TOELICHTING
Algemeen
Bulkdatasets zijn onmisbaar voor een goede taakuitvoering van de diensten en vervullen
dan ook een belangrijke functie in zowel de analyse van gekende dreigingen als bij
het onderkennen en identificeren van verborgen dreigingen zoals potentiële targets,
nog onbekende werkwijzen van terroristische organisaties of activiteiten van buitenlandse
inlichtingen- en veiligheidsdiensten.
Een bulkdataset is een omvangrijke gegevensverzameling waarbij het merendeel van de
gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek
zijn van een dienst en dat ook niet worden. Deze sets worden om meerdere redenen verworven.
Zo zijn de diensten vanwege operationele risico’s of technische onmogelijkheden niet
altijd in staat om heel gericht gegevens te verzamelen. De verwerving van bulkdatasets
stelt de diensten in staat om in een dergelijk geval toch zicht te krijgen op bepaalde
regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben
bovendien een langdurige waarde voor de uitoefening van de taken van de diensten.
Bulkdatasets die gegevens bevatten over meerdere jaren stellen de diensten immers
in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit
van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt
de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie,
bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens
te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen
vergroot.
Voor alle gegevens die door de diensten worden verzameld en verder verwerkt geldt
dat daarbij moet worden voldaan aan de wettelijk vastgelegde eis dat dit slechts plaatsvindt
voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering
van de Wiv 2017 en de Wet veiligheidsonderzoeken en voorts dient de verwerking plaats
te vinden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze (artikel
18 Wiv 2017). Bulkdatasets hebben grote operationele waarde, maar tegelijkertijd kan
het verder verwerken van bulkdatasets in meer of mindere mate leiden tot een beperking
van het recht op bescherming van de persoonlijke levenssfeer van de personen wiens
gegevens zich in de set bevinden. Bij de verdere verwerking zal dus steeds een afweging
moeten worden gemaakt die recht doet aan zowel de bescherming van de nationale veiligheid
en de taakuitvoering van de diensten als het recht op bescherming van de persoonlijke
levenssfeer, waaronder de verplichting om – waar de wet daartoe verplicht – gegevens
zo spoedig mogelijk op relevantie te beoordelen en niet-relevante gegevens te vernietigen.
Het past daarbij om, gelet het belang van een zorgvuldige verwerking van deze gegevens,
aanvullende regels te stellen met betrekking tot de omgang met dergelijke datasets.
De regeling bevat een uniforme werkwijze voor enkele aspecten van de verdere verwerking
van verworven bulkdatasets, met uitzondering van gegevens die zijn verworven met de
toepassing van de bevoegdheid tot onderzoeksopdrachtgerichte interceptie (artikel
48 Wiv 2017). Voor de (verdere) verwerking van gegevens die afkomstig zijn uit de
toepassing van deze bevoegdheid bestaat reeds een wettelijk regime (artikel 48 tot
en met 50 Wiv 2017).
De regeling is gebaseerd op twee uitgangspunten. Ten eerste het uitgangspunt dat de
wijze van verwerving niet maatgevend is voor de beperking van het recht op bescherming
van de persoonlijke levenssfeer die met de verdere verwerking van de bulkdataset gepaard gaat. Het tweede uitgangspunt is het principe dat naarmate
de beperking van het recht op bescherming van de persoonlijke levenssfeer als gevolg
van de verdere verwerking van de bulkdatasets groter is, dit gepaard dient te gaan
met extra waarborgen.
De aard en omvang van de beperking is bepalend voor de toepassing van één van de drie
regimes met voorwaarden voor het verkrijgen van inhoudelijke gegevens uit de bulkdatasets.
De voorwaarden hebben niet alleen betrekking op het beperken van de mogelijkheid om
gegevens uit een bulkdataset te verkrijgen, maar ook op de periode waarbinnen een
bulkdataset moet worden beoordeeld op het continueren van de verwerking, dan wel het
verwijderen of vernietigen van de gegevens. De beoordeling in hoeverre de verdere verwerking een beperking oplevert van het recht op bescherming van de persoonlijke levenssfeer
vindt plaats aan de hand van de mate waarin de bulkdataset inzicht geeft in bepaalde
aspecten van het privéleven en de mate waarin een bulkdataset gegevens bevat die voor
een ieder toegankelijk zijn. Deze criteria worden nader toegelicht in de toelichting
bij artikel 3.
