real time verzamelen van verkeers- en locatiegegevens. Dit zou naar het oordeel van het HvJ EU alleen zijn toegestaan als een dergelijk besluit onderworpen is een voorafgaande bindende toetsing door een rechter of een onafhankelijke administratieve autoriteit, waarbij wordt vastgesteld dat deze maatregel zich beperkt tot wat strikt noodzakelijk is. In de toelichting is te lezen dat ‘hoewel de uitspraak in deze prejudiciële zaak direct van betekenis is voor de rechterlijke instantie die de prejudiciële zaak aanhangig heeft gemaakt en aan deze uitspraak is gebonden, heeft deze uitspraak uiteraard ook (indirect) effect voor de andere lidstaten van de Unie. Immers het ligt in de rede dat in vergelijkbare zaken een vergelijkbaar oordeel zal worden geveld’.

Om bovenstaande reden wordt de Nederlandse wetgeving met het arrest in lijn gebracht voor de bijzondere bevoegdheid tot het in real time verzamelen van verkeers- en locatiegegevens (artikel 55 lid 1 Wiv 2017). Na toestemming van de minister en een rechtmatigheidstoets van de TIB kunnen de AIVD en de MIVD zich wenden tot een aanbieder van een communicatiedienst met de opdracht gegevens te verstrekken over het communicatieverkeer dat met betrekking tot een bepaalde gebruiker na het tijdstip van de opdracht zal plaatsvinden.

Aanpassing van de relevantietoets bij bulkdatasets

De aanpassing van de beoordelingstermijn van de relevantietoets ten aanzien van bulkdatasets die zijn verworven met bijzondere bevoegdheden is ingegeven door de problematiek dat gegevens die door de inzet van een bijzondere bevoegdheid worden verworven binnen maximaal 1,5 jaar op relevantie moeten worden beoordeeld (op grond art. 27 lid 1 en lid 3 Wiv 2017). Deze termijn is volgens de toelichting in de praktijk problematisch, omdat de gegevens in bulkdatasets vaak langer van waarde zijn voor de onderzoeken van de diensten. Het verstrijken van de beoordelingstermijn kan er dan ook toe leiden dat mogelijk waardevolle gegevens moeten worden vernietigd. De Wiv 2017 biedt echter geen ruimte om deze bulkdatasets langer op relevantie te beoordelen. Dit onderstreept volgens de regering zowel de noodzaak voor deze regeling als een spoedige inwerkingtreding van de Tijdelijke wet en de Nota van wijziging. Zie over deze problematiek de CTIVD-voortgangsrapportages nrs. 66 (2019) en 69 (2020) en het toezichtrapport over het verzamelen van bulkdatasets met de hackbevoegdheid (nr. 70 (2020)).

In de Nota van wijziging wordt verder uitgelegd dat het een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingenonderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde kan zijn, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Het voorgaande brengt mee dat de gegevens in bulkdatasets puzzelstukjes kunnen zijn, die soms jaren na verwerving van een set gegevens een cruciale rol spelen bij inlichtingenonderzoeken. Ook regelt het voorstel dat in – in afwijking van art. 27 lid 1 Wiv 2017 – de gegevens niet zo spoedig mogelijk op relevantie dienen te worden onderzocht.

De regeling zit zo in elkaar dat in de toestemmingsaanvraag aan de CTIVD om een bulkdataset langer te bewaren onderbouwd moet worden waarom de bulkdataset nog steeds van belang is voor de onderzoeken van de diensten. Daarbij moet de opbrengst van de afgelopen periode gemeld worden en moet er vooruit gekeken worden naar wat deze bulkdataset nog kan opleveren in het komende jaar. In dit systeem is dus geen vooraf vastgestelde bewaartermijn voorzien, maar wordt deze per bulkdataset bepaald.

