Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 december 2018

Inleiding

Hierbij bieden wij u de voortgangsrapportage over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017) aan van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD)1. Zoals bij de wetsbehandeling toegezegd aan uw Kamer heeft het kabinet de CTIVD verzocht om over een aantal onderwerpen spoedig na inwerkingtreding van de wet te rapporteren. Deze voortgangsrapportage geeft een eerste inzicht in de implementatie van de nieuwe wet. Op de terreinen waar bevoegdheden van de diensten nieuw zijn of wettelijke en toegezegde beleidsmatige waarborgen voor de rechtsbescherming van de burger ruimte laten voor invulling, heeft de CTIVD een nulmeting verricht. Elke beoordeling betreft een inschatting van risico’s op onrechtmatig handelen en niet het oordeel dat daarmee reeds onrechtmatig is gehandeld.

Zoals de CTIVD ook aangeeft, begeven de diensten zich in een operationeel zeer dynamisch werkveld, waar internationale samenwerking en technologische ontwikkelingen aan de orde van de dag zijn. In aanloop naar de inwerkingtreding van de wet hebben de diensten projectorganisaties opgericht ten behoeve van de voorbereiding op de implementatie. Na inwerkingtreding van de Wiv 2017 is gebleken dat de nieuwe wet meer impact op de diensten heeft dan door ons bij de totstandkoming van de wet is onderkend. Ook de CTIVD stelt dit vast in zijn rapportage. Wij zullen daarom aanvullende maatregelen treffen om een verantwoorde implementatie van de wet te borgen met oog voor de uitvoeringspraktijk van de diensten. Inmiddels hebben beide diensten maatregelen genomen om sturing en regie op de implementatie te versterken en te voorzien in een strakke monitoring hiervan.

De CTIVD heeft zich in de nulmetingen gericht op vier onderwerpen, te weten: de zorgplicht, verantwoorde databeperking, onderzoeksopdracht-gerichte interceptie (via de ether) inclusief geautomatiseerde data-analyse en de interne klachtbehandeling en meldingen van misstanden. Voor beide diensten geldt dat het risico als hoog wordt ingeschat voor de zorgplicht en (onderdelen van) de onderzoeksopdrachtgerichte interceptie (via de ether). Bij dit laatste onderwerp ziet de CTIVD specifiek hoge risico’s bij het hanteren van het begrip «zo gericht mogelijk», de toepassing van geautomatiseerde data-analyse en verantwoorde databeperking in het onderzoeksopdracht-gerichte interceptieproces. Ten aanzien van datareductie geldt voor de MIVD een hoog risico op het gebied van de wijze van datareductie en het onomkeerbaar vernietigen van gegevens. Deze aspecten hebben allemaal betrekking op het door de diensten terugbrengen van de hoeveelheid data tot hetgeen noodzakelijk is voor de taakuitvoering van de diensten.

Maatregelen

De CTIVD heeft bij de totstandkoming van de Wiv 2017 terecht veel aandacht gevraagd voor het thema zorgplicht. Hoewel wij zien dat de diensten zich inspannen om de zorgplicht goed in te vullen, onderkennen wij dat hier grotere en concretere stappen nodig zijn, zodat een instrumentarium kan worden ingericht dat voldoet aan de wettelijke verplichtingen en de toezichthouder in staat stelt om effectief toezicht te houden, en tegelijkertijd recht doet aan de operationele praktijk van de diensten.

De komende tijd zal bij beide diensten langs een aantal hoofdthema’s verder invulling worden gegeven aan de zorgplicht. Deze thema’s zijn reeds benoemd voor de inwerkingtreding van de nieuwe wet en betreffen 1) juistheid en volledigheid, 2) kwaliteit van de gegevensverwerking, 3) informatiebeveiliging, 4) functiescheiding, 5) datareductie, 6) eisen aan verzoek tot toestemming, 7) omgang bijzondere categorie personen, 8) aantekening houden, 9) eisen aan gegevensverwerking, 10) gegevensverstrekking.