Ook de rol van de commissie van toezicht (CTIVD) bij bulkdatasets wordt versterkt,
doordat wordt voorzien in een actieve meldingsplicht met betrekking tot het door de
minister vastgestelde toegangsregime alsmede van de verstrekking van bulkdatasets
aan inlichtingen- of veiligheidsdiensten van andere landen. Deze melding stelt de
commissie van toezicht in staat om desgewenst naar aanleiding van een dergelijke melding
direct te acteren.
In het regeerakkoord is overeengekomen dat de evaluatie van de Wiv 2017 binnen twee
jaar na volledige inwerkingtreding van de wet zal worden gestart. De daartoe ingestelde
evaluatiecommissie onder voorzitterschap van mevrouw R. Jones-Bos is op 1 mei 2020
met haar werkzaamheden begonnen en zal naar verwachting eind 2020 haar evaluatierapport
uitbrengen. Aan de evaluatiecommissie is specifiek verzocht te kijken naar het onderwerp
bulkdata. In afwachting van de bevindingen van deze commissie ter zake en de opvolging
die daaraan wordt gegeven zijn in deze regeling nadere regels vastgesteld inzake de
verdere verwerking van bulkdatasets. Deze nadere regels hebben derhalve een tijdelijk
karakter en zullen zodra in de wet een regeling voor de verwerking van bulkdatasets
is opgenomen komen te vervallen.
Deze regeling is gebaseerd op artikel 16 van de Wiv 2017 op grond waarvan door de
voor de diensten verantwoordelijke ministers nadere regels kunnen worden gesteld ten
aanzien van de organisatie, de werkwijze en het beheer van de diensten.1 Deze tijdelijke regeling stelt nadere regels over de werkwijze van de diensten bij
de verdere verwerking van bulkdatasets. Naast de in deze regeling gestelde eisen,
gelden uiteraard alle overige eisen die de wet aan de gegevensverwerking door de diensten
stelt.
Artikelsgewijs
Artikel 2 (toepassingsbereik)
De diensten kunnen op basis van verschillende bevoegdheden bulkdatasets verwerven.
Dit kan op grond van bijzondere bevoegdheden (zoals door toepassing van de bevoegdheid
tot het binnendringen in geautomatiseerde werken; 'hacken'), andere dan bijzondere
bevoegdheden (zoals het raadplegen van informanten) of in het kader van samenwerking
met buitenlandse inlichtingen- en veiligheidsdiensten. De wet voorziet niet in een
specifieke regeling voor de verdere verwerking van bulkdatasets, behalve wanneer het
gaat om de verdere verwerking van gegevens die door middel van onderzoeksopdrachtgerichte
interceptie (artikel 48 Wiv 2017) zijn verworven. Artikel 2 schrijft daarom voor dat
de regeling van toepassing is op alle verworven bulkdatasets, met uitzondering van
de bulkdatasets die zijn verworven onder toepassing van de bevoegdheid als bedoeld
in artikel 48 van de wet.
Artikel 3 (beoordeling)
De verdere verwerking van bulkdatasets levert in meer of mindere mate een beperking
op van het recht op bescherming van de persoonlijke levenssfeer van personen wiens
gegevens zich in een bulkdataset bevinden. Daarom beoordelen de diensten voorafgaand
aan de verdere verwerking van een bulkdataset in welke mate de verdere verwerking
een dergelijke beperking oplevert. De wijze waarop een bulkdataset is verworven speelt
in deze beoordeling geen rol. Omdat de aard en omvang van de beperking afhankelijk
is van het soort gegevens in een bulkdataset, moet elke bulkdataset afzonderlijk worden
beoordeeld, tenzij meerdere sets feitelijk als één set gezien moeten worden. Het resultaat
van de beoordeling is leidend voor het bepalen welk toegangsregime wordt toegepast
op de bulkdataset.
