Memorie van toelichting : Memorie van toelichting
36 263 Regels inzake specifieke wettelijke voorzieningen voor het uitvoeren van onderzoeken door de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen (Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma)
Nr. 3 MEMORIE VAN TOELICHTING
I. Algemeen deel
1. Inleiding
Nederland en Nederlandse belangen worden in toenemende mate geconfronteerd met massieve
dreigingen in het digitale domein, ook wel het cyberdomein.1 Het gaat hierbij om dreigingen vanuit diverse landen met een offensief cyberprogramma.
Voorbeelden van dergelijke landen zijn met name Rusland en China. Een offensief cyberprogramma
is er onder meer op gericht om langs digitale weg op heimelijke wijze de beschikking
te verkrijgen over vertrouwelijke informatie, economische en technologische kennis
of andere informatie van burgers of organisaties waarmee zij hun voordeel doen. Ook
kan de hoogwaardige Nederlandse cyberinfrastructuur worden misbruikt bij het uitvoeren
van cyberaanvallen op andere landen. Nederland is hierbij bij uitstek in het vizier
vanwege het feit dat Nederland in het wereldwijde communicatienetwerk een belangrijk
knooppunt is. Daarnaast wordt het cyberdomein door landen ook gebruikt voor het verspreiden
van desinformatie en voor het verstoren en vernielen van technische infrastructuur,
onder meer bij vitale sectoren. De hier bedoelde acties van landen moeten los gezien
worden van de eveneens schadelijke, maar meer met een crimineel oogmerk verrichte
digitale aanvallen, die bijvoorbeeld gericht zijn op het verkrijgen van losgeld (aanvallen
met ransom-ware).
Landen zetten een offensief cyberprogramma in de vorm van cyberoperaties veelal in
als onderdeel van een bredere offensieve strategie, waarbij ook andere – meer klassieke –
operaties worden ingezet, teneinde hun geopolitieke doelstellingen te bereiken. Dergelijke
operaties vormen ook onderdeel van een militaire strategie. Dit wordt onderschreven
door de recente cyberaanvallen op de overheidssystemen in Oekraïne. Deze aanvallen
raken de burger, de bedrijven en instellingen en ook onze nationale veiligheid.
Het is evident dat de uitvoering van dergelijke offensieve cyberprogramma’s veel schade
(kunnen) toebrengen Nederland of Nederlandse belangen. Ter illustratie daarvan dienen
de volgende voorbeelden.
1. De afgelopen jaren hebben zich in of in relatie tot Nederland talloze cyberincidenten
voorgedaan, met zowel een moedwillige als een niet-moedwillige oorzaak. Zo werd in
december 2020 het Europees Geneesmiddelenbureau (EMA) doelwit van een hack&leak aanval.
Het bureau werkte op dat moment aan de goedkeuring van twee COVID-19 vaccins. Eind
december 2020 verschenen delen van EMA-documenten op webfora. De gelekte bestanden
waren deels gewijzigd en voorzien van commentaar en context waardoor het moest lijken
alsof er sprake was van frauduleus onderzoek door het EMA. Ook was e-mailconversatie
aangepast waarbij de indruk werd gewekt dat EU-autoriteiten het EMA onder druk hebben
willen zetten om vaccins versneld goed te keuren. Op deze manier kunnen door hacks
niet alleen inlichtingen ingewonnen worden, maar wordt er ook desinformatie gedeeld.
Het delen van desinformatie, oftewel nepnieuws, kan leiden tot ontwrichtingen binnen
de maatschappij.
2. Er is in 2021 waargenomen dat een actor misbruik maakte van de kwetsbaarheid in CITRIX-software
en deze kwetsbaarheid actief misbruikte. Daarnaast zag de AIVD na bekendmaking van
de LOG4J-kwetsbaarheid grootschalig misbruik door diverse statelijke actoren.
3. In december 2020 werd bekend dat aanvallers een kwetsbaarheid hadden aangebracht in
een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s
voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren.
Doordat gebruikers van Orion-software onbewust een kwetsbare update uitvoerden kregen
de aanvallers stilletjes toegang tot vele bedrijven en overheidsinstanties. Deze toegang
kunnen aanvallers misbruiken om vervolgens digitale spionage bij de kwetsbare organisaties
uit te voeren. Ook in Nederland werd de kwetsbare update van Orion-software geïnstalleerd,
onder andere binnen de overheid en vitale processen. In april 2021 werd de SolarWinds
campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29).
Deze attributie werd ondersteund door de EU en de Nederlandse regering.
Nederland hoort bij de meest ontwikkelde landen ter wereld op het gebied van economie,
wetenschap en techniek en is daarmee een doelwit voor andere staten. China is op dat
vlak de grootste bedreiging. De meeste (digitale) spionage door China is erop gericht
de eigen economie te laten groeien en het verkrijgen van kennis en technologie in
onder andere de semiconductorindustrie (bijvoorbeeld de productie van microchips),
militaire- en dual-use technologie, de telecomsector, biofarmaceutica en biotechnologie.
4. Ook blijkt uit onderzoek van de diensten dat Iraanse hackers probeerden intellectueel
eigendom te stelen van Nederlandse universiteiten. Als de exclusiviteit van intellectueel
eigendom verloren gaat en hierdoor bepaalde investeringen of overnames niet doorgaan,
kan dit de Nederlandse economie bedreigen.
5. De mogelijkheden voor digitale spionage door statelijke actoren zijn dankzij sterke
afhankelijkheid van thuiswerken aanzienlijk toegenomen. Omdat veel mensen thuiswerken,
zijn veel bedrijven afhankelijker van software waarmee werknemers op afstand kunnen
inloggen op het bedrijfsnetwerk. Diverse statelijke actoren misbruiken de coronacrisis
om (spear)phishingmails te versturen. Dit zijn e-mails die onjuiste informatie bevatten
over het coronavirus en het slachtoffer proberen te verleiden de mail te openen of
op een link te klikken. Hierdoor kan de actor toegang krijgen tot het netwerk van
het slachtoffer en zo data stelen of malware installeren.
Zo zag de MIVD in 2021 dat de Russische militaire inlichtingendienst (GRU) Nederlandse
routers heeft gehackt van het midden-en kleinbedrijf en privépersonen. Op deze manier
kon zij cyberoperaties uitvoeren via de routers van onwetende burgers en bedrijven
6. Een onderdeel van een offensief cyberprogramma kan het inwinnen van politieke inlichtingen
zijn om zo de democratische rechtsorde in andere landen te ondermijnen en politieke
processen te beïnvloeden. Zo heeft de Russische militaire inlichtingendienst (GRU)
op online mediaplatforms desinformatie verspreid over het neerhalen van vlucht MH17
en hebben ze hiermee het beeld proberen te kleuren dat mensen hebben van het neerhalen
van vlucht MH17 boven Oekraïne in 2014. Heimelijke beïnvloeding kan op die manier
soms gepaard gaan met openlijke propaganda. De diensten spelen een rol in het kunnen
attribueren van de herkomst van dergelijke desinformatie en de duiding ervan.
7. China probeerde in Nederland en elders beeldvorming te beïnvloeden rond het coronavirus.
Dat deed het land met propagenda, die in de loop van het jaar offensief werd: uitingen
prezen de Chinese aanpak, en zaaiden twijfel over de oorsprong van het virus en de
aanpak van Europese landen.