Bovenop deze tien thema’s zal een overkoepelend elfde thema worden geïntroduceerd, te weten «governance». Hiermee wordt bedoeld het borgen van de structurele verandering die de zorgplicht oplegt en daarmee het rechtmatig handelen ten aanzien van de gegevens. Voor de diensten heeft dit al vorm gekregen in het aanbieden van een uitgebreid opleidingskader voor alle medewerkers van de AIVD en MIVD, dat in de komende periode zal worden voortgezet. Daarnaast zal in het eerste kwartaal van 2019 een werkprogramma worden vastgesteld voor het aanvullen van de bestaande maatregelen waarbij tevens rekening wordt gehouden met de toetsbaarheid van deze maatregelen. Tot deze maatregelen behoort ook het verder uitwerken van een systematiek van interne controle, waaronder assessments en audits. Dit werkprogramma zal met de CTIVD worden gedeeld. Ten behoeve van het thema «governance» heeft de AIVD daarbij ook een portefeuillehouder zorgplicht en compliance aangesteld en zal de MIVD op korte termijn een chief information officer aanstellen.

De diensten richten zich op uitbreiding van de compliance-functionaliteit door middel van intern toezicht binnen de diensten. Deze uitbreiding is er tevens op gericht om het intern toezicht beter te laten aansluiten bij het extern toezicht en effectief toezicht door de CTIVD. De MIVD zal invulling geven aan de compliance-functionaliteit door middel van de oprichting van een compliance office.

Voor het onderwerp onderzoeksopdrachtgerichte interceptie via de ether geldt dat de door de CTIVD beschreven noodzaak om werkprocessen vast te leggen, door de diensten wordt onderkend. Het traject hiertoe is inmiddels gestart en zal naar verwachting in het eerste kwartaal van 2019 zijn afgerond. Daarnaast zijn de diensten nog steeds volop bezig verder invulling te geven aan het stelsel van datareductie, zoals ook is aangegeven ten aanzien van de zorgplicht. Het stelsel van datareductie voor alle door de diensten verworven data is voor 1 mei 2019 ingericht. Dit is immers noodzakelijk, gelet op het aflopen van de termijn van één jaar zoals in de wet genoemd waarna niet beoordeelde gegevens moeten worden vernietigd.

Over de geautomatiseerde data-analyse op metadata verkregen uit onderzoeksopdrachtgerichte interceptie (OOG-interceptie) via de ether, gericht op het identificeren van personen of organisaties, hebben de TIB en CTIVD vrijdag 23 november jongstleden uw Kamer bericht (Kamerstuk 29 924, nr. 174). Wij zullen over deze gecompliceerde materie uw Kamer separaat berichten. Overigens is nog in mei 2018 binnen de diensten de interne instructie uitgegaan dat geen geautomatiseerde data-analyse op metadata verkregen uit OOG-interceptie, gericht op het identificeren van personen of organisaties, plaatsvindt totdat er helderheid en eenduidigheid bestaat over de uitleg van het wettelijk kader. Er vindt momenteel nog geen OOG-interceptie op de kabel plaats. De voorbereidingen daartoe zijn in volle gang.

Tijdpad

De CTIVD streeft er nadrukkelijk naar binnen twee jaar na de inwerkingtreding van de wet in concluderende zin te rapporteren over de onderwerpen die geduid zijn tijdens de Parlementaire behandeling van de wet en aan de CTIVD voor onderzoek zijn voorgelegd. Dit is mede van belang gezien de evaluatie van de Wiv 2017, die overeenkomstig de afspraak in het regeerakkoord (bijlage bij Kamerstuk 34 700, nr. 34), uiterlijk twee jaar na inwerkingtreding van de wet – dus voor 1 mei 2020 – zal zijn gestart. Ons streven is om aan de verwachting van de CTIVD te voldoen om de risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment een hoog risico signaleert.

In het eerste kwartaal van 2019 delen de diensten een gedetailleerde en toetsbare tijdsplanning met de CTIVD over de door te voeren verbeteringen op de relevante onderwerpen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren

De Minister van Defensie, A.Th.B. Bijleveld-Schouten