De beoordeling vindt plaats aan de hand van twee criteria:
Om te beoordelen of een bulkdataset in meer of mindere mate zicht geeft op bepaalde
aspecten van iemands privéleven wordt in het bijzonder gekeken naar onderstaande vier
elementen.
-
1. Identificerende gegevens: hierbij gaat het om de mate waarin een bulkdataset gegevens,
nummers of kenmerken oplevert die herleidbaar zijn tot een persoon. Voorbeelden hiervan
zijn namen, telefoonnummers, IP-adressen, IMEI-nummers of soortgelijke gegevens. Naarmate
meerdere gegevens of kenmerken uit een bulkdataset aan een persoon kunnen worden gekoppeld,
is de beperking van het recht op bescherming van de persoonlijke levenssfeer ook groter.
Zo maakt een bulkdataset met uitsluitend IMEI-nummers een relatief beperkte inbreuk
op de persoonlijke levenssfeer in vergelijking met een bulkdataset bestaande uit IMEI-nummers,
IP-adressen, telefoonnummers en namen. Met al deze gegevens ontstaat immers sneller
een meer compleet beeld van het communicatiegedrag en de communicatiemogelijkheden
van een persoon. Ook zullen bepaalde identificerende gegevens op zichzelf al een grotere
inbreuk maken dan andere kenmerken. Zo zal een lijst met zelfgekozen gebruikersnamen
een minder grote inbreuk opleveren dan een lijst met namen uit officiële identiteitsbewijzen
zoals paspoorten.
-
2. Locaties: locatiegegevens hebben betrekking op de geografische locaties waar een persoon
(of een automatisch werk dat toebehoort aan een persoon, zoals een telefoon, laptop
of tablet) zich op een bepaald moment heeft opgehouden waarbij de locatiegegevens
zijn geregistreerd. De mate waarin locaties zicht kunnen geven op iemands privéleven
is onder meer afhankelijk van de frequentie, duur en nauwkeurigheid van de locatiegegevens
in een bulkdataset.
-
3. Netwerk: het betreft hier gegevens die zicht geven op (pogingen tot) het leggen van
contact tussen personen. Dit kan gaan om een bulkdataset waaruit blijkt dat onderling
mailverkeer heeft plaatsgevonden, een set met telefonieverkeersgegevens of een set
met contactgegevens waarmee zicht ontstaat op een netwerk. Het gaat hierbij dus niet
om de inhoud van het mailverkeer of de telefoongesprekken. Net als bij locatiegegevens
geldt ook hier dat de frequentie, duur en nauwkeurigheid van de gegevens in een bulkdataset
de mate van inbreuk op de persoonlijke levenssfeer in belangrijke mate bepalen.
-
4. Vertrouwelijke inhoud: met behulp van voldoende vertrouwelijke inhoudelijke gegevens
kan een relatief volledig beeld ontstaan over bepaalde aspecten van iemands privéleven.
Hierbij kan gedacht worden aan de inhoud van mail- of chatverkeer of van besloten
delen van social media, zoals privéberichten op sociale media. Het betreft niet uitsluitend
communicatie; zo is een maaltijdvoorkeur bij het boeken van een vlucht ook een inhoudelijk
gegeven. Inhoudelijke gegevens die een persoon zelf openbaar maakt, zoals berichten
op een openbare pagina op sociale media, zijn niet vertrouwelijk van aard.
Naast de beoordeling van de mate waarin een bulkdataset inzicht kan geven in bepaalde
aspecten van iemands privéleven, dient eveneens te worden beoordeeld in hoeverre de
bulkdataset voor een ieder toegankelijk is, al dan niet na betaling. Zo zijn de niet-geanonimiseerde
gegevens opgenomen in het register van de Kamer van Koophandel (na betaling) voor
een ieder toegankelijk. Aan de toegang tot een dergelijke bulkdataset zullen derhalve
minder strenge voorwaarden worden gesteld.
