De minister heeft mede namens de minister van Veiligheid en Justitie op 13 januari 2011 gereageerd.

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

BRIEF AAN DE MINISTER VAN ECONOMISCHE ZAKEN, LANDBOUW EN INNOVATIE

Den Haag, 9 november 2010

De vaste commissie voor Justitie is de minister erkentelijk voor de nakoming van de in juli 2009 gedane toezegging door de minister van Justitie aan de Eerste Kamer, om ter zake van de op te leggen bewaarplicht verkeersgegevens een zogenaamde nulmeting uit te voeren naar de stand van zaken betreffende de naleving van deze wet en de Kamer de rapportage met betrekking tot deze nulmeting toe te zenden. De toegezonden documenten geven de commissie aanleiding tot het stellen van de volgende vragen.

Technische specificaties

Uit het Eindrapport Nulmeting Wet bewaarplicht telecommunicatiegegevens blijkt, dat een zeer klein deel van de aanbieders (10,9%) alle noodzakelijke gegevens bewaart. De reden daarvoor is dat de technische specificaties te laat zijn verschenen. Wanneer zijn die technische specificaties aan de aanbieders verstrekt? Zijn de verstrekte specificaties in overeenstemming met Europese afspraken c.q. standaarden tot stand gekomen? Brengt de toepassing van deze technische specificaties met zich mee dat internet service providers investeringsbeslissingen moe(s)ten nemen, die mogelijk – althans voor een belangrijk deel – onnodig zijn geweest, als blijkt dat de evaluatie van de Richtlijn bewaarplicht verkeersgegevens aangeeft dat er andere en met name minder zware eisen worden gesteld?2

Ontsluiten, leveren en inwinnen van gegevens

In de brief van medio augustus schrijft de minister dat voor de aanbieder de inschakeling van een dienstverlener, die efficiënt de ontsluiting en levering van gegevens kan verzorgen, mogelijk is. Er wordt in dit verband verwezen naar het voorbeeld van de Nationale Beheersorganisatie Internet Providers (NBIP). Kan de minister aangeven wat voor (soort) organisatie de NBIP is en hoe de financiering van deze organisatie plaatsvindt? Kan de minister aangeven op welke wijze toetsing naar het gewenste beveiligingsniveau plaatsvindt en hoe blijkt of de integriteit bij het inwinnen van gegevens door de opsporingsdiensten voldoende is gewaarborgd?

De leden van de vaste commissie voor Justitie zien met belangstelling uit naar uw reactie.

BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN, LANDBOUW EN INNOVATIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 13 januari 2011

Bij brief van 17 augustus 2010 heeft de toenmalige minister van Economische Zaken, mede namens de toenmalige minister van Justitie, u het Eindrapport Nulmeting Wet bewaarplicht telecommunicatiegegevens van het Agentschap Telecom aangeboden. In een brief van 9 november 2010 heeft de vaste commissie voor Justitie van uw Kamer naar aanleiding van de toegezonden documenten een aantal vragen gesteld. In reactie op deze brief bericht ik u, mede namens de minister van Veiligheid en Justitie, als volgt.

De vaste commissie heeft, onder verwijzing naar de mededeling in het Eindrapport Nulmeting Wet bewaarplicht telecommunicatiegegevens, waaruit blijkt dat een zeer klein deel van de aanbieders (10,9%) alle noodzakelijke gegevens bewaart, gevraagd wanneer de technische specificaties voor het bewaren van deze gegevens aan de aanbieders zijn verstrekt. Verder heeft de commissie gevraagd of de verstrekte specificaties in overeenstemming met Europese afspraken c.q. standaarden tot stand zijn gekomen. Tenslotte heeft de commissie gevraagd of de toepassing van deze technische specificaties met zich meebrengt dat internet service providers investeringsbeslissingen moe(s)ten nemen, die mogelijk – althans voor een belangrijk deel – onnodig zijn geweest, als blijkt dat de evaluatie van de Richtlijn bewaarplicht verkeersgegevens aangeeft dat er andere en met name minder zware eisen worden gesteld.

Technische specificaties

In antwoord op de gestelde vragen kan ik u melden dat er geen technische specificaties door de Nederlandse overheid of in Europees verband zijn opgelegd voor de wijze waarop aanbieders de te bewaren gegevens dienen te verzamelen, op te slaan of aan de overheid te verstrekken. De richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (hierna te noemen: de richtlijn dataretentie) schrijft voor dat de lidstaten ervoor moeten zorgen dat de aanbieders bepaalde beginselen van gegevensbeveiliging respecteren met betrekking tot de bewaarde gegevens. Dit betreft onder meer de bepaling dat de bewaarde gegevens dezelfde kwaliteit hebben en worden onderworpen aan dezelfde beveiligingsvoorschriften als de gegevens in het netwerk. Verder moeten passende technische en organisatorische maatregelen worden getroffen om de gegevens te beveiligen, en te waarborgen dat de toegang tot de gegevens slechts geschiedt door speciaal daartoe bevoegde personen (artikel 7 richtlijn dataretentie). Ter implementatie van deze verplichtingen zijn die eisen vastgelegd in het Besluit beveiliging gegevens telecommunicatie (Staatsblad 2009, 350). Dit Besluit is gelijktijdig met de Wet bewaarplicht gepubliceerd en in werking getreden.

