Nota naar aanleiding van het tweede verslag - Tijdelijke regels inzake specifieke wettelijke voorzieningen voor het uitvoeren van onderzoeken door de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen alsmede voorzieningen inzake de mogelijkheid tot vaststelling van een nieuwe eindtermijn voor gebruik door de diensten van in het kader van hun taakuitvoering met bijzondere bevoegdheden verworven bulkdatasets en de invoering van een bindende toets ex ante van verleende toestemmingen voor de real time interceptie van verkeers-en locatiegegevens (Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen) - Hoofdinhoud

Deze nota naar aanleiding van het tweede verslag i is onder nr. J toegevoegd aan wetsvoorstel 36263 - Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen i.

1. Kerngegevens

Officiële titel	Tijdelijke regels inzake specifieke wettelijke voorzieningen voor het uitvoeren van onderzoeken door de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen alsmede voorzieningen inzake de mogelijkheid tot vaststelling van een nieuwe eindtermijn voor gebruik door de diensten van in het kader van hun taakuitvoering met bijzondere bevoegdheden verworven bulkdatasets en de invoering van een bindende toets ex ante van verleende toestemmingen voor de real time interceptie van verkeers-en locatiegegevens (Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen); Nota naar aanleiding van het tweede verslag
Documentdatum	29-02-2024
Publicatiedatum	29-02-2024
Nummer	KST36263J
Kenmerk	36263, nr. J
Externe link	origineel bericht
Originele document in PDF

2. Tekst

Eerste Kamer der Staten-Generaal

2024

Vergaderjaar 2023-

36 263

Tijdelijke regels inzake specifieke wettelijke voorzieningen voor het uitvoeren van onderzoeken door de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen alsmede voorzieningen inzake de mogelijkheid tot vaststelling van een nieuwe eindtermijn voor gebruik door de diensten van in het kader van hun taakuitvoering met bijzondere bevoegdheden verworven bulkdatasets en de invoering van een bindende toets ex ante van verleende toestemmingen voor de real time interceptie van verkeers-en locatiegegevens (Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen)

NOTA NAAR AANLEIDING VAN HET TWEEDE VERSLAG

Ontvangen 28 februari 2024

Wij hebben met veel belangstelling kennis genomen van de aanvullende vragen en opmerkingen van de leden van de fracties van GroenLinks-PvdA, PVV en PvdD. Wij gaan daar graag op in. Daarbij zal zoveel mogelijk de indeling van het tweede verslag worden gevolgd. Waar dat dienstig is, zullen gelijkluidende vragen van de leden van de fracties worden samengenomen en worden beantwoord.

1.

Inleiding

De leden van de fractie van GroenLinks-PvdA hebben met belangstelling kennisgenomen van de beantwoording van de gestelde vragen. Naar aanleiding daarvan hebben deze fractieleden nog verschillende vervolgvragen. Zij benadrukken graag dat zij hechten aan het belangrijke werk van onze veiligheidsdiensten. De bevoegdheden uit de Tijdelijke wet brengen echter ook vergaande inbreuken op grondrechten met zich.

Vanuit het belang van onze democratische rechtsstaat is het noodzakelijk om deze spanning in de voorliggende Tijdelijke wet goed te doorgronden. Daarom stellen voornoemde fractieleden graag aanvullende vragen.

kst-36263-J ISSN 0921 - 7371 's-Gravenhage 2024

De leden van de PVV-fractie hebben kennisgenomen van de nota naar aanleiding van het verslag. Zij wensen nog een aantal vervolgvragen te stellen.

De fractieleden van de PvdD hebben kennisgenomen van de nota naar aanleiding van het verslag en hebben nog een aantal vervolgvragen.

2.

Inhoud van het wetsvoorstel op hoofdlijnen

De leden van de PVV-fractie merken op dat de regering in de nota naar aanleiding van het verslag op p. 3 stelt: «de zwaarte van de inbreuk die gepaard gaat met de verkenning (die in het geval van een verkenning zeer gering is)». Zij vragen of de regering voor de leden kan aangeven welke kaders en criteria worden gehanteerd om te bepalen dat deze inbreuk «zeer gering» zou zijn.

De passage waarnaar de leden van de PVV-fractie verwijzen, betreft de verkenning ten behoeve van hacken. Dit is een ondersteunende bevoegdheid en heeft tot doel om inzicht te krijgen in de eigenschappen van een geautomatiseerd werk, zoals geïnstalleerde software, aanwezige netwerkverbindingen en hardware, zodat een verzoek om toestemming tot het daadwerkelijk binnendringen (hacken) van dat geautomatiseerde werk beter kan worden gemotiveerd. Bij verkennen is derhalve nog geen sprake van binnendringen. Daarom is de inbreuk op de privacy die gepaard gaat met deze bevoegdheid tot verkennen, zeker in vergelijking met het daadwerkelijk binnendringen van geautomatiseerde werken, zeer gering.

De fractieleden van de PVV vragen de regering zo volledig mogelijk aan te geven wat in de praktijk onder «bijschrijvingen» wordt verstaan.

Bijschrijven is het aanvullen van een reeds verleende toestemming met andere nummers of technische kenmerken die binnen de reikwijdte van die toestemming vallen zodat een target «digitaal gevolgd» kan worden. Bijschrijvingen gedurende (bijvoorbeeld) een hackoperatie maken het mogelijk om mee te bewegen met een target (bijvoorbeeld een Russische of Chinese hacker). Targets die een cyberaanval uitvoeren willen niet ontdekt worden en wisselen daarom voortdurend van positie op het internet, bijvoorbeeld door steeds andere systemen te gebruiken in aanvulling op of als vervanging van het originele systeem (waarop de reeds verleende toestemming ziet). Artikel 47 van de Wiv 2017 bevat nu al de mogelijkheid tot het bijschrijven van een geautomatiseerd werk. In de Tijdelijke wet wordt verduidelijkt dat bijschrijven ook mogelijk is wanneer een geautomatiseerd werk niet exclusief in gebruik is bij de desbetreffende persoon of organisaties. Dit kan bijvoorbeeld het geval zijn als een persoon of organisatie gebruikmaakt van een server waarvan ook derden gebruikmaken. Volledigheidshalve wordt opgemerkt dat het voorgaande ook van toepassing is op bijschrijvingen in het kader van telefoontaps en informatieverzoeken aan aanbieders van communicatiediensten op grond van de artikelen 47 en 54 van de Wiv 2017 (artikelen 9 en 10 van de Tijdelijke wet).

De PVV-fractieleden wijzen op p. 4 van de nota, waar de regering aangeeft dat er uitvoeringstoetsen zijn uitgevoerd en dat bij deze ketentesten het conceptwetsvoorstel met alle betrokken partners is doorlopen aan de hand van fictieve casussen. Zij vragen de regering meer specifiek aan te geven in hoeverre daarbij ook getoetst is op aspecten van privacy en wat daarvan de uitkomsten zijn en daarbij tevens aan te geven welke betrokken partners dit betreft.

Vooropgesteld wordt dat bij de voorbereiding van dit wetsvoorstel, dus niet alleen in de ketentesten, steeds rekening is gehouden met de vraag wat een en ander zou betekenen voor de balans tussen enerzijds de voor de diensten benodigde aanpassingen om hun wettelijke taken effectief uit te kunnen voeren en anderzijds hoe de daaruit voortvloeiende inbreuken op grondrechten, de privacy van burgers in het bijzonder, kunnen worden beperkt en van adequate waarborgen kunnen worden voorzien. In algemene zin geldt dat uit het afwegingskader dat is neergelegd in artikel 26 van de Wiv 2017 voortvloeit dat voorafgaand aan elke inzet van een bevoegdheid een belangenafweging wordt gemaakt tussen de door de diensten te behartigen belangen en het belang van de betrokkene. Bij de uitvoeringstoets zijn de diensten, de TIB, de afdeling toezicht van de CTIVD en de Afdeling bestuursrechtspraak van de Raad van State betrokken geweest.

Op p. 5 van de nota lezen de leden van de PVV-fractie dat ten aanzien van de landen met een offensief cyberprogramma via de Geïntegreerde Aanwijzing wordt bepaald welke landen dit zijn. Zij vragen of de regering nauwkeuriger kan aangeven op basis van welke criteria deze landen worden aangewezen, en of de regering tevens kan aangeven in hoeverre dit ook van toepassing is op landen die in nauw verband staan met landen met een offensief cyberprogramma, bijvoorbeeld landen die nauw verbonden zijn met Iran, zoals Jemen of Syrië.

De wettelijke taken van de diensten worden aan de hand van de inventarisatie van de behoeften bij belanghebbende ministeries uitgewerkt in onderzoeksthema's in de Geïntegreerde Aanwijzing (GA). Daarin is ook het onderzoek naar landen met een offensief cyberprogramma opgenomen. Landen komen in aanmerking voor deze kwalificatie als de diensten en de belanghebbende ministeries aanwijzingen hebben dat deze landen een offensief cyberprogramma ontplooien waarmee zij een risico vormen voor Nederland of Nederlandse belangen, de belangen van onze bondgenoten inbegrepen. Deze onderbouwing is gebaseerd op de onderzoeken die de diensten doen en het dreigingsbeeld dat daaruit voortkomt, alsmede ontwikkelingen in dreigingen en daaruit voortkomende behoeftestellingen bij de betrokken departementen. Er is dus geen lijst met criteria waaraan landen moeten voldoen om in de GA te komen. De specifieke landen met een offensief cyberprogramma waar op dit moment actief onderzoek naar wordt gedaan door de diensten, zijn genoemd in de staatsgeheim gerubriceerde bijlage bij de GA. Of landen die nauw verbonden zijn met bijvoorbeeld Iran zelfstandig in de GA worden aangemerkt als land met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, is staatsgeheim en daarover kunnen in het openbaar in beginsel geen mededelingen worden gedaan. De Tweede Kamer wordt hierover geïnformeerd via de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD).

De PVV-fractie wijst op p. 6 van de nota, waar staat: «dan zal een ad hoc afweging dienen plaats te vinden voor welk onderzoek de inzet van die bijzondere bevoegdheid en de daarmee te verkrijgen gegevens het grootste belang heeft oftewel waar het zwaartepunt van het onderzoek naar het target ligt». Deze fractie vraagt of de regering kan aangeven hoe vooraf voorkomen kan worden dat bij deze «ad hoc afweging» voor de weg van de minste weerstand wordt gekozen en daarmee voor het lichtste toezichtsregime.

We willen in reactie op deze vraag benadrukken dat in het kader van de Tijdelijke wet geen sprake is van een lichter toezichtsregime. De ex ante TIB-toets komt op enkele onderdelen te vervallen, maar daar komt in alle gevallen bindend ex durante toezicht door de afdeling toezicht van de

CTIVD voor in de plaats. Dit past niet alleen beter bij het dynamische karakter van de uitvoering van de desbetreffende bevoegdheden door de diensten, maar het zorgt er ook voor dat de thans geldende waarborgen in totaliteit bezien worden gehandhaafd. De TIB toetst bovendien de toepasselijkheid van de Tijdelijke wet.

De fractieleden van de PVV lezen in antwoord op een vraag over (openlijke) digitale beïnvloedingscampagnes op p. 9 van de nota: «De AIVD en MIVD proberen door middel van inlichtingenonderzoeken te achterhalen welke heimelijke doelen en intenties een land met een offensief cyberprogramma heeft». Deze fractieleden vragen de regering aan te geven hoe die focus op «heimelijke» doelen en intenties zich verhoudt tot de juist openlijke beïnvloedingscampagnes, en of de regering kan aangeven of de Tijdelijke wet alleen van toepassing is als dit heimelijk gebeurt.

Op het moment dat een digitale beïnvloedingscampagne openlijk is, betekent dit niet dat het betreffende land geen andere achterliggende, onbekende en mogelijk schadelijke doelen en intenties bij die campagne heeft. Om te achterhalen of een land ook heimelijke doelen en intenties heeft, moeten de AIVD en MIVD daar onderzoek naar kunnen doen. Niet alle doelen en intenties van een land worden immers zichtbaar met een openlijke beïnvloedingscampagne. De Tijdelijke wet is van toepassing op het moment dat een dergelijke campagne wordt uitgevoerd door een land met een offensief cyberprogramma en de diensten op grond van de GA onderzoek doen naar dat land. Dat staat dus los van het heimelijke karakter van de campagne, het gaat om het land achter de campagne.

De PVV-fractieleden wijzen erop dat de nota op p. 10 aangeeft: «In een onderzoek van de diensten kan blijken dat bepaalde personen, organisaties of landen desinformatie verspreiden, eventueel in de vorm van complottheorieën». Zij vragen of de regering kan aangeven of de Tijdelijke wet zich - zoals elders in de nota gesteld - specifiek richt op landen, of ook op personen of organisaties. Daarnaast vragen zij de regering tevens aan te geven hoe wordt bepaald, en door wie, of er sprake is van desinformatie en/of een complottheorie, en in hoeverre dit samen dient te hangen met een statelijke actor met een offensief cyberprogramma om legitiem de bevoegdheden uit deze Tijdelijke wet in te mogen zetten.

De dreiging voor de nationale veiligheid vanuit landen met een offensief cyberprogramma neemt overduidelijk toe. Het huidige wettelijk kader sluit onvoldoende aan op de dynamische praktijk. Wij hechten eraan nog eens duidelijk te maken dat het kabinet met de Tijdelijke wet beoogt om inzicht te krijgen in de intenties van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangenen waar nodig tegen te gaan.

Het begrip desinformatie staat gedefinieerd in de Veiligheidsstrategie voor het Koninkrijk der Nederlanden¹: het doelbewust, veelal heimelijk, verspreiden van misleidende informatie, met het doel om schade toe te brengen aan het publieke debat, democratische processen, de open en kenniseconomie of volksgezondheid. De Tijdelijke wet is gericht op onderzoeken naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Wanneer in onderzoeken naar deze landen blijkt dat door een statelijke actor gebruik wordt gemaakt van personen of organisaties, bijvoorbeeld om Nederland of het westen heimelijk te beïnvloeden, vormen deze personen of organisaties daarmee een dreiging voor de nationale veiligheid en kan onderzoek naar deze personen en organisaties plaatsvinden op grond van de Tijdelijke wet. Dit wordt getoetst door de TIB.

Ook lezen de PVV-fractieleden dat de nota op p. 10 spreekt over het «veroorzaken van maatschappelijke ontwrichting». Zij vragen de regering aan te geven wat hier concreet onder «maatschappelijke ontwrichting» wordt verstaan, en hoe en door wie dit wordt bepaald.

In de Veiligheidsstrategie voor het Koninkrijk der Nederlanden zijn de nationale veiligheidsbelangen beschreven die de kern vormen van wat beschermd moet worden. Als een dreiging tegen de nationale veiligheid één of meer veiligheidsbelangen ernstig aantast, kan dat maatschappelijke ontwrichting veroorzaken en daarmee de nationale veiligheid schaden. Gedacht kan worden aan cyberaanvallen op Nederlandse vitale belangen zoals het ontregelen van infrastructuur of financiële instellingen. Uitval of verstoring ervan leidt al gauw tot maatschappelijke ontwrichting. Afhankelijk van de situatie kan dit worden besproken in de Raad voor Inlichtingen en Veiligheid (RVI), de Nationale Veiligheidsraad (NVR), de ministerraad of de Ministeriële Commissie Crisisbeheersing (MCCb).

De leden van de PVV-fractie merken op dat de regering op p. 11 van de nota aangeeft: «In algemene zin kan echter worden gesteld dat onderzoek naar jihadisme (contra-terrorisme) niet onder de reikwijdte van dit wetsvoorstel valt». De leden vragen de regering aan te geven of hiermee niet het risico ontstaat van een blinde vlek voor jihadisme bij de toepassing van de Tijdelijke wet, of zelfs jihadisten niet aangepakt kunnen worden omdat ze buiten de reikwijdte van dit wetsvoorstel zouden vallen.

De Tijdelijke wet stelt de AIVD en MIVD in staat effectief onderzoek te doen naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Deze landen kunnen daarbij gebruik maken van personen, organisaties of groeperingen, waaronder ook jihadistische groeperingen. In dat geval kan het onderzoek naar die groepering onder de Tijdelijke wet plaatsvinden. Onderzoeken naar jihadisme zijn ook mogelijk indien geen sprake is van betrokkenheid van een land. In dat geval vinden de onderzoeken plaats op grond van de Wiv 2017. Er is dus geenszins sprake van een blinde vlek of een onmogelijkheid om deze onderzoeken uit te voeren. Het mondiaal jihadisme vormt nog altijd de belangrijkste terroristische dreiging tegen Nederland, dus onderzoeken naar jihadisme blijven onverminderd van belang.

3.

De maatregelen nader beschouwd

In de antwoorden op vragen van de fractieleden van GroenLinks-PvdA worden vier fases omschreven die door de diensten gehanteerd worden bij de onderzoeksopdrachtgerichte interceptie (hierna: OOG-interceptie), van ongericht naar gericht:

1.

Verkennen (artikel 6 van de Tijdelijke wet)

2.

Verwerving voor het inlichtingenproces (artikel 48 en 49, eerste lid, van de Wiv 2017 en artikel 7 van de Tijdelijke wet)

3.

Identificatie (artikel 49, tweede lid, van de Wiv 2017)

4.

Selectie (artikel 50 van de Wiv 2017)

Over deze vier fases hebben voornoemde fractieleden enkele verdiepende vragen om scherp te krijgen wat er precies met de data gebeurt in de verschillende fases, welke rechtsgrond daarbij van toepassing is, en hoe het toezicht per fase er precies uitziet.

Het Europees Hof voor de Rechten van de Mens (hierna: EHRM) noemt in een uitspraak over interceptie van bulkdata vier stadia, namelijk:

I.

De interceptie en initiële bewaring van communicatie (inhoud) en de gerelateerde communicatiedata (verkeersgegevens);

II. De toepassing van specifieke selectoren op de bewaarde communicatie/communicatiedata;

III. Het onderzoek van geselecteerde communicatie/communicatiedata door analisten;

IV. De daaropvolgende bewaring van gegevens en het gebruik van het «eindproduct», met inbegrip van het delen van data met derdepartijen.

De fractieleden van GroenLinks-PvdA vragen of de regering kan aangeven hoe de vier door de regering genoemde fases zich verhouden tot de vier stadia die het EHRM noemt. Dit geeft helderheid om de uitspraken van het EHRM (over bulkdata-interceptie) te plaatsen in de Nederlandse context. De fractieleden vragen de regering deze vergelijking aan te vullen met eventueel ontbrekende van toepassing zijnde wetsartikelen.

Hieronder staat de interpretatie van de leden van de fractie van GroenLinks-PvdA schematisch weergegeven. Graag verzoeken zij de regering om aan te geven of hun interpretatie wordt gedeeld, en zo nee, op welke onderdelen niet en waarom niet.

Vier fases (antwoorden door regering) Vier stadia genoemd door EHRM

1.

Verkennen (artikel 6 van de Tijdelijke wet)

2.

Verwerving voor het inlichtingenproces (artikel 48 en 49, eerste lid, van de Wiv 2017 en artikel 7 van de Tijdelijke wet)

3.

Identificatie (artikel 49, tweede lid, van de Wiv 2017)

4.

Selectie (artikel 50 van de Wiv 2017)

I.

De interceptie en initiële bewaring van communicatie (inhoud) en de gerelateerde communicatiedata (verkeersgegevens)

II. De toepassing van specifieke selectoren op de bewaarde communicatie/ communicatiedata

III. Het onderzoek van geselecteerde communicatie/communicatiedata door analisten

IV. De daaropvolgende bewaring van gegevens en het gebruik van het «eindproduct», met inbegrip van het delen van data met derdepartijen

Allereerst wordt benadrukt dat de Tijdelijke wet geen nieuwe bevoegdheden introduceert. Wel voorziet de Tijdelijke wet, mede naar aanleiding van aanbevelingen van de Evaluatiecommissie Wiv 2017 en de CTIVD, in een zelfstandige juridische grondslag voor het verkennend onderzoek.

