Brief regering : Onderzoeksrapport over experimentele LIMC

Nr. 182
BRIEF VAN DE MINISTER VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 mei 2021

Hierbij ontvangt u het onderzoeksrapport van de Functionaris Gegevensbescherming Defensie
over de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het experimentele
Land Information Manoeuvre Centre (LIMC)1. In mijn brief van 27 november met mijn eerste reactie op de berichtgeving over LIMC
zegde ik toe deze samen met mijn beoordeling van de activiteiten van het LIMC aan
te bieden.2 Gelijktijdig met deze brief ontvangt u, zoals toegezegd in mijn brief van 15 december3, de antwoorden op de Kamervragen van 24 november 2020 van de leden Belhaj (D66) en
Karabulut (SP) «over LIMC, JISTARC en andere inlichtingenwerkzaamheden door de krijgsmacht».4 Verder heeft het lid Verhoeven op 15 januari 2021 vragen gesteld over «grootschalige
en onrechtmatige verzameling van data van burgers door de krijgsmacht, de politie,
de Belastingdienst, de Inlichtingen- en Veiligheidsdiensten en andere overheidsorganisaties».5 In de kabinetsreactie hierop van 9 april is over de defensiegerelateerde vragen 7–13
gesteld dat die in voorliggende brief worden beantwoord als het rapport van de Functionaris
Gegevensbescherming gereed was.6 Desbetreffende antwoorden zijn als bijlage 3 bij deze brief gevoegd7.

De Functionaris Gegevensbescherming heeft in korte tijd een onderzoek uitgevoerd naar
de naleving van de AVG door het experimentele LIMC. Dit onderzoek heeft mij de aanvullende
informatie geleverd om een integraal oordeel over de activiteiten van het LIMC te
kunnen geven. Ik ben de Functionaris erkentelijk voor het werk dat ze in korte tijd
met haar team heeft verricht. Zoals ik in mijn brief van november zei, is zij de wettelijke,
onafhankelijke, interne toezichthouder van Defensie op het gebied van gegevensbescherming.8 Ik onderschrijf de conclusies uit het rapport en neem de aanbevelingen over. Voordat
ik daar nader op reageer, ga ik eerst kort in op het belang om verantwoord te experimenteren
met informatiegestuurd optreden en op de achtergrond waartegen de experimenteeromgeving
LIMC werd opgericht, namelijk de COVID-19 crisis.

Het belang van experimenteren met Informatie Gestuurd Optreden

Zoals ik in mijn eerste reactie van 27 november over het LIMC schreef, hebben de razendsnelle
IT-ontwikkelingen grote operationele gevolgen voor de krijgsmacht. Uit de dreigings-
en probleemanalyse van de Defensievisie-2035 die het kabinet vorig jaar oktober naar
het parlement stuurde, komt naar voren dat Defensie nu onvoldoende is toegerust voor
het opereren in de informatie-omgeving. Daarom is informatiegestuurd optreden een
van de drie eigenschappen in de Defensievisie die helpen koersvast te blijven bij
keuzes over de inrichting en samenstelling van de defensieorganisatie in 2035.9

Statelijke actoren en terroristische organisaties gebruiken informatie nu al als wapen.
Bijvoorbeeld door voordeel te halen uit het verspreiden van valse of onvolledige informatie
en daarmee onze manier van leven en denken te beïnvloeden. Met cyber kunnen ook fysieke
effecten worden bereikt, zoals het aanvallen of saboteren van vitale sectoren waarvan
ook Defensie afhankelijk is. De Defensievisie zegt hierover dat Defensie haar bijdrage
moet leveren aan het vergroten van de weerbaarheid van de samenleving hiertegen. Indien
nodig moet Defensie ook terug kunnen slaan. Uiteraard moet Defensie zich daarbij houden
aan de geldende juridische en ethische kaders. Dit onderscheidt ons van onze tegenstanders.10

Binnen die kaders moet de krijgsmacht in de informatie-omgeving kunnen opleiden en
trainen, anticiperen en zichzelf beschermen, zodat onze militairen operationeel gereed
zijn voor inzet in Nederland en daarbuiten. De bestaande juridische mogelijkheden
moeten daarbij optimaal worden gebruikt en het toezicht daarop moet goed zijn ingericht.
Dit principe is voor de verzameling en verwerking van data waaronder persoonsgegevens
niet anders dan bij wapengebruik.

