Regeling van de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie van 3 november 2020, nr. 2020-0000611095, houdende nadere regels met betrekking tot enkele aspecten van de werkwijze inzake de verdere verwerking van bulkdatasets verworven door de AIVD en MIVD op grond van de Wiv 2017 (Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017)

De Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie,

Gelet op artikel 16 van de Wet op de inlichtingen- en veiligheidsdiensten 2017;

Besluiten:

Artikel 1. Definities

In deze regeling wordt verstaan onder:

a. bulkdataset:

een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden;

b. AIVD:

Algemene Inlichtingen- en Veiligheidsdienst;

c. MIVD:

Militaire Inlichtingen- en Veiligheidsdienst;

d. bijzondere bevoegdheid:

een bevoegdheid als bedoeld in paragraaf 3.2.5 van de wet;

e. team:

een team of afdeling waaraan een teamhoofd van de AIVD onderscheidenlijk een teamleider dan wel bureauhoofd van de MIVD leiding geeft;

f. unithoofd:

een leidinggevende bij de AIVD ressorterend onder een directeur met uitzondering van het Nationaal Bureau Verbindingsbeveiliging, de Centrale Staf en de Chief Information Officer;

g. afdelingshoofd:

een leidinggevende bij de MIVD ressorterend onder het hoofd van de dienst;

h. teamhoofd:

een leidinggevende bij de AIVD ressorterend onder een unithoofd;

i. teamleider dan wel bureauhoofd:

een leidinggevende bij de MIVD ressorterend onder een afdelingshoofd.

Artikel 2. Toepassingsbereik regeling

Deze regeling is van toepassing op de verdere verwerking van door de diensten verworven bulkdatasets met uitzondering van de gegevens verworven onder toepassing van de bevoegdheid als bedoeld in artikel 48 van de wet.

Artikel 3. Beoordeling bulkdatasets en vaststelling toepasselijk toegangsregime

  • 1. De dienst beoordeelt in welke mate de verdere verwerking van een bulkdataset een beperking oplevert van het recht op bescherming van de persoonlijke levenssfeer.

  • 2. Bij de beoordeling als bedoeld in het eerste lid worden in ieder geval de volgende criteria betrokken:

    • a. de mate waarin een bulkdataset inzicht geeft in bepaalde aspecten van het privéleven, waaronder identificerende gegevens, locaties, netwerk en vertrouwelijke inhoudelijke gegevens;

    • b. de mate waarin een bulkdataset voor een ieder toegankelijk is.

  • 3. Aan de hand van de beoordeling aan de criteria als bedoeld in het tweede lid, wordt door de minister vastgesteld of de verdere verwerking van een bulkdataset onderworpen wordt aan een:

    • a. standaard toegangsregime;

    • b. beperkt toegangsregime; of

    • c. strikt beperkt toegangsregime.

  • 4. Een bulkdataset wordt uitsluitend verder verwerkt overeenkomstig het door de minister vastgestelde toegangsregime. Ten behoeve van de vaststelling van het toe te passen toegangsregime met betrekking tot de bulkdataset dient het hoofd van de dienst een voorstel in, waarbij de beoordeling als bedoeld in het eerste lid wordt verantwoord. De commissie van toezicht wordt terstond op de hoogte gesteld van de vaststelling van het voor de desbetreffende bulkdataset toepasselijke toegangsregime.

  • 5. Het hoofd van de dienst draagt er zorg voor dat indien omstandigheden daartoe aanleiding geven, er een herbeoordeling plaatsvindt van een bulkdataset. Indien de herbeoordeling leidt tot de vaststelling dat op de verdere verwerking van de bulkdataset een ander toegangsregime van toepassing dient te zijn dan het op dat moment toegepaste regime, wordt een daartoe strekkend voorstel ter vaststelling aan de voor de dienst verantwoordelijke minister voorgelegd. Het eerste tot en met vierde lid is van overeenkomstige toepassing.

  • 6. Indien de vaststelling als bedoeld in het vijfde lid wordt geweigerd, blijft op de bulkdataset het geldende toegangsregime van toepassing. De commissie van toezicht wordt terstond van de beslissing van de minister op de hoogte gesteld.

Artikel 4. Bevraging bulkdatasets

  • 1. Een binnen de dienst of ingevolge artikel 91 van de wet ten behoeve van de AIVD werkzame ambtenaar onderscheidenlijk ingevolge artikel 92 ten behoeve van de MIVD werkzame ambtenaar, is, voor zover dat noodzakelijk is voor een goede uitvoering van de aan de desbetreffende ambtenaar opgedragen taak, bevoegd tot het bevragen van de bij de desbetreffende dienst aanwezige bulkdatasets.

  • 2. De verkrijging van de aan de bevraging gerelateerde gegevens geschiedt met inachtneming van het bepaalde in artikel 5, 6 en 7.

