36 263 Regels inzake specifieke wettelijke voorzieningen voor het uitvoeren van onderzoeken door de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen (Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma)

Nr. 3 MEMORIE VAN TOELICHTING

I. Algemeen deel

1. Inleiding

Nederland en Nederlandse belangen worden in toenemende mate geconfronteerd met massieve dreigingen in het digitale domein, ook wel het cyberdomein.1 Het gaat hierbij om dreigingen vanuit diverse landen met een offensief cyberprogramma. Voorbeelden van dergelijke landen zijn met name Rusland en China. Een offensief cyberprogramma is er onder meer op gericht om langs digitale weg op heimelijke wijze de beschikking te verkrijgen over vertrouwelijke informatie, economische en technologische kennis of andere informatie van burgers of organisaties waarmee zij hun voordeel doen. Ook kan de hoogwaardige Nederlandse cyberinfrastructuur worden misbruikt bij het uitvoeren van cyberaanvallen op andere landen. Nederland is hierbij bij uitstek in het vizier vanwege het feit dat Nederland in het wereldwijde communicatienetwerk een belangrijk knooppunt is. Daarnaast wordt het cyberdomein door landen ook gebruikt voor het verspreiden van desinformatie en voor het verstoren en vernielen van technische infrastructuur, onder meer bij vitale sectoren. De hier bedoelde acties van landen moeten los gezien worden van de eveneens schadelijke, maar meer met een crimineel oogmerk verrichte digitale aanvallen, die bijvoorbeeld gericht zijn op het verkrijgen van losgeld (aanvallen met ransom-ware).

Landen zetten een offensief cyberprogramma in de vorm van cyberoperaties veelal in als onderdeel van een bredere offensieve strategie, waarbij ook andere – meer klassieke – operaties worden ingezet, teneinde hun geopolitieke doelstellingen te bereiken. Dergelijke operaties vormen ook onderdeel van een militaire strategie. Dit wordt onderschreven door de recente cyberaanvallen op de overheidssystemen in Oekraïne. Deze aanvallen raken de burger, de bedrijven en instellingen en ook onze nationale veiligheid.

Het is evident dat de uitvoering van dergelijke offensieve cyberprogramma’s veel schade (kunnen) toebrengen Nederland of Nederlandse belangen. Ter illustratie daarvan dienen de volgende voorbeelden.

  • 1. De afgelopen jaren hebben zich in of in relatie tot Nederland talloze cyberincidenten voorgedaan, met zowel een moedwillige als een niet-moedwillige oorzaak. Zo werd in december 2020 het Europees Geneesmiddelenbureau (EMA) doelwit van een hack&leak aanval. Het bureau werkte op dat moment aan de goedkeuring van twee COVID-19 vaccins. Eind december 2020 verschenen delen van EMA-documenten op webfora. De gelekte bestanden waren deels gewijzigd en voorzien van commentaar en context waardoor het moest lijken alsof er sprake was van frauduleus onderzoek door het EMA. Ook was e-mailconversatie aangepast waarbij de indruk werd gewekt dat EU-autoriteiten het EMA onder druk hebben willen zetten om vaccins versneld goed te keuren. Op deze manier kunnen door hacks niet alleen inlichtingen ingewonnen worden, maar wordt er ook desinformatie gedeeld. Het delen van desinformatie, oftewel nepnieuws, kan leiden tot ontwrichtingen binnen de maatschappij.

  • 2. Er is in 2021 waargenomen dat een actor misbruik maakte van de kwetsbaarheid in CITRIX-software en deze kwetsbaarheid actief misbruikte. Daarnaast zag de AIVD na bekendmaking van de LOG4J-kwetsbaarheid grootschalig misbruik door diverse statelijke actoren.

  • 3. In december 2020 werd bekend dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Doordat gebruikers van Orion-software onbewust een kwetsbare update uitvoerden kregen de aanvallers stilletjes toegang tot vele bedrijven en overheidsinstanties. Deze toegang kunnen aanvallers misbruiken om vervolgens digitale spionage bij de kwetsbare organisaties uit te voeren. Ook in Nederland werd de kwetsbare update van Orion-software geïnstalleerd, onder andere binnen de overheid en vitale processen. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

    Nederland hoort bij de meest ontwikkelde landen ter wereld op het gebied van economie, wetenschap en techniek en is daarmee een doelwit voor andere staten. China is op dat vlak de grootste bedreiging. De meeste (digitale) spionage door China is erop gericht de eigen economie te laten groeien en het verkrijgen van kennis en technologie in onder andere de semiconductorindustrie (bijvoorbeeld de productie van microchips), militaire- en dual-use technologie, de telecomsector, biofarmaceutica en biotechnologie.

  • 4. Ook blijkt uit onderzoek van de diensten dat Iraanse hackers probeerden intellectueel eigendom te stelen van Nederlandse universiteiten. Als de exclusiviteit van intellectueel eigendom verloren gaat en hierdoor bepaalde investeringen of overnames niet doorgaan, kan dit de Nederlandse economie bedreigen.

  • 5. De mogelijkheden voor digitale spionage door statelijke actoren zijn dankzij sterke afhankelijkheid van thuiswerken aanzienlijk toegenomen. Omdat veel mensen thuiswerken, zijn veel bedrijven afhankelijker van software waarmee werknemers op afstand kunnen inloggen op het bedrijfsnetwerk. Diverse statelijke actoren misbruiken de coronacrisis om (spear)phishingmails te versturen. Dit zijn e-mails die onjuiste informatie bevatten over het coronavirus en het slachtoffer proberen te verleiden de mail te openen of op een link te klikken. Hierdoor kan de actor toegang krijgen tot het netwerk van het slachtoffer en zo data stelen of malware installeren.

    Zo zag de MIVD in 2021 dat de Russische militaire inlichtingendienst (GRU) Nederlandse routers heeft gehackt van het midden-en kleinbedrijf en privépersonen. Op deze manier kon zij cyberoperaties uitvoeren via de routers van onwetende burgers en bedrijven

  • 6. Een onderdeel van een offensief cyberprogramma kan het inwinnen van politieke inlichtingen zijn om zo de democratische rechtsorde in andere landen te ondermijnen en politieke processen te beïnvloeden. Zo heeft de Russische militaire inlichtingendienst (GRU) op online mediaplatforms desinformatie verspreid over het neerhalen van vlucht MH17 en hebben ze hiermee het beeld proberen te kleuren dat mensen hebben van het neerhalen van vlucht MH17 boven Oekraïne in 2014. Heimelijke beïnvloeding kan op die manier soms gepaard gaan met openlijke propaganda. De diensten spelen een rol in het kunnen attribueren van de herkomst van dergelijke desinformatie en de duiding ervan.

  • 7. China probeerde in Nederland en elders beeldvorming te beïnvloeden rond het coronavirus. Dat deed het land met propagenda, die in de loop van het jaar offensief werd: uitingen prezen de Chinese aanpak, en zaaiden twijfel over de oorsprong van het virus en de aanpak van Europese landen.

  • 8. Ook binnen geopolitieke en militaire conflicten krijgen digitale spionage, sabotage en beïnvloedingscampagnes een steeds belangrijkere rol. Oekraïne is sinds de annexatie van de Krim door Rusland in 2014 veelvuldig slachtoffer geweest van digitale spionage en sabotagecampagnes. Hierbij heeft de digitale sabotage campagne met NotPetya malware in juni 2017 zelfs verstrekkende gevolgen voor Nederland en Europa. Ook rondom het interstatelijke conflict tussen Rusland en Oekraïne worden verschillende digitale spionage en sabotage campagnes waargenomen. Verder wordt er middels verschillende digitale beïnvloedingscampagnes geprobeerd de beeldvorming omtrent militaire samenwerkingsverbanden te beïnvloeden. Zo zijn in 2021 verschillende digitale beïnvloedingscampagnes uitgevoerd die gericht waren op het in een kwaad daglicht stellen van de NAVO in de Baltische en Oost-Europese staten.

Op grond van de Wiv 2017 hebben de twee Nederlandse inlichtingen- en veiligheidsdiensten, te weten de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de taak om, waar de nationale veiligheid in het geding is, daar onderzoek naar te doen en waar nodig daar actie op te ondernemen. Vanzelfsprekend gebeurt dit uitsluitend op basis van de wet en voorzien van gepaste waarborgen. Het verrichten van onderzoek naar landen met een offensief cyberprogramma is in de Geïntegreerde Aanwijzing (GA) nadrukkelijk als een onderzoeksopdracht voor beide diensten geformuleerd. Op grond van de Wiv 2017 komt beide diensten bij het verrichten van onderzoeken een ruim scala aan bevoegdheden toe, ook waar het gaat om onderzoeken als hier bedoeld. Met name de bijzondere bevoegdheden tot onderzoeksopdrachtgerichte interceptie (bulkinterceptie) en het verkennen en binnendringen van geautomatiseerde werken (hacken) zijn van onmisbare betekenis bij onderzoeken in het digitale domein. Echter: zonder een adequate inzet van deze bevoegdheden is het voor beide diensten moeilijk, en soms onmogelijk, om dergelijk onderzoek op effectieve wijze uit te voeren en daarmee zicht te krijgen op de intenties, capaciteiten en bewegingen van dergelijke landen. Dat levert evidente risico’s op voor de nationale veiligheid. Dergelijke onderzoeken vragen namelijk het combineren van resultaten die zijn verkregen uit de inzet van verschillende bevoegdheden.

In de afgelopen periode, met name sinds de inwerkingtreding van de Wiv 2017, is gebleken dat om uiteenlopende redenen een adequate inzet van genoemde bevoegdheden, waarbij met name de onderzoeksopdrachtgerichte interceptie op de kabelgebonden infrastructuur van cruciale betekenis is, niet kan worden gerealiseerd. Deels leidt dit ertoe dat onderzoeken niet kunnen worden gestart of worden voortgezet, deels dat de voor dergelijke onderzoeken noodzakelijke wendbaarheid en snelheid niet kan worden bewerkstelligd. In het onderstaande zal daar nader op ingegaan worden. Daaraan voorafgaand is echter in meer algemene zin het volgende op te merken.

Onderzoeken van inlichtingen- en veiligheidsdiensten hebben, in ieder geval voor wat betreft de veiligheidstaak, van oudsher voornamelijk in het teken gestaan van het onderkennen van dreigingen met de focus op concrete targets (personen en organisaties). De zogeheten a-taak van de AIVD is daarvan een goede uitdrukking.2 Al wat langer is echter die onderzoekstaak (ook) meer in het teken komen te staan van het onderkennen van verborgen dreigingen: dreigingen nog niet onderkend zijn maar waarvan op basis van de beschikbare kennis en ervaring geredelijk mag worden aangenomen dat die wel aanwezig zijn. Het is ook dit soort onderzoek – namelijk naar verborgen dreigingen – dat bij onderzoek in het cyberdomein van grote betekenis is. Onvoldoende is onderkend, ook bij de voorbereiding en totstandbrenging van de Wiv 2017, wat dit betekent voor de inzet van bijzondere bevoegdheden. Bij de Wiv 2017 is de targetgerichte benadering, ook waar het gaat om de toepassing van bijzondere bevoegdheden, de dominante benadering geweest. De gevolgen daarvan worden in de dagelijkse toepassingspraktijk gereflecteerd in de wijze waarop de wettelijk vastgelegde criteria, waaronder gerichtheid, worden ingevuld en worden getoetst. Onderzoek in het cyberdomein vergt echter een grotendeels andersoortige onderzoeksmethodiek, waar – bij de inzet van bijzondere bevoegdheden – ook een daarop afgestemde vorm van invulling van de hiervoor genoemde criteria aan de orde is. Een goed voorbeeld waarbij dit aan de orde is, betreft de toepassing van het gerichtheidscriterium bij de verwerving van gegevens via onderzoeksopdrachtgerichte interceptie (OOG-interceptie) op de kabelgebonden infrastructuur, waarbij gegevens in bulk worden verzameld. De hier bedoelde bevoegdheid is tot op heden slechts beperkt ingezet ten behoeve van het inlichtingenproces vanwege de onduidelijkheid met betrekking tot de wijze waarop het gerichtheidsvereiste bij de inzet van deze bevoegdheid moet worden geïnterpreteerd en de verschillende zienswijzen ter zake van de Ministers en de Toetsingscommissie inzet bevoegdheden (TIB) nog niet tot een oplossing heeft geleid. Daardoor kunnen bepaalde onderzoeken in het cyberdomein nog niet worden opgestart.

Wendbaarheid en snelheid zijn essentieel bij onderzoeken in het cyberdomein. In het cyberdomein is het immers, in tegenstelling tot het fysieke domein, zeer eenvoudig om snel en vaak te wisselen van locatie, wereldwijd. Bij cyberaanvallen gebeurt dit bewust met als doel beveiligingsmaatregelen te doorbreken en om te verhullen waar de aanval vandaan komt. Het ene moment kan een computer of server in Nederland gebruikt worden en het andere moment kan voor hetzelfde doel een computer of server in Zuid-Amerika gebruikt worden. Het is van belang mee te kunnen bewegen met dergelijke veranderingen. De gewenste wendbaarheid en snelheid kan op dit moment echter niet worden gerealiseerd doordat bijvoorbeeld de mogelijkheden om bij de toepassing van bepaalde bevoegdheden over te kunnen gaan tot «bijschrijving» onvoldoende helder in de wetgeving zijn neergelegd dan wel beperkend wordt uitgelegd.

Tegen deze achtergrond wordt het wenselijk geacht om in onderhavig wetsvoorstel, waar het gaat om onderzoeken naar landen met een offensief programma tegen Nederland of Nederlandse belangen, enkele wettelijke voorzieningen te treffen die de mogelijkheden tot effectieve inzet van de bijzondere bevoegdheden die voor dit soort onderzoek van cruciale betekenis zijn, te vergroten, waarbij tegelijkertijd de waarborgen waarmee die inzet moet zijn omgeven op een hoog niveau blijven.

Er is voor gekozen om een en ander in een afzonderlijk, op zichzelf staand wetsvoorstel neer te leggen met een tijdelijke werking in plaats van een voorstel tot wijziging van de Wiv 2017. Het doel van het onderhavige wetsvoorstel is het op korte termijn treffen van een tijdelijke voorziening om een beter antwoord te kunnen geven op bovengenoemd veiligheidsprobleem. Een definitieve regeling zal onderdeel uitmaken van het wetsvoorstel dat wordt voorbereid na het uitbrengen van de aan de Tweede Kamer toegezegde hoofdlijnennotitie ter zake van het door de ECW uitgebrachte rapport met betrekking tot de evaluatie van de Wiv 2017.

2. Inhoud van het wetsvoorstel op hoofdlijnen

2.1 Inleiding

Met de in het wetsvoorstel voorgestelde maatregelen wordt beoogd de thans in de praktijk van de uitvoering van onderzoeken naar landen met een offensief cyberprogramma ondervonden belemmeringen bij de toepassing van de Wiv 2017 te adresseren. Het gaat daarbij om maatregelen die ertoe bijdragen dat bepaalde in de Wiv 2017 neergelegde bijzondere bevoegdheden ook daadwerkelijk kunnen worden ingezet (zoals OOG-interceptie op de kabelgebonden infrastructuur) dan wel de inzet ervan op een effectievere wijze kan plaatsvinden (zoals het verkennen en binnendringen van geautomatiseerde werken). Daarnaast worden in het wetsvoorstel bestaande bijschrijfmogelijkheden aangevuld en bij een enkele bevoegdheid toegevoegd. Bij alle voorgestelde maatregelen geldt dat de thans geldende waarborgen voor de toepassing daarvan in totaliteit bezien dienen te worden gehandhaafd, maar dat er een betere aansluiting van de aard van het toezicht (ex ante of ex durante) bij de fase waarin de (voorgenomen) uitvoering van een bijzondere bevoegdheid zich bevindt wordt bewerkstelligd met als resultaat dat deze meer dan nu recht doet aan de dynamische praktijk van het cyberdomein. Dit geheel moet ertoe leiden dat de AIVD en de MIVD op een integrale wijze hun wettelijke taakopdracht met betrekking tot de dreigingen in het cyberdomein kunnen uitvoeren. Alvorens de verschillende voorgestelde wettelijke maatregelen te benoemen, zal eerst uiteengezet worden wat met een integrale werkwijze wordt bedoeld, teneinde de voorgestelde maatregelen van een operationele context te voorzien.

2.2 Integrale wijze van onderzoek in het cyberdomein en gegevensverwerking

2.2.1 De inzet van bijzondere bevoegdheden

De diensten doen onderzoek naar de doelwitten, intenties, capaciteiten en wijze van aansturing van landen met een offensief cyberprogramma. Om deze vragen te kunnen beantwoorden is het nodig om naar meer dan alleen de specifieke aanval te kijken. Cyberaanvallen worden niet uitgevoerd als doel op zich, maar als onderdeel van een integrale strategie. De diensten moeten dan ook integraal onderzoek doen naar het land achter de aanval, zodat zij zicht krijgen op de herkomst, aansturing en politieke intenties van cyberaanvallen, maar ook op hun doelwitten en slachtoffers. De verschillende onderzoeken van de diensten naar de dreiging die uitgaat van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen kenmerken zich dan ook door een grote onderlinge verwevenheid en afhankelijkheid. Kennis die wordt verkregen uit het ene onderzoek kan een onmisbare bouwsteen zijn in een ander onderzoek. Dit geldt niet alleen voor de verschillende onderdelen van de aanvalsinfrastructuur, maar ook voor verschillende bijzondere bevoegdheden die kunnen worden ingezet om zicht te verkrijgen op de bewegingen en intenties van tegenstanders.

Bij onderzoeken naar landen met een offensief cyberprogramma kan de weg die moet worden bewandeld op voorhand niet in detail worden beschreven. De oorzaak hiervan is onder meer dat de wijze van opereren door de betreffende landen steeds geavanceerder wordt en de technische omgeving constant wijzigt. Landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen maken gebruik van een grote hoeveelheid verschillende infrastructurele elementen, verdeeld in verschillende soorten, verspreid over de gehele wereld. Elk stuk infrastructuur ondersteunt een klein gedeelte van de aanval. Dit maakt dat zicht op slechts een klein deel van de infrastructuur onvoldoende is voor de taakuitvoering van de diensten. Bovendien wisselen betreffende landen voortdurend van infrastructuur, waardoor het steeds meer moeite kost hun activiteiten te volgen. Daarnaast wordt het ook steeds lastiger om de geautomatiseerde werken waar deze landen in het kader van hun offensieve cyberprogramma’s gebruik van maken binnen te dringen aangezien zij hun beveiliging steeds verhogen. Dit bemoeilijkt het doen van zogenaamd «upstream onderzoek», waarbij de diensten het spoor naar de achterliggende cyberactor proberen te volgen tot de bron. Door dicht tot de bron te naderen, krijgen de diensten inzicht in de intenties, capaciteiten, doelwitkeuze, capaciteiten en activiteiten van de cyberactor.

De diensten zijn derhalve genoodzaakt hun onderzoeksmethoden hierop aan te passen en vanuit een brede basis geïntegreerd onderzoek uit te voeren om deze ook effectief te doen zijn. Daarbij moeten gelijktijdig verschillende soorten operaties gericht op verschillende onderdelen van de aanvalsinfrastructuur van de actor worden uitgevoerd, omdat alleen op deze wijze succesvol zicht kan worden verkregen op de betreffende landen. Dit geldt zowel voor de inzet van de hackbevoegdheid, kabelinterceptie als voor geautomatiseerde data-analyse. Door kabelinterceptie worden zogeheten «leads» onderkend, zoals technische kenmerken van geautomatiseerde werken, waarmee nieuwe aanvalsinfrastructuur inzichtelijk kan worden gemaakt. De hackbevoegdheid en de bevoegdheid tot kabelinterceptie zijn bij de hier bedoelde onderzoeken complementair aan elkaar.

Gelet op de modus operandi van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, zijn de diensten genoodzaakt om ook actief in te zetten op het onderdeel van de aanvalsinfrastructuur waarbij de actor gebruik maakt van legaal en illegaal verworven toegang tot openbare en/of commerciële internetinfrastructuur. Hier zijn ook (veel) andere gebruikers actief. Bij inzet op dit soort onderdelen is het onvermijdelijk dat er een inbreuk op de privacy van andere gebruikers wordt gemaakt. In dat kader is bij de inzet de daadwerkelijke privacy-inbreuk die zal plaatsvinden leidend in samenhang met de waarborgen die van toepassing zijn om de betreffende inbreuk te rechtvaardigen. Deze infrastructuur bevindt zich bij derden en non-targets, mogelijk bij hen die een functie als dienstverlener vervullen. Zicht op onderdelen van de infrastructuur van de actor is belangrijk, aangezien dit doorgaans tussenstations betreft van het aansturen van een digitale aanval en het daadwerkelijk uitvoeren van de aanval. Vaak is het vanwege technische of operationele redenen niet mogelijk om handelingen op de systemen van de aanbieders van deze infrastructuur uit te voeren. In die gevallen kan het noodzakelijk zijn om bij betreffende partijen (bulk)gegevens te verwerven. Dit om onder andere de beweging van de cyberactor tussen betreffende partijen inzichtelijk te maken. Op deze manier kan, voordat een aanval plaatsvindt, nieuw in gebruik genomen aanvalsinfrastructuur worden onderkend.

2.2.2 Strategische inzet van bevoegdheden

De strategische inzet van bevoegdheden is onder de Wiv 2017 al mogelijk. Desalniettemin bestond er in de praktijk behoefte om duidelijkheid te verschaffen over deze werkwijze. In het onderstaande wordt deze werkwijze nader uiteengezet.

Onderzoeken naar landen met een offensief cyberprogramma spelen zich vooral af in het digitale domein. In deze onderzoeken spelen technische bevoegdheden dus een hoofdrol. Het gaat in dit wetsvoorstel dan ook om de strategische inzet van technische middelen, zoals de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (OOG-interceptie). Hierdoor moet ook het strategische doel van deze inzet in een technische context worden bezien.

Om onderzoek te kunnen doen naar landen met een offensief cyberprogramma moeten de diensten beschikken over de juiste gegevens. Het is lang niet altijd mogelijk om deze gegevens door middel van een enkele inzet van een bevoegdheid te verkrijgen. Veel vaker gaat het om het gelijktijdig of stapsgewijs inzetten van een bevoegdheid, waarbij elke stap bijdraagt aan het eindresultaat, namelijk het verkrijgen van de juiste gegevens om daar inlichtingen uit te winnen.

De noodzakelijke tussenstappen hebben soms meer een randvoorwaardelijk of voorbereidend karakter. Bevoegdheden worden dan ingezet om kennis te vergaren, technische mogelijkheden te ontwikkelen of om een specifieke technische positie op te bouwen. Een inzet van een bevoegdheid met dit doel wordt ook wel een «strategische» inzet genoemd of een «strategische operatie».

Hierbij gaat om het om de strategische inzet van een bestaande bevoegdheid. Het autorisatieproces en het toets- en toezichtstelsel blijft dus hetzelfde. Dat betekent dus dat de Minister toestemming geeft voor het inzetten van de bevoegdheid, de TIB deze toestemming op rechtmatigheid toetst en de afdeling toezicht van de CTIVD toezicht houdt op de uitvoering van de deze bevoegdheid. Net als bij niet-strategische inzetten van bevoegdheden gelden de vereisten zoals deze in de Wiv 2017 zijn opgenomen. De strategische inzet van bevoegdheid dient noodzakelijk te zijn voor de goede uitvoering van de taken van de diensten, ingevolge artikel 28 eerste lid van de Wiv 2017. Voorts gelden de in artikel 26 Wiv 2017 genoemde andere vereisten van proportionaliteit, subsidiariteit en gerichtheid. Zoals bij de codificatie van het gerichtheidscriterium in de toelichting is opgenomen is bij de beoordeling van de gerichtheid medebepalend in welke fase het onderzoek zich bevindt. Technologische ontwikkelingen, en de snelheid waarmee die elkaar opvolgen, zorgen ervoor dat onderzoeken zich in een fase kunnen bevinden waarbij de strategische inzet van bevoegdheden noodzakelijk is, en ook dat de strategische uitoefening van een bevoegdheid een zo gericht mogelijke manier van werken is.

Strategische operaties kennen verschillende verschijningsvormen. In sommige gevallen kan de strategische inzet van een bevoegdheid als doel hebben om kennis te verkrijgen over software, hardware of specifieke communicatietechnologie in gebruik bij de kwaadwillende actor. Een ander voorbeeld is dat de diensten in staat moeten zijn locaties te bepalen van apparatuur om beter te duiden waar een dreiging precies vandaan komt. De diensten willen in andere gevallen een positie verkrijgen in een computernetwerk, zodat de digitale activiteiten van een kwaadwillende actor kunnen worden onderkend of dat in een later stadium het mogelijk wordt om steeds dichter bij de systemen van de actor te komen. Dergelijke inzetten kunnen ook gericht zijn op non targets. Een non target is te definiëren als een persoon of organisatie uit de omgeving van een target van de diensten waarbij inzet van een bijzondere bevoegdheid ertoe kan leiden dat de informatiepositie ten aanzien van het target van de diensten wordt verbeterd.3 Indien de diensten een bijzondere bevoegdheid inzetten op een non target gelden verzwaarde waarborgen en dan met name een verzwaarde proportionaliteitstoets.

2.2.3 De wijze van verwerking van gegevens

De kernactiviteit van de AIVD en de MIVD is de verwerking van gegevens4, waarvoor de Wiv 2017 een uitputtende regeling geeft. Een belangrijk element daarvan betreft de wettelijk vastgelegde zorgplicht voor de kwaliteit van gegevensverwerking. Ook bij onderzoeken als hier bedoeld gaat het om verwerving en de verdere verwerking van gegevens. Zoals hiervoor al kort is aangestipt kenmerken dit soort onderzoeken zich (grotendeels) door een andere onderzoeksmethodiek, waarbij met name het doel om verborgen dreigingen tijdig te onderkennen en te kunnen attribueren aan landen, het noodzakelijk maakt om gegevens in bulk te verwerven. Alleen daardoor wordt het mogelijk om de (nieuwe) aanvalsinfrastructuur van een actor in beeld te krijgen en een nog ongekende cyberdreiging in beeld te krijgen. De diensten verwerven slechts die bulkdatasets5 waarvan zij de operationele inschatting maken dat deze een grote meerwaarde hebben voor onderzoeken als hier bedoeld. De verwerving en verdere verwerking, met name via methodieken van geautomatiseerde data-analyse, van dergelijke bulkdatasets, leveren in een vrijwel continu proces nieuwe gegevens en inzichten op voor verder onderzoek en voor de afweging of en, zo ja, welke bijzondere bevoegdheid op welke wijze moet worden ingezet. Gegevens die door inzet van combinaties van bijzondere bevoegdheden worden verworven moeten in samenhang kunnen worden verwerkt en de resultaten daarvan moeten onder meer gebruikt kunnen worden om sturing te geven aan de inzet van (combinaties van) bijzondere bevoegdheden (de zogeheten intelligente mix van inlichtingenmiddelen). Dat is een dynamisch proces waarbij ook het toezicht dynamisch van karakter dient te zijn om ook effectief te kunnen zijn en deze als het ware mee kan bewegen met de wijze waarop een onderzoek wordt uitgevoerd. Op deze wijze kan niet alleen een (voortdurende) rechtmatige uitvoering van de wet worden gemonitord, maar ook de mede daarmee beoogde toepassing van de in de wet voorziene waarborgen in verband met de bescherming van de persoonlijke levenssfeer adequate invulling krijgen. Een statische toets aan de voorkant (bij de vraag of de voorgenomen inzet van een specifieke bijzondere bevoegdheid rechtmatig is) is naar zijn aard ongeschikt om deze – vaak op voorhand ook niet te voorspellen – dynamiek van uitvoering te kunnen omvatten en te normeren. Dat is inmiddels een bij de toepassing van de Wiv 2017 gerijpt inzicht. Zowel in de Wiv 2017 als in het kader van deze wet zal het stelsel van toetsing en toezicht niet alleen passend dienen te zijn bij de aard van en de fase waarin een (verwerkings)activiteit van de diensten plaats vindt, maar ook sluitend. Overigens zal een integrale heroverweging van het stelsel van toets en toezicht, zoals dat in de Wiv 2017 is neergelegd, mede in het licht van de bevindingen van de Evaluatiecommissie Wiv 2017, pas bij de voorgenomen herziening van de Wiv 2017 aan de orde komen. In dat kader zal ook acht worden geslagen op de inzichten verkregen uit de BZK-interne alsmede de externe analyse inzake de recente jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) met betrekking tot bulkinterceptie en de verwerking van bulkdatasets.