De «digitalisering van het slagveld» is een van de grootste veranderopgaven van de
krijgsmacht. In de brief van 27 november verwees ik al naar het belang om hierbij
ook te leren door te experimenteren. De organisatie moet zich kunnen blijven ontwikkelen.
Hiervoor is het ook door de NAVO gebruikte instrument voor capaciteitenontwikkeling
van Concept Development & Experimentation gehanteerd. Het gaat hierbij om leren door experimenteren, vallen en opstaan en voortdurend
herhalen en evalueren van dit proces.

De noodzakelijke veranderingen die de komende jaren nodig zijn voor de verdere invoering
van Informatie Gestuurde Optreden (IGO) laten zich niet enkel van bovenaf met blauwdrukken
opleggen. Dit vergt ook dat op de werkvloer wordt geëxperimenteerd met innovatieve
concepten. De in de praktijk geleerde lessen zijn essentieel om de toekomstige organisatie
in te richten en te betrekken bij grote investeringsplannen die nodig zijn om de grondwettelijke
taken van Defensie nu en in de toekomst uit te kunnen voeren.

COVID-19 en het experimentele LIMC

In maart 2020 brak in Nederland COVID-19 uit, de grootste nationale crisis sinds de
Tweede Wereldoorlog.11 De krijgsmacht stond en staat beschikbaar voor de ondersteuning van de civiele autoriteiten
bij de bestrijding van COVID-19. Het Commando Landstrijdkrachten was door de CDS aangewezen
als het uitvoerend Operationeel Commando voor alle land gerelateerde steunverlening
tijdens deze operatie. De steun aan ziekenhuizen en verpleeg- en verzorgingshuizen
is de meest in het oog springende.

Het gevoel van urgentie om de civiele autoriteiten bij deze nationale COVID-crisis
te hulp te schieten, gecombineerd met het belang om te experimenteren met informatiegestuurd
optreden, verklaart dat de landmacht deze crisis aangreep om in een experimenteeromgeving
het LIMC op te richten. Het doel van het LIMC was om in een experimenteeromgeving
met moderne data-analyse van open bronnen militaire en civiele besluitvorming te voeden
met inzicht en handelingsperspectief. Uiteraard gelden ook voor experimenteer projecten
altijd de juridische en ethische kaders. Dit kwam tot uiting door in alle opdrachten
die het Commando Landstrijdkrachten hiertoe verstrekte, te vermelden dat het LIMC
binnen de vigerende regelgeving moest opereren.

Het AVG-rapport van de Functionaris Gegevensbescherming Defensie

Het experimentele LIMC gaf uitvoering aan de opdracht van het Commando Landstrijdkrachten
tot het opstellen van een omgevingsbeeld over COVID-19 gerelateerde maatschappelijke
ontwikkelingen als fenomeen door data uit algemeen toegankelijke bronnen te verzamelen,
te verwerken en te analyseren. Het uitgangspunt hierbij was dat hier geen aparte grondslag
of mandaat voor nodig was. Dit uitgangspunt was juist voor zover het verrichten van
dergelijke activiteiten tot de gereedstellings- en instandhoudingstaak van de krijgsmacht
behoort. Voor activiteiten die niet tot deze taak behoren, zoals het inschatten van
effecten in de maatschappij en het opstellen en verspreiden van rapporten hierover,
geldt dat dit inzet betreft waarvoor altijd een grondslag vereist is. In geval van
inzet voor nationale taken is dat – afgezien van enkele structurele taken die zijn
vastgelegd in wet- en regelgeving, of in geval van structurele ondersteuning van civiel
gezag – alleen mogelijk op basis van bijstand of Militaire Steunverlening in het Openbaar
Belang (MSOB). Zoals ik op 27 november in mijn brief aan u al schreef, heeft het civiele
gezag geen verzoek tot bijstand aan het LIMC gedaan.