Het EHRM erkent dat bulkinterceptie van vitaal belang is voor verdragsstaten teneinde gekende en ongekende bedreigingen voor hun nationale veiligheid te identificeren.²Ook benadrukt het Hof dat de bedreigingen voor staten zijn versterkt door toegenomen digitalisering en technologische ontwikkelingen en het Hof noemt ook expliciet het gevaar van bedreigingen op cybersecuritygebied: «Access to such technology also permits hostile State and non-state actors to disrupt digital infrastructure and even the proper functioning of democratic processes through the use of cyberattacks, a serious threat to national security which by definition exists only in the digital domain and as such can only be detected and investigated there». Dit maakt bulkinterceptie volgens het Hof «a valuable technological capacity to identify new threats in the digital domain».³Het Hof benoemt de stadia die zijn gericht op OOG-interceptie voor het inlichtingenproces in opeenvolgende stappen. De verkenningsbe-voegdheid op basis van artikel 6 van de Tijdelijke wet heeft een ander doel, namelijk technisch onderzoek met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming voor OOG-interceptie voor het inlichtingenproces betrekking dient te hebben. De met deze bevoegdheid verworven gegevens zijn uitsluitend beschikbaar voor specifieke daartoe aangewezen medewerkers en komen nooit beschikbaar in het inlichtingenproces. De verkenningsbevoegdheid en de door het EHRM onderscheiden stadia kunnen daarom niet in dezelfde context worden bekeken. Om die reden moet de verhouding tussen de verkenningsbevoegdheid van artikel 6 (technisch onderzoek) en de door het EHRM belichte stadia (inlichtingenonderzoek) op een andere wijze gewogen worden. De inbreuk in de verkenningsfase is dan ook beperkter dan de inbreuk in de fase van inlichtingenonderzoeken. De afdeling toezicht van de CTIVD heeft dit ook al eerder bevestigd in rapport 75 inzake de uitvoering van kabelinterceptie. De uitvoering van verkennen en de verhouding tot de stadia van bulkinterceptie in het licht van Europese jurisprudentie komt niet geheel overeen. Derhalve raakt de inzet van de verkenningsbevoegdheid de stadia I, II en III afkomstig uit Europese jurisprudentie, maar is dit geheel in het perspectief van technisch onderzoek en is er daardoor ook sprake van een beperkte inbreuk op fundamentele rechten. De stadia genoemd door het ERHM zijn gekoppeld aan bulkinterceptie ten behoeve van het uiteindelijke inlichtingenonderzoek en dat is bij gegevens die zijn verworven op grond van artikel 6 Tijdelijke wet niet aan de orde. Daarom geldt dat fase 2 (verwerving voor het inlichtingenproces) ook overeenkomt met fase 1 van het EHRM, omdat op dat moment gegevens opnieuw verworven worden, maar niet ten behoeve van de bevoegdheid tot verkennen, maar ten behoeve van het inlichtingenproces. Om die reden delen wij de interpretatie van deze leden in het schema niet.

De leden van de fractie van PvdA-GroenLinks stellen vast dat het EHRM beoordeelt of een bulkinterceptieregime verdragsconform is door een globale beoordeling van de werking van het regime. Daarbij wordt in het bijzonder bekeken of de Staat binnen de hem toekomende «marge van appreciatie» (margin of appreciation) is gebleven. En meer specifiek onderzoekt het Hof, teneinde vast te stellen of wordt voldaan aan de eisen van «in overeenstemming met de wet» en «noodzakelijkheid», of in het binnenlands wettelijk kader de volgende acht eisen helder zijn bepaald:

i.

The grounds on which bulk interception may be authorized;

ii.

The circumstances in which an individual's communications may be intercepted;

iii.

The procedure to be followed for granting authorisation;

iv.

The procedures to be followed for selecting, examining and using intercept material;

v.

The precautions to be taken when communicating the material to other parties;

vi.

The limits on the duration of interception, the storage of intercept material and the circumstances in which such material must be erased and destroyed;

vii.

The procedures and modalities for supervision by an independent authority of compliance with the above safeguards and its powers to address non-compliance;

viii.

The procedures for independent ex post facto review of such compliance and the powers vested in the competent body addressing instances of non-compliance.

De leden van de fractie van GroenLinks-PvdA vragen of de regering kan aangeven of en, zo ja, hoe met de komst van de Tijdelijke wet deze acht vereisten geborgd zijn en blijven. Ook vragen zij of de regering, op onderdelen, twijfels heeft over de mate waarin het voorliggende wetsvoorstel (in samenhang met de Wiv 2017) voldoet aan deze vereisten en zo ja, op welke onderdelen.

Allereerst willen we opmerken dat bij het opstellen van de Wiv 2017 de door het EHRM ontwikkelde zes vereisten waaraan een regeling voor gerichte interceptie dient te voldoen, aanvankelijk alleen toegepast op het strafvorderlijke domein (Weber en Saravia tegen Duitsland) en later ook op het domein van de nationale veiligheid (Roman Zakharov tegen Rusland), in brede zin zijn toegepast op de regulering van alle bijzondere bevoegdheden van de Nederlandse inlichtingen- en veiligheidsdiensten. Dus ook op bulkinterceptie. De «Weber-criteria» zijn in hoofdstuk 9 van de memorie van toelichting bij de Wiv 2017, waarin uitvoerig is ingegaan op de grond- en mensenrechtelijke aspecten, betrokken. De conclusie was (en is) dat de Wiv 2017 aan deze vereisten voldoet. In de uitspraak van 25 mei 2021 in de zaak Big Brother Watch e.a. tegen het Verenigd Koninkrijk en -op vergelijkbare wijze - in de zaak Centrum för Rattvissa tegen Zweden heeft de Grote Kamer van het EHRM voortbouwend op deze vereisten een specifieke uitwerking gegeven voor (uitsluitend) de toepassing van de bevoegdheid van bulkinterceptie door inlichtingen- en veiligheidsdiensten in het kader van de nationale veiligheid. Dat zijn de acht criteria waaraan deze leden in hun vraagstelling refereren. De reden voor een specifieke (verdere) uitwerking van de eerdere criteria specifiek voor bulkinterceptie was dat, aldus het EHRM, - tegen de achtergrond dat de zogeheten Weber-criteria al meer dan 10 jaar oud waren en dat sindsdien de technologische ontwikkelingen en de wijze waarop mensen met elkaar communiceren niet heeft stilgestaan - daarbij geen rekening is gehouden met de aard en schaal van bulkinterceptie alsmede dat door thans voorhanden zijnde analysemethoden een intiem portret van mensen kan worden verkregen. Daarbij werd gewezen op een aantal wezenlijke verschillen tussen gerichte interceptie en bulkinterceptie: (1) bulkinterceptie is veelal gericht op internationaal communicatieverkeer, waarbij het doel is om de communicaties te monitoren van personen buiten de eigen jurisdictie die niet door andere vormen van surveillance kunnen worden gemonitored, (2) ook het doel waarvoor bulkinterceptie wordt uitgevoerd lijkt anders te zijn dan bij gerichte interceptie; de inzet van bulkinterceptie lijkt vooral gebruik te worden voor doeleinden van buitenlandse gegevensverzameling (foreign intelligence gathering), de vroege ontdekking en onderzoek van cyberaanvallen, contra-spionage en contra-terrorisme en (3) bulkinterceptie wordt niet noodzakelijkerwijs gebruikt om op specifieke targets te worden toegepast, maar het kan wel en niet zozeer door het monitoren van hun apparatuur maar door het gebruik van «strong selectors» (zoals e-mailadressen) op de in bulk verzamelde gegevens. Of door toepassing van een «complex query». Afgezet tegen deze achtergrond stelt het EHRM vast dat - zoals bij elk interceptieregime - er bij bulkinterceptie een aanzienlijke mogelijkheid bestaat dat deze op een manier wordt gebruikt die nadelig is voor het recht op privéleven van de burger. Hoewel artikel 8 EVRM de toepassing van bulkinterceptie in het kader van nationale veiligheid niet verbiedt, stelt het Hof wel dat bij de toepassing daarvan de «margin of appreciation»

(die de Staten ter zake toekomt) beperkter moet zijn en tevens moet er een aantal waarborgen aanwezig zijn. Dat heeft geleid tot de genoemde acht vereisten.

Gelet op het belang van beide genoemde uitspraken voor de Nederlandse wetgeving voor (onder meer) bulkinterceptie door de AIVD en de MIVD is daarvan een interne analyse gemaakt door de directie Constitutionele Zaken en Wetgeving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en deze analyse is aan zowel de Eerste Kamer als de Tweede Kamer aangeboden.⁴ Daarin is uitvoerig ingegaan op de betekenis van deze uitspraken alsmede op de door voormelde leden genoemde acht criteria. Toegespitst op de concrete vraag van de leden van de GroenLinks-PvdA-fractie of met de Tijdelijke wet deze criteria geborgd blijven, kan bevestigend worden geantwoord. De regeling inzake bulkinterceptie zoals neergelegd in de Wiv 2017 blijft immers van toepassing, zij het dat op onderdelen een nadere uitwerking en verduidelijking heeft plaatsgevonden in de Tijdelijke wet. Dat betreft allereerst de explicitering van de bevoegdheid tot het verkennen in het kader van OOG-interceptie, een nadere uiteenzetting van de aspecten die specifiek bij de toepassing van de proportionaliteits- en gerichtheidseis in het kader van bulkinterceptie (productie) dienen te worden toegepast en een verschuiving van een bindende toets ex ante op GDA op OOG-metadata door de TIB naar bindend toezicht door de afdeling toezicht van de CTIVD ex durante en ex post. Wij wensen echter wel nogmaals te benadrukken dat de Tijdelijke wet geen nieuwe bevoegdheden introduceert voor de diensten, maar ervoor zorgt dat een beperkt aantal bestaande bevoegdheden effectiever, en meer zoals in de Wiv 2017 oorspronkelijk is beoogd, kan worden ingezet.

In paragraaf 5 van de memorie van toelichting op de Tijdelijke wet is ingegaan op de betekenis van de eerder genoemde uitspraken van het EHRM. Bij de voorbereiding van het onderhavige wetsvoorstel is nadrukkelijk acht geslagen op die uitspraken. De conclusie dat de Wiv 2017 voldoet aan de eisen van het EVRM geldt ook voor de Tijdelijke wet. De zelfstandige juridische grondslag ex artikel 6 voor de inzet van de bevoegdheid tot bulkinterceptie in het kader van verkennen is op een vergelijkbare manier geregeld als op OOG-interceptie in artikel 48 Wiv 2017. Dat wil zeggen dat voor de uitoefening toestemming van de Minister is vereist en dat de TIB de toestemming vervolgens onderwerpt aan een ex ante rechtmatigheidstoets. Voorts dient aan de algemene eisen die in de Wiv 2017 worden gesteld aan verwerking van gegevens - zoals noodzakelijkheid, subsidiariteit en proportionaliteit - te worden voldaan. En waar het gaat om artikel 6 is er tevens sprake van een strikte doelbinding en is de kring van personen die van de geïntercepteerde gegevens kennis mogen nemen beperkt. Voorts geldt dat ook de verstrekking van gegevens aan een inlichtingen- en veiligheidsdienst van een ander land nadrukkelijk aan beperkingen is onderworpen: uitsluitend met het oog op het in artikel 6, eerste lid, vermelde doel, na toestemming van de Minister en niet eerder dan 5 dagen na melding van de voorgenomen verstrekking aan de afdeling toezicht van de CTIVD. Wij hebben dan ook geen twijfel dat de thans voorliggende regeling inzake bulkinterceptie voldoet aan de eisen van het EVRM. Zoals bij de aanbieding van de eerdergenoemde analyse aan de beide kamers is toegezegd zal deze betrokken worden bij de aangekondigde herziening van de Wiv 2017. Dat geldt dus ook voor de daarin genoemde aandachtspunten, die overigens een breder scala van onderwerpen dan uitsluitend bulkinterceptie betreffen.

De fractieleden van GroenLinks-PvdA constateren dat er in de beantwoording van de vragen verschillende (deels overlappende) termen worden gebruikt. Om duidelijk te krijgen wat precies bedoeld wordt met deze termen (in relatie tot de wetsteksten) vragen deze fractieleden de regering om onderstaande termen betreffende interceptie en bulkdata in onderlinge samenhang nader te verduidelijken en te relateren aan 1) de fases in de linkerkolom, 2) de fases in de rechterkolom, en 3) deze te voorzien van de bijbehorende wetsartikelen (Tijdelijke wet en Wiv 2017).

Interceptie:

-

Kabelinterceptie ter verwerving

-

Kabelinterceptie

-

Interceptie

-

OOG-interceptie

-

Bulkinterceptie

-

Bulkverwerving

-

Verkennen/verkenning

-

Snapshot maken

-

Search gericht op interceptie

Bulkdata:

-

Is bulkdata het «resultaat» van bulkinterceptie en/of van OOG-interceptie? Of is bulkdata

-

een andere term voor veel data (los van hoe de data verkregen zijn)?

-

Registerbulkdata en gedragbulkdata

-

Is bulkdata hetzelfde als bulkdatabestanden en bulkdatasets?

Interceptie is een algemene aanduiding voor het onderscheppen van communicatie. Kabelinterceptie betekent dat communicatie op de kabel onderschept wordt. Met bulkverwerving wordt gedoeld op het verwerven van een grote hoeveelheid (in deze context) gegevens. OOG-interceptie wordt ook wel aangeduid als bulkinterceptie. Dit betekent dat de diensten op grote schaal communicatie van de kabel (kabelinterceptie) of uit de ether (etherinterceptie) onderscheppen en verzamelen, waarbij het merendeel van deze gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. Specifiek voor OOG-interceptie geldt dat de gegevens weliswaar in bulk worden verworven maar deze binnen een keten van filtering en reductie uiteindelijk tot bruikbare gegevens teruggebracht worden om uiteindelijk betrokken te worden in een inlichtingenonderzoek.

Hierbij dient het volgende te worden opgemerkt. Kabelinterceptie bestaat uit verschillende stappen, ook wel: de keten van verwerving. Het begint met het overnemen (kopiëren) van de in de toestemming aangeduide gegevensstromen. Deze gegevensstromen worden vervolgens gefilterd. Het doel van filtering is om gegevens te verwerven die later op enigerlei wijze een bijdrage kunnen leveren aan het beantwoorden van onderzoeksvragen. Het eindresultaat van dit proces leidt tot de gegevens die voor de diensten toegankelijk zijn bij het beantwoorden van onderzoeksvragen. Deze gehele keten van verwerven en verdere verwerking moet dus gezien worden als een proces van datareductie. Gegevensstromen zijn dynamisch en wijzigen voortdurend. De filters moeten daarop worden aangepast. Daarom kan bij de aanvraag voor het inzetten van het middel slechts een beschrijving worden gegeven voor de wijze waarop de diensten van plan zijn om de gegevens te reduceren. Op de uitvoering van dit gehele proces houdt de afdeling toezicht van de CTIVD toezicht. Dit onderscheid tussen gegevens verwerving en verdere gegevensverwerking

-

dat ook wordt beschreven in de ECW⁵ - is van belang om te maken. Dat is niet alleen van belang om deze verschillende bevoegdheden voor de diensten te onderscheiden, maar ook om de rolverdeling binnen het stelsel van toetsing en toezicht te bepalen en daarmee in te kaderen.

Verkennen ten behoeve van OOG-interceptie is ook een vorm van bulkinterceptie, maar uitsluitend ten behoeve van technisch onderzoek. Verkennen heeft dus een technisch doel, in tegenstelling tot OOG-interceptie dat het gebruik in een inlichtingenonderzoek als doel heeft. Search gericht op interceptie is een ander woord voor verkennen en dat geldt ook voor snapshotten. Search gericht op selectie betreft dan juist weer het identificatieonderzoek.

Bulkdata kan het resultaat zijn van bulkinterceptie en/of OOG-interceptie, maar bulkdata kan ook verworven worden met andere bevoegdheden zoals de hackbevoegdheid. In algemene zin geldt dat onder bulkdata moet worden verstaan grote verzamelingen van gegevens.⁶

Een gedragsbulkdataset is een set (niet zijnde OOG-data) met gegevens die gerelateerd zijn aan het gedrag van een persoon, bijvoorbeeld locatie-en communicatiegegevens. Een registerbulkdataset is een set waarin bijvoorbeeld adressen, namen of telefoonnummers in staan, zoals een telefoonboek. Beide termen zijn overigens afkomstig uit het rapport van de ECW.⁷

Binnen de context van OOG-interceptie wordt bij bulkdata of bulkdatabe-standen gedoeld op een grote hoeveelheid data. De term «bulkdataset» is gedefinieerd in artikel 1, onder f, van de Tijdelijke wet: een omvangrijke gegevensverzameling waarvan het merendeel van de gegevens betrekking heeft op organisaties of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.

Bulkdatasets zijn een noodzakelijke schakel om reeds aanwezige gegevens van meerwaarde te laten zijn. Bij het doen van onderzoek naar ongekende dreigingen is een belangrijk onderdeel daarvan het identificeren van personen en organisaties achter die dreiging. Door de bewaartermijnen van de Wiv 2017 zijn de diensten verplicht om zeer waardevolle bulkdatasets na maximaal anderhalf jaar te vernietigen. Dit gaat ten koste van de inlichtingenpositie van de diensten. Met de Tijdelijke wet beogen wij om, onder voorwaarden, een nieuwe eindtermijn te stellen voor het gebruik van bulkdatasets in het geval van dringende redenen met het oog op de nationale veiligheid. Hiermee wordt een acuut knelpunt opgelost, namelijk de relevantiebeoordelingstermijn voor bulkdatasets verkregen met bijzondere bevoegdheden. Met de herziening van de Wiv 2017 wordt toegewerkt naar een uniform regime voor bulkdatasets.

De fractieleden van GroenLinks-PvdA wensen ten aanzien van de verkenningsfase (artikel 6 van de Tijdelijke wet) scherp te krijgen wat er in de verkenningsfase wel en niet met de data kan/mag enkele vragen. In de antwoorden op de vragen in het verslag leze deze fractieleden dat wordt gesproken over «technisch onderzoek naar de bulkdata» (in deze fase). Zij vragen wat «technisch onderzoek» betekent, en wat er dan gebeurt met de data. In de antwoorden lezen zij verder dat wordt verder gesproken over «relevantiebeoordeling van bulkdatabestanden» (in deze fase). De fractieleden vragen water dan precies wel en niet gebeurt met de data, en hoe deze beoordeling plaatsvindt en op basis van welke wettelijke criteria.

Technisch onderzoek houdt in dat de met de verkennende bevoegdheid ten behoeve van OOG-interceptie verworven gegevens onderzocht worden op de aanwezigheid van communicatie met een potentiële waarde voor de beantwoording de onderzoeksvragen van de diensten en dus - op een hoger abstractieniveau - het kunnen beoordelen van de mogelijke relevantie voor het inlichtingenproces. Daarnaast valt het vaststellen van de aard van deze communicatie en de gebruikte technische protocollen ook onder technisch onderzoek. De verworven gegevens worden alleen door daartoe specifiek aangewezen functionarissen onderzocht en mogen voor maximaal zes maanden bewaard worden. In deze periode vindt het technisch onderzoek plaats.

De aangewezen functionarissen beoordelen de gegevens verkregen met de verkennende bevoegdheid voor OOG-interceptie niet op relevantie als bedoeld in artikel 27, lid 1, Wiv 2017, omdat de gegevens niet zijn verworven voor een specifiek inlichtingenonderzoek maar uitsluitend voor technisch onderzoek als bedoeld in artikel 6 van de Tijdelijke wet.

De leden van de GroenLinks-PvdA-fractie vragen ook of in deze fase dataverwerking plaatsvindt, en zo ja, op welke wijze. Graag ontvangen voornoemde fractieleden hierbij ook een nadere duiding van de gehanteerde definitie van dataverwerking met daarin handelingen als «ordenen», «structureren», «bijwerken», «wijzigen», «gebruiken», «doorzenden», «verspreiden», «samenbrengen», «afschermen», «wissen» en «vernietigen».

In de verkennende fase voor OOG-interceptie vindt inderdaad dataverwerking of - in de termen van de Wiv 2017 - gegevensverwerking plaats. Daaronder wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot gegevens, dus ook de door de fractieleden genoemde handelingen, zowel handmatig als geautomatiseerd. Zie ook artikel 1 Wiv 2017 waarin het begrip gegevensverwerking is gedefinieerd.

De fractieleden van GroenLinks-PvdA vragen vervolgens of als dataverwerking plaatsvindt in de verkenningsfase, wat daarvoor dan de wettelijke grondslag is. Verder vragen zij of in deze fase enige vorm van data-analyse plaatsvindt, en zo ja, op welke wijze en wat hiervoor de wettelijke grondslag is om deze initieel opgeslagen gegevens te bekijken, te doorzoeken, te bestuderen, te interpreteren, te beoordelen en te analyseren. Voornoemde fractieleden vragen de regering ook een relatie te leggen met de relevantiebeoordeling. Zij vragen ook of in de fase van verkenning geautomatiseerde data-analyse (hierna: GDA) als gemene bevoegdheid (artikel 60 van de Wiv 2017) mogelijk is. Graag ontvangen voornoemde fractieleden een toelichting waarom dit wettelijk wel of niet mogelijk is.