Artikel 5. Standaard toegangsregime

De verkrijging van in bulkdatasets met een standaard toegangsregime opgenomen gegevens is uitsluitend toegestaan door een binnen de dienst of ingevolge artikel 91 van de wet ten behoeve van de AIVD werkzame ambtenaar onderscheidenlijk ingevolge artikel 92 ten behoeve van de MIVD werkzame ambtenaar, voor zover dat noodzakelijk is voor een goede uitvoering van de aan de desbetreffende ambtenaar opgedragen taak.

Artikel 6. Beperkt toegangsregime

De verkrijging van in bulkdatasets met een beperkt toegangsregime opgenomen gegevens is uitsluitend toegestaan door:

  • a. daartoe door het hoofd van de dienst aangewezen functiegroepen;

  • b. een daartoe door het hoofd van de dienst aangewezen team op een daartoe strekkend verzoek van het unithoofd onderscheidenlijk het afdelingshoofd en na advies van de betrokken afdeling Juridische Zaken. Het verzoek bevat de reden waarom de verkrijging van de in de desbetreffende bulkdataset opgenomen gegevens door het desbetreffende team noodzakelijk is. Een toestemming wordt verleend voor de duur van ten hoogste 12 maanden en kan telkens op een daartoe strekkend verzoek voor eenzelfde periode worden verlengd.

Artikel 7. Strikt beperkt toegangsregime

  • 1. De verkrijging in bulkdatasets met een strikt beperkt toegangsregime opgenomen gegevens is uitsluitend toegestaan door:

    • a. daartoe door het hoofd van de dienst aangewezen functiegroepen;

    • b. een daartoe door het hoofd van de dienst aangewezen team op een daartoe strekkend verzoek van het unithoofd onderscheidenlijk het afdelingshoofd en na advies van de betrokken afdeling Juridische Zaken. Het verzoek bevat de reden waarom verkrijging van de in de bulkdataset opgenomen gegevens door het desbetreffende team noodzakelijk is. Een toestemming wordt verleend voor de duur van ten hoogste 12 maanden en kan telkens op een daartoe strekkend verzoek voor eenzelfde periode worden verlengd.

  • 2. De verkrijging van de gegevens door een ingevolge het eerste lid, onder b, aangewezen team, vindt slechts plaats op basis van kenmerken gerelateerd aan het desbetreffende onderzoek die door het teamhoofd onderscheidenlijk de teamleider dan wel het bureauhoofd zijn vastgesteld. Kenmerken worden voorzien van een toereikende motivering in relatie tot het onderzoek waarvoor ze dienen te worden toegepast.

Artikel 8. Periodieke beoordeling noodzaak tot verwijdering bulkdatasets

Onverminderd het bepaalde in artikel 20, eerste lid, van de wet, wordt door het hoofd van de dienst, nadat de set betekenis heeft gekregen in de zin van artikel 20 van de wet, periodiek beoordeeld of de desbetreffende bulkdataset dient te worden verwijderd. Deze beoordeling vindt plaats:

  • a. ten aanzien van een bulkdataset met een standaard toegangsregime na ten hoogste 36 maanden;

  • b. ten aanzien van een bulkdataset met een beperkt toegangsregime na ten hoogste 24 maanden;

  • c. ten aanzien van een bulkdataset met een strikt beperkt toegangsregime na ten hoogste 12 maanden.

Artikel 9. Overgangsbepaling

Voor de toepassing van het bepaalde in artikel 8 wordt, waar het reeds bij de diensten aanwezige bulkdatasets betreft, de datum van inwerkingtreding van deze regeling aangemerkt als de datum waarop voor deze bulkdatasets is vastgesteld dat deze betekenis hebben als bedoeld in artikel 20 van de wet.

Artikel 10. Verstrekking bulkdatasets

Een verstrekking van een bulkdataset aan een inlichtingen- of veiligheidsdienst van een ander land vindt niet eerder plaats dan nadat de voor de dienst verantwoordelijke Minister op een daartoe strekkend verzoek van het hoofd van de dienst toestemming heeft verleend. De commissie van toezicht wordt terstond op de hoogte gesteld van een verleende toestemming.

Artikel 11. Inwerkingtreding

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.

Artikel 12. Citeertitel

Deze regeling wordt aangehaald als: Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017.

Deze regeling wordt met toelichting in de Staatscourant geplaatst.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren

De Minister van Defensie, A.Th.B. Bijleveld-Schouten

TOELICHTING

Algemeen

Bulkdatasets zijn onmisbaar voor een goede taakuitvoering van de diensten en vervullen dan ook een belangrijke functie in zowel de analyse van gekende dreigingen als bij het onderkennen en identificeren van verborgen dreigingen zoals potentiële targets, nog onbekende werkwijzen van terroristische organisaties of activiteiten van buitenlandse inlichtingen- en veiligheidsdiensten.