In de toelichting staat dat de noodzakelijkheid van de verlenging kan worden getoetst aan de hand van de volgende objectieve toetsingscriteria:

a. het gebruik van gegevens uit de bulkdataset door de betrokken dienst van het afgelopen jaar of de afgelopen jaren. Hierbij kan, indien relevant, worden meegenomen in hoeverre de bulkdataset de inzet van andere (gerichte) middelen mogelijk heeft gemaakt. Dat kan bijvoorbeeld afgeleid uit het feit in hoeverre informatie uit de bulkdataset in onderzoek is gebruikt of heeft geleid tot exploitatie.

En:

b. de verwachte potentiële bijdrage van gegevens uit de bulkdataset aan onderzoeken van de betrokken dienst gedurende het komende jaar of de komende jaren. De vraag die kan worden gesteld is of naar verwachting de komende periode meer of minder gebruik wordt gemaakt van de bulkdataset. Ook kunnen onderdelen van de bulkdataset meer of minder intensief worden gebruikt in de komende periode, bijvoorbeeld vanwege een verwachte ontwikkeling binnen het onderzoek in het komende jaar.

Hoofdlijnennotitie

De Tijdelijke cyberwet en de Nota van wijziging hebben hun achtergrond in het rapport van de Evaluatiecommissie Wiv 2017 (ook wel de commissie Jones-Bos genoemd, naar haar voorzitster) en het rapport van de Algemene Rekenkamer over de operationele slagkracht van de diensten. Zie voor de duidelijkheid ook deze tijdlijn op de website van de AIVD:

Het demissionaire kabinet was indertijd enthousiast over het rapport en ‘omarmde de analyse, conclusies en aanbevelingen van de commissie’. Indertijd werd aangekondigd dat werd gewerkt aan een algehele wijziging van de Wiv 2017, maar dit heeft tot nu toe alleen geresulteerd in de Tijdelijke wet en de Nota van wijziging.

De andere aanbevelingen van de commissie Jones-Bos behoeven nog steeds opvolging in een algehele wijziging van de Wiv 2017, volgens de  Nota van wijziging. Daar aan vooraf gaat nog een ‘hoofdlijnennotitie’. Qua planning is ‘de verwachting dat het traject tot herziening van de Wiv 2017 binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet het geval zijn, dan zal moeten worden bezien of een traject tot verlenging van de werkingsduur van de Tijdelijke wet moet worden ingezet’.

Uit de  Nota van wijziging is ten slotte nog af te leiden, dat in de hoofdlijnennotitie in ieder geval de uitgangspunten voor een ‘breed en integraal bulkregime’ verwerkt worden (ook voor bulkdatasets verkregen uit algemene bevoegdheden, zoals de informantenbevoegdheid).

Verder blijft de inhoud van de hoofdlijnennotitie en planning voor algehele herziening van de Wiv 2017 vooralsnog onduidelijk.

Annotatie bij HR 5 april 2022 (vorderen van verkeersgegevens)

jjoerlemans Een reactie plaatsen

Op 5 april 2022 heeft de Hoge Raad een arrest (ECLI:NL:HR:2022:475) gewezen over het vorderen van verkeersgegevens. Prof. Anna Berlee en ik hebben over dit arrest een annotatie (.pdf) geschreven.

Aanleiding

Aanleiding voor het arrest vormt Prokuratuur-arrest (ECLI:EU:C:2021:152) van 2 maart 2021 van het Hof van Justitie van de Europese Unie (HvJ EU). Het HvJ EU maakte in Prokuratuur duidelijk dat aangezien een officier van justitie tevens aanklager is in een later proces, deze niet kan voldoen aan de eis ‘dat de instantie die belast is met die voorafgaande toetsing enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure’.

Gevolgen

Voor Nederland heeft het arrest tot gevolg dat de Hoge Raad nu ook onomwonden heeft duidelijk gemaakt dat voor het vorderen van verkeers- en locatiegegevens een voorafgaand toestemming noodzakelijk is van een rechter of een onafhankelijke autoriteit. De reden is voor deze waarborg is dat het vorderen (en daarna verwerken) van dit type gegevens een ernstige inmenging vormt op het recht op privacy en het recht op de bescherming van persoonsgegevens. In de rechtsliteratuur werd deze conclusie al eerder getrokken naar aanleiding van het arrest van het HvJ EU (zie bijvoorbeeld EHRC-Updates.nl, m.nt. D.A.G. van Toor en R.M. te Molder, ‘Het bewaren en vorderen van metagegevens ten behoeve van de opsporing: meer duidelijkheid van het HvJ EU gewenst’, DD 2021/66, nr. 9, p. 844-869).