8. Ook binnen geopolitieke en militaire conflicten krijgen digitale spionage, sabotage
en beïnvloedingscampagnes een steeds belangrijkere rol. Oekraïne is sinds de annexatie
van de Krim door Rusland in 2014 veelvuldig slachtoffer geweest van digitale spionage
en sabotagecampagnes. Hierbij heeft de digitale sabotage campagne met NotPetya malware
in juni 2017 zelfs verstrekkende gevolgen voor Nederland en Europa. Ook rondom het
interstatelijke conflict tussen Rusland en Oekraïne worden verschillende digitale
spionage en sabotage campagnes waargenomen. Verder wordt er middels verschillende
digitale beïnvloedingscampagnes geprobeerd de beeldvorming omtrent militaire samenwerkingsverbanden
te beïnvloeden. Zo zijn in 2021 verschillende digitale beïnvloedingscampagnes uitgevoerd
die gericht waren op het in een kwaad daglicht stellen van de NAVO in de Baltische
en Oost-Europese staten.
Op grond van de Wiv 2017 hebben de twee Nederlandse inlichtingen- en veiligheidsdiensten,
te weten de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen-
en Veiligheidsdienst (MIVD), de taak om, waar de nationale veiligheid in het geding
is, daar onderzoek naar te doen en waar nodig daar actie op te ondernemen. Vanzelfsprekend
gebeurt dit uitsluitend op basis van de wet en voorzien van gepaste waarborgen. Het
verrichten van onderzoek naar landen met een offensief cyberprogramma is in de Geïntegreerde
Aanwijzing (GA) nadrukkelijk als een onderzoeksopdracht voor beide diensten geformuleerd.
Op grond van de Wiv 2017 komt beide diensten bij het verrichten van onderzoeken een
ruim scala aan bevoegdheden toe, ook waar het gaat om onderzoeken als hier bedoeld.
Met name de bijzondere bevoegdheden tot onderzoeksopdrachtgerichte interceptie (bulkinterceptie)
en het verkennen en binnendringen van geautomatiseerde werken (hacken) zijn van onmisbare
betekenis bij onderzoeken in het digitale domein. Echter: zonder een adequate inzet
van deze bevoegdheden is het voor beide diensten moeilijk, en soms onmogelijk, om
dergelijk onderzoek op effectieve wijze uit te voeren en daarmee zicht te krijgen
op de intenties, capaciteiten en bewegingen van dergelijke landen. Dat levert evidente
risico’s op voor de nationale veiligheid. Dergelijke onderzoeken vragen namelijk het
combineren van resultaten die zijn verkregen uit de inzet van verschillende bevoegdheden.
In de afgelopen periode, met name sinds de inwerkingtreding van de Wiv 2017, is gebleken
dat om uiteenlopende redenen een adequate inzet van genoemde bevoegdheden, waarbij
met name de onderzoeksopdrachtgerichte interceptie op de kabelgebonden infrastructuur
van cruciale betekenis is, niet kan worden gerealiseerd. Deels leidt dit ertoe dat
onderzoeken niet kunnen worden gestart of worden voortgezet, deels dat de voor dergelijke
onderzoeken noodzakelijke wendbaarheid en snelheid niet kan worden bewerkstelligd.
In het onderstaande zal daar nader op ingegaan worden. Daaraan voorafgaand is echter
in meer algemene zin het volgende op te merken.
Onderzoeken van inlichtingen- en veiligheidsdiensten hebben, in ieder geval voor wat
betreft de veiligheidstaak, van oudsher voornamelijk in het teken gestaan van het
onderkennen van dreigingen met de focus op concrete targets (personen en organisaties).
De zogeheten a-taak van de AIVD is daarvan een goede uitdrukking.2 Al wat langer is echter die onderzoekstaak (ook) meer in het teken komen te staan
van het onderkennen van verborgen dreigingen: dreigingen nog niet onderkend zijn maar
waarvan op basis van de beschikbare kennis en ervaring geredelijk mag worden aangenomen
dat die wel aanwezig zijn. Het is ook dit soort onderzoek – namelijk naar verborgen
dreigingen – dat bij onderzoek in het cyberdomein van grote betekenis is. Onvoldoende
is onderkend, ook bij de voorbereiding en totstandbrenging van de Wiv 2017, wat dit
betekent voor de inzet van bijzondere bevoegdheden. Bij de Wiv 2017 is de targetgerichte
benadering, ook waar het gaat om de toepassing van bijzondere bevoegdheden, de dominante
benadering geweest. De gevolgen daarvan worden in de dagelijkse toepassingspraktijk
gereflecteerd in de wijze waarop de wettelijk vastgelegde criteria, waaronder gerichtheid,
worden ingevuld en worden getoetst. Onderzoek in het cyberdomein vergt echter een
grotendeels andersoortige onderzoeksmethodiek, waar – bij de inzet van bijzondere
bevoegdheden – ook een daarop afgestemde vorm van invulling van de hiervoor genoemde
criteria aan de orde is. Een goed voorbeeld waarbij dit aan de orde is, betreft de
toepassing van het gerichtheidscriterium bij de verwerving van gegevens via onderzoeksopdrachtgerichte
interceptie (OOG-interceptie) op de kabelgebonden infrastructuur, waarbij gegevens
in bulk worden verzameld. De hier bedoelde bevoegdheid is tot op heden slechts beperkt
ingezet ten behoeve van het inlichtingenproces vanwege de onduidelijkheid met betrekking
tot de wijze waarop het gerichtheidsvereiste bij de inzet van deze bevoegdheid moet
worden geïnterpreteerd en de verschillende zienswijzen ter zake van de Ministers en
de Toetsingscommissie inzet bevoegdheden (TIB) nog niet tot een oplossing heeft geleid.
Daardoor kunnen bepaalde onderzoeken in het cyberdomein nog niet worden opgestart.
Wendbaarheid en snelheid zijn essentieel bij onderzoeken in het cyberdomein. In het
cyberdomein is het immers, in tegenstelling tot het fysieke domein, zeer eenvoudig
om snel en vaak te wisselen van locatie, wereldwijd. Bij cyberaanvallen gebeurt dit
bewust met als doel beveiligingsmaatregelen te doorbreken en om te verhullen waar
de aanval vandaan komt. Het ene moment kan een computer of server in Nederland gebruikt
worden en het andere moment kan voor hetzelfde doel een computer of server in Zuid-Amerika
gebruikt worden. Het is van belang mee te kunnen bewegen met dergelijke veranderingen.
De gewenste wendbaarheid en snelheid kan op dit moment echter niet worden gerealiseerd
doordat bijvoorbeeld de mogelijkheden om bij de toepassing van bepaalde bevoegdheden
over te kunnen gaan tot «bijschrijving» onvoldoende helder in de wetgeving zijn neergelegd
dan wel beperkend wordt uitgelegd.
Tegen deze achtergrond wordt het wenselijk geacht om in onderhavig wetsvoorstel, waar
het gaat om onderzoeken naar landen met een offensief programma tegen Nederland of
Nederlandse belangen, enkele wettelijke voorzieningen te treffen die de mogelijkheden
tot effectieve inzet van de bijzondere bevoegdheden die voor dit soort onderzoek van
cruciale betekenis zijn, te vergroten, waarbij tegelijkertijd de waarborgen waarmee
die inzet moet zijn omgeven op een hoog niveau blijven.