Een bulkdataset is een omvangrijke gegevensverzameling waarbij het merendeel van de gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek zijn van een dienst en dat ook niet worden. Deze sets worden om meerdere redenen verworven. Zo zijn de diensten vanwege operationele risico’s of technische onmogelijkheden niet altijd in staat om heel gericht gegevens te verzamelen. De verwerving van bulkdatasets stelt de diensten in staat om in een dergelijk geval toch zicht te krijgen op bepaalde regio’s en uitreizigers of andere targets te (blijven) volgen. Bulkdatasets hebben bovendien een langdurige waarde voor de uitoefening van de taken van de diensten. Bulkdatasets die gegevens bevatten over meerdere jaren stellen de diensten immers in staat om ook over een langere periode netwerken in kaart te brengen, de intensiteit van contacten vast te stellen en reisbewegingen te herleiden. In de praktijk wordt de opbrengst uit een bulkdataset vaak gecombineerd met andere inlichtingeninformatie, bijvoorbeeld afkomstig uit de inzet van bijzondere bevoegdheden. Door deze gegevens te combineren worden verbanden zichtbaar of wordt de kennis over reeds gekende dreigingen vergroot.

Voor alle gegevens die door de diensten worden verzameld en verder verwerkt geldt dat daarbij moet worden voldaan aan de wettelijk vastgelegde eis dat dit slechts plaatsvindt voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2017 en de Wet veiligheidsonderzoeken en voorts dient de verwerking plaats te vinden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze (artikel 18 Wiv 2017). Bulkdatasets hebben grote operationele waarde, maar tegelijkertijd kan het verder verwerken van bulkdatasets in meer of mindere mate leiden tot een beperking van het recht op bescherming van de persoonlijke levenssfeer van de personen wiens gegevens zich in de set bevinden. Bij de verdere verwerking zal dus steeds een afweging moeten worden gemaakt die recht doet aan zowel de bescherming van de nationale veiligheid en de taakuitvoering van de diensten als het recht op bescherming van de persoonlijke levenssfeer, waaronder de verplichting om – waar de wet daartoe verplicht – gegevens zo spoedig mogelijk op relevantie te beoordelen en niet-relevante gegevens te vernietigen. Het past daarbij om, gelet het belang van een zorgvuldige verwerking van deze gegevens, aanvullende regels te stellen met betrekking tot de omgang met dergelijke datasets.

De regeling bevat een uniforme werkwijze voor enkele aspecten van de verdere verwerking van verworven bulkdatasets, met uitzondering van gegevens die zijn verworven met de toepassing van de bevoegdheid tot onderzoeksopdrachtgerichte interceptie (artikel 48 Wiv 2017). Voor de (verdere) verwerking van gegevens die afkomstig zijn uit de toepassing van deze bevoegdheid bestaat reeds een wettelijk regime (artikel 48 tot en met 50 Wiv 2017).

De regeling is gebaseerd op twee uitgangspunten. Ten eerste het uitgangspunt dat de wijze van verwerving niet maatgevend is voor de beperking van het recht op bescherming van de persoonlijke levenssfeer die met de verdere verwerking van de bulkdataset gepaard gaat. Het tweede uitgangspunt is het principe dat naarmate de beperking van het recht op bescherming van de persoonlijke levenssfeer als gevolg van de verdere verwerking van de bulkdatasets groter is, dit gepaard dient te gaan met extra waarborgen.

De aard en omvang van de beperking is bepalend voor de toepassing van één van de drie regimes met voorwaarden voor het verkrijgen van inhoudelijke gegevens uit de bulkdatasets. De voorwaarden hebben niet alleen betrekking op het beperken van de mogelijkheid om gegevens uit een bulkdataset te verkrijgen, maar ook op de periode waarbinnen een bulkdataset moet worden beoordeeld op het continueren van de verwerking, dan wel het verwijderen of vernietigen van de gegevens. De beoordeling in hoeverre de verdere verwerking een beperking oplevert van het recht op bescherming van de persoonlijke levenssfeer vindt plaats aan de hand van de mate waarin de bulkdataset inzicht geeft in bepaalde aspecten van het privéleven en de mate waarin een bulkdataset gegevens bevat die voor een ieder toegankelijk zijn. Deze criteria worden nader toegelicht in de toelichting bij artikel 3.

Ook de rol van de commissie van toezicht (CTIVD) bij bulkdatasets wordt versterkt, doordat wordt voorzien in een actieve meldingsplicht met betrekking tot het door de minister vastgestelde toegangsregime alsmede van de verstrekking van bulkdatasets aan inlichtingen- of veiligheidsdiensten van andere landen. Deze melding stelt de commissie van toezicht in staat om desgewenst naar aanleiding van een dergelijke melding direct te acteren.