Aan de hand van verkeers- en locatiegegevens kan inzicht worden verkregen in dagelijkse gewoonten, permanente of tijdelijke verblijfplaats, dagelijkse en andere verplaatsingen en activiteiten die worden uitgeoefend, even als de sociale relaties en sociale kringen waarin iemand zich begeeft worden ontwaard. Zie o.a. HvJ EU 21 december 2016, C-203/15, ECLI:EU:C:2016:970, r.o. 98-100 (Tele2 Sverige/Watson), HvJ EU 6 oktober 2020, C‑511/18, C‑512/18 en C‑520/18, ECLI:EU:C:2020:791, r.o. 117 (La Quadrature du Net e.a./Premier ministre e.a. (en mijn annotatie in JBP 2021/1-2 daarover met M. Hagens)). Zelfs indien het gaat om toegang tot gegevens voor een korte periode, zie HvJ EU 2 maart 2021, C-746/18, ECLI:EU:C:2021:152, r.o. 40 (Prokuratuur).

Het arrest van de Hoge Raad laat goed de gevolgen zien van het arrest van het Hof van Justitie. In de onderhavige zaak vond een rechter-commissaris namelijk dat het stelen van een bulldozer het vorderen van verkeersgegevens- en locatiegegevens niet kon rechtvaardigen. Later werd de beschikking door de rechtbank vernietigd en toch toestemming voor de vordering gegeven. Het arrest laat in ieder geval zien dat een officier van justitie (die het bevel voor de vordering geeft) en de rechter-commissaris (die de machtiging geeft) niet altijd met elkaar eens zullen zijn. Het is overigens ook denkbaar dat er geschillen ontstaan over de ‘gerichtheid’ van de vordering: moet deze bijvoorbeeld korter m.b.t. de duur of geografische locatie zijn?

Prejudiciële vragen

In het arrest stelt de Hoge Raad ook meteen de volgende drie prejudiciële vragen aan het Hof van Justitie (zie r.o. 8.1-8.4 in: ECLI:NL:HR:2022:475):

1. Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?

2. a) Vormen de in de onder 5.7 en 5.8 genoemde arresten van het Hof van Justitie gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht of is het aan de bevoegde instanties van de lidstaten om zelf mede invulling te geven aan deze begrippen?

2. b) Als het gaat om autonome begrippen van Unierecht, op welke wijze dient dan te worden vastgesteld of sprake is van een “ernstig strafbaar feit” of van “ernstige criminaliteit”? De Hoge Raad merkt hierover op dat “om de redenen die onder 6.6.2 en 6.6.3 zijn besproken, komt het de Hoge Raad voor dat het aan de bevoegde instanties van de lidstaten is om zelf mede invulling te geven aan de genoemde begrippen”;

3. Kan het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG worden toegestaan als geen sprake is van ernstige strafbare feiten of ernstige criminaliteit, namelijk als in het concrete geval het verlenen van to egang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG?

Over deze laatste vraag merken wij in de annotatie op dat wij ons de situatie waarbij het vorderen van verkeersgegevens- en locatiegegevens een geringe inbreuk maakt op het recht op privacy ‘lastig voorstelbaar’ vinden. Daar voegen wij nu nog aan toe dat de Wet vorderen gegevens (geïmplementeerd in het Wetboek van Strafvordering) ook niet stelselmatigheid als criterium voor de differentiatie in vordering aanneemt, maar de aard van de gegevens (namelijk gebruikersgegevens, verkeersgegevens, toekomstige verkeersgegevens, gevoelige gegevens of inhoudelijke gegevens).