Er is voor gekozen om een en ander in een afzonderlijk, op zichzelf staand wetsvoorstel
neer te leggen met een tijdelijke werking in plaats van een voorstel tot wijziging
van de Wiv 2017. Het doel van het onderhavige wetsvoorstel is het op korte termijn
treffen van een tijdelijke voorziening om een beter antwoord te kunnen geven op bovengenoemd
veiligheidsprobleem. Een definitieve regeling zal onderdeel uitmaken van het wetsvoorstel
dat wordt voorbereid na het uitbrengen van de aan de Tweede Kamer toegezegde hoofdlijnennotitie
ter zake van het door de ECW uitgebrachte rapport met betrekking tot de evaluatie
van de Wiv 2017.
2. Inhoud van het wetsvoorstel op hoofdlijnen
2.1 Inleiding
Met de in het wetsvoorstel voorgestelde maatregelen wordt beoogd de thans in de praktijk
van de uitvoering van onderzoeken naar landen met een offensief cyberprogramma ondervonden
belemmeringen bij de toepassing van de Wiv 2017 te adresseren. Het gaat daarbij om
maatregelen die ertoe bijdragen dat bepaalde in de Wiv 2017 neergelegde bijzondere
bevoegdheden ook daadwerkelijk kunnen worden ingezet (zoals OOG-interceptie op de
kabelgebonden infrastructuur) dan wel de inzet ervan op een effectievere wijze kan
plaatsvinden (zoals het verkennen en binnendringen van geautomatiseerde werken). Daarnaast
worden in het wetsvoorstel bestaande bijschrijfmogelijkheden aangevuld en bij een
enkele bevoegdheid toegevoegd. Bij alle voorgestelde maatregelen geldt dat de thans
geldende waarborgen voor de toepassing daarvan in totaliteit bezien dienen te worden
gehandhaafd, maar dat er een betere aansluiting van de aard van het toezicht (ex ante
of ex durante) bij de fase waarin de (voorgenomen) uitvoering van een bijzondere bevoegdheid
zich bevindt wordt bewerkstelligd met als resultaat dat deze meer dan nu recht doet
aan de dynamische praktijk van het cyberdomein. Dit geheel moet ertoe leiden dat de
AIVD en de MIVD op een integrale wijze hun wettelijke taakopdracht met betrekking
tot de dreigingen in het cyberdomein kunnen uitvoeren. Alvorens de verschillende voorgestelde
wettelijke maatregelen te benoemen, zal eerst uiteengezet worden wat met een integrale
werkwijze wordt bedoeld, teneinde de voorgestelde maatregelen van een operationele
context te voorzien.
2.2 Integrale wijze van onderzoek in het cyberdomein en gegevensverwerking
2.2.1 De inzet van bijzondere bevoegdheden
De diensten doen onderzoek naar de doelwitten, intenties, capaciteiten en wijze van
aansturing van landen met een offensief cyberprogramma. Om deze vragen te kunnen beantwoorden
is het nodig om naar meer dan alleen de specifieke aanval te kijken. Cyberaanvallen
worden niet uitgevoerd als doel op zich, maar als onderdeel van een integrale strategie.
De diensten moeten dan ook integraal onderzoek doen naar het land achter de aanval,
zodat zij zicht krijgen op de herkomst, aansturing en politieke intenties van cyberaanvallen,
maar ook op hun doelwitten en slachtoffers. De verschillende onderzoeken van de diensten
naar de dreiging die uitgaat van landen met een offensief cyberprogramma tegen Nederland
of Nederlandse belangen kenmerken zich dan ook door een grote onderlinge verwevenheid
en afhankelijkheid. Kennis die wordt verkregen uit het ene onderzoek kan een onmisbare
bouwsteen zijn in een ander onderzoek. Dit geldt niet alleen voor de verschillende
onderdelen van de aanvalsinfrastructuur, maar ook voor verschillende bijzondere bevoegdheden
die kunnen worden ingezet om zicht te verkrijgen op de bewegingen en intenties van
tegenstanders.
Bij onderzoeken naar landen met een offensief cyberprogramma kan de weg die moet worden
bewandeld op voorhand niet in detail worden beschreven. De oorzaak hiervan is onder
meer dat de wijze van opereren door de betreffende landen steeds geavanceerder wordt
en de technische omgeving constant wijzigt. Landen met een offensief cyberprogramma
tegen Nederland of Nederlandse belangen maken gebruik van een grote hoeveelheid verschillende
infrastructurele elementen, verdeeld in verschillende soorten, verspreid over de gehele
wereld. Elk stuk infrastructuur ondersteunt een klein gedeelte van de aanval. Dit
maakt dat zicht op slechts een klein deel van de infrastructuur onvoldoende is voor
de taakuitvoering van de diensten. Bovendien wisselen betreffende landen voortdurend
van infrastructuur, waardoor het steeds meer moeite kost hun activiteiten te volgen.
Daarnaast wordt het ook steeds lastiger om de geautomatiseerde werken waar deze landen
in het kader van hun offensieve cyberprogramma’s gebruik van maken binnen te dringen
aangezien zij hun beveiliging steeds verhogen. Dit bemoeilijkt het doen van zogenaamd
«upstream onderzoek», waarbij de diensten het spoor naar de achterliggende cyberactor
proberen te volgen tot de bron. Door dicht tot de bron te naderen, krijgen de diensten
inzicht in de intenties, capaciteiten, doelwitkeuze, capaciteiten en activiteiten
van de cyberactor.
De diensten zijn derhalve genoodzaakt hun onderzoeksmethoden hierop aan te passen
en vanuit een brede basis geïntegreerd onderzoek uit te voeren om deze ook effectief
te doen zijn. Daarbij moeten gelijktijdig verschillende soorten operaties gericht
op verschillende onderdelen van de aanvalsinfrastructuur van de actor worden uitgevoerd,
omdat alleen op deze wijze succesvol zicht kan worden verkregen op de betreffende
landen. Dit geldt zowel voor de inzet van de hackbevoegdheid, kabelinterceptie als
voor geautomatiseerde data-analyse. Door kabelinterceptie worden zogeheten «leads»
onderkend, zoals technische kenmerken van geautomatiseerde werken, waarmee nieuwe
aanvalsinfrastructuur inzichtelijk kan worden gemaakt. De hackbevoegdheid en de bevoegdheid
tot kabelinterceptie zijn bij de hier bedoelde onderzoeken complementair aan elkaar.
Gelet op de modus operandi van landen met een offensief cyberprogramma tegen Nederland
of Nederlandse belangen, zijn de diensten genoodzaakt om ook actief in te zetten op
het onderdeel van de aanvalsinfrastructuur waarbij de actor gebruik maakt van legaal
en illegaal verworven toegang tot openbare en/of commerciële internetinfrastructuur.
Hier zijn ook (veel) andere gebruikers actief. Bij inzet op dit soort onderdelen is
het onvermijdelijk dat er een inbreuk op de privacy van andere gebruikers wordt gemaakt.
In dat kader is bij de inzet de daadwerkelijke privacy-inbreuk die zal plaatsvinden
leidend in samenhang met de waarborgen die van toepassing zijn om de betreffende inbreuk
te rechtvaardigen. Deze infrastructuur bevindt zich bij derden en non-targets, mogelijk
bij hen die een functie als dienstverlener vervullen. Zicht op onderdelen van de infrastructuur
van de actor is belangrijk, aangezien dit doorgaans tussenstations betreft van het
aansturen van een digitale aanval en het daadwerkelijk uitvoeren van de aanval. Vaak
is het vanwege technische of operationele redenen niet mogelijk om handelingen op
de systemen van de aanbieders van deze infrastructuur uit te voeren. In die gevallen
kan het noodzakelijk zijn om bij betreffende partijen (bulk)gegevens te verwerven.
