Brief regering : Beleidsreactie CTIVD onderzoeken passagiersgegevens en verwerving bulkdata door bevoegdheid tot binnendringen

Nr. 203 BRIEF VAN DE MINISTERS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES EN VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 september 2020

Met deze brief bieden wij u twee rapporten aan van de Commissie van Toezicht op de
Inlichtingen- en Veiligheidsdiensten (CTIVD) over de verwerking van passagiersgegevens
van luchtvaarmaatschappijen en het verzamelen vans bulkdatasets met de hackbevoegdheid
en de verdere verwerking daarvan1. In de rapporten van de CTIVD wordt een maatschappelijk zeer relevant onderwerp uitvoerig
belicht: de omgang met bulkdata door de AIVD en de MIVD. Met uitzondering van de aanbevelingen
die zien op de vernietiging van bulkdatasets, nemen wij alle aanbevelingen over. De
rapporten bevatten staatsgeheim gerubriceerde bijlagen, die wij hebben verzonden aan
de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van uw Kamer.

Aard van de bulkdatasets

De rapporten behandelen in hoofdzaak de verwerving en de verwerking van bulkdatasets.
Van bulkdata is sprake wanneer het merendeel van de gegevens betrekking heeft op organisaties
en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit
zullen worden.

In deze rapporten betreft het specifiek de bulkdata:

– die door luchtvaartmaatschappijen worden opgeslagen over de passagiers van een vlucht
van buiten de EU of buiten het Schengengebied en gegevens over de vlucht, zoals naam,
geboortedatum, nationaliteit, de luchthaven van vertrek en aankomst (passagiersgegevens)
en via de informantenbevoegdheid is verkregen;

– die is verzameld met behulp van de hackbevoegdheid (voluit: de bevoegdheid tot het
binnendringen van geautomatiseerde werken, overeenkomstig artikel 45 Wiv 2017); deze
bulkdatasets hebben alien vooral betrekking op dreiging vanuit het buitenland. Mede
omdat ten aanzien van het buitenland niet de gerichte middelen voorhanden zijn die
in Nederland kunnen worden ingezet, spelen deze datasets in onderzoeken naar dreiging
vanuit het buitenland een cruciaie rol.

De rapporten gaan dus niet over bulkdata die is verkregen met onderzoeksopdracht gerichte
interceptie (00G-interceptie).

Noodzaak bulkdatasets

In beide rapporten onderschrijft de CTIVD de noodzaak van het gebruik van bulkdatasets
door de diensten. De diensten beschikken over zowel algennene als bijzondere bevoegdheden
om bulkdatasets rechtmatig te verzamelen. Wij onderschrijven het oordeel van de CTIVD
dat bulkdatasets grote waarde hebben voor de taakuitvoering van de diensten. Het betreft
zowel de waarde voor de verdere analyse van gekende dreigingen als het onderkennen
en identificeren van targets en verborgen dreigingen. Daarbij moet steeds een afweging
gemaakt worden die recht doet aan zowel de bescherming van onze nationale veiligheid
gericht op het tijdig onderkennen van verborgen dreiging als het recht op privacy,
waaronder het belang om zo min mogelijk gegevens onnodig lang te bewaren.

Passagiersgegevens zijn onmisbaar voor zowel terrorismeonderzoek als onderzoek naar
de vijandige activiteiten van buitenlandse inlichtingendiensten en hun werkwijze,
zelfs als deze verhullend is.

Met behulp van bulkdata die is verkregen met de hackbevoegdheid zijn locaties onderkend
van Nederlandse uitreizigers in (voormalig) ISIS-gebied, onder andere van wie het
Nederlanderschap is ingetrokken. Deze data speelt ook een belangrijke rol in het onderzoek
naar de inzet van Improvised Explosive Devices (IED's) tegen Nederlandse militairen.
Ook zijn hiermee inlichtingen verworven die hebben geholpen bij het duidelijk krijgen
van de vermoedelijke betrokkenheid van de Iraanse dienst bij liquidaties in Nederland.
Tot slot speelt de bulkdata verkregen met de hackbevoegdheid bij onderzoek met een
internationaal belang, bijvoorbeeld bij het vaststellen van de identiteit van de personen
betrokken bij zenuwgasaanvallen in Syrie in 2016/2017. Wij zullen deze voorbeelden
toelichten in de Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van
uw Kamer.