Commentaar in annotatie

In ons commentaar bij de annotatie merken wij op dat het relatief lang heeft geduurd voordat bekend werd dat het Openbaar Ministerie de werkwijze bij het vorderen van verkeersgegevens heeft aangepast. Wat ons betreft was dit al meteen een duidelijk gevolg van het arrest van het Hof van Justitie voor de Nederlandse strafrechtspraktijk. Daarnaast vragen wij af waarom de wetgever niet heeft overwogen een nieuwe onafhankelijke autoriteit op te richten die de aanvragen voor het vorderen van verkeers- en locatiegegevens kan beoordelen. Hier is geen debat over gevoerd, terwijl deze nieuwe werkwijze toch extra druk op het werk van rechter-commissarissen zal leggen.

Wij stellen ook de vraag welke gevolgen het arrest heeft voor het vorderen van verkeersgegevens of locatiegegevens bij andere bedrijven of instellingen dan aanbieders van communicatiediensten. Ook verkeers- en locatiegegevens van ‘automatic number plate recognition’ (ANPR)-camera’s en ‘bluetooth trackers’ die verbinding maken met apparaten in auto’s en mobiele telefoons kunnen bijvoorbeeld een belangrijke rol kunnen spelen als bewijs in strafzaken. Hier heeft het arrest geen betrekking op, maar de advocatuur en het Openbaar Ministerie doen er goed aan zich op dergelijke discussies voor te bereiden.

Ten slotte wijzen wij erop dat het arrest mogelijk ook gevolgen heeft voor andere wetgeving en dan met name de Telecommunicatiewet (art. 11.13 Tw) en de Wet op de inlichtingen- en veiligheidsdiensten (art. 55 Wiv 2017). Art. 55 Wiv 2017 heeft bijvoorbeeld heeft ook betrekking op het vorderen van verkeersgegevens bij aanbieders van communicatiediensten. Mogelijk moet de wet worden aangepast, zodat ook in deze wet een onafhankelijke autoriteit (in dat geval de Toetsingscommissie Inzet Bevoegdheden (TIB)) voorafgaand aan het bevel toestemming geeft.

Gezien de prejudiciële vragen die zijn gesteld en mogelijke gevolgen voor andere situaties en wetgeving, zal het arrest niet het laatste woord vormen over de noodzakelijke waarborgen bij het vorderen van verkeers- en locatiegegevens.

Citeerwijze annotatie: HR 5 april 2022, ECLI:NL:HR:2022:475, Computerrecht 2022/186, m.nt. J.J. Oerlemans & A. Berlee

WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd

jjoerlemans Een reactie plaatsen

Op 25 oktober 2022 is het WODC-onderzoek ‘Strafvorderlijke gegevensverwerking’ gepubliceerd (zie ook de .pdf naar het volledige rapport). Het onderzoek is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid uitgevoerd door Fedorova en anderen van de Radboud Universiteit. En full disclosure: ik zat samen met anderen in de begeleidingscommissie van het onderzoek. Dat wil zeggen dat ik advies en feedback heb gegeven op eerdere versies van het rapport.

Hieronder geef ik de kern van het rapport weer en ga ik wat uitgebreider op het onderdeel over toezicht op de huidige praktijk van gegevensverwerking door de politie in opsporingsonderzoeken. Dit laatste heeft mijn bijzondere interesse, omdat ik daar zelf ook onderzoek naar doe.

Inleiding

In het persbericht op wodc.nl wordt de huidige praktijk mooi beschreven:

Door inbeslagname of hacks van grote gegevensdragers heeft de politie steeds vaker toegang tot enorme hoeveelheden persoonsgegevens. Dit biedt kansen voor het digitale opsporingswerk en de vervolging van verdachten van zware misdrijven. Denk aan de miljoenen recent gekraakte (criminele) berichten van Ennetcom, EncroChat of Sky ECC.