Daarnaast was het uitgangspunt dat bij dergelijke activiteiten geen persoonsgegevens
mochten worden verwerkt. Om dat laatste te voorkomen, had het LIMC een reeks aan organisatorische
en technische maatregelen getroffen.

De Functionaris Gegevensbescherming stelt in de eindconclusie van haar AVG-onderzoek
naar de experimenteeromgeving LIMC dat «[...] Het LIMC had niet de intentie om (grootschalig) persoonsgegevens te verwerken,
maar is hierin niet volledig geslaagd. Persoonsgegevens kwamen mee als «bijvangst».
Voor deze verwerking bestond geen wettelijke grondslag en is niet voldaan aan de verantwoordingsplicht
waardoor de AVG onvoldoende is nageleefd.»12

Ik neem deze eindconclusie en de onderliggende deelconclusies van de Functionaris
Gegevensbescherming over. De interne AVG-organisatie moet worden verbeterd om herhaling
te voorkomen en Defensie moet op dit vlak ook meer toekomstgericht worden. De Functionaris
doet hiervoor zes aanbevelingen die ik allemaal overneem. In het vervolg ga ik kort
op de aanbevelingen in.

Aanbeveling 1) Stel een (beleids-)gegevensbeschermings-effectbeoordeling (DPIA) op
voor Informatiegestuurd optreden

Terecht merkt de Functionaris Gegevensbescherming op dat informatie gestuurd optreden
de basis voor de toekomstige defensieorganisatie is. Bij zijn optreden bestudeert
Defensie van oudsher altijd al weer en terrein, omdat die bepalend zijn voor de wijze
waarop fysieke capaciteiten worden ingezet. Dit is het zogeheten fysieke landschap.
Maar het moderne militaire optreden speelt zich voor een groot deel ook af in het
virtuele (cyber) en in het menselijk of cognitieve landschap.13 Dit geldt voor alle drie de hoofdtaken van de krijgsmacht. Bij informatiegestuurd
optreden is het verwerken van persoonsgegevens dan onvermijdelijk, zoals de Functionaris
Gegevensbescherming in haar rapport vaststelt. Cruciaal hierbij is dat Defensie zich
daarbij steeds aan de AVG houdt. Hiermee moet aan de voorkant, bij het opstellen van
het beleid, al rekening worden gehouden. Defensie zal in het op te stellen beleidskader
«Informatie gestuurd optreden» op advies van de Functionaris Gegevensbescherming expliciet
de principes van gegevensbescherming toepassen en een gegevensbeschermingseffectbeoordeling
(Data Protection Impact Assessment, DPIA) opstellen.14 De vraag of er een grondslag is om persoonsgegevens te verwerken, valt hier altijd
onder.

Aanbeveling 2) Actualiseer de Catalogus Nationale Operaties 2018

Op dit moment wordt de catalogus Nationale Operaties herijkt. Daarin worden naast
de militaire capaciteiten waarop civiele autoriteiten in het kader van de eerste en
derde hoofdtaak een beroep kunnen doen, ook civiele capaciteiten opgenomen waarop
Defensie in voorkomend geval een beroep kan doen. De nieuwe catalogus zal de beschikbare
capaciteiten meer in termen van te bereiken effecten beschrijven, dan in termen van
kwantitatieve toezeggingen.

