Brief regering : Voortgang gegevensbescherming binnen Defensie

32 761
Verwerking en bescherming persoonsgegevens

Nr. 51
BRIEF VAN DE MINISTER VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 25 november 2022

Hierbij informeer ik uw Kamer over de voortgang op het dossier gegevensbescherming
binnen Defensie. De ingestelde onafhankelijke commissie Brouwer, die onderzoek verricht
naar de oprichting en uitvoering van de taken van het Land Information Manoeuvre Centre (LIMC), heeft aangegeven meer tijd nodig te hebben voor een zorgvuldige uitvoering van het
onderzoek. De commissie zal het eindrapport naar verwachting eind dit kalenderjaar
afronden. Na ontvangst zal ik het eindrapport en de beleidsreactie hierop aan uw Kamer
doen toekomen.

In de tussentijd heeft Defensie organisatie-breed gewerkt aan de verdere bewustwording
en naleving van de Algemene Verordening Gegevensbescherming (AVG). Dit gebeurde aan
de hand van een tweetal rapporten, te weten het Eiffel-rapport «Onderzoek AVG bij
het Ministerie van Defensie» (hierna: Eiffel-rapport), het rapport van de Functionaris
Gegevensbescherming «Onderzoek naar naleving

gegevensbeschermingswetgeving (Avg/Wpg) bij gebruik tools voor monitoring of scraping van social media.» (hierna: FG-rapport) en een Defensiebreed bewustwordingsprogramma op het gebied
van juridische en ethische kaders voor optreden in de informatieomgeving. Deze rapporten
zijn tevens met de Commissie Brouwer gedeeld. De algemene conclusie van beide rapporten
is dat de bewustwording over de AVG bij Defensie toeneemt maar ook dat de naleving
verdere verbetering behoeft. Ik neem de aanbevelingen van beide rapporten over.

Algemene bevindingen

Het Eiffel- en het FG-rapport constateren dat de huidige bevoegdheden om publieke
taken in de informatieomgeving door de krijgsmacht uit te voeren, beperkte juridische
mogelijkheden bieden voor het gebruik van zogenaamde tools voor het verwerken van persoonsgegevens onder de AVG, tenzij daarvoor een aparte
wettelijke grondslag of mandaat is zoals bij een artikel-100 inzet. Bij afwezigheid
daarvan zijn de mogelijkheden van de krijgsmacht om in de informatieomgeving te oefenen
en om zich voor te bereiden op inzet beperkt, wat tot knelpunten leidt, aldus de rapporten
van Eiffel en de FG. De FG geeft aan dat om deze beperkingen en knelpunten op te lossen,
onderzocht zal moeten worden of dit binnen de bestaande taakstelling en bevoegdheden
van Defensie mogelijk is. Daarna kan worden bezien of aanvullende bevoegdheden nodig
zijn. Hierbij moet ook worden gekeken naar de verschillende rollen en taken die reeds
zijn toebedeeld aan andere defensie- en overheidsdiensten zoals de Koninklijke Marechaussee,
de Nationale Politie en de MIVD.

Het tweede punt betreft de toepassing van de verwerkingsgrondslag van «gerechtvaardigd
belang» door overheidsinstanties, zoals die in de AVG is opgenomen. Overheidsinstanties
kunnen zich bij de verwerking van persoonsgegevens bij de uitoefening hun taken niet
beroepen op deze verwerkingsgrondslag. In de memorie van toelichting bij de Uitvoeringswet
AVG staat dat de verwerkingsgrondslag «gerechtvaardigd belang» beperkt ruimte biedt
voor overheidsinstanties, als het gaat om «typisch bedrijfsmatige handelingen», zoals
de toegangsbeveiliging van overheidslocaties en beveiliging en bescherming van computersystemen.
Zowel het Eiffel- als het FG-rapport stellen vast dat er weinig jurisprudentie, kaders
en richtlijnen beschikbaar zijn voor «typisch bedrijfsmatige handelingen» ter ondersteuning
van een effectieve taakuitvoering van Defensie. De FG adviseert op dit punt aanvullende
richtlijnen en werkinstructies vast te stellen. Bij de uitvoering van bovenstaande
punten betrek ik ook het eindrapport van de commissie Brouwer.

Eiffel-rapport

Naar aanleiding van de bevindingen van de Functionaris Gegevensbescherming Defensie
over de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het experimentele
Land Information Manoeuvre Centre (LIMC), heeft mijn voorganger op 7 mei 2021 een extern vervolgonderzoek bij de defensieonderdelen
toegezegd (Kamerstuk 32 761, nr. 183). Dit onderzoek is uitgevoerd door extern bureau Eiffel en is op 15 juli 2022 aangeboden
aan Defensie. Het rapport bevat tevens een vertrouwelijke bijlage die ik uw Kamer
separaat doe toekomen.