Zeker in de huidige gedigitaliseerde maatschappij waarin steeds meer gegevens en geavanceerde data-analyse technologieën voorhanden zijn, heeft de politie steeds meer mogelijkheden om gegevens die reeds in de politiesystemen aanwezig zijn, met elkaar te combineren en zodoende een min of meer volledig beeld van iemands privéleven te krijgen. Daar komt bij dat politie ook steeds vaker grote datasets in handen krijgt waarin nadere zoekslagen kunnen worden uitgevoerd, zonder dat er op het moment van verkrijging reeds een op het individu of een groep toegesneden verdenking sprake hoeft te zijn.

Met name voor grote hoeveelheden, in bulk verkregen gegevens geldt doorgaans dat de gegevens op zichzelf niet zoveel zeggen, maar relevant worden wanneer de politie deze gegevens nader analyseert, visualiseert of in verband brengt met andere gegevens.

Daarmee verplaatst het zwaartepunt van de door de overheid gemaakte privacy-inbreuk van de vergaring van gegevens veeleer naar de (verdere) verwerking van die gegevens. Het verkrijgen van bulkgegevens is volgens de onderzoekers vanuit het recht op privacygevoeliger dan het verkrijgen van gegevens die wel te relateren zijn aan een of meer personen die reeds onderwerp van onderzoek zijn.

Onderzoeksvragen

Uit het onderzoek blijkt dat in het Wetboek van Strafvordering vooral aandacht is voor de inzet van digitale opsporingsbevoegdheden: in welke gevallen, voor welke doelen en met toestemming van welke autoriteit mogen persoonsgegevens worden verzameld? Dat geldt zowel voor het huidige Wetboek van Strafvordering als voor (de plannen voor de) modernisering van het Wetboek van Strafvordering. Aan het verdere gebruik van die gegevens wordt in dat wetgevingstraject veel minder aandacht besteed, terwijl de politie juist door het verdere gebruik een (nieuwe) inbreuk op de privacy van burgers kan maken.

De onderzoekers hebben onderzocht hoe de Wet politiegegevens (Wpg) zich onder andere verhoudt tot het Wetboek van Strafvordering. Ook is nagegaan of het huidige kader wel voldoet aan de eisen die het Europese recht stelt en hebben ze naar het toezicht op de nieuwe politiepraktijk gekeken.

Normering

In de plannen inzake de modernisering van het Wetboek van Strafvordering wordt strikt onderscheid gemaakt tussen enerzijds de normering van de vergaring van gegevens langs de weg van het uitoefenen van strafvorderlijke bevoegdheden en anderzijds de verdere verwerking van gegevens. Plannen voor wijziging van de Wet politiegegevens zijn volgens de onderzoekers overigens op de lange baan geschoven (“Op korte termijn komt er geen nieuwe gegevensverwerkingswet”).

Volgens de onderzoekers valt de keuze in toekomstplannen van het moderniseringsproject Strafvordering om het onderscheid vergaren-verwerking strikt door te voeren, “in ieder geval niet goed te verdedigen”. Zij stellen voor om verwerkingshandelingen die zijn gericht op kennisvermeerdering en een strafvorderlijk doel dienen, in het Wetboek van Strafvordering onder de aandacht te brengen aldaar nader te normeren:

“Te veel normen die voor de uitoefening van digitale opsporingsbevoegdheden van belang zijn, – zoals doelspecificatie, verenigbaar gebruik, verwijdering en transparantie verplichtingen – zijn vooralsnog niet in het gemoderniseerde Sv terecht gekomen, terwijl ze wel van belang voor de opsporing.”

Ook pleiten de onderzoekers voor meer specifieke regels voor strafvorderlijk onderzoek aan bulkgegevens. Daarbij denken zij aan ‘nadere waarborgen in de vorm van een verzwaarde noodzakelijkheidstoets en een relevantietoets door analisten die niet bij het opsporingsonderzoek zijn betrokken’.