In de verkenningsfase vindt ook dataverwerking plaats. In algemene zin geldt dat artikel 17 van de Wiv 2017 de grondslag is voor het verwerken van gegevens door de diensten. Artikel 6 van de Tijdelijke wet bevat aanvullende voorwaarden voor de verwerking van gegevens in relatie tot de verkennende bevoegdheid, zoals een specifieke doelbinding en een bewaartermijn. In de verkennende fase voor OOG-interceptie zal ook geautomatiseerde data-analyse plaatsvinden op grond van artikel 60 van de Wiv 2017 met inachtneming van de functiescheiding op grond van artikel 6 Tijdelijke wet. Als geautomatiseerde data-analyse met OOG-metadata wordt uitgevoerd gericht op de identificatie van personen en organisaties, op grond van artikel 50 lid 1 onder b, Wiv 2017 is ministeriële toestemming vereist. Het onderzoek vanuit technisch perspectief bij de verkennende bevoegdheid heeft de identificatie van personen en organisaties niet tot doel. De analyses hebben tot doel om de bruikbaarheid van gegevensstromen voor OOG-interceptie te beoordelen. De aangewezen functionarissen, belast met de uitvoering van de bevoegdheid uit artikel 6 van de Tijdelijke wet, beoordelen de gegevens niet op relevantie voor een inlichtingenonderzoek, omdat dit onverenigbaar is met het doel van de bevoegdheid. De gegevens verkregen met de verkennende bevoegdheid komen niet ter beschikking van de inlichtingenonderzoeken.

De fractieleden van GroenLinks-PvdA lezen voorts in de antwoorden dat een aantal daartoe aangewezen medewerkers van deze data «kennis kan nemen». De fractieleden vragen wat dit precies betekent, of deze medewerkers ook (deels) in de inlichtingenteams werken, en hoe de door het EHRM bepleite «strikte functiescheiding» is vormgegeven.

De functionarissen belast met de uitvoering van de verkennende bevoegdheid zijn bevoegd om kennis te nemen van de gegevens verworven met deze bevoegdheid. Dit betekent dat deze functionarissen de gegevens mogen bevragen en raadplegen voor het doel van de verkennende bevoegdheid (technisch onderzoek). Zij hebben uitsluitend toegang tot deze gegevens om te onderzoeken op welke gegevensstromen een verzoek als bedoeld in artikel 48, eerste lid, Wiv 2017 betrekking dient te hebben. Kennisname van de gegevens kan ook noodzakelijk zijn om de technische uitvoering van de verkennende bevoegdheid te optimaliseren. De aangewezen functionarissen zijn geen onderdeel van de inlichtingenteams. Zij leggen hun analyse van de gegevensstromen schriftelijk vast en inlichtingenteams kunnen alleen beschikken over de resultaten van het onderzoek van de aangewezen functionarissen via het rapport van de aangewezen functionarissen. Dit rapport bevat de resultaten van de inzet van de verkenningsbevoegdheid, bijvoorbeeld dat is gebleken dat de geïntercepteerde verkenningsdata potentiële waarde heeft voor de beantwoording van de onderzoeksvragen van de diensten. De inhoud van het rapport mag enkel gebruikt worden door het inlichtingenteam om vast te stellen op welke gegevensstromen een verzoek tot OOG-interceptie ten behoeve van het inlichtingenproces betrekking dient te hebben. Het inlichtingenteam kan op basis daarvan vervolgens besluiten of en op welke wijze OOG-interceptie, in samenhang met andere bevoegdheden, wordt aangevraagd. Het komt er kort gezegd op neer dat de verkenningsbevoegdheid bij kabelinterceptie nodig is om te bepalen welke gegevensstromen de diensten wel en welke ze niet moeten intercepteren. Dit om te kunnen bepalen welke gegevensstromen nodig zijn in een onderzoek naar een land met een offensief cyberpro-gramma. Dit betreft enkel technisch onderzoek. Het doel van de verkenningsbevoegdheid is dus uitsluitend bedoeld om de aanvraag voor kabelinterceptie voor het inlichtingenproces beter te onderbouwen. Deze onderbouwing wordt derhalve betrokken in het verzoek van de diensten voor kabelinterceptie ten behoeve van het inlichtingenproces. Na toestemming van de Minister en een rechtmatigheidsoordeel van de TIB, zal de kabelinterceptie voor dit inlichtingenonderzoek plaatsvinden. Dit binnen de bandbreedte van het goedgekeurde verzoek. De aldus verworven gegevens mogen wel betrokken worden in het inlichtingenproces. De inlichtingenteams mogen deze gegevens gebruiken ter beantwoording van hun onderzoeksvragen in het onderzoek naar een land met een offensief cyberprogramma.

In de antwoorden lezen fractieleden van GroenLinks-PvdA dat indien uit de verkenning blijkt dat de onderzochte kabels relevante gegevens bevatten, overgegaan kan worden tot de bevoegdheid tot kabelinterceptie ter verwerving van gegevens die gebruikt mogen worden in het inlichtingenproces ⁸ Zij vragen of zij het goed hebben begrepen dat dus in de verkenningsfase wordt bepaald of de onderzochte kabels relevante gegevens bevatten en hoe uit de verkenning kan blijken dat de onderzochte kabels relevante gegevens bevatten. Ook vragen zij wat hiervoor moet gebeuren met de data.

⁸ Kamerstukken I 2023/24, 36 263, E, p. 16.

In de verkenningsfase kan inderdaad worden bepaald of gegevens over een kabel worden getransporteerd met communicatie die of verkeer met een potentiële waarde voor de beantwoording van de onderzoeksvragen van de diensten. In de verkenningsfase voeren de diensten een technisch onderzoek uit dat enerzijds bestaat uit het onderzoek naar het digitale landschap (bijvoorbeeld type gegevens) en anderzijds het mogelijke belang van die gegevens om de onderzoeksvragen van de diensten te kunnen beantwoorden op basis van input van de inlichtingenteams. Deze input bestaat bijvoorbeeld uit gegevens over targets van de diensten die verworven zijn door de inzet van andere bevoegdheden. Met deze gegevens kan het mogelijke belang van de gegevensstromen voor de uiteindelijke inlichtingenonderzoeken worden vastgesteld. Wij benadrukken dat dit niet betekent dat de inlichtingenteams toegang hebben tot de gegevensstromen die worden verworven met de verkenning.

De leden van de fractie van GroenLinks-PvdA constateren dat in de beantwoording van de vragen wordt gesteld dat er in de verkenningsfase (Tijdelijke wet) hoofdzakelijk gericht wordt op internationaal verkeer. Hierover vragen voornoemde leden wat er precies wordt bedoeld met «internationaal internetverkeer». Graag ontvangen zij een definitie. De leden van de GroenLinks-PvdA-fractie menen ook dat de term «internationaal internetverkeer» doet vermoeden dat een e-mail tussen Nederland en Iran wel onder deze definitie valt, maar een e-mail tussen twee familieleden in Nederland niet. Zij vragen de regering in hoeverre deze aanname klopt. Ook vragen zij hoe technisch en praktisch aan deze «gerichtheid» op internationaal internetverkeer vorm en inhoud wordt gegeven. Zij vragen of het technisch überhaupt mogelijk is om bulkdata-interceptie te richten op internationaal internetverkeer.

Wij hechten eraan te benadrukken dat de regering met de Tijdelijk wet beoogt inzicht te krijgen in de intenties van landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Om Nederland veilig te houden moeten de diensten de wettelijke bevoegdheid tot kabelinterceptie kunnen inzetten omdat daar vrijwel alle communicatie plaatsvindt en dat ook de plek is waar statelijke actoren actief zijn. Cyberaanvallen zijn niet meer weg te denken in onze maatschappij. De diensten hebben OOG-interceptie nodig om onderzoek te kunnen doen naar de intenties van statelijke actoren en om tijdig partijen te kunnen informeren. De Tijdelijke wet creëert geen nieuwe bevoegdheden, maar schept een duidelijker juridisch toetsingskader voor de inzet van enkele specifieke bevoegdheden in de uitvoeringspraktijk.

Met internationaal internetverkeer wordt gedoeld op dragers, kabels of glasvezels die zich ofwel in het buitenland bevinden, ofwel waarvan minimaal één van de twee transmissiesystemen zich fysiek in het buitenland bevindt en het verkeer dus de Nederlandse grens overgaat ofwel waarvan de diensten weten dat een communicatie aanbieder via een bepaalde fysieke locatie, bijvoorbeeld een data-centrum, internationale gegevensstromen transporteert. Het is inherent aan de werking van het internet dat kabelcommunicatie wordt getransporteerd via de goedkoopste en/of snelste route. Het kabellandschap bestaat uit een grote verscheidenheid aan verbindingen. Afhankelijk van de communicatie aanbieder en aangesloten klanten zal de aard van de gegevensstromen variëren. Deze verschillen lopen niet parallel aan geografische landsgrenzen of nationaliteit van de verzender of ontvanger. Het communicatie-landschap is daadwerkelijk geglobaliseerd zodat er geen kabels of gegevensstromen kunnen worden aangewezen die die strikt «nationaal» of strikt «internationaal» zijn. De diensten richten zich op kabels die, met inachtneming van de definitie hierboven, hoofdzakelijk internationaal verkeer transporteren. Voorafgaand aan de daadwerkelijke uitvoering van de verkenningsbevoegdheid, dienen de diensten al een keuze te maken voor een kabel of een glasvezel op basis van de op dat moment beschikbare informatie, zoals toegelicht in het antwoord op de vraag hiervoor. Dat met de inzet van kabelinterceptie hoofdzakelijk internationaal gegevensverkeer (omdat de diensten een onderzoek uitvoeren gericht op dreigingen vanuit het buitenland richting Nederland), wordt verworven, wordt in de toestemmingsverzoeken, die na akkoord van de verantwoordelijke Minister door de TIB op rechtmatigheid worden beoordeeld, aannemelijk gemaakt. Dit kan gedaan worden door te motiveren dat een drager, gezien de positie in het telecommunicatieland-schap, hoofdzakelijk internationaal gegevensverkeer verwerkt. Zo kunnen de diensten bijvoorbeeld onderzoeken via welke routes verkeer wordt gerouteerd. Daarnaast zien de diensten sommige aanbieders van communicatiediensten of type gegevens regelmatig in lopende onderzoeken. Die kennis kan bijdragen aan de verwachting dat een gegevensstroom hoofdzakelijk internationaal verkeer bevat. Het richten op internationaal verkeer is dus mogelijk. Echter, gelet op de technische inrichting van communicatienetwerken, is het niet geheel uit te sluiten dat verkeer met oorsprong en bestemming in Nederland wordt verworven.

Tot slot wordt opgemerkt dat deze vraag betrekking heeft op het stelsel van OOG-interceptie als geheel en derhalve primair ziet op de toepassing van de Wiv 2017.

De leden van de fractie van GroenLinks-PvdA vermelden dat zij deskundigen geraadpleegd hebben, die stellen dat grote delen van al het internetverkeer dat in Nederland gegenereerd wordt, als «internationaal» gedefinieerd moet worden, omdat bijna alle organisaties hun dienstverlening in de cloud hebben, wat in een zeer groot deel van de gevallen betekent dat het de landsgrens overgaat. Graag ontvangen de fractieleden van GroenLinks-PvdA een reactie op deze stelling. Ter illustratie: AWS (grote cloudprovider) heeft geen servers in Nederland en SIDN, de partij die zich bezighoudt met het Domain Name System voor de.nl-domeinen, is voornemens over te stappen op AWS. De fractieleden vragen of deze bewering klopt.

Met internationaal verkeer wordt gedoeld op dragers, kabels of glasvezels die zich ofwel in het buitenland bevinden, ofwel waarvan minimaal één van de twee transmissiesystemen zich fysiek in het buitenland bevindt en het verkeer dus de Nederlandse grens overgaat ofwel waarvan de diensten weten dat een communicatie aanbieder via een bepaalde fysieke locatie, bijvoorbeeld een data-centrum, internationale gegevensstromen transporteert.

De diensten dienen voor de daadwerkelijke uitvoering van de verken-ningsbevoegdheid al een keuze voor een drager, kabel of een glasvezel te maken op basis van de op dat moment beschikbare informatie. De diensten richten zich op dragers, kabels en glasvezels die, met inachtneming van de definitie hierboven, hoofdzakelijk internationaal verkeer transporteren. De diensten richten zich niet op dragers, kabels en glasvezels die hoofdzakelijk nationaal verkeer transporteren.

Er zijn in de vervolgstappen van kabelinterceptie, waarbij gegevens worden verwerkt, ook diverse waarborgen ingebouwd. Zo wordt verkeer dat geen potentiële waarde voor de beantwoording van de onderzoeksvragen van de diensten heeft, niet gebruikt in het inlichtingenproces. De afdeling toezicht van de CTIVD houdt op de invulling van de waarborgen bij het verwerken van gegevens toezicht. Op 9 november 2022 informeerde de afdeling toezicht van de CTIVD de Tweede Kamer dat de diensten belangrijke stappen hebben gezet om beter invulling te geven aan de zorgplicht, waaronder het verbeteren van de interne controle op een rechtmatige gegevensverwerking en de technische interceptieketen.

Op 23 januari 2024 informeerde de afdeling toezicht van de CTIVD de Tweede Kamer dat in de onderzoeksperiode (november 2022 tot en met december 2023) verzamelde gegevens behoorlijk en zorgvuldig zijn verwerkt.

Verder lezen de fractieleden van GroenLinks-PvdA in de antwoorden op vragen van de PvdD-fractieleden: «Kabelinterceptie begint bij de keuze van de locatie waarop de kabel wordt geïntercepteerd. De diensten dienen onder de Tijdelijke wet te motiveren waarom sprake is van hoofdzakelijk internationaal gegevensverkeer en er dient, in lijn met Europese rechtspraak, enige verwachting te zijn dat er sprake is van relevant gegevensverkeer voor de inlichtingenonderzoeken van de diensten.»⁹ Deze fractieleden vragen wat de geografische reikwijdte is van de bulkinter-ceptie in het kader van de Tijdelijke wet, en waar dit is gecodificeerd.

De Tijdelijke wet beperkt de inzet van bulkinterceptie niet op basis van de geografische plek waar de bevoegdheid wordt uitgeoefend.

De leden van de fractie van GroenLinks-PvdA vragen op grond van welke wettelijke bepaling de diensten dienen te motiveren waarom er sprake is van hoofdzakelijk internationaal gegevensverkeer. Zij vragen hoe de motivering c.q. onderbouwing van «waarom sprake is van hoofdzakelijk internationaal gegevensverkeer» er feitelijk uitziet, en waaraan deze onderbouwing moet voldoen, en waar dit is bepaald. De fractieleden vragen of een omschrijving van de interceptielocatie voldoet als onderbouwing c.q. motivering van waarom er sprake is van hoofdzakelijk internationaal gegevensverkeer. Graag ontvangen voornoemde fractieleden een toelichting.

De diensten richten zich in de eerste fase op kabels die de landsgrens overgaan of waarvan ze door de aard van het verkeer weten dat het hoofdzakelijk uit internationale gegevensstromen bestaat. Dat met de inzet van kabelinterceptie hoofdzakelijk internationaal gegevensverkeer wordt verworven wordt in toestemmingsverzoeken, die na akkoord van de verantwoordelijke Minister door de TIB op rechtmatigheid worden beoordeeld, aannemelijk gemaakt. Dit kan gedaan worden door te motiveren dat een drager, gezien de positie in het telecommunicatieland-schap, hoofdzakelijk internationaal gegevensverkeer verwerkt. Zo kunnen de diensten bijvoorbeeld onderzoeken via welke routes verkeer wordt gerouteerd. Daarnaast zien de diensten sommige aanbieders van communicatiediensten of type gegevens regelmatig in lopende onderzoeken. Die kennis kan bijdragen aan de verwachting dat een gegevensstroom potentiële waarde heeft voor de beantwoording de onderzoeksvragen van de diensten. Deze informatie draagt bij aan de motivering van verzoek tot inzet van de verkenningsbevoegdheid. Na akkoord van de Minister wordt de verleende toestemming van de Minister getoetst door de TIB.

De fractieleden van GroenLinks-PvdA vragen hoe gemotiveerd kan worden dat er sprake is van enige verwachting van relevant gegevensverkeer voor inlichtingenonderzoeken. Graag ontvangen voornoemde fractieleden een voorbeeld.

De diensten bouwen kennis op over het telecommunicatielandschap door de inzet van bevoegdheden, bijvoorbeeld het verzamelen van informatie uit open bronnen of door informatie op te vragen bij aanbieders van communicatiediensten over de infrastructuur en hun klanten. Zo kunnen

⁹ Kamerstukken I 2023/24, 36 263, E, p. 50-51; het onderstrepen is gedaan door de fractieleden van GroenLinks-PvdA.

de diensten onderzoeken via welke routes verkeer wordt gerouteerd. Daarnaast zien de diensten sommige aanbieders van communicatiediensten of type gegevens regelmatig in lopende onderzoeken. Die kennis kan bijdragen aan de verwachting dat een gegevensstroom potentiële waarde kan hebben voor de beantwoording de onderzoeksvragen van de diensten.

In de beantwoording lezen de fractieleden van GroenLinks-PvdA: «De regering hecht eraan te benadrukken dat een groot deel, meer dan 80%, van de bulkdatasets waarover de diensten op dit moment beschikken, zien op gegevens uit het buitenland.»'^{8 9} Hierover vragen de leden van de fractie van GroenLinks-PvdA wat de definitie van «gegevens uit het buitenland» is. Graag vragen zij hierbij een verband te leggen met de gegevens van Nederlanders via clouddiensten in het buitenland. Ook vragen deze fractieleden de regering een schatting kan maken van het percentage «gegevens uit Nederland» in de bulkdatasets, gecorrigeerd voor de gegevens van Nederlanders via clouddiensten uit het buitenland. Ook vragen de fractieleden van GroenLinks-PvdA of de regering een inschatting kan maken van het aantal Nederlanders van wie er zich data in de huidige bulkdatasets bevinden, en zo nee, waarom niet.

Met bulkdatasets die zien op gegevens uit het buitenland wordt bedoeld dat deze bulkdatasets met name buitenlandse gegevens bevatten, waarbij niet uitgesloten kan worden dat in deze bulkdatasets ook gegevens van Nederlanders zitten. Hierbij kan bijvoorbeeld gedacht worden aan een met het Handelsregister of RDW-register vergelijkbaar register van een land waar de diensten onderzoek naar doen. Gelet op de wettelijke plicht tot geheimhouding van de werkwijze, bronnen en het actueel kennisniveau van de diensten, kan geen inzicht worden gegeven in de omvang en de inhoud van de gegevens die zich in deze bulkdatasets bevinden. Een schatting van het percentage «gegevens uit Nederland» gecorrigeerd voor de gegevens van Nederlanders via clouddiensten uit het buitenland of een inschatting van het aantal Nederlanders van wie er zich data in de huidige bulkdatasets bevinden, kan niet worden gegeven. Dit zou betekenen dat onderzoek gedaan zou moeten worden naar alle gegevens in de huidige bulkdatasets. Hiermee wordt de inbreuk onnodig groot, omdat er zonder reden onderzoek gedaan wordt naar alle gegevens.

In de antwoorden lezen de fractieleden van GroenLinks-PvdA: «De eis van gerichtheid geldt hierbij niet, maar de uitoefening is wel strikt doelgebonden.»'''' Zij vragen wat wordt bedoeld met «strikt doelgebonden», en wat dan precies het doel is.

De uitoefening van de verkennende bevoegdheid heeft uitsluitend (strikt) tot doel te beoordelen op welke gegevensstromen een verzoek als bedoeld in artikel 48, eerste lid, Wiv 2017 betrekking dient te hebben. Dit is expliciet bepaald in artikel 6, eerste lid. In artikel 6, zesde lid, is in aanvulling hierop bepaald dat de gegevens niet worden verwerkt voor andere doeleinden.