In het regeerakkoord is overeengekomen dat de evaluatie van de Wiv 2017 binnen twee jaar na volledige inwerkingtreding van de wet zal worden gestart. De daartoe ingestelde evaluatiecommissie onder voorzitterschap van mevrouw R. Jones-Bos is op 1 mei 2020 met haar werkzaamheden begonnen en zal naar verwachting eind 2020 haar evaluatierapport uitbrengen. Aan de evaluatiecommissie is specifiek verzocht te kijken naar het onderwerp bulkdata. In afwachting van de bevindingen van deze commissie ter zake en de opvolging die daaraan wordt gegeven zijn in deze regeling nadere regels vastgesteld inzake de verdere verwerking van bulkdatasets. Deze nadere regels hebben derhalve een tijdelijk karakter en zullen zodra in de wet een regeling voor de verwerking van bulkdatasets is opgenomen komen te vervallen.

Deze regeling is gebaseerd op artikel 16 van de Wiv 2017 op grond waarvan door de voor de diensten verantwoordelijke ministers nadere regels kunnen worden gesteld ten aanzien van de organisatie, de werkwijze en het beheer van de diensten.1 Deze tijdelijke regeling stelt nadere regels over de werkwijze van de diensten bij de verdere verwerking van bulkdatasets. Naast de in deze regeling gestelde eisen, gelden uiteraard alle overige eisen die de wet aan de gegevensverwerking door de diensten stelt.

Artikelsgewijs

Artikel 2 (toepassingsbereik)

De diensten kunnen op basis van verschillende bevoegdheden bulkdatasets verwerven. Dit kan op grond van bijzondere bevoegdheden (zoals door toepassing van de bevoegdheid tot het binnendringen in geautomatiseerde werken; 'hacken'), andere dan bijzondere bevoegdheden (zoals het raadplegen van informanten) of in het kader van samenwerking met buitenlandse inlichtingen- en veiligheidsdiensten. De wet voorziet niet in een specifieke regeling voor de verdere verwerking van bulkdatasets, behalve wanneer het gaat om de verdere verwerking van gegevens die door middel van onderzoeksopdrachtgerichte interceptie (artikel 48 Wiv 2017) zijn verworven. Artikel 2 schrijft daarom voor dat de regeling van toepassing is op alle verworven bulkdatasets, met uitzondering van de bulkdatasets die zijn verworven onder toepassing van de bevoegdheid als bedoeld in artikel 48 van de wet.

Artikel 3 (beoordeling)

De verdere verwerking van bulkdatasets levert in meer of mindere mate een beperking op van het recht op bescherming van de persoonlijke levenssfeer van personen wiens gegevens zich in een bulkdataset bevinden. Daarom beoordelen de diensten voorafgaand aan de verdere verwerking van een bulkdataset in welke mate de verdere verwerking een dergelijke beperking oplevert. De wijze waarop een bulkdataset is verworven speelt in deze beoordeling geen rol. Omdat de aard en omvang van de beperking afhankelijk is van het soort gegevens in een bulkdataset, moet elke bulkdataset afzonderlijk worden beoordeeld, tenzij meerdere sets feitelijk als één set gezien moeten worden. Het resultaat van de beoordeling is leidend voor het bepalen welk toegangsregime wordt toegepast op de bulkdataset.

De beoordeling vindt plaats aan de hand van twee criteria:

  • 1. De mate waarin de bulkdataset zicht geeft in bepaalde aspecten van iemands privéleven; en

  • 2. De mate waarin de bulkdataset voor een ieder toegankelijk is.

Om te beoordelen of een bulkdataset in meer of mindere mate zicht geeft op bepaalde aspecten van iemands privéleven wordt in het bijzonder gekeken naar onderstaande vier elementen.

  • 1. Identificerende gegevens: hierbij gaat het om de mate waarin een bulkdataset gegevens, nummers of kenmerken oplevert die herleidbaar zijn tot een persoon. Voorbeelden hiervan zijn namen, telefoonnummers, IP-adressen, IMEI-nummers of soortgelijke gegevens. Naarmate meerdere gegevens of kenmerken uit een bulkdataset aan een persoon kunnen worden gekoppeld, is de beperking van het recht op bescherming van de persoonlijke levenssfeer ook groter. Zo maakt een bulkdataset met uitsluitend IMEI-nummers een relatief beperkte inbreuk op de persoonlijke levenssfeer in vergelijking met een bulkdataset bestaande uit IMEI-nummers, IP-adressen, telefoonnummers en namen. Met al deze gegevens ontstaat immers sneller een meer compleet beeld van het communicatiegedrag en de communicatiemogelijkheden van een persoon. Ook zullen bepaalde identificerende gegevens op zichzelf al een grotere inbreuk maken dan andere kenmerken. Zo zal een lijst met zelfgekozen gebruikersnamen een minder grote inbreuk opleveren dan een lijst met namen uit officiële identiteitsbewijzen zoals paspoorten.