Toezicht

De onderzoekers schrijven – ook naar aanleiding van hun analyse van rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) en het Hof van Justitie (HvJ EU) – dat meer nadruk komt te liggen op (effectief) toezicht bij de ‘verdere verwerking van gegevens’. Ik verwijs en citeer hierbij graag uit paragraaf 6.3.4 uit het rapport:

Het probleem

Het probleem is dat in de huidige toezichtspraktijk door de strafrechter (in rechtszaken) en door de Autoriteit Persoonsgegevens “doorgaans niet (mijn cursivering) uitvoerig wordt gecontroleerd of de Wpg en de daarin vervatte gegevensbeschermingsrechtelijke beginselen zijn nageleefd, nu dergelijke schendingen toch vaak niet tot rechtsgevolg hoeven te leiden. Voorts wordt ook aangenomen dat het niet tot de taak van de strafrechter behoort om de opsporing te controleren. De Autoriteit Persoonsgegevens lijkt deze rol ook niet voor haar rekening te willen nemen, nu deze autoriteit vooral systeemtoezicht houdt en niet op concrete zaken. Het gegevensbeschermingrecht is bovendien niet het enige gezichtspunt dat relevant is bij de normering van de verwerking van gegevens voor strafvorderlijke doeleinden.”

“Door het houden van toezicht wordt niet alleen de norm bevestigd (en eventueel afgedwongen), maar kan de norm – daar waar nodig – nader wordt uitgelegd. (…) In de kern is het probleem dat weliswaar verschillende onafhankelijke en niet-onafhankelijke toezichtsorganen toezicht kunnen houden op de verwerking van gegevens voor strafvorderlijke doeleinden, maar dat vanwege de taakopvatting en verschillende capaciteitsoverwegingen niet daadwerkelijk van effectief toezicht kan worden gesproken. Bij het nadenken over nieuwe systemen of andere inhoudelijk normering, kan een andere reflectie op het toezicht dus niet achterwege blijven.”

De aanbeveling: een nieuwe gespecialiseerde onafhankelijke toezichthouder

“Het verdient aanbeveling een toezichthouder in het leven te roepen die specifiek toezicht kan houden op de verwerking van gegevens voor strafvorderlijke doeleinden. Ook kan een gespecialiseerd toezichthouder voor een breder publiek inzichtelijk maken waar de vragen en dilemma’s liggen zodat daarover een breder maatschappelijke of politieke discussie kan plaatsvinden.”

De onderzoekers identificeren daarvoor twee opties. De eerste optie is een gespecialiseerde toezichthouders voor de gegevensverwerking door de opsporingsautoriteiten in het leven te roepen. De tweede optie is dat: ‘het toezicht binnen het strafvorderlijk kader wordt versterkt door naast het huidige AP en de strafrechter, een toezichthoudend orgaan op te richten naar het voorbeeld van de CTIVD dat toezicht uitoefent op het optreden van de inlichtingen- en veiligheidsdiensten. De CTIVD oefent immers toezicht uit zowel tijdens de uitoefenen van de bevoegdheden als achteraf. Over dit toezicht brengt de CTIVD verslag uit in openbare rapporten.’

“Het voordeel van het in het leven roepen van een met de CTIVD vergelijkbaar orgaan boven een specialistisch gegevensbeschermingsautoriteit, is dat de eerste een bredere taakopdracht kan worden toebedeeld binnen het strafvorderlijk kader, een taak die verder gaat dan die van een waakhondfunctie. Daardoor kan dit toezichthoudende orgaan ook een belangrijke rol vervullen op het gebied van normprecisiering. Dit orgaan zou wat ons betreft bovendien als klankbord kunnen fungeren bij vragen van de politie over de verwerking van gegevens gedurende de opsporing. Zo kan ook buiten de rechter om worden geborgd dat fundamentele rechten voldoende zijn beschermd alsmede dat de opsporing werkbaar blijft.”