2.3 Overzicht van de voorgestelde maatregelen

Teneinde de dreiging afkomstig van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen effectief te ondervangen is geïnventariseerd op welke aspecten van de Wiv 2017 dat betrekking heeft. Die zien deels op het scheppen van de voorwaarden waardoor een effectieve inzet van de bijzondere bevoegdheden tot het verkennen en binnendringen van geautomatiseerde werken (hacken; artikel 45 Wiv 2017), de onderzoeksopdrachtgerichte interceptie van communicatie (artikel 48 Wiv 2017) en de toepassing van geautomatiseerde data-analyse op metadata verworven door de inzet van de bevoegdheid ex artikel 48 Wiv 2017 (GDA op OOG-metadata) in het cyberdomein wordt bewerkstelligd. Deels door maatregelen te treffen waarbij de aard van het toezicht, uitgevoerd door de TIB en door de afdeling toezicht van de CTIVD, beter aansluit bij de fase en de dynamiek van het onderzoek. Zoals hiervoor al is aangegeven zal het stelsel van toetsing en toezicht niet alleen passend dienen te zijn bij de aard van en de fase waarin een (verwerkings)activiteit van de diensten plaats vindt, maar ook sluitend. In het kader van dit wetsvoorstel is daar aldus invulling aan gegeven, dat daar waar de bindende ex ante toets van de TIB komt te vervallen deze wordt vervangen door een bindende toets ex durante door de afdeling toezicht van de CTIVD. Tot slot is voorzien in de mogelijkheid van beroep bij de Afdeling bestuursrechtspraak tegen de bindende oordelen van zowel de TIB als de CTIVD die onder toepassing van deze wet worden genomen.

De opbouw van het wetsvoorstel en de daarin opgenomen maatregelen (overzicht)

Artikel 1

Definitiebepaling

Artikel 2

Reikwijdte van de wet en toepasselijkheid

Artikel 3

TIB-oordeel inzake toepasselijkheid wet

Artikel 4

Voorziening inzake de bevoegdheid tot het verkennen van geautomatiseerde werken

Artikel 5

Voorziening inzake de toepassing van de bevoegdheid tot het binnendringen van een geautomatiseerd werk (geen vermelding technisch risico en aanvulling bijschrijfmogelijkheid)

Artikel 6

Voorziening inzake de bevoegdheid tot het verkennen van communicatie-infrastructuur ter vaststelling gegevensstromen met het oog op inzet bevoegdheid van onderzoeksopdrachtgerichte interceptie

Artikel 7

Precisering afwegingscriteria ex artikel 26, tweede en vijfde lid, Wiv 2017 in het kader van artikel 48 Wiv 2017

Artikel 8

Laten vervallen verplichting om toestemming voor GDA op OOG-metadata voor ex ante toets voor te leggen aan TIB

Artikel 9

Aanvulling bijschrijfmogelijkheid in artikel 47 Wiv 2017

Artikel 10

Aanvulling bijschrijfmogelijkheid in artikel 54 Wiv 2017

Artikel 11

Informatie-uitwisseling TIB en afdeling toezicht van de CTIVD

Artikel 12

Regeling bindende toezicht door de afdeling toezicht van de CTIVD

Artikel 13

Beroepsmogelijkheid bij de Afdeling bestuursrechtspraak van de Raad van State

Artikel 14

Mogelijkheid van een voorlopige voorziening bij bindende oordelen van de afdeling toezicht

Artikel 15

Uitzonderen toepasselijkheid Algemene wet bestuursrecht op besluiten op grond van deze wet

Artikel 16

Overgangsbepaling inzake bij de TIB aanhangige toetsverzoeken

Artikel 17

Inwerkingtredingsbepaling en vervaltermijn wet

Artikel 18

Citeertitel

In hoofdstuk 3 zullen de verschillende onderdelen nader worden toegelicht.

2.4 De verhouding van de Tijdelijke wet tot de Wiv 2017

In artikel 2, tweede lid, van het wetsvoorstel is bepaald dat op de in het eerste lid bedoelde taak de Wiv 2017 van toepassing is met inachtneming van het bepaalde in deze wet. Concreet betekent dat allereerst dat de Wiv 2017 gewoon van toepassing is en blijft op de in artikel 2, eerste lid, geformuleerde taak. Het is dus niet zo dat met de Tijdelijke wet hetgeen in de Wiv 2017 is bepaald met betrekking tot de verschillende aspecten verbonden aan de taakuitvoering van de diensten, waaronder dus het bepaalde in hoofdstuk 3 van de wet (de verwerking van gegevens), waar het gaat om de taak om onderzoek te verrichten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, buiten toepassing wordt verklaard. De in dit wetsvoorstel voorgestelde maatregelen hebben ten opzichte van het bepaalde in de Wiv 2017 deels een aanvullend en deels een afwijkend karakter met betrekking tot een beperkt aantal onderdelen van de Wiv 2017, te weten de uitoefening van bijzondere bevoegdheden inzake het verkennen van en binnendringen in geautomatiseerde werken, de uitoefening van de bevoegdheid tot onderzoeksopdrachtgerichte interceptie (introductie van de bevoegdheid tot verkennen) alsmede de geautomatiseerde data-analyse op langs deze weg verworven metadata (GDA op OOG-metadata); daarnaast wordt op onderdelen de bijschrijfmogelijkheid uitgebreid.

Bij het uitwerken van de in dit wetsvoorstel neergelegde maatregelen is nadrukkelijk bezien in hoeverre het stelsel van waarborgen zoals in de Wiv 2017 is neergelegd – bijvoorbeeld waar het gaat om de toetsbevoegdheid van de TIB – wordt geraakt en hoe aan het totaal aan waarborgen kwalitatief bezien geen afbreuk wordt gedaan. Dat heeft er bijvoorbeeld toe geleid dat daar waar de bindende TIB-toets (ex ante) vervalt dit in het kader van dit wetsvoorstel wordt gecompenseerd door een bindende oordeelsbevoegdheid (ex durante en ex post) van de afdeling toezicht van de CTIVD. Daarbij speelde in belangrijke mate ook de overweging een rol in welke fase bij de inzet van bijzondere bevoegdheden (ex ante of ex durante) de aan de TIB dan wel afdeling toezicht opgedragen taak het meest effectief kan worden ingezet. De thans geïntroduceerde bindende oordeelsbevoegdheid van de afdeling toezicht heeft waar het gaat om de toepassing van de Tijdelijke wet een aanvullend karakter ten opzichte van de reguliere – in de Wiv 2017 geregelde – toezichtstaak van de afdeling toezicht.

De toepassing van de Tijdelijke wet zal in de praktijk de vraag op kunnen roepen op welke wijze de onder toepassing deze wet verworven gegevens (verder) mogen worden verwerkt. Het in de Wiv 2017 neergelegde stelsel kent weliswaar het wettelijk vastgelegde – en ook hier van toepassing zijnde – uitgangspunt dat bepaalde gegevens slechts voor een bepaald doel mogen worden verworven, maar zodra deze rechtmatig zijn verworven kunnen die ook voor andere onderzoeken van de dienst beschikbaar komen. Dat is met de gegevens te verwerven of verworven onder toepassing van de Tijdelijke wet niet anders. Bij de beoordeling of met betrekking tot een bijzondere bevoegdheid al dan niet terecht de toepasselijkheid van de Tijdelijke wet wordt ingeroepen, is een belangrijke rol voor de TIB weggelegd; zie daartoe artikel 3, eerste lid. Langs deze weg kan er ook op worden toegezien dat de Tijdelijke wet niet wordt ingezet voor andersoortige onderzoeken. Het kan natuurlijk altijd voor komen dat met betrekking tot een bepaald target vanuit verschillende lopende onderzoeken van de dienst aandacht is. In die gevallen kan een bevoegdheid alleen onder toepassing van de Tijdelijke wet worden ingezet als het zwaartepunt van de inzet op onderzoeksopdrachten binnen de reikwijdte van deze wet valt. Op grond van artikel 3, eerste lid, van het wetsvoorstel kan de TIB beoordelen of dit terecht zo is.

Voor alle maatregelen in onderhavig wetsvoorstel, dus ook waar het gaat om de hiervoor bedoelde bindende oordeelsbevoegdheid van de afdeling toezicht, geldt dat die nadrukkelijk een tijdelijk karakter hebben. In artikel 17 van het wetsvoorstel is bepaald dat de Tijdelijke wet na vier jaar vervalt. De reden daarvoor is dat ter opvolging van de aanbevelingen van de Evaluatiecommissie Wiv 2017 (ECW), na het uitbrengen van de toegezegde hoofdlijnennotitie aan het parlement, een traject tot herziening van de Wiv 2017 als zodanig zal worden ingezet, waarvan de verwachting is dat die binnen de werkingsduur van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet zo zijn, dan zal bezien moeten worden of een wetstraject tot verlenging van de Tijdelijke wet moet worden ingezet.

Bij het voorbereiden van het wetsvoorstel dat strekt ter opvolging van het advies van de ECW zullen ervaringen die worden opgedaan met de toepassing van de Tijdelijke wet voor zover die reeds voorhanden zijn waar mogelijk worden meegenomen; dit wetstraject loopt immers parallel aan de toepassing van de Tijdelijke wet en zal voor afloop van de werkingsduur van de Tijdelijke wet zijn beslag moeten hebben gekregen. Dat brengt inherente beperkingen met zich mee. Dat geldt niet alleen voor de ervaringen die worden opgedaan met hetgeen met betrekking tot enkele bijzondere bevoegdheden is geregeld, maar ook waar het gaat om het stelsel van toets en toezicht. Dat kan betekenen dat bepaalde arrangementen niet – zoals nu – een tijdelijk maar een structureel karakter kunnen krijgen. Echter dat zal moeten worden bezien in het licht van de totaliteit aan aanbevelingen die de ECW heeft gedaan, waarbij men – ook op het vlak van toets en toezicht – ook oog heeft gehad voor de samenhang tussen de gedane voorstellen. Bij de uitwerking van die voorstellen zullen ook nieuwe inzichten, opgedaan na het verschijnen van het rapport van de ECW, een rol moeten en kunnen spelen.

3. De maatregelen nader beschouwd

3.1 De reikwijdte van de wet

In artikel 2, eerste juncto tweede lid, van het wetsvoorstel is – in verband met de aanduiding van het toepassingsbereik van hetgeen in dit wetsvoorstel bepaald – aangegeven dat de AIVD en de MIVD in het kader van de aan hen in artikel 8, tweede lid, onder a en d, onderscheidenlijk 10, tweede lid, onder a, c en e, van de Wiv 2017 opgedragen taak in het belang van de nationale veiligheid, belast zijn met het verrichten van onderzoek naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen en dat op de uitvoering van die taak de Wiv 2017 met inachtneming van het bepaalde in onderhavige wet van toepassing is. Onderhavig wetsvoorstel geeft dan ook een regeling die niet geldt in de plaats van de Wiv 2017, maar – voor zover het de hier bedoelde taakuitvoering betreft – daarvoor deels in aanvulling op of in afwijking van de in de Wiv 2017 opgenomen regels specifieke voorzieningen treft. Kenbaarheid van de wel of niet toepasselijkheid van hetgeen in onderhavig wetsvoorstel is bepaald, is van belang voor de uitvoering van de toetstaak door de TIB en de toezichtstaak door de afdeling toezicht van de CTIVD. Artikel 2 van het wetsvoorstel geeft dan ook een regeling ter zake van het toepasselijk verklaren van de Tijdelijke wet.

De reikwijdte van deze Tijdelijke wet is beperkt tot onderzoeken van de diensten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Dat betekent dat het onderwerp van onderzoek bepaalt of de inzet van een bevoegdheid kan plaatsvinden onder deze wet. Het is de taak van de diensten om te achterhalen of, hoe en waarom landen een offensief cyberprogramma uitvoeren.6 Daarom doen de diensten onderzoek naar hun doelwitten, capaciteiten, intenties en wijze van aansturing. Hiervoor is het nodig verder te kijken dan alleen naar een specifieke aanval. Cyberaanvallen worden door landen immers niet uitgevoerd als doel op zich, maar, naast andere meer klassieke inlichtingenmiddelen, als onderdeel van een integrale strategie gericht op het realiseren van geopolitieke doeleinden. Daarbij vinden aanvallen niet uitsluitend plaats vanuit een inlichtingendienst of krijgsmacht, maar ook door of via bedrijven of instellingen of meer diffuse proxy-organisaties. Dit betekent dat het onderzoek van de diensten hier dus ook op gericht dient te zijn. Dit gegeven maakt dat ook de AIVD en de MIVD in het kader van hun onderzoek zich niet dienen te beperken tot een concrete aanval maar ook naar de plaats van die aanval in de bredere context van het land dat achter die cyberaanval zit. De diensten moeten dan ook integraal onderzoek doen naar het land achter de aanval zodat zij zicht krijgen op de herkomst, aansturing en politieke intenties en nieuwe aanvallen voorkomen kunnen worden.

Welke landen dat zijn wordt bepaald aan de hand van de geïntegreerde aanwijzing (GA).7 Het is voor de diensten echter niet altijd (direct) mogelijk om een digitale aanval te attribueren aan een specifiek land. Landen zijn wereldwijd onderling verbonden door middel van communicatienetwerken, zoals het internet. Bij het uitvoeren van een cyberaanval wordt gebruik gemaakt van deze communicatienetwerken waarbij het voor de aanvaller van belang is anoniem en heimelijk te werk te gaan. Daarom zal een aanval nooit direct van de aanvaller naar het slachtoffer plaatsvinden, maar wordt deze uitgevoerd met behulp van een groot aantal verschillende tussenstappen.

Daarnaast bepaalt de GA dat de diensten onderzoek moeten doen naar cyberdreigingen en cyberaanvallen, enkel vanwege het feit dat deze op Nederland of Nederlandse belangen zijn gericht en dat het vermoeden bestaat dat deze te attribueren is aan een statelijke actor. In die gevallen is deze wet ook van toepassing.

In het algemeen geldt: indien na het verlenen van toestemming onder de Tijdelijke wet gedurende het onderzoek wordt vastgesteld dat er geen sprake is van een statelijke actor, dan is voortzetting van het onderzoek onder de Tijdelijke wet niet meer aan de orde. Er zal dan een nieuw verzoek om toestemming onder de Wiv 2017 moeten worden ingediend en na rechtmatigheidsoordeel van de TIB kan voortzetting van het onderzoek onder de Wiv 2017 plaatsvinden.

3.2 Verkennen van en binnendringen in een geautomatiseerd werk

3.2.1 Algemeen

In de artikelen 4 en 5 wordt in afwijking van en in aanvulling op het bepaalde in artikel 45 van de Wiv 2017 voor een aantal onderdelen een regeling voorgesteld ten aanzien van de inzet van de bijzondere bevoegdheid tot het verkennen en binnendringen van een geautomatiseerd werk (hacken) met als doel de hackbevoegdheid in de praktijk beter te laten aansluiten bij onderzoeken naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. De hackbevoegdheid is van groot belang om zicht te krijgen op de activiteiten, intenties en capaciteiten van deze landen. De voorgestelde wijzigingen beogen zowel het (tijdig) opstarten van operaties mogelijk te maken als operaties ononderbroken te kunnen voortzetten. Daarbij wordt ook het toets- en toezichtstelsel op de hackbevoegdheid betrokken. In de toepassingspraktijk van de Wiv 2017 is bij de toepassing van de hackbevoegdheid namelijk gebleken dat de statische ex-ante toets van de TIB minder goed past bij bepaalde aspecten van de uitvoering van de hackbevoegdheid. Daarom wordt in dit wetsvoorstel op die aspecten een verschuiving voorgesteld van een bindende ex-ante toets door de TIB naar bindend toezicht op de uitvoering door de afdeling toezicht van de CTIVD. Bij deze vorm van toezicht is de afdeling toezicht van de CTIVD in staat in te spelen op ontwikkelingen die zich tijdens de uitvoering voordoen. Deze verschuiving zal ook gevolgen hebben voor concrete casuïstiek, bijvoorbeeld waar het gaat om de invulling van open normen zoals die van de proportionaliteitstoets.

3.2.2 Verkennen van een geautomatiseerd werk

Op grond van artikel 45, eerste lid, onder a, van de Wiv 2017 zijn de diensten bevoegd tot het verkennen van de technische kenmerken van geautomatiseerde werken die op een communicatienetwerk zijn aangesloten.

Deze bevoegdheid is in artikel 45 van de Wiv 2017 naast de bevoegdheid tot binnendringen geplaatst, zonder hun onderlinge verhouding te duiden. Bij het verkennen wordt niet binnengedrongen in het betreffende geautomatiseerde werk. De inzet van deze bevoegdheid tot verkennen heeft tot doel het verkrijgen van een beeld van de eigenschappen van een geautomatiseerd werk, zoals geïnstalleerde software, aanwezige netwerkverbindingen en hardware. Met de resultaten van de verkenning kunnen de diensten een verzoek om toestemming tot het binnendringen van een geautomatiseerd werk beter motiveren en – mits de verleende toestemming is verkregen en de TIB deze rechtmatig heeft beoordeeld – vervolgens ter uitvoering van de verleende toestemming gericht, efficiënt en zorgvuldig in relevante geautomatiseerde werken binnendringen. Het verkennen dient dus ter ondersteuning van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van het digitale landschap.

Het binnendringen zal in de meeste gevallen gepaard gaan met handelingen die weliswaar gelijk gesteld kunnen worden aan de handelingen zoals omschreven in artikel 45, eerste lid, onder a, Wiv 2017, maar deze moeten niet onder die bevoegdheid worden geschaard. Het uitoefenen van de bevoegdheid tot binnendringen is een proces waarbij voortdurend moet worden bekeken en vastgesteld wat de technische mogelijkheden zijn. Het betreffen in dat geval verkennende handelingen die inherent aan het binnendringen zijn. Dit is niet het uitoefenen van de bevoegdheid tot verkennen in de zin van artikel 45, eerste lid, onder a, Wiv 2017. Deze bevoegdheden dienen dan ook los van elkaar te worden beschouwd. Dit betekent dus dat een aanvraag tot het binnendringen van een geautomatiseerd werk zelfstandig kan worden aangevraagd, zonder dat deze wordt voorafgegaan door een aanvraag voor toestemming voor een verkenning als bedoeld in artikel 45, eerste lid, onder a, Wiv 2017.

De Wiv 2017 biedt de diensten op dit moment onvoldoende handvatten om de bevoegdheid tot verkennen effectief in te zetten. De veranderlijkheid van de huidige cyberdreiging vereist dat de diensten de bevoegdheid tot verkennen snel en flexibel kunnen inzetten zodat zij in staat zijn te onderzoeken op welke wijze de uiteindelijke hackbevoegdheid kan worden ingezet. Met de bevoegdheid tot verkennen kunnen verschillende wijzen van binnendringen op potentie worden onderzocht. Hiermee wordt de snelheid en de gerichtheid van de uiteindelijke inzet van de hackbevoegdheid door de diensten vergroot en kan beter worden ingeschat wanneer binnendringen een reële kans van slagen heeft. Met de bevoegdheid tot verkennen wordt geen toegang verkregen tot het geautomatiseerde werk of een deel daarvan tegen de wil van de rechthebbende (er is nog geen sprake van binnendringen). Bij het verkennen wordt in vergelijking met het daadwerkelijk binnendringen slechts een beperkte inbreuk op de privacy gemaakt, maar het toestemmingsniveau is voor beide bevoegdheden belegd op het niveau van de Minister. Geconstateerd wordt dat het thans in de Wiv 2017 neergelegde toestemmingsniveau voor verkennen in vergelijking met de toestemming voor het daadwerkelijk binnendringen gelet op de daarmee gepaard gaande privacy-inbreuk als te hoog moet worden beoordeeld. In artikel 4, eerste lid, wordt daarom voorgesteld het verlenen van toestemming tot verkennen te beleggen bij het hoofd van de betrokken dienst en de TIB-toets te laten vervallen. Het laten vervallen van de TIB-toets is ook overeenkomstig aanbeveling 23 van de ECW. De ECW constateerde in haar rapport dat ook de TIB en CTIVD van oordeel zijn dat het huidige toestemmingsniveau wel erg hoog is voor een relatief licht instrument met een zeer beperkte inbreuk op de privacy8. In plaats van de bindende TIB-toets krijgt de afdeling toezicht van de CTIVD in deze wet de bevoegdheid tot bindend toezicht op de uitvoering van de verkenningsbevoegdheid (zie artikel 12). Dat zorgt ervoor dat het niveau van waarborgen als geheel gelijk blijft. Voorts draagt deze wijziging bij aan de snelheid die vereist is bij onderzoeken door de diensten naar cyberdreigingen.

3.2.3 Meldplicht aan de afdeling toezicht van een verleende toestemming voor verkennen

In artikel 4, tweede lid, van het wetsvoorstel wordt een meldplicht ingesteld voor de diensten bij de afdeling toezicht van de CTIVD wanneer het hoofd van de dienst toestemming verleent voor het verkennen van technische kenmerken van geautomatiseerde werken. Deze meldplicht hangt samen met het laten vervallen van de ex ante toets door de TIB. De door de diensten te verrichten melding omvat niet meer dan het uniek identificerend kenmerk van de aanvraag en de datum van toestemming van het hoofd van de dienst. De afdeling toezicht van de CTIVD wordt met de voorgestelde meldplicht in staat gesteld effectief toezicht te houden op de uitvoering door de diensten van deze bevoegdheid. Zij kunnen hiermee vanaf de start van de inzet van de bevoegdheid meekijken en bindend oordelen zodra er volgens de afdeling toezicht van de CTIVD sprake is van een onrechtmatigheid. Deze verschuiving in het toezicht zorgt voor effectiever toezicht tijdens de uitvoering van de bevoegdheid.

3.2.4 De omgang met technische risico’s en onbekende kwetsbaarheden bij hacken
3.2.4.1 Technische risico's

In artikel 45, vierde lid, onder a, van de Wiv 2017 is bepaald dat in het verzoek om toestemming voor de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd werk, in aanvulling op het bepaalde in artikel 29, tweede lid, Wiv 2017, een omschrijving van de technische risico’s die zijn verbonden aan de uitoefening van die bevoegdheid dient te bevatten. De omschrijving van de technische risico’s dient ertoe dat een afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds, en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid, zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack, anderzijds.

Vooropgesteld dient te worden dat het minimaliseren van technische risico’s voor de diensten van groot belang is. Niet alleen omdat de diensten zorgvuldig werken en de met de inzet gepaard gaande technische neveneffecten zo klein mogelijk willen houden, maar ook omdat het voor de diensten essentieel is om bij de uitvoering van de hackbevoegdheid niet onderkend te worden. Daarom zullen de diensten bij de uitvoering van de hackbevoegdheid ervoor zorgen dat de technische risico’s zo klein mogelijk zijn en in evenredige verhouding staan tot het belang van de bescherming van de nationale veiligheid. Daaronder vallen ook de risico’s die voortvloeien uit onderkenning en de risico’s ten aanzien van het misbruik door derden.

Er is een spanningsveld ontstaan tussen de dynamiek van de uitvoering van de hackbevoegdheid en de statische ex ante toetsing van de TIB voorafgaand aan de inzet van deze bevoegdheid. Het is namelijk niet mogelijk voorafgaand aan een toestemmingsperiode van drie maanden te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet te voorzien.

De praktijk wijst uit dat de manier van ex-ante toetsing, zoals is geregeld in de Wiv 2017, niet passend is voor operaties binnen het cyberdomein gezien de technische complexiteit, dynamiek en snelheid van ontwikkelingen binnen de onderzoeken, en heeft geleid tot het verlies van zicht en snelheid in het onderzoek. Om deze reden wordt in onderhavig wetsvoorstel het toezicht op technische risico’s bij inzet van de hackbevoegheid ex durante belegd bij de CTIVD.

Ook wanneer toestemming wordt gevraagd voor de inzet van de hackbevoegdheid in de situatie dat de diensten eerder ervaring hebben opgedaan met het binnendringen in vergelijkbare systemen of bij vergelijkbare targets, betekent dit niet automatisch dat een meer gedetailleerde beschrijving van de technische risico’s kan worden gegeven. De technische risico’s zijn namelijk altijd afhankelijk van veel verschillende factoren, zoals de gebruikte hard- en software, de samenstelling van het (eventuele) netwerk, de beveiliging daarvan, en de gebruiker(s) en/of beheerders. Het is voor de inzet vaak niet duidelijk hoe een geautomatiseerd werk technisch in elkaar zit, hoe een netwerk er precies uitziet, en hoe daarvan en door wie gebruik wordt gemaakt. Zelfs als dit wel (deels) bekend is, kunnen deze factoren snel wisselen.

De CTIVD heeft verschillende onderzoeken verricht naar de uitvoering van de hackbevoegdheid, resulterend in rapporten 539 en 7010. De CTIVD heeft in rapport 70 onder meer gekeken naar de wijze waarop de afdeling van de Joint SIGINT Cyber Unit (JSCU) van de beide diensten die zich specifiek bezighoudt met Computer Network Exploitation (CNE) omgaat met technische risico’s en de afweging daarvan. In rapport 70 heeft de CTIVD vastgesteld dat de werkwijze die deze afdeling intern met betrekking tot het nemen en inschatten van risico’s toepast, (met inachtneming van de aanbevelingen) in voldoende mate een afweging van risico’s waarborgt.

Gelet op het voorgaande leent de weging van de technische risico’s (in het kader van artikel 45, vierde lid, onder a, Wiv 2017 of de generieke proportionaliteitstoets) zich niet goed voor de statische toetsing vooraf door de TIB. Daarom wordt voorgesteld de wettelijke verplichting tot het geven van een omschrijving van technische risico’s (artikel 45, vierde lid, aanhef en onder a, Wiv 2017) in toestemmings- of verlengingsaanvragen voor de hackbevoegdheid die vallen binnen de reikwijdte van deze wet te laten vervallen (artikel 5, eerste lid). Met de in dit wetsvoorstel voorgestelde regeling verschuift de ex ante toets van technische risico’s van de TIB aldus naar de fase van het dynamisch toezicht door de afdeling toezicht van de CTIVD.

Dat neemt niet weg dat de TIB in het kader van haar proportionaliteitstoets wel de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s kan betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een hoger abstractieniveau hebben.

De afdeling toezicht van de CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid en dus ook op de wijze waarop bekende en nieuwe technische risico’s zich tijdens de uitvoering concreet voordoen. Aangezien dit een verschuiving van toetsing vooraf naar toezicht tijdens de uitvoering is, zal dit toezicht van de CTIVD bindend zijn.

De afdeling toezicht van de CTIVD kan, doordat zij toegang heeft tot de systemen van de diensten, effectief toezicht houden op de gekozen werkwijze van de diensten en daarmee op de technische risico’s. De handelingen die tijdens de uitvoering van de hackbevoegdheid worden verricht, worden vastgelegd in logging waardoor de CTIVD tijdens en achteraf bindend toezicht kan uitoefenen. Omdat hiermee wordt voorzien in bindend toezicht op technische risico’s vanaf het moment dat de hackbevoegdheid wordt ingezet laat dat geen ruimte voor extra toetsing vooraf op technische risico’s.

3.2.4.2 Onbekende kwetsbaarheden

Bij het programmeren en configureren van geautomatiseerde werken worden fouten gemaakt. Dergelijke fouten worden aangeduid als onbekende kwetsbaarheden en zijn daardoor onlosmakelijk verbonden aan het bestaan en gebruik van geautomatiseerde werken. Vanuit het uitgangspunt van heimelijk optreden en het voorkomen dat de diensten worden onderkend, maken de diensten ten behoeve van het binnendringen veelal gebruik van bestaande functionaliteiten van geautomatiseerde werken. Soms is het ook noodzakelijk om gebruik te maken van een kwetsbaarheid om een geautomatiseerd werk binnen te dringen. Daarbij kan het voorkomen dat een gevonden kwetsbaarheid onbekend is.

Er bestaat een grote verscheidenheid aan onbekende kwetsbaarheden. Deze verscheidenheid is te illustreren aan de hand van een aantal niet limitatieve voorbeelden: het gaat van onbekende kwetsbaarheden die rechtstreeks door iedereen via het internet te gebruiken zijn, tot aan onbekende kwetsbaarheden waar eerst al een bepaalde mate van controle over een netwerk verkregen moet zijn en waarmee dieper in een geautomatiseerd werk of netwerk binnengedrongen kan worden. En verder ook van onbekende kwetsbaarheden die moeilijk te vinden zijn, pas na een ruime voorbereidingstijd gebruikt kunnen worden of veel specifieke expertise vereisen, tot aan relatief eenvoudige, snel inzetbare onbekende kwetsbaarheden. En tevens van onbekende kwetsbaarheden in een geautomatiseerd werk dat breed gebruikt worden, tot onbekende kwetsbaarheden in een systeem dat slechts op één plek in de wereld gebruikt wordt. Afhankelijk van deze verschillende aspecten, kan het bestaan van die onbekende kwetsbaarheid een cybersecurityrisico met zich meebrengen.

Het gebruik maken van een onbekende kwetsbaarheid is een keuze die na zorgvuldige afweging in aanloop naar en tijdens de uitvoering van de hackbevoegdheid gemaakt wordt.

Het gebruik van onbekende kwetsbaarheden is één van de onderdelen die mee worden genomen bij het inschatten van technische risico’s. Zoals in paragraaf 3.2.4.1 reeds is toegelicht zijn de technische risico’s die zich tijdens de uitvoering concreet voordoen onderworpen aan bindend toezicht door de CTIVD. Dit geldt ook voor het gebruik van onbekende kwetsbaarheden. Voor het gebruik van onbekende kwetsbaarheden geldt eveneens dat het voorafgaand aan de uitvoering van de bevoegdheid veelal niet te voorzien is of het daadwerkelijk noodzakelijk is een onbekende kwetsbaarheid in te zetten. Ook bij de inzet van onbekende kwetsbaarheden is vaak enige spoed geboden om gebruik te kunnen maken van een operationele kans en/of snel sporen uit te wissen. De CTIVD kan met bindend toezicht gedurende de gehele uitvoering effectief toezicht houden, aangezien dit toezicht niet gebonden is aan een specifiek moment en doorlopend is. Het gebruik van onbekende kwetsbaarheden hoeft derhalve niet meer te worden beschreven bij toestemmings- of verlengingsaanvragen.