  • 2. Locaties: locatiegegevens hebben betrekking op de geografische locaties waar een persoon (of een automatisch werk dat toebehoort aan een persoon, zoals een telefoon, laptop of tablet) zich op een bepaald moment heeft opgehouden waarbij de locatiegegevens zijn geregistreerd. De mate waarin locaties zicht kunnen geven op iemands privéleven is onder meer afhankelijk van de frequentie, duur en nauwkeurigheid van de locatiegegevens in een bulkdataset.

  • 3. Netwerk: het betreft hier gegevens die zicht geven op (pogingen tot) het leggen van contact tussen personen. Dit kan gaan om een bulkdataset waaruit blijkt dat onderling mailverkeer heeft plaatsgevonden, een set met telefonieverkeersgegevens of een set met contactgegevens waarmee zicht ontstaat op een netwerk. Het gaat hierbij dus niet om de inhoud van het mailverkeer of de telefoongesprekken. Net als bij locatiegegevens geldt ook hier dat de frequentie, duur en nauwkeurigheid van de gegevens in een bulkdataset de mate van inbreuk op de persoonlijke levenssfeer in belangrijke mate bepalen.

  • 4. Vertrouwelijke inhoud: met behulp van voldoende vertrouwelijke inhoudelijke gegevens kan een relatief volledig beeld ontstaan over bepaalde aspecten van iemands privéleven. Hierbij kan gedacht worden aan de inhoud van mail- of chatverkeer of van besloten delen van social media, zoals privéberichten op sociale media. Het betreft niet uitsluitend communicatie; zo is een maaltijdvoorkeur bij het boeken van een vlucht ook een inhoudelijk gegeven. Inhoudelijke gegevens die een persoon zelf openbaar maakt, zoals berichten op een openbare pagina op sociale media, zijn niet vertrouwelijk van aard.

Naast de beoordeling van de mate waarin een bulkdataset inzicht kan geven in bepaalde aspecten van iemands privéleven, dient eveneens te worden beoordeeld in hoeverre de bulkdataset voor een ieder toegankelijk is, al dan niet na betaling. Zo zijn de niet-geanonimiseerde gegevens opgenomen in het register van de Kamer van Koophandel (na betaling) voor een ieder toegankelijk. Aan de toegang tot een dergelijke bulkdataset zullen derhalve minder strenge voorwaarden worden gesteld.

Vanwege de grote diversiteit aan bulkdatasets is het op voorhand niet mogelijk een limitatieve opsomming te geven welk toegangsregime voor welk type bulkdataset zal gelden. Dat zal altijd een afweging zijn van de omstandigheden van het geval en dient voor elke dataset afzonderlijk te worden bepaald. Slechts indien verschillende bulkdatasets feitelijk als één set gezien dienen te worden, zullen de sets ook gezamenlijk worden beoordeeld.

Telkens wanneer een bulkdataset is verworven moet een gemotiveerde afweging worden gemaakt in hoeverre de verdere verwerking een beperking oplevert van het recht op bescherming van de persoonlijke levenssfeer. Dit gebeurt aan de hand van de in het tweede lid genoemde criteria. Zo is het voorstelbaar dat een bulkdataset die uitsluitend identificerende gegevens bevat in het standaard toegangsregime wordt geplaatst. Met dergelijke gegevens kan immers alleen een koppeling worden gemaakt tussen bijvoorbeeld een naam en een telefoonnummer. Dit geeft slechts zeer beperkt zicht op aspecten uit iemands privéleven. Ook zullen de sets die voor een ieder toegankelijk zijn doorgaans in het eerste regime worden geplaatst.

In het beperkte toegangsregime zullen voornamelijk de datasets worden geplaatst die bepaalde aspecten van iemands privéleven in beperkte mate inzichtelijk maken doordat deze voornamelijk identificerende gegevens bevatten. Ook kan gedacht worden aan bulkdatasets die slechts zeer beperkt zicht geven op iemands locatie of netwerk.

Onder het strikt beperkte toegangsregime zullen vooral bulkdatasets vallen die bepaalde aspecten van iemands privéleven meer in detail inzichtelijk maken en die niet voor een ieder toegankelijk zijn. Dit zijn bijvoorbeeld bulkdatasets waarbij een goed zicht kan worden verkregen op iemands netwerk of locaties. Ook zullen bulkdatasets die veel vertrouwelijke inhoud bevatten doorgaans onder het strikt beperkte toegangsregime komen te vallen.

