Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 september 2020

Met deze brief bieden wij u twee rapporten aan van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) over de verwerking van passagiersgegevens van luchtvaarmaatschappijen en het verzamelen vans bulkdatasets met de hackbevoegdheid en de verdere verwerking daarvan1. In de rapporten van de CTIVD wordt een maatschappelijk zeer relevant onderwerp uitvoerig belicht: de omgang met bulkdata door de AIVD en de MIVD. Met uitzondering van de aanbevelingen die zien op de vernietiging van bulkdatasets, nemen wij alle aanbevelingen over. De rapporten bevatten staatsgeheim gerubriceerde bijlagen, die wij hebben verzonden aan de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van uw Kamer.

Aard van de bulkdatasets

De rapporten behandelen in hoofdzaak de verwerving en de verwerking van bulkdatasets. Van bulkdata is sprake wanneer het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

De rapporten gaan dus niet over bulkdata die is verkregen met onderzoeksopdracht gerichte interceptie (00G-interceptie).

Noodzaak bulkdatasets

In beide rapporten onderschrijft de CTIVD de noodzaak van het gebruik van bulkdatasets door de diensten. De diensten beschikken over zowel algennene als bijzondere bevoegdheden om bulkdatasets rechtmatig te verzamelen. Wij onderschrijven het oordeel van de CTIVD dat bulkdatasets grote waarde hebben voor de taakuitvoering van de diensten. Het betreft zowel de waarde voor de verdere analyse van gekende dreigingen als het onderkennen en identificeren van targets en verborgen dreigingen. Daarbij moet steeds een afweging gemaakt worden die recht doet aan zowel de bescherming van onze nationale veiligheid gericht op het tijdig onderkennen van verborgen dreiging als het recht op privacy, waaronder het belang om zo min mogelijk gegevens onnodig lang te bewaren.

Passagiersgegevens zijn onmisbaar voor zowel terrorismeonderzoek als onderzoek naar de vijandige activiteiten van buitenlandse inlichtingendiensten en hun werkwijze, zelfs als deze verhullend is.

Met behulp van bulkdata die is verkregen met de hackbevoegdheid zijn locaties onderkend van Nederlandse uitreizigers in (voormalig) ISIS-gebied, onder andere van wie het Nederlanderschap is ingetrokken. Deze data speelt ook een belangrijke rol in het onderzoek naar de inzet van Improvised Explosive Devices (IED's) tegen Nederlandse militairen. Ook zijn hiermee inlichtingen verworven die hebben geholpen bij het duidelijk krijgen van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland. Tot slot speelt de bulkdata verkregen met de hackbevoegdheid bij onderzoek met een internationaal belang, bijvoorbeeld bij het vaststellen van de identiteit van de personen betrokken bij zenuwgasaanvallen in Syrie in 2016/2017. Wij zullen deze voorbeelden toelichten in de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van uw Kamer.

Aanscherping regels verdere verwerking bulkdata

De belangrijkste conclusies en aanbevelingen in beide rapporten hebben betrekking op de verdere verwerking van bulkdata. De CTIVD constateert dat in de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) geen specifieke regeling hiervoor is opgenomen, met uitzondering van de onderzoeksopdracht gerichte interceptie, waarbij ook in bulk gegevens worden verzameld. De CTIVD acht het wenselijk om tot een meer inclusieve wettelijke regeling van bulkdatasets te komen die recht doet aan de bescherming van fundamentele rechten van burgers en de operationele waarde van bulkdatasets voor de diensten.

Wij onderschrijven deze opvatting van de CTIVD. We hebben al eerder aan uw Kamer laten weten dat de onafhankelijke commissie die belast is met de evaluatie van de Wiv 2017 is verzocht om de omgang door de diensten met bulkdatasets in haar onderzoek te betrekken. Het rapport van deze commissie zal naar verwachting eind dit jaar worden opgeleverd. Wij menen dat in afwachting hiervan voor de tussentijd, dat wil zeggen tot het moment dat de Wiv 2017 ter zake zal worden gewijzigd, aanvullende maatregelen nodig zijn die recht doen aan de bescherming van fundamentele rechten van burgers en de operationele waarde van bulkdata van de diensten. Daarom komen wij met aanvullende regels en waarborgen, die zullen gelden voor de verdere verwerking van alle bulkdatasets (met uitzondering van 00G-interceptie). Dat zijn naast de sets waarover de CTIVD zich in deze rapporten heeft gebogen bijvoorbeeld sets verkregen van agenten en van informanten. Uiteraard passen de extra waarborgen die in dit beleid zijn opgenomen binnen de kaders van de wet; zij vormen een aanscherping van de praktijk. De publicatie van deze nadere regels met betrekking tot de werkwijze van de diensten inzake de verdere verwerking van bulkdatasets is voorzien in oktober. De nadere regels worden – vooruitlopend op de formalisering daarvan – nu al met onmiddellijke ingang toegepast op de bulkdatasets genoemd in beide rapporten.

De tijdelijke regels voor verdere verwerking van bulkdatasets zullen betrekking hebben op het gebruik van (en vooral de toegang tot) alle bulkdatasets, de bewaartermijnen (met een periodieke herbeoordeling) en de voorwaarden voor het verstrekken van bulkdatasets aan partnerdiensten. Uitgangspunt van de regels is dat het voor de bescherming van de burger bij gebruik van de bulkdataset niet uitmaakt op welke wijze een bulkdataset is verworven. Voor de omgang met bulkdatasets is bepalend wat de aard van de gegevens is en de informatie die de diensten daaruit kunnen halen over de personen van wie gegevens in deze datasets zijn opgenomen. Naarmate de privacy-inbreuk groter wordt, wordt de toegang tot de gegevens aan strengere voorwaarden verbonden en wordt vaker getoetst of de gegevens moeten worden verwijderd. Zo wordt aan de voorkant en de achterkant van het proces geborgd dat er zorgvuldig met bulkdatasets wordt omgegaan. De Minister beslist en de CTIVD wordt geInformeerd over de categorisering en de daarbij behorende waarborgen van de bulkdatasets alsnnede over de eventuele verstrekking van de bulkdataset.