3.2.5 Verduidelijking bijschrijfmogelijkheid

In artikel 45, achtste lid, van de Wiv 2017 is bepaald dat een verleende toestemming tot het binnendringen van een geautomatiseerd werk van een persoon of organisatie voor de duur van de toestemming ook de bevoegdheid omvat om binnen te dringen in een ander geautomatiseerd werk van die persoon of organisatie, voor zover dat in de plaats treedt van of een aanvulling is op het geautomatiseerde werk waar oorspronkelijk de toestemming voor is verleend. Deze bevoegdheid staat bekend als de bijschrijfmogelijkheid.

De mogelijkheid tot bijschrijven zorgt ervoor dat de diensten snel en effectief onderzoek kunnen doen. Cyberactoren maken gebruik van geautomatiseerde werken, die vaak in een complexe keten aan elkaar gekoppeld worden, hun zogenoemde digitale aanvalsinfrastructuur, voor het uitvoeren van hun offensieve cyberstrategie. Om de herleidbaarheid van hun activiteiten te verkleinen, wisselen targets snel van geautomatiseerde werken en werkmethodes. Ook hacken cyberactoren geautomatiseerde werken van anderen om die te gebruiken voor het uitvoeren van hun offensieve cyberprogramma.

In de praktijk is gebleken dat de TIB, in het kader van de uitvoering van haar rechtmatigheidstoets op de door de Minister verleende toestemming, het feit dat in het artikellid gesproken wordt van een geautomatiseerd werk van een persoon of organisatie, zodanig uitlegt dat het hier dient te gaan om een geautomatiseerd werk dat exclusief aan die persoon of organisatie toebehoort. De TIB maakt onderscheid tussen systemen die in eigendom zijn van, exclusief bezit zijn van of exclusief gebruikt worden door personen of organisaties enerzijds, en anderzijds systemen waarbij naast de personen of organisaties waarvoor de oorspronkelijke toestemming is verleend sprake is van medegebruik door anderen van dat systeem. Bij deze laatste categorie moet gedacht worden aan een gedeelde server of een door de actor gehackt systeem. De uitleg van de TIB is problematisch omdat cyberactoren vaak gebruik maken van een gedeelde infrastructuur. Dit maakt bijschrijven in een dergelijke situatie in de praktijk vrijwel onmogelijk. Ter illustratie van deze problematiek dient het volgende praktijkvoorbeeld.

In april 2020 komt de AIVD een nieuwe digitale spionagecampagne op het spoor. Deze campagne richt zich maandenlang op westerse overheden, waaronder de Nederlandse overheid en diverse Nederlandse ministeries. De AIVD constateert al snel dat sprake is van een grootscheepse digitale spionagecampagne van een statelijke actor en besluit verder onderzoek te doen naar deze aanvaller. Deze spionagecampagne staat in open bronnen bekend als Advanced Persistent Threat (APT) 31 en wordt door diverse bronnen gerelateerd aan China. Dit soort aanvallen komen zeer regelmatig voor. De AIVD wil bij dit soort aanvallen de aanvaller identificeren, de modus operandi vastleggen en de slachtoffers waarschuwen.

Uit het onderzoek blijkt dat de aanvallers systemen van Europese burgers (ook Nederlanders) hacken om zo een groot netwerk van aanvalssystemen te creëren. Hierbij wisselen de aanvallers in hoog tempo van gehackte systemen om onderkenning en onderbreking van hun spionageactiviteiten te voorkomen. Aanvallers weten dat inlichtingendiensten onderzoek doen naar aanvalsinfrastructuur en wisselen daarom snel en regelmatig van aanvalsinfrastructuur.

Het snelle wisselen van aanvalsinfrastructuur vraagt om snelheid en flexibiliteit in het handelen van de AIVD om deze spionagecampagne te kunnen blijven volgen. Zo vraagt de AIVD telkens toestemming om door de aanvaller gehackte infrastructuur te mogen onderzoeken.

Echter, omdat de infrastructuur niet exclusief in gebruik is bij de aanvaller (het betreffen onder andere gehackte systemen van burgers) moet de AIVD telkens een volledig nieuw en tijdrovend verzoek tot toestemming indienen om deze te mogen onderzoeken. Als de aanvaller een infrastructuur had gehuurd in plaats van gehackt had de AIVD deze infrastructuur mogen bijschrijven. Bijschrijven stelt de AIVD in staat sneller te reageren. Maar, omdat het gehackte systemen betreft moet de AIVD telkens een nieuw verzoek tot toestemming indienen. In sommige gevallen wordt de toestemming pas verkregen nadat de aanvaller alweer een nieuw systeem heeft gehackt.

Deze vertraging in het onderzoek belemmert het actuele zicht van de AIVD op de aanvalsinfrastructuur van de aanvaller omdat in de periode dat toestemming moet worden verkregen informatie wordt gemist. Ook wordt het voor de AIVD moeilijker om nieuwe slachtoffers te notificeren en onderzoek te doen naar de achterliggende daders.

Deze vertraging kan worden verholpen door het loslaten van het criterium van exclusiviteit waardoor de AIVD de juiste infrastructuur binnen één onderzoek kan bijschrijven en sneller een aanvaller kan volgen. Hierdoor is de AIVD beter in staat onderzoek te doen naar digitale aanvalscampagnes gericht tegen Nederland of Nederlandse belangen.

Om deze reden wordt in deze Tijdelijke wet geregeld dat het niet langer vereist is dat er sprake is van exclusief gebruik om te kunnen bijschrijven. Dit geldt zowel voor artikel 45 Wiv 2017 als voor artikel 47 en 54 Wiv 2017.

Met het voorgestelde artikel 5, tweede lid, wordt verduidelijkt dat niet is vereist dat er sprake is van exclusief gebruik om te kunnen bijschrijven. Gedurende de toestemmingsperiode kunnen dus ook geautomatiseerde werken die behalve door de actor zelf ook door anderen worden gebruikt, worden bijgeschreven voor zover dat noodzakelijk is voor het doel waarvoor de oorspronkelijke toestemming is gevraagd. Voor het bijschrijven geldt dat er een interne autorisatie vereist is. Hierbij blijven de vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid onverkort gelden. Tevens blijft de verplichting die in artikel 27, eerste lid, Wiv 2017 is neergelegd onverkort van toepassing. Dat betekent in dit geval dat, wanneer van een bijgeschreven server gegevens worden overgenomen waarvan wordt vastgesteld dat deze niet relevant zijn voor het onderzoek of enig ander lopend onderzoek van de desbetreffende dienst, deze gegevens terstond worden vernietigd. Bestaande waarborgen zijn dus van toepassing zijn op de gehele inzet van de bevoegdheid en dus ook op eventueel bij te schrijven kenmerken. Kenmerken mogen dan ook uitsluitend binnen deze als rechtmatig beoordeelde bandbreedte worden bijgeschreven.

De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd. Dit waarborgt dat in elke fase van de inzet van de hackbevoegdheid de juiste waarborgen aanwezig zijn: vooraf onafhankelijk getoetst door de TIB en tijdens en na afloop bindend toezicht door CTIVD.

3.3 Onderzoeksopdrachtgerichte (OOG) interceptie en GDA

3.3.1 Inleiding

De bevoegdheid voor de diensten om OOG-interceptie op de kabel te verrichten was één van de belangrijkste moderniseringen in de Wiv 2017. De introductie van kabelinterceptie vloeide voort uit aanbevelingen van de commissie Dessens, die de Wiv 2002 heeft geëvalueerd.11 Deze commissie concludeerde dat de interceptiebepalingen in de Wiv 2002 vanwege de voortschrijdende technologische ontwikkelingen te weinig recht deden aan de noodzakelijke bevoegdheden in het kader van de nationale veiligheid.

De diensten hebben deze bevoegdheid tot op heden nog slechts beperkt kunnen inzetten voor inlichtingendoeleinden. Deze noodzakelijke uitbreiding van de Wiv 2002 is daarom tot op heden beperkt benut. Naast de bevoegdheid tot OOG-interceptie op de kabel hebben de diensten de bevoegdheid tot OOG-interceptie in de ether. Deze bevoegdheid hadden de diensten ook al onder de Wiv 2002.

Zoals eerder toegelicht vinden cyberdreigingen vooral plaats via het wereldwijde communicatienetwerk. Dit netwerk bestaat onder andere uit kabels en satellieten. Om inzicht te krijgen op de cyberdreiging is het daarom cruciaal om gegevensstromen van deze kabels en satellieten te intercepteren. Een vergelijkbaar alternatief is niet beschikbaar.

Benadrukt dient te worden dat de gerichtheid bij OOG-interceptie op de kabel en in de ether ziet op de onderzoeksopdracht en niet op personen of organisaties: het is immers onderzoeksopdrachtgerichte interceptie. Het middel moet dan ook bij uitstek niet gezien worden als een stapeling van gerichte intercepties.12 De invulling van het gerichtheidsvereiste moet afgestemd worden op de aard van de bevoegdheid en de context waarin deze toepassing vindt, mede in het licht van het daarmee te bereiken doel. Die is bij OOG-interceptie anders dan bij gerichte interceptie. De verzameling van gegevens (bulkdatasets) verkregen uit OOG-interceptie dragen in hun geheel en in samenhang met andere gegevens bij aan het beantwoorden van de onderzoeksvragen van de diensten.

OOG-interceptie is per definitie een bulkbevoegdheid met een grote mate van inherente ongerichtheid bij het verzamelen van gegevens. Het merendeel van de gegevens die worden geïntercepteerd zal altijd zien op personen en/of organisaties die niet in onderzoek bij de diensten zijn en dat ook nooit zullen zijn. De noodzaak van OOG-interceptie ligt volgens de wetgever met name in het onderkennen van ongekende dreigingen. Juist het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid bij het verzamelen van gegevens. De gegevens die uiteindelijk door de diensten worden opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten.13

Na de invoering van de Wiv 2017 zijn voor met name kabelinterceptie zowel technisch als juridisch veel voorbereidingen getroffen om OOG-interceptie mogelijk te maken. In de praktijk is gebleken dat enkele elementen van de Wiv 2017 achteraf minder goed aansloten bij de operationele praktijk. Deze elementen vormen de basis voor de specifieke voorzieningen die in dit wetsvoorstel worden voorgesteld ten aanzien van OOG-interceptie. Het betreft de volgende voorzieningen:

  • Het opnemen van een zelfstandige juridische grondslag voor OOG-interceptie ten behoeve van verkennen.

  • Het benoemen van aspecten die met name moeten worden betrokken bij de invulling van de eisen van gerichtheid en proportionaliteit bij de aanvraag van een toestemming voor OOG-interceptie.

  • De introductie van bindend toezicht door de afdeling toezicht van de CTIVD op het uitvoeren van GDA waarbij OOG-metadata wordt betrokken ter vervanging van de voorafgaande toets door de TIB.

3.3.2 Het verkennen ten behoeve van OOG-interceptie

Bij de aanvraag van toestemming om tot OOG-interceptie over te kunnen gaan dient zo duidelijk mogelijk te worden omschreven welke gegevensstromen worden geïntercepteerd. Om die duidelijkheid te kunnen geven is het noodzakelijk inzicht te hebben in welke gegevensstromen over welke kabels gaan en op welke wijze deze gegevensstromen mogelijk een bijdrage leveren bij de beantwoording van de onderzoeksvragen van de diensten. Dit is alleen mogelijk door gegevensstromen van een kabel te intercepteren en daarvan vervolgens door middel van technisch onderzoek te bepalen of en op welke wijze een gegevensstroom mogelijk een bijdrage levert aan de beantwoording van onderzoeksvragen. Dit technisch onderzoek kan onder andere inhouden het onderzoek naar de aanwezigheid van voor de onderzoeksvragen van de diensten van belang zijnde communicatie, het vaststellen van de aard van deze communicatie en de gebruikte technische protocollen. Interceptie met dit doel wordt «het intercepteren ten behoeve van verkennen» genoemd. Deze bevoegdheid kunnen de diensten zowel inzetten voor OOG-interceptie op de kabel als voor OOG-interceptie uit de ether. Hoewel de bevoegdheid tot OOG-interceptie op de kabel en de bevoegdheid tot OOG-interceptie uit de ether in aard en omvang verschillen, is het doel en het belang van verkennen van zowel kabelgebonden- als etherverkeer gelijk, namelijk: zorgen voor het onderbouwen van een toestemmingsaanvraag voor interceptie ten behoeve van het inlichtingenproces. Daarbij komt dat de formulering van dit artikel op deze wijze net als in de Wiv 2017 techniekonafhankelijk is geformuleerd.

In rapport 75 constateert de CTIVD dat een algemene grondslag voor verkennen ten behoeve van OOG-interceptie ontbreekt in de Wiv 2017.14 In het wetsvoorstel wordt daarvoor een zelfstandige juridische grondslag vastgelegd. Het is van belang op te merken dat de geïntercepteerde gegevens enkel en alleen met dit doel mogen worden onderzocht. Het doel is namelijk om met deze kennis de uiteindelijke toestemmingsaanvraag voor kabelinterceptie ex artikel 48 Wiv 2017 zo goed mogelijk te kunnen onderbouwen. Indien de Minister vervolgens daarvoor de gevraagde toestemming voor kabelinterceptie verleent en de TIB de verleende toestemming rechtmatig acht, kan de bijzondere bevoegdheid tot het doen van kabelinterceptie worden ingezet ter verkrijging van gegevens die gebruikt mogen worden in het inlichtingenproces. Het introduceren van de wettelijke grondslag voor verkennen ten behoeve van interceptie zorgt er voor dat er een betere, technische onderbouwing gegeven kan worden bij de inzet van kabelinterceptie ex artikel 48 Wiv 2017. Het is van belang op te merken dat dit dus niet betekent dat de inzet van kabelinterceptie daardoor per definitie in kwantitatieve zin kleiner of beperkter zal worden, maar enkel dat de aanvraag in technische zin beter kan worden onderbouwd. Bij het uitoefenen van de bevoegdheid tot OOG-interceptie ten behoeve van verkennen is ook sprake van bulkinterceptie.

Voor de uitoefening van de bevoegdheid tot verkennen is toestemming van de Minister nodig, waarna de TIB deze toestemming op rechtmatigheid beoordeelt. Aanvragen voor de inzet van bevoegdheden worden onderbouwd met de eisen van noodzaak, subsidiariteit, doelmatigheid, proportionaliteit en gerichtheid. Deze eisen zijn neergelegd in artikel 26 Wiv 2017. Omdat de toepassing van de bevoegdheid tot OOG-interceptie ten behoeve van verkennen juist dient om vast te stellen waarop de toepassing van artikel 48 Wiv 2017, waarbij sprake is van verwerving van gegevens ten behoeve van het inlichtingenproces, zich dient te richten, is de in artikel 26, vijfde lid, Wiv 2017 neergelegd eis van gerichtheid bij de uitoefening van de verkenningsbevoegdheid naar zijn aard niet toepasbaar. Daarom is in artikel 6, vierde lid, van het wetsvoorstel het gerichtheidsvereiste buiten toepassing verklaard. De bevoegdheid tot verkennen heeft immers als doel om juist van de totale hoeveelheid beschikbare gegevensstromen vast te stellen welke gegevensstromen bij de uiteindelijke OOG-interceptie, artikel 48 Wiv 2017, een bijdrage kunnen gaan leveren aan de beantwoording van de onderzoeksvraag. Als belangrijke waarborg verbiedt dit wetsvoorstel de opbrengst van de verkenning te gebruiken voor inlichtingen doeleinden.

De toestemming wordt verleend voor een periode van ten hoogste een jaar. Ingeval de TIB een verleende toestemming rechtmatig beoordeelt, doet zij daarvan mededeling aan de afdeling toezicht van de CTIVD die vervolgens op de uitvoering daarvan toezicht kan uitoefenen (artikel 6, derde lid). De toestemming tot verlengen van de bevoegdheid geldt ook voor (ten hoogste) een jaar.

Voor de uitvoering van deze bevoegdheid is de medewerking van aanbieders van communicatiediensten vereist. Dat ziet allereerst op de verstrekking van gegevens die noodzakelijk zijn om uitvoering te kunnen geven aan de bevoegdheid; daarnaast is medewerking vereist bij de uitvoering van de bevoegdheid (artikel 6, vijfde lid).

Zoals het zesde lid van artikel 6 regelt, worden gegevens verworven op grond van het eerste lid genoemde bevoegdheid niet verwerkt voor andere doeleinden dan waarvoor de bevoegdheid bedoeld is. Het doel van de verkenningsbevoegdheid is omschreven in het eerste lid, te weten het vaststellen op welke gegevensstromen een uiteindelijk verzoek tot OOG-interceptie (artikel 48 Wiv 2017) betrekking dient te hebben. De geïntercepteerde gegevens moeten hiervoor, zoals eerder in deze paragraaf benoemd, technisch worden onderzocht, zodat de verworven gegevens kunnen worden gestructureerd, geanalyseerd en geduid. In het kader van dit technisch onderzoek is het soms noodzakelijk ondersteuning te krijgen van een buitenlandse collegadienst. Hierbij worden de voor dat technisch onderzoek benodigde gegevens aan de desbetreffende collegadienst verstrekt. Deze verstrekking vindt plaats met het expliciete verbod deze gegevens te gebruiken voor inlichtingendoeleinden. De AIVD en de MIVD zijn immers ook gebonden aan deze waarborg bij de uitoefening van de bevoegdheid. Daarnaast zijn de kaders en waarborgen omtrent internationale samenwerking die voortvloeien uit de Wiv 2017 onverkort van toepassing. Deze gegevens mogen dus voor geen enkel ander doel worden verstrekt aan een buitenlandse collegadienst.

3.3.3 Aspecten te betrekken bij invulling van de eisen proportionaliteit en gerichtheid bij OOG-interceptie

De diensten hebben als taak onderzoek te doen naar zowel bekende als verborgen dreigingen. Bij een bekende dreiging hebben de diensten een redelijk goed beeld van de oorsprong van de dreiging en hoe deze dreiging eruitziet. Bij verborgen dreigingen weten de diensten dat er een dreiging is, maar is nog niet bekend hoe deze dreiging eruitziet en hoe deze zich precies technisch manifesteert. Het inzetten van kabelinterceptie is bij uitstek een middel om zicht te krijgen op zowel de bekende als de verborgen dreiging.

De inzet van het middel wordt gerechtvaardigd door de ernst van de dreiging die van statelijke actoren met offensieve cyberprogramma’s uitgaat. Daarbij is het van belang dat de invulling van de proportionaliteit en de gerichtheid niet beperkt is tot (technische) kenmerken die zijn gerelateerd aan gekende targets, maar dat kabelinterceptie ook kan worden ingezet voor target discovery. Voor dat doel is het van belang dat het voor de diensten mogelijk is om gegevens in bulk te intercepteren. Want juist op die manier is kabelinterceptie van operationele meerwaarde voor de diensten. De inzet van deze bevoegdheid op bovengenoemde wijze kan dus, gelet op de aard en de ernst van de aanwezige dreiging, als proportioneel en zo gericht mogelijk worden beschouwd.

Zoals in de inleiding van deze paragraaf al is aangestipt, is OOG-interceptie een bulkbevoegdheid. Dit heeft een wezenlijk effect op de invulling van het gerichtheidscriterium en de proportionaliteitstoets. Artikel 7 van dit wetsvoorstel heeft als doel om het toetsingskader bij deze specifieke bevoegdheid te geven. Binnen het gegeven toetsingskader moeten twee aspecten met name, en daarmee het zwaarwegendst, worden betrokken bij de invulling van de toets op gerichtheid en proportionaliteit.

Deze twee aspecten zullen hieronder nader worden toegelicht.

Sub a: indicatie gegevensstromen

Bij de invulling van het gerichtheids- en proportionaliteitsvereiste moet ook een indicatie van de te intercepteren gegevensstromen worden betrokken. Bij het geven van deze indicatie leveren de resultaten van de OOG-interceptie bevoegdheid ten behoeve van verkenning daarvoor de onderbouwing. Met deze indicatie wordt bedoeld de feitelijke, technische aanduiding van de te intercepteren gegevensstromen, zoals die op het moment van de aanvraag te geven zijn. Een voorbeeld van de feitelijke, technische aanduiding zijn bij kabelinterceptie klantkanalen, waarmee de te intercepteren gegevensstromen aan worden geduid.

Sub b: indicatie reductie gegevens

Kabelinterceptie bestaat uit verschillende stappen, ook wel: de keten van verwerving. Het begint met het overnemen (kopiëren) van de in de toestemming aangeduide gegevensstromen. Deze gegevensstromen worden vervolgens gefilterd. Het doel van filtering is om gegevens te verwerven die later op enigerlei wijze een bijdrage kunnen leveren aan het beantwoorden van onderzoeksvragen. Het eindresultaat van dit proces leidt tot de gegevens die voor de diensten toegankelijk zijn bij het beantwoorden van onderzoeksvragen. Deze gehele keten van verwerven moet dus gezien worden als een proces van datareductie.

Gegevensstromen zijn dynamisch en wijzigen voortdurend. De filters moeten daarop worden aangepast. Daarom kan bij de aanvraag voor het inzetten van het middel slechts een indicatie worden gegeven voor de wijze waarop de diensten van plan zijn om de gegevens te reduceren. Op de uitvoering van dit gehele proces houdt de afdeling toezicht van de CTIVD toezicht.

Na inwerkingtreding van de Wiv 2017 is de eerste praktijkervaring opgedaan met kabelinterceptie. Uit deze praktijkervaring is gebleken dat actoren gebruik maken van veel verschillende protocollen en technieken om hun offensieve cyberprogramma uit te voeren en hun activiteiten te verhullen. Tevens innoveren deze actoren voortdurend hun werkwijze om hun offensieve doelen beter te bereiken en niet te worden onderkend.

Bij het inzetten van kabelinterceptie ten behoeve van een onderzoek moet een indicatie gegeven worden van de reductie van gegevens. Gelet op de hiervoor beschreven veranderlijke methode, is het niet mogelijk om op voorhand en categorisch gegevensstromen uit te sluiten van interceptie. Om het middel effectief ten behoeve van een onderzoek in te zetten, is het dus niet mogelijk om gegevensstromen enkel op basis van technische eigenschappen, zoals de oorsprong of bestemming van communicatie of de soort (streaming)dienst die wordt aangeboden, uit te sluiten. Het is van belang dat de diensten per geval een afweging kunnen maken welke gegevens gefilterd moeten worden en welke gegevens doorgelaten kunnen worden.

3.3.4 Geautomatiseerde data-analyse (GDA) op OOG-metadata
3.3.4.1 Geautomatiseerde data-analyse (GDA)

Gegevensverwerking is een kernactiviteit van de diensten. Eén van de verwerkingsmethoden is geautomatiseerde data-analyse (GDA). Zonder toepassing van vormen van GDA zijn grote gegevensbestanden – zoals bulkdatabestanden – vrijwel niet effectief te gebruiken. De juridische grondslag voor deze verwerkingsmethode is neergelegd is artikel 60 van de Wiv 2017. In het tweede lid van dat artikel wordt een drietal voorbeelden gegeven van GDA, namelijk het op geautomatiseerde wijze onderling vergelijken van gegevens, het doorzoeken van gegevens aan de hand van profielen en het vergelijken van gegevens met het oog op het opsporen van bepaalden patronen. Andere – niet in artikel 60 benoemde – voorbeelden betreffen de enkelvoudige (komt een bepaalde term voor in een bestand) of meervoudige naslag (komt een bepaalde term voor in een combinatie van bestanden). Op grond van het derde lid van artikel 60 is het de diensten niet toegestaan om maatregelen jegens een persoon te bevorderen of te treffen uitsluitend gebaseerd op de resultaten van GDA. Deze norm behelst dus dat in deze gevallen altijd sprake zal dienen te zijn van menselijke tussenkomst.15

3.3.4.2 Toestemming voor GDA op OOG-metadata

De diensten zijn bevoegd om GDA toe te passen op alle gegevens die de diensten verwerven. Hiervoor is geen toestemming nodig, met uitzondering van de toepassing van GDA op OOG-metadata. Dat zijn dus metadata verkregen uit OOG-interceptie ex artikel 48 Wiv 2017. In algemene zin kan gesteld worden dat metadata die gegevens zijn die niet de inhoud betreffen. Bij e-mail zijn dit bijvoorbeeld het tijdstip van verzenden, de verzender en de ontvanger. Voor GDA als hier bedoeld is ingevolge artikel 50, eerste lid onder b, van de Wiv 2017 toestemming van de verantwoordelijke Minister nodig gevolgd door een rechtmatigheidstoets van de TIB op de verleende toestemming.

In artikel 8 van het wetsvoorstel wordt voorgesteld de ex ante toets van de TIB op de door de Minister verleende toestemming voor GDA op OOG te laten vervallen. De reden hiervoor is dat de aard van die toets zich niet goed verhoudt tot het dynamische proces van gegevensverwerking. Omdat bij het analyseren van gegevens voortdurend nieuwe inzichten worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding van de diensten veranderlijk is, is niet op voorhand te voorspellen op welke exacte wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de diensten.

Het is de taak van de afdeling toezicht van de CTIVD om toe te zien op het rechtmatig handelen van de diensten. De afdeling toezicht van de CTIVD ziet op dit moment dus al toe op de uitvoering van GDA. Omdat de bindende ex ante toets van de TIB bij GDA op OOG-metadata vervalt, krijgt de afdeling toezicht van de CTIVD in de plaats daarvan de bevoegdheid om bindend te kunnen oordelen over de wijze waarop de diensten GDA als hier bedoeld toepassen.

3.4 Bijschrijfmogelijkheid artikel 47 Wiv 2017

Op basis van artikel 47 van de Wiv 2017 hebben de diensten de bevoegdheid tot gerichte interceptie van communicatie (ook wel: tappen). Het zevende lid van artikel 47 van de Wiv 2017 bepaalt dat een verleende toestemming voor de inzet van deze bevoegdheid ook, voor de duur van de verleende toestemming, na de toestemmingsverlening bekend geworden andere nummers of technische kenmerken van de desbetreffende persoon of organisatie omvat. Dit wordt de bijschrijfmogelijkheid genoemd.

In artikel 9 van het wetsvoorstel wordt bepaald dat in aanvulling op het bepaalde in artikel 47, zevende lid, Wiv 2017 de verleende toestemming tot interceptie tevens de bevoegdheid omvat om, voor de duur van de verleende toestemming, de in verband met de in deze wet aan de toetsingscommissie en afdeling toezicht toegekende taak bevoegd en telecommunicatie te ontvangen of op te nemen aan de hand van na de toestemmingverlening bekend geworden andere nummers of technische kenmerken die in gebruik worden genomen door de desbetreffende persoon of organisatie. Daarmee wordt ook bij toepassing van deze bevoegdheid niet vereist dat er sprake is van het exclusieve gebruik door de persoon of organisatie van het desbetreffende nummer of technisch kenmerk jegens wie de bevoegdheid wordt ingezet, hetgeen door de zinsnede «nummers of technische kenmerken van de desbetreffende persoon of organisatie» in die zin wordt uitgelegd.

Gedurende de toestemmingsperiode kunnen nummers dan wel technische kenmerken worden bijgeschreven voor zover dat noodzakelijk is voor het doel waarvoor de oorspronkelijke toestemming is gevraagd. Hiervoor geldt onverkort dat er – naast de wettelijk vereiste toestemming voor de uitoefening van de tapbevoegdheid – sprake moet zijn van een geldige interne toestemming en er ook voldaan moet zijn aan de eisen van noodzakelijkheid, gerichtheid, proportionaliteit en subsidiariteit. Indien dit niet het geval is, zullen de diensten een nieuw toestemmingsverzoek indienen. Bij deze bijschrijving blijft de verplichting die in artikel 27, eerste lid, Wiv 2017 is neergelegd onverkort van toepassing. Dat betekent dat als van verworven gegevens wordt vastgesteld dat deze niet relevant zijn voor het onderzoek of enig ander lopend onderzoek van de desbetreffende dienst, deze gegevens terstond moeten worden vernietigd. Gegevens die na anderhalf jaar nog niet beoordeeld zijn, moeten eveneens worden vernietigd.

Er is voor gekozen om de uitoefening van de bevoegdheid tot bijschrijving onder de werking van de regeling inzake bindend toezicht door de afdeling toezicht van de CTIVD te brengen. Aldus kan er op een rechtmatige uitoefening van deze bevoegdheid adequaat worden toegezien.

3.5 Bijschrijfmogelijkheid artikel 54 Wiv 2017

Op basis van artikel 54 kunnen de diensten gegevens opvragen bij aanbieders van telecommunicatie- en opslagdiensten. De binnen het cyberonderzoek meest voorkomende inzet van artikel 54 is het opvragen van disk-images van servers. Op basis van dit artikel is het ook mogelijk andere vormen van in Nederland opgeslagen gegevens op te vragen.