Uit het vierde lid volgt dat een bulkdataset uitsluitend verder wordt verwerkt overeenkomstig het door de minister vastgestelde toegangsregime. Zolang dit toegangsregime niet is vastgesteld mag er nog geen verdere verwerking plaatsvinden. In het voorstel tot vaststelling van het toegangsregime met betrekking tot een bulkdataset wordt (het resultaat van) de beoordeling ten aanzien van de mate waarin de verdere verwerking een beperking oplevert van het recht op bescherming van de persoonlijke levenssfeer verantwoord. Daarnaast wordt in dit lid bepaald dat de commissie van toezicht terstond op de hoogte wordt gebracht van de vaststelling van het voor de desbetreffende bulkdataset toepasselijke toegangsregime, zodat de commissie van toezicht in staat wordt gesteld om adequaat toezicht hierop te houden. In het geval dat de verantwoordelijk minister het advies van de dienst niet vaststelt komt het hoofd van de dienst met een nieuw advies.

Het vijfde lid voorziet in een herbeoordeling van de bulkdataset. De initiële vaststelling door de verantwoordelijke minister van het toepasselijke toegangsregime voor de verdere verwerking van een bulkdataset kan na verloop van tijd onvoldoende recht doen aan de aard en omvang van de gegevens in een bulkdataset. Dit kan komen doordat sinds de vaststelling gegevens uit een bulkdataset zijn vernietigd of doordat de bulkdataset juist is aangevuld met andere of soortgelijke gegevens. Wanneer de aard van de bulkdataset substantieel wijzigt, is dat aanleiding om de bulkdataset opnieuw te beoordelen op basis van de gegevens die zich op dat moment in de bulkdataset bevinden. Indien de herbeoordeling leidt tot de conclusie dat op de bulkdataset een ander toegangsregime van toepassing dient te zijn, wordt een daartoe strekkend voorstel voorgelegd aan de verantwoordelijke minister.

In het zesde lid is bepaald dat wanneer de minister niet instemt met het voorstel tot vaststelling van een ander toegangsregime, het geldende toegangsregime van toepassing blijft op een bulkdataset.

Artikel 4 (bevragingen)

In dit artikel wordt de bevoegdheid tot het doen van bevragingen geregeld. Het doen van een bevraging moet onderscheiden worden van het verkrijgen van de inhoudelijke gegevens naar aanleiding van het resultaat van een bevraging; het resultaat van een bevraging geeft antwoord op de vraag of er aan de bevraging gerelateerde gegevens in de bevraagde bulkdatasets voorhanden zijn. De bulkdatasets die de diensten verwerven zijn bedoeld om te benutten in lopende onderzoeken. Om dit mogelijk te maken worden de gegevens in de bulkdatasets na de verwerving in de datahuishouding van de diensten opgenomen en via de technische infrastructuur raadpleegbaar gemaakt ten behoeve van het inlichtingenproces. Langs deze weg worden de bulkdatasets bevraagbaar en, afhankelijk van de functie van de medewerker en toegekende autorisatie overeenkomstig het bepaalde in de artikelen 5, 6 en 7, kunnen de aan een bevraging gerelateerde inhoudelijke gegevens in een bulkdataset toegankelijk worden gemaakt voor de medewerkers.

Vaak zijn echter meerdere bulkdatasets – samen met andere verworven gegevens – via één applicatie te raadplegen zodat bij het gebruik van die applicatie meerdere bulkdatasets worden bevraagd. Aangezien de bulkdatasets gegevens kunnen bevatten die noodzakelijk zijn voor diverse onderzoeken van de dienst geschiedt de bevraging niet per individuele bulkdataset maar bij alle in de eerder genoemde datahuishouding opgenomen bulkdatasets tegelijk. Daartoe wordt in artikel 4 de bevoegdheid geregeld om de bij de dienst aanwezige bulkdatasets te bevragen door – kortgezegd – alle onderzoeksmedewerkers van de dienst. De mogelijkheid om vervolgens kennis te nemen van het resultaat van de bevraging, dat wil zeggen de daadwerkelijke inhoud van de gegevens, is afhankelijk van het toegangsregime (Standaard, beperkt, strikt beperkt) voor de bulkdataset waarin de gegevens zich bevinden en de aan de desbetreffende medewerker toegekende autorisaties.

Artikel 5 (standaard toegangsregime)

Dit artikel bevat de voorwaarden om gegevens te verkrijgen uit bulkdatasets die in het standaard toegangsregime worden geplaatst. Die verkrijging is toegestaan voor ambtenaren die uit hoofde van hun functie toegang tot deze bulkdatasets nodig hebben. Deze ambtenaren zijn belast met de uitvoering van de taken genoemd in artikel 8, tweede lid, onderscheidenlijk artikel 10, tweede lid, van de wet. Daarbij kan worden gedacht aan de medewerkers die het inlichtingenonderzoek uitvoeren maar ook data-analisten en data-scientists. Hiertoe behoren ook de ambtenaren die ten behoeve van de AIVD (artikel 91) of de MIVD (artikel 92) werkzaamheden uitvoeren.