De Functionaris Gegevensbescherming adviseert in deze catalogus een omschrijving van
de taken, verantwoordelijkheden, bevoegdheden en mogelijkheden van de krijgsmacht
op het gebied van information manoeuvre en andere militaire analysecapaciteit op te nemen, waarop civiele autoriteiten in
voorkomend geval een beroep kunnen doen. De mogelijkheden en beperkingen hiervan worden
in de volgende versie van de catalogus opgenomen. Daarbij wordt ook de rol die de
inlichtingendiensten MIVD en AIVD hierbij vervullen meegenomen. De vaststelling van
de herijkte catalogus is mede afhankelijk van de bijdragen van de civiele autoriteiten
en loopt door COVID-19 vertraging op. De militaire bijdrage aan de catalogus Nationale
Operaties zal voor het eind van dit jaar gereed zijn.

Aanbeveling 3) Hanteer willen, mogen en kunnen in de juiste volgorde

De Functionaris Gegevensbescherming snijdt hier een actueel thema aan waarop ook de
Defensievisie ingaat, namelijk dat Nederland dagelijks wordt aangevallen in het cyberdomein
en blootstaat aan beïnvloedingscampagnes van statelijke actoren.15 De Defensievisie constateert tevens dat met de bescherming van het eigen en bondgenootschappelijk
grondgebied (eerste hoofdtaak) allang niet meer alleen het territoriale grondgebied
wordt bedoeld, maar net zo goed het digitale- en cognitieve grondgebied. Tegelijk
raken de drie hoofdtaken ook meer en meer met elkaar verweven.

Gezien deze ontwikkelingen is de vraag relevant of «willen, mogen en kunnen» voor
Defensie in de informatie-omgeving nog steeds met elkaar in evenwicht zijn. De Functionaris
Gegevensbescherming stelt hierover dat als bij Defensie een behoefte bestaat om op
dit vlak meer te «mogen», bijvoorbeeld door ontwikkelingen in de informatie-omgeving,
daarvoor wetgeving vereist is. Voordat deze behoefte wordt overwogen is het antwoord
op de «willen» vraag noodzakelijk, aldus de Functionaris Gegevensbescherming. Hiermee
ben ik het uiteraard eens. Dit gaat Defensie de komende tijd onderzoeken. Hiertoe
worden verschillende werkgroepen georganiseerd waarin militair juristen, AVG-functionarissen,
ethisch experts en operationele eenheden die in de informatie-omgeving actief zijn,
bijeenkomen om aan de hand van praktijkvoorbeelden volgens de trits «willen, mogen,
kunnen» te onderzoeken wat de mogelijkheden en beperkingen in het informatiedomein
zijn en hoe Defensie de juridische mogelijkheden optimaal kan gebruiken bij gereedstelling
en inzet.

Hiernaast maakt TNO in opdracht van Defensie een dilemmagame over de juridische en
ethische kaders in de informatie-omgeving en betrekt daarbij ook de discussies uit
de werkgroepen. Deze dilemmagame zal voor het eind van dit jaar gereed zijn. Deze
game kan en moet op alle niveaus van de organisatie worden gespeeld.

Uit die discussie en uit het externe onderzoek (zie aanbeveling 5) zal moeten blijken
of er een inderdaad een operationele noodzaak is om in antwoord op de «willen» vraag
ook de wet- en regelgeving aan te passen. Daarbij kijkt Defensie ook naar hoe bij
Europese partnerlanden de verhouding «krijgsmacht-AVG» is ingevuld. Ook het advies
van de externe toezichthouder, de Autoriteit Persoonsgegevens, maakt hier deel van
uit.

Aanbeveling 4) Versterk de poortwachtersfunctie op het gebied van gegevensverwerking

Deze aanbeveling beoogt het risicobewustzijn bij de (mogelijke) verwerking van persoonsgegevens
bij behoeftestellers en inkopers te verhogen door bij de verwerving van webbased producten en diensten ten behoeve van het informatiedomein een controle-vraag te
stellen: waarvoor gaan jullie dit eigenlijk gebruiken? Zoals de Functionaris Gegevensbescherming
stelt, kan daarbij gebruik worden gemaakt van de voorgeschreven model AVG-verwerkersovereenkomsten.
Overigens blijft hierbij de eindverantwoordelijkheid dan bij de behoeftesteller of
gebruiker liggen.