En tot slot: over “goed toezicht”

“Goed toezicht wil echter niet zeggen dat elke (verwerkings)handeling vooraf gefiatteerd of achteraf bekeken moet worden; er zijn andere manieren om de vereiste volledigheid van toezicht te realiseren. Waar het momenteel vooral aan lijkt te ontbreken is een onafhankelijk toezichthouder die real-time mee kan kijken bij de uitoefening van digitale opsporingsbevoegdheden en waar nodig kan interfereren (en dat ook doet). Nu wordt bij onderzoek aan bulkgegevens op ad hoc basis de rechter-commissaris betrokken, maar dat lijkt niet een erg effectieve vorm van toezicht of gegevensbescherming te zijn. Immers, vaak is vooraf nog niet precies duidelijk wat men gaat tegenkomen in de bulk van gegevens. In het kader van de Wiv 2017 en de plannen tot hervorming van die regeling, denkt men momenteel na hoe een dergelijk vorm van toezicht gestalte kan krijgen.”

“De trend naar meer ex durante en ex post toezicht is ook in de jurisprudentie van het EHRM te zien, ook al formuleert het EHRM weinig harde eisen. Dat laat onverlet dat er alle aanleiding is om het stelsel van toezicht zoals we dat in Nederland kennen, te verstevigen. Op deze manier kan aan zorgen van burgers tegemoet worden gekomen en kunnen de belangen van de verdachte voldoende worden gewaarborgd.”

Bron: M.I. Fedorova e.a., ‘Strafvorderlijke gegevensverwerking. Een verkennende studie naar de relevante gezichtspunten bij de normering van het verwerken van persoonsgegevens voor strafvorderlijke doeleinden’, Den Haag: WODC / Nijmegen: Radboud University Press 2022.

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

jjoerlemans Een reactie plaatsen

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

Evaluatie Wiv 2017: van meer privacy naar meer werkbaarheid… en weer terug?

jjoerlemans Een reactie plaatsen

Aanleiding: meer privacy

Twee jaar na de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is een evaluatie van deze wet van start gegaan. Deze vervroegde wetsevaluatie (het wordt standaard pas na 5 jaar geëvalueerd) is geïnitieerd vanwege de uitslag van het raadgevend referendum over de Wiv 2017. 49,44% van de kiezers heeft tegen de Wiv 2017 gestemd, 46,53% voor, en 4,03% blanco. Uit het maatschappelijk debat rondom het referendum bleek dat mensen zich met name zorgen maakten over privacy en dan specifiek over de uitbreiding van de bevoegdheid tot bulkinterceptie van internetverkeer naar de kabel (het ‘sleepnet’ genoemd).

Naar meer werkbaarheid

Net voor de start van de evaluatie van de Wiv 2017 vond in 2019 een kentering in het debat plaats. Het voormalige hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) Dick Schoof waarschuwde op 6 februari 2019 in het programma Nieuwsuur dat de ‘operationele slagkracht niet overheerst mag worden door de administratieve last die ontstaat door de nieuwe wetgeving’. Kort daarop vroegen Kamerleden van CDA- en VVD-fractie zich af ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘hoe de disproportionele bureaucratisering van het werk van de diensten wordt tegengaan’. De invloed op de operationele slagkracht van de Wiv 2017 is door de Algemene Rekenkamer speciaal onderzocht. De Algemene Rekenkamer concludeert dat: de nieuwe waarborgen de inzet van bepaalde bijzondere bevoegdheden het verzamelen van inlichten en de snelheid in internationale samenwerking beperken en er een toename is van administratieve lasten, waardoor bij gelijkblijvende capaciteit minder tijd overblijft voor het uitvoeren van onderzoek in het belang van de nationale veiligheid (zie rapport).  

De Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos naar haar voorzitter) kreeg hierop expliciet de opdracht te onderzoeken ‘of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten’ en ‘de knel- en aandachtspunten in de toepassingspraktijk van de wet’ te onderkennen. Op 20 januari 2021 heeft de Commissie Jones-Bos een lijvig rapport (180 pagina’s) afgeleverd. Een groot deel van de aanbevelingen streven een ‘werkbaarder wet’ na, soms ten koste van reeds bestaande (privacy)waarborgen. Kort daarop schreef het demissionaire kabinet de aanbevelingen te ‘omarmen’ en de voorbereidingen te treffen voor een wijzigingsvoorstel van de Wiv 2017.