Uit de nulmeting is gebleken dat aanbieders onduidelijkheid ervaren met betrekking tot de technische specificaties van de gegevens en dat een zeer klein deel van de aanbieders (10,9%) alle noodzakelijke gegevens bewaart. Zoals in de brief van 17 augustus 2010 is beschreven, hebben de ministeries van Economische Zaken, Landbouw en Innovatie en van Veiligheid en Justitie op basis van deze bevindingen uit de nulmeting geconstateerd dat er behoefte is bij aanbieders aan (een) technische standaard(en) voor de uitwisseling van gegevens met de overheid. Om aan deze behoefte gehoor te geven, biedt het ministerie van Veiligheid en Justitie een platform voor aanbieders om onderling afspraken te maken over (een) technische standaard(en). Naar verwachting zal tegen het einde van het eerste kwartaal van 2011 een eerste concept van de standaard voor dataretentie gereed zijn. Het uitgangspunt hierbij is de in Europees verband ontwikkelde standaard voor dataretentie (Retained Data Handover Interface). European Telecommunications Standards Institute (ETSI) is een organisatie die wereldwijd geldende normen ontwikkelt voor informatie- en communicatietechnologieën (telefonie, internet, radio, etcetera). Telecommunicatieaanbieders en leveranciers van telecommunicatiesystemen worden betrokken bij het ontwikkelen van deze normen binnen het eerder genoemde platform.

Evaluatie

Op dit moment kan niet vooruit worden gelopen op de uitkomsten van de Europese evaluatie van de richtlijn, die was voorzien voor september 2010. Afgewacht zal moeten worden of de evaluatie zal leiden tot een voorstel van de Commissie tot opneming van eisen inzake de technische specificaties in de richtlijn. Voor zover deze evaluatie zal leiden tot andere en met name minder zware eisen, dan zal hieruit kunnen voortvloeien dat de Nederlandse regelgeving aangepast moet worden. Het lijkt echter aangewezen eerst de resultaten van de evaluatie af te wachten. De afronding van de evaluatie wordt verwacht aan het einde van het 1e kwartaal 2011.

Nationale Beheersorganisatie Internet Providers (NBIP)

Daarnaast heeft de vaste commissie mij verzocht aan te geven wat voor (soort) organisatie de NBIP is en hoe de financiering van deze organisatie plaatsvindt.

Het NBIP is een dienstverlenende organisatie die de aftapbaarheid van internet en telefonie voor de daarbij aangesloten internet service providers kan verzorgen. NBIP is een private organisatie (stichting). Internet service providers kunnen diensten van NBIP afnemen tegen betaling. De kosten voor een internet service provider bestaan uit een vaste vergoeding per jaar, die afhankelijk is van de grootte van de provider, en uit een variabele vergoeding voor de inzet van de tapapparatuur in een concreet geval. Voor deze laatste kosten kunnen de internet service providers een vergoeding vragen aan het ministerie van Veiligheid en Justitie.

Toetsing beveiligingsniveau en waarborg integriteit

Tenslotte is gevraagd of ik kan aangeven op welke wijze toetsing naar het gewenste beveiligingsniveau plaatsvindt, en hoe blijkt of de integriteit bij het inwinnen van gegevens door de opsporingsdiensten voldoende is gewaarborgd.

De opsporingsdiensten hebben tot 1 december 2010 de mogelijkheid gehad om naar aanleiding van de bovengenoemde verbeterpunten een «in-control»-verklaring dan wel een verbeterplan op te sturen naar het ministerie van Veiligheid en Justitie. Op basis hiervan wordt door de Departementale Auditdienst (DAD) van het ministerie van Veiligheid en Justitie een rapportage opgemaakt waarin de betrouwbaarheid van de aangeboden informatie wordt getoetst. Een groot deel van de korpsen heeft zijn verklaring al ingestuurd. In oktober 2010 zijn de overige korpsen gerappelleerd vanuit de Board Opsporing en de interceptiewerkgroep. In december 2010 heeft vanuit de DAD, in samenwerking met leden van de interceptiewerkgroep, een review plaatsgevonden bij drie opsporingsdiensten op de ingeleverde «in-control»-verklaring. De uitkomst van deze review wordt in de bovengenoemde rapportage van de DAD meegenomen en zal naar verwachting in maart van dit jaar aangeboden aan de Commissie van Advies.