Artikel 54 kent, anders dan de artikelen 45 en 47, geen mogelijkheid tot bijschrijven. Als na ontvangst van de opgevraagde gegevens blijkt dat een cyberactor inmiddels gebruikmaakt van een ander technisch kenmerk moet hiervoor opnieuw toestemming worden gevraagd aan de Minister en dient de verleende toestemming te worden getoetst door de TIB. Bovendien kan een cyberactor overstappen naar een nieuwe aanbieder, zoals een andere hostingprovider. Ook in dit geval moet opnieuw toestemming worden gevraagd om het target te kunnen volgen. Deze procedure staat de benodigde snelheid in het cyberdomein in de weg. Als een nieuwe toestemming op basis van artikel 54 Wiv 2017 eenmaal is verleend door Minister en goedgekeurd door de TIB, dan kan de cyberactor in de praktijk alweer gewisseld zijn van aanbieder en/of kenmerk en verdwijnt deze uit beeld. De diensten zien het ontbreken van de bijschrijfmogelijkheid bij artikel 54 als een hiaat in de wet. Het ontbreken van de mogelijkheid tot bijschrijven van aanbieders en kenmerken draagt bij aan het verminderen van het zicht op de dreiging waar dit wetsvoorstel op ziet.

Met de in artikel 10 voorgestelde regeling wordt aldus mogelijk gemaakt dat een verleende toestemming voor het opvragen van gegevens ook, voor de duur van de verleende toestemming, de bevoegdheid omvat om aan de hand van een na de toestemmingsverlening van de desbetreffende persoon of organisatie bekend geworden ander nummer of technisch kenmerk gegevens op te vragen en dit een aanvulling is op of in de plaats treedt van een eerder nummer of technisch kenmerk waarvan al toestemming is verkregen. Hierbij geldt eveneens dat de inzet ten aanzien van een nieuw nummer of technisch kenmerk een gelijkwaardige afweging ten aanzien van de noodzakelijkheid, proportionaliteit, subsidiariteit en gerichtheid kent. Ook wordt geregeld dat de diensten zich voor het opvragen van gegevens kunnen wenden tot een andere aanbieder, ingeval gebleken is dat deze in de plaats van de oorspronkelijke aanbieder is getreden of naast de oorspronkelijke aanbieder door de gebruiker wordt ingeschakeld.

Conform hetgeen ten aanzien van de bevoegdheid ex artikel 45 en 47 Wiv 2017 is overwogen geldt bij deze bevoegdheid ook dat er ten behoeve van het kunnen bijschrijven niet is vereist dat er sprake is van exclusief gebruik. Gedurende de toestemmingsperiode kunnen nummers dan wel technische kenmerken worden bijgeschreven voor zover dat noodzakelijk is voor het doel waarvoor de oorspronkelijke toestemming is gevraagd. Hiervoor geldt onverkort dat er sprake moet zijn van een geldige interne toestemming voor bijschrijving en er voldaan moet zijn aan een gelijkstrekkende motivering van de eisen van noodzakelijkheid, gerichtheid, proportionaliteit en subsidiariteit als in de oorspronkelijke toestemmingaanvraag is opgenomen. Indien dit niet het geval is, zullen de diensten een nieuw toestemmingsverzoek indienen. Bij deze bijschrijving blijft de verplichting die in artikel 27, eerste lid, Wiv 2017 is neergelegd onverkort van toepassing. Dat betekent dat als van verworven gegevens wordt vastgesteld dat deze niet relevant zijn voor het onderzoek of enig ander lopend onderzoek van de desbetreffende dienst, deze gegevens terstond moeten worden vernietigd. Gegevens die na anderhalf jaar nog niet beoordeeld zijn, moeten eveneens worden vernietigd.

In de praktijk zullen de bijgeschreven kenmerken worden opgenomen in een eventueel verzoek tot verlenging van de bevoegdheidsuitoefening. Tot slot is ervoor gekozen om de uitoefening van de bevoegdheid tot bijschrijving onder de werking van de regeling inzake bindend toezicht door de afdeling toezicht te brengen. Aldus kan er op een rechtmatig uitoefening van deze bevoegdheid effectief worden toegezien.

4. Toets en toezicht en de mogelijkheid van beroep op de Afdeling bestuursrechtspraak van de Raad van State

4.1 Inleiding

In het onderzoek naar landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen zetten de diensten bijzondere bevoegdheden in die gepaard kunnen gaan met diepgaand ingrijpen in de persoonlijke levenssfeer van burgers. Daarom is de inzet van bevoegdheden door de diensten aan stevige waarborgen onderworpen. In de Wiv 2017 is daaraan, met inachtneming van de eisen die onder meer voortvloeien uit het Europees Verdrag voor de Rechten van de Mens (EVRM) en de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM), uitwerking gegeven. Daarbij is, met de geïntroduceerde TIB-toets, verder gegaan dan als minimumnorm op grond van het EVRM en de jurisprudentie van het EHRM geldt.16 Dit waarborgenstelsel werkt als volgt.

Voorafgaand aan de inzet van een aantal bijzondere bevoegdheden is toestemming van de verantwoordelijke Minister vereist. De TIB beoordeelt vervolgens de toestemming die de Minister heeft gegeven op rechtmatigheid (niet op doelmatigheid). De TIB-toets is een bindende ex ante toets voorafgaand aan de start of verlenging van de inzet van een bijzondere bevoegdheid. De TIB toetst de toestemming van de Minister aan de hand van vier criteria: noodzaak, proportionaliteit, subsidiariteit en gerichtheid. Deze criteria hebben alle zelfstandige betekenis en dienen bij een verzoek om toestemming afzonderlijk te worden onderbouwd. De criteria zijn in de Wiv 2017 als norm open geformuleerd. Een toets op deze criteria gebeurt niet alleen bij de TIB, maar daaraan voorafgaand allereerst door de Minister die de toestemming verleent en door de diensten zelf in het kader van de voorbereiding van de aanvraag voor toestemming waarbij het resultaat van die toets in de aanvraag wordt verantwoord. De betrokken Minister draagt steeds volledige verantwoordelijkheid voor de inzet van deze bijzondere bevoegdheden en is gehouden daarover parlementaire verantwoording af te leggen. De aard van de dreiging bepaalt mede de noodzaak van de inzet en dit heeft uiteraard ook effect op de weging van de proportionaliteit. Ingevolge artikel 26, vierde lid, van de Wiv 2017 dient de uitoefening van een bevoegdheid evenredig te zijn aan het daarmee beoogde doel. Dit brengt met zich mee dat naarmate de dreiging en de noodzaak om daartegen op te treden groter is, sneller aan deze eis voldaan wordt.

De afdeling toezicht van de CTIVD houdt toezicht op een rechtmatige taakuitvoering door beide diensten. Deze vorm van toezicht kan zowel plaatsvinden tijdens (ex durante) als na de inzet (ex post). De afdeling toezicht van de CTIVD kan haar toezichthoudende taak dus al uitvoeren op het moment dat uitvoering wordt gegeven aan een door de TIB goedgekeurde toestemming voor de inzet van een bijzondere bevoegdheid. Naast de afdeling toezicht van de CTIVD houden de diensten zelf ook intern toezicht op de naleving van de wet- en regelgeving en de daaruit voortvloeiende zorgplicht. De diensten hebben hiervoor een eigen intern compliance stelsel opgezet, waarbij compliance en data adviseurs toezien op een rechtmatige taakuitvoering van de diensten. Op deze manier proberen de diensten hun processen continu te verbeteren. Als er een compliance incident heeft plaatsgevonden bij de diensten wordt dit door middel van een interne procedure gemeld en vastgelegd in een register. De afdeling toezicht van de CTIVD wordt actief door de diensten op de hoogte gesteld van de incidenten in de hoogste risico- en impactcategorieën.

Het voorliggende wetsvoorstel brengt ten opzichte van dit stelsel waar het gaat om de uitvoering van de in artikel 2, eerste lid, van het wetsvoorstel bedoelde taak van de diensten enkele veranderingen. De reikwijdte daarvan is beperkt tot de gevallen waarop onderhavig wetsvoorstel betrekking heeft.

In de voorgestelde wettelijke regeling wordt erin voorzien dat de eis van een ex ante rechtmatigheidstoets door de TIB voor bepaalde toestemmingen (bijvoorbeeld het kunnen verkennen van geautomatiseerde werken) niet meer wordt gesteld. In die gevallen wordt deze vervangen door bindend toezicht door de afdeling toezicht van de CTIVD, waarbij – zoals ook eerder in deze memorie is uiteengezet – wordt aangesloten bij een vorm van toezicht die beter past bij de aard en fase waarin de toepassing van de bevoegdheid zich bevindt. Op deze wijze wordt een hoog niveau van waarborgen gehandhaafd. Artikel 12 van het wetsvoorstel voorziet in een regeling voor dit bindende toezicht.

Met de voorgestelde regeling inzake bindend toezicht wordt ten opzichte van het stelsel van toets en toezicht zoals de Wiv 2017 thans kent voor de duur van en beperkt tot de toepassing van de Tijdelijke wet, een nieuw toezichtselement geïntroduceerd. Daarmee wordt de kwestie inzake de noodzaak van een vorm van rechterlijke toets, waarvoor de ECW in haar rapport aandacht heeft gevraagd, reeds nu actueel. Naar het oordeel van de regering moet dan ook – vooruitlopend op het wetstraject dat naar aanleiding van het rapport van de ECW zal worden ingezet – reeds nu in een vorm van een rechterlijke toets worden voorzien waar het gaat om de oordelen die in het kader van het bindend toezicht door de afdeling toezicht van de CTIVD tot stand komen, maar evenzeer waar het gaat om enkele oordelen van de TIB. Zoals de ECW terecht heeft aangegeven kent het huidige stelsel van toets en toezicht een weeffout, waarbij de toezichthouders niet alleen in het laatste woord in een concrete casus hebben, maar ook wat betreft de uitleg van begrippen en criteria, en de wijze waarop zij hieraan toetsen. Deze kwestie heeft, zoals de ECW aangeeft, in de afgelopen jaren verschillende malen tot knelpunten geleid. Een deel van de knelpunten waarop de constatering van de ECW betrekking heeft, betreft de inzet van met name de bijzondere bevoegdheden ex artikel 45 (hacken) en 48 (OOG-interceptie) van de Wiv 2017 in de context van onderzoeken naar landen met een offensief cyberprogramma. Dit is eerder in de memorie van toelichting van context en inhoud voorzien. In deze context is het dan ook noodzakelijk om een voorziening te treffen waarmee tot een gezaghebbende en eenduidige wetsuitleg kan worden gekomen, waarin het door TIB en CTIVD gevoerde rechtseenheidsoverleg slechts ten dele in kan voorzien omdat daarbij geen betrokkenheid van de Ministers is voorzien. Daarom voorziet dit wetsvoorstel eveneens in een – relatief eenvoudig vormgegeven – beroepsprocedure bij de Afdeling bestuursrechtspraak van de Raad van State (artikel 13). In aanvulling hierop wordt tevens voorzien in een regeling voor een voorlopige voorziening (artikel 14). Dit houdt verband met het feit dat een oordeel van de afdeling toezicht van de CTIVD bindend is en in beginsel binnen drie dagen moet worden uitgevoerd. Met een voorlopige voorziening kunnen onomkeerbare operationele gevolgen worden voorkomen in afwachting van de uitspraak op het beroep.

Deze regeling heeft, evenals die betreffende het bindend toezicht van de afdeling toezicht, een tijdelijk karakter en is beperkt tot de toepassing van hetgeen in dit wetsvoorstel is bepaald. In het kader van het wetstraject naar aanleiding van het rapport van de ECW en – eerder – de daaromtrent uit te brengen hoofdlijnennotitie zal het stelsel van toets en toezicht dat in de Wiv 2017 is neergelegd meer fundamenteel en in zijn geheel op zijn merites worden beoordeeld. Hierbij zullen onder meer ook de door de Tweede Kamer aangenomen moties inzake het stelsel van toetsing en toezicht worden betrokken, alsmede de aan het parlement toegezonden analyse van de jurisprudentie van het Europese Hof voor de Rechten van de Mens en het rapport van de Algemene Rekenkamer inzake de slagkracht van de AIVD en MIVD.

In het onderstaande zal eerst worden ingegaan op de voorgestelde bindende toezichtsbevoegdheid van de afdeling toezicht en aansluitend de regeling van beroep bij de Afdeling bestuursrechtspraak en tot slot de regeling omtrent de voorlopige voorziening

4.2 Bindend toezicht door de afdeling toezicht van de CTIVD

In artikel 2, tweede lid, van het wetsvoorstel is bepaald dat op de uitvoering van de op de in artikel 2, eerste lid, geformuleerde taak de Wiv 2017 van toepassing is met inachtneming van het bepaalde in deze wet. Hieruit vloeit dan ook voort dat de in de Wiv 2017 geregelde taak van de afdeling toezicht om toe te zien op de rechtmatigheid van de uitvoering van hetgeen bij of krachtens de Wiv 2017 is gesteld onverkort van toepassing is op de uitvoering van de taak van de diensten om onderzoek te verrichten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Het betreft hier overigens een bestaande taak van de diensten waarover het toezicht van de afdeling toezicht zich nu reeds uitstrekt. In artikel 2, tweede lid, wordt bepaald dat het bepaalde bij deze Tijdelijke wet in acht genomen dient te worden. Dat betekent concreet dat bij de taak van de afdeling toezicht om toe te zien op de uitvoering van de hier bedoelde onderzoekstaak van de diensten, de in artikel 12 opgenomen regeling inzake bindend toezicht – aanvullend – van toepassing is.

Artikel 12 van het wetsvoorstel biedt de grondslag voor de bindende toezichtsbevoegdheid van de afdeling toezicht en geeft met betrekking tot de uitvoering daarvan enkele procedurele voorschriften. Met die voorschriften wordt beoogd een zorgvuldige toepassing van de toezichtsbevoegdheid te realiseren. De voorgestelde regeling valt uiteen in de volgende onderdelen:

  • a. een limitatieve opsomming van de bepalingen van het wetsvoorstel waarop de regeling inzake bindend toezicht kan worden toegepast;

  • b. bij constatering van een onrechtmatigheid kan de afdeling toezicht dit vervolgens als een voorlopig oordeel mededelen aan de verantwoordelijke Minister;

  • c. bij dat voorlopige oordeel kan de afdeling toezicht aangegeven of en, zo ja, welke gevolgen aan dat oordeel worden verbonden;

  • d. de gevolgen zijn beperkt tot twee – limitatieve – opties: beëindiging van de desbetreffende bevoegdheid en/of de verwijdering en vernietiging van de bij de uitvoering daarvan verwerkte gegevens;

  • e. een wettelijk vastgelegde termijn waarbij de Minister op het voorlopig oordeel en de daaraan verbonden gevolgen kan reageren;

  • f. de vaststelling van het oordeel en de daaraan te verbinden gevolgen door de afdeling toezicht nadat de reactie van de Minister is ontvangen of indien deze binnen de gestelde termijn is uitgebleven. Dit oordeel is vervolgens bindend;

  • g. indien de Minister het oordeel en de daaraan verbonden gevolgen onderschrijft, dient de Minister daar binnen drie dagen uitvoering aan te geven, tenzij beroep wordt ingesteld waarbij tevens een verzoek om een voorlopige voorziening wordt gedaan;

  • h. de plicht om de beide kamers der Staten-Generaal te informeren over het oordeel van de afdeling toezicht, waarbij de regeling inzake vertrouwelijkheid onverkort van toepassing is.

4.3 Beroep op de Afdeling bestuursrechtspraak

Zoals hiervoor toegelicht voorziet dit wetsvoorstel in een bindende toezichtsbevoegdheid voor de afdeling toezicht van de CTIVD. De ex ante toets van de TIB heeft reeds een bindend karakter. In het kader van deze ex ante toets zijn de afgelopen jaren meermaals soms fundamentele verschillen van inzicht ontstaan over de uitleg en reikwijdte van wettelijke begrippen maar ook over de wijze waarop de vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid in de aanvragen moeten worden beschreven. In het huidige stelsel heeft de TIB hierin het laatste woord. De ECW constateerde in dit verband dat het stelsel van de wet hiermee een weeffout17 bevat die de komende jaren wellicht opnieuw tot problemen zal leiden, mede gelet op de snelle technologische ontwikkelingen. Immers, ook de verduidelijkingen van begrippen en verhelderingen van procedures zullen weer nieuwe vragen van afbakening kunnen oproepen. De ECW concludeert daarom dat het niet alleen praktisch onwenselijk is, maar ook principieel niet passend dat een toezichthouder het laatste woord heeft over de uitleg van wettelijke begrippen, de invulling van de toetsingsnormen en de intensiteit van de toetsing. Dat is volgens de ECW bij uitstek een rechterlijke taak, waarbij de toezichthouder, gegeven de rechterlijke overwegingen, gaat over de toepassing in concrete gevallen.

De ECW heeft dan ook aanbevolen dat het stelsel van toezicht wordt aangevuld met een rol voor de rechter, die de grenzen van het speelveld bepaalt waarbinnen het toezicht op de bevoegdheidsuitoefening door de diensten plaatsvindt. De ECW verwijst hierbij naar het bestuursrecht waarbij eveneens geschillen tussen toezichthouders en onder toezicht gestelden aan de orde zijn, maar waarbij de bestuursrechter wel de bevoegdheid heeft deze geschillen finaal te beslechten. Ten aanzien van de oordelen van de TIB ontbreekt deze mogelijkheid (of een vergelijkbare procedure) volledig. Dit klemt te meer nu ook de afdeling toezicht van de CTIVD met dit wetsvoorstel een bindende oordeelsbevoegdheid krijgt. Gelet op de in het geding zijnde belangen en omstandigheden (snel duidelijkheid, zo min mogelijk bekendheid van staatsgeheime informatie) heeft de ECW aanbevolen de Afdeling bestuursrechtspraak van de Raad van State in eerste en enige instantie te belasten met de geschillenbeslechting zoals hiervoor bedoeld. De bestuursrechter is bij uitstek geschikt om de rechtmatigheid van overheidshandelen te beoordelen: aan de hand van de beginselen van behoorlijk bestuur en met inachtneming van de bijzondere positie van de democratisch gelegitimeerde overheid. Een rol voor de rechter zou het stelsel ook meer in balans brengen, omdat het probleem wordt neergelegd waar het rechtsstatelijk gezien het beste thuishoort, namelijk de rechter, aldus de ECW.

Gelet op de specifieke aard van de geschillen en de (operationele) noodzaak om zo snel mogelijk tot een finale uitspraak te komen, is het niet wenselijk de daarvoor de in het bestuursrecht gebruikelijke rechtsgang in meerdere instanties open te stellen. De rechter die in eerste en enige instantie oordeelt heeft in dit geval de voorkeur. Tegen deze achtergrond wordt voorgesteld de Afdeling bestuursrechtspraak van de Raad van State te belasten met de berechting van geschillen tussen de verantwoordelijke Minister en de afdeling toezicht van de CTIVD of de TIB over de rechtmatigheid van de oordelen van de afdeling toezicht van de CTIVD of de TIB op grond van de Tijdelijke wet (artikel 13). De keuze voor de Afdeling bestuursrechtspraak is in de eerste plaats ingegeven door de volledige onafhankelijkheid van de Afdeling als rechterlijk orgaan dat duurzaam met rechtspraak is belast. Daarnaast heeft de Afdeling bestuursrechtspraak als hoogste algemene bestuursrechter veel ervaring met de beslechting van geschillen waarin overheidshandelen centraal staat, ook in het licht van constitutionele en mensenrechtelijke vraagstukken. Daarnaast is het van belang dat de Afdeling bestuursrechtspraak met gezag kan opereren. De keuze voor de Afdeling bestuursrechtspraak doet ook recht aan het grote maatschappelijke belang dat over de rechtmatigheid van het optreden van de AIVD en de MIVD (relatief) snel een definitief rechterlijk oordeel wordt gegeven. Bovendien heeft de Afdeling bestuursrechtspraak reeds ervaring met AIVD- en MIVD-gerelateerde zaken en de omgang met staatsgeheime informatie die daaraan inherent verbonden is.

In aanvulling op de beroepsregeling wordt in artikel 14 ook een regeling voorgesteld waarmee een voorlopige voorziening kan worden getroffen voor spoedeisende gevallen die verband houden met een bindend oordeel van de afdeling toezicht en de daaraan door de afdeling toezicht van de CTIVD verbonden gevolgen.

Benadrukt moet worden dat de thans voorgestelde regeling inzake beroep en de voorlopige voorziening een regeling sui generis is. Hoewel veel elementen zijn ontleend aan de Algemene wet bestuursrecht (Awb), is de regeling nadrukkelijk geen bijzonder bestuursprocesrecht en de bepalingen uit de Awb zijn dan ook niet van toepassing op de beroepsregeling. Dit houdt verband met het feit dat de Awb niet geldt voor de besluitvormingsprocedure voor de toepassing van bijzondere bevoegdheden door de diensten.18 Deze procedure heeft een geheim karakter teneinde de effectiviteit van de toepassing van een bevoegdheid te behouden. Indien een dergelijke beslissing (volledig) overeenkomstig de regeling van de Awb zou moeten worden voorbereid en bekendgemaakt, zou dat niet alleen afbreuk doen aan de effectiviteit van de toepassing van de betreffende bevoegdheid maar ook aan een efficiënte taakuitvoering door de diensten. De oordelen die ten grondslag liggen aan de beroepsprocedure zijn dan ook geen besluiten in de zin van de Awb. Ook zijn de TIB en de CTIVD geen bestuursorganen19 aangezien zij een controlerende respectievelijk toezichthoudende taak hebben die zich onderscheidt van de bestuurlijke werkzaamheden waarop de Awb ziet. Dit laat onverlet dat de beroepsprocedure wel belangrijke raakvlakken vertoont met de bestuursrechtelijke procedures uit de Awb. Daarom wordt zo veel mogelijk aangesloten bij reeds bestaande procedures en terminologie.

Om tot uitdrukking te brengen dat de (nieuwe) taak van de Afdeling bestuursrechtspraak op grond van dit wetsvoorstel nadrukkelijk onderscheiden moet worden van de rechtsprekende taak die de Afdeling in bestuursrechtelijke zaken heeft, voorziet artikel 13, eerste lid, in een grondslag voor deze taak. Het betreft geen rechtspraak in bestuursrechtelijke geschillen, maar uitsluitend in geschillen op grond van de Tijdelijke wet. Hiermee valt deze vorm van geschillenbeslechting onder de wettelijke taak van de Afdeling bestuursrechtspraak zoals geformuleerd in artikel 30b van de Wet op de Raad van State, te weten de berechting van de bij de wet aan haar opgedragen geschillen.

De beroepsprocedure

Artikel 13 bevat een regeling voor het instellen van beroep bij de Afdeling Bestuursrechtspraak van de Raad van State en bevat de volgende, voornamelijk procedurele, voorschriften.

  • a. een limitatieve opsomming van de oordelen van de TIB en de CTIVD waartegen de verantwoordelijke Minister beroep kan instellen;

  • b. een bepaling waaruit blijkt dat het instellen van beroep geen schorsende werking heeft;

  • c. een termijn van twee weken voor het indienen van een beroepschrift door de Minister vanaf het moment dat de TIB of de CTIVD het oordeel schriftelijk aan de verantwoordelijke Minister heeft medegedeeld;

  • d. bij indiening van het beroepschrift worden alle relevante gegevens vertrouwelijk aan de Afdeling bestuursrechtspraak verstrekt. Ook wordt een afschrift van de stukken aan de TIB of de CTIVD gestuurd;

  • e. behoudens gevallen waarin de Afdeling bestuursrechtspraak kennelijk onbevoegd is, het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond of kennelijk gegrond is, kan de TIB of de CTIVD binnen twee weken na indiening van het beroepschrift een verweerschrift indienen;

  • f. bij indiening van het verweerschrift kunnen aanvullende gegevens (d.w.z. gegevens die niet reeds zijn verstrekt bij indiening van het verweerschrift) vertrouwelijk worden verstrekt aan de Afdeling bestuursrechtspraak. De TIB of de CTIVD stuurt een afschrift van deze stukken aan de betreffende Minister;

  • g. de Afdeling bestuursrechtspraak kan zowel de Minister als de TIB of CTIVD verzoeken om binnen een door de Afdeling te bepalen termijn aanvullende gegevens te verstrekken. Degene die deze aanvullende gegevens verstrekt, verstrekt ook hiervan een afschrift aan de wederpartij;

  • h. de Afdeling bestuursrechtspraak nodigt de partijen zo spoedig mogelijk uit voor een (inhoudelijke) zitting, tenzij de Afdeling bestuursrechtspraak van oordeel is dat zij kennelijk onbevoegd is, of het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond of kennelijk gegrond is. De uitnodiging wordt uiterlijk 24 uur voor de zitting verstuurd;

  • i. de Afdeling bestuursrechtspraak kan deskundigen benoemen en een deskundig lid in de meervoudige kamer benoemen;

  • j. de behandeling van de zaak vindt plaats met gesloten deuren;

  • k. de Afdeling bestuursrechtspraak kan een tussenuitspraak doen;

  • l. de Afdeling bestuursrechtspraak doet zo spoedig mogelijk uitspraak;

  • m. de uitspraak wordt gemotiveerd en kan strekken tot gehele of gedeeltelijke onbevoegdverklaring, niet-ontvankelijkverklaring, ongegrondverklaring of gegrondverklaring van het beroep;

  • n. indien de uitspraak strekt tot gehele of gedeeltelijke gegrondverklaring van het beroep kan de Afdeling bepalen dat de rechtsgevolgen van het vernietigde oordeel in stand blijven of de zaak zelf in de zaak voorzien en daarbij ook een voorlopige voorziening treffen. Ook kan de Afdeling de TIB of CTIVD opdragen een nieuw oordeel uit te brengen of een andere handeling te verrichten;

  • o. de uitspraak van de Afdeling bestuursrechtspraak wordt openbaar gemaakt met uitzondering van staatsgeheime informatie en wordt (integraal) in afschrift toegezonden aan de verantwoordelijke Minister en de afdeling toezicht en de toetsingscommissie;

  • p. een verplichting tot geheimhouding voor alle betrokkenen.

De beroepsprocedure vangt aan met het indienen van een beroepschrift. Omdat er in de regel sprake zal zijn van een lopend inlichtingenonderzoek en de (voorgenomen) uitoefening van de bevoegdheid van groot operationeel belang is, zijn de termijnen voor het indienen van een beroepschrift en een verweerschrift relatief kort (twee weken). Op deze termijnen is de Algemene termijnenwet van toepassing zodat de termijnen automatisch met één of twee werkdagen verlengd worden indien de termijn in het weekend of op een algemeen erkende feestdag eindigt. De korte termijnen zijn ook om een andere reden noodzakelijk, namelijk vanwege het feit dat het beroep geen schorsende werking heeft (artikel 13, tweede lid). Wanneer de rechtmatigheid van de uitoefening van een bevoegdheid ter discussie staat, is het van belang op de kortst mogelijke termijn duidelijkheid te verkrijgen over de rechtmatigheid. Zoals hiervoor reeds uiteen is gezet, kan een oordeel van de afdeling toezicht van de CTIVD nadelige gevolgen hebben voor een inlichtingenonderzoek, in het bijzonder wanneer de uitoefening van een bevoegdheid ingevolge artikel 12, eerste lid, juncto tweede lid, onder a, naar het oordeel van de afdeling toezicht van de CTIVD beëindigd dient te worden. Hoewel beroep mogelijk is tegen een dergelijk oordeel, is het onvermijdelijk dat er enige tijd zit tussen het vastgestelde oordeel van de afdeling toezicht van de CTIVD en de uitspraak in beroep. In die tussenliggende periode wordt informatie gemist en kan het zicht op een target verloren gaan. Om dit te voorkomen wordt in artikel 14 een regeling voorgesteld waarmee een voorlopige voorziening kan worden getroffen die ook kan strekken tot het verlenen van schorsende werking aan het oordeel, de daaraan door de afdeling toezicht van de CTIVD verbonden gevolgen of beide. Deze procedure wordt verderop in deze paragraaf toegelicht.

In de praktijk zal sprake zijn van een geschil tussen de afdeling toezicht van de CTIVD of de TIB enerzijds en de verantwoordelijke Minister anderzijds over de vraag of de verleende toestemming dan wel de uitvoering van een bevoegdheid in overeenstemming is met het gestelde bij of krachtens de Wiv 2017, het bepaalde in dit wetsvoorstel en de toepasselijke internationaal- en Europeesrechtelijke normen. Het beroepschrift zal derhalve gronden bevatten ter onderbouwing van het standpunt van de Minister inzake een verleende toestemming (bij een oordeel van de TIB) dan wel inzake de uitvoering van de in artikel 12, eerste lid, genoemde bevoegdheden (bij een oordeel van de afdeling toezicht van de CTIVD). De verantwoordelijke Minister verstrekt onverwijld een afschrift van het beroepschrift en de bijbehorende stukken aan de CTIVD of de TIB. Op deze manier kunnen de CTIVD en de TIB direct beschikken over de stukken die zij nodig hebben voor het opstellen van het verweerschrift.