Dit om onder andere de beweging van de cyberactor tussen betreffende partijen inzichtelijk
te maken. Op deze manier kan, voordat een aanval plaatsvindt, nieuw in gebruik genomen
aanvalsinfrastructuur worden onderkend.
2.2.2 Strategische inzet van bevoegdheden
De strategische inzet van bevoegdheden is onder de Wiv 2017 al mogelijk. Desalniettemin
bestond er in de praktijk behoefte om duidelijkheid te verschaffen over deze werkwijze.
In het onderstaande wordt deze werkwijze nader uiteengezet.
Onderzoeken naar landen met een offensief cyberprogramma spelen zich vooral af in
het digitale domein. In deze onderzoeken spelen technische bevoegdheden dus een hoofdrol.
Het gaat in dit wetsvoorstel dan ook om de strategische inzet van technische middelen,
zoals de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (OOG-interceptie).
Hierdoor moet ook het strategische doel van deze inzet in een technische context worden
bezien.
Om onderzoek te kunnen doen naar landen met een offensief cyberprogramma moeten de
diensten beschikken over de juiste gegevens. Het is lang niet altijd mogelijk om deze
gegevens door middel van een enkele inzet van een bevoegdheid te verkrijgen. Veel
vaker gaat het om het gelijktijdig of stapsgewijs inzetten van een bevoegdheid, waarbij
elke stap bijdraagt aan het eindresultaat, namelijk het verkrijgen van de juiste gegevens
om daar inlichtingen uit te winnen.
De noodzakelijke tussenstappen hebben soms meer een randvoorwaardelijk of voorbereidend
karakter. Bevoegdheden worden dan ingezet om kennis te vergaren, technische mogelijkheden
te ontwikkelen of om een specifieke technische positie op te bouwen. Een inzet van
een bevoegdheid met dit doel wordt ook wel een «strategische» inzet genoemd of een
«strategische operatie».
Hierbij gaat om het om de strategische inzet van een bestaande bevoegdheid. Het autorisatieproces
en het toets- en toezichtstelsel blijft dus hetzelfde. Dat betekent dus dat de Minister
toestemming geeft voor het inzetten van de bevoegdheid, de TIB deze toestemming op
rechtmatigheid toetst en de afdeling toezicht van de CTIVD toezicht houdt op de uitvoering
van de deze bevoegdheid. Net als bij niet-strategische inzetten van bevoegdheden gelden
de vereisten zoals deze in de Wiv 2017 zijn opgenomen. De strategische inzet van bevoegdheid
dient noodzakelijk te zijn voor de goede uitvoering van de taken van de diensten,
ingevolge artikel 28 eerste lid van de Wiv 2017. Voorts gelden de in artikel 26 Wiv
2017 genoemde andere vereisten van proportionaliteit, subsidiariteit en gerichtheid.
Zoals bij de codificatie van het gerichtheidscriterium in de toelichting is opgenomen
is bij de beoordeling van de gerichtheid medebepalend in welke fase het onderzoek
zich bevindt. Technologische ontwikkelingen, en de snelheid waarmee die elkaar opvolgen,
zorgen ervoor dat onderzoeken zich in een fase kunnen bevinden waarbij de strategische
inzet van bevoegdheden noodzakelijk is, en ook dat de strategische uitoefening van
een bevoegdheid een zo gericht mogelijke manier van werken is.
Strategische operaties kennen verschillende verschijningsvormen. In sommige gevallen
kan de strategische inzet van een bevoegdheid als doel hebben om kennis te verkrijgen
over software, hardware of specifieke communicatietechnologie in gebruik bij de kwaadwillende
actor. Een ander voorbeeld is dat de diensten in staat moeten zijn locaties te bepalen
van apparatuur om beter te duiden waar een dreiging precies vandaan komt. De diensten
willen in andere gevallen een positie verkrijgen in een computernetwerk, zodat de
digitale activiteiten van een kwaadwillende actor kunnen worden onderkend of dat in
een later stadium het mogelijk wordt om steeds dichter bij de systemen van de actor
te komen. Dergelijke inzetten kunnen ook gericht zijn op non targets. Een non target
is te definiëren als een persoon of organisatie uit de omgeving van een target van
de diensten waarbij inzet van een bijzondere bevoegdheid ertoe kan leiden dat de informatiepositie
ten aanzien van het target van de diensten wordt verbeterd.3 Indien de diensten een bijzondere bevoegdheid inzetten op een non target gelden verzwaarde
waarborgen en dan met name een verzwaarde proportionaliteitstoets.
2.2.3 De wijze van verwerking van gegevens
De kernactiviteit van de AIVD en de MIVD is de verwerking van gegevens4, waarvoor de Wiv 2017 een uitputtende regeling geeft. Een belangrijk element daarvan
betreft de wettelijk vastgelegde zorgplicht voor de kwaliteit van gegevensverwerking.
Ook bij onderzoeken als hier bedoeld gaat het om verwerving en de verdere verwerking
van gegevens. Zoals hiervoor al kort is aangestipt kenmerken dit soort onderzoeken
zich (grotendeels) door een andere onderzoeksmethodiek, waarbij met name het doel
om verborgen dreigingen tijdig te onderkennen en te kunnen attribueren aan landen,
het noodzakelijk maakt om gegevens in bulk te verwerven. Alleen daardoor wordt het
mogelijk om de (nieuwe) aanvalsinfrastructuur van een actor in beeld te krijgen en
een nog ongekende cyberdreiging in beeld te krijgen. De diensten verwerven slechts
die bulkdatasets5 waarvan zij de operationele inschatting maken dat deze een grote meerwaarde hebben
voor onderzoeken als hier bedoeld. De verwerving en verdere verwerking, met name via
methodieken van geautomatiseerde data-analyse, van dergelijke bulkdatasets, leveren
in een vrijwel continu proces nieuwe gegevens en inzichten op voor verder onderzoek
en voor de afweging of en, zo ja, welke bijzondere bevoegdheid op welke wijze moet
worden ingezet. Gegevens die door inzet van combinaties van bijzondere bevoegdheden
worden verworven moeten in samenhang kunnen worden verwerkt en de resultaten daarvan
moeten onder meer gebruikt kunnen worden om sturing te geven aan de inzet van (combinaties
van) bijzondere bevoegdheden (de zogeheten intelligente mix van inlichtingenmiddelen).