De leden van de fractie van GroenLinks-PvdA hebben enkele vragen over de verwerving voor het inlichtingenproces (artikel 48 en 49, eerste lid, van de Wiv 2017 en artikel 7 van de Tijdelijke wet). Zo lezen deze leden in de antwoorden op hun vragen: «In deze fase vindt ook (de eerste) filtering plaats waarbij een groot deel van de gegevens vernietigd wordt omdat deze niet relevant zijn gebleken voor de onderzoeken van de diensten.»¹⁰

De fractieleden vragen waarom «de eerste» hier tussen haakjes staat, en of zij hieruit mogen afleiden dat er ook een vorm van filtering in de eerdere fase plaatsvindt.

Wij kunnen deze vragen bevestigend beantwoorden. OOG-interceptie is een ketenbevoegdheid waarbij er inderdaad sprake is van filtering op meerdere momenten. Bij de interceptie kan er al sprake zijn van een filter, bij technisch onderzoek kan ook sprake zijn van een filter, bij identificatieonderzoek kan er sprake zijn van een filter en bij selectie voor het inlichtingenproces kan er sprake zijn van een filter.

De fractieleden van GroenLinks-PvdA vragen hoe de filtering in deze fase van verwerving voor het inlichtingenproces plaatsvindt, welke dataverwerking daarbij plaatsvindt, en hoe deze plaatsvindt. Graag ontvangen voornoemde fractieleden hierbij ook een nadere duiding van de gehanteerde definitie van «dataverwerking», met daarin handelingen als «ordenen», «structureren», «bijwerken», «wijzigen», «gebruiken», «doorzenden», «verspreiden», «samenbrengen», «afschermen», «wissen» en «vernietigen». Tot slot vragen zij wat de wettelijke grondslag is.

Filters dragen zorg voor het opslaan of vernietigen van gegevens door de gehele keten van OOG-interceptie zodat uiteindelijk alleen mogelijk relevante gegevens ter beschikking komen voor het inlichtingenon-derzoek. De technische inrichting van filtering kan variëren bij verschillende vormen van interceptie, zoals bijvoorbeeld tussen kabel- en satellietinterceptie. De technische inrichting van filtering kan bestaan uit opeenvolgende stappen. De filters zijn onderdeel van de bevoegdheden voor interceptie en search gericht op interceptie. De grondslag om gegevens te verwerven voor het inlichtingenproces zijn de artikelen 48 en 49, eerste lid, Wiv 2017. Als het een inlichtingenonderzoek is dat buiten de reikwijdte van de Tijdelijke wet valt, gaat het alleen om de artikelen 48 jo. 49, eerste lid, Wiv 2017. Verzoeken tot inzet van deze bevoegdheden worden getoetst door de TIB op rechtmatigheid.

Hoewel gegevens worden geïntercepteerd voor het inlichtingenproces zijn deze gegevens tijdens de inzet van artikelen 7 jo. 48 en 49, eerste lid, Wiv 2017 en de inzet van artikel 49, tweede lid, Wiv 2017 niet inzichtelijk voor onderzoekers van de inlichtingenteams. Deze gegevens komen pas ter beschikking van de inlichtingenteams na inzet van de selectiebevoegdheid (artikel 50 Wiv 2017) waarna gegevens na selectie door een inlichtingenteam betrokken kan worden in een inlichtingenonderzoek. Ook de inzet van de selectiebevoegdheid is pas mogelijk na een rechtmatigheids-oordeel van de TIB op de door de Minister verleende toestemming tot inzet van de bevoegdheid.

Tot slot wordt opgemerkt dat deze vraag niet direct raakt aan de Tijdelijke wet en vooral betrekking heeft op de toepassing van de Wiv 2017.

Aansluitend vragen de fractieleden van GroenLinks-PvdA welke data-analyse plaatsvindt, hoe deze plaatsvindt, en wat de wettelijke grondslag is om deze initieel opgeslagen gegevens te bekijken, te bestuderen, te doorzoeken, te interpreteren en te analyseren.

Deze vraag ziet primair op de Wiv 2017. In het geval inlichtingenteams opgeslagen gegevens verworven met OOG-interceptie willen analyseren is eerst toestemming nodig. Dit kan een toestemming voor selectie zijn (artikel 50, lid 1, onder a, Wiv 2017) waardoor alleen de OOG-gegevens bekeken kunnen worden die samenhangen met de toegepaste selector. Verder is het ook mogelijk om op basis van artikel 49, tweede lid, Wiv 2017 een onderzoek uit te voeren met inachtneming van functiescheiding om kenmerken van targets te verifiëren of om targets te identificeren. Een door de Minister verleende toestemming tot inzet van deze bevoegdheid wordt door de TIB op rechtmatigheid getoetst. Daarnaast kan toestemming nodig zijn om door de toepassing van geautomatiseerde data-analyse op OOG-metadata personen en organisaties te identificeren (artikel 50, lid 1, onder b, Wiv 2017). GDA omvat een breed scala aan methodieken om gegevens te benaderen (analyseren, selecteren, combineren e.d.) en wordt regulier in het kader van de verwerking van gegevens door de diensten ingezet. Artikel 60 Wiv 2017 vormt daarvoor de wettelijke grondslag. Alleen voor GDA op OOG-metadata stelt de Wiv 2017 nadere eisen, die in de Tijdelijke wet worden gewijzigd doordat de TIB toets komt te vervallen en bindend toezicht van de CTIVD wordt geïntroduceerd.

De fractieleden van GroenLinks-PvdA lezen in de antwoorden op hun vragen: «Omdat GDA een vorm is van gegevensverwerking, moet ook worden voldaan aan de eisen van noodzaak, proportionaliteit en subsidiariteit.»'¹³ Zij vragen op welke wijze in deze fase invulling wordt gegeven aan de noodzaak tot proportionaliteit en subsidiariteit.

Voordat de diensten over mogen gaan tot de inzet van bevoegdheden waarvoor de TIB een rechtmatigheidsoordeel dient te geven, wordt in de toestemmingsaanvraag de noodzakelijkheid, proportionaliteit, subsidiariteit en, indien vereist, ook gerichtheid van de verwerving, opslag en analyse van gegevens gemotiveerd. Het is niet mogelijk om in algemene zin aan te geven op welke wijze precies in deze fase invulling wordt gegeven aan de vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid (dit laatste vereiste geldt niet bij de verkenningsbe-voegdheid op grond van artikel 6 Tijdelijke wet). De invulling van de vereisten moet immers worden afgestemd op de aard van de bevoegdheid en de context waarin deze toepassing vindt, mede in het licht van het daarmee te bereiken doel. Dat verschilt dus van geval tot geval en verschilt per bevoegdheid, per onderzoek en per fase in het onderzoek.

De fractieleden van GroenLinks-PvdA lezen dat in de fase van identificatie (artikel 49, tweede lid, van de Wiv 2017) de gegevens doorzoekbaar worden gemaakt en doorzocht worden op de gekende en ongekende dreigingen op basis van selectoren en complexe zoekvragen. Zij vragen wat wordt bedoeld met het doorzoekbaar maken van data, en of dit uitsluitend in deze fase is, of dat dit ook gebeurt in de voorgaande twee fases (verkenning en verwerving voor het inlichtingenproces).

Deze vraag en de navolgende hieraan gerelateerde vragen zien primair op de Wiv 2017. De Tijdelijke wet brengt hierop geen wijzigingen aan.

Het is mogelijk dat gegevens eerst doorzoekbaar moeten worden gemaakt voordat een analyse effectief mogelijk is. Doorzoekbaar maken van de gegevens is het in een voor de aangewezen functionarissen bekend (standaard) formaat opslaan van de gegevens in een database. Dit maakt de gegevens voor deze functionarissen beter doorzoekbaar. De toepassing van search gericht op selectie (artikel 49, tweede lid, Wiv 2017) vindt alleen plaats bij OOG-interceptie voor het inlichtingenproces en dus niet in de verkennende fase.

Aansluitend vragen de fractieleden van GroenLinks-PvdA wat selectoren zijn, en of in de voorgaande fases ook gewerkt wordt met selectoren.

¹³ Kamerstukken I 2023/24, 36 263, E, p. 17.

Selectoren zijn kenmerken die gebruikt worden om geïntercepteerde gegevens te selecteren voor een onderzoek en deze gegevens dus zichtbaar te maken voor een analist. Selectoren kunnen toegepast worden in de fase van technisch onderzoek, in de fase van identificatieonderzoek en in de fase van inlichtingenonderzoek. Daarbij dient opgemerkt te worden dat de selectoren in de fase van het inlichtingenonderzoek zogeheten strong selectors moeten zijn. Dit zijn selectoren die toe te schrijven zijn aan personen en/of organisaties zoals telefoonnummers of e-mailadressen.

Vervolgens vragen de fractieleden van GroenLinks-PvdA wat complexe zoekvragen zijn, en of dit raakvlakken heeft met de mate van gerichtheid op personen en organisaties en/of onderwerp van de vragen. Ook vragen de fractieleden van GroenLinks-PvdA of er ook zoiets bestaat als minder complexe zoekvragen en/of eenvoudige zoekvragen, en zo ja, wat hiermee wordt bedoeld en wat het verschil is met complexe zoekvragen. Voornoemde fractieleden vragen ook of minder complexe zoekvragen en/of eenvoudige zoekvragen in de voorgaande twee fases (verkenning en verwerving voor het inlichtingenproces) worden gebruikt.

Wij beantwoorden deze vragen als volgt. Complexe zoekvragen zijn alle zoekvragen die niet vallen onder de toepassing van harde selectoren en kunnen bijvoorbeeld ook samengestelde zoekvragen zijn. Harde selectoren zijn selectoren die toe te schrijven zijn aan personen en/of organisaties zoals telefoonnummers of e-mailadressen. Er zit dus variatie in hoe complex een zoekvraag is en er kan inderdaad ook sprake zijn van eenvoudige zoekvragen. Deze zoekvragen kunnen ook toegepast worden bij de verkenning maar niet bij de selectie voor het inlichtingenproces.

De fractieleden van GroenLinks-PvdA lezen dat er in de fase van selectie (artikel 50 van de Wiv 2017) gegevens worden geselecteerd op basis van een selectiekenmerk (gericht op een onderwerp, persoon of organisatie). Zij vragen wat materieel het verschil is met de fase van identificatie.

Onder artikel 50 gaat het om selectoren die behoren bij een target, bij identificatieonderzoek gaat het om zoekvragen en selectoren waarmee een target geïdentificeerd of geverifieerd kan worden.

De fractieleden van GroenLinks-PvdA merken op dat bij de stadia van het EHRM wordt gesproken over «het onderzoek van geselecteerde communicatie/communicatiedata door analisten». In deze omschrijving wordt, in tegenstelling tot eerdere stadia, gesproken over «analisten». Voornoemde fractieleden vragen hoe de regering «door analisten» interpreteert, en of dit betekent dat vanaf dit stadium de analyse door mensen plaatsvindt. Ook vragen zij of in deze door de regering genoemde fase van selectie ook sprake is van analisten, en of analisten ook in de drie voorgaande fases voor komen.

Analisten komen in elke fase voor en analisten zijn inderdaad mensen. Bij de diensten zijn dit analisten die bij uitzondering van anderen (functiescheiding) zijn aangewezen voor het uitvoeren van een analyse. Elke toepassing en uitkomst van een GDA zal door een analist worden gevalideerd en gecontroleerd. Afhankelijk van de fase, verschillen de taken en bevoegdheden van analisten.

De fractieleden van GroenLinks-PvdA hebben enkele vragen over het delen van ongeëvalueerde gegevens met buitenlandse diensten. Zij vragen wat de definitie is van «ongeëvalueerde gegevens», of het hier uitsluitend gegevens uit fase 1 (verkenning) betreft of dat dit ook gegevens uit fase 2 of zelfs fase 3 kan betreffen. Ook vragen zij of dit gegevens betreft waarop nog geen gegevensverwerking of (geautomatiseerde) data-analyse heeft plaatsgevonden.

Deze vraag en de navolgende hieraan gerelateerde vragen zien primair op de Wiv 2017. De Tijdelijke wet brengt hierop geen wijzigingen aan, met uitzondering van het feit dat expliciet in de Tijdelijke wet is opgenomen dat het delen van gegevens verkregen door inzet van de verkennende bevoegdheid bij kabelinterceptie enkel mogelijk is ten behoeve van technisch onderzoek. Daarnaast is als aanvullende waarborg in de Tijdelijke wet opgenomen dat de verstrekking, behoudens een dringende en gewichtige reden, niet eerder plaatsvindt dan vijf dagen nadat de afdeling toezicht omtrent de verleende toestemming is geïnformeerd.

In het beleid van de AIVD en MIVD is een omschrijving gegeven van de begrippen geëvalueerde gegevens en ongeëvalueerde gegevens. Gegevens die (een eerste keer) op hun relevantie voor enig lopend onderzoek zijn onderzocht, worden aangemerkt als geëvalueerd.

Gegevens die nog niet op relevantie zijn beoordeeld, worden als ongeëvalueerd beschouwd. Dit kunnen zowel metagegevens zijn als inhoudelijke gegevens en ze kunnen zowel gericht als ongericht zijn verworven. In elke fase van kabelinterceptie kunnen zowel geëvalueerde als ongeëvalueerde gegevens gedeeld worden met buitenlandse diensten en zijn de verstrekkingen met waarborgen omkleed, waaronder toezicht door de CTIVD.

De fractieleden van GroenLinks-PvdA lezen in de beantwoording van hun vragen dat voor de internationale uitwisseling van ongeëvalueerde gegevens er sprake is van één deur, die is voorzien van vier sloten. Over het eerste slot (rechtmatige vergaring) hebben zij de volgende vragen.

In het toezichtsrapport nummer 73 van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (hierna: CTIVD) (van 25 augustus 2021) constateert de CTIVD: «bij zowel de AIVD als de MIVD bepaalde tekortkomingen bij het verstrekken van persoonsgegevens aan buitenlandse diensten met een verhoogd risicoprofiel, die in voorkomende gevallen neerkomen op onrechtmatigheden».

Verder constateert de CTIVD over de MIVD: « Voor de onderzochte verstrekkingen was er voor ruim de helft geen toestemming op het juiste niveau. Voor geen van de verstrekkingen was een deugdelijke motivering vastgelegd. Deze tekortkomingen zijn onrechtmatig». Deze constateringen roepen vragen op over het eerste slot op de deur dat gaat over de rechtmatigheid.

Voornoemde fractieleden vragen in hoeverre aanbevelingen van de CTIVD zijn opgevolgd en of momenteel rechtmatig wordt gewerkt. Graag ontvangen de fractieleden van GroenLinks-PvdA een reactie ten aanzien van de AIVD en de MIVD.

De Ministers hebben de conclusies van het CTIVD-toezichtsrapport, dat zag op het verstrekken van persoonsgegevens (geëvalueerde gegevens) aan buitenlandse diensten met een verhoogd risicoprofiel, onderschreven en toegezegd de aanbevelingen over de geconstateerde onrechtmatigheden over te nemen. Dit hebben de diensten gedaan. Daaropvolgend hebben de diensten in juni 2022 de afdeling toezicht van de CTIVD geïnformeerd over de opvolging van de aanbevelingen die uit rapport 73 volgden. Dit heeft geen aanleiding gevormd voor de afdeling toezicht van de CTIVD om terug te komen op de implementatie van de aanbevelingen.

De fractieleden van GroenLinks-PvdA oordelen dat het door de CTIVD aantal geconstateerde onrechtmatigheden medio 2021 fors was. Zij vragen wat volgens de regering de oorzaak is van dit stevig aantal onrechtmatigheden, of dit (deels) veroorzaakt wordt door onvoldoende rechtmatigheidsbesef en bijpassende organisatiecultuur en zo nee, waarom niet en zo ja, of daar momenteel nog sprake van is.

Ten aanzien van de AIVD constateerde de afdeling toezicht van de CTIVD dat de inrichting van het proces grotendeels op orde is en het beleid voorziet in verhoogde waarborgen bij de verstrekking aan buitenlandse diensten met een verhoogd risicoprofiel. Ten aanzien van de MIVD constateerde de afdeling toezicht van de CTIVD dat de inrichting van het proces niet op orde was, met name in de (verslaglegging van de) motivering en het juiste toestemmingsniveau. De Ministers hebben de aanbevelingen van rapport 73 overgenomen en deze zijn door de diensten geïmplementeerd, waardoor de inrichting en het proces rondom internationale samenwerking verder is verbeterd.

De fractieleden van GroenLinks-PvdA wijzen erop dat - waar het gaat om internationale uitwisseling van gegevens uit bulkinterceptie - het EHRM het onderstaand eisenkader heeft opgesteld. De verstrekking (transmission) van gegevens verworven door bulkinterceptie moet worden beperkt tot gegevens die zijn verzameld en opgeslagen op een wijze die in overeenstemming is met het verdrag en moet onderworpen zijn aan vier additionele waarborgen waar het gaat om de verstrekking als zodanig (pertaining to the transfer itself):

i.

De omstandigheden waaronder een dergelijke verstrekking plaats mag vinden, moeten helder uiteengezet zijn in nationaal recht.

ii.

De verstrekkende Staat moet verzekeren (must ensure) dat de ontvangende Staat, waar het gaat om de verwerking (handling) van gegevens, heeft voorzien in waarborgen waarmee misbruik en disproportionele inmenging (met het recht op privacy) wordt voorkomen. In het bijzonder moet die Staat de veilige opslag van de gegevens waarborgen en de verdere verstrekking (onward disclosure) beperken.

iii.

Extra waarborgen zijn vereist indien helder is dat er gegevens worden verstrekt die bijzondere vertrouwelijkheid vereisen, zoals vertrouwelijke journalistieke gegevens.

iv.

De verstrekking van gegevens aan buitenlandse inlichtingenpartners moet onderworpen zijn aan onafhankelijk toezicht (independent control).

De leden van de GroenLinks/PvdA-fractie vragen of de regering kan aangeven of en, zo ja, hoe met de komst van de Tijdelijke wet deze vier waarborgen geborgd zijn en blijven. Voorts vragen zij of de regering, op onderdelen, twijfels heeft over de mate waarin het voorliggende wetsvoorstel (in samenhang met de Wiv 2017) voldoet aan deze waarborgen en, zo ja, op welke onderdelen.

In de eerder genoemde interne analyse van de uitspraken van de Grote Kamer van het EHRM in de zaken Big Brother Watch e.a. tegen het Verenigd Koninkrijk en Centrum för Rattvissa tegen Zweden¹¹, waaraan de door deze leden geciteerde passage lijkt te zijn ontleend, heeft de (toenmalige) regering in reflectie hierop aangegeven dat de AIVD en MIVD alleen samenwerken met buitenlandse diensten waarvoor op grond van artikel 88 Wiv 2017 aan de hand van een wegingsnotitie is vastgesteld of met de betreffende dienst kan worden samengewerkt en, zo ja, wat de aard en intensiteit daarvan is. In die weging wordt onder meer bezien de eerbiediging van mensenrechten door het desbetreffende land en het door de desbetreffende dienst geboden niveau van gegevensbescherming. Bij de weging wordt dus ook bepaald of er gegevens kunnen worden verstrekt. De gemaakte weging wordt door de Minister geaccordeerd. Verstrekking aan buitenlandse diensten vindt vervolgens plaats of in het kader van een goede taakuitvoering (artikel 62) dan wel in het kader van een samenwerkingsrelatie (artikel 89); daarbij kunnen aan de verstrekking voorwaarden worden verbonden (in ieder geval altijd de derde-partijregel). Op dit proces - van begin tot eind - vindt toezicht plaats door de afdeling toezicht van de CTIVD. Het toezicht door de afdeling toezicht is (inhoudelijk en qua bevoegdheden) op relevante aspecten vergelijkbaar met dat van de Interception of Communications Commissioner en de klachtbehandeling door de afdeling klachtbehandeling met dat van de Investigatory Powers Tribunal, die in de zaak Big Brother Watch e.a tegen het Verenigd Koninkrijk door het EHRM in de beoordeling van het Britse wettelijk kader is betrokken. De Tijdelijke wet doet aan die vaststelling niet af. Het is eerder zo dat, waar het gaat om de (enige) bepaling in de Tijdelijke wet die betrekking heeft op verstrekking van gegevens aan het buitenland (artikel 6, zevende lid), er juist sprake is van een wettelijke versterking van de daarmee gepaard gaande waarborgen. Het doel van de verstrekking is immers wettelijk vastgelegd alsmede dat verstrekking - behoudens in geval van een dringende en gewichtige reden - niet eerder mag plaatsvinden dan vijf dagen nadat de afdeling toezicht van de CTIVD omtrent de verleende ministeriele toestemming voor de verstrekking aan een inlichtingen- en veiligheidsdienst van een ander land is geïnformeerd. Het ligt in de rede dat voorafgaand aan de verstrekking aan een dergelijke dienst de voorwaarden waaronder de verstrekking plaatsvindt - te weten doelbinding en verbod op andersoortige verwerking - worden overeengekomen en vastgelegd. De afdeling toezicht van de CTIVD kan daarop toezien. Voor zover door de AIVD of MIVD wordt onderkend (in de termen van het EHRM: helder is) dat in de te verstrekken gegevens aan een dergelijke dienst vertrouwelijke journalistieke gegevens bevinden, zullen deze daaruit worden verwijderd en derhalve niet worden verstrekt. Ook hierop kan de afdeling toezicht van de CTIVD toezicht houden.