Aanscherping regels verdere verwerking bulkdata

De belangrijkste conclusies en aanbevelingen in beide rapporten hebben betrekking
op de verdere verwerking van bulkdata. De CTIVD constateert dat in de Wet op de inlichtingen-
en veiligheidsdiensten 2017 (Wiv 2017) geen specifieke regeling hiervoor is opgenomen,
met uitzondering van de onderzoeksopdracht gerichte interceptie, waarbij ook in bulk
gegevens worden verzameld. De CTIVD acht het wenselijk om tot een meer inclusieve
wettelijke regeling van bulkdatasets te komen die recht doet aan de bescherming van
fundamentele rechten van burgers en de operationele waarde van bulkdatasets voor de
diensten.

Wij onderschrijven deze opvatting van de CTIVD. We hebben al eerder aan uw Kamer laten
weten dat de onafhankelijke commissie die belast is met de evaluatie van de Wiv 2017
is verzocht om de omgang door de diensten met bulkdatasets in haar onderzoek te betrekken.
Het rapport van deze commissie zal naar verwachting eind dit jaar worden opgeleverd.
Wij menen dat in afwachting hiervan voor de tussentijd, dat wil zeggen tot het moment
dat de Wiv 2017 ter zake zal worden gewijzigd, aanvullende maatregelen nodig zijn
die recht doen aan de bescherming van fundamentele rechten van burgers en de operationele
waarde van bulkdata van de diensten. Daarom komen wij met aanvullende regels en waarborgen,
die zullen gelden voor de verdere verwerking van alle bulkdatasets (met uitzondering
van 00G-interceptie). Dat zijn naast de sets waarover de CTIVD zich in deze rapporten
heeft gebogen bijvoorbeeld sets verkregen van agenten en van informanten. Uiteraard
passen de extra waarborgen die in dit beleid zijn opgenomen binnen de kaders van de
wet; zij vormen een aanscherping van de praktijk. De publicatie van deze nadere regels
met betrekking tot de werkwijze van de diensten inzake de verdere verwerking van bulkdatasets
is voorzien in oktober. De nadere regels worden – vooruitlopend op de formalisering
daarvan – nu al met onmiddellijke ingang toegepast op de bulkdatasets genoemd in beide
rapporten.

De tijdelijke regels voor verdere verwerking van bulkdatasets zullen betrekking hebben
op het gebruik van (en vooral de toegang tot) alle bulkdatasets, de bewaartermijnen
(met een periodieke herbeoordeling) en de voorwaarden voor het verstrekken van bulkdatasets
aan partnerdiensten. Uitgangspunt van de regels is dat het voor de bescherming van
de burger bij gebruik van de bulkdataset niet uitmaakt op welke wijze een bulkdataset
is verworven. Voor de omgang met bulkdatasets is bepalend wat de aard van de gegevens
is en de informatie die de diensten daaruit kunnen halen over de personen van wie
gegevens in deze datasets zijn opgenomen. Naarmate de privacy-inbreuk groter wordt,
wordt de toegang tot de gegevens aan strengere voorwaarden verbonden en wordt vaker
getoetst of de gegevens moeten worden verwijderd. Zo wordt aan de voorkant en de achterkant
van het proces geborgd dat er zorgvuldig met bulkdatasets wordt omgegaan. De Minister
beslist en de CTIVD wordt geInformeerd over de categorisering en de daarbij behorende
waarborgen van de bulkdatasets alsnnede over de eventuele verstrekking van de bulkdataset.

Met deze regels en extra waarborgen volgen we een groot deel van de aanbevelingen
van de CTIVD op die zien op vastlegging van de noodzaak tot verwerving van gegevens
in bulk en van de aanbevelingen die betrekking hebben op toegang tot gegevens. Hiermee
wordt ook opvolging gegeven aan de aanbeveling om de waarborgen van het bulkdatasetbeleid
alsnog toe te passen op de verzameling en verwerking van de API-gegevens.

Geen vernietiging bulkdatasets

In het rapport over de bulkdatasets verkregen met de hackbevoegdheid zijn wij het
op twee punten oneens met de conclusies en aanbevelingen van de CTIVD. Dit betreft
het punt van de relevantiebeoordeling van bulkdata en het aanmerken van het aanklikken
van een link als de inzet van de hackbevoegdheid.