Indien de Afdeling na ontvangst van het beroepschrift niet tot het oordeel komt dat zij kennelijk onbevoegd is of het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond of kennelijk gegrond is, zal zij de TIB of de CTIVD in de gelegenheid stellen een verweerschrift in te dienen. Omdat de TIB of de CTIVD al beschikt over het beroepschrift en de bijbehorende stukken, zal dit in de praktijk neerkomen op een verzoek van de Afdeling om het verweerschrift binnen de wettelijke termijn in te dienen. Omdat de meest relevante stukken al bijgevoegd zullen zijn bij het beroepschrift, worden bij het verweerschrift alleen nog die stukken gevoegd die niet eerder zijn verstrekt. Dit voorkomt dubbele dossiervorming.

Het toetsingskader voor de Afdeling wordt gevormd door het bepaalde bij of krachtens de Wiv 2017, het onderhavige wetsvoorstel en de toepasselijke internationaal- en Europeesrechtelijke normen. Het zwaartepunt van de beoordeling zal naar verwachting liggen bij een oordeel over de juiste toepassing van de vier algemene toetsingsmaatstaven voor de toepassing van bevoegdheden door de diensten, te weten: noodzaak, proportionaliteit, subsidiariteit en gerichtheid en de daarbij behorende belangenafweging. Politiek-bestuurlijke of doelmatigheidsoverwegingen spelen hierbij geen rol.

Het staat de Afdeling bestuursrechtspraak vrij om te bepalen op welke wijze en met welke intensiteit zal worden getoetst. Het aan haar voorgelegde geschil, met name het feitencomplex en de gerezen rechtsvragen, zijn daarbij richtinggevend. Wel is de mate waarin de wetgever marges heeft gelaten in dit kader van belang. In de Wiv 2017 kunnen de marges per bevoegdheid verschillen waardoor de toetsingsintensiteit ook voor de TIB en de afdeling toezicht van de CTIVD kan verschillen. Dit betekent logischerwijs ook dat de marges voor de bij de Afdeling bestuursrechtspraak ter toetsing voorliggende oordelen kunnen verschillen. Voor zover er complexe technische aspecten aan de orde zijn kan de Afdeling op grond van artikel 13, tiende lid, altijd deskundigen inschakelen ten behoeve van de oordeelsvorming.

Ten behoeve van de beoordeling dient de Afdeling te beschikken over alle relevante stukken die betrekking hebben op het geschil. Hieronder valt in elk geval het verzoek om toestemming, het (gemotiveerde) oordeel van de TIB of de afdeling toezicht van de CTIVD, alsmede eventuele onderliggende stukken. Vanwege de korte termijnen is het van belang dat de Afdeling direct over alle relevante stukken beschikt, zodat zij op de kortst mogelijke termijn tot een uitspraak kan komen. Ook is voorzien in een bepaling waarmee zowel de Minister als de afdeling toezicht en de TIB verplicht zijn op een daartoe strekkend verzoek van de Afdeling bestuursrechtspraak alle door de Afdeling relevante geachte inlichtingen mondeling dan wel schriftelijk, te verstrekken, ook buiten de zitting (artikel 13, zevende lid). Vanwege het staatsgeheime karakter van de stukken, worden de stukken en inlichtingen uitsluitend vertrouwelijk aan de Afdeling ter beschikking gesteld. Hierover zullen nadere (praktische) afspraken worden gemaakt. Ook hier zorgt de partij die de inlichtingen verstrekt aan de Afdeling voor verzending in afschrift aan de wederpartij.

De Afdeling bestuursrechtspraak kan tot vier uitspraken komen. Ten eerste de onbevoegdverklaring van de Afdeling. Vervolgens de niet-ontvankelijkverklaring van het beroep. Hierbij valt te denken aan een te laat ingediend beroepschrift of het ontbreken van procesbelang. Tevens kan het beroep ongegrond verklaard worden. Het oordeel van de TIB of de afdeling toezicht van de CTIVD blijft in dat geval in stand en de verantwoordelijke Minister dient alsdan uitvoering te geven aan een oordeel van de afdeling toezicht van de CTIVD als bedoeld in artikel 12, vierde lid. Dit is anders wanneer het beroep gegrond wordt verklaard. In dat geval moet de vraag worden beantwoord welke rechtsgevolgen zijn verbonden aan de uitspraak. Dit wordt geregeld in de leden 14 tot en met 18. Deze leden zijn ontleend aan artikel 8:72 Awb en regelen de gevolgen die kunnen worden verbonden aan een gegrondverklaring van het beroep. Hieronder wordt ook de gedeeltelijke gegrondverklaring van het beroep verstaan.

Het gevolg van een gegrondverklaring is in de eerste plaats een gehele of gedeeltelijke vernietiging van het oordeel. Bij een (gehele of gedeeltelijke) gegrondverklaring van het beroep, wordt het bestreden oordeel (geheel of gedeeltelijk) vernietigd. De vernietiging werkt terug en het oordeel wordt juridisch geacht nooit te hebben bestaan.

De Afdeling heeft daarnaast diverse bevoegdheden om haar oordeel in rechte te effectueren. De Afdeling kan namelijk (i) bepalen dat de rechtsgevolgen van het vernietigde oordeel (gedeeltelijk) in stand blijven, (ii) zelf in de zaak voorzien, (iii) de TIB of CTIVD opdragen een nieuw oordeel uit te brengen of een andere handeling te verrichten, en (iv) een voorlopige voorziening treffen. Met deze bevoegdheden kan de Afdeling het gegrond verklaarde beroep zoveel mogelijk snel en definitief beslechten.

De Afdeling kan bezien of de rechtsgevolgen van het vernietigde oordeel in stand kunnen blijven. In veel gevallen zullen deze rechtsgevolgen echter juist de aanleiding zijn voor het beroep. Een voor de Minister negatief oordeel van de TIB of de CTIVD betekent immers dat de uitoefening van een bevoegdheid niet kan worden gestart of voortgezet, dan wel dat de uitoefening van een bevoegdheid moet worden beëindigd of gegevens moeten worden vernietigd. Indien de rechtsgevolgen niet geheel of gedeeltelijk in stand kunnen blijven, zal de Afdeling bezien of zij zelf in de zaak kan voorzien. De uitspraak van de Afdeling treedt dan in de plaats van het (gedeeltelijk) vernietigde oordeel. Dit kan zowel ambtshalve als op verzoek. Met deze bevoegdheid kan het geschil finaal worden beslecht, maar de Afdeling is hiertoe geenszins verplicht. Diverse factoren kunnen een rol spelen bij de keuze om al dan niet zelf in de zaak te voorzien, zoals de duur van de procedure, de urgentie van de te treffen voorziening, een uitdrukkelijk verzoek van partijen, de belangen van derden of de waarschijnlijkheid dat een nader onderzoek geen ander licht op de zaak zou kunnen werpen.

Indien een onrechtmatigheidsoordeel van de TIB onderwerp is van het beroep, doet zich de bijzonderheid voor dat de aanvankelijk door de Minister verleende toestemming van rechtswege is vervallen (artikel 36, derde lid, Wiv 2017). De Afdeling kan zelf in de zaak voorzien door een uitspraak te doen die in de plaats komt van het rechtsmatigheidsoordeel van de TIB en voor deze specifieke situatie bepaalt het achttiende lid van artikel 13 dat de toestemming van de verantwoordelijke Minister in dit geval met terugwerkende kracht herleeft. De diensten kunnen de toepassing van de desbetreffende bevoegdheid in dat geval starten of voortzetten.

De Afdeling kan ook een voorlopige voorziening treffen of de TIB of de CTIVD opdragen een nieuw oordeel uit te brengen of een andere handeling te verrichten, al dan niet met inachtneming van haar aanwijzingen. Deze bevoegdheid is logischerwijs beperkt tot de omvang van het geschil en geschiedt in beginsel ex nunc.

In de regeling is voorzien in de mogelijkheid voor de Afdeling om deskundigen te benoemen. De aard van het inlichtingenwerk is immers zeer specialistisch en een oordeel over de toepassing van bijzondere bevoegdheden kan bijvoorbeeld de nodige technische kennis vereisen. Indien de deskundige de benoeming aanvaardt, dan geldt verplichting van onafhankelijkheid en onpartijdigheid. De verplichting van onpartijdigheid houdt in dat de deskundige zijn taak zonder vooringenomenheid moet vervullen.

De behandeling van de zaak geschiedt met gesloten deuren. Het gaat immers om de uitvoering van bevoegdheden door de diensten waarmee per definitie inzicht ontstaat in het actuele kennisniveau van de betreffende dienst, de personen en organisaties die in onderzoek zijn en door de diensten aangewende geheime bronnen (artikel 12, derde lid, Wiv 2017). Het behoeft geen betoog dat een openbare behandeling zich niet verdraagt met deze belangen.

Dit roept de vraag op hoe de thans voorgestelde beroepsregeling en de rol van de Afdeling bestuursrechtspraak hierin zich verhoudt tot artikel 121 van de Grondwet. Vooropgesteld wordt dat de Afdeling bestuursrechtspraak gelet op artikel 1:4 Awb juncto 30b van de Wet op de Raad van State een onafhankelijk rechterlijk orgaan is dat duurzaam met rechtspraak is belast. Daarom moet worden aangenomen dat artikel 121 Grondwet, inclusief de daarin voorziene uitzonderingsmogelijkheden, in algemene zin ook van toepassing is op de Afdeling bestuursrechtspraak, alhoewel zij geen onderdeel uitmaakt van de rechterlijke macht in de zin van de Grondwet. De nieuwe taak van de Afdeling bestuursrechtspraak op grond van dit wetsvoorstel wijkt echter dusdanig af van reguliere (bestuurs)rechtspraak dat artikel 121 Grondwet daarop niet van toepassing is. Dit heeft in de eerste plaats te maken met de partijen in het geding, namelijk twee overheidsorganen (de Minister enerzijds en de TIB of de CTIVD anderzijds). Bovendien hebben burgers, anders dan in het reguliere bestuursrecht, geen rol in de procedure. Daarnaast is ook de aard van het geschil anders. Het betreft een geschil over de toepassing van bevoegdheden door de AIVD en de MIVD in het kader van de bescherming van de nationale veiligheid waarbij alle informatie staatsgeheim is.

Het feit dat in dit geval geen sprake is van reguliere bestuursrechtspraak betekent echter niet dat de Afdeling bestuursrechtspraak geen nieuwe rol toebedeeld kan krijgen. Op grond van het tweede lid van artikel 75 van de Grondwet kunnen bij wet aan de Raad van State of aan een afdeling van de Raad ook andere taken worden opgedragen. Met dit wetsvoorstel wordt een dergelijke andere taak opgedragen aan de Afdeling bestuursrechtspraak die niet bestaat uit rechtspreken in «klassieke» bestuursrechtelijke geschillen, maar die een andere vorm van geschilbeslechting betreft. Deze taak sluit weliswaar in zekere zin aan bij de normale rechterlijke taak van de Afdeling maar wijkt daarvan, zoals hiervoor reeds is toegelicht, ook af. In het verlengde hiervan kan de eis van openbaarheid van de zittingen en de beslissingen vanwege het staatsgeheime karakter van de procedure, ook niet worden gesteld. Op deze punten bevat de voorgestelde procedure dan ook een bepaling die voorziet in de noodzakelijke geheimhouding. Dit laat echter onverlet dat er een zwaarwegend maatschappelijk belang is om daar waar mogelijk zo veel mogelijk transparantie te betrachten over de rechtmatigheid van het optreden van de AIVD en de MIVD, juist ook wanneer het optreden van de diensten onderwerp is van een rechterlijke uitspraak. Vanwege het staatsgeheime karakter van zaak die in beroep wordt behandeld, is (integrale) openbaarmaking van de uitspraak problematisch. Artikel 13, eenentwintigste lid, voorziet daarom in openbaarmaking van de uitspraak met dien verstande dat de gegevens zoals bedoeld in artikel 12, derde lid, Wiv 2017 achterwege dienen te blijven. Op deze manier kan de uitspraak beperkt openbaar gemaakt worden met inachtneming van de noodzakelijke geheimhouding in het belang van de nationale veiligheid.

Het dertiende lid van artikel 13 geeft de Afdeling de bevoegdheid om een tussenuitspraak te doen en daarbij een voorlopige voorziening te treffen. Deze voorziening is nodig wanneer de Afdeling zich genoodzaakt ziet prejudiciële vragen te stellen aan het Hof van Justitie van de Europese Unie in Luxemburg of een adviesverzoek aan het Europees Hof voor de Rechten van de Mens in Straatsburg te richten. In de tussenuitspraak (verwijzingsuitspraak) worden de vragen aan het Hof van Justitie van de Europese Unie (dan wel het adviesverzoek aan het Europees Hof voor de Rechten van de Mens) geformuleerd. Omdat een prejudiciële procedure dan wel de adviesaanvraag-procedure doorgaans geruime tijd in beslag nemen en er in de praktijk behoefte is aan een (op z'n minst voorlopig) rechterlijke oordeel, kan de Afdeling door middel van een voorlopige voorziening een tijdelijke oplossing bieden voor de voorliggende operationele casuïstiek. De voorlopige voorziening wordt dan getroffen in afwachting van het finale oordeel van de Afdeling op het beroep.

Voorts is bepaald dat eenieder die betrokken is bij de behandeling van het beroep verplicht is tot geheimhouding. Deze bepaling hangt samen met de geheimhoudingsplicht uit de Wiv 2017 (artikelen 135 en 136) en beoogt een effectieve taakuitvoering van de diensten te bevorderen. Dat kan alleen indien de activiteiten die de diensten verrichten geheim zijn en blijven. De hier bedoelde geheimhouding gaat dan ook verder dan de bij rechtszaken gebruikelijke geheimhouding. In die zaken is er altijd een zekere mate van openbaarheid, bijvoorbeeld op de zitting waar ook stukken uit het dossier worden voorgehouden en besproken. Het gaat hier echter om staatsgeheime informatie die op geen enkele wijze openbaar mag worden en waarbij schending van de geheimhouding grote gevolgen kan hebben en een ernstig strafbaar feit oplevert.

Voorlopige voorziening

Artikel 14 bevat een regeling waarmee een voorlopige voorziening kan worden getroffen naar aanleiding van een vastgesteld oordeel van de afdeling toezicht van de CTIVD als bedoeld in artikel 13, eerste lid, onder a. Het wetsvoorstel laat de inhoud van de voorziening vrij, wel geldt de eis dat ze voorlopig is, in die zin dat de bodemrechter zich er niet door gebonden mag weten. Naar verwachting zal vooral gebruikt worden gemaakt van deze procedure teneinde schorsende werking te verlenen aan het oordeel van de afdeling toezicht, de daaraan door de afdeling toezicht van de CTIVD verbonden gevolgen of beide, zodat onomkeerbare operationele gevolgen voor de diensten voorkomen kunnen worden. Om deze reden bepaalt het derde lid van artikel 14 dat het verzoek om een voorlopige voorziening de werking van een oordeel van de afdeling toezicht van de CTIVD opschort vanaf het moment dat de afdeling toezicht het oordeel heeft vastgesteld totdat de voorzitter van de kamer die over het beroepschrift oordeelt (die in deze regeling optreedt als voorzieningenrechter; hierna: de voorzitter) uitspraak heeft gedaan. Op deze manier wordt voorkomen dat onduidelijkheid ontstaat over de rechtmatigheid van de verwerkte gegevens in het kader van de bevoegdheid die onderwerp van het beroep is.

De procedure voor de voorlopige voorziening is vergelijkbaar met de beroepsprocedure met dien verstande dat de termijnen aanzienlijk korter zijn. De procedure verloopt als volgt:

  • a. de voorzitter van de kamer die over het beroepschrift oordeelt fungeert in deze procedure als voorzieningenrechter en kan op verzoek van de verantwoordelijke Minister een voorlopige voorziening treffen indien beroep is of wordt ingesteld tegen een bindend oordeel van de afdeling toezicht van de CTIVD en onverwijlde spoed dit noodzakelijk maakt;

  • b. de termijn voor het instellen van beroep is langer (twee weken, artikel 13, derde lid) dan de termijn voor het verzoek om een voorlopige voorziening. Om te voorkomen dat gegevens verloren gaan in de tussenliggende periode kan het verzoek om een voorlopige voorziening ook gedaan worden voorafgaand aan het instellen van beroep;

  • c. de termijn voor het verzoek om een voorlopige voorziening is drie dagen en vangt aan op de dag nadat de afdeling toezicht van de CTIVD het vastgestelde oordeel schriftelijk aan de verantwoordelijke Minister heeft medegedeeld:

  • d. het verzoek om een voorlopige voorziening heeft schorsende werking en werkt terug tot het moment dat de afdeling toezicht het oordeel en de daaraan te verbinden gevolgen vaststelt;

  • e. de bepalingen uit de beroepsprocedure ex artikel 13 zijn van overeenkomstige toepassing voor zover het gaat om de vertrouwelijke verstrekking van onderliggende en aanvullende stukken (artikel 13, vierde, vijfde, zesde en zevende lid), de mogelijkheid om een verweerschrift in te dienen waarbij de termijn geen twee weken maar drie dagen is (artikel 13, vijfde lid), de inhoudelijke zitting behoudens gevallen van kennelijke onbevoegdheid van de voorzitter, kennelijke niet-ontvankelijkheid van het verzoek of een kennelijk ongegrond of kennelijk gegrond verzoek (artikel 13, achtste en negende lid), de mogelijkheid om een deskundige te benoemen (artikel 13, tiende lid) de bepalingen omtrent geheimhouding (artikel 13, elfde en eenentwintigste lid), de mogelijkheden voor de uitspraak en de gevolgen daarvan (artikel 13, vijftiende tot en met negentiende lid) en de verstrekking van een afschrift van de uitspraak (artikel 13, twintigste lid);

  • f. de voorzitter doet zo spoedig mogelijk gemotiveerd uitspraak en stelt het moment vast waarop de voorlopige voorziening vervalt:

  • g. de uitspraak kan luiden: de onbevoegdverklaring van de voorzitter, niet-ontvankelijkverklaring van het verzoek, afwijzing van het verzoek of gehele of gedeeltelijke toewijzing van het verzoek;

  • h. de mogelijkheid om direct uitspraak te doen op het beroep indien nader onderzoek niet noodzakelijk is indien de verantwoordelijke Minister en de afdeling toezicht hiermee instemmen.

De verantwoordelijke Minister kan een verzoek om een voorlopige voorziening indienen bij de voorzitter indien onverwijlde spoed, gelet op de betrokken belangen, dat vereist. Wanneer sprake is van onverwijlde spoed zal per geval worden beoordeeld, maar daarvan zal in de regel al snel sprake zijn bij een oordeel en daaraan verbonden gevolgen door de afdeling toezicht, aangezien het bestreden oordeel en de daaraan verbonden gevolgen per definitie leidt tot onomkeerbare gevolgen, namelijk de uitoefening van een bevoegdheid moet worden beëindigd of bepaalde gegevens moeten worden verwijderd en vernietigd. Hiermee wordt immers informatie gemist, het zicht op een target kan verloren gaan en het verwijderen en vernietigen van gegevens kan niet meer ongedaan worden gemaakt.

De voorlopige voorziening kan ook tegelijkertijd met het instellen van het beroep worden aangevraagd waarbij tevens de mogelijk bestaat voor «kortsluiting» (artikel 14, zesde en zevende lid). Dit houdt in dat wanneer, hangende het beroep, een verzoek om een voorlopige voorziening wordt gedaan en de voorzitter van oordeel is dat na de daartoe gehouden zitting nader onderzoek redelijkerwijs niet kan bijdragen aan de beoordeling van de bodemzaak, hij daarin direct uitspraak kan doen. Wel is vereist dat een zitting heeft plaatsgevonden waar ook de hoofdzaak aan de orde is gekomen. Bepalend is uiteindelijk of de informatie die schriftelijk en ter zitting is verkregen van dien aard is dat mag worden aangenomen dat nader onderzoek geen relevante nieuwe gegevens of argumenten zal opleveren.

5. Grondrechtelijke en mensenrechtelijke aspecten

De in het wetsvoorstel voorziene afwijkingen dan wel aanvullingen ten opzichte van hetgeen in de Wiv 2017 is bepaald, voldoen als zodanig aan de eisen die daaraan vanuit nationaal als internationaal recht worden gesteld. Een en ander ziet met name op aanvulling dan wel verduidelijking van aspecten van bijzondere bevoegdheden die reeds in de Wiv 2017 zijn geregeld, waarbij met name wordt gewezen op de in dit wetsvoorstel voorziene bijschrijfmogelijkheden (de artikelen 5, tweede lid, 9 en 10) alsmede op de introductie van een zelfstandige grondslag voor de bijzondere bevoegdheid tot verkenning met het oog op de toepassing van artikel 48 Wiv 2017, die uitsluitend binnen de kaders van de Tijdelijke wet kan worden ingezet (artikel 6). Daarnaast worden enkele afwijkingen voorgesteld ten aanzien van in de Wiv 2017 opgenomen regelingen voor de verdere verwerking van verworven gegevens en enkele procedurele eisen (o.a. de artikelen 4, 5, eerste lid, 8). Tot slot wordt voor de toepassing van hetgeen in deze Tijdelijke wet is geregeld, voorzien in extra rechtswaarborgen door de invoering van bindend toezicht door de afdeling toezicht van de CTIVD en een beroepsmogelijkheid bij de Afdeling bestuursrechtspraak van de Raad van State ter zake van aangewezen oordelen van de TIB en de afdeling toezicht.

Overeenkomstig artikel 10, eerste lid, van de Grondwet wordt met de regeling in het wetsvoorstel voorzien in een formeel-wettelijke grondslag die is vereist ingeval sprake is van een beperking van het recht op bescherming van de persoonlijke levenssfeer. Bij de hiervoor genoemde aanvullingen die zijn opgenomen in het wetsvoorstel gaat het om situaties waarbij (veelal) sprake zal zijn van de verwerking van persoonsgegevens, waarmee vanzelfsprekend sprake is van een beperking van het hiervoor genoemde grondrecht.

Tevens wordt voldaan aan de eisen die artikel 8 van het Europees verdrag tot bescherming van de rechten van de mens (EVRM) stelt. Allereerst wordt opgemerkt dat bij de totstandkoming van de Wiv 2017 reeds is geoordeeld dat die wet aan artikel 8 EVRM en het door het Europees Hof voor de Rechten van de Mens (EHRM) ter zake uitgebrachte jurisprudentie voldoet. In hoofdstuk 9 van de memorie van toelichting bij het voorstel van wet die tot de Wiv 2017 heeft geleid is uitvoerig stilgestaan bij de grondrechtelijke en mensenrechtelijke aspecten van de in dat wetsvoorstel voorgestelde regeling voor de activiteiten van de inlichtingen- en veiligheidsdiensten, ook waar het gaat om de bevoegdheid tot het binnendringen van geautomatiseerde werken. De in dit kader voorgestelde aanvullingen ten opzichte van de (bijzondere) bevoegdheden die de diensten reeds op grond van de Wiv 2017 toekomen, zijn noodzakelijk om de aan de diensten opgedragen taken in het kader van de nationale veiligheid effectief te kunnen uitvoeren. Zoals in hoofdstuk 1 van deze memorie van toelichting is uiteengezet zijn de dreigingen in het cyberdomein van zo’n ernstige aard dat het noodzakelijk is om de mogelijkheden om daar onderzoek naar te kunnen doen ter voorkoming (dan wel mitigering) van mogelijke schade aan Nederland of Nederlandse belangen van essentieel belang is. Voor een deel betreft het, zie de voorgestelde bijschrijfmogelijkheden, een aanvulling op reeds bestaande bevoegdheden om deze – rekening houdend met de snelheid en wendbaarheid van de actoren in het cyberdomein – effectiever in te kunnen zetten, waar naar hun aard geen andere, minder belastende alternatieven bestaan. De inzet zal – overeenkomstig de in artikel 26 van de Wiv 2017 neergelegde eisen – altijd proportioneel dienen te zijn. Waar het gaat om de bijschrijving zal aan het voldoen aan deze en andere eisen conform artikel 31 Wiv 2017 aantekening dienen te worden gehouden. Daarenboven zal ook van de uitoefening van deze bijschrijfmogelijkheden de afdeling toezicht van de CTIVD terstond worden geïnformeerd, zodat ze daar ook – indien de afdeling dat nodig acht – hun aandacht direct op kunnen richten teneinde de rechtmatigheid daarvan te beoordelen en zonodig deze te doen beëindigen. Met de voorgestelde bevoegdheid tot verkenning met het oog op de toepassing van artikel 48 Wiv 2017 (interceptie in bulk van telecommunicatie) wordt – vooralsnog beperkt tot de toepassing in het kader van deze wet – een zelfstandige juridische grondslag geïntroduceerd, die uitsluitend in het teken staat aan een effectievere toepassing van de bevoegdheid tot OOG-interceptie. Ook deze bevoegdheid is noodzakelijkheid in verband met de aan de diensten opgedragen taak in het kader van de nationale veiligheid. Naar zijn aard bestaat voor de met deze bevoegdheid te verwerven gegevens geen alternatief. Het geen hiervoor is gesteld met betrekking tot het voldoen aan de eisen van artikel 26 Wiv 2017 geldt mutatis mutandis ook voor de uitoefening van deze bevoegdheid.

Een belangrijk element ter versterking van de waarborgen waarmee beperkingen op het recht op persoonlijke levenssfeer dienen te worden omgeven, is in de Wiv 2017 gerealiseerd door de introductie van de TIB en de door deze instantie uit te voeren bindende toets ex ante. Daarmee werd een waarborg bij de toepassing van bijzondere bevoegdheden geïntroduceerd, die overigens op meer bevoegdheden ziet dan waartoe gelet op de huidige stand van zaken van de jurisprudentie van het EHRM daarin voorzien moet zijn. Bij de voorbereiding van onderhavig wetsvoorstel is ook acht geslagen op de recente jurisprudentie van het EHRM die betrekking heeft op de bevoegdheden tot bulkinterceptie en de verwerking van bulkdatasets en welke gevolgen daaraan verbonden moeten worden.20 Uit de analyse van die jurisprudentie, die ook aan beide kamers der Staten-Generaal is toegezonden, is gebleken dat de huidige wet ter zake nog steeds voldoet aan de eisen van het EVRM. Die conclusie is ook van belang voor de regeling van onderhavig wetsvoorstel mede in het licht van de aard en inhoud van de voorgestelde bepalingen in relatie tot de Wiv 2017. Een bindende ex ante toets wordt door het EHRM op dit moment slechts in een beperkt aantal gevallen geëist, te weten bij bulkinterceptie (in de Wiv 2017 aangeduid als onderzoeksopdrachtgerichte interceptie; OOG-interceptie) en de vaststelling van categorieën van selectoren toe te passen op de in bulk geïntercepteerde gegevens. Daarnaast geldt dat de inzet van bijzondere bevoegdheden jegens journalisten die gericht zijn op het achterhalen van de bron van een journalist ook een bindende toets vooraf vereist; in de Wiv 2017 is die toets – evenals die welke ziet op de inzet van bijzondere bevoegdheden die kunnen leiden tot de verwerving van vertrouwelijke communicatie tussen een advocaat en cliënt – in de handen gelegd van de rechtbank Den Haag; die rechtbank verleent overigens de toestemming en toetst dus niet – zoals bij de TIB – een door de Minister verleende toestemming. Uit recente jurisprudentie van het Hof van Justitie van de Europese Unie (HvJEU), waar het gaat om de zogeheten e-privacyrichtlijn, vloeit inmiddels voort dat de zogeheten stomme tap, te weten de real time interceptie van uitsluitend verkeers- en locatiegegevens (dus geen inhoud), ook een vooraf bindende toets door een onafhankelijke instantie vergt.21 Daarvoor zal een wettelijke voorziening worden getroffen.

De in dit wetsvoorstel opgenomen wijzigingen waar het gaat om de ex ante toets door de TIB betreffen op een enkele uitzondering na, te weten de zelfstandige juridische grondslag tot verkennen met het oog op de toepassing van artikel 48 Wiv 2017 (zie artikel 6), wijzigingen waarvoor vanuit perspectief van het EVRM en de jurisprudentie van het EHRM geen noodzaak bestaat om die te onderwerpen aan een bindende voorafgaande toets. De zelfstandige juridische grondslag ex artikel 6 van het wetsvoorstel is op een vergelijkbare manier geregeld als andere (vergelijkbare) bijzondere bevoegdheden in de Wiv 2017. Niet alleen is voorzien in toestemming van de Minister en een bindende toets van de TIB ter zake, maar ook overigens zal aan de algemene eisen voor de (verdere) verwerking van gegevens – zoals de toets aan noodzakelijkheid, subsidiariteit en proportionaliteit – moeten worden voldaan. Voorts wordt gewezen op de strikte doelbinding bij de verwerking van de gegevens (geen gebruik van de gegevens voor het inlichtingenproces) en de beperkte kring van personen die van de geïntercepteerde gegevens kennis mogen nemen.

Bij de andersoortige wijzigingen is voorzien in adequaat toezicht. Daar waar de eis van toestemming van de Minister dan wel de toetstaak van de TIB komt te vervallen, wordt voorzien in bindend toezicht door de afdeling toezicht van de CTIVD. Dat geldt ook in andere gevallen, waarbij voorzien is in aanvullende mogelijkheden tot bijschrijving. Waar aan de orde is voorzien in een meldplicht voor de Minister dan wel de TIB aan de afdeling toezicht opdat daarmee van meet af aan het toezicht kan worden geactiveerd.