De fractieleden van GroenLinks-PvdA lezen op bladzijde 21 van de nota naar aanleiding van het verslag: «Indien geconstateerd wordt dat een dienst van een ander land zich niet aan de afspraken houdt, zal de samenwerkingsrelatie met die dienst opnieuw worden gewogen.» Deze fractieleden vragen hoe vaak in de afgelopen vijf jaar is geconstateerd dat een buitenlandse dienst zich niet aan de afspraken hield, en hoe vaak dit heeft geleid tot een heroverweging van de samenwerkingsrelatie.

De afgelopen vijf jaar is niet geconstateerd dat een buitenlandse dienst zich niet aan gemaakte samenwerkingsafspraken heeft gehouden. Er is een beperkt aantal incidenten geweest bij buitenlandse diensten waardoor mogelijk aanvullende risico's zijn ontstaan in de samenwerking binnen het kader van de wegingsnotitie. Hiervoor zijn in voorkomende gevallen noodzakelijke maatregelen getroffen. Artikel 88, lid 5, van de Wiv 2017, biedt de mogelijkheid een samenwerkingsrelatie te heroverwegen indien daarvoor aanleiding is. In dit geval zijn geen samenwerkingsrelaties volledig heroverwogen, wel is de uitwisseling van gegevens en het aangaan van concrete operationele samenwerkingen in enkele gevallen heroverwogen.

De fractieleden van GroenLinks-PvdA lezen op bladzijde 22 van de nota: «De regering benadrukt dat intensieve internationale samenwerking, en daarmee ook de uitwisseling van ongeëvalueerde gegevens, onmisbaar is.» Het lijkt de fractieleden van GroenLinks-PvdA logisch dat het belang van goede internationale samenwerking geldt voor ongeëvalueerde gegevens van een target (een enkele persoon waarbij men goede redenen heeft om deze in de gaten te houden), maar niet voor bulkinterceptiedata met grotendeels «onschuldige» ingezetenen. Voornoemde fractieleden vragen of de regering dit onderscheid deelt.

De regering onderschrijft het verschil tussen het delen van gegevens van een specifieke persoon of het delen van bulkdata met gegevens van een grote groep personen. Echter, het is in het belang van goede internationale samenwerking om, met inachtneming van de wegingsnotities, zowel geëvalueerde als ongeëvalueerde gegevens te kunnen delen. Zo kan het delen van gegevens over een persoon met een buitenlandse dienst van groot belang zijn in het kader van een concreet dreigingson-derzoek binnen Europa. Het delen van bulkdata verkregen met kabelinter-ceptie, in het kader van technisch onderzoek en het samen kunnen analyseren van de data, is echter ook van belang voor het in kaart brengen van de ongekende dreiging vanuit landen met een offensief cyberprogramma. De inbreuk die gemaakt wordt bij het delen van ongeëvalueerde gegevens maakt ook dat er strengere waarborgen (artikel 89 Wiv 2017) zijn dan bij het delen van geëvalueerde gegevens. Zo moet de Minister toestemming geven voor het delen van ongeëvalueerde gegevens en krijgt de afdeling toezicht van de CTIVD, behoudens een dringende en gewichtige reden, vijf dagen de tijd om toezicht te houden op de toestemming van de Minister om data die met de verkennende bevoegdheid op kabelinterceptie is verkregen te delen (amendement Hammelburg, nr. 29). De afdeling toezicht van de CTIVD kan dan in het kader van haar reguliere toezichtstaak de voorgenomen verstrekking beoordelen. De Minister kan de verleende toestemming dan heroverwegen.

De fractieleden van GroenLinks-PvdA constateren dat de volgende vraag uit het verslag is niet beantwoord en daarom stellen zij deze nogmaals: de fractieleden van GroenLinks-PvdA vragen of het delen van bulkdata met buitenlandse diensten enkel achteraf, na «beoordeling» van de data, zal kunnen plaatsvinden of dat er ook sprake kan zijn van het bijna live (real time) delen van bulkdata met buitenlandse diensten.

In aanvulling op het eerder gegeven antwoord, merken wij op dat in de nota naar aanleiding van het verslag is aangegeven dat de diensten de gegevens die zijn verkregen uit de bevoegdheid tot verkennen met het oog op toepassing van artikel 48 Wiv 2017 kunnen delen met buitenlandse diensten om ondersteuning te krijgen bij het technisch onderzoek van die gegevens. Allereerst wordt, zoals ook benoemd in de beantwoording van de vorige vraag, opgemerkt dat, behoudens een dringende en gewichtige reden, de gegevensdeling niet eerder plaatsvindt dan nadat de afdeling toezicht van de CTIVD vijf dagen de tijd heeft gehad om toezicht te houden op de toestemming van de Minister om data die met de verkennende bevoegdheid op kabelinterceptie is verkregen te delen (het amendement Hammelburg, nr. 29). De afdeling toezicht van de CTIVD kan dan in het kader van haar reguliere toezichtstaak de voorgenomen verstrekking beoordelen. De Minister kan de verleende toestemming dan heroverwegen. De diensten kijken eerst of door middel van technisch onderzoek beter zicht kan worden verkregen op de gegevensstromen en de technische realiteit daarvan. Als dat niet zelfstandig kan gebeuren, dan kunnen vertrouwde en goede samenwerkingspartners worden gevraagd om technische bijstand te verlenen. De verstrekking van data kan dus wel plaatsvinden alvorens het is beoordeeld, juist omdat de technische ondersteuning van buitenlandse diensten noodzakelijk is om deze data te kunnen ontsleutelen en te analyseren. Het kan ook data betreffen die de diensten eerst zelf hebben geanalyseerd. Ook het delen van deze data vindt niet real time plaats, in de zin dat de verworven gegevens direct en ongezien verstrekt worden aan een buitenlandse dienst. Daarnaast is als aanvullende waarborg in de Tijdelijke wet opgenomen dat de verstrekking, behoudens een dringende en gewichtige reden, niet eerder plaatsvindt dan vijf dagen nadat de afdeling toezicht omtrent de verleende toestemming is geïnformeerd.

Aanvullend vragen de fractieleden van GroenLinks-PvdA of er met de nieuwe Tijdelijke wet data via artikel 6 automatisch en/of langdurig data naar het buitenland gaat stromen (uiteraard na de vijf dagen meldings-termijn), of dat het gaat om een incidenteel hulpverzoek.

De Tijdelijke wet schrijft niet voor in welke vorm gegevens met buitenlandse diensten worden gedeeld, de Wiv 2017 evenmin. Of het om een langdurige samenwerking of een incidenteel hulpverzoek gaat is afhankelijk van de samenwerkingsrelatie met de buitenlandse dienst. Overigens dient te worden opgemerkt dat gegevens die zijn verworven met de verkennende bevoegdheid niet ongezien gedeeld worden. Bij die gegevens wordt eerst bekeken of de diensten door middel van technisch onderzoek zelf beter zicht kunnen krijgen op de gegevensstromen en de technische realiteit daarvan. Als dat niet zelfstandig kan gebeuren, bijvoorbeeld omdat de diensten nog niet de noodzakelijke ervaring hebben, dan kunnen vertrouwde en goede samenwerkingspartners worden gevraagd om technische bijstand te verlenen.

De fractieleden van GroenLinks-PvdA wijzen erop dat een verzoek om toestemming tot verlenging van de bewaartermijn moet voldoen aan hetgeen vermeld staat in artikel 14ba, tweede lid, van de Tijdelijke wet. In het tweede lid, onder e staat dat bij de onderbouwing van een langere bewaartermijn het volgende gemotiveerd moeten worden: «de reden waarom een nieuwe eindtermijn voor gebruik van de bulkdataset vanuit de daarmee gepaard gaande beperking van het recht op bescherming van de persoonlijke levenssfeer van de personen wier gegevens in de bulkdataset zijn opgenomen proportioneel en subsidiair is».¹² Hierover hebben de leden van de fractie van GroenLinks-PvdA de volgende vragen. Ten eerste willen zij vernemen hoe dit dient te worden gemotiveerd.

In het verzoek voor het bepalen van een nieuwe eindtermijn voor het gebruik van een bulkdatasets dient onder andere te worden onderbouwd dat het verzoek vanuit de daarmee gepaard gaande beperking van het recht op bescherming van de persoonlijke levenssfeer van de personen wier gegevens in de bulkdataset zijn opgenomen proportioneel en subsidiair is. Bij de proportionaliteitsafweging wordt het onderzoeksbelang van de dienst(en) om de bulkdataset langer te kunnen gebruiken afgewogen tegen de inbreuk op de privacy die daarmee gepaard gaat. Bij de subsidiariteitsafweging zal moeten worden aangegeven dat het langer kunnen gebruiken van de bulkdataset, welke gegevens reeds ter beschikking staan voor onderzoeken van de dienst(en), het lichtste middel is om het doel van het langer gebruiken van de bulkdataset, te weten het doen van onderzoek, te bereiken, afgewogen tegen de inbreuk die optreedt ingeval van het (opnieuw) verzamelen van gegevens.

Aansluitend vragen de fractieleden van GroenLinks-PvdA hoe dan gemotiveerd kan worden dat de verlenging proportioneel en subsidiair is, aangezien een bulkdataset niet zelden uit ongeëvalueerde gegevens zal bestaan en er daarmee geen zicht is op de personen in de inhoud van de gegevens in de betreffende dataset. Graag ontvangen de fractieleden van

GroenLinks-PvdA een toelichting, zodat voor de wetgeschiedenis duidelijk wordt hoe dit beoordeeld moet worden. Indien deze onderbouwing niet te geven is, vanwege de aard van de ongeëvalueerde data, dan vragen de fractieleden of dan de conclusie moet zijn dat de data alsnog vernietigd moeten worden, juist in het kader van de waarborgen van proportionaliteit en subsidiariteit, en zo nee, waarom niet.

In reactie op de vraag over de motivatie van de verlenging ten aanzien van de proportionaliteit en subsidiariteit, verwijzen wij naar het antwoord op de voorgaande vraag waar wordt ingegaan op de wijze waarop proportionaliteit en subsidiariteit onderdeel uitmaken van de criteria die zijn opgenomen in artikel 14ab, tweede lid, sub e, van de Tijdelijke wet. Aanvullend daarop merken we het volgende op. Een kenmerkende eigenschap van bulkdatasets is dat niet op voorhand te bepalen is welke gegevens uit die bulkdatasets relevant zijn voor een concreet inlichtingen-onderzoek, maar dat alle gegevens potentieel van waarde kunnen zijn. Dit betekent dat de set als geheel van waarde is, en dat pas achteraf zal blijken welke gegevens uit een bulkdataset daadwerkelijk gebruikt zijn bij het beantwoorden van concrete onderzoeksvragen. Uit voorgaande jaren is gebleken dat in sommige gevallen pas na langere tijd de waarde van een bulkdataset voor een onderzoek naar voren komt. Bijvoorbeeld doordat informatie aan het licht komt die in combinatie met een beschikbare bulkdataset een nieuw inzicht oplevert. Op voorhand is het dus niet mogelijk te bepalen welke gegevens uit die bulkdatasets (potentiële) waarde hebben voor de beantwoording de onderzoeksvragen van de diensten.

Bij de verdere verwerking zal steeds een afweging moeten worden gemaakt die recht doet aan zowel de bescherming van de nationale veiligheid en de taakuitvoering van de diensten als het recht op bescherming van de persoonlijke levenssfeer. Daarom zijn in de Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017¹³ nadere regels gesteld voor de omgang met bulkdatasets. Deze regeling is dus ook van toepassing op de bulkdatasets waarop Tijdelijke wet betrekking heeft.

De wijze waarop in het verzoek tot toestemming om de eindtermijn van de bulkdataset opnieuw vast te stellen de vereisten van proportionaliteit en subsidiariteit gemotiveerd worden, is als volgt. In het verzoek moet onderbouwd worden dat het verzoek vanuit de daarmee gepaard gaande beperking van het recht op bescherming van de persoonlijke levenssfeer van de personen wier gegevens in de bulkdataset zijn opgenomen proportioneel en subsidiair is. Bij de proportionaliteitsafweging wordt het onderzoeksbelang van de dienst(en) om de bulkdataset langer te kunnen gebruiken afgewogen tegen de inbreuk op de privacy die daarmee gepaard gaat, waarbij voor de inbreuk op de privacy gekeken zal worden naar de categorisering van de bulkdataset op basis van artikel 3 van de Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017. Die categorisering is immers een resultante van de afweging die de Minister heeft gemaakt aan de hand van in ieder geval de criteria: (1) de mate waarin een bulkdataset inzicht geeft in bepaalde aspecten van het privéleven, waaronder identificerende gegevens, locaties, netwerk en vertrouwelijke inhoudelijke gegevens en (2) de mate waarin een bulkdataset voor een ieder toegankelijk is. Bij de subsidiariteitsafweging zal moeten worden aangegeven dat het langer kunnen gebruiken van de bulkdataset, welke gegevens reeds ter beschikking staan voor onderzoeken van de dienst(en), het lichtste middel is om het doel van het langer gebruiken van de bulkdataset, te weten het doen van onderzoek, te bereiken, afgewogen tegen de inbreuk die optreedt ingeval van het (opnieuw) verzamelen van gegevens (zie artikel 25 Wiv 2017).

De fractieleden van GroenLinks-PvdA wijzen erop dat een verzoek om toestemming tot verlenging van de bewaartermijn moet voldoen aan hetgeen vermeld staat in artikel 14ba, tweede lid, van de Tijdelijke wet. In het tweede lid, onder f staat dat bij de onderbouwing van een langere bewaartermijn het volgende gemotiveerd moeten worden: «het gebruik van de bulkdataset in de afgelopen periode en daarmee het behaalde resultaat». Hierover hebben de leden van de fractie van GroenLinks-PvdA enkele vragen. Afgelopen periode is het, zo hebben zij begrepen, regelmatig voorgekomen dat bulkdatasets niet gebruikt zijn en er toch om verlenging wordt gevraagd. Hiermee menen zij dat een risico ontstaat op steeds opvolgende verlengingsverzoeken. Het lijkt de leden van de fractie van GroenLinks-PvdA verdedigbaar dat indien bulkdatasets gedurende de bewaarperiode niet gebruikt zijn, een verzoek tot verlenging van de bewaartermijnen dient te worden afgewezen. Zij vragen of de regering deze visie van voornoemde fractieleden deelt, en zo nee, waarom niet.

Anders dan de leden van de fractie van GroenLinks-PvdA stellen, is het de afgelopen periode niet regelmatig voorgekomen dat bulkdatasets niet gebruikt zijn en er toch om verlenging wordt gevraagd. Wel is conform de met de CTIVD getroffen regeling inzake bulkdatasets¹⁴ tweemaal een nieuwe eindtermijn vastgesteld met de looptijd van één jaar. De CTIVD heeft onderzoek verricht naar deze besluiten en heeft bevestigd dat zij niet over zal gaan tot een onrechtmatigheidsoordeel. Uw Kamer is hierover geïnformeerd bij brief van 15 januari 2024¹⁵ en 14 februari 2024¹⁶.

Met het gebruik van bulkdatasets wordt bedoeld het geheel van gegevensverwerkingen dat plaatsvindt in het kader van de in artikel 8, tweede lid, onder a en d, en artikel 10, tweede lid, onder a, c en e, van de Wiv 2017 geformuleerde taken van de AIVD onderscheidenlijk de MIVD. Het uitgangspunt daarbij is een bewaartermijn van anderhalf jaar. De Minister zal dienen te beoordelen of, alles afwegende op grond van de uitwerking van de wettelijke criteria in het verzoek, sprake is van dringende redenen met het oog op de nationale veiligheid om een nieuwe eindtermijn voor het gebruik van een bulkdataset vast te stellen, (telkens) met maximaal een jaar. Hiervoor is het geen noodzakelijk vereiste dat de bulkdataset in een eerder stadium al gebruikt moet zijn. Het kan wel degelijk voorkomen dat een bulkdataset de afgelopen periode niet is gebruikt, maar wel kan worden aangetoond en onderbouwd dat langere beschikbaar voor de diensten noodzakelijk is. Tegelijkertijd is het zo dat de Tijdelijke wet voorschrijft dat in het verzoek om een nieuwe eindtermijn voor het gebruik van een bulkdataset «het gebruik van de bulkdataset in de afgelopen periode en daarmee het behaalde resultaat» moet worden beschreven. Dit kan (mede) de reden zijn dat het vaststellen van een nieuwe eindtermijn geboden is, maar dit hoeft niet zo te zijn. Daarnaast introduceert dit wetsvoorstel, als aanvullende waarborg, bindend toezicht door de afdeling toezicht van de CTIVD op het besluit tot vaststelling van een nieuwe eindtermijn en kan dus beoordelen of aan de criteria is voldaan. Naar aanleiding van het amendement Hammelburg onderzoekt de afdeling toezicht van de CTIVD in elk geval de rechtmatigheid van het derde opeenvolgende besluit tot het vaststellen van een nieuwe eindtermijn (artikel 14d).

De fractieleden van GroenLinks-PvdA verwijzen naar een zaak bij het EHRM (Big Brother Watch en anderen/Verenigd Koninkrijk), waarin de Britse regering stelde: «As for the duration of storage, the Government contended that related communications data «require more analytical work, over a lengthy period, to discover «unknown unknowns»». That discovery could involve an exercise of piecing together disparate small items of communications data to form a «jigsaw» revealing a threat, and would include the possible examination of items that initially appeared to be of no intelligence interest. Discarding unselected communications data immediately, or even after a few days, would render that exercise impossible.» Het Hof accepteerde deze langere bewaartermijn, omdat er sprake is van een maximumbewaartermijn die - aldus het Hof - «did not exceed «several months». Daarnaast gaf het Hof aan dat het verschil in behandeling van inhoud en related communications data objectief en redelijk is gerechtvaardigd. Wel achtte het Hof het noodzakelijk dat vanuit de eis van voorzienbaarheid die bewaartermijn opgenomen dient te zijn in «appropriate legislative and/or other general measures». Ook het College voor de Rechten van de Mens stelt «dat het achterwege laten van een fatale termijn niet in lijn is met artikel 8 Europees Verdrag voor de Rechten van de Mens.»¹⁷ Idem voor de Raad van State. De fractieleden van GroenLinks-PvdA vragen op basis van welke argumenten, feiten of gerechtelijke uitspraken de regering van mening is dat het voorliggende wetsvoorstel zonder eindtermijn voldoet aan het Europees Verdrag voor de Rechten van de Mens.

Wij stellen voorop dat, hoewel het Europees Hof voor de Rechten van de Mens (EHRM) belang hecht aan een zo kort mogelijke bewaartermijn, het Hof niet de eis stelt dat altijd sprake moet zijn van een vaste of fatale termijn. De in het wetsvoorstel opgenomen regeling is in lijn met het advies van de Raad van State om te voorzien in een wettelijke eindtermijn met daarbij tevens een nauwkeurig begrensde mogelijkheid om daarvan bij wijze van uitzondering af te kunnen wijken indien dringende redenen met het oog op de nationale veiligheid dat strikt noodzakelijk maken. Daaraan is gevolg gegeven door in artikel 14b een eindtermijn op te nemen waarmee in afwijking van het bepaalde in artikel 27, eerste en derde lid, Wiv 2017 een door de diensten verworven bulkdataset die is verworven met een bijzondere bevoegdheid, niet zijnde de bevoegdheid ex artikel 48 Wiv 2017, anderhalf jaar kan worden gebruikt. Tevens is in navolging van het advies van de Raad van State voorzien in een mogelijkheid om hiervan af te wijken wanneer sprake is van dringende redenen met het oog op de nationale veiligheid. Hiermee is aangesloten bij het door de Afdeling geformuleerde criterium voor de door haar mogelijk geachte uitzondering op een eindtermijn en wordt recht gedaan aan de aard van iedere afzonderlijke bulkdataset en het gebruik daarvan in de inlichtingenpraktijk. Voor wat betreft de jurisprudentie van het EHRM wordt opgemerkt dat het Hof in een concrete zaak het stelsel als geheel in aanmerking neemt en daarbij beziet of het stelsel voldoende waarborgen bevat die in hun onderlinge samenhang adequate en effectieve garanties bieden tegen willekeur en het risico van misbruik. De regering is van oordeel dat de voorgestelde regeling voldoet aan de vereisten van de jurisprudentie van het EHRM.