Met deze regels en extra waarborgen volgen we een groot deel van de aanbevelingen van de CTIVD op die zien op vastlegging van de noodzaak tot verwerving van gegevens in bulk en van de aanbevelingen die betrekking hebben op toegang tot gegevens. Hiermee wordt ook opvolging gegeven aan de aanbeveling om de waarborgen van het bulkdatasetbeleid alsnog toe te passen op de verzameling en verwerking van de API-gegevens.

Geen vernietiging bulkdatasets

In het rapport over de bulkdatasets verkregen met de hackbevoegdheid zijn wij het op twee punten oneens met de conclusies en aanbevelingen van de CTIVD. Dit betreft het punt van de relevantiebeoordeling van bulkdata en het aanmerken van het aanklikken van een link als de inzet van de hackbevoegdheid.

In het rapport over de hackbevoegdheid, constateert de CTIVD dat de beoordeling op relevantie van een aantal bulkdatasets door de diensten volgens haar onrechtmatig is. Dit is geen nieuwe constatering van de CTIVD. Zoals wij ook in onze reactie op de vierde voortgangsrapportage hebben gemeld aan uw Kamer, delen wij dit oordeel niet. De beoordeling op relevantie betreft een open norm, die nieuw is in de Wiv 2017. De wijze waarop de diensten bulkdatasets op relevantie hebben beoordeeld is gedaan met inachtneming van het huidige wettelijke kader en is naar ons oordeel rechtmatig uitgevoerd. Er zijn ook daadwerkelijk bulkdatasets verwijderd. De aanbeveling van de CTIVD om de in het rapport genoemde bulkdatasets te vernietigen zullen wij niet opvolgen. Wij achten vernietiging van deze sets bovendien onverantwoord gelet op het operationele belang van deze sets.

Voorts beveelt de CTIVD aan een bulkdataset te vernietigen omdat de toestemming voor de verwerving hiervan naar het oordeel van de CTIVD niet op het juiste niveau is gegeven. Wij zijn het evenwel niet eens met de juridische duiding van de CTIVD ten aanzien van deze operatie. Het betreft een operatie waarin een menselijke bron de AIVD deze informatie heeft verstrekt en overigens ook niet zelf heeft gehackt. Hierbij heeft de dienst geen gebruik gemaakt van de hackbevoegdheid (ex artikel 45 Wiv 2017) en is er dus op het juiste niveau toestemming gegeven.

Overige conclusies en aanbevelingen

Ten aanzien van de API-gegevens constateert de CTIVD een onrechtmatigheid bij een uitgevoerde data-analyse op een grootschalige set van API-gegevens. Dit betreft een tekortkoming in de vastlegging bij de verwerking van de gegevens. Ook constateert de CTIVD een onrechtmatigheid bij een aantal specifieke gegevensverwerkingen door de gezamenlijke unit Veiligheidsonderzoeken van de AIVD en de MIVD. In beide gevallen hebben de diensten actie ondernomen en de praktijken stopgezet en ervoor gezorgd dat de onrechtmatigheden niet meer kunnen voorkomen.

De CTIVD wijst er tevens op dat voor de burger voorzienbaar moet zijn dat bulkdatasets, ook door de inzet van algemene bevoegdheden zoals de informantenbevoegdheid, door de diensten kunnen worden verzameld en verder worden verwerkt. De CTIVD geeft aan dat de huidige wet op dit punt geen specifieke regeling bevat en daarom behoeft het onderwerp volgens de CTIVD ten minste in het kader van de wetsevaluatie aandacht. Deze tekortkoming wordt geadresseerd in de hierboven genoemde tijdelijke regels voor verdere verwerking van bulkdatasets. Tevens is de onafhankelijke commissie die belast is met de evaluatie van de Wiv 2017 verzocht om ook dit punt in haar onderzoek te betrekken.

In het rapport over de bulkdatasets verkregen uit de hackbevoegdheid wijst de CTIVD op een drietal operaties van de AIVD waarbij in de overgang van de Wiv 2002 naar de Wiv 2017 door administratieve fouten de gegevensverwerving korte tijd heeft doorgelopen ondanks het ontbreken van toestemming. Dit is door de AIVD zelf ontdekt en rechtgezet. De gegevens zijn vernietigd en zijn ook niet in het operationele proces gebruikt.

De CTIVD constateert dat de werkwijze van de diensten met betrekking tot het nemen en inschatten van risico's bij de inzet van de hackbevoegdheid, met inachtneming van enkele aanbevelingen, in voldoende mate een afweging van risico's waarborgt. Tevens is op rechtmatige wijze invulling gegeven aan de wettelijke opruimplicht, waarbij verwijdering van technische hulpmiddelen dient te worden onderzocht. Tot slot geven de diensten door middel van geautomatiseerde logging in combinatie met een handmatig logboek op rechtmatige wijze invulling aan de wettelijke verplichting tot het houden van aantekening.

Tot slot

De bulkdatasets zijn van groot belang voor het week van de AIVD en de MIVD. Ze stellen de diensten in staat om bredere patronen en netwerken te onderkennen en daardoor nieuwe dreigingen tijdig te voorspellen. Daarmee is het gebruik van de data in de sets noodzakelijk voor het inlichtingenwerk en daarmee van groot belang voor de veiligheid van de Nederlandse samenleving.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren

De Minister van Defensie, A.Th.B. Bijleveld-Schouten