Vanwege de grote diversiteit aan bulkdatasets is het op voorhand niet mogelijk een
limitatieve opsomming te geven welk toegangsregime voor welk type bulkdataset zal
gelden. Dat zal altijd een afweging zijn van de omstandigheden van het geval en dient
voor elke dataset afzonderlijk te worden bepaald. Slechts indien verschillende bulkdatasets
feitelijk als één set gezien dienen te worden, zullen de sets ook gezamenlijk worden
beoordeeld.
Telkens wanneer een bulkdataset is verworven moet een gemotiveerde afweging worden
gemaakt in hoeverre de verdere verwerking een beperking oplevert van het recht op
bescherming van de persoonlijke levenssfeer. Dit gebeurt aan de hand van de in het
tweede lid genoemde criteria. Zo is het voorstelbaar dat een bulkdataset die uitsluitend
identificerende gegevens bevat in het standaard toegangsregime wordt geplaatst. Met
dergelijke gegevens kan immers alleen een koppeling worden gemaakt tussen bijvoorbeeld
een naam en een telefoonnummer. Dit geeft slechts zeer beperkt zicht op aspecten uit
iemands privéleven. Ook zullen de sets die voor een ieder toegankelijk zijn doorgaans
in het eerste regime worden geplaatst.
In het beperkte toegangsregime zullen voornamelijk de datasets worden geplaatst die
bepaalde aspecten van iemands privéleven in beperkte mate inzichtelijk maken doordat
deze voornamelijk identificerende gegevens bevatten. Ook kan gedacht worden aan bulkdatasets
die slechts zeer beperkt zicht geven op iemands locatie of netwerk.
Onder het strikt beperkte toegangsregime zullen vooral bulkdatasets vallen die bepaalde
aspecten van iemands privéleven meer in detail inzichtelijk maken en die niet voor
een ieder toegankelijk zijn. Dit zijn bijvoorbeeld bulkdatasets waarbij een goed zicht
kan worden verkregen op iemands netwerk of locaties. Ook zullen bulkdatasets die veel
vertrouwelijke inhoud bevatten doorgaans onder het strikt beperkte toegangsregime
komen te vallen.
Uit het vierde lid volgt dat een bulkdataset uitsluitend verder wordt verwerkt overeenkomstig
het door de minister vastgestelde toegangsregime. Zolang dit toegangsregime niet is
vastgesteld mag er nog geen verdere verwerking plaatsvinden. In het voorstel tot vaststelling
van het toegangsregime met betrekking tot een bulkdataset wordt (het resultaat van)
de beoordeling ten aanzien van de mate waarin de verdere verwerking een beperking
oplevert van het recht op bescherming van de persoonlijke levenssfeer verantwoord.
Daarnaast wordt in dit lid bepaald dat de commissie van toezicht terstond op de hoogte
wordt gebracht van de vaststelling van het voor de desbetreffende bulkdataset toepasselijke
toegangsregime, zodat de commissie van toezicht in staat wordt gesteld om adequaat
toezicht hierop te houden. In het geval dat de verantwoordelijk minister het advies
van de dienst niet vaststelt komt het hoofd van de dienst met een nieuw advies.
Het vijfde lid voorziet in een herbeoordeling van de bulkdataset. De initiële vaststelling
door de verantwoordelijke minister van het toepasselijke toegangsregime voor de verdere
verwerking van een bulkdataset kan na verloop van tijd onvoldoende recht doen aan
de aard en omvang van de gegevens in een bulkdataset. Dit kan komen doordat sinds
de vaststelling gegevens uit een bulkdataset zijn vernietigd of doordat de bulkdataset
juist is aangevuld met andere of soortgelijke gegevens. Wanneer de aard van de bulkdataset
substantieel wijzigt, is dat aanleiding om de bulkdataset opnieuw te beoordelen op
basis van de gegevens die zich op dat moment in de bulkdataset bevinden. Indien de
herbeoordeling leidt tot de conclusie dat op de bulkdataset een ander toegangsregime
van toepassing dient te zijn, wordt een daartoe strekkend voorstel voorgelegd aan
de verantwoordelijke minister.
In het zesde lid is bepaald dat wanneer de minister niet instemt met het voorstel
tot vaststelling van een ander toegangsregime, het geldende toegangsregime van toepassing
blijft op een bulkdataset.