De leden van de PVV-fractie lezen op p. 15 van de nota naar aanleiding van het verslag dat de regering stelt: «De diensten richten zich op gegevensstromen die hoofdzakelijk internationaal verkeer bevatten». De leden vragen de regering voor hen aan te geven op welke manier die gegevensstromen te onderscheiden zijn van nationaal verkeer, nu internetverkeer via internationale servers en netwerken verloopt. Ook stellen de fractieleden van de PVV vast dat de regering op p. 16 spreekt over hoe de diensten zich richten op «internationaal verkeer». Zij vragen of de regering kan aangeven wat concreet wordt verstaan onder «internationaal verkeer», en of dit bijvoorbeeld ook van toepassing is op een server van een socialmediaplatform die in de Verenigde Staten staat.

Doel is met name om tot uitdrukking te brengen dat de diensten voor de daadwerkelijke uitvoering van de verkenningsbevoegdheid al een keuze voor een drager, kabel of een glasvezel dienen te maken op basis van de op dat moment beschikbare informatie. De diensten richten zich op dragers, kabels en glasvezels die, met inachtneming van de definitie hierboven, hoofdzakelijk internationaal verkeer transporteren. De diensten richten zich niet op dragers, kabels en glasvezels die hoofdzakelijk nationaal verkeer transporteren.

De fractieleden van de PVV lezen dat de regering op p. 17 van de nota naar aanleiding van het verslag aangeeft: «kunnen wij aangeven dat OOG-interceptie wordt ingezet op landen met een offensief cyberpro-gramma en zich dus richt op internationale gegevensstromen, niet op nationale gegevensstromen». Deze fractieleden vragen hoe dit zich verhoudt tot de stellingname van de regering op p. 19: «In het kabelland-schap bestaan geen Nederlandse kabels of Nederlands verkeer. Internetverkeer gaat immers over verschillende kabels», en of dit niet tegenstrijdig is.

Wij beantwoorden deze vraag ontkennend. Het kabellandschap bestaat uit een grote verscheidenheid aan verbindingen. Afhankelijk van de communicatie aanbieder en aangesloten klanten zal de aard van de gegevensstromen variëren. Deze verschillen lopen niet parallel aan geografische landsgrenzen of nationaliteit van bedrijven. Het communicatielandschap is daadwerkelijk geglobaliseerd zodat er geen kabels aan te wijzen zijn die strikt «nationaal» of strikt «internationaal» zijn. OOG-interceptie bij onderzoek naar landen met een offensief cyberprogramma zal dus gericht zijn op gegevensstromen die betrekking hebben op het beantwoorden van onderzoeksvragen over die landen. Beide stellingen in de vraag zijn juist en naar ons inzicht niet tegenstrijdig.

De fractieleden van de PVV lezen ook dat de regering op p. 21 stelt: «De regering hecht eraan te benadrukken dat een groot deel, meer dan 80%, van de bulkdatasets waarover de diensten op dit moment beschikken, zien op gegevens uit het buitenland». De fractieleden vragen of de regering kan aangeven of dit gegevens van of over andere landen zijn, en of dit ook buitenlandse servers zijn die ook gegevens over Nederlandse gebruikers (kunnen) bevatten.

De leden van de PVV-fractie lezen op p. 16 dat de regering aangeeft: «Alleen daartoe aangewezen medewerkers van de diensten mogen kennisnemen van de met de verkenning verworven gegevens». Deze leden vragen of de regering kan aangeven hoe de veiligheid van deze gegevens geborgd wordt, mede gelet op het schandaal bij de NCTV, waar een medewerker 46 terabyte aan staatsgeheime informatie achter heeft gehouden en ook gelekt heeft aan Marokko.^{18 19}De diensten hebben het grootste belang bij geheimhouding van gegevens. Door toepassing van functiescheiding is de kring van personen die bevoegd zijn tot kennisname van de gegevens die met de verkennende bevoegdheid (artikel 6 van het wetsvoorstel) zijn verkregen klein. Het betreffen hier technisch specialisten die over de kennis en vaardigheden beschikking om vast te stellen of OOG-interceptie ex artikel 48 op een gegevensstroom van waarde is. Uitgesloten is dat medewerkers die betrokken zijn bij een onderzoek toegang hebben tot die gegevens. Daarnaast passen de diensten een strikt stelsel van beveiligingsmaatregelen toe. Dit gaat om een geheel aan personele, organisatorische en technische maatregelen. Artikel 23 van de Wiv 2011 bevat ook een wettelijke plicht voor geheimhouding.

De PvdD-fractieleden merken op dat de regering in de nota naar aanleiding van het verslag schrijft: «Gegevens verkregen uit de bevoegdheid tot verkenning op de kabel zijn overigens uitgesloten van gebruik voor het inlichtingenproces.»²² Deze fractieleden vragen of dat wettelijke verbod ook geldt voor het gebruik van die gegevens door een buitenlandse zusterdienst, die deze van de Nederlandse dienst in handen heeft gekregen, en zo ja, uit welk voorschrift dat blijkt. Ook vragen zij of indien dit niet het geval is, dit dan impliceert dat de Nederlandse dienst niet kan voorkomen dat persoonsgegevens (zoals onder meer inloggegevens, bankbetalingen enzovoorts) die met de zusterdienst gedeeld zijn, voor het inlichtingenproces gebruikt kunnen worden of voor (andere) doelen waarvoor dat gebruik naar Nederlands recht niet is toegestaan.

Vooropgesteld wordt dat de aard en intensiteit van de samenwerking wordt bepaald in de wegingsnotities. De wijze waarop een ander land omgaat met de ontvangen gegevens valt onder de rechtsmacht van het betreffende land, waarvoor de eigen toezichthouder bevoegd is. De naleving van de voorwaarde zoals genoemd in deze vraag maar ook het verbod op delen met andere partijen (de derde partij regel), berust op de vertrouwensregel die in de samenwerking tussen inlichtingen- en veiligheidsdiensten geldt. Dit laat onverlet dat de diensten deze voorwaarde wel stellen aan een buitenlandse dienst. Indien geconstateerd wordt dat een dienst van een ander land zich niet aan de gestelde voorwaarde(n) houdt, zal de samenwerkingsrelatie met die dienst opnieuw worden gewogen. Afhankelijk van de uitkomst wordt besloten of de samenwerkingsrelatie wordt voortgezet en, zo ja, wat dan de aard en de intensiteit van die relatie - mede in het licht van de geconstateerde vertrouwensbreuk - moet zijn.

De leden van de fractie van de PvdD vragen of zij het goed zien dat als eenmaal gegevens gedeeld zijn met een zusterdienst, er door de Nederlandse dienst geen juridische sancties of maatregelen kunnen worden getroffen die ertoe leiden dat de gegevens die de zusterdienst heeft verkregen, worden vernietigd.

Wij kunnen bevestigen dat er geen manier is om een buitenlandse dienst op te dragen verstrekte gegevens te vernietigen, net zo min als buitenlandse diensten de Nederlandse diensten kunnen opdragen handelingen te verrichten. Wel kunnen afspraken gemaakt worden over de behandeling van eenmaal verstrekte gegevens. Internationale samenwerking is voor een deel gebaseerd op onderling vertrouwen. Op basis van vertrouwen moet worden aangenomen dat de gegevens in lijn met de gemaakte afspraken worden behandeld. Indien blijkt dat een buitenlandse dienst met verstrekte gegevens de gemaakte afspraken schendt, kan dat leiden tot maatregelen in de bilaterale betrekkingen tussen de diensten. Daarnaast draagt het hoofd van de dienst er op grond van artikel 88, vijfde lid, van de Wiv 2017, zorg voor dat indien omstandigheden daartoe aanleiding geven de aard en intensiteit van de samenwerkingsrelatie met een inlichtingen- en veiligheidsdienst van een ander land opnieuw wordt gewogen. Dit kan uiteindelijk leiden tot bijvoorbeeld het beëindigen van de uitwisseling/samenwerking, het informeren van andere buitenlandse diensten of diplomatieke maatregelen.

4.

Toets en toezicht en de mogelijkheid van beroep op de Afdeling bestuursrechtspraak van de Raad van State

De leden van de fractie van GroenLinks-PvdA hebben vervolgvragen over het toezicht in de verkenningsfase en de balans van het toezicht in relatie tot de impact en omvang van deze handelingsbevoegdheid. Het toezicht in de verkenningsfase is als volgt geregeld:

1.

De Toetsingscommissie Inzet Bevoegdheden (hierna: TIB) houdt bindend toezicht op het gerechtvaardigd inzetten van de bevoegdheid.

2.

De CTIVD houdt regulier toezicht op de uitvoering van de bevoegdheid als bedoeld in het voorgestelde artikel 6 en heeft hier geen bindende bevoegdheden.

De vraag van de leden van de fractie van GroenLinks-PvdA of deze weergave klopt, kunnen wij bevestigend beantwoorden.

De fractieleden van GroenLinks-PvdA hebben enkele vragen over het toezicht in de verkenningsfase door de TIB. De toets op gerichtheid voorafgaand aan bulkinterceptie door de TIB wordt aangepast met de Tijdelijke wet. De TIB moet voortaan vooraf toetsen aan artikel 6, eerste lid, van de Tijdelijke wet: «De diensten zijn bevoegd met het oog op toepassing van de bevoegdheid, bedoeld in artikel 48, eerste lid, van de Wiv 2017, tot het met een technisch hulpmiddel aftappen, ontvangen, opnemen en afluisteren van elke vorm van telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk ongeacht waar een en ander zich bevindt, met het uitsluitende doel vast te stellen op welke gegevensstromen een verzoek om toestemming als bedoeld in artikel 48, tweede lid, van die wet, betrekking dient te hebben.»^{20 21 22}

Het EHRM stelt: « Therefore, in order to minimise the risk of the bulk interception power being abused, the Court considers that the process must be subject to «end-to-end safeguards», meaning that, at the domestic level, an assessment should be made at each stage of the process of the necessity and proportionality of the measures being taken; that bulk interception should be subject to independent authorization at the outset, when the object and scope of the operation are being defined; and that the operation should be subject to supervision and independent ex post facto review.»²

De fractieleden van GroenLinks-PvdA vragen hoe deze uitspraak (toets vooraf op object en scope) zich verhoudt tot de aanpassingen in de Tijdelijke wet, waarin de voorafgaande toets aan gerichtheid vooraf wordt vervangen («De Tijdelijke wet maakt namelijk een uitzondering op de toepassing van het gerichtheidsvereiste ex artikel 26, vijfde lid, Wiv 2017 bij de uitvoering van de bevoegdheid tot OOG-interceptie ten behoeve van verkennen»²⁵) door een toets aan het voorgestelde artikel 6, eerste lid. Deze fractieleden vragen of de regering van mening is dat met deze aanpassing voldaan wordt aan bovenstaande uitspraak van het EHRM, en zo ja, dan ontvangen de fractieleden van GroenLinks-PvdA graag een toelichting. Ook willen de fractieleden graag weten hoe de TIB hierop dient te toetsen, en welke gegevens volgens de regering minimaal noodzakelijk zijn om dit te kunnen beoordelen.

De Tijdelijke wet, inclusief het bepaalde in artikel 6, voldoet naar ons oordeel aan de jurisprudentie van het EHRM, waaronder de uitspraak waar de fractieleden van GroenLinks-PvdA naar verwijzen. Het EHRM geeft in deze uitspraak aan dat het bulkinterceptieproces van begin tot eind moet zijn voorzien van waarborgen, mede bestaand uit onafhankelijk toezicht gedurende het hele proces. Hierin is voorzien in de Wiv 2017 en de Tijdelijke wet. Het buiten toepassing laten van het in de Wiv 2017 opgenomen gerichtheidsvereiste is niet in strijd met de uitspraak van het EHRM, dat immers in haar uitspraak benadrukt dat het totale systeem van waarborgen in zijn geheel moet worden beschouwd. Deze waarborgen moeten er gezamenlijk toe leiden dat risico op willekeurig gebruik en misbruik van bevoegdheden wordt geminimaliseerd. Het feit dat één van de gebruikelijke waarborgen, het gerichtheidsvereiste, gezien de aard van de bevoegdheid niet passend is, betekent geenszins dat düs sprake zou zijn van onvoldoende waarborgen, aangezien de gegevens die bij de verkenning worden verzameld volledig gescheiden zullen blijven van het inlichtingenproces. Bovendien leidt effectieve verkenning ertoe dat, zoals ook aangegeven in de nota naar aanleiding van het verslag in reactie op vragen van de PvdD-fractie, de OOG-interceptie ten behoeve van het inlichtingenproces vervolgens juist gerichter kan plaatsvinden.²³ Op deze manier leidt verkenning er toe dat er met de inzet van OOG-interceptie uiteindelijk minder gegevens in het inlichtingenproces terecht komen. De TIB toetst niet of er sprake is van «end-to-end safeguards» en zij kan dit ook niet. De TIB toetst immers uitsluitend vóór aanvang van de bevoegdheid of de voorgenomen inzet rechtmatig is toegestaan door de

Minister. De TIB heeft, in tegenstelling tot de afdeling toezicht van de CTIVD, geen zicht op het verdere proces en kan dat dus niet toetsen.

De fractieleden van GroenLinks-PvdA herhalen hierna een niet (volledig) beantwoorde vraag uit het verslag, waarbij het niet-beantwoorde onderdeel is onderstreept. Zij vragen of zij het goed begrijpen dat «verkennen» enkel en alleen gerechtvaardigd wordt door de behoefte om later misschien artikel 48 van de Wiv 2017 in te zetten. Voornoemde fractieleden vragen of de TIB dus vooraf alleen kan toetsen op de aan- of afwezigheid van de melding van de diensten dat ze artikel 48 van de Wiv 2017 op enig moment in willen zetten. Zij vragen een toelichting van de regering. Zij menen dat hiermee feitelijk elk verkenningsverzoek rechtmatig is en vragen de regering voorbeelden te noemen waarbij onder de Tijdelijke wet de TIB een niet-rechtmatigheidsoordeel zou kunnen geven.

lopen op de brede herziening van de Wiv 2017, waarin de aanbevelingen van de ECW nadrukkelijk worden betrokken.

Overigens wordt met de introductie van een zelfstandige juridische grondslag voor verkenning bij OOG-interceptie juist in lijn met het ECW rapport gehandeld, dat hiertoe adviseert.²⁴ Het gerichtheidscriterium vervalt in de Tijdelijke wet uitsluitend in de verkennende fase bij OOG-interceptie. De verkenning heeft immers als doel om van de beschikbare gegevensstromen vast te stellen welke gegevensstromen bij de uiteindelijke OOG-interceptie ex artikel 48 Wiv 2017 een bijdrage kunnen gaan leveren aan de beantwoording van de onderzoeksvraag. Daarmee draagt de inzet van de verkennende bevoegdheid bij aan een zo gericht mogelijk inzet van OOG-interceptie in de daaropvolgende fases. Ten aanzien van de daaropvolgende daadwerkelijke OOG-interceptie blijft het gerichtheidscriterium onverkort van toepassing, evenals voor alle andere bevoegdheden. Voor de verkenning geldt immers dat hiervan naar de aard van de bevoegdheid een grote mate van ongerichtheid bij hoort. Als de bevoegdheid met grote gerichtheid ingezet zou kunnen worden, dan was immers geen verkenning nodig.

De fractieleden van GroenLinks-PvdA lezen in de beantwoording van hun vragen: «Ten eerste wordt het toestemmingsniveau voor de bevoegdheid tot verkennen bij hacken belegd bij het hoofd van de dienst, in plaats van bij de betrokken Minister, en verdwijnt daarop de rechtmatigheidstoets van de TIB. Het toestemmingsniveau wordt op deze manier in overeenstemming gebracht met de zwaarte van de inbreuk die gepaard gaat met de verkenning (die in het geval van een verkenning zeer gering is). Daarnaast zorgt deze verschuiving van het toestemmingsniveau in combinatie met het wegvallen van de TIB-toets er voor dat sneller kan worden geopereerd. Daarbij wordt de TIB-toets vervangen door bindend toezicht tijdens en nadien van de afdeling toezicht van de CTIVD.»²⁵

Graag ontvangen voornoemde fractieleden een toelichting op de motivering om enerzijds het gerichtheidscriterium voor de verken-ningsfase buiten werking te stellen en tegelijkertijd het toestemmingsniveau af te schalen van de Minister naar het hoofd van de dienst. Zij zouden een omgekeerde beweging logischer vinden, ook in relatie tot de aanbevelingen van de Evaluatiecommissie Wiv. Graag ontvangen zij ook een reflectie van de regering over deze beweging in dit wetsvoorstel in relatie tot de aanbevelingen van deze Evaluatiecommissie.

Overeenkomstig ECW aanbeveling nr. 23 wordt het toestemmingsniveau voor verkennen ten behoeve van de hackbevoegdheid, belegd bij het diensthoofd in plaats van de betrokken Minister. Het betreft hier een ondersteunende bevoegdheid en heeft tot doel om inzicht te krijgen in de eigenschappen van een geautomatiseerd werk, zoals geïnstalleerde software, aanwezige netwerkverbindingen en hardware, zodat een verzoek om toestemming tot het daadwerkelijk binnendringen (hacken) van dat geautomatiseerde werk beter kan worden gemotiveerd. Bij verkennen is derhalve nog geen sprake van binnendringen. Daarom is de inbreuk op de privacy die gepaard gaat met verkennen, zeker in vergelijking met het daadwerkelijk binnendringen van geautomatiseerde werken, zeer gering. Dit geldt dus niet voor het verkennen ten behoeve van OOG-interceptie. Voor het verkennen ten behoeve van OOG-interceptie blijft het toestemmingsniveau bij de Minister (zie artikel 6, tweede lid, Tijdelijke wet) en zal de TIB een rechtmatigheidstoets uitvoeren.

De fractieleden van GroenLinks-PvdA roepen ter herinnering dat het EHRM stelt dat er, ook indien er geen sprake is van een doelgerichte activiteit om vertrouwelijk journalistiek materiaal te verwerven, niettemin een risico is dat dergelijk materiaal kan worden geïntercepteerd, en zelfs kan worden onderzocht, als «bijvangst» van de bulkinterceptieoperatie. Naar het oordeel van het Hof is een dergelijke situatie in materiële zin afwijkend ten opzichte van de situatie van een gericht onderzoek van een journalist (targeted surveillance of a journalist). Het Hof stelt: «Nevertheless, (...), in the current, increasingly digital, age technological capablilities have greatly increased the volume of communications traversing the global internet, and as a consequence surveillance which is not targeted directly against individuals has the capacity to have a very wide reach indeed, both within and without the territory of the surveilling State.» Het Hof geeft vervolgens aan dat nu het onderzoek van de communicatie of de gerelateerde verkeersgegevens van een journalist door een analist kan leiden tot de identificatie van een bron, het nationale recht moet voorzien in robuuste waarborgen betreffende opslag, onderzoek, gebruik, verdere verstrekking en vernietiging van dergelijk vertrouwelijk materiaal. Aansluitend stelt het Hof dat - buiten de situatie van toepassing van gerichte selectie of gerichte zoektermen - er voor het geval dat het duidelijk wordt dat het geïntercepteerde materiaal (communicatie en gerelateerde verkeersgegevens) vertrouwelijk journalistiek materiaal bevat, de voortdurende opslag en onderzoek van dat materiaal door een analist (their continued storage and examination by an analyst) alleen mogelijk is indien dit is geautoriseerd door een rechter of een ander onafhankelijk en onpartijdig besluitvormend lichaam (decision-making body) die kan beslissen of de voortdurende opslag en het onderzoek wordt gerechtvaardigd door een «overriding requirement in the public interest».²⁶

De fractieleden van GroenLinks-PvdA vragen hoe dit uitgangspunt is geborgd, of deze uitspraak van het Hof vraagt om aanpassing van de Wiv 2017 en/of de Tijdelijke wet, zo ja, op welke onderdelen, en zo nee, waarom niet.