Dit past ook in het streven te komen naar een dynamisch toezicht op de taakuitvoering van de diensten, waarbij de gehele keten aan activiteiten – van begin tot eind – aan toezicht is onderworpen. Door aan de oordelen van de afdeling toezicht een bindend karakter toe te kennen, betekent dat een forse versterking van het toezicht en wordt daarmee ook het recht op bescherming van de persoonlijke levenssfeer – waarop dat toezicht voor een groot deel betrekking heeft – adequaat geborgd.

Naar ons oordeel vallen de in het wetsvoorstel voorziene wijzigingen binnen de reikwijdte die aan bij het verdrag aangesloten staten is gelaten om in het kader van de nationale veiligheid maatregelen te nemen die een gerechtvaardigde beperking van het door artikel 8 EVRM gegarandeerde recht op – kort gezegd – privacy met zich brengen. De voorgestelde regeling – inhoudende enerzijds de zeer beperkt inperking van de toetsbevoegdheid van de TIB voorafgaand aan de bevoegdheidsuitoefening die anderzijds wordt vervangen door bindend toezicht in de fase van uitvoering van de bevoegdheid – betekent per saldo dat het geheel van waarborgen bij de uitoefening van de bevoegdheden waarop onderhavig wetsvoorstel specifiek betrekking heeft tenminste gelijk blijft.

De in dit wetsvoorstel voorziene inperking van de toetsbevoegdheid van de TIB waarvoor een bindende toezichtsbevoegdheid van de afdeling toezicht voor in de plaats treedt betreft een tijdelijke voorziening en loopt daarmee niet vooruit op mogelijke aanpassingen van het stelsel van toets en toezicht mede naar aanleiding van de aanbevelingen van rapport van de ECW. Het is dan ook een voorziening in het kader van deze Tijdelijke wet en naar zijn aard dus ook tijdelijk van karakter. Bij de herziening van de Wiv 2017 naar aanleiding van het rapport van de evaluatiecommissie zal immers het gehele stelsel van toets en toezicht, de eventuele samenvoeging van TIB en CTIVD, alsmede de (positionering van de) behandeling van klachten en vermoedens van misstanden op zijn merites en in onderlinge samenhang bezien dienen te worden. Daarbij zullen uiteraard ook de ervaringen die worden opgedaan bij de toepassing van deze wet worden betrokken.

Tot slot. Hetgeen is bepaald in het Grondrechtenhandvest van de Europese Unie blijft hier buiten toepassing. De voorgestelde regeling betreft een maatregel in het kader van de nationale veiligheid, waarvoor ingevolge artikel 4, tweede lid, van het Verdrag van de Europese Unie de uitsluitende verantwoordelijkheid berust bij de lidstaten.

6. Gevolgen verbonden aan de uitvoering van de wet

6.1 Algemeen

In het kader van de uitvoerbaarheid van de wet heeft een ketentest met de TIB, CTIVD en de diensten plaatsgevonden. In deze ketentest is aan de hand van het concept van het wetsvoorstel bezien of de wet een oplossing biedt voor de geconstateerde problematiek en uitvoerbaar is. Daarnaast zijn er meerdere overleggen geweest met de Raad van State over het inrichten van de beroepsprocedure bij de Afdeling bestuursrechtspraak van de Raad van State. Over het gehele wetsvoorstel heeft een uitvoeringstoets plaatsgevonden waar in meer detail de uitvoerbaarheid van de wet en de impact op de zowel de diensten als TIB, CTIVD en Raad van State wordt toegelicht.

Onder andere naar aanleiding van het rapport «slagkracht» van de Algemene Rekenkamer hebben de diensten bij de voorbereiding van dit wetsvoorstel continu aandacht gehad voor de uitvoerbaarheid en implementatie van de wet. Bij elke wijziging van het wetsvoorstel is er een controle geweest op de consequenties daarvan op onder andere IT en bedrijfsvoering. Voor uitvoeringsorganisaties is het belangrijk dat er een wet is, die ook uitvoerbaar blijkt. Het blijft daarom van groot belang voor de diensten om continu aandacht te hebben op wijzigingen die doorgevoerd worden in het wetsvoorstel.

6.2 De uitvoeringsconsequenties voor de diensten

Bij de voorbereiding van dit wetsvoorstel hebben de diensten aan de hand van het concept-wetsvoorstel de uitvoeringseffecten in kaart gebracht. Het wetsvoorstel heeft effect op het gehele stelsel. Daarom zijn de CTIVD, de TIB en de Afdeling Bestuursrecht van de Raad van State bij de uitvoeringstoets betrokken. De bevindingen zijn meegenomen in de uitvoeringstoets.

Uitvoerbaarheid

Ten opzichte van het bestaande wettelijke kader worden met deze Tijdelijke wet geen bevoegdheden geïntroduceerd die niet al onder de Wiv 2017 door de diensten zouden kunnen worden ingezet. De belangrijkste wijzigingen zien op het bevorderen van de effectieve inzet en uitvoering van bevoegdheden. Mogelijk zal dit het effect hebben dat de betreffende bevoegdheden vaker worden ingezet. De organisaties zijn daar echter al op toegerust. Wel wordt de werking van het stelsel van toetsing en toezicht via dit voorstel van wet gewijzigd. Een van de wijzigingen betreft de introductie van een beroepsmogelijkheid bij de Raad van State. Hiervoor zullen de diensten extra juridische expertise werven.

Implementatie

De diensten zijn momenteel al bezig met het opstellen van nieuw en aanvullend beleid, werkinstructies, processen en techniek om effectief te de Tijdelijke wet te kunnen uitvoeren. Daarbij wordt ook al nagedacht over het opleiden van medewerkers. Een van de elementen hiervan is een doorontwikkeling van de systemen van de diensten. Zo zal ter ondersteuning de software die de diensten gebruiken voor de administratie van verleende toestemmingen worden aangepast. Daarnaast dienen de diensten maatregelen te nemen om te kunnen voldoen aan de in de wet geregelde meldplicht. Ook moeten aanpassingen worden gedaan aan verschillende technische verwervings- en verwerkingsketens. Het is binnen de bestaande omvang van de organisaties mogelijk om deze implementatie te realiseren. Dit zal echter wel verdringingseffecten hebben op andere IT-veranderdoelstellingen van beide organisaties. Deze verdringingseffecten zijn in kaart gebracht en wordt er actief op gestuurd en afwegingen gemaakt in prioritering.

Het aanpassen van IT-applicaties heeft daarnaast een lange doorlooptijd. Om ervoor te zorgen dat de wet tijdig is geïmplementeerd zal een deel van de implementatie op korte termijn via handmatige werkprocessen plaatsvinden. Automatisering in IT-applicaties volgt later. Een voorbeeld hiervan is handmatig melden in plaats van geautomatiseerd. Dit zal wel zorgen voor aanvullende administratieve lasten bij de diensten. Na inwerkingtreding van de wet zullen de diensten de oplossingen blijven doorontwikkelen.

Implementatie zal – voor zowel de korte als langere termijn – in overleg met de CTIVD plaatsvinden. Dit borgt dat de aspecten die voor de CTIVD randvoorwaardelijk zijn voor uitoefening van haar toezichtstaken al in een vroeg stadium van implementatie kunnen worden betrokken. Het draagt daarnaast bij aan het compliant handelen van de diensten: zo kan de CTIVD beoordelen of de diensten in staat zijn om op een zorgvuldige en toetsbare wijze invulling te geven aan de Tijdelijke Wet.

De diensten werken via diverse IT-trajecten aan het eigen informatielandschap. Dat volgt mede uit de bevindingen van de CTIVD bij de implementatie van de Wiv 2017. De aanvullende eisen die de Tijdelijke wet aan de diensten stelt worden waar mogelijk bij deze IT-trajecten betrokken.

Tijdpad

Inschatting van de diensten is dat de inspanning die nodig is om de relevante systemen in gereedheid te brengen voor in werking treden van deze wet ongeveer twee maanden in beslag zal nemen. Binnen die periode kunnen de werkzaamheden beschreven onder implementatie op korte termijn worden uitgevoerd. Uitzondering hierop is de voorbereiding van de inwerkingtreding van het onderdeel OOG-interceptie uit de ether. Er is schaarse kennis en capaciteit benodigd om dit technisch te faciliteren, waardoor de diensten meer tijd nodig hebben. Daarom voorziet het wetsvoorstel in de mogelijkheid voor gedifferentieerde inwerkingtreding. De structurele wijzigingen in het IT-landschap van de diensten kennen een meerjarige termijn. Eventuele aanpassingen in het wetsvoorstel zullen op hun gevolgen voor de planning dienen te worden bezien.

6.3 De uitvoeringsconsequenties voor de TIB, de CTIVD en de Afdeling bestuursrechtspraak van de Raad van State

Voor zowel de CTIVD als de TIB zijn extra financiële middelen beschikbaar gesteld zodat zij uitvoering kunnen geven aan de Tijdelijke wet. Met dit budget worden hun secretariaten uitgebreid, onder andere met bestuursrechtelijke expertise om uitvoering te kunnen geven aan het hoger beroep. Het gaat hierbij in totaal om € 1 miljoen in 2022 en € 2,2 miljoen structureel vanaf 2023. Waar het gaat om de gevolgen van de voorgestelde beroepsregeling voor de Afdeling bestuursrechtspraak van de Raad van State is het op dit moment nog lastig de exacte uitvoeringsconsequenties te duiden. Op basis van de praktijkervaring zal de Raad van State op basis van opgedane ervaring het gesprek nader worden gevoerd om te bezien wat nodig is om de voorziene extra taak uit te voeren. Naar verwachting zullen met name in de periode vlak na inwerkintreding van de wet diverse zaken aan de Afdeling bestuursrechtspraak worden voorgelegd. Na verloop van tijd zal – zo is de verwachting – het aantal beroepszaken afnemen, met name indien er door de uitspraken van de Afdeling duidelijkheid wordt geboden in kwesties betreffende de uitleg van de wet en daarin gehanteerde begrippen.

6.4 Regeldruk

In het wetsvoorstel wordt in een tweetal artikelen, te weten artikel 6 (de zelfstandige juridische grondslag tot verkennen met het oog op toepassing van artikel 48 Wiv 2017) en artikel 10 (aanvulling bijschrijfmogelijkheid bij artikel 54 Wiv 2017), voorzien in een beperkte verruiming van de medewerkingsplicht van derden bij de toepassing van het bepaalde in deze artikelen. Het betreft een verruiming ten opzichte van de verplichtingen (informatieverplichtingen en inhoudelijke verplichtingen22) die reeds uit de toepassing van de Wiv 2017 voortvloeien. In paragraaf 3.3.2 van deze memorie is ingegaan op hetgeen de zelfstandige juridische grondslag ex artikel 6 van het wetsvoorstel inhoudt en in paragraaf 3.5 op de aanvulling van de bijschrijfmogelijkheid van artikel 54 Wiv 2017. In beide gevallen is medewerking vereist van een aanbieder van een communicatiedienst23 en bij de toepassing van artikel 54 daarnaast ook van personen of instanties die – kortgezegd – beroeps- of bedrijfsmatig opslagdiensten voor gegevens24 aanbieden.

Bij de bevoegdheid ex artikel 6 van het wetsvoorstel is medewerking van de communicatie-aanbieder vereist bij de uitvoering van een door de verantwoordelijke Minister verleende (en door de TIB rechtmatig geachte) toestemming voor het verkennen ten behoeve van de inzet van de bijzondere bevoegdheid tot onderzoeksopdrachtgerichte interceptie ex artikel 48 Wiv 2017. Voor de uitoefening van deze bevoegdheid is waar het gaat om verkenning op de kabelgebonden infrastructuur de medewerking vereist van de desbetreffende aanbieder. Hij krijgt daartoe een opdracht en is verplicht medewerking te verlenen. Hiervoor bestaat geen alternatief. Het betreft hier een inhoudelijke verplichting. Deze situatie is vergelijkbaar met de medewerking die bij de uitoefening van artikel 48 Wiv 2017 aan de orde is. In artikel 6, vijfde lid, van het wetsvoorstel is dan ook artikel 53 van de Wiv 2017 van overeenkomstige toepassing verklaard. Dat betekent onder meer dat de aanbieder die verplicht is medewerking te verlenen naar redelijkheid aanspraak heeft op vergoeding uit ’s-Rijks kas van de investerings-, exploitatie- en onderhoudskosten voor de technische voorzieningen die zijn of worden gemaakt teneinde te kunnen voldoen aan de opdracht, alsmede van de door de aanbieder gemaakte administratie- en personeelskosten rechtstreeks voortvloeiend uit het voldoen aan de opdracht; in de Regeling kosten aftappen Wiv 2017 zijn nadere regels gesteld met betrekking tot de vaststelling en vergoeding van de kosten. De inzet van de bijzondere bevoegdheid van artikel 48 Wiv 2017 op de kabelgebonden infrastructuur en daarmee ook de toepassing van artikel 7 van het wetsvoorstel is vooralsnog beperkt tot een enkele aanbieder. De daaraan verbonden kosten zijn operationele kosten voor de diensten die uit de geheime begroting van de diensten worden bekostigd en daarmee als staatsgeheim gekwalificeerd. De omvang van deze kosten zijn evenwel inzichtelijk voor de Commissie voor de Inlichtingen en Veiligheidsdiensten van de Tweede Kamer. Op basis van artikel 7.20 Comptabiliteitswet 2016 verricht de Algemene Rekenkamer onderzoek naar de geheime uitgaven en ontvangsten van het Rijk.

Bij de bevoegdheid ex artikel 10 van het wetsvoorstel wordt de uitoefening van de bijzondere bevoegdheid van de diensten om – mits met een verkregen toestemming van de Minister en een rechtmatigheidsoordeel van de TIB – zich te wenden tot kortgezegd de aanbieder van een opslagdienst voor gegevens met de opdracht om die gegevens te verstrekken (zogeheten disk images) ook mogelijk gemaakt ingeval het target tussentijds van aanbieder verandert of naast een bestaande opslagdienst ook van een andere opslagdienst gebruik gaat maken. Op deze wijze wordt voorkomen dat hiervoor de hele toestemmingsprocedure moet worden doorlopen, waardoor kostbare tijd bij het verkrijgen van voor het onderzoek noodzakelijke gegevens verloren gaat. Het gaat ook hier om inhoudelijke verplichtingen. En ook hier geldt dat voor het voldoen aan die opdracht ingevolge artikel 54, zesde lid, artikel 13.6, tweede en derde lid, van de Telecommunicatiewet van overeenkomstige toepassing is. Dat betekent dat men aanspraak hebben op vergoeding uit 's Rijkskas van de door hen gemaakte administratiekosten en personeelskosten rechtstreeks voortvloeiend uit het voldoen aan een opdracht op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017. Omtrent het aantal gevallen waarin van de voorgestelde mogelijkheid gebruik wordt gemaakt alsmede de daaraan verbonden kostenvergoeding kan vanwege het staatsgeheime karakter geen openbare informatie worden verschaft.

7. Advies en consultatie

7.1 Algemeen

Een ontwerp van het wetvoorstel is gericht ter consultatie voorgelegd aan de TIB, de CTIVD, het Adviescollege Toetsing Regeldruk (ATR) en de Afdeling bestuursrechtspraak van de Raad van State25. Daarnaast is een ontwerp van het wetsvoorstel in de periode 1 tot en met 17 april aan internetconsultatie onderworpen. Dat heeft tot iets meer dan 170 reacties geleid van burgers en organisaties, die binnen de consultatietermijn commentaar hebben geleverd. Enkele van de respondenten hebben ervoor gekozen hun reactie niet openbaar te maken. De rest van de reacties is te raadplegen op www.internetconsultatie.nl.

7.2 De reactie van de TIB26

De TIB geeft in haar reactie allereerst aan dat de noodzakelijkheid van de in het ontwerp-wetvoorstel voorziene uitbreiding van een aantal bijzondere bevoegdheden voor de diensten vooral een politieke vraag is. Aansluitend concludeert zij dat het geheel van de voorgestelde maatregelen toezichtbaar is, zij het onder de conditie dat de informatieplicht wordt geschrapt en de benodigde additionele capaciteit voor de TIB wordt gerealiseerd. De TIB gaat vervolgens op een aantal onderwerpen nader in.

De TIB stelt vast dat toepassing van de Tijdelijke wet aan de orde is indien het zwaartepunt van de onderzoeken binnen de reikwijdte daarvan valt. Indien het zwaartepunt bij dergelijke onderzoeken ligt kunnen alle – onder toepassing van de Tijdelijke wet verworven – gegevens ook worden bekeken door teams met andere onderzoeksopdrachten, hetgeen zij kwalificeert als een forse uitbreiding van de bevoegdheden van de diensten waarmee waarborgen die op grond van de Wiv 2017 gelden buiten toepassing blijven. Deze conclusie delen wij niet. De waarborgen van de Wiv 2017 zijn immers gewoon van toepassing, zij het dat op een beperkt aantal onderdelen en uitsluitend voor zover het om het door de Tijdelijke wet bestreken onderzoek betreft, de regeling in de Wiv 2017 deels wordt aangevuld (vergelijk de bijschrijfmogelijkheden) dan wel daarvan wordt afgeweken (vergelijk het laten vervallen van de TIB-toets bij verkennen van geautomatiseerde werken). De achtergrond daarvan is in deze memorie uitvoerig toegelicht. Dat de gegevens die via het onderzoek waarop deze wet van toepassing is zijn verworven, breder beschikbaar komen voor andere onderzoeken van de dienst, is in lijn met de regeling die ook nu al in de Wiv 2017 is vastgelegd. Rechtmatig verworven gegevens mogen immers ook voor andere lopende onderzoeken van de diensten waarvoor ze relevant zijn bevonden, worden gebruikt.27

De TIB geeft aan dat naar haar oordeel de memorie van toelichting onvoldoende duidelijk maakt waar strategische operaties op zien. Ook andere respondenten (zoals Bits of Freedom) wijzen hier op. De toelichting is hierop aangevuld (paragraaf 2.2.1).

De TIB vraagt om verduidelijking van de voorgestelde verruiming van de bijschrijfmogelijkheid. De voorgestelde regeling verduidelijkt dat niet is vereist dat er sprake is van exclusief gebruik om te kunnen bijschrijven. Daarnaast worden aanvullende mogelijkheden tot bijschrijven geïntroduceerd. Het wetsvoorstel zorgt hiermee voor een consistente regeling ten aanzien van het bijschrijven van kenmerken. Het effect van de voorgestelde maatregelen is dat een voorafgaande toets op dergelijke bijschrijvingen komt te vervallen. In plaats daarvan komt bindend toezicht door de afdeling toezicht van de CTIVD op de bijschrijvingen. De noodzaak van goede werkafspraken tussen de CTIVD, de TIB en de diensten ter zake wordt onderschreven.

In haar reactie gaat de TIB ook in op het inmiddels uit het wetsvoorstel geschrapte artikel 6 (oud) van het wetsvoorstel, waarbij artikel 27, eerste lid, van de Wiv 2017 waar het gaat om bulkdatasets verkregen uit de inzet van de hackbevoegdheid buiten toepassing werd verklaard en vervangen door een andere regeling met gevolgen voor de bewaartermijn (flexibel; mogelijkheid tot jaarlijkse verlenging) en de eis dat de relevantie-beoordeling zo spoedig mogelijk moet plaatsvinden (vervalt). Onder verwijzing naar de zaak Big Brother Watch e.a. tegen het Verenigd Koninkrijk vraagt men zich af of het niet vastleggen van een maximale bewaartermijn voor bulkdata door het EHRM niet als een tekortkoming zou kunnen worden aangemerkt. De hier bedoelde voorziening is thans uit het wetsvoorstel gelicht. De door de TIB opgeworpen vraag zal worden betrokken bij de (nieuw) op te stellen regeling inzake (aspecten van) de verwerking van bulkdatasets.

De voorgestelde regeling voor de verkenning van gegevensstromen (artikel 7; thans artikel 6) wordt als een welkome aanvulling gezien. De TIB is echter kritisch met betrekking tot het buiten toepassing verklaren van het gerichtheidsvereiste bij de toepassing van deze bevoegdheid. De memorie van toelichting maakt onvoldoende inzichtelijk waarom het vaststellen van de potentiële inlichtingenwaarde op een gegevensstroom niet zo gericht mogelijk kan plaatsvinden. De toelichting is op dit punt nader aangevuld. De TIB wijst er verder op dat een en ander onverlet laat dat zij nog altijd de proportionaliteit van de inzet van deze bevoegdheid zal moeten beoordelen. Dat is juist, zij het dat – als dit wetsvoorstel tot wet wordt verheven en in werking treedt – daarbij wel een relevant en ook door de TIB in acht te nemen gegeven is dat de wetgever in dit kader heeft bepaald dat de toets aan gerichtheid achterwege dient te blijven. Waar het gaat om de daadwerkelijke kabelinterceptie voor het inlichtingenwerk (toepassing artikel 48 Wiv 2017) merkt de TIB terecht op dat artikel 8 (thans artikel 7) geen beperking in haar wettelijke toekomende beoordelingsruimte ziet, zij het dat zij ook hier hetgeen de wetgever daaromtrent heeft gesteld daarbij dient te betrekken.

De TIB wijst er verder op dat thans ook wordt voorgesteld om streamingsdiensten en internetverkeer met oorsprong of bestemming in Nederland te kunnen aftappen. Dat zou in weerwil zijn met eerdere toezeggingen van de Ministers van BZK en van Defensie. Er is op dit punt sprake van gewijzigde omstandigheden en nieuwe inzichten. Inmiddels blijkt uit de praktijk blijkt dat actoren op een zo diverse manier te werk gaan dat het niet mogelijk is om op voorhand bepaalde gegevensstromen enkel en alleen op basis van hun aard of oorsprong uit te sluiten. In de toelichting is daar nader op ingegaan.

De TIB acht het (voorgestelde) stelsel van toets en toezicht over het geheel genomen onder voorwaarden toezichtbaar. Zij kan zich vinden in het voorstel om de TIB voortaan niet meer voorafgaand bindend te laten toetsen over de rechtmatigheid van de toestemming voor het zogenaamde scannen in het kader van de hackbevoegdheid. Dat geldt ook voor de geautomatiseerde data-analyse (GDA) op metadata verkregen uit OOG-interceptie. In beide gevallen kan de afdeling toezicht van de CTIVD bindend toezicht gaan houden.

Waar het gaat om de in artikel 12 (thans artikel 11) geregelde bevoegdheid voor de TIB en de afdeling toezicht om inlichtingen uit te wisselen voor zover dat noodzakelijk is voor een effectief toezicht, zou de informatieplicht aan de Minister (artikel 3) onderscheidenlijk het hoofd van de dienst (artikel 12; thans artikel 11) dienen te worden geschrapt. Het wetsvoorstel is in deze zin aangepast.

De voorgestelde wijzigingen voor de omgang met technische risico’s en onbekende kwetsbaarheden maakt onvoldoende duidelijk wat wel en wat niet door de TIB mag worden gevraagd bij een toets van de verleende toestemming voor een hackoperatie en wat zij vervolgens moet beoordelen. Ze dient immers nog steeds de proportionaliteit te toetsen. In de toelichting is dit thans verder uitgewerkt.

De TIB wijst er voorts op dat als in een (aanvraag voor een) toestemming niet meer beschreven hoeft te worden wat de diensten in technisch opzicht gaan doen, en dat de Minister dan ook feitelijk niet meer weet waarvoor zij toestemming verleent. In de toestemmingsaanvragen zullen nog steeds de relevante technische aspecten aan de orde komen die de Minister nodig heeft om tot een geïnformeerd oordeel te komen. Het zal dan om die technische informatie – inclusief risico’s – gaan die op het moment van de aanvraag bekend is. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze informatie over technische risico’s een hoger abstractieniveau hebben. De CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid en dus ook op de wijze waarop bekende en nieuwe technische risico’s zich tijdens de uitvoering concreet voordoen. Aangezien dit een verschuiving van toetsing vooraf naar toezicht tijdens de uitvoering is, zal dit toezicht van de CTIVD bindend zijn. De Minister en ook de TIB hebben dus inzicht in de risico’s voor zover die bekend zijn op het moment dat de aanvraag ter toestemming voorligt en het moment van afwegen van de proportionaliteit. Indien gedurende de looptijd van de toestemming gebruik willen maken van een onbekende kwetsbaarheid waarvan de inzet de oorspronkelijke proportionaliteitafweging overstijgt, zal ten behoeve van deze nieuw te maken afweging een nieuwe aanvraag ter toestemming worden ingediend. Een en ander laat onverlet de volledige verantwoordelijkheid die de Minister draagt voor de taakuitvoering van de onder hem ressorterende dienst. De door de TIB geschetste werkwijze om de risico’s die door het vervallen van de toets vooraf van de technische risico’s en onbekende kwetsbaarheden te mitigeren betreft de wijze waarop de afdeling toezicht haar toezichtstaak zou kunnen uitvoeren. Een en ander zal worden betrokken bij het te voeren overleg met de afdeling toezicht over de wijze waarop deze haar bindend toezicht zal gaan uitvoeren.

In het wetsvoorstel wordt tegen onrechtmatigheidsoordelen van de TIB beroep opengesteld bij de Afdeling bestuursrechtspraak. De TIB geeft aan dat ze niet principieel tegen de introductie van een beroepsprocedure staat. Ze toont zich verrast dat in het kader van het wetsvoorstel niet wordt ingegaan op het rapport van de drie hoogleraren die op verzoek van de Minister van BZK hebben gekeken naar recente uitspraken van het EHRM en het stelsel van toezicht. De door deze drie hoogleraren in het uitgebrachte rapport gedane voorstellen zullen bij de standpuntbepaling over de aanbevelingen van de Evaluatiecommissie Wiv 2017 inzake het stelsel van toets en toezicht worden betrokken. Dit standpunt zal in de aan de Tweede Kamer toegezegde hoofdlijnennotitie worden vastgelegd. Dat geldt ook voor de andere door de TIB gemaakte opmerkingen inzake het beroepsstelsel.

De TIB wijst er op dat de beroepsmogelijkheid haar meer werk zal opleveren en dat in verband daarmee additionele juridische ondersteuning nodig is. Hierover is inmiddels het overleg met de TIB over gaande.

Tot slot wijst de TIB op het ontbreken van een voorafgaande bindend toets op de zogeheten stomme tap (waarbij uitsluitend verkeersgegevens in real time worden verkregen). Vooruitlopend op de wijziging van de Wiv 2017 zal in overleg met de TIB tot een tijdelijke regeling worden gekomen om de door recente Europese jurisprudentie geëiste voorafgaande bindende toets te borgen.

7.3 De reactie van de CTIVD28

De CTIVD wijst erop dat zij in de afgelopen maanden door het Ministerie van BZK en van Defensie is meegenomen in de voorbereiding van het concept-wetsvoorstel. Hieraan voegen wij toe dat dit ook geldt voor de TIB. Een en ander indachtig de door de Tweede Kamer aangenomen motie van het lid Leijten. Over het geheel genomen kan de CTIVD zich vanuit toezichtsperspectief vinden in de uitgangspunten van de Tijdelijke wet. Het uitgangspunt dat het toezicht niet wordt afgeschaald, maar op bepaalde punten wordt verlegd, is onderbouwd uitgewerkt. De CTIVD noemt nog een viertal aandachtspunten, te weten de consequenties voor het toezicht van de CTIVD, de informatie-uitwisseling tussen CTIVD en TIB, de bulkdatasets en – tot slot – de beroepsprocedure en voorlopige voorziening.

De voorgestelde wijziging van het stelsel van toets en toezicht betekent dat met name de taak van de afdeling toezicht wordt gewijzigd, nu deze immers ex durante bindend toezicht uit dient te gaan voeren. Dat vergt dat men additionele juridische en technische capaciteit en kennis moet verwerven. In gesprek met de CTIVD is dit inmiddels overeengekomen. Terecht vraagt de CTIVD aandacht voor een implementatietermijn voordat het toezicht volledig effectief kan zijn.

Evenals de TIB vraagt ook de CTIVD aandacht voor de regeling die in artikel 12 (thans artikel 11) van het wetsvoorstel is opgenomen met betrekking tot de informatie-uitwisseling tussen de TIB en de afdeling toezicht. De meldingsplicht aan de hoofden van de diensten, zoals opgenomen in artikel 12, tweede lid, (thans artikel 11) acht zij principieel onjuist. Gesteld wordt dat ervan uit dient te worden gegaan dat de TIB en de afdeling toezicht prudent wordt omgegaan met de geheimhoudingsbepalingen en slechts die gegevens zullen worden uitgewisseld voor zover dat noodzakelijk is voor de taakuitvoering op grond van deze wet. Het ging er bij de voorgestelde regeling niet om dat er twijfel zou zijn aan een prudente omgang van beide instanties met hun geheimhoudingsverplichtingen, maar om het feit dat de hoofden van de diensten de zorgplicht die de Wiv 2017 aan hen oplegt met betrekking tot onder meer menselijke bronnen kunnen nakomen. De meldplicht is komen te vervallen. Wel is bepaald dat beide instanties geen inlichtingen met betrekking tot informanten en agenten mogen uitwisselen. Daarmee wordt op een andere wijze recht gedaan aan de zorgplicht van de diensthoofden ter zake.

