Brief regering : Voortgangsrapportage CTIVD over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017)

Nr. 80
BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES EN VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 december 2018

Inleiding

Hierbij bieden wij u de voortgangsrapportage over de werking van de Wet op de inlichtingen
en veiligheidsdiensten 2017 (Wiv 2017) aan van de Commissie van Toezicht op de Inlichtingen-
en Veiligheidsdiensten (CTIVD)1. Zoals bij de wetsbehandeling toegezegd aan uw Kamer heeft het kabinet de CTIVD verzocht
om over een aantal onderwerpen spoedig na inwerkingtreding van de wet te rapporteren.
Deze voortgangsrapportage geeft een eerste inzicht in de implementatie van de nieuwe
wet. Op de terreinen waar bevoegdheden van de diensten nieuw zijn of wettelijke en
toegezegde beleidsmatige waarborgen voor de rechtsbescherming van de burger ruimte
laten voor invulling, heeft de CTIVD een nulmeting verricht. Elke beoordeling betreft
een inschatting van risico’s op onrechtmatig handelen en niet het oordeel dat daarmee
reeds onrechtmatig is gehandeld.

Wij danken de CTIVD voor het goede en degelijke werk dat in korte tijd is verricht.

Met de CTIVD constateren wij dat de professionaliteit van de diensten buiten kijf
staat, maar dat de implementatie van de Wiv 2017 veel van de diensten vergt.

Met de Wiv 2017 zijn de bevoegdheden van de diensten gemoderniseerd en de waarborgen
voor de privacy aanzienlijk verstevigd ten opzichte van de oude wet.

Omdat deze versterking van de waarborgen diepgaand ingrijpt op de kern van het werk
van de diensten, namelijk de verwerving en verdere verwerking van gegevens, vergt
de goede implementatie van het nieuwe wettelijke kader veel tijd en inspanning. Gelijktijdig
met de implementatie van het nieuwe wettelijke kader, moet de operationele taakuitvoering
van de diensten en daarmee de bescherming van de nationale veiligheid doorgang vinden.

Zoals de CTIVD ook aangeeft, begeven de diensten zich in een operationeel zeer dynamisch
werkveld, waar internationale samenwerking en technologische ontwikkelingen aan de
orde van de dag zijn. In aanloop naar de inwerkingtreding van de wet hebben de diensten
projectorganisaties opgericht ten behoeve van de voorbereiding op de implementatie.
Na inwerkingtreding van de Wiv 2017 is gebleken dat de nieuwe wet meer impact op de
diensten heeft dan door ons bij de totstandkoming van de wet is onderkend. Ook de
CTIVD stelt dit vast in zijn rapportage. Wij zullen daarom aanvullende maatregelen
treffen om een verantwoorde implementatie van de wet te borgen met oog voor de uitvoeringspraktijk
van de diensten. Inmiddels hebben beide diensten maatregelen genomen om sturing en
regie op de implementatie te versterken en te voorzien in een strakke monitoring hiervan.

De CTIVD heeft zich in de nulmetingen gericht op vier onderwerpen, te weten: de zorgplicht,
verantwoorde databeperking, onderzoeksopdracht-gerichte interceptie (via de ether)
inclusief geautomatiseerde data-analyse en de interne klachtbehandeling en meldingen
van misstanden. Voor beide diensten geldt dat het risico als hoog wordt ingeschat
voor de zorgplicht en (onderdelen van) de onderzoeksopdrachtgerichte interceptie (via
de ether). Bij dit laatste onderwerp ziet de CTIVD specifiek hoge risico’s bij het
hanteren van het begrip «zo gericht mogelijk», de toepassing van geautomatiseerde
data-analyse en verantwoorde databeperking in het onderzoeksopdracht-gerichte interceptieproces.
Ten aanzien van datareductie geldt voor de MIVD een hoog risico op het gebied van
de wijze van datareductie en het onomkeerbaar vernietigen van gegevens. Deze aspecten
hebben allemaal betrekking op het door de diensten terugbrengen van de hoeveelheid
data tot hetgeen noodzakelijk is voor de taakuitvoering van de diensten.

Maatregelen

De CTIVD heeft bij de totstandkoming van de Wiv 2017 terecht veel aandacht gevraagd
voor het thema zorgplicht. Hoewel wij zien dat de diensten zich inspannen om de zorgplicht
goed in te vullen, onderkennen wij dat hier grotere en concretere stappen nodig zijn,
zodat een instrumentarium kan worden ingericht dat voldoet aan de wettelijke verplichtingen
en de toezichthouder in staat stelt om effectief toezicht te houden, en tegelijkertijd
recht doet aan de operationele praktijk van de diensten.

De komende tijd zal bij beide diensten langs een aantal hoofdthema’s verder invulling
worden gegeven aan de zorgplicht. Deze thema’s zijn reeds benoemd voor de inwerkingtreding
van de nieuwe wet en betreffen 1) juistheid en volledigheid, 2) kwaliteit van de gegevensverwerking,
3) informatiebeveiliging, 4) functiescheiding, 5) datareductie, 6) eisen aan verzoek
tot toestemming, 7) omgang bijzondere categorie personen, 8) aantekening houden, 9)
eisen aan gegevensverwerking, 10) gegevensverstrekking.