De Tijdelijke wet, evenals de Wiv 2017, voldoet aan de eisen die daaraan vanuit de Grondwet en het EVRM worden gesteld. Dit geldt dus ook ten aanzien van journalisten. De Tijdelijke wet verandert niets aan de strenge waarborgen en het regime bij inzet van bevoegdheden op journalisten. Daarvoor geldt artikel 30 lid 2 Wiv 2017 (verwerving van gegevens inzake bron van journalist). Dit betekent concreet dat indien duidelijk is dat het gaat om de inzet van een bevoegdheid op een journalist, er aan de rechtbank toestemming moet worden gevraagd.

Ten aanzien van de vraag hoe het uitgangspunt van het Hof is geborgd en of de uitspraak van het Hof aanpassing van de Wiv 2017 en/of de Tijdelijke wet vergt, kan verwezen worden naar de interne analyse van de directie Constitutionele Zaken en Wetgeving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Daarin is het volgende aangegeven: «Het Hof geeft vervolgens aan dat nu het onderzoek van de communicatie of de gerelateerde verkeersgegevens van een journalist door een analist kan leiden tot de identificatie van een bron, het nationale recht moet voorzien in een robuuste waarborgen betreffende opslag, onderzoek, gebruik, verdere verstrekking en vernietiging van dergelijk vertrouwelijk materiaal. Aansluitend stelt het Hof dat - buiten de situatie van toepassing van gerichte selectie of gerichte zoektermen - er voor het geval dat het duidelijk wordt dat het geïntercepteerde materiaal (communicatie en gerelateerde verkeersgegevens) vertrouwelijk journalistiek materiaal bevat, de voortdurende opslag en onderzoek van dat materiaal door een analist (their continued storage and examination by an analyst) alleen mogelijk is indien dit is geautoriseerd door een rechter of een ander onafhankelijke en onpartijdige besluitvormend lichaam (decision-making body) die kan beslissen of de voortdurende opslag en het onderzoek wordt gerechtvaardigd door een «overriding requirement in the public interest». (ov. 450) Deze nieuwe eis van het Hof vereist aanpassing van de Wiv 2017, aangezien de wet daarin nog niet voorziet. Te overwegen is (ook) deze toestemming te beleggen bij de rechtbank Den Haag. Wel zal in afwachting van een wettelijke voorziening ter zake dienen te worden bezien hoe - bij wijze van een tijdelijke voorziening - de geëiste toestemming kan worden georganiseerd.»

De fractieleden van GroenLinks-PvdA hebben naar aanleiding van de antwoorden op hun eerdere vragen over het algoritmegebruik enkele vervolgvragen. Naar aanleiding van hun vragen over het algoritmeregister en het Implementatiekader Algoritmen stelt de regering: «De in de Wiv 2017 vastgelegde beperkingen aan openbaarheid en transparantie staan hieraan logischerwijs in de weg.»³⁰ Dit is volgens de fractieleden van GroenLinks-PvdA uiteraard correct. De vervolgvraag van deze fractieleden is of een vertrouwelijk algoritmeregister en Implementatiekader Algoritmen niet wenselijk of noodzakelijk zijn om de taak en werkzaamheden van de toezichthouder te vereenvoudigen en te verbeteren, en zo nee, waarom niet.

Het Algoritmeregister is openbaar en heeft tot doel de impactvolle algoritmes die bij de overheid worden gebruikt zichtbaar en controleerbaar te maken. Zo'n openbaar register is niet verenigbaar met de geheimhouding die inherent verbonden is aan de taakuitvoering van de diensten. Dit laat onverlet dat het gebruik van algoritmes door de diensten moet voldoen aan alle eisen die de Wiv 2017 daaraan stelt. Hierop wordt toezicht gehouden door de afdeling toezicht van de CTIVD. Het is aan de diensten en de toezichthouder om te bezien in hoeverre een register daarbij een bruikbaar hulpmiddel is en aansluiting bij het algoritmekader wenselijk en mogelijk is.

De fractieleden van GroenLinks-PvdA menen dat ook in antwoord op de vragen over een normenkader een algemeen en weinig inzichtelijk antwoord volgt: «Net als voor andere overheidsorganisaties kunnen normenkaders van bijvoorbeeld de Auditdienst Rijk en de Algemene Rekenkamer voor de diensten behulpzaam zijn om uitvoering te geven aan een zorgvuldige ontwikkeling, toepassing en beheer van algoritmen.» en «Op het toepassen van algoritmen zijn ook de algemene vereisten voor gegevensverwerking uit de Wiv 2017 van toepassing; waaronder proportionaliteit en zorgvuldigheid. Volgens de zorgplicht ex artikel 24 van de Wiv 2017 moeten de hoofden van diensten maatregelen treffen om rechtmatig gegevens te verwerken en de kwaliteit van de gegevensverwerking te bevorderen, waaronder begrepen de daarbij behorende algoritmen en modellen. Dit geldt voor alle algoritmen die worden toegepast ter uitvoering van de Wiv 2017 en de Tijdelijke wet.»^{27 28} Deze fractieleden vragen wat volgens de regering nodig is om GDA (met artificial intelligence als onderdeel hiervan) ook binnen de diensten te reguleren dan wel (ethisch) te normeren, of de bestaande werkwijze/ codificering in de wet, gezien de snel veranderende digitale wereld voldoet, en in hoeverre deze gewijzigde context al implicaties heeft voor de implementatie c.q. uitvoering van de voorliggende Tijdelijke wet, bijvoorbeeld op het gebied van scholing van medewerkers.

Gegevensverwerking is een kernactiviteit van de diensten. Het gebruik van GDA bij deze kernactiviteit is voorzien van een wettelijke grondslag in de Wiv 2017. De regering stelt vast dat de waarborgen voor de toepassing van GDA door de diensten voldoende robuust zijn. De diensten hebben een wettelijke taak die wezenlijk verschilt van de taken van andere overheidsorganisaties. Daardoor zijn overheidsbrede beleidskaders vaak minder goed toepasbaar. De Wiv 2017 en het voorliggende wetsvoorstel beogen techniekonafhankelijk te zijn. GDA is reeds in de Wiv 2017 gereguleerd en dit is verder uitgewerkt in intern beleid. Ten aanzien van het voldoen van de wetgeving en de implicaties van veranderende omstandigheden stellen wij het volgende. De toepassing van GDA wordt begrensd door verschillende techniekonafhankelijke normen. Technische ontwikkelingen hebben geen specifieke implicaties voor de implementatie of uitvoering van de Tijdelijke wet. Dit omdat de Tijdelijke wet de normen voor de toepassing van GDA niet wijzigt. Het blijft uiteraard belangrijk beleidskaders en opleidingen van medewerkers voortdurend aangesloten te houden op actuele technische ontwikkelingen. De afdeling toezicht van de CTIVD houdt toezicht op het gehele proces van gegevensverwerking, inclusief de toepassing van GDA.

De fractieleden van GroenLinks-PvdA lezen in antwoord op hun vragen dat de regering stelt: «In de Wiv 2017 staat ook dat geautomatiseerde besluitvorming verboden is. De diensten mogen geen maatregelen jegens een persoon treffen die uitsluitend gebaseerd is op de resultaten van een GDA. Er moet altijd sprake zijn van menselijke validatie, weging en tussenkomst.»³² Omdat het om veel data (bulk) gaat, is er volgens de fractieleden van GroenLinks-PvdA logischerwijs sprake van veel GDA. Zij vragen hoe menselijke validatie plaatsvindt, en hoe bias voorkomen wordt.

Allereerst wordt opgemerkt dat de hoeveelheid gegevens geen relatie heeft met de frequentie van GDA. GDA kan worden toegepast op een beperkte subset van gegevens of juist op een combinatie van gegevenssets. Indien meer indringend onderzoek gedaan wordt naar een persoon of organisatie kan de frequentie van GDA hoger zijn.

Indien GDA wordt toegepast op OOG-metadata ter identificatie van personen en organisaties op grond van artikel 50, lid 1, onder b, van de Wiv 2017 is zal er altijd sprake zijn van menselijke validatie van de resultaten. Deze expliciete verplichting vloeit voort uit de Wiv (artikel 60, lid 3) en is een belangrijke waarborg bij de toepassing van GDA. Ook tijdens het proces van de geautomatiseerde data-analyse zijn de diensten verplicht dit doen in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze. Daarnaast hebben de diensten een zorgplicht waarin onder andere is voorgeschreven dat de diensten de nodige voorzieningen treffen ter bevordering van de juistheid en volledigheid van de gegevens die worden verwerkt, alsmede ter bevordering van de kwaliteiten van de gegevensverwerking waaronder begrepen de daarbij gehanteerde algoritmen en modellen. De menselijke validatie is een continue activiteit van weging, inschatting en interpretatie van onderzoeksresultaten in het licht van de onderzoeksvragen. Bij deze validatie wordt ook de aard van de onderliggende gegevens betrokken. Omdat de diensten in hun taakuitvoering ten behoeve van de nationale veiligheid als geen ander baat hebben bij de kwaliteit van de resultaten zullen zij er altijd naar streven bias te vermijden en de kwaliteit van de onderliggende gegevens

³² Kamerstukken I 2023/24, 36 263, E, p. 17.

zo hoog mogelijk te maken. Dit is in een zorgvuldig proces omkleed met voornoemde waarborgen. Het gebruik van algoritmen en de omgang met gegevens vindt op een verantwoorde en gedocumenteerde manier plaats. Hierdoor kan de afdeling toezicht van de CTIVD inhoudelijk en technisch toezicht houden.

De leden van de PVV-fractie merken op dat de regering op p. 50-51 van de nota naar aanleiding van het verslag stelt: «De diensten dienen onder de Tijdelijke wet te motiveren waarom sprake is van hoofdzakelijk internationaal gegevensverkeer en er dient, in lijn met Europese rechtspraak, enige verwachting te zijn dat er sprake is van relevant gegevensverkeer voor de inlichtingenonderzoeken van de diensten». Zij vragen of de regering voor hen kan aangeven hoe deze eis van «enige verwachting» zich verhoudt tot het onwerkbaar geachte gerichtheidscriterium in de verkenningsfase, en of dit vereiste wél werkbaar is.

De eis van enige verwachting doet recht aan de situatie voorafgaand aan de inzet van de verkenningsbevoegdheid. Voordat de verkenningsbe-voegdheid wordt ingezet hebben de diensten al vooronderzoek gedaan.

Op basis van eigen informatie, technisch onderzoek en open bronnen kunnen de diensten al een eerste inschatting maken waar voor de dienst bruikbare gegevensstromen worden getransporteerd. Vervolgens kunnen de diensten bij communicatieaanbieders meer gegevens opvragen die duiding kunnen geven aan deze gegevensstromen. Dit gehele proces dat voorafgaat aan de inzet van de verkenningsbevoegdheid draagt eraan bij dat op dat moment invulling is gegeven aan de eis van «enige verwachting». Dit vereiste past bij de aard van de verkenningsbevoegdheid. Omdat de verkenningsbevoegdheid als doel heeft om vast te stellen welke gegevensstromen wél maar ook welke gegevensstromen niet bruikbaar zijn voor het beantwoorden van onderzoeksvragen heeft het gerichtheidscriterium in deze fase geen betekenis. De resultaten van de verkenningsbevoegdheid kunnen later gebruikt worden om invulling te geven aan het gerichtheidscriterium bij een daadwerkelijke aanvraag van kabelinterceptie ten behoeve van het inlichtingenproces. Een onderdeel hiervan is ook dat de diensten zich dus richten op kabels die hoofdzakelijk internationaal verkeer transporteren. Dus op basis van eigen informatie en andere bronnen maken de diensten de inschatting dat er mogelijk verkeer aanwezig is op kabels die hoofdzakelijk internationaal verkeer transporteren met een potentiële waarde voor de beantwoording de onderzoeksvragen van de diensten, maar zal dit pas vastgesteld kunnen worden na technisch onderzoek als onderdeel van de verkenningsbevoegdheid.

De leden van de PVV-fractie lezen dat op onder andere p. 56 van de nota door de regering wordt aangegeven: «De hiervoor gegeven uitleg is onderdeel van de parlementaire geschiedenis en beoogt duidelijkheid te verschaffen over de uitleg van de Tijdelijke wet zodat een beroepsprocedure bij de Afdeling bestuursrechtspraak op dit punt voorkomen kan worden». Deze leden vragen de regering aan te geven waarom deze passage herhaaldelijk expliciet in de nota is opgenomen, terwijl dergelijke nota's bij een parlementaire behandeling sowieso al onderdeel uitmaken van de wetsgeschiedenis (en daarmee bij een juridische procedure betrokken kunnen worden).

Er is voor gekozen om in de nota naar aanleiding van het verslag expliciet te benadrukken dat de beantwoording van bepaalde vragen in het bijzonder erop is gericht verduidelijking te bieden over de beoogde toepassing van het wetsvoorstel. Beoogd wordt hiermee zoveel mogelijk te voorkomen dat er in de uitvoeringspraktijk onduidelijkheid of een verschil van inzicht ontstaat tussen de diensten, de TIB en de afdeling toezicht van de CTIVD, zodat een gang naar de Afdeling bestuursrechtspraak van de Raad van State voorkomen kan worden.

De PvdD-fractieleden merken op dat in het voorgestelde artikel 13 beroep wordt geopend tegen beslissingen van de CTIVD en de TIB. Deze fractieleden vragen welk procesrecht van toepassing is op dat beroep.

De voorgestelde regeling inzake beroep en de voorlopige voorziening is een regeling sui generis waarvoor het procesrecht in de Tijdelijke wet zelf is opgenomen. Veel elementen zijn ontleend aan de Algemene wet bestuursrecht (Awb), maar de regeling is nadrukkelijk geen bijzonder bestuursprocesrecht en de bepalingen uit de Awb zijn dan ook niet van toepassing op de beroepsregeling.

De PvdD-fractieleden vragen of een private organisatie zich als partij kan melden bij een ingesteld beroep, en zo nee, waaruit dat blijkt.

Uit artikel 13, eerste lid, van de Tijdelijke wet volgt dat alleen de Minister beroep kan instellen. De regeling voorziet niet in deelname of vertegenwoordiging van burgers en maatschappelijke of private organisaties. De inzet van het beroep is een geschil tussen de betrokken Minister en de betrokken toezichthouder over de rechtmatigheid van een operationele activiteit van de AIVD of MIVD die naar zijn aard staatsgeheim en daarmee niet-openbaar is. Burgers en organisaties kunnen zich met klachten over het optreden van de diensten wel wenden tot de afdeling klachtbehandeling van de afdeling toezicht van de CTIVD of de civiele rechter.

Aansluitend vragen de PvdD-fractieleden of de rechter in zijn uitspraak op een beroep kan bevelen dat op onrechtmatige wijze verkregen persoonsgegevens dienen te worden vernietigd, en welke gevolgen zo'n vernietiging heeft voor de gegevens die inmiddels aan een zusterdienst zijn verstrekt.

Artikel 13, lid 15 tot en met 19, van de Tijdelijke wet bepaalt waartoe de uitspraak van de Afdeling bestuursrechtspraak kan strekken en welke gevolgen de Afdeling bestuursrechtspraak aan een uitspraak kan verbinden. Daarbij heeft de Afdeling de ruimte om zelf in de zaak te voorzien, wat ook kan betekenen dat zij opdracht geeft gegevens te vernietigen. Deze uitspraak heeft alleen betrekking op gegevens die bij de diensten berusten. De uitspraak heeft geen gevolgen voor reeds verstrekte gegevens aan een buitenlandse dienst. De Nederlandse rechter heeft immers alleen rechtsmacht binnen de nationale rechtsorde.

5.

Grondrechtelijke en mensenrechtelijke aspecten

De leden van de PVV-fractie lezen op p. 64 van de nota naar aanleiding van het verslag dat de regering aangeeft: «Zoals ook onder de Wiv2017 het geval is, kunnen gegevens die in een onderzoek rechtmatig zijn verkregen ook gebruikt worden voor andere lopende onderzoeken als de gegevens relevant blijken». Deze leden vragen of de regering nader kan onderbouwen of het delen van deze gegevens met bijvoorbeeld de Belastingdienst wel rechtmatig en relevant is, nu de Tijdelijke wet alléén bedoeld is voor landen met een offensief cyberprogramma.

De door deze leden geciteerde passage heeft betrekking op het interne gebruik (dus binnen de desbetreffende dienst) van in het kader van onderzoek naar landen met een offensief cyberprogramma verkregen gegevens voor andere lopende onderzoeken van de dienst. Dat is in lijn met hetgeen in de Wiv 2017 is geregeld; zie de artikelen 27 en 48 Wiv 2017, waarin is gesteld dat gegevens die zijn verkregen door uitoefening van een bijzondere bevoegdheid als bedoeld in paragraaf 3.2.5 onderscheidenlijk door uitoefening van de bevoegdheid ex artikel 48, eerste lid, van de Wiv 2017 op hun relevantie mogen worden onderzocht voor het onderzoek waarvoor ze zijn verworven dan wel enig ander lopend onderzoek. Het gaat dan om gegevens die verworven zijn in het kader van het inlichtingenonderzoek van de diensten. Waar het gaat om de gegevens die worden verworven onder toepassing van artikel 6, eerste lid, van de Tijdelijke wet geldt dat deze uitsluitend voor het daarin vastgelegde doel mogen worden gebruikt, namelijk om vast te stellen op welke gegevensstromen een verzoeken om toestemming als bedoeld in artikel 48, tweede lid, van de Wiv 2017 betrekking dient te hebben. Dus niet voor het inlichtingenonderzoek van de diensten. Voor het delen van gegevens waarop de door deze leden geciteerde tekst betrekking heeft, te weten gegevens die voor het inlichtingenonderzoek van de dienst zijn verworven, geldt uitsluitend de regeling die in de Wiv 2017 is opgenomen. De Tijdelijke wet geeft daarvoor geen aanvullende of afwijkende regels. Rechtmatigheid en relevantie van het eventueel delen van gegevens uit inlichtingenonderzoeken met bijvoorbeeld de Belastingdienst zal dienen te worden beoordeeld onder toepassing van de Wiv 2017. Op de rechtmatige toepassing daarvan kan de afdeling toezicht van de CTIVD toezicht houden.

De PVV-fractieleden wijzen erop dat de regering op p. 64 van de nota eveneens aangeeft: « Vanwege de technische inrichting van het internet en de wijze waarop gegevensstromen daarop plaatsvinden, kan niet uitgesloten worden dat daarin ook gegevens van communicatieverkeer van Nederlandse burgers in zitten». Deze fractieleden vragen of de regering nader kan onderbouwen hoe dit zich verhoudt tot het digitale briefgeheim²⁹ en meer specifiek hoe deze beperking van dit grondwettelijk recht te motiveren is bij deze vorm van grootschalige onderschepping.