Artikel 4 (bevragingen)
In dit artikel wordt de bevoegdheid tot het doen van bevragingen geregeld. Het doen
van een bevraging moet onderscheiden worden van het verkrijgen van de inhoudelijke
gegevens naar aanleiding van het resultaat van een bevraging; het resultaat van een
bevraging geeft antwoord op de vraag of er aan de bevraging gerelateerde gegevens
in de bevraagde bulkdatasets voorhanden zijn. De bulkdatasets die de diensten verwerven
zijn bedoeld om te benutten in lopende onderzoeken. Om dit mogelijk te maken worden
de gegevens in de bulkdatasets na de verwerving in de datahuishouding van de diensten
opgenomen en via de technische infrastructuur raadpleegbaar gemaakt ten behoeve van
het inlichtingenproces. Langs deze weg worden de bulkdatasets bevraagbaar en, afhankelijk
van de functie van de medewerker en toegekende autorisatie overeenkomstig het bepaalde
in de artikelen 5, 6 en 7, kunnen de aan een bevraging gerelateerde inhoudelijke gegevens
in een bulkdataset toegankelijk worden gemaakt voor de medewerkers.
Vaak zijn echter meerdere bulkdatasets – samen met andere verworven gegevens – via
één applicatie te raadplegen zodat bij het gebruik van die applicatie meerdere bulkdatasets
worden bevraagd. Aangezien de bulkdatasets gegevens kunnen bevatten die noodzakelijk
zijn voor diverse onderzoeken van de dienst geschiedt de bevraging niet per individuele
bulkdataset maar bij alle in de eerder genoemde datahuishouding opgenomen bulkdatasets
tegelijk. Daartoe wordt in artikel 4 de bevoegdheid geregeld om de bij de dienst aanwezige
bulkdatasets te bevragen door – kortgezegd – alle onderzoeksmedewerkers van de dienst.
De mogelijkheid om vervolgens kennis te nemen van het resultaat van de bevraging,
dat wil zeggen de daadwerkelijke inhoud van de gegevens, is afhankelijk van het toegangsregime
(Standaard, beperkt, strikt beperkt) voor de bulkdataset waarin de gegevens zich bevinden
en de aan de desbetreffende medewerker toegekende autorisaties.
Artikel 5 (standaard toegangsregime)
Dit artikel bevat de voorwaarden om gegevens te verkrijgen uit bulkdatasets die in
het standaard toegangsregime worden geplaatst. Die verkrijging is toegestaan voor
ambtenaren die uit hoofde van hun functie toegang tot deze bulkdatasets nodig hebben.
Deze ambtenaren zijn belast met de uitvoering van de taken genoemd in artikel 8, tweede
lid, onderscheidenlijk artikel 10, tweede lid, van de wet. Daarbij kan worden gedacht
aan de medewerkers die het inlichtingenonderzoek uitvoeren maar ook data-analisten
en data-scientists. Hiertoe behoren ook de ambtenaren die ten behoeve van de AIVD
(artikel 91) of de MIVD (artikel 92) werkzaamheden uitvoeren.
Artikel 6 (beperkt toegangsregime)
In dit artikel staan de voorwaarden voor de verkrijging van gegevens uit bulkdatasets
die in het beperkte toegangsregime zijn geplaatst. Verkrijging van de gegevens is
in de eerste plaats toegestaan aan door het hoofd van de dienst aangewezen functiegroepen.