Indien de TIB bij haar besluitvorming van oordeel is dat het wenselijk is om de CTIVD op bepaalde punten te wijzen, dan neemt zij dit op in haar rechtmatigheidsoordeel. Indien de CTIVD naar aanleiding van haar toezichtstaak onder deze Tijdelijke wet tot het oordeel komt dat het wenselijk is de TIB te wijzen op punten, dan wordt dit aan tevens aan de diensten medegedeeld.

De CTIVD wijst erop dat door haar in de afgelopen jaren veelvuldig aandacht heeft besteed aan het fenomeen van bulkdatasets. Zoals zij terecht aangeeft, kent de Wiv 2017, buiten het stelsel van onderzoeksopdrachtgerichte interceptie, geen relevantiebeoordeling dan wel bewaartermijnen die rekening houden met het bijzondere karakter van dergelijke sets. Deze problematiek is ook door de Evaluatiecommissie Wiv 2017 gesignaleerd en die heeft dan ook aanbevolen een specifieke regeling voor bulkdatasets in de Wiv 2017 op te nemen. De CTIVD geeft aan eerder aanbevolen te hebben om bij bulkdatasets flexibele bewaartermijnen te hanteren gepaard gaande met bindende bevoegdheden vanuit het toezicht. De CTIVD stelt vast dat in het aan haar voorgelegde ontwerp-wetsvoorstel hieraan invulling wordt gegeven, maar dat de regeling beperkt is tot bulkdatasets die met de hackbevoegdheid zijn verkregen en dat voor bulkdatasets die met andere bijzondere bevoegdheden zijn verworven dan wel buiten de scope van de Tijdelijke wet vallen er nog niets is geregeld. De aanvankelijk in artikel 6 (oud) van het wetsvoorstel geregelde mogelijkheid om de bewaartermijn van bulkdatasets telkens met een jaar te kunnen verlengen ten behoeve van relevantiebeoordeling, is uit het wetsvoorstel gehaald. Indachtig de opmerking van de CTIVD zal een wijziging van de Wiv 2017 worden voorbereid waarmee een regeling wordt getroffen die breder is dan de scope van de Tijdelijke wet.

De CTIVD onderschrijft het belang van een beroepsprocedure tegen bindende oordelen van de TIB en de CTIVD bij de Afdeling bestuursrechtspraak van de Raad van State. De opgenomen mogelijkheid om een voorlopige voorziening bij de rechter te vragen ten einde in geval van onverwijlde spoed de werking van het bindende oordeel van de afdeling toezicht van de CTIVD en een daaraan verbonden gevolg op te schorten, acht zij in lijn met wat in de context van de Algemene wet bestuursrecht gebruikelijk is en voorts dat hiermee zowel recht wordt gedaan aan het bindende karakter van een oordeel van de CTIVD als aan de belangen van de dienst(en) hangende een beroepsprocedure. De CTIVD ziet een en ander (bindend besluit, beroep, voorlopige voorziening) als een essentieel deel van het systeem van checks and balances dat in het wetsvoorstel is neergelegd.

Tot slot wijst de CTIVD op het feit dat in artikel 14 (thans artikel 13) van het wetsvoorstel de uitspraken van de Afdeling bestuursrechtspraak van de Raad van State in het kader van de Tijdelijke wet niet openbaar zijn. Dat acht ze onwenselijk. Ook de Afdeling bestuursrechtspraak heeft in haar advies voor dit aspect aandacht gevraagd. Het wetsvoorstel is zodanig aangepast dat de uitspraak van de Afdeling bestuursrechtspraak openbaar is met uitzondering van de gegevens als bedoeld in artikel 12, derde lid, van de Wiv 2017.

7.4 Advies van Adviescollege Toetsing Regeldruk29

Het Adviescollege Toetsing Regeldruk (ATR) heeft op 13 april 2022 haar advies uitgebracht over het concept-wetsvoorstel. Aan de hand van het door het ATR gehanteerde toetsingskader voor de beoordeling van de regeldruk komt het college tot de volgende bevindingen.

Allereerst merkt het college op dat het geen opmerkingen heeft bij de onderbouwing van nut en noodzaak van de Tijdelijke wet. Wel vraagt het college zich af of de Tijdelijke wet – die na vier jaar vervalt – ook niet wordt ingetrokken als de dreigingen wegvallen of afnemen die een belangrijke aanleiding voor de wet vormen. Naar verwachting is eerder het omgekeerde het geval, namelijk dat de dreigingen waarop dit wetsvoorstel betrekking heeft in de loop van de tijd alleen maar zullen toenemen. Het is dan ook van belang om ook de aangekondigde herziening van de Wiv 2017 ter opvolging van het rapport van de Evaluatiecommissie Wiv 2017 de komende periode met voortvarendheid ter hand te nemen teneinde te komen tot structurele maatregelen om deze en andere dreigingen tegen de nationale veiligheid voor de langere termijn te kunnen adresseren.

Het college geeft aan dat uit de toelichting niet blijkt of er alternatieven zijn overwogen in plaats van een afzonderlijk, op zichzelf staand wetsvoorstel; bijvoorbeeld een aanpassing van de Wiv 2017 in twee fasen. Het college adviseert om toe te lichten welke alternatieven voor deze Tijdelijke wet zijn overwogen en de gemaakte keuze voor een tijdelijke wet nader te onderbouwen. Van meet af aan is ingezet op een afzonderlijk, zelfstandig wetsvoorstel en geen (al dan niet gefaseerde) wijziging van de Wiv 2017. Het gaat er immers om op relatief korte termijn te komen tot een op maat gesneden regeling om de door de diensten ondervonden problemen bij de toepassing van de Wiv 2017 in het cyberdomein te ondervangen. Een wijziging van de Wiv 2017 zou onherroepelijk (bredere) discussies oproepen over de reikwijdte van de regeling (zou die ook voor andere onderzoeken moeten gelden?), de werking van het voorziene stelsel van toets en toezicht en beroep op de Afdeling bestuursrechtspraak en dergelijke. Dat zijn legitieme vraagstukken, echter die moeten in het kader van de herziening van de Wiv 2017 aan de hand van de aanbevelingen van de ECW te worden beantwoord. Een tijdelijke wet als de onderhavige is daar niet het geschikte middel voor.

Waar het gaat om de beoordeling van het aspect werkbaarheid, adviseert het college om te onderzoeken of een onderscheid in de vereiste voorafgaande toestemming vooraf en het toezicht op beide inlichtingendiensten minder belemmeringen en minder regeldruk tot gevolg zou kunnen hebben. Aan dit onderdeel van het advies lijkt de veronderstelling ten grondslag te liggen dat de aard en mate van dreiging en de taak die de AIVD en de MIVD ter zake hebben zodanig verschillend zijn dat dit ook in differentiatie in het toepasselijke stelsel van toets en toezicht zou moeten leiden. Die veronderstelling is onjuist en staat ook haaks op het aan de Wiv 2017 – en ook de Tijdelijke wet ten grondslag liggende uitgangspunt – dat beide diensten weliswaar in verschillende domeinen (civiel dan wel militair) opereren maar voor het overige gelijkwaardig zijn en dat beide diensten niet alleen dezelfde bevoegdheden toekomen maar ook onderworpen zijn aan eenzelfde stelsel van toets en toezicht. Er is geen enkele aanleiding om tot differentiatie daarin te komen, hetgeen alleen maar tot meer complexiteit leidt. Daar komt bij dat de beide diensten in toenemende mate gezamenlijk onderzoeken verrichten en een eenduidig stelsel van toets en toezicht is dan onontbeerlijk.

Tot slot staat het college stil bij de opgenomen regeldrukparagraaf. Dit leidt niet tot nadere opmerkingen. Het college sluit af met het dictum dat het voorstel kan worden ingediend nadat met de adviespunten is rekening gehouden.

7.5 Reactie van de Afdeling bestuursrechtspraak van de Raad van State30

De Afdeling bestuursrechtspraak (hierna: de Afdeling) geeft in haar reactie aan dat het wetsvoorstel zowel principiële als praktische vragen oproept. Zij constateert allereerst dat de keuze voor een procedure bij de (hoogste) algemene bestuursrechter begrijpelijk is. Ten aanzien van de in de Tijdelijke wet geregelde bijzondere procedure voor de behandeling van het beroep van de Minister, wijst de Afdeling erop dat deze procedure enkele bijzondere kenmerken heeft, zoals de behandeling achter gesloten deuren, de verplichting tot geheimhouding voor alle betrokkenen en aanvankelijk ook een niet-openbare uitspraak. Gelet op de aard van de materie en de belangen van de veiligheid van de Staat, heeft de Afdeling begrip voor de keuze voor behandeling achter gesloten deuren en geheimhouding. De niet-openbare uitspraak roept echter principiële vragen op, in het bijzonder de verhouding tot artikel 121 Grondwet. Ook constateert de Afdeling dat de beroepsprocedure weliswaar raakvlakken vertoont met de bestuursrechtelijke procedures waarin de Afdeling bestuursrechtspraak rechtspreekt, maar dat het lijkt te gaan om de uitoefening van een andere, specifieke geschilbeslechtende taak. Het gaat immers om een sui generis voorziening voor een geschil tussen twee overheidsorganen. Burgers hebben, anders dan in reguliere bestuursrechtelijke procedures, geen rol in de procedure. Daarnaast is ook de aard van het geschil bijzonder. Het gaat om een geschil over machtigingen voor en beoordeling van operaties van de veiligheidsdiensten in het kader van de bescherming van de nationale veiligheid en niet om het bieden van rechtsbescherming in een procedure over de rechtmatigheid van een besluit van een bestuursorgaan, zoals in bestuursrechtspraak in klassieke zin.

De Afdeling geeft de regering daarom in overweging in de toelichting alsnog en meer uitgebreid in te gaan op de toepasselijkheid van artikel 121 Grondwet. Verder wordt de regering gevraagd een duidelijke en beredeneerde keuze te maken over de aard van de geschilbeslechting en de wettelijke grondslag van de aan de Afdeling bestuursrechtspraak op te dragen taak en daarop in de toelichting in te gaan.

Vooropgesteld wordt dat in het onderhavige wetsvoorstel sprake is van rechterlijke geschilbeslechting door de Afdeling bestuursrechtspraak in de zin van artikel 30b van de Wet op de Raad van State alhoewel zij geen deel uitmaakt van de rechterlijke macht in de zin van de Grondwet. Daarom moet worden aangenomen dat artikel 121 Grondwet, inclusief de daarin voorziene uitzonderingsmogelijkheden, in algemene zin ook van toepassing is op de Afdeling bestuursrechtspraak. De nieuwe taak van de Afdeling bestuursrechtspraak op grond van dit wetsvoorstel wijkt echter dusdanig af van reguliere (bestuurs)rechtspraak dat daarop artikel 121 Grondwet niet van toepassing is. Zoals de Afdeling bestuursrechtspraak al opmerkt, heeft dit te maken met de partijen in het geding, de afwezigheid van burgers in de procedure en de aard van het geschil. Op grond van het tweede lid van artikel 75 van de Grondwet kunnen bij wet aan de Raad van State of aan een afdeling van de Raad ook andere taken worden opgedragen. Met dit wetsvoorstel wordt een dergelijke andere taak opgedragen aan de Afdeling bestuursrechtspraak. Hoewel de geschillen die aan de Afdeling bestuursrechtspraak zullen worden voorgelegd een staatsgeheim karakter hebben, is voorzien in openbaarmaking van de uitspraak. De gegevens zoals bedoeld in artikel 12, derde lid, Wiv 2017 dienen daarbij echter achterwege te blijven. Op deze manier kan de uitspraak beperkt openbaar gemaakt worden met inachtneming van de noodzakelijke geheimhouding in het belang van de nationale veiligheid.

De Afdeling wijst erop dat de Awb niet van toepassing is op de onderhavige regeling en dat de TIB en de (afdelingen van) de CTIVD niet als bestuursorgaan zijn worden zodat oordelen van deze toezichthouders niet zijn aan te merken als besluiten in de zin van artikel 1:3 van de Awb. De Afdeling verzoekt dit in de toelichting te expliciteren. De redenen waarom de Awb niet van toepassing is en de TIB en CTIVD niet zijn aangemerkt als bestuursorganen is nader toegelicht in paragraaf 4.3.

Ook heeft de Afdeling vastgesteld dat de Tijdelijke wet een procesrechtelijke regeling sui generis kent waarbij de Awb niet van toepassing is. Dit maakt een beknopte op de materie toegesneden regeling mogelijk, maar veel nuttige bepalingen uit de hoofdstukken 6 en 8 van de Awb missen toepassing. De Afdeling verzoekt dit in de toelichting te expliciteren en het wetsvoorstel een grondslag op te nemen voor een door de Afdeling bestuursrechtspraak vast te stellen procesregeling dan wel na te gaan of een deel van de Awb van overeenkomstige toepassing zou moeten worden verklaard. Het van overeenkomstige toepassing verklaren van de Awb, in elk geval op de procedure van beroep en de voorlopige voorziening, heeft evidente voordelen. Vanwege het bijzondere karakter van de procedure, lenen niet alle relevante bepalingen uit de Awb zich hiervoor. Een onderzoek naar de mogelijkheden en onmogelijkheden op dit punt is complex en omvangrijk en gaat het bestek van dit wetsvoorstel te buiten. In de wettekst is wel een grondslag opgenomen voor een door de Afdeling bestuursrechtspraak vast te stellen procesregeling zodat in aanvulling op de wettelijke voorschriften nadere procedurele afspraken en instructies vastgelegd kunnen worden voor zowel de beroepsprocedure als de voorlopige voorziening (artikel 13, lid 22).

Ten aanzien van het ontbreken van schorsende werking van het instellen van beroep merkt de Afdeling het volgende op. Indien de toezichthouders een voor de betrokken Ministers negatief oordeel hebben uitgesproken kan een voorgenomen operatie niet worden uitgevoerd of zal een lopende operatie onmiddellijk moeten worden gestaakt. Omdat in die gevallen naar het oordeel van de Afdeling steeds sprake zal zijn van «onverwijlde spoed» en naar verwachting standaard een voorlopige voorziening zal worden gevraagd, heeft dit tot gevolg dat er standaard naast elkaar twee procedures moeten worden behandeld: het beroep en het verzoek om een voorlopige voorziening waarop binnen zeer korte termijnen moet worden beslist. Dit leidt tot procedurele «drukte» die ten koste zal gaan van de tijd en aandacht benodigd voor de behandeling van het beroep. De Afdeling bestuursrechtspraak geeft daarom in overweging aan het beroep van de Minister schorsende werking toe te kennen. Onderkend wordt dat in vrijwel alle gevallen waarin beroep wordt ingesteld, naar verwachting ook een voorlopige voorziening zal worden verzocht. Om tegemoet te komen aan de vrees dat dit zal leiden tot procedurele «drukte» zijn de termijnen voor het indienen van het beroepschrift, het verweerschrift en het doen van de uitspraak door de Afdeling bestuursrecht verruimd.

De Afdeling constateert dat de Tijdelijke wet niet de mogelijkheid kent van een tussenuitspraak. Dat past niet bij opdracht om binnen twee weken na ontvangst van het verweerschrift uitspraak te doen. De zeer korte termijnen maken het praktisch lastig zo niet (nagenoeg) onmogelijk om nadere informatie in te winnen, getuigen en deskundigen te horen, amici curiae in te schakelen of om prejudiciële vragen te stellen. De Afdeling stelt daarom een regeling voor waarbij de Afdeling binnen een – nader te bepalen – korte termijn oordeelt – bijvoorbeeld in een tussenuitspraak – of een operatie mag starten of doorgaan, maar waarbij het onderzoek wordt heropend en voortgezet om nader onderzoek te verrichten om uiteindelijk richtinggevende uitspraken te kunnen doen. Naar aanleiding van deze reactie is het wetsvoorstel is aangevuld met de mogelijkheid voor de Afdeling om een tussenuitspraak te doen waarbij tevens is voorzien in de mogelijkheid om een voorlopige voorziening te treffen zodat op deze manier voorzien kan worden in de door de Afdeling gewenste procedurele mogelijkheden zoals het horen van deskundigen of het stellen van prejudiciële vragen maar waarbij tevens een operationeel noodzakelijke voorziening kan worden getroffen. Dit is nader toegelicht in paragraaf 4.3

De diensten beschikken over grote technische materiedeskundigheid. Ook de beide toezichthouders hebben technische deskundigheid aan boord. Om de aangevochten oordelen op waarde te kunnen schatten zal ook de Afdeling bestuursrechtspraak de noodzakelijke technische kennis moeten opdoen. De rechter moet echter ook de mogelijkheid hebben om (andere) deskundigen te raadplegen, aldus de Afdeling. Dit is in navolging van het advies van de Afdeling ook mogelijk gemaakt.

Verder valt te voorzien dat de Afdeling behoefte heeft aan technische deskundigheid in de zittingskamer die het beroep behandelt. Dat kan door de benoeming van een staatsraad in buitengewone dienst met de benodigde technische kennis, die onderdeel uitmaakt van een meervoudige kamer. Dergelijke personen zijn (zeer) schaars en het ligt volgens de Afdeling dan ook meer voor de hand om bij wet te regelen dat de Afdeling bestuursrechtspraak een extra lid kan toevoegen aan de behandelend kamer, zoals geregeld in artikel 5 van de Tijdelijke Experimentenwet rechtspleging. De wettekst is aangevuld met een bepaling op grond waarvan de Afdeling deskundigen kan benoemen en met een bepaling waarmee een deskundig lid kan worden toegevoegd aan de meervoudige kamer die het beroep behandelt.

In de procedure voor de Afdeling bestuursrechtspraak wordt het belang van de burger en diens privacy indirect vertegenwoordigd, maar niet rechtstreeks. De burger is geen procespartij en kan dat ook niet zijn. De Afdeling geeft daarom in overweging in het kader van (de evaluatie van) de Tijdelijke wet te bezien, bijvoorbeeld door middel van rechtsvergelijking met Angelsaksische landen, welke mogelijkheden er zijn om de privacybelangen van burgers te betrekken in de procedure bij de Afdeling bestuursrechtspraak. Onderkend wordt dat een amicus curiae zowel kan bijdragen aan de kwaliteit van het proces van rechtsvorming als aan de legitimiteit van een rechterlijke uitspraak door participatie, representatie en transparantie. Een amicus curiae is een andere dan de bij een rechtszaak betrokken partijen die de gelegenheid krijgt om inbreng te leveren en mee te denken waardoor zij een bijdrage kunnen leveren aan de rechtsontwikkeling. Hierdoor krijgt de rechter een beter en breder zicht op de mogelijke (maatschappelijke) gevolgen van een te nemen beslissing. In lijn met de suggestie van de Afdeling, zullen de mogelijkheden om de privacybelangen van burgers te betrekken bij de procedure, bijvoorbeeld door een amicus curiae, onderzocht worden bij de voorgenomen herziening van de Wiv 2017.

In artikel 14, dertiende lid, (thans 13, dertiende lid) is opgenomen dat de Afdeling bij gegrondverklaring van het beroep tevens de gevolgen bepaalt die daaraan moeten worden verbonden. De Afdeling geeft in overweging uit het oogpunt van rechtszekerheid deze mogelijkheden in de wettekst zelf op te nemen. De wettekst is op dit punt aangepast.

Evaluatie van de Tijdelijke wet na één of twee jaar is volgens de Afdeling noodzakelijk om te bezien of de procedure tot tevredenheid functioneert, of de termijnbepalingen realistisch zijn, en of behoefte bestaat aan andere onderzoeksinstrumenten. De evaluatie kan ook worden gebruikt om (rechtsvergelijkend) onderzoek te doen naar een mogelijke vorm van openbaarheid van de uitspraken van de rechter en naar versterking van de positie van de burger in de procedure. In het wetsvoorstel wordt voorzien in openbaarheid van de uitspraak. Bij de voorgenomen herziening van de Wiv 2017 zullen de opgedane ervaringen met de maatregelen in de Tijdelijke wet een belangrijke rol spelen, zowel met betrekking tot hetgeen voor de bijzondere bevoegdheden is geregeld, als het stelsel van toets en toezicht en de regeling voor beroep en de voorlopige voorziening. De ervaringen zullen bezien worden in het licht van de aanbevelingen die de ECW reeds heeft gedaan, maar ook nieuwe inzichten, opgedaan na het verschijnen van het rapport van de ECW, zullen hierbij een rol moeten en kunnen spelen.

Personele en ICT gevolgen

De Afdeling geeft aan dat personele gevolgen op dit moment moeilijk ingeschat kunnen worden, maar dat er zeker impact zal zijn van de beroepsmogelijkheid in personele, organisatorische en financiële zin. Daarbij gaat de Afdeling bestuursrechtspraak er van uit dat de betrokken ministeries de hiermee gemoeide kosten zullen vergoeden. De Afdeling heeft voorts aangegeven dat alle noodzakelijke aanpassingen (ook inhoudelijk, beveiliging en IT) eerst moeten worden gerealiseerd voordat de eerste beroepen kunnen worden behandeld. Hiermee dient rekening te worden gehouden bij de inwerkingtreding. Met de Afdeling zal in overleg worden getreden over de bij de Afdeling te treffen voorzieningen.

7.6 Overige reacties (burgers en NGO’s)

Zoals hiervoor aangeven zijn in het kader van de consultatieronde meer dan 170 reacties ontvangen. Naast de reacties van een aantal burgers, zijn reacties ontvangen van diverse organisaties en bedrijven. Het gaat daarbij onder meer om het College voor de Rechten van de Mens (CRvdM), Bits of Freedom (BoF), de Nederlandse Vereniging van Journalisten (NVJ), Free Press Unlimited, Privacy First en KPN31. De kernpunten van zorg in de betreffende reacties zijn de reikwijdte van de Tijdelijke wet, toezicht en technische risico’s. Deze zorgen komen voor een groot deel overeen met verwante kritiek uit andere ontvangen reacties en worden in het onderstaande meegenomen. Het gaat dan in het bijzonder om (1) de begrenzing van de reikwijdte van het wetsvoorstel, (2) het voorziene toetsing- en toezichtstelsel, waarbij met name ook aandacht is gevraagd voor de verplaatsing van bevoegdheden van de TIB naar de CTIVID, (3) strategische operaties, (4) de technische risico’s van hackoperaties en (5) de voorgestelde beroepsprocedure bij de Raad van State. Gelet op de hoeveelheid aan reacties en de inhoudelijke overeenkomsten is ervoor gekozen om deze geparafraseerd en gezamenlijk te weergeven.

Reikwijdte wetsvoorstel

Het conceptwetsvoorstel stuitte bij diverse respondenten (onder meer BoF, NVJ, Privacy First, het CvdRM en een tweetal wetenschappers) op zorgen over de reikwijdte daarvan. Grotendeels richten die zorgen zich op de begrenzing van de reikwijdte. In algemene zin is de reikwijdte van deze Tijdelijke wet beperkt tot onderzoeken van de diensten naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Dat betekent dat het onderwerp van onderzoek bepaalt of de inzet van een bevoegdheid kan plaatsvinden onder deze wet. De reikwijdte is in reactie op deze zorgen nader verduidelijkt en aangescherpt. Zo is nu aanvullend opgenomen dat de GA bepaalt dat de diensten onderzoek moeten doen naar cyberdreigingen en cyberaanvallen, enkel vanwege het feit dat deze op Nederland of Nederlandse belangen zijn gericht en dat het vermoeden bestaat dat deze te attribueren is aan een statelijke actor.

Verplaatsing toezicht

In diverse reacties worden vragen gesteld over het stelsel van toezicht dat het dat in de Tijdelijke wet besloten ligt. Zo zijn er zorgen dat het toezicht van karakter verandert en (het risico van) «afschaling» met zich brengt (BoF en Privacy First). Daarbij wordt als verschil genoemd dat het TIB, onder de Wiv 2017, elke toestemming van de betrokken Minister voor de uitoefening van een bijzondere bevoegdheid toetst en de CTIVID, onder de Tijdelijke wet, niet alle operaties zal kunnen volgen. Erkend wordt dat het stelsel van toezicht, voor zover van toepassing op onderzoeken naar landen met een offensief cyberprogramma, van karakter verandert met Tijdelijke wet. Die verandering sluit beter aan de dynamische praktijk van het onderzoek van de diensten naar landen met een offensief cyberprogramma. Bij alle voorgestelde maatregelen geldt dat de thans geldende waarborgen voor de toepassing daarvan in totaliteit bezien dienen te worden gehandhaafd, maar dat er een betere aansluiting van de aard van het toezicht (ex ante of ex durante) bij de fase waarin de (voorgenomen) uitvoering van een bijzondere bevoegdheid zich bevindt wordt bewerkstelligd, met als resultaat dat deze meer dan nu recht doet aan de dynamische praktijk van het cyberdomein. Dit geheel moet ertoe leiden dat de AIVD en de MIVD op een effectieve wijze hun wettelijke taakopdracht met betrekking tot de dreigingen in het cyberdomein kunnen uitvoeren.

Evenals de TIB en CTIVD vragen BoF en CRvdM aandacht voor de regeling die in artikel 12 (thans artikel 11) van het wetsvoorstel is opgenomen met betrekking tot de informatie-uitwisseling tussen de TIB en de afdeling toezicht. De meldingsplicht aan de hoofden van de diensten, zoals opgenomen in artikel 12, tweede lid, (thans artikel 11) acht zij principieel onjuist. Gesteld wordt dat ervan uit dient te worden gegaan dat de TIB en de afdeling toezicht prudent wordt omgegaan met de geheimhoudingsbepalingen en slechts die gegevens zullen worden uitgewisseld voor zover dat noodzakelijk is voor de taakuitvoering op grond van deze wet. Het ging er bij de voorgestelde regeling niet om dat er twijfel zou zijn aan een prudente omgang van beide instanties met hun geheimhoudingsverplichtingen, maar om het feit dat de hoofden van de diensten de zorgplicht die de Wiv 2017 aan hen oplegt met betrekking tot onder meer menselijke bronnen kunnen nakomen. De meldplicht is komen te vervallen. Wel is bepaald dat beide instanties geen inlichtingen met betrekking tot informanten en agenten mogen uitwisselen. Daarmee wordt recht gedaan aan de zorgplicht van de diensthoofden ter zake. Indien de TIB bij haar besluitvorming van oordeel is dat het wenselijk is om de CTIVD op bepaalde punten te wijzen, dan neemt zij dit op in haar rechtmatigheidsoordeel. Indien de CTIVD naar aanleiding van haar toezichtstaak onder deze Tijdelijke Wet tot het oordeel komt dat het wenselijk is de TIB te wijzen op punten, dan wordt dit aan tevens aan de diensten medegedeeld.

Strategische operaties

De strategische inzet van bevoegdheden is onder de Wiv 2017 al mogelijk. Desalniettemin bestond er in de praktijk behoefte om duidelijkheid te verschaffen over deze werkwijze. BoF en enkele indieners op persoonlijke titelgeven aan dat naar hun opvatting de memorie van toelichting onvoldoende duidelijk maakt waar strategische operaties op zien. Ook de TIB wees hier op. De toelichting is hierop aangevuld.

Technische risico’s hackoperaties

In diverse reacties, waaronder die van het CvdRM, zijn de voorgestelde wijzigingen voor de omgang met technische risico’s en onbekende kwetsbaarheden, zoals die in het in consultatie gegeven wetsvoorstel was opgenomen, bekritiseerd. Ook de TIB wees erop dat het wetsvoorstel onvoldoende duidelijk maakte wat wel en wat niet door de TIB mag worden gevraagd bij een toets van de verleende toestemming voor een hackoperatie en wat zij vervolgens moet beoordelen. Het CvdRM adviseert daarbij om de beschrijving van de technische risico’s toestemmingsplichtig te maken. Daarvoor is niet gekozen. Wel is verduidelijkt wat wel en niet tot aanvraag toestemming behoort. De TIB kan in het kader van haar proportionaliteitstoets de op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties zal deze toets een hoger abstractieniveau hebben. De CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid en dus ook op de wijze waarop bekende en nieuwe technische risico’s zich tijdens de uitvoering concreet voordoen. Aangezien dit een verschuiving van toetsing vooraf naar toezicht tijdens de uitvoering is, zal dit toezicht van de CTIVD bindend zijn.

Beroepsprocedure Raad van State en Tijdelijke Wet

In de Tijdelijke wet wordt tegen oordelen van de TIB en de CTIVD beroep opengesteld bij de Afdeling bestuursrechtspraak. Het CvdRM is bezorgd of een tijdelijke wet, waarvoor naar alle waarschijnlijkheid een spoedbehandeling bij het parlement gevraagd gaat worden, een passend middel is om zulke fundamentele wijzigingen door de voeren. De zorg is dat later bij de behandeling van het wetsvoorstel dat strekt ter opvolging van het advies van de ECW, het parlement geconfronteerd wordt met een fait accompli dat in de weg komt te staan aan een fundamentele discussie in het kader van de herziening van de Wiv 2017 over de inrichting van het toezichtstelsel. Ter opvolging van de aanbevelingen van de Evaluatiecommissie Wiv 2017 (ECW) zal, na het uitbrengen van een hoofdlijnennotitie waarbij ingegaan wordt op de door de ECW gedane aanbevelingen, een traject tot herziening van de Wiv 2017 worden gestart, waarvan het de verwachting is dat dit traject binnen de werkingsduur van de Tijdelijke wet kan worden afgerond. Hoewel de introductie van beroep in de Tijdelijke wet thans noodzakelijk wordt geacht, staat dit geenszins in de weg aan een inhoudelijke discussie met het parlement over de inrichting van het stelsel van toetsing en toezicht, zodra een voorstel tot wijziging van de Wiv 2017 is ingediend.

