Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 11 maart 2014

Hierbij bieden wij u aan het toezichtsrapport van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) inzake gegevensverwerking op het gebied van telecommunicatie door de AIVD en MIVD (rapport nr. 38)1. Het rapport is uitgebracht op verzoek van de Tweede Kamer.

De CTIVD heeft het vastgestelde rapport op 7 februari 2014 aan ons toegestuurd, inclusief twee geheime bijlagen: één over de AIVD en één over de MIVD. De geheime bijlagen zijn, zoals gebruikelijk, gelijktijdig met deze brief verzonden aan de Commissie voor de Inlichtingen- en Veiligheidsdiensten.

In het rapport staan vier onderzoeksvragen centraal:

• • Kan een inschatting worden gegeven van de aard en omvang van wat de Nederlandse inlichtingendiensten doen aan (a) grootschalige dataverzameling (m.n. data fishing), (b) het combineren van data, (c) data opslag en (d) data uitwisseling?

• • Welke ruimte laat de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002) voor onder de eerste onderzoeksvraag genoemde vier afzonderlijke activiteiten? Kan worden aangegeven of en waar de activiteiten niet of deels rechtmatig plaatsvinden binnen de Wiv? Wat is specifiek de relatie tussen de artikelen 24–27 en 59 van de Wiv?

• • Hoe verhouden de onder de eerste onderzoeksvraag genoemde vier afzonderlijke activiteiten zich tot de Nederlandse grondwet en het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM)?

• • Hoe is de toetsing op proportionaliteit en subsidiariteit – zoals gevraagd in het EVRM – geregeld wanneer via buitenlandse diensten informatie over Nederlandse burgers wordt verkregen?

In het rapport beantwoordt de CTIVD deze vragen. Er is volgens de CTIVD geen sprake van het stelselmatig buiten de wet om verwerven van (persoons)gegevens door de AIVD en de MIVD. Tevens constateert de CTIVD dat zij in haar onderzoek geen aanwijzingen heeft gevonden dat de AIVD en de MIVD expliciet verzoeken hebben gericht aan buitenlandse diensten om methoden in te zetten die naar Nederlands recht niet geoorloofd zijn. Het verstrekken van verzamelingen gegevens, zowel metagegevens als inhoudelijke communicatie, in de onderzochte samenwerkingsverbanden beoordeelt de CTIVD als rechtmatig. De CTIVD acht het toegestaan dat de AIVD en de MIVD samenwerken met buitenlandse diensten, ook als niet kan worden uitgesloten dat zij gegevens ontvangen die zijn verkregen door ongerichte interceptie van kabelgebonden telecommunicatie. Wel beveelt de CTIVD aan om de de samenwerkingsrelaties (ook op internationaal niveau) te beoordelen op transparantie en de afwegingen die daaraan ten grondslag liggen nader te concretiseren. Deze aanbeveling wordt opgevolgd.

In enkele gevallen acht de CTIVD de werkwijzen onrechtmatig op basis van de Wiv 2002. Het gaat om bemerkingen over (1) de motivering en (2) het toestemmingsniveau bij de inzet van menselijke bronnen in bepaalde situaties, (3) het toestemmingsniveau bij de inzet van de hackbevoegdheid, (4) de motivering van de selectie van sigint en (5) het inzetten van de selectiebevoegdheid ten behoeve van buitenlandse diensten. Voorts acht de CTIVD – zoals reeds eerder in rapport nr. 28 inzake de inzet van Sigint door de MIVD is vermeld – bepaalde vormen van search ten behoeve van selectie onrechtmatig. In de voorgenomen wetswijziging zal dit worden meegenomen.

Ten aanzien van de inzet van menselijke bronnen en en de hackbevoegdheid zijn de aanbevelingen opgevolgd en zijn inmiddels procedurele maatregelen genomen (1), (2) en (3). Naar aanleiding van de opmerkingen van de CTIVD zijn de motiveringen van de selectie van sigint aangepast (4). Wat de inzet van de selectiebevoegdheid ten behoeve van buitenlandse diensten betreft, wordt de werkwijze aangepast (5).

De CTIVD constateert voorts dat technologische ontwikkelingen het vandaag de dag mogelijk maken bevoegdheden op nieuwe, niet altijd door de wetgever voorziene, manieren in te zetten. Dit heeft tot gevolg dat op een aantal vlakken de werkwijzen van de diensten thans onvoldoende waarborgen bieden voor de bescherming van de persoonlijke levenssfeer, terwijl hierbij strikt genomen de Wiv 2002 niet wordt overschreden. Dit geldt bijvoorbeeld ten aanzien van de analyse van metagegevens. De CTIVD stelt vast dat metagegevens voor een deel zijn aan te merken als persoonsgegevens en dat dus voor de interne analyse van deze gegevens aanvullende waarborgen nodig zijn. De CTIVD beveelt aan een specifieke regeling voor de verwerking van metagegevens op te nemen in de wet.

Tevens beveelt de CTIVD aan om bij de komende wijziging van de Wiv 2002 te regelen dat de wet nadere aanknopingspunten biedt voor de maximale ewaartermijn van ruwe gegevens in gevallen waarin dit nog niet is voorzien.

Beide aanbevelingen worden overgenomen en meegenomen in de voorgenomen wetswijziging.

Tot slot maakt de CTIVD opmerkingen over de gegevensverwerking van de AIVD inzake webfora. De CTIVD heeft aangekondigd dit nader te beoordelen in het onderzoek naar de onderzoeksactiviteiten van de AIVD op sociale media. Het rapport zal naar verwachting begin april 2014 aan de Minister van BZK worden aangeboden. Nu thans geen sprake is van geconstateerde onrechtmatigheden, zal het rapport worden afgewacht.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk

De Minister van Defensie, J.A. Hennis-Plasschaert