In het rapport over de hackbevoegdheid, constateert de CTIVD dat de beoordeling op
relevantie van een aantal bulkdatasets door de diensten volgens haar onrechtmatig
is. Dit is geen nieuwe constatering van de CTIVD. Zoals wij ook in onze reactie op
de vierde voortgangsrapportage hebben gemeld aan uw Kamer, delen wij dit oordeel niet.
De beoordeling op relevantie betreft een open norm, die nieuw is in de Wiv 2017. De
wijze waarop de diensten bulkdatasets op relevantie hebben beoordeeld is gedaan met
inachtneming van het huidige wettelijke kader en is naar ons oordeel rechtmatig uitgevoerd.
Er zijn ook daadwerkelijk bulkdatasets verwijderd. De aanbeveling van de CTIVD om
de in het rapport genoemde bulkdatasets te vernietigen zullen wij niet opvolgen. Wij
achten vernietiging van deze sets bovendien onverantwoord gelet op het operationele
belang van deze sets.

Voorts beveelt de CTIVD aan een bulkdataset te vernietigen omdat de toestemming voor
de verwerving hiervan naar het oordeel van de CTIVD niet op het juiste niveau is gegeven.
Wij zijn het evenwel niet eens met de juridische duiding van de CTIVD ten aanzien
van deze operatie. Het betreft een operatie waarin een menselijke bron de AIVD deze
informatie heeft verstrekt en overigens ook niet zelf heeft gehackt. Hierbij heeft
de dienst geen gebruik gemaakt van de hackbevoegdheid (ex artikel 45 Wiv 2017) en
is er dus op het juiste niveau toestemming gegeven.

Overige conclusies en aanbevelingen

Ten aanzien van de API-gegevens constateert de CTIVD een onrechtmatigheid bij een
uitgevoerde data-analyse op een grootschalige set van API-gegevens. Dit betreft een
tekortkoming in de vastlegging bij de verwerking van de gegevens. Ook constateert
de CTIVD een onrechtmatigheid bij een aantal specifieke gegevensverwerkingen door
de gezamenlijke unit Veiligheidsonderzoeken van de AIVD en de MIVD. In beide gevallen
hebben de diensten actie ondernomen en de praktijken stopgezet en ervoor gezorgd dat
de onrechtmatigheden niet meer kunnen voorkomen.

De CTIVD wijst er tevens op dat voor de burger voorzienbaar moet zijn dat bulkdatasets,
ook door de inzet van algemene bevoegdheden zoals de informantenbevoegdheid, door
de diensten kunnen worden verzameld en verder worden verwerkt. De CTIVD geeft aan
dat de huidige wet op dit punt geen specifieke regeling bevat en daarom behoeft het
onderwerp volgens de CTIVD ten minste in het kader van de wetsevaluatie aandacht.
Deze tekortkoming wordt geadresseerd in de hierboven genoemde tijdelijke regels voor
verdere verwerking van bulkdatasets. Tevens is de onafhankelijke commissie die belast
is met de evaluatie van de Wiv 2017 verzocht om ook dit punt in haar onderzoek te
betrekken.

In het rapport over de bulkdatasets verkregen uit de hackbevoegdheid wijst de CTIVD
op een drietal operaties van de AIVD waarbij in de overgang van de Wiv 2002 naar de
Wiv 2017 door administratieve fouten de gegevensverwerving korte tijd heeft doorgelopen
ondanks het ontbreken van toestemming. Dit is door de AIVD zelf ontdekt en rechtgezet.
De gegevens zijn vernietigd en zijn ook niet in het operationele proces gebruikt.

De CTIVD constateert dat de werkwijze van de diensten met betrekking tot het nemen
en inschatten van risico's bij de inzet van de hackbevoegdheid, met inachtneming van
enkele aanbevelingen, in voldoende mate een afweging van risico's waarborgt. Tevens
is op rechtmatige wijze invulling gegeven aan de wettelijke opruimplicht, waarbij
verwijdering van technische hulpmiddelen dient te worden onderzocht. Tot slot geven
de diensten door middel van geautomatiseerde logging in combinatie met een handmatig
logboek op rechtmatige wijze invulling aan de wettelijke verplichting tot het houden
van aantekening.

Tot slot

De bulkdatasets zijn van groot belang voor het week van de AIVD en de MIVD. Ze stellen
de diensten in staat om bredere patronen en netwerken te onderkennen en daardoor nieuwe
dreigingen tijdig te voorspellen. Daarmee is het gebruik van de data in de sets noodzakelijk
voor het inlichtingenwerk en daarmee van groot belang voor de veiligheid van de Nederlandse
samenleving.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
K.H. Ollongren

De Minister van Defensie,
A.Th.B. Bijleveld-Schouten