Dit zijn bijvoorbeeld functiegroepen die vanwege hun specifieke kennis en expertise
met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen
maken door middel van data-analyses. Deze functiegroepen hebben voor lopende onderzoeken
of dreigingsanalyses een ondersteunende rol en door middel van deze functiescheiding
wordt bewerkstelligd dat slechts in beperkte kring kennis kan worden genomen van gegevens
waarvan de waarde voor het specifieke onderzoek nog niet is vastgesteld. Daarnaast
kan het noodzakelijk zijn dat een inlichtingenteam gegevens verkrijgt uit een bulkdataset,
bijvoorbeeld omdat een bepaalde set – gelet op de onderzoeksopdracht van een team
en de aard en inhoud van de set – naar alle waarschijnlijkheid bruikbare gegevens
voor dat team bevat. Dit kan een team zijn dat inlichtingenonderzoeken verricht, maar
ook een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen
van dreigingsanalyses. Indien het voor een team het noodzakelijk blijkt om gegevens
uit bepaalde bulkdatasets te verkrijgen, dan zal daartoe een gemotiveerd verzoek worden
gedaan aan het hoofd van de dienst. Op dit schriftelijke verzoek wordt – na advies
van de afdeling Juridische Zaken – beslist door het hoofd van de dienst. Wanneer het
hoofd van de dienst deze toestemming heeft verleend, zal het desbetreffende team de
aan de bevraging gerelateerde gegevens in de bulkdatasets waarvoor toestemming is
verleend direct kunnen verkrijgen. Zoals toegelicht bij artikel 4 kan het ook voorkomen
dat een applicatie meerdere bulkdatasets doorzoekt terwijl het team geen toestemming
heeft om de gegevens uit al deze bulkdatasets te verkrijgen. In dat geval verkrijgt
het team na een bevraging op grond van artikel 4 direct de gegevens uit de bulkdataset(s)
waarvoor het team reeds toestemming heeft verkregen. Indien uit de bevraging blijkt
dat ook in andere sets met hetzelfde toegangsregime gegevens aanwezig zijn, dan zal
overeenkomstig het bepaalde in artikel 6 de daarin neergelegde procedure dienen te
worden doorlopen om toestemming van het hoofd van de dienst te verkrijgen teneinde
kennis te mogen nemen van de gegevens in de bulkdatasets waarvoor op moment van bevraging
geen toestemming is.
Artikel 7 (strikt beperkt toegangsregime)
In dit artikel zijn de voorwaarden omschreven voor de verkrijging van gegevens uit
bulkdatasets die in het strikt beperkte toegangsregime worden geplaatst. De door het
hoofd van de dienst aangewezen functiegroepen – artikel 7, eerste lid, onder a – zijn
gelijk aan de aangewezen functiegroepen in artikel 6. Daarnaast is er een toestemmingsprocedure
voor de verkrijging van gegevens uit deze bulkdatasets door de inlichtingenteams.
Een team verzoekt om verkrijging van de gegevens uit bulkdatasets in het strikt beperkt
toegangsregime met het oogmerk om gegevens te raadplegen die van belang zijn voor
de onderzoeken van dat team. Op dit schriftelijke verzoek wordt – na advies van de
afdeling Juridische Zaken – beslist door het hoofd van de dienst.
Een functionaris in een team, niet behorende tot een reeds door het hoofd van de dienst
aangewezen functiegroep op grond het eerste lid, onder a, heeft – ook na de toestemming
van het hoofd van de dienst – geen zelfstandige toegang tot de inhoudelijke gegevens
uit de bulkdatasets. Hij kan slechts een bevraging uitvoeren op grond van artikel
4. De gerelateerde gegevens komen slechts beschikbaar na een goedgekeurd verzoek aan
het teamhoofd onderscheidenlijk teamleider dan wel bureauhoofd, om op basis van een
aantal in het verzoek genoemde kenmerken gerelateerd aan het desbetreffende onderzoek,
de desbetreffende gegevens in de bulkdatasets verstrekt te krijgen. Een dergelijk
verzoek wordt gedaan als een medewerker de beschikking wil krijgen over de in de bulkdatasets
beschikbare informatie over een kenmerk, zoals een telefoonnummer. Een team motiveert
het verzoek om gegevens te verkrijgen gezien de noodzaak, gerichtheid, proportionaliteit
en subsidiariteit voor de uitvoering van de opgedragen taak. Het teamhoofd beoordeelt
een dergelijk verzoek en kan toestemming verlenen. Na de verleende toestemming worden
de resultaten van de naslag ter beschikking gesteld. Vervolgens kan het belang van
die gegevens voor enig lopend onderzoek worden vastgesteld.