Bovenop deze tien thema’s zal een overkoepelend elfde thema worden geïntroduceerd,
te weten «governance». Hiermee wordt bedoeld het borgen van de structurele verandering
die de zorgplicht oplegt en daarmee het rechtmatig handelen ten aanzien van de gegevens.
Voor de diensten heeft dit al vorm gekregen in het aanbieden van een uitgebreid opleidingskader
voor alle medewerkers van de AIVD en MIVD, dat in de komende periode zal worden voortgezet.
Daarnaast zal in het eerste kwartaal van 2019 een werkprogramma worden vastgesteld
voor het aanvullen van de bestaande maatregelen waarbij tevens rekening wordt gehouden
met de toetsbaarheid van deze maatregelen. Tot deze maatregelen behoort ook het verder
uitwerken van een systematiek van interne controle, waaronder assessments en audits.
Dit werkprogramma zal met de CTIVD worden gedeeld. Ten behoeve van het thema «governance»
heeft de AIVD daarbij ook een portefeuillehouder zorgplicht en compliance aangesteld
en zal de MIVD op korte termijn een chief information officer aanstellen.

De diensten richten zich op uitbreiding van de compliance-functionaliteit door middel
van intern toezicht binnen de diensten. Deze uitbreiding is er tevens op gericht om
het intern toezicht beter te laten aansluiten bij het extern toezicht en effectief
toezicht door de CTIVD. De MIVD zal invulling geven aan de compliance-functionaliteit
door middel van de oprichting van een compliance office.

Voor het onderwerp onderzoeksopdrachtgerichte interceptie via de ether geldt dat de
door de CTIVD beschreven noodzaak om werkprocessen vast te leggen, door de diensten
wordt onderkend. Het traject hiertoe is inmiddels gestart en zal naar verwachting
in het eerste kwartaal van 2019 zijn afgerond. Daarnaast zijn de diensten nog steeds
volop bezig verder invulling te geven aan het stelsel van datareductie, zoals ook
is aangegeven ten aanzien van de zorgplicht. Het stelsel van datareductie voor alle
door de diensten verworven data is voor 1 mei 2019 ingericht. Dit is immers noodzakelijk,
gelet op het aflopen van de termijn van één jaar zoals in de wet genoemd waarna niet
beoordeelde gegevens moeten worden vernietigd.

Over de geautomatiseerde data-analyse op metadata verkregen uit onderzoeksopdrachtgerichte
interceptie (OOG-interceptie) via de ether, gericht op het identificeren van personen
of organisaties, hebben de TIB en CTIVD vrijdag 23 november jongstleden uw Kamer bericht
(Kamerstuk 29 924, nr. 174). Wij zullen over deze gecompliceerde materie uw Kamer separaat berichten. Overigens
is nog in mei 2018 binnen de diensten de interne instructie uitgegaan dat geen geautomatiseerde
data-analyse op metadata verkregen uit OOG-interceptie, gericht op het identificeren
van personen of organisaties, plaatsvindt totdat er helderheid en eenduidigheid bestaat
over de uitleg van het wettelijk kader. Er vindt momenteel nog geen OOG-interceptie
op de kabel plaats. De voorbereidingen daartoe zijn in volle gang.

Voor beide diensten geldt dat het op orde brengen en houden van de ICT hoge prioriteit
heeft. Een verantwoorde uitvoering van de wet vereist een up-to-date ICT-landschap,
het aanpassen van werkprocessen en het trainen van personeel.

Dat kost tijd en vraagt om investeringen. Met name bij de MIVD geldt dat een achterstand
moet worden ingehaald en het op orde brengen van de ICT hoge prioriteit heeft. Er
wordt de komende jaren daarom veel geïnvesteerd in ICT, oplopend tot 20 miljoen structureel.

Tijdpad

De CTIVD streeft er nadrukkelijk naar binnen twee jaar na de inwerkingtreding van
de wet in concluderende zin te rapporteren over de onderwerpen die geduid zijn tijdens
de Parlementaire behandeling van de wet en aan de CTIVD voor onderzoek zijn voorgelegd.
Dit is mede van belang gezien de evaluatie van de Wiv 2017, die overeenkomstig de
afspraak in het regeerakkoord (bijlage bij Kamerstuk 34 700, nr. 34), uiterlijk twee jaar na inwerkingtreding van de wet – dus voor 1 mei 2020 – zal
zijn gestart. Ons streven is om aan de verwachting van de CTIVD te voldoen om de risico’s
op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage
van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment
een hoog risico signaleert.

In het eerste kwartaal van 2019 delen de diensten een gedetailleerde en toetsbare
tijdsplanning met de CTIVD over de door te voeren verbeteringen op de relevante onderwerpen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren

De Minister van Defensie,
A.Th.B. Bijleveld-Schouten