Dat is een dynamisch proces waarbij ook het toezicht dynamisch van karakter dient
te zijn om ook effectief te kunnen zijn en deze als het ware mee kan bewegen met de
wijze waarop een onderzoek wordt uitgevoerd. Op deze wijze kan niet alleen een (voortdurende)
rechtmatige uitvoering van de wet worden gemonitord, maar ook de mede daarmee beoogde
toepassing van de in de wet voorziene waarborgen in verband met de bescherming van
de persoonlijke levenssfeer adequate invulling krijgen. Een statische toets aan de
voorkant (bij de vraag of de voorgenomen inzet van een specifieke bijzondere bevoegdheid
rechtmatig is) is naar zijn aard ongeschikt om deze – vaak op voorhand ook niet te
voorspellen – dynamiek van uitvoering te kunnen omvatten en te normeren. Dat is inmiddels
een bij de toepassing van de Wiv 2017 gerijpt inzicht. Zowel in de Wiv 2017 als in
het kader van deze wet zal het stelsel van toetsing en toezicht niet alleen passend
dienen te zijn bij de aard van en de fase waarin een (verwerkings)activiteit van de diensten plaats vindt, maar ook sluitend. Overigens zal een
integrale heroverweging van het stelsel van toets en toezicht, zoals dat in de Wiv
2017 is neergelegd, mede in het licht van de bevindingen van de Evaluatiecommissie
Wiv 2017, pas bij de voorgenomen herziening van de Wiv 2017 aan de orde komen. In
dat kader zal ook acht worden geslagen op de inzichten verkregen uit de BZK-interne
alsmede de externe analyse inzake de recente jurisprudentie van het Europees Hof voor
de Rechten van de Mens (EHRM) met betrekking tot bulkinterceptie en de verwerking
van bulkdatasets.
2.3 Overzicht van de voorgestelde maatregelen
Teneinde de dreiging afkomstig van landen met een offensief cyberprogramma tegen Nederland
of Nederlandse belangen effectief te ondervangen is geïnventariseerd op welke aspecten
van de Wiv 2017 dat betrekking heeft. Die zien deels op het scheppen van de voorwaarden
waardoor een effectieve inzet van de bijzondere bevoegdheden tot het verkennen en
binnendringen van geautomatiseerde werken (hacken; artikel 45 Wiv 2017), de onderzoeksopdrachtgerichte
interceptie van communicatie (artikel 48 Wiv 2017) en de toepassing van geautomatiseerde
data-analyse op metadata verworven door de inzet van de bevoegdheid ex artikel 48
Wiv 2017 (GDA op OOG-metadata) in het cyberdomein wordt bewerkstelligd. Deels door
maatregelen te treffen waarbij de aard van het toezicht, uitgevoerd door de TIB en
door de afdeling toezicht van de CTIVD, beter aansluit bij de fase en de dynamiek
van het onderzoek. Zoals hiervoor al is aangegeven zal het stelsel van toetsing en
toezicht niet alleen passend dienen te zijn bij de aard van en de fase waarin een
(verwerkings)activiteit van de diensten plaats vindt, maar ook sluitend. In het kader
van dit wetsvoorstel is daar aldus invulling aan gegeven, dat daar waar de bindende
ex ante toets van de TIB komt te vervallen deze wordt vervangen door een bindende
toets ex durante door de afdeling toezicht van de CTIVD. Tot slot is voorzien in de
mogelijkheid van beroep bij de Afdeling bestuursrechtspraak tegen de bindende oordelen
van zowel de TIB als de CTIVD die onder toepassing van deze wet worden genomen.
De opbouw van het wetsvoorstel en de daarin opgenomen maatregelen (overzicht)
Artikel 1
Definitiebepaling
Artikel 2
Reikwijdte van de wet en toepasselijkheid
Artikel 3
TIB-oordeel inzake toepasselijkheid wet
Artikel 4
Voorziening inzake de bevoegdheid tot het verkennen van geautomatiseerde werken
Artikel 5
Voorziening inzake de toepassing van de bevoegdheid tot het binnendringen van een
geautomatiseerd werk (geen vermelding technisch risico en aanvulling bijschrijfmogelijkheid)
Artikel 6
Voorziening inzake de bevoegdheid tot het verkennen van communicatie-infrastructuur
ter vaststelling gegevensstromen met het oog op inzet bevoegdheid van onderzoeksopdrachtgerichte
interceptie
Artikel 7
Precisering afwegingscriteria ex artikel 26, tweede en vijfde lid, Wiv 2017 in het
kader van artikel 48 Wiv 2017
Artikel 8
Laten vervallen verplichting om toestemming voor GDA op OOG-metadata voor ex ante
toets voor te leggen aan TIB
Artikel 9
Aanvulling bijschrijfmogelijkheid in artikel 47 Wiv 2017
Artikel 10
Aanvulling bijschrijfmogelijkheid in artikel 54 Wiv 2017
Artikel 11
Informatie-uitwisseling TIB en afdeling toezicht van de CTIVD
Artikel 12
Regeling bindende toezicht door de afdeling toezicht van de CTIVD
Artikel 13
Beroepsmogelijkheid bij de Afdeling bestuursrechtspraak van de Raad van State
Artikel 14
Mogelijkheid van een voorlopige voorziening bij bindende oordelen van de afdeling
toezicht
Artikel 15
Uitzonderen toepasselijkheid Algemene wet bestuursrecht op besluiten op grond van
deze wet
Artikel 16
Overgangsbepaling inzake bij de TIB aanhangige toetsverzoeken
Artikel 17
Inwerkingtredingsbepaling en vervaltermijn wet
Artikel 18
Citeertitel
In hoofdstuk 3 zullen de verschillende onderdelen nader worden toegelicht.
2.4 De verhouding van de Tijdelijke wet tot de Wiv 2017
In artikel 2, tweede lid, van het wetsvoorstel is bepaald dat op de in het eerste
lid bedoelde taak de Wiv 2017 van toepassing is met inachtneming van het bepaalde
in deze wet. Concreet betekent dat allereerst dat de Wiv 2017 gewoon van toepassing
is en blijft op de in artikel 2, eerste lid, geformuleerde taak. Het is dus niet zo
dat met de Tijdelijke wet hetgeen in de Wiv 2017 is bepaald met betrekking tot de
verschillende aspecten verbonden aan de taakuitvoering van de diensten, waaronder
dus het bepaalde in hoofdstuk 3 van de wet (de verwerking van gegevens), waar het
gaat om de taak om onderzoek te verrichten naar landen met een offensief cyberprogramma
tegen Nederland of Nederlandse belangen, buiten toepassing wordt verklaard. De in
dit wetsvoorstel voorgestelde maatregelen hebben ten opzichte van het bepaalde in
de Wiv 2017 deels een aanvullend en deels een afwijkend karakter met betrekking tot
een beperkt aantal onderdelen van de Wiv 2017, te weten de uitoefening van bijzondere
bevoegdheden inzake het verkennen van en binnendringen in geautomatiseerde werken,
de uitoefening van de bevoegdheid tot onderzoeksopdrachtgerichte interceptie (introductie
van de bevoegdheid tot verkennen) alsmede de geautomatiseerde data-analyse op langs
deze weg verworven metadata (GDA op OOG-metadata); daarnaast wordt op onderdelen de
bijschrijfmogelijkheid uitgebreid.
Bij het uitwerken van de in dit wetsvoorstel neergelegde maatregelen is nadrukkelijk
bezien in hoeverre het stelsel van waarborgen zoals in de Wiv 2017 is neergelegd – bijvoorbeeld
waar het gaat om de toetsbevoegdheid van de TIB – wordt geraakt en hoe aan het totaal
aan waarborgen kwalitatief bezien geen afbreuk wordt gedaan. Dat heeft er bijvoorbeeld
toe geleid dat daar waar de bindende TIB-toets (ex ante) vervalt dit in het kader
van dit wetsvoorstel wordt gecompenseerd door een bindende oordeelsbevoegdheid (ex
durante en ex post) van de afdeling toezicht van de CTIVD. Daarbij speelde in belangrijke
mate ook de overweging een rol in welke fase bij de inzet van bijzondere bevoegdheden
(ex ante of ex durante) de aan de TIB dan wel afdeling toezicht opgedragen taak het
meest effectief kan worden ingezet. De thans geïntroduceerde bindende oordeelsbevoegdheid
van de afdeling toezicht heeft waar het gaat om de toepassing van de Tijdelijke wet
een aanvullend karakter ten opzichte van de reguliere – in de Wiv 2017 geregelde –
toezichtstaak van de afdeling toezicht.