Gevolgen voorstellen Commissie Jones-Bos voor privacy

Ons artikel (.pdf) betreft een beschouwing van dit rapport, waar in wij verkennen wat de gevolgen van een aantal van deze voorstellen kunnen zijn voor het recht op privacy van personen. In het bijzonder richtten wij ons op de manier waarop bulkdatasets worden verzameld en hoe data-analyse is geregeld.

Wij concluderen dat de voorstellen van de Commissie Jones-Bos de waarborgen van bepaalde bijzondere bevoegdheden verzwakken. Dit heeft gevolgen heeft voor de bescherming van het recht op privacy. Met name een voorgestelde informantenbevoegdheid wordt gebrekkig uitgewerkt door de commissie, terwijl daarmee ook bulkdatasets kunnen worden verzameld. Die regeling behoeft meer aandacht, waarbij fundamentele keuzes gemaakt worden, zoals de vraag of de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) van elke overheidsinstantie en misschien zelfs elk bedrijf gegevens vrijwillig mogen opvragen of kunnen eisen dat deze op verzoek verplicht verstrekt worden (vorderen). Het voorstel de voorafgaande onafhankelijke toets van de Toetsingscommissie Inzet Bevoegdheden (TIB) te schrappen bij de bevoegdheden voor selectie- en metadata-analyse, het vereenvoudigen van het relevant verklaren van bulkdatasets, en de inperking van het begrip ‘geautomatiseerde data-analyse’, verzwakt ook de bescherming van privacy.

Ten slotte merken wij in het artikel op dat de Commissie Jones-Bos bijzonder weinig aandacht aan de bepalingen omtrent gegevensverwerking in de Wiv 2017. Ook bij minder geavanceerde vormen van data-analyse die wel degelijk een ernstige inbreuk op het recht op privacy en andere mensenrechten kunnen meebrengen, waarvoor deze bepalingen van belang kunnen zijn. Wij bevelen daarom aan voordat het voorstel tot wetswijzing naar de Tweede Kamer wordt gestuurd alsnog een ‘privacy impact assessment’ uit te voeren (zie ook de PIA op het wetsvoorstel van de Wiv 2017). Net als bij de Wiv 2017 kunnen de uitkomsten daarvan voor het wetsvoorstel in overweging worden genomen. 

En weer terug naar privacy?

Na de publicatie van ons artikel heeft toch een kleine kentering in het (parlementaire) debat plaatsgevonden over de voorgenomen wijzigingen van de Wiv 2017. De aangenomen moties (zoek op ‘IVD’) zien op de toezichthouders (bijvoorbeeld een oproep te onderzoeken wat de voor- en nadelen van samenvoeging zijn). Daarmee wordt er enige tegenwicht geboden aan sommige aanbevelingen van de Commissie Jones-Bos over toezicht.

In een recente annotatie bij de Big Brother Watch- en Centrum För Rättvisa-zaken betogen Mireille Hagens en ik (Jan-Jaap) dat de oproep van het Europees Hof voor de Rechten van de Mens (EHRM) tot ‘end-to-end safeguards’ bij bulkinterceptie ook tot een heroverweging van het toezicht stelsel en de rol van de rechter zou moeten leiden.

Quirine en ik hadden natuurlijk graag ook een oproep tot meer aandacht voor de regels omtrent gegevensverwerking en impact op privacy gezien (ook vanwege het gemoderniseerde verdrag van de Raad van Europa over regels voor gegevensverwerking (Conventie 108+) die ook betrekking heeft op nationale veiligheid). Maar de discussie lijkt met de vele nieuwe Tweede Kamerleden weer wat meer open te liggen. Het zal ook afhankelijk zijn van de visie en waarden die een nieuw kabinet te zijner tijd met zich meebrengt, hoe een wetsvoorstel voor een nieuwe Wiv (2024?) eruit komt te zien.

Jan-Jaap Oerlemans & Quirine Eijkman