Een functionaris die behoort tot een door het hoofd van de dienst aangewezen functiegroep
als bedoeld in het eerste lid, onder a, mag dus de door deze functionaris onderzochte
gegevens en resultaten niet ter beschikking stellen aan de andere functionarissen
in een team ter verdere verwerking ervan, tenzij de verstrekking van die gegevens
is goedgekeurd op basis van een verzoek als bedoeld in artikel 7, tweede lid.
Deze hiervoor toegelichte werkwijze waarborgt dat gegevens uit bulkdatasets in dit
regime niet vrij toegankelijk zijn voor het inlichtingenproces.
Artikel 8 (verwijderingstermijnen bulkdatasets)
Artikel 20 van de wet bepaalt dat gegevens die, gelet op het doel waarvoor zij worden
verwerkt, geen betekenis hebben, of hun betekenis hebben verloren, worden verwijderd.
Dit betekent dat gegevens, waaronder gegevens in bulkdatasets, moeten worden verwijderd
als deze geen doel meer dienen. Artikel 20, derde lid, van de wet bepaalt dat de verwijderde
gegevens worden vernietigd, tenzij wettelijke regels omtrent bewaring hieraan in de
weg staan.
Artikel 8 geeft – buiten de situatie dat evident aan de in artikel 20, eerste lid,
van de wet neergelegde criteria wordt voldaan (geen betekenis meer hebben dan wel
deze hebben verloren) – een nadere regeling op grond waarvan periodiek wordt bezien
of een bulkdataset dient te worden verwijderd. De hierbij gehanteerde concrete termijnen
worden berekend vanaf het moment waarop bulkdatasets betekenis hebben gekregen in
de zin van artikel 20 van de wet. Hierbij wordt opgemerkt dat de wet voor gegevens
die zijn verworven met bevoegdheden anders dan bijzondere bevoegdheden geen verplichting
geeft om deze zo spoedig mogelijk te onderzoeken op relevantie voor het desbetreffende
onderzoek dan wel enig ander onderzoek. Voor deze gegevens geldt het moment van verwerving
als moment waarop deze gegevens betekenis hebben gekregen in de zin van artikel 20
van de wet.
Artikel 9 (overgangsrecht)
Artikel 9 bepaalt dat voor de toepassing van het bepaalde in artikel 8, dat wil zeggen
de
termijn waarbinnen periodieke herbeoordeling van bulkdatasets plaats moet vinden,
voor
bulkdatasets die reeds bij de diensten in het betekenisregime zitten de datum van
inwerkingtreding van deze regeling wordt aangemerkt als de datum waarop deze
bulkdatasets betekenis hebben gekregen als bedoeld in artikel 20 van de wet.
Artikel 10 (verstrekking bulkdatasets)
Dit artikel regelt dat voor de verstrekking van een bulkdataset aan een inlichtingen-
of veiligheidsdienst van een ander land toestemming van de verantwoordelijke minister
is vereist. Het doet niet ter zake of een bulkdataset als geëvalueerd of ongeëvalueerd
is aangemerkt, evenmin of de bulkdataset al dan niet als relevant is beoordeeld. Gezien
de mogelijke inbreuk op de persoonlijke levenssfeer die samenhangt met de verstrekking
van een bulkdataset aan een inlichtingen- of veiligheidsdienst van een ander land
en de verdere verwerking van de gegevens door die dienst wordt het noodzakelijk geacht
dat de verantwoordelijke minister voor elke verstrekking toestemming verleent. Bij
het verzoek om toestemming zal in ieder geval dienen te gemotiveerd voor welk doel
de verstrekking dient plaats te vinden en waarom dat voor een goede uitvoering van
de aan de dienst opgedragen taak noodzakelijk is. Ook zal aangegeven dienen te worden
of en, zo ja, welke mogelijke risico’s aan de verstrekking voor (met name) de persoonlijke
levenssfeer zijn verbonden en op welke wijze die risico’s worden geadresseerd. Hierbij
wordt aansluiting gezocht bij de waarborgen van verstrekkingen van ongeëvalueerde
gegevens. In artikel 10 is voorts opgenomen dat de commissie van toezicht ook van
een verleende toestemming voor het delen van de bulkdataset terstond op de hoogte
wordt gebracht.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren
De Minister van Defensie,
A.Th.B. Bijleveld-Schouten