De toepassing van de Tijdelijke wet zal in de praktijk de vraag op kunnen roepen op
welke wijze de onder toepassing deze wet verworven gegevens (verder) mogen worden
verwerkt. Het in de Wiv 2017 neergelegde stelsel kent weliswaar het wettelijk vastgelegde
– en ook hier van toepassing zijnde – uitgangspunt dat bepaalde gegevens slechts voor
een bepaald doel mogen worden verworven, maar zodra deze rechtmatig zijn verworven
kunnen die ook voor andere onderzoeken van de dienst beschikbaar komen. Dat is met
de gegevens te verwerven of verworven onder toepassing van de Tijdelijke wet niet
anders. Bij de beoordeling of met betrekking tot een bijzondere bevoegdheid al dan
niet terecht de toepasselijkheid van de Tijdelijke wet wordt ingeroepen, is een belangrijke
rol voor de TIB weggelegd; zie daartoe artikel 3, eerste lid. Langs deze weg kan er
ook op worden toegezien dat de Tijdelijke wet niet wordt ingezet voor andersoortige
onderzoeken. Het kan natuurlijk altijd voor komen dat met betrekking tot een bepaald
target vanuit verschillende lopende onderzoeken van de dienst aandacht is. In die
gevallen kan een bevoegdheid alleen onder toepassing van de Tijdelijke wet worden
ingezet als het zwaartepunt van de inzet op onderzoeksopdrachten binnen de reikwijdte
van deze wet valt. Op grond van artikel 3, eerste lid, van het wetsvoorstel kan de
TIB beoordelen of dit terecht zo is.
Voor alle maatregelen in onderhavig wetsvoorstel, dus ook waar het gaat om de hiervoor
bedoelde bindende oordeelsbevoegdheid van de afdeling toezicht, geldt dat die nadrukkelijk
een tijdelijk karakter hebben. In artikel 17 van het wetsvoorstel is bepaald dat de
Tijdelijke wet na vier jaar vervalt. De reden daarvoor is dat ter opvolging van de
aanbevelingen van de Evaluatiecommissie Wiv 2017 (ECW), na het uitbrengen van de toegezegde
hoofdlijnennotitie aan het parlement, een traject tot herziening van de Wiv 2017 als
zodanig zal worden ingezet, waarvan de verwachting is dat die binnen de werkingsduur
van de Tijdelijke wet kan worden bewerkstelligd. Mocht dat onverhoopt niet zo zijn,
dan zal bezien moeten worden of een wetstraject tot verlenging van de Tijdelijke wet
moet worden ingezet.
Bij het voorbereiden van het wetsvoorstel dat strekt ter opvolging van het advies
van de ECW zullen ervaringen die worden opgedaan met de toepassing van de Tijdelijke
wet voor zover die reeds voorhanden zijn waar mogelijk worden meegenomen; dit wetstraject
loopt immers parallel aan de toepassing van de Tijdelijke wet en zal voor afloop van
de werkingsduur van de Tijdelijke wet zijn beslag moeten hebben gekregen. Dat brengt
inherente beperkingen met zich mee. Dat geldt niet alleen voor de ervaringen die worden
opgedaan met hetgeen met betrekking tot enkele bijzondere bevoegdheden is geregeld,
maar ook waar het gaat om het stelsel van toets en toezicht. Dat kan betekenen dat
bepaalde arrangementen niet – zoals nu – een tijdelijk maar een structureel karakter
kunnen krijgen. Echter dat zal moeten worden bezien in het licht van de totaliteit
aan aanbevelingen die de ECW heeft gedaan, waarbij men – ook op het vlak van toets
en toezicht – ook oog heeft gehad voor de samenhang tussen de gedane voorstellen.
Bij de uitwerking van die voorstellen zullen ook nieuwe inzichten, opgedaan na het
verschijnen van het rapport van de ECW, een rol moeten en kunnen spelen.
3. De maatregelen nader beschouwd
3.1 De reikwijdte van de wet
In artikel 2, eerste juncto tweede lid, van het wetsvoorstel is – in verband met de
aanduiding van het toepassingsbereik van hetgeen in dit wetsvoorstel bepaald – aangegeven
dat de AIVD en de MIVD in het kader van de aan hen in artikel 8, tweede lid, onder a
en d, onderscheidenlijk 10, tweede lid, onder a, c en e, van de Wiv 2017 opgedragen
taak in het belang van de nationale veiligheid, belast zijn met het verrichten van
onderzoek naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse
belangen en dat op de uitvoering van die taak de Wiv 2017 met inachtneming van het
bepaalde in onderhavige wet van toepassing is. Onderhavig wetsvoorstel geeft dan ook
een regeling die niet geldt in de plaats van de Wiv 2017, maar – voor zover het de
hier bedoelde taakuitvoering betreft – daarvoor deels in aanvulling op of in afwijking
van de in de Wiv 2017 opgenomen regels specifieke voorzieningen treft. Kenbaarheid
van de wel of niet toepasselijkheid van hetgeen in onderhavig wetsvoorstel is bepaald,
is van belang voor de uitvoering van de toetstaak door de TIB en de toezichtstaak
door de afdeling toezicht van de CTIVD. Artikel 2 van het wetsvoorstel geeft dan ook
een regeling ter zake van het toepasselijk verklaren van de Tijdelijke wet.
De reikwijdte van deze Tijdelijke wet is beperkt tot onderzoeken van de diensten naar
landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Dat
betekent dat het onderwerp van onderzoek bepaalt of de inzet van een bevoegdheid kan
plaatsvinden onder deze wet. Het is de taak van de diensten om te achterhalen of,
hoe en waarom landen een offensief cyberprogramma uitvoeren.6 Daarom doen de diensten onderzoek naar hun doelwitten, capaciteiten, intenties en
wijze van aansturing. Hiervoor is het nodig verder te kijken dan alleen naar een specifieke
aanval. Cyberaanvallen worden door landen immers niet uitgevoerd als doel op zich,
maar, naast andere meer klassieke inlichtingenmiddelen, als onderdeel van een integrale
strategie gericht op het realiseren van geopolitieke doeleinden. Daarbij vinden aanvallen
niet uitsluitend plaats vanuit een inlichtingendienst of krijgsmacht, maar ook door
of via bedrijven of instellingen of meer diffuse proxy-organisaties. Dit betekent
dat het onderzoek van de diensten hier dus ook op gericht dient te zijn. Dit gegeven
maakt dat ook de AIVD en de MIVD in het kader van hun onderzoek zich niet dienen te
beperken tot een concrete aanval maar ook naar de plaats van die aanval in de bredere
context van het land dat achter die cyberaanval zit. De diensten moeten dan ook integraal
onderzoek doen naar het land achter de aanval zodat zij zicht krijgen op de herkomst,
aansturing en politieke intenties en nieuwe aanvallen voorkomen kunnen worden.