8. Overgangsrecht

In artikel 16 van het wetsvoorstel is voorzien in een overgangsrechtelijke regeling met als strekking dat op de bij de TIB voor toetsing aanhangige toestemmingen op het moment van inwerkingtreding van de wet de in het onderhavige wetsvoorstel opgenomen regeling niet van toepassing is.

II. Artikelsgewijze toelichting

In het algemeen deel van de memorie van toelichting is reeds bij de bespreking van de verschillende onderwerpen reeds uitvoerig ingegaan op de inhoud van de meeste artikelen, zodat daarnaar wordt verwezen.

Artikel 2

In artikel 2, derde lid, is bepaald dat de diensten in verzoeken om toestemming voor de inzet van een bijzondere bevoegdheid in aanvulling op het bepaalde in artikel 29, tweede lid, Wiv 2017 dienen aan te geven of daarbij uitvoering wordt gegeven aan het bepaalde in onderhavig wetsvoorstel. Op deze wijze is kenbaar voor zowel de TIB als de CTIVD dat in het kader van de toets en het toezicht het bepaalde in dit wetsvoorstel in acht genomen dient te worden. De toepasselijkheid van de Tijdelijke wet in concrete onderzoeken en wel bij de (voorgenomen) toepassing van bijzondere bevoegdheden, zal voor zover het gaat om bijzondere bevoegdheden als bedoeld in paragraaf 3.2.5 van de Wiv 2017 in de aanvraag voor toestemming voor de inzet van die bevoegdheid moeten worden aangegeven (artikel 2, derde lid). Het wetsvoorstel kent hierop slechts een enkele uitzondering, namelijk waar het gaat om de als afzonderlijk opgenomen bevoegdheid tot verkennen als bedoeld in artikel 7 van het wetsvoorstel, met het oog op de toepassing van artikel 48 Wiv 2017. Deze bevoegdheid kan immers slechts in het kader van de hier bedoelde onderzoeken worden ingezet.

Artikel 3

In artikel 3, eerste lid, wordt aan de TIB de bevoegdheid toegekend indien zij van oordeel is dat met betrekking tot een aan haar voorgelegde toestemming ten onrechte wordt gesteld dat daarmee uitvoering wordt gegeven aan het bepaalde in de Tijdelijke wet, zij de Minister hiervan terstond op de hoogte stelt. Dit is een oordeel dat buiten het reguliere toetsingskader van de TIB valt. Deze bevoegdheid is aan de TIB toegekend, omdat toepassing van de Tijdelijke wet haar bevoegdheid op onderdelen rechtstreeks raakt. Tegen het oordeel van de TIB staat beroep open bij de Afdeling bestuursrechtspraak. De TIB toetst vervolgens de voorgelegde toestemming, waarbij ze het bepaalde in de Tijdelijke wet buiten toepassing laat.

Artikel 4

Artikel 45, eerste lid, van de Wiv 2017 regelt zowel de bevoegdheid tot het verkennen (onderdeel a) en het binnendringen een geautomatiseerd werk (onderdeel b). Op grond van artikel 45, derde lid, mag de in het eerste lid bedoelde bevoegdheid slechts worden uitgeoefend indien de voor de desbetreffende dienst verantwoordelijke Minister op een daartoe strekkend verzoek van het hoofd van de dienst toestemming heeft verleend. De verleende toestemming is vervolgens onderwerpen aan een toets op rechtmatigheid door de TIB. In het voorgestelde artikel 4 wordt waar het gaat om de uitoefening van de bijzondere bevoegdheid tot verkennen van een geautomatiseerd werk in afwijking van het bepaalde in artikel 45, derde lid, Wiv 2017 de toestemmingsbevoegdheid exclusief belegd bij het hoofd van de dienst. In het verlengde daarvan is ook de toets op rechtmatigheid door de TIB op een verleende toestemming geschrapt. Van een door het hoofd van de dienst verleende toestemming tot verkenning wordt terstond mededeling gedaan aan de afdeling toezicht van de CTIVD (artikel 4, tweede lid) die daarop vervolgens – de in het wetsvoorstel geïntroduceerde bevoegdheid tot – bindend toezicht kan uitoefenen.

Artikel 6

Voor de uitvoering van de bevoegdheid tot verkennen is de medewerking van aanbieders van communicatiediensten vereist. Artikel 6, vijfde lid, voorziet daarin. Dat ziet allereerst op de verstrekking van gegevens die noodzakelijk zijn om uitvoering te kunnen geven aan de bevoegdheid; daartoe wordt artikel 52 van de Wiv 2017 van overeenkomstige toepassing verklaard. Daarnaast is medewerking vereist bij de uitvoering van de bevoegdheid; daartoe wordt artikel 53 van de Wiv 2017 van overeenkomstige toepassing verklaard. Een separate toestemming van de Minister voor de uitoefening van de bevoegdheid als bedoeld in artikel 53, tweede lid, Wiv 2017 blijft vereist.

Artikel 6, zesde lid, van het wetsvoorstel regelt de volgende aspecten. Gegevens die worden verkregen bij het uitoefenen van de bevoegdheid tot verkennen zijn enkel toegankelijk voor daartoe aangewezen functionarissen binnen de diensten. Zij hebben uitsluitend toegang tot deze gegevens om te onderzoeken op welke gegevensstromen een verzoek als bedoeld in artikel 48, eerste lid, Wiv 2017 betrekking dient te hebben. Hiervan zal aantekening worden gehouden. Afhankelijk van de specifieke situatie zijn deze gegevens voor kortere of langere tijd bruikbaar voor het doel waarvoor ze zijn verworven. Een bovengrens voor deze bruikbaarheid blijkt uit de praktijk zes maanden te zijn. Deze gegevens mogen dan ook ten hoogste voor zes maanden worden bewaard en dienen dan, voor zover deze niet hebben bijgedragen aan het doel van de verwerking, te worden vernietigd. Met deze bijdrage wordt bedoeld dat deze gegevens in de uiteindelijke toestemmingsaanvraag voor OOG-interceptie worden gebruikt bij de indicatie van de te verwerven gegevensstromen.

In het zevende lid wordt de bevoegdheid tot verkennen ten behoeve van OOG-interceptie, zoals die is neergelegd in artikel 6, eerste lid, voor de toepassing van de Wiv 2017 aangemerkt als een bijzondere bevoegdheid. In paragraaf 5 van het algemeen deel van deze memorie van toelichting is opgenomen dat artikel 6, eerste lid een zelfstandige juridische grondslag betreft, die op een vergelijkbare manier is geregeld als andere (vergelijkbare) bijzondere bevoegdheden in de Wiv 2017. Zo is voorzien in toestemming van de Minister en een bindende toets van de TIB ter zake, en zal aan de algemene eisen voor de (verdere) verwerking van gegevens – zoals de toets aan noodzakelijkheid, subsidiariteit en proportionaliteit – moeten worden voldaan. Met het voorgestelde artikellid wordt beoogd het voorgaande te expliciteren in de wettekst en aan te sluiten bij de reeds bestaande systematiek van de Wiv 2017. Met de term onverminderd wordt aangegeven dat daarbij wel in ogenschouw moeten worden genomen dat artikel 26, vijfde lid, van de Wiv 2017 buiten toepassing blijft, dat de gegevens niet voor het inlichtingenproces mogen worden gebruikt en een beperkte kring van personen van de geïntercepteerde gegevens kennis mogen nemen. Het voorgestelde artikel 6 geldt op die onderdelen dus in afwijking van de Wiv 2017.

Artikel 7

In artikel 7 van het wetsvoorstel worden twee aspecten verduidelijkt die de eisen invullen inzake gerichtheid en proportionaliteit, zoals neergelegd in artikel 26, tweede en vijfde lid, van de Wiv 2017, bij de aanvraag van toestemming voor OOG-interceptie ex artikel 48, eerste lid, Wiv 2017. De bij de uitoefening van die bevoegdheid verworven gegevens mogen, in tegenstelling tot de gegevens die in het kader van de in artikel 6 van het wetsvoorstel geregelde bevoegdheid tot verkenning, welke strekt tot het vaststellen op welke gegevensstromen een verzoek om toestemming tot uitoefening van de bijzondere bevoegdheid ex artikel 48 betrekking dient te hebben, wel worden gebruikt in het inlichtingenproces.

Artikel 8

Artikel 50, vierde lid, van de Wiv 2017 geeft een specifieke regeling voor geautomatiseerde data-analyse ten aanzien van de ingevolge artikel 48 Wiv 2017 verzamelde gegevens anders dan die welke de inhoud van de desbetreffende telecommunicatie betreft voor zover de uitoefening van die bevoegdheid is gericht op het identificeren van personen of organisaties. Ook wel: GDA op OOG-metadata. Voor deze specifieke vorm van GDA eist artikel 50, vierde lid, toestemming van de voor de dienst verantwoordelijke Minister en stelt voorts in aanvulling op het bepaalde in artikel 29, tweede lid, Wiv 2017 enkele aanvullende eisen met betrekking tot de inhoud van het verzoek om toestemming. Een door de Minister verleende toestemming dient op grond van artikel 36, eerste lid, Wiv 2017 voor een rechtmatigheidstoets te worden voorgelegd aan de TIB; de uitoefening van de bevoegdheid mag vervolgens pas plaatsvinden indien de TIB de toestemming rechtmatig verleend acht. In artikel 8 wordt – om redenen uiteengezet in paragraaf 3.3.4 in het algemeen deel van deze toelichting – de verplichting om de ministeriële toestemming voor een rechtmatigheidstoets aan de TIB voor te leggen geschrapt. In plaats van de bindende toets ex ante door de TIB wordt in artikel 12 van het wetsvoorstel bindend toezicht (ex durante) op de uitvoering van de desbetreffende bevoegdheid geïntroduceerd.

Artikel 11

Met het oog op een goede uitvoering van de aan hen opgedragen taak in het kader van de toepassing van de Tijdelijke wet is het noodzakelijk dat de TIB en de afdeling toezicht inlichtingen kunnen verstrekken daar waar de taak van de TIB (ex ante toets in de autorisatiefase, noodzakelijk voor het kunnen inzetten van een bevoegdheid) raakt aan die van de afdeling toezicht van de CTIVD (ex durante, te weten bij de uitvoering van de bevoegdheid) en vice versa. Het gaat dan om inlichtingen betreffende bevindingen die de toetsingscommissie onderscheidenlijk de afdeling toezicht bij de uitvoering van hun taak in het kader van deze wet hebben opgedaan en die voor de taakuitvoering van de ander van belang kan zijn. Nu de Wiv 2017 een gesloten stelsel van gegevensverstrekking kent, ook waar het gaat om verstrekking door de TIB aan de afdeling toezicht en vice versa, dient daarvoor een wettelijke grondslag te worden gecreëerd. Artikel 11 voorziet daarin. Indien de TIB bij haar besluitvorming van oordeel is dat het wenselijk is om de CTIVD op bepaalde punten te wijzen, dan neemt zij dit op in haar rechtmatigheidsoordeel. Indien de CTIVD naar aanleiding van haar toezichtstaak onder deze Tijdelijke Wet tot het oordeel komt dat het wenselijk is de TIB te wijzen op punten, dan wordt dit aan tevens aan de diensten medegedeeld.

Een voorbeeld van toepassing van de bevoegdheid tot het verstrekken van inlichtingen betreft de situatie, waarbij het noodzakelijk wordt geacht om een nadere toelichting op de door de TIB aangegeven aandachtspunten te geven in het kader van de mededelingen die de TIB op grond van artikel 3, tweede en derde lid, alsmede artikel 6, derde lid, aan de afdeling toezicht van de CTIVD heeft gedaan inzake door haar uitgesproken rechtmatigheidsoordelen. Dat kan bijdragen aan een effectievere uitvoering van de aan de afdeling toezicht opgedragen taak.

Een ander voorbeeld betreft de situatie, waarbij de TIB en de afdeling toezicht van de CTIVD in het kader van een aan de TIB voorgelegde toestemming, inhoudende een verlenging van de bijzondere bevoegdheid als bedoeld in de artikelen 45, eerste lid, onderdeel b, 47, of 54 van de Wiv 2017, inlichtingen van de afdeling toezicht wenst te ontvangen voor zover de toestemming tevens betrekking heeft op situaties waarbij eerder toepassing is gegeven aan de in artikelen 5, tweede lid, 9, eerste lid, en 10, eerste lid, bedoelde bevoegdheid en de desbetreffende gegevens noodzakelijk zijn voor een effectieve uitvoering van de aan de TIB opgedragen taak. Het gaat dan om situaties die vanwege het feit dat het bijschrijvingen betreft op eerder door de TIB beoordeelde en rechtmatig geachte toestemmingen van de Minister voor de toepassing van de desbetreffende bevoegdheden en die bijschrijvingen deel uit kunnen maken van een voor goedkeuring voorgelegde toestemming tot verlenging van de desbetreffende bevoegdheid, de noodzaak bij de TIB aanwezig wordt geacht om ter zake van de afdeling toezicht nadere inlichtingen over de bijschrijvingen verstrekt te krijgen. Immers de bijschrijvingen hebben plaatsgevonden tijdens de uitvoering van de desbetreffende bevoegdheid waarop – mede door de voorgeschreven mededeling – de afdeling toezicht van de CTIVD actief toezicht heeft kunnen houden. Met name in de gevallen dat een bijschrijving die eerder door de afdeling toezicht onrechtmatig is gevonden, maar wel is opgenomen in een verleende toestemming tot verlenging van de inzet van de bevoegdheid, kan het voor de TIB relevant zijn om van de overwegingen van de afdeling toezicht ter zake kennis te kunnen nemen. Dat laat onverlet dat de TIB vervolgens een onafhankelijk rechtmatigheidsoordeel over de voorgelegde toestemming tot verlenging dient te geven.

In artikel 23 van de Wiv 2017 is aan de hoofden van de diensten onder meer de wettelijke plicht opgedragen om zorg te dragen voor de geheimhouding van daarvoor in aanmerking komende bronnen waaruit gegevens afkomstig zijn alsmede de veiligheid van de personen met wier medewerking gegevens worden verzameld. Waar het gaat om menselijke bronnen (informanten en agenten) die door de diensten worden ingezet legt dit een bijzondere verantwoordelijkheid op de hoofden van de diensten en het kunnen borgen van de geheimhouding van daarop betrekking hebbende gegevens is van essentieel belang voor de tussen een dienst en een menselijke bron bestaande vertrouwensrelatie. Vandaar dat de verstrekking van dit soort informatie nadrukkelijk is uitgezonderd van de in artikel 11, eerste lid, geregelde bevoegdheid.

Tot slot is het wenselijk dat omtrent de toepassing van de in artikel 11 opgenomen regeling door de TIB en de afdeling toezicht voldoende transparantie wordt betracht teneinde te voorkomen dat er discussie ontstaat omtrent de onafhankelijkheid van beide instanties in hun oordeelsvorming. Voorgesteld wordt om dat in het jaarlijks uit te brengen verslag van werkzaamheden te doen opnemen.

Artikel 12

In artikel 12, eerste lid, wordt limitatief opgesomd welke in het wetsvoorstel geregelde bevoegdheden van de diensten bij de uitvoering van de in artikel 2, eerste lid, genoemde taak, onder de in artikel 12 geregelde bevoegdheid van de afdeling toezicht van de CTIVD tot het houden van bindend toezicht vallen. Deze ziet uitsluitend op de toepassing van (1) artikel 45, eerste lid, onder a, van de Wiv 2017, juncto artikel 4, inzake de bevoegdheid tot verkennen van geautomatiseerde werken, (2) artikel 45, eerste lid, onder b, van de Wiv 2017, juncto artikel 5, eerste lid, inzake de bevoegdheid tot hacken voor zover het de daaraan verbonden technische risico’s betreft, (3) artikel 5, tweede lid, inzake de bijschrijfmogelijkheid in het kader van hacken, (4) artikel 50, vierde lid, van de Wiv 2017, juncto artikel 8, inzake GDA op OOG, (5) artikel 9, inzake de bijschrijfmogelijkheid in het kader van de toepassing van artikel 47 Wiv 2017 (gerichte interceptie) of (6) artikel 10 inzake de bijschrijfmogelijkheid in het kader van de toepassing van artikel 54 Wiv 2017 (het opvragen van gegevens bij aanbieders van telecommunicatie- en opslagdiensten).

Indien de afdeling toezicht bij het toezicht op de desbetreffende bepalingen tegen een onrechtmatigheid aanloopt, kan zij daarvan in de vorm van een voorlopig oordeel mededeling doen aan de verantwoordelijke Minister. Het is een discretionaire bevoegdheid van de afdeling toezicht; dus geen verplichting. In de praktijk zal naar verwachting pas tot zo’n mededeling worden gekomen indien niet in de reguliere contacten tussen de toezichthouder en de diensten een geconstateerde onrechtmatigheid kan worden weggenomen.

Bij het voorlopige oordeel kan de afdeling toezicht – indien zij daartoe aanleiding ziet – ook aangeven welke gevolgen zij daaraan verbindt. Dat kan uitsluitend betrekking hebben op (1) beëindiging van de desbetreffende bevoegdheid en/of (2) de verwijdering en vernietiging van de bij de uitvoering van de desbetreffende bevoegdheid verwerkte gegevens (artikel 12, tweede lid). Het eerste gevolg is helder: voor zover dat ziet op de uitoefening van de hackbevoegdheid, betekent dit dat die dan gestopt moet worden. Bij de verwijdering en vernietiging van gegevens ligt dit wellicht minder eenduidig. Ingeval van GDA op OOG-metadata betekent dit in ieder geval niet, dat de in GDA betrokken gegevens dienen te worden verwijderd en vernietigd, maar uitsluitend de uit de toegepaste GDA-methodiek voortvloeiende gegevens (de resultaten). Dit brengt met zich mee dat de verplichte verslaglegging inzake de uitoefening van bijzondere bevoegdheden door de diensten (artikel 31 Wiv 2017) al dan niet in combinatie met voorzieningen in het toegepaste informatiesysteem, zodanig dient te zijn dat ingeval aan een bindend oordeel (en daarmee ook bindend) als gevolg de vernietiging van gegevens wordt verbonden, daaraan ook effectief uitvoering kan worden gegeven.

Nadat het voorlopig oordeel door de afdeling toezicht aan de Minister is medegedeeld, krijgt de Minister een termijn van drie dagen (na ontvangst) om op het voorlopig oordeel en de eventueel daaraan te verbinden gevolgen te reageren (artikel 12, derde lid). Een termijn van drie dagen achten we voldoende lang voor een reactie en ook niet te lang, nu immers een onrechtmatige geachte uitvoering wel zo spoedig mogelijk dient te worden beëindigd.

Zodra de afdeling toezicht de reactie van de Minister heeft ontvangen of de termijn van drie dagen is verstreken en er is geen reactie ontvangen, dan kan zij overgaan tot het vaststellen van het oordeel (artikel 12, vierde lid). Bij de definitieve oordeelsvorming dient de reactie uiteraard betrokken te worden. Er is geen termijn vastgesteld om tot een vaststelling te komen; dat is ter discretie aan de afdeling toezicht. Dat laat ook ruimte om naar aanleiding van de reactie waar nodig bijvoorbeeld nadere toelichting te vragen of in overleg te treden om te bezien of de geconstateerde onrechtmatigheid op een andere wijze ongedaan kan worden gemaakt. Is men tot vaststelling van een oordeel en de daaraan te verbinden gevolgen gekomen dan dient het oordeel met redenen omkleed schriftelijk aan de Minister te worden medegedeeld.

Na ontvangst van het oordeel begint voor de Minister de termijn van twee weken te lopen om tegen het oordeel beroep in te stellen bij de Afdeling bestuursrechtspraak van de Raad van State. Voor dat beroep geeft artikel 13 een regeling. Tevens is in artikel 14 voorzien in de mogelijkheid om een voorlopige voorziening aan te vragen. Deze voorziening is noodzakelijk om te voorkomen dat lopende onderzoeken van de dienst naar landen met een offensief cyberprogramma nadelige gevolgen ondervinden, bijvoorbeeld omdat de bevoegdheidsuitoefening naar het oordeel van de afdeling toezicht van de CTIVD dient te worden beëindigd waardoor het zicht op het target verloren gaat; met name bij onderzoek in cyberdomein is die kans groot.

Indien de Minister het vastgestelde oordeel alsmede de daaraan door de afdeling toezicht verbonden gevolgen onderschrijft, dan dient de Minister daaraan binnen drie dagen uitvoering te geven (artikel 12, vijfde lid). Indien de Minister het niet eens is met het vastgestelde oordeel en/of de daaraan verbonden gevolgen, dan kan op grond van artikel 13 beroep bij de Afdeling bestuursrechtspraak worden ingesteld.

Tot slot is bepaald dat van een oordeel van de afdeling toezicht terstond mededeling wordt gedaan aan de beide kamers der Staten-Generaal (artikel 12, zesde lid). Daarbij is artikel 12, derde en vierde lid, Wiv 2017 van overeenkomstige toepassing. Nu het hier om oordelen gaat die betrekking hebben op lopende onderzoeken van de diensten en de toepassing van bepaalde bijzondere bevoegdheden daarin, zal in zijn algemeenheid sprake zijn van een of meer van de in artikel 12, derde lid, Wiv 2017 aangeduide categorieën van gegevens, die ingevolge artikel 12, vierde lid, van die wet, door de Minister slechts vertrouwelijk kunnen worden verstrekt. In de praktijk betekent dat, dat de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van de Tweede Kamer wordt geïnformeerd.

Artikel 15

In artikel 145 van de Wiv 2017 wordt de toepasselijkheid van de Algemene wet bestuursrecht dan wel het van toepassing zijnde bestuursrecht in de openbare lichamen Bonaire, Sint Eustatius en Saba buiten toepassing verklaard waar het gaat om de voorbereiding, totstandkoming en tenuitvoerlegging van – kort gezegd – de operationele besluiten, zoals bijvoorbeeld inzake de toepassing van bijzondere bevoegdheden, die door de diensten in het kader van de uitvoering van de aan hen opgedragen taken worden genomen. Aangezien onderhavig wetsvoorstel een regeling geeft die deels in aanvulling op en deels in afwijking van de Wiv 2017 een specifieke voorziening treft voor de inzet van bepaalde bijzondere bevoegdheden door de diensten in onderzoeken naar landen met een offensief cyberprogramma, dient artikel 145 Wiv 2017 ook van overeenkomstige toepassing te worden verklaard op besluiten die op grond van dit wetsvoorstel worden genomen.

Artikel 16

Artikel 16 geeft een overgangsrechtelijke regeling voor door de Minister verleende toestemmingen die op het moment van inwerkingtreding van de wet reeds voor een rechtmatigheidstoets aan de TIB zijn voorgelegd. Op deze toestemmingen is hetgeen in dit wetsvoorstel is geregeld niet van toepassing. Dat betekent dus onder meer dat waar dit wetsvoorstel erin voorziet dat een toestemming voor een bepaalde bijzondere bevoegdheid

niet meer aan de TIB voor een rechtmatigheidstoets moet worden voorgelegd, dat voor bij de TIB aanhangige toetszaken die op vergelijkbare toestemmingen betrekking hebben de in het wetsvoorstel geregelde uitzondering niet geldt.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.G.J. Bruins Slot

De Minister van Defensie, K.H. Ollongren


X Noot
1

Jaarverslag Algemene Inlichtingen en Veiligheidsdienst 2020, Hoofdstuk 2 Internationale dreigingen en politieke veiligheidsbelangen, pagina 8–10, Jaarverslag Militaire Inlichtingen en Veiligheidsdienst 2020, Hoofdstuk 1 Inlichtingen en Veiligheid voor Nederland, pagina 7–11 en Cybersecuritybeeld Nederland 2021.

X Noot
2

Artikel 8, tweede lid, aanhef en onder a, Wiv 2017 luidt als volgt: De Algemene Inlichtingen- en Veiligheidsdienst heeft in het belang van de nationale veiligheid tot taak (a) het verrichten van onderzoek met betrekking tot organisaties en personen die door de doelen die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstig vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat.

X Noot
3

Vgl. onder meer CTIVD-rapport nr. 46 (AIVD) en nr. 47 (MIVD).

X Noot
4

Onder gegevensverwerking of verwerking van gegevens wordt op grond van artikel, aanhef en onder f verstaan: elke handeling of elk geheel van handelingen met betrekking tot gegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

X Noot
5

Onder een bulkdataset wordt verstaan: een omvangrijke gegevensverzameling waarvan het merendeel van de gegevens betrekking heeft op organisaties of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

X Noot
6

In hoofdstuk 1 van deze toelichting zijn enkele voorbeelden daarvan gegeven.

X Noot
7

De specifieke onderzoeken, dus ook die welke plaatsvinden naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, zijn nader uitgewerkt in de als staatsgeheim gerubriceerde bijlage bij de GA. De inhoud daarvan is bekend bij zowel de TIB als de afdeling toezicht van de CTIVD in verband met de uitvoering van hun taken. Ook de Commissie voor de Inlichtingen- en Veiligheidsdiensten van de Tweede Kamer wordt vertrouwelijk op de hoogte gesteld van de inhoud van de GA, inclusief bijlage.

X Noot
8

Evaluatie 2020 Wet op de Inlichtingen- en Veiligheidsdiensten 2017, p. 91.

X Noot
9

Toezichtsrapport nr. 53 van de CTIVD: «Over de inzet van de hackbevoegdheid door de AIVD en de MIVD in 2015».

X Noot
10

Toezichtsrapport nr. 70 van de CTIVD: «over het verzamelen van bulkdatasets met de hackbevoegdheid en de verdere verwerking daarvan door de AIVD en de MIVD» 2020 (paragraaf 2.4).

X Noot
11

Evaluatie Wet op de inlichtingen- en veiligheidsdiensten 2002. Naar een nieuwe balans tussen bevoegdheden en waarborgen (2013).

X Noot
12

Gerichte intercepties zijn gericht op een daarbij aangeduide persoon of organisatie, waarvoor artikel 47 Wiv 2017 de grondslag biedt.

X Noot
13

Toezichtsrapport nr. 75 van de CTIVD, over de inzet van kabelinterceptie ten behoeve van snapshotten door de AIVD en de MIVD, gepubliceerd op 15 maart 2022.

X Noot
14

Toezichtsrapport nr. 75 van de CTIVD: «Over de inzet van kabelinterceptie door de AIVD en de MIVD».

X Noot
15

Zie ook artikel 22, eerste lid, van de Algemene Verordening Gegevensbescherming (AVG) en de nadere invulling daarvan in artikel 40 Uitvoeringswet AVG.

X Noot
16

In die zin dat de TIB-toets als onafhankelijk bindende toets ex ante bij meer bevoegdheden wordt vereist dan uit de jurisprudentie van het EHRM en HvJEU voortvloeit.

X Noot
17

Paragraaf 9.5.1 Rapport ECW.

X Noot
18

Artikel 145 Wiv 2017.

X Noot
19

Artikel 1:1, lid 2, sub h en i Awb.

X Noot
20

Uitspraken van EHRM van 25 mei 2021 in de zaken Big Brother Watch and others v. The United Kingdom (application nos. 58170/13, 62322/14 en 24960/15) en Centrum for Rättvisa v. Sweden (application no. 35252/08).

X Noot
21

Uitspraken van HvJEU van 6 oktober 2020 in de zaak Privacy International v. UK (C-623/17) en de gevoegde zaken Quadrature du Net e.a. (C-511/18 en C-512/18). Een regeling ter zake in de Wiv 2017 wordt in het kader van de herziening van de Wiv meegenomen en vooruitlopend daarop zullen met de TIB afspraken worden gemaakt over de toets met betrekking tot de real time interceptie van verkeersgegevens.

X Noot
22

In het kader van onderzoek naar de regeldrukeffecten van een regeling wordt onderscheid gemaakt naar verplichtingen tot het verschaffen van inlichtingen (informatieverplichtingen) en verplichtingen tot het doen of nalaten van handelingen of gedragingen (inhoudelijke verplichtingen).

X Noot
23

Een aanbieder van een communicatiedienst is in artikel 46 Wiv 2017 als volgt gedefinieerd: de natuurlijke of rechtspersoon die in de uitoefening van een beroep of bedrijf aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of die gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst.

X Noot
24

In artikel 54, eerste lid, onder b, Wiv 2017 is deze – naast de aanbieder van een communicatiedienst aangewezen instantie – als volgt omschreven: een persoon of instantie die in het kader van de uitoefening van een beroep of bedrijf de opslag verzorgt van door derden via geautomatiseerde werken verwerkte gegevens en waartoe voor die derde rechtstreeks geautomatiseerde toegang bestaat.

X Noot
25

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

X Noot
26

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

X Noot
27

Zie artikel 27 Wiv 2017.

X Noot
28

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

X Noot
29

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

X Noot
30

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

X Noot
31

Tevens ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.

Naar boven