Allereerst merken we op dat in het door deze leden aangehaalde citaat uitsluitend beoogd is om een technische karakteristiek van internetverkeer te benoemen. En dat als gevolg van die technische karakteristiek het inderdaad niet uitgesloten is dat daar gegevens van het communicatieverkeer van Nederlandse burgers in zitten. Voor de bescherming van het telecommunicatiegeheim - wat deze leden aanduiden als het «digitale briefgeheim» - dat in het recent gewijzigde artikel 13, eerste lid, Grondwet is vastgelegd, is het indifferent of er sprake is van communicatieverkeer van Nederlandse burgers of van buitenlanders. De uitoefening van de bijzondere bevoegdheid tot interceptie (gericht of in bulk) door de Nederlandse inlichtingen- en veiligheidsdiensten zal, ook indien deze zich richt op internationaal verkeer, dienen te voldoen aan de eisen van artikel 13 Grondwet en artikel 8 EVRM. Artikel 13 Grondwet, dat als een uitwerking van een specifiek aspect van het recht op bescherming van de persoonlijke levenssfeer zoals gegarandeerd in artikel 10 Grondwet moet worden gezien, stelt in het tweede lid eisen in de sfeer van competenties aan de beperkingen die op het daarin gegarandeerde recht mogen worden gemaakt, in het bijzonder in de sfeer van competentievoor-schriften. Een beperking van dit recht is alleen mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. In de Wiv 2017 is dit aldus uitgewerkt dat de toestemming voor interceptie van telecommunicatie, ongeacht of dit gericht of in bulk plaatsvindt, uitsluitend is toegestaan met toestemming van de voor de desbetreffende dienst verantwoordelijke Minister. De Tijdelijke wet doet hieraan niets af. Artikel 8 EVRM stelt daarnaast materiële eisen aan een dergelijke beperking, namelijk die beperking moet een legitiem doel dienen, bij wet zijn voorzien en noodzakelijk zijn in een democratische samenleving. Een legitiem doel is ingevolge artikel 8, tweede lid, EVRM de nationale veiligheid. Deze materiële eisen zijn door het EHRM in diverse uitspraken nader uitgewerkt, waar het gaat om bulkinterceptie recentelijk in de uitspraken in de zaken Big Brother watch e.a. tegen het Verenigd Koninkrijk en Centrum för Rattvissa tegen Zweden. In die uitspraken is door het EHRM bevestigd dat bulkinterceptie in het kader van nationale veiligheid onder artikel 8 EVRM geoorloofd is, mits wordt voldaan aan een aantal eisen. Wij verwijzen in dat verband naar de op verzoek van de Eerste Kamer toegezonden uitvoerige analyse van de hiervoor genoemde uitspraken. Tot slot wijzen we op de uiteenzetting die in hoofdstuk 9 van de memorie van toelichting op de Wiv 2017 is gegeven waar het gaat om de betekenis van artikel 13 Grondwet (oud en nieuw) en 8 EVRM voor de in de Wiv 2017 opgenomen regeling.

6.

Gevolgen verbonden aan de uitvoering van de wet

De leden van de fractie van GroenLinks-PvdA roepen ter herinnering dat een jaar na de invoering van de Tijdelijke wet, conform de motie-Hammelburg³⁰, een invoeringstoets wordt uitgevoerd die ziet op de balans tussen passende waarborgen en effectieve taakuitvoering, en dat er tevens periodiek een uitvoeringsverslag wordt opgesteld. Deze leden vragen waar deze evaluatie is belegd.

De evaluatie is primair belegd bij de AIVD en MIVD, met nauwe betrokkenheid van de TIB, afdeling toezicht van de CTIVD, de Afdeling Bestuursrechtspraak van de Raad van State en de wetgevingsdirecties van de betrokken departementen. De (tussentijdse) resultaten van het monitoren van de ervaringen met de Tijdelijke wet zullen met deze partijen worden gedeeld en besproken. Door vroegtijdig met elkaar het gesprek aan te gaan, kunnen in een vroeg stadium eventuele knelpunten worden gesignaleerd en verbeteringen worden voorgesteld. De resultaten hiervan zullen betrokken worden bij de totstandkoming van de voorgenomen brede wijziging van de Wiv 2017.

Het lijkt de leden van de fractie van GroenLinks-PvdA verstandig om dit onafhankelijk te borgen. Zij vragen of de regering hun opvatting deelt, en zo nee, waarom niet. Ook vragen zij of het raadzaam is om de Evaluatiecommissie van de Wiv of wellicht de Algemene Rekenkamer deze invoeringstoets te laten uitvoeren.

Wij delen deze opvatting niet. Overeenkomstig het advies van de Afdeling advisering van de Raad van State zullen de ervaringen met de voorgestelde maatregelen worden gemonitord. Dit gebeurt volgens de methode van de invoeringstoets. Een invoeringstoets is volgens de definitie van het Kenniscentrum voor beleid en regelgeving een lichtvoetige bestudering van de werking van nieuwe regelgeving in de praktijk, met bijzondere aandacht voor de doelgroep en uitvoering.³¹ Hierbij wordt actief gezocht naar knelpunten. Deze toets wordt uitgevoerd op het vroegst mogelijke moment waarop iets nuttigs gezegd kan worden over de werking van de Tijdelijke wet in de praktijk. Het doel van een invoeringstoets is niet om te kunnen vaststellen of de nieuwe regelgeving een succes is, maar veeleer een ex durante evaluatie waarmee, op het moment dat bijstelling nog mogelijk is, bezien kan worden wat er nog moet gebeuren om de Tijdelijke wet goed te laten werken. Dit brengt met zich mee dat het voor de hand ligt dat de AIVD en MIVD, met nauwe betrokkenheid van de TIB, de afdeling toezicht van de CTIVD, de Afdeling Bestuursrechtspraak van de

Raad van State en de wetgevingsdirecties van de betrokken departementen de invoeringstoets uitvoeren. Door vroegtijdig met elkaar het gesprek aan te gaan, kunnen deze partijen in een vroeg stadium eventuele knelpunten signaleren en verbeteringen voorstellen.

Aansluitend vragen de leden van de fractie van GroenLinks-PvdA of de resultaten van deze invoeringstoets publiekelijk worden gedeeld, en zo nee, waarom niet.

Zoals ook is aangegeven in de nota naar aanleiding van het verslag die eerder aan de Tweede Kamer is gezonden, zullen de niet-gerubriceerde resultaten van de invoeringstoets worden gedeeld met de Tweede Kamer.

Vervolgens vragen de leden van de fractie van GroenLinks-PvdA of de regering kan toezeggen dat alle organisaties betrokken worden bij de vragen die gesteld worden in het kader van de invoeringstoets, dus zowel de beide toezichthouders als de beide diensten.

Deze vraag kan bevestigend worden beantwoord. Immers, zoals hiervoor aangegeven wordt de invoeringstoets door de diensten uitgevoerd met nauwe betrokkenheid van de TIB, de afdeling toezicht van de CTIVD, de Afdeling Bestuursrechtspraak van de Raad van State en de wetgevingsdi-recties van de betrokken departementen.

De fractieleden van GroenLinks-PvdA hebben tijdens de besloten bijeenkomst van de vaste commissie voor Binnenlandse Zaken van 6 februari 2024 over de uitvoeringstoetsen niet rechtstreeks van de toezichthouders informatie gekregen over de resultaten van de uitvoeringstoetsen, aangezien de toezichthouders helaas niet aanwezig waren. Daarom hebben zij hierover nog enkele vragen. De leden van de fractie van GroenLinks-PvdA vragen of het mogelijk is om van de beide toezichthouders te vernemen welke uitvoeringsproblemen zij nog zien en hoe zij de resultaten van de uitvoeringstoetsen inschatten. De leden zijn benieuwd of er bij de toezichthouders nog randvoorwaardelijke zaken zijn die opgelost moeten worden, bijvoorbeeld op het gebied van invulling van vacatures, huisvesting enzovoorts.

Zoals eerder aangegeven in de nota naar aanleiding van het verslag,is bij de voorbereiding van dit wetsvoorstel doorlopend aandacht geweest voor de uitvoerbaarheid, ook voor de TIB en de afdeling toezicht van de CTIVD. De TIB en afdeling toezicht van de CTIVD hebben in dat kader geconcludeerd dat het wetsvoorstel uitvoerbaar is, waarbij wel voortdurend aandacht nodig zal zijn voor eventuele knelpunten. Vooruitlopend op de inwerkingtreding van de Tijdelijke wet is afgesproken dat de TIB en de afdeling toezicht van de CTIVD hun formatie uitbreiden en het is de verwachting dat zij met deze extra capaciteit hun werk naar behoren kunnen doen. Vanwege de forse groei die de afdeling toezicht van de CTIVD de komende jaren zal doormaken, wordt al enige tijd gezocht naar geschikte, nieuwe huisvesting. Vanwege het bijzondere karakter van de werkzaamheden van de CTIVD, moet deze huisvesting aan een aantal bijzondere eisen voldoen. Het schetsontwerp voor deze toekomstige huisvesting wordt op korte termijn afgerond, waarna een goede prognose kan worden gegeven van de bouwtijd. Omdat deze oplossing niet direct realiseerbaar is, wordt in de tussentijd in een tijdelijke oplossing voorzien die ruimte biedt aan minimaal de extra capaciteit om uitvoering te geven aan de Tijdelijke wet. Voor de TIB geldt dat de huidige huisvesting voldoende capaciteit biedt. Het Ministerie van Algemene Zaken voert de regie over de invulling van deze randvoorwaardelijke aspecten van het werk van de TIB en de CTIVD.

De leden van de fractie van GroenLinks-PvdA wijzen erop dat de Evaluatiecommissie Wiv expliciet adviseert om bij aanpassingen van de wet een ICT-uitvoeringstoets te doen. Dat toont volgens deze het belang hiervan aan. In de antwoorden op hun eerdere vragen is te lezen: «Ook moeten aanpassingen worden gedaan aan verschillende technische verwervings-en verwerkingsketens. Het is binnen de bestaande omvang van de organisaties mogelijk om deze implementatie te realiseren. Dit zal echter wel verdringingseffecten hebben op andere IT-veranderdoelstellingen van beide organisaties. De diensten werken via diverse IT-trajecten aan het eigen informatielandschap.»³⁶ Deze leden vragen of de regering iets specifieker kan zijn over de verdringingseffecten en in hoeverre dit tot voorzienbare uitvoeringsproblemen gaat leiden.

Bij de voorbereiding van dit wetsvoorstel is doorlopend aandacht geweest voor de uitvoerbaarheid. Er heeft een uitvoeringstoets, bestaande uit meerdere (stelsel-)ketentesten en gesprekken, plaatsgevonden, om er zeker van te zijn dat dit wetsvoorstel uitvoerbaar is voor onze diensten en ook voor de TIB en afdeling toezicht van de CTIVD. Bij de uitvoeringstoets is nadrukkelijk aandacht geweest voor de druk op IT-gebied en de bedrijfsvoering. Om deze redenen is er bijvoorbeeld voor gekozen om de implementatie van de Tijdelijke wet aan te laten sluiten bij lopende IT projecten en niet kortstondig een nieuw IT-project op te zetten. Hierdoor kunnen de diensten een voorschot nemen op plannen die er al waren voor de modernisering van de systemen. De verdringingseffecten op andere IT-veranderdoelstellingen zijn in kaart gebracht, hier wordt actief op gestuurd en er worden afwegingen gemaakt in prioritering zodat uitvoeringsproblemen voorkomen kunnen worden.

De leden van de fractie van GroenLinks-PvdA vragen of de Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017 wordt geraakt door de Tijdelijke wet en, zo ja, op welke onderdelen.

De Tijdelijke regeling verdere verwerking bulkdatasets Wiv 2017 is van toepassing op alle door de dienst verworven bulkdatasets, met uitzondering van bulkdatasets die zijn verkregen door toepassing van artikel 48 Wiv 2017 (OOG-interceptie) aangezien daarvoor reeds een wettelijk regime voor de verdere verwerking bestaat op grond van de artikelen 48 tot en met 50 Wiv 2017. Ook bulkdatasets die onder het regime van de Tijdelijke wet zijn verworven vallen onder deze regeling, met dien verstande dat ook de toepassing van OOG-interceptie op grond van de Tijdelijke wet is uitgezonderd.

De leden van de PvdD-fractie hebben met belangstelling kennisgenomen van de informatie die hun over de uitvoeringstoets is verstrekt. Deze fractieleden vragen of zij daaruit hebben kunnen afleiden dat er tussen de diensten en de toezichthouders overleg is geweest over de interpretatie van wettelijke vereisten en dat de diensten en de toezichthouders inmiddels op één lijn zitten, en zo nee, welke geschillen over de reikwijdte en de omvang van de rechtmatigheidseisen waaraan de diensten dienen te voldoen bij het gebruik van de in het wetsvoorstel toegekende nieuwe bevoegdheden, er dan nog bestaan tussen de diensten en de toezichthouders.

In reactie op deze vraag wensen wij te benadrukken dat de Tijdelijke wet geen nieuwe bevoegdheden introduceert voor de diensten, maar ervoor zorgt dat een beperkt aantal bestaande bevoegdheden effectiever, en meer zoals in de Wiv 2017 oorspronkelijk is beoogd, kan worden ingezet.

³⁶ Kamerstukken I 2023/24, 36 263, E, p. 4.

Bij de voorbereiding van dit wetsvoorstel zijn de TIB en de afdeling toezicht van de CTIVD actief betrokken. Zij zijn beide uitvoerig geconsulteerd en er heeft een uitvoeringstoets plaatsgevonden, die onder meer bestond uit ketentesten met de TIB en de afdeling toezicht van de CTIVD.

Dit laat onverlet dat er verschil van inzicht kan bestaan over de uitleg van onderdelen van dit wetsvoorstel. Bij brief van 7 december 2023 heeft de TIB ter beantwoording van een vraag van het lid Nicolaï (PvdD) een aantal van deze inzichten gedeeld met uw Kamer. Wij zijn hierop ingegaan in de nota naar aanleiding van het verslag, die op 24 januari 2024 aan uw Kamer is aangeboden. Dit wetsvoorstel beoogt duidelijkheid te verschaffen over de inzet van bepaalde bevoegdheden naar landen met een offensief cyberprogramma, waarmee wij verwachten dat een groot aantal knelpunten kan worden weggenomen. Voor zover zich geschilpunten gaan voordoen ten aanzien van de uitleg van wettelijke begrippen, kan de Minister in beroep gaan bij de Afdeling bestuursrechtspraak van de Raad van State tegen de bindende oordelen van de TIB en de afdeling toezicht van de CTIVD. Hiermee wordt, zoals aanbevolen door de Evaluatiecommissie, een weeffout in het stelsel van toetsing en toezicht hersteld.

Tot slot wordt opgemerkt dat de uitvoeringstoets niet tot doel heeft om overeenstemming te bereiken met de TIB en de afdeling toezicht van de CTIVD over de interpretatie van de wet. De uitvoeringstoets dient om mogelijke uitvoeringsproblematiek bij de toepassing van het wetsvoorstel te onderkennen teneinde daar tijdig op te kunnen anticiperen. Er is bij de uitvoeringstoets derhalve geen sprake geweest van overleg tussen de TIB en de afdeling toezicht van de CTIVD en de diensten over de interpretatie van de wet.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

H.M. de Jonge

De Minister van Defensie,

K.H. Ollongren

Eerste Kamer, vergaderjaar 2023-2024, 36 263, J 44

https://www.rijksoverheid.nl/onderwerpen/veiligheidsstrategie-voor-het-koninkrijk-der-nederlanden.

Big Brother Watch e.a., par. 424; Centrum för Rattvisa, par. 365.

Big Brother Watch e.a., par. 323; zie ook Centrum för Rattvisa, par. 237.

⁴

Kamerstukken II, 2021-22, 34 588, nr. 91.

⁵

ECW hoofdstuk 9, waaronder aanbeveling 44.

⁶

ECW rapport, p. 39.

⁷

ECW rapport, p. 43.

⁸

Kamerstukken I 2023/24, 36 263, E, p. 27.

⁹

Kamerstukken I 2023/24, 36 263, E, p. 15-16.

¹⁰

Kamerstukken I 2023/24, 36 263, E, p. 16.

¹¹

Bijlage bij brief aan de Eerste Kamer van 24 februari 2022 (Kamerstukken I 2021/2022, 35 242, nr. G).

¹²

Het onderstrepen is gedaan door de fractieleden van GroenLinks-PvdA.

¹³

Stcrt. 2020, 56482.

¹⁴

Kamerstukken I, 2023/24, 36 263, C.

¹⁵

Kamerstukken I, 2023/24, 36 263, D.

¹⁶

Kamerstukken I, 2023/24, 36 263, G.

¹⁷

Wetgevingsadvies inzake ontwerpnota van wijziging Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, 12 januari 2023.

¹⁸

«11,5 miljard A4'tjes» in beslag genomen bij van lekken verdachte NCTV'er I RTL Nieuws.

¹⁹

Kamerstukken I 2023/24, 36 263, E, p. 31.

²⁰

Het onderstrepen is gedaan door de fractieleden van GroenLinks-PvdA.

²¹

EHRM 25 mei 2021, 58170/13, 62322/14 en 24960/15 (Big Brother Watch en anderen/Verenigd Koninkrijk), r.o. 350; het onderstrepen is gedaan door de fractieleden van GroenLinks-PvdA.

²²

Kamerstukken I 2023/24, 36 263, E, p. 29.

²³

Kamerstukken 12023/24, 36 263, E, p. 60.

Het is onjuist te veronderstellen dat door louter te stellen dat de bevoegdheid tot verkennen wordt ingezet met het oog op toepassing van artikel 48 Wiv 2017 feitelijk elk verzoek als rechtmatig moet worden beschouwd en dat dit het enige is waaraan de TIB zou kunnen toetsen. Aanvragen voor de inzet van de bevoegdheid tot verkennen dienen te voldoen aan de eisen van artikel 29, tweede lid, Wiv 2017 en moeten dus ook worden onderbouwd aan de hand van de eisen van noodzaak, proportionaliteit en subsidiariteit. De TIB kan dit geheel toetsen en wanneer niet aan deze voorwaarden wordt voldaan, zal de TIB tot een niet-rechtmatigheidsoordeel komen. Indien de noodzaak van een onderzoek naar het oordeel van de TIB niet voldoende is onderbouwd, bijvoorbeeld omdat niet duidelijk wordt gemaakt wat het verband is tussen het verkennen van bepaalde geautomatiseerd werken, met het onderzoek naar een land met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, kan zij een niet-rechtmatigheidsoordeel geven. Anders dan in deze algemene termen kan de regering geen voorbeelden noemen wanneer de TIB een niet-rechtmatigheidsoordeel kan geven, dat is immers afhankelijk van de onderzoeken waar verkenning ten behoeve van OOG-interceptie ingezet zal gaan worden.

De fractieleden van GroenLinks-PvdA merken op dat de Evaluatiecommissie Wiv ook enkele aanbevelingen doet over bulkverwerving. Ze stelt een extra stap voor in de toestemmingsprocedure voor bulkverwerving, namelijk het aantonen van de bulkbehoefte. Hierbij wordt volgens het voorstel van de Evaluatiecommissie de noodzakelijkheid van bulk gemotiveerd. Voor de verwerving van bulkdata beveelt de Evaluatiecommissie een passende invulling van het gerichtheidsvereiste aan. Naast het terugbrengen van het aantal personen en organisaties in de bulkdataset, wordt een nieuwe invulling van gerichtheid geïntroduceerd aan de hand van datapunten. Voornoemde fractieleden vragen waarom deze aanbeveling niet is overgenomen bij de Tijdelijke wet. In de Tijdelijke wet wordt volgens de fractieleden van GroenLinks-PvdA juist een tegengestelde beweging gemaakt, namelijk dat het bestaande gerichtheidscriterium niet van toepassing wordt verklaard. Graag ontvangen voornoemde fractieleden een inhoudelijke toelichting op deze keuze.

Het doel van het onderhavige wetsvoorstel is het op korte termijn treffen van een tijdelijke voorziening om effectiever onderzoek te kunnen doen naar landen met een offensief cyberprogramma. De twee genoemde aanbevelingen van de Evaluatiecommissie Wiv 2017 (ECW), die zien op het vooraf aantonen van de bulkbehoefte en een op bulk toegespitste invulling van gerichtheid (respectievelijk p. 51 en p. 53), passen niet in de scope van de Tijdelijke wet. Met de Tijdelijke wet wordt niet vooruitge-

²⁴

ECW rapport, p. 84.

²⁵

Kamerstukken I 2023/24, 36 263, E, p. 3.

²⁶

EHRM 25 mei 2021, 58170/13, 62322/14 en 24960/15 (Big Brother Watch en anderen/Verenigd Koninkrijk), r.o. 450.

²⁷

Kamerstukken I 2023/24, 36 263, E, p. 39.

²⁸

Kamerstukken I 2023/24, 36 263, E, p. 39-40; het onderstrepen is gedaan door de fractieleden van GroenLinks-PvdA.

²⁹

Artikel 13 van de Grondwet; Kamerstukken 33 989.

³⁰

Kamerstukken II 2023/24, 36 263, nr. 32.

³¹

https://www.kcbr.nl/themas/themas-z/invoeringstoets.

origineel bericht: 'Tijdelijke regels inzake specifieke wettelijke voo...'

3. Bijlagen

Beslisnota(s) bij nota naar aanleiding van het tweede verslag over de Tijdelijke wet cyberonderzoeken (bijlage bij 36263,nr.J)

4. Meer informatie

36263 - Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen

5. Parlementaire Monitor

Met de Parlementaire Monitor volgt u alle parlementaire dossiers die voor u van belang zijn en bent u op de hoogte van alles wat er speelt in die dossiers. Helaas kunnen wij geen nieuwe gebruikers aansluiten, deze dienst zal over enige tijd de werkzaamheden staken.