Welke landen dat zijn wordt bepaald aan de hand van de geïntegreerde aanwijzing (GA).7 Het is voor de diensten echter niet altijd (direct) mogelijk om een digitale aanval
te attribueren aan een specifiek land. Landen zijn wereldwijd onderling verbonden
door middel van communicatienetwerken, zoals het internet. Bij het uitvoeren van een
cyberaanval wordt gebruik gemaakt van deze communicatienetwerken waarbij het voor
de aanvaller van belang is anoniem en heimelijk te werk te gaan. Daarom zal een aanval
nooit direct van de aanvaller naar het slachtoffer plaatsvinden, maar wordt deze uitgevoerd
met behulp van een groot aantal verschillende tussenstappen.
Daarnaast bepaalt de GA dat de diensten onderzoek moeten doen naar cyberdreigingen
en cyberaanvallen, enkel vanwege het feit dat deze op Nederland of Nederlandse belangen
zijn gericht en dat het vermoeden bestaat dat deze te attribueren is aan een statelijke
actor. In die gevallen is deze wet ook van toepassing.
In het algemeen geldt: indien na het verlenen van toestemming onder de Tijdelijke
wet gedurende het onderzoek wordt vastgesteld dat er geen sprake is van een statelijke
actor, dan is voortzetting van het onderzoek onder de Tijdelijke wet niet meer aan
de orde. Er zal dan een nieuw verzoek om toestemming onder de Wiv 2017 moeten worden
ingediend en na rechtmatigheidsoordeel van de TIB kan voortzetting van het onderzoek
onder de Wiv 2017 plaatsvinden.
3.2 Verkennen van en binnendringen in een geautomatiseerd werk
3.2.1 Algemeen
In de artikelen 4 en 5 wordt in afwijking van en in aanvulling op het bepaalde in
artikel 45 van de Wiv 2017 voor een aantal onderdelen een regeling voorgesteld ten
aanzien van de inzet van de bijzondere bevoegdheid tot het verkennen en binnendringen
van een geautomatiseerd werk (hacken) met als doel de hackbevoegdheid in de praktijk
beter te laten aansluiten bij onderzoeken naar landen met een offensief cyberprogramma
tegen Nederland of Nederlandse belangen. De hackbevoegdheid is van groot belang om
zicht te krijgen op de activiteiten, intenties en capaciteiten van deze landen. De
voorgestelde wijzigingen beogen zowel het (tijdig) opstarten van operaties mogelijk
te maken als operaties ononderbroken te kunnen voortzetten. Daarbij wordt ook het
toets- en toezichtstelsel op de hackbevoegdheid betrokken. In de toepassingspraktijk
van de Wiv 2017 is bij de toepassing van de hackbevoegdheid namelijk gebleken dat
de statische ex-ante toets van de TIB minder goed past bij bepaalde aspecten van de
uitvoering van de hackbevoegdheid. Daarom wordt in dit wetsvoorstel op die aspecten
een verschuiving voorgesteld van een bindende ex-ante toets door de TIB naar bindend
toezicht op de uitvoering door de afdeling toezicht van de CTIVD. Bij deze vorm van
toezicht is de afdeling toezicht van de CTIVD in staat in te spelen op ontwikkelingen
die zich tijdens de uitvoering voordoen. Deze verschuiving zal ook gevolgen hebben
voor concrete casuïstiek, bijvoorbeeld waar het gaat om de invulling van open normen
zoals die van de proportionaliteitstoets.
3.2.2 Verkennen van een geautomatiseerd werk
Op grond van artikel 45, eerste lid, onder a, van de Wiv 2017 zijn de diensten bevoegd
tot het verkennen van de technische kenmerken van geautomatiseerde werken die op een
communicatienetwerk zijn aangesloten.
Deze bevoegdheid is in artikel 45 van de Wiv 2017 naast de bevoegdheid tot binnendringen
geplaatst, zonder hun onderlinge verhouding te duiden. Bij het verkennen wordt niet
binnengedrongen in het betreffende geautomatiseerde werk. De inzet van deze bevoegdheid
tot verkennen heeft tot doel het verkrijgen van een beeld van de eigenschappen van
een geautomatiseerd werk, zoals geïnstalleerde software, aanwezige netwerkverbindingen
en hardware. Met de resultaten van de verkenning kunnen de diensten een verzoek om
toestemming tot het binnendringen van een geautomatiseerd werk beter motiveren en
– mits de verleende toestemming is verkregen en de TIB deze rechtmatig heeft beoordeeld –
vervolgens ter uitvoering van de verleende toestemming gericht, efficiënt en zorgvuldig
in relevante geautomatiseerde werken binnendringen. Het verkennen dient dus ter ondersteuning
van het uiteindelijke binnendringen in een geautomatiseerd werk. Daarnaast dient verkennen
ertoe een up-to-date beeld te krijgen van de voor de diensten relevante delen van
het digitale landschap.
Het binnendringen zal in de meeste gevallen gepaard gaan met handelingen die weliswaar
gelijk gesteld kunnen worden aan de handelingen zoals omschreven in artikel 45, eerste
lid, onder a, Wiv 2017, maar deze moeten niet onder die bevoegdheid worden geschaard.
Het uitoefenen van de bevoegdheid tot binnendringen is een proces waarbij voortdurend
moet worden bekeken en vastgesteld wat de technische mogelijkheden zijn. Het betreffen
in dat geval verkennende handelingen die inherent aan het binnendringen zijn. Dit
is niet het uitoefenen van de bevoegdheid tot verkennen in de zin van artikel 45,
eerste lid, onder a, Wiv 2017. Deze bevoegdheden dienen dan ook los van elkaar te
worden beschouwd. Dit betekent dus dat een aanvraag tot het binnendringen van een
geautomatiseerd werk zelfstandig kan worden aangevraagd, zonder dat deze wordt voorafgegaan
door een aanvraag voor toestemming voor een verkenning als bedoeld in artikel 45,
eerste lid, onder a, Wiv 2017.
De Wiv 2017 biedt de diensten op dit moment onvoldoende handvatten om de bevoegdheid
tot verkennen effectief in te zetten. De veranderlijkheid van de huidige cyberdreiging
vereist dat de diensten de bevoegdheid tot verkennen snel en flexibel kunnen inzetten
zodat zij in staat zijn te onderzoeken op welke wijze de uiteindelijke hackbevoegdheid
kan worden ingezet. Met de bevoegdheid tot verkennen kunnen verschillende wijzen van
binnendringen op potentie worden onderzocht. Hiermee wordt de snelheid en de gerichtheid
van de uiteindelijke inzet van de hackbevoegdheid door de diensten vergroot en kan
beter worden ingeschat wanneer binnendringen een reële kans van slagen heeft. Met
de bevoegdheid tot verkennen wordt geen toegang verkregen tot het geautomatiseerde
werk of een deel daarvan tegen de wil van de rechthebbende (er is nog geen sprake
van binnendringen). Bij het verkennen wordt in vergelijking met het daadwerkelijk
binnendringen slechts een beperkte inbreuk op de privacy gemaakt, maar het toestemmingsniveau
is voor beide bevoegdheden belegd op het niveau van de Minister. Geconstateerd wordt
dat het thans in de Wiv 2017 neergelegde toestemmingsniveau voor verkennen in vergelijking
met de toestemming voor het daadwerkelijk binnendringen gelet op de daarmee gepaard
gaande privacy-inbreuk als te hoog moet worden beoordeeld. In artikel 4, eerste lid,
wordt daarom voorgesteld het verlenen van toestemming tot verkennen te beleggen bij
het hoofd van de betrokken dienst en de TIB-toets te laten vervallen. Het laten vervallen
van de TIB-toets is ook overeenkomstig aanbeveling 23 van de ECW. De ECW constateerde
in haar rapport dat ook de TIB en CTIVD van oordeel zijn dat het huidige toestemmingsniveau
wel erg hoog is voor een relatief licht instrument met een zeer beperkte inbreuk op
de privacy8. In plaats van de bindende TIB-toets krijgt de afdeling toezicht van de CTIVD in
deze wet de bevoegdheid tot bindend toezicht op de uitvoering van de verkenningsbevoegdheid
(zie artikel 12). Dat zorgt ervoor dat het niveau van waarborgen als geheel gelijk
blijft. Voorts draagt deze wijziging bij aan de snelheid die vereist is bij onderzoeken
door de diensten naar cyberdreigingen.