Artikel 6 (beperkt toegangsregime)

In dit artikel staan de voorwaarden voor de verkrijging van gegevens uit bulkdatasets die in het beperkte toegangsregime zijn geplaatst. Verkrijging van de gegevens is in de eerste plaats toegestaan aan door het hoofd van de dienst aangewezen functiegroepen. Dit zijn bijvoorbeeld functiegroepen die vanwege hun specifieke kennis en expertise met bulkdata de verbanden tussen verschillende gegevensbestanden inzichtelijk kunnen maken door middel van data-analyses. Deze functiegroepen hebben voor lopende onderzoeken of dreigingsanalyses een ondersteunende rol en door middel van deze functiescheiding wordt bewerkstelligd dat slechts in beperkte kring kennis kan worden genomen van gegevens waarvan de waarde voor het specifieke onderzoek nog niet is vastgesteld. Daarnaast kan het noodzakelijk zijn dat een inlichtingenteam gegevens verkrijgt uit een bulkdataset, bijvoorbeeld omdat een bepaalde set – gelet op de onderzoeksopdracht van een team en de aard en inhoud van de set – naar alle waarschijnlijkheid bruikbare gegevens voor dat team bevat. Dit kan een team zijn dat inlichtingenonderzoeken verricht, maar ook een team dat belast is met de uitvoering van veiligheidsonderzoeken of het opstellen van dreigingsanalyses. Indien het voor een team het noodzakelijk blijkt om gegevens uit bepaalde bulkdatasets te verkrijgen, dan zal daartoe een gemotiveerd verzoek worden gedaan aan het hoofd van de dienst. Op dit schriftelijke verzoek wordt – na advies van de afdeling Juridische Zaken – beslist door het hoofd van de dienst. Wanneer het hoofd van de dienst deze toestemming heeft verleend, zal het desbetreffende team de aan de bevraging gerelateerde gegevens in de bulkdatasets waarvoor toestemming is verleend direct kunnen verkrijgen. Zoals toegelicht bij artikel 4 kan het ook voorkomen dat een applicatie meerdere bulkdatasets doorzoekt terwijl het team geen toestemming heeft om de gegevens uit al deze bulkdatasets te verkrijgen. In dat geval verkrijgt het team na een bevraging op grond van artikel 4 direct de gegevens uit de bulkdataset(s) waarvoor het team reeds toestemming heeft verkregen. Indien uit de bevraging blijkt dat ook in andere sets met hetzelfde toegangsregime gegevens aanwezig zijn, dan zal overeenkomstig het bepaalde in artikel 6 de daarin neergelegde procedure dienen te worden doorlopen om toestemming van het hoofd van de dienst te verkrijgen teneinde kennis te mogen nemen van de gegevens in de bulkdatasets waarvoor op moment van bevraging geen toestemming is.

Artikel 7 (strikt beperkt toegangsregime)

In dit artikel zijn de voorwaarden omschreven voor de verkrijging van gegevens uit bulkdatasets die in het strikt beperkte toegangsregime worden geplaatst. De door het hoofd van de dienst aangewezen functiegroepen – artikel 7, eerste lid, onder a – zijn gelijk aan de aangewezen functiegroepen in artikel 6. Daarnaast is er een toestemmingsprocedure voor de verkrijging van gegevens uit deze bulkdatasets door de inlichtingenteams. Een team verzoekt om verkrijging van de gegevens uit bulkdatasets in het strikt beperkt toegangsregime met het oogmerk om gegevens te raadplegen die van belang zijn voor de onderzoeken van dat team. Op dit schriftelijke verzoek wordt – na advies van de afdeling Juridische Zaken – beslist door het hoofd van de dienst.

Een functionaris in een team, niet behorende tot een reeds door het hoofd van de dienst aangewezen functiegroep op grond het eerste lid, onder a, heeft – ook na de toestemming van het hoofd van de dienst – geen zelfstandige toegang tot de inhoudelijke gegevens uit de bulkdatasets. Hij kan slechts een bevraging uitvoeren op grond van artikel 4. De gerelateerde gegevens komen slechts beschikbaar na een goedgekeurd verzoek aan het teamhoofd onderscheidenlijk teamleider dan wel bureauhoofd, om op basis van een aantal in het verzoek genoemde kenmerken gerelateerd aan het desbetreffende onderzoek, de desbetreffende gegevens in de bulkdatasets verstrekt te krijgen. Een dergelijk verzoek wordt gedaan als een medewerker de beschikking wil krijgen over de in de bulkdatasets beschikbare informatie over een kenmerk, zoals een telefoonnummer. Een team motiveert het verzoek om gegevens te verkrijgen gezien de noodzaak, gerichtheid, proportionaliteit en subsidiariteit voor de uitvoering van de opgedragen taak. Het teamhoofd beoordeelt een dergelijk verzoek en kan toestemming verlenen. Na de verleende toestemming worden de resultaten van de naslag ter beschikking gesteld. Vervolgens kan het belang van die gegevens voor enig lopend onderzoek worden vastgesteld.