In het Eiffel-rapport zijn 26 activiteiten van verschillende defensieonderdelen beoordeeld
op de naleving van de AVG door Defensie. Aangezien Eiffel alleen als risicovol bestempelde
activiteiten heeft onderzocht en daarbij oordeelt dat 18 van de 20 lopende activiteiten
aan de AVG voldoet of dit op korte termijn kan voldoen, concludeert Eiffel dat de
bewustwording van de AVG bij Defensie toeneemt. Deze verbetermaatregelen worden nu
uitgevoerd of zijn al gereed, zoals het opstellen van Data Protection Impact Assessments (DPIA) en het bijwerken van het verwerkingsregister. Op twee activiteiten uit het
rapport ga ik hier nader in, omdat uit het Eiffel rapport bleek dat er twijfels zijn
over de juridische onderbouwing van deze activiteiten, dan wel dat de juridisch grondslag
hiervoor ontbreekt.1

• Activiteit 10B: «Het Commando Zeestrijdkrachten slaat mogelijke relevante openbare
nieuwsberichten op haar SharePoint» is beëindigd door Defensie tijdens het Eiffel
onderzoek, omdat de verwerkingsgrondslag hiervoor ontbrak. Het betrof het in kaart
brengen wat er speelt in mogelijke conflictgebieden.

• Activiteit 14B: «Interne beveiliging Defensie». De inhoud van deze activiteit is vanwege
het belang van de interne beveiliging van Defensie als departementaal vertrouwelijk
gerubriceerd en ter inzage aan uw Kamer aangeboden. Eiffel stelt dat het niet duidelijk
is of er een verwerkingsgrondslag is voor deze activiteit in zijn huidige vorm en
verwacht dat de grondslag gerechtvaardigd belang mogelijk niet aanwezig is. Defensie
heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) opgedragen de huidige
werkzaamheden, in het belang van de beveiliging van Defensie vooralsnog uit te voeren
op basis van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv 2017 artikel 10,
lid 2 en artikel 28, lid 1). Een eventuele andere oplossing zal worden gezocht nadat
de adviezen uit het eindrapport van de Commissie Brouwer zijn ontvangen.

FG-rapport

Het FG-rapport over het gebruik van applicaties voor het monitoren of scrapen2 van social media van publiek toegankelijke bronnen binnen de Defensie onderdelen3 komt eveneens voort uit een toezegging uit de kamerbrief van 7 mei 2021 over het
eerdere LIMC-onderzoeksrapport van de Functionaris Gegevensbescherming (Kamerstuk
32 761, nr. 182). Daarin was een maatregel opgenomen om de poortwachtersfunctie bij de inkoop van
social media tools te versterken. Met het nu voorliggende rapport geeft de Functionaris Gegevensbescherming
hiervoor een eerste aanzet. Ik deel de conclusies uit het FG-rapport en neem de aanbevelingen
over.

Binnen Defensie worden, of zijn, social media monitoring en scraping tools ingezet waarbij ook persoonsgegevens kunnen worden verwerkt. Daarvoor is een
wettelijke grondslag nodig. De Functionaris Gegevensbescherming constateert dat het
gebruik van enkele tools die overwegend voor de operationele taakuitvoering in gebruik waren, door Defensie
zijn stopgezet vanwege onduidelijkheden over de verwerkingsgrondslag en tekortkomingen
in de naleving van de AVG. De tools die nog wel in gebruik zijn, worden vooral gebruikt voor niet operationele taken
zoals communicatie, werving & selectie, beveiliging van de Defensie IT-infrastructuur,
fysieke beveiliging van defensielocaties en bij uitvoering van de politietaak van
de Koninklijke Marechaussee, aldus de Functionaris Gegevensbescherming. Waar nodig
zijn bevindingen direct met het onderzochte defensieonderdeel gedeeld en zijn verbetermaatregelen
in gang gezet, zoals het aanpassen van het verwerkingsregister en het maken van Data Protection Impact Assessments (DPIA) zodat de activiteiten voldoen aan de AVG.

Bewustwordingsprogramma

Defensie is in mei 2021 een intern bewustwordingsprogramma gestart op het gebied van
juridische en ethische kaders voor optreden in de informatieomgeving. Het programma
heeft tot doel om de kennis en bewustwording over de AVG te verhogen. Hiertoe hebben
Defensieonderdelen verschillende themasessies georganiseerd. Hierin zijn aan de hand
van concrete praktijkvoorbeelden, vragen en dilemma’s over de huidige juridische en
ethische kaders besproken.

Tot slot

De aanbevelingen van deze rapporten en de uitkomsten van het interne bewustwordingsprogramma
dragen bij aan kennis over en de naleving van de juridische kaders waarbinnen de krijgsmacht
de grondwettelijke taken zo goed en veilig mogelijk kan uitvoeren. Het eindrapport
van de Commissie Brouwer komt daar nog bij. Dit geldt zowel voor de gereedstelling
en inzet van de krijgsmacht als voor de ondersteunende bedrijfsvoeringsprocessen.
Deze lessen en waarborgen worden ook betrokken bij de beleidsvisie Informatiegestuurd
Optreden (IGO) die uw Kamer in de eerste helft van 2023 zal ontvangen.

De Minister van Defensie,
K.H. Ollongren