Aanbeveling 5) Inventariseer risicovolle verwerkingen van persoonsgegevens

Zoals ik u in antwoord op de vragen van het lid Verhoeven van 15 januari informeerde16, was het AVG-onderzoek bij het LIMC aanleiding om bij alle defensieonderdelen nadrukkelijk
aandacht te besteden aan de informatieactiviteiten en de naleving van de AVG bij de
verwerking van persoonsgegevens. We hebben daarvoor in november en december een quick scan uitgevoerd. Naar aanleiding hiervan heeft de CDS in januari in afwachting van nader
onderzoek uit voorzorg een beperkt aantal activiteiten aangepast of stilgelegd en
ben ik hierover geïnformeerd. Het betrof activiteiten van eenheden van het Commando
Zeestrijdkrachten (CZSK) en het Commando Luchtstrijdkrachten (CLSK).

De komende tijd gaat een extern bureau nader onderzoek doen naar de naleving van de
AVG bij de informatieactiviteiten van verschillende defensie-onderdelen. Dit bureau
zal ook nader onderzoek verrichten naar de activiteiten die nu uit voorzorg zijn aangepast
of stopgezet.

Dit externe bureau wordt tevens gevraagd om de door de onderdelen gesignaleerde knelpunten
voor de uitvoering van hun taken te inventariseren en aanbevelingen te doen voor het
oplossen of mitigeren van deze knelpunten. Dit betrekt Defensie bij de uitkomsten
van de werkgroepen onder aanbeveling 3.

Aanbeveling 6) Versterk en professionaliseer de AVG organisatie

Mede aan de hand van het onderzoeksrapport van de Functionaris Gegevensbescherming
heeft Defensie een algemeen overzicht gemaakt van de meest relevante juridische bepalingen
die van toepassing zijn op operationele activiteiten in de informatie-omgeving. Dit
overzicht is als bijlage bij deze brief gevoegd. Alle commandanten van organisatieonderdelen
die in de informatie-omgeving actief zijn, hebben hierover een gesprek met hun juridische
adviseur en/of AVG-functionaris. Dit draagt bij aan de gewenste versterking van de
samenwerking tussen de juridische en operationele lijn waar de Functionaris Gegevensbescherming
op wijst. Het streven is deze gesprekken voor het zomerreces te hebben voltooid.

Verder neem ik het advies van de Functionaris Gegevensbescherming over om vanuit het
oogpunt van een risicogerichte invulling van de AVG-organisatie als eerste een extra
AVG-coördinator toe te voegen aan het Operationeel Ondersteuningscommando Land (OOCL).
Daar bevindt zich het merendeel van de militaire analysecapaciteit van de landmacht
waaronder het Joint Intelligence, Surveillance, Target Acquisition & Reconnaissance Commando (JISTARC) waar de Functionaris Gegevensbescherming op wijst. Ook gaat Defensie conform
de aanbeveling in gesprek met de Functionaris Gegevensbescherming hoe zij invulling
kan geven aan de functie van een Chief Privacy Officer (CPO) om de beleidscapaciteit op het gebied van de AVG te versterken.

Vervolg

De komende maanden krijgen deze maatregelen hun beslag en wordt aanvullend onderzoek
uitgevoerd. Eind dit jaar zal ik u over de voortgang en de bevindingen hiervan informeren.
Als daar in uw Kamer behoefte aan bestaat, ben ik graag bereid te voorzien in een
Technische Briefing over het rapport en de manier waarop de aanbevelingen worden uitgewerkt.

De Minister van Defensie,
A.Th.B. Bijleveld-Schouten