Een functionaris die behoort tot een door het hoofd van de dienst aangewezen functiegroep als bedoeld in het eerste lid, onder a, mag dus de door deze functionaris onderzochte gegevens en resultaten niet ter beschikking stellen aan de andere functionarissen in een team ter verdere verwerking ervan, tenzij de verstrekking van die gegevens is goedgekeurd op basis van een verzoek als bedoeld in artikel 7, tweede lid.

Deze hiervoor toegelichte werkwijze waarborgt dat gegevens uit bulkdatasets in dit regime niet vrij toegankelijk zijn voor het inlichtingenproces.

Artikel 8 (verwijderingstermijnen bulkdatasets)

Artikel 20 van de wet bepaalt dat gegevens die, gelet op het doel waarvoor zij worden verwerkt, geen betekenis hebben, of hun betekenis hebben verloren, worden verwijderd. Dit betekent dat gegevens, waaronder gegevens in bulkdatasets, moeten worden verwijderd als deze geen doel meer dienen. Artikel 20, derde lid, van de wet bepaalt dat de verwijderde gegevens worden vernietigd, tenzij wettelijke regels omtrent bewaring hieraan in de weg staan.

Artikel 8 geeft – buiten de situatie dat evident aan de in artikel 20, eerste lid, van de wet neergelegde criteria wordt voldaan (geen betekenis meer hebben dan wel deze hebben verloren) – een nadere regeling op grond waarvan periodiek wordt bezien of een bulkdataset dient te worden verwijderd. De hierbij gehanteerde concrete termijnen worden berekend vanaf het moment waarop bulkdatasets betekenis hebben gekregen in de zin van artikel 20 van de wet. Hierbij wordt opgemerkt dat de wet voor gegevens die zijn verworven met bevoegdheden anders dan bijzondere bevoegdheden geen verplichting geeft om deze zo spoedig mogelijk te onderzoeken op relevantie voor het desbetreffende onderzoek dan wel enig ander onderzoek. Voor deze gegevens geldt het moment van verwerving als moment waarop deze gegevens betekenis hebben gekregen in de zin van artikel 20 van de wet.

Artikel 9 (overgangsrecht)

Artikel 9 bepaalt dat voor de toepassing van het bepaalde in artikel 8, dat wil zeggen de termijn waarbinnen periodieke herbeoordeling van bulkdatasets plaats moet vinden, voor bulkdatasets die reeds bij de diensten in het betekenisregime zitten de datum van inwerkingtreding van deze regeling wordt aangemerkt als de datum waarop deze bulkdatasets betekenis hebben gekregen als bedoeld in artikel 20 van de wet.

Artikel 10 (verstrekking bulkdatasets)

Dit artikel regelt dat voor de verstrekking van een bulkdataset aan een inlichtingen- of veiligheidsdienst van een ander land toestemming van de verantwoordelijke minister is vereist. Het doet niet ter zake of een bulkdataset als geëvalueerd of ongeëvalueerd is aangemerkt, evenmin of de bulkdataset al dan niet als relevant is beoordeeld. Gezien de mogelijke inbreuk op de persoonlijke levenssfeer die samenhangt met de verstrekking van een bulkdataset aan een inlichtingen- of veiligheidsdienst van een ander land en de verdere verwerking van de gegevens door die dienst wordt het noodzakelijk geacht dat de verantwoordelijke minister voor elke verstrekking toestemming verleent. Bij het verzoek om toestemming zal in ieder geval dienen te gemotiveerd voor welk doel de verstrekking dient plaats te vinden en waarom dat voor een goede uitvoering van de aan de dienst opgedragen taak noodzakelijk is. Ook zal aangegeven dienen te worden of en, zo ja, welke mogelijke risico’s aan de verstrekking voor (met name) de persoonlijke levenssfeer zijn verbonden en op welke wijze die risico’s worden geadresseerd. Hierbij wordt aansluiting gezocht bij de waarborgen van verstrekkingen van ongeëvalueerde gegevens. In artikel 10 is voorts opgenomen dat de commissie van toezicht ook van een verleende toestemming voor het delen van de bulkdataset terstond op de hoogte wordt gebracht.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren

De Minister van Defensie, A.Th.B. Bijleveld-Schouten


X Noot
1

Op basis van het met artikel 16 corresponderende artikel 11 in de Wet op de inlichtingen- en veiligheidsdiensten 2002 is eerder de Tijdelijke regeling onafhankelijke toetsing bijzondere bevoegdheden Wiv 2002 jegens advocaten en journalisten vastgesteld; deze tijdelijke regeling is met de totstandkoming van de Wiv 2017 komen te vervallen.

Naar boven