3.2.3 Meldplicht aan de afdeling toezicht van een verleende toestemming voor verkennen
In artikel 4, tweede lid, van het wetsvoorstel wordt een meldplicht ingesteld voor
de diensten bij de afdeling toezicht van de CTIVD wanneer het hoofd van de dienst
toestemming verleent voor het verkennen van technische kenmerken van geautomatiseerde
werken. Deze meldplicht hangt samen met het laten vervallen van de ex ante toets door
de TIB. De door de diensten te verrichten melding omvat niet meer dan het uniek identificerend
kenmerk van de aanvraag en de datum van toestemming van het hoofd van de dienst. De
afdeling toezicht van de CTIVD wordt met de voorgestelde meldplicht in staat gesteld
effectief toezicht te houden op de uitvoering door de diensten van deze bevoegdheid.
Zij kunnen hiermee vanaf de start van de inzet van de bevoegdheid meekijken en bindend
oordelen zodra er volgens de afdeling toezicht van de CTIVD sprake is van een onrechtmatigheid.
Deze verschuiving in het toezicht zorgt voor effectiever toezicht tijdens de uitvoering
van de bevoegdheid.
3.2.4 De omgang met technische risico’s en onbekende kwetsbaarheden bij hacken
3.2.4.1 Technische risico's
In artikel 45, vierde lid, onder a, van de Wiv 2017 is bepaald dat in het verzoek
om toestemming voor de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd
werk, in aanvulling op het bepaalde in artikel 29, tweede lid, Wiv 2017, een omschrijving
van de technische risico’s die zijn verbonden aan de uitoefening van die bevoegdheid
dient te bevatten. De omschrijving van de technische risico’s dient ertoe dat een
afweging kan worden gemaakt tussen het belang van de nationale veiligheid enerzijds,
en de technische risico’s die verbonden zijn aan de inzet van de hackbevoegdheid,
zoals de kans dat het geautomatiseerd werk onbedoeld schade ondervindt van de hack,
anderzijds.
Vooropgesteld dient te worden dat het minimaliseren van technische risico’s voor de
diensten van groot belang is. Niet alleen omdat de diensten zorgvuldig werken en de
met de inzet gepaard gaande technische neveneffecten zo klein mogelijk willen houden,
maar ook omdat het voor de diensten essentieel is om bij de uitvoering van de hackbevoegdheid
niet onderkend te worden. Daarom zullen de diensten bij de uitvoering van de hackbevoegdheid
ervoor zorgen dat de technische risico’s zo klein mogelijk zijn en in evenredige verhouding
staan tot het belang van de bescherming van de nationale veiligheid. Daaronder vallen
ook de risico’s die voortvloeien uit onderkenning en de risico’s ten aanzien van het
misbruik door derden.
Er is een spanningsveld ontstaan tussen de dynamiek van de uitvoering van de hackbevoegdheid
en de statische ex ante toetsing van de TIB voorafgaand aan de inzet van deze bevoegdheid.
Het is namelijk niet mogelijk voorafgaand aan een toestemmingsperiode van drie maanden
te voorspellen welke handelingen precies nodig zullen zijn om gedurende die periode
het met de inzet van de hackbevoegdheid beoogde doel te bereiken. De eventuele technische
risico’s die gekoppeld zijn aan deze handelingen zijn daarom van tevoren ook niet
te voorzien.
De praktijk wijst uit dat de manier van ex-ante toetsing, zoals is geregeld in de
Wiv 2017, niet passend is voor operaties binnen het cyberdomein gezien de technische
complexiteit, dynamiek en snelheid van ontwikkelingen binnen de onderzoeken, en heeft
geleid tot het verlies van zicht en snelheid in het onderzoek. Om deze reden wordt
in onderhavig wetsvoorstel het toezicht op technische risico’s bij inzet van de hackbevoegheid
ex durante belegd bij de CTIVD.
Ook wanneer toestemming wordt gevraagd voor de inzet van de hackbevoegdheid in de
situatie dat de diensten eerder ervaring hebben opgedaan met het binnendringen in
vergelijkbare systemen of bij vergelijkbare targets, betekent dit niet automatisch
dat een meer gedetailleerde beschrijving van de technische risico’s kan worden gegeven.
De technische risico’s zijn namelijk altijd afhankelijk van veel verschillende factoren,
zoals de gebruikte hard- en software, de samenstelling van het (eventuele) netwerk,
de beveiliging daarvan, en de gebruiker(s) en/of beheerders. Het is voor de inzet
vaak niet duidelijk hoe een geautomatiseerd werk technisch in elkaar zit, hoe een
netwerk er precies uitziet, en hoe daarvan en door wie gebruik wordt gemaakt. Zelfs
als dit wel (deels) bekend is, kunnen deze factoren snel wisselen.
De CTIVD heeft verschillende onderzoeken verricht naar de uitvoering van de hackbevoegdheid,
resulterend in rapporten 539 en 7010. De CTIVD heeft in rapport 70 onder meer gekeken naar de wijze waarop de afdeling
van de Joint SIGINT Cyber Unit (JSCU) van de beide diensten die zich specifiek bezighoudt
met Computer Network Exploitation (CNE) omgaat met technische risico’s en de afweging
daarvan. In rapport 70 heeft de CTIVD vastgesteld dat de werkwijze die deze afdeling
intern met betrekking tot het nemen en inschatten van risico’s toepast, (met inachtneming
van de aanbevelingen) in voldoende mate een afweging van risico’s waarborgt.
Gelet op het voorgaande leent de weging van de technische risico’s (in het kader van
artikel 45, vierde lid, onder a, Wiv 2017 of de generieke proportionaliteitstoets)
zich niet goed voor de statische toetsing vooraf door de TIB. Daarom wordt voorgesteld
de wettelijke verplichting tot het geven van een omschrijving van technische risico’s
(artikel 45, vierde lid, aanhef en onder a, Wiv 2017) in toestemmings- of verlengingsaanvragen
voor de hackbevoegdheid die vallen binnen de reikwijdte van deze wet te laten vervallen
(artikel 5, eerste lid). Met de in dit wetsvoorstel voorgestelde regeling verschuift
de ex ante toets van technische risico’s van de TIB aldus naar de fase van het dynamisch
toezicht door de afdeling toezicht van de CTIVD.
Dat neemt niet weg dat de TIB in het kader van haar proportionaliteitstoets wel de
op het moment van het verzoek om toestemming voor inzet van de bevoegdheid bekende
risico’s kan betrekken. Gezien de dynamische en onvoorzienbare aard van hackoperaties
zal deze toets een hoger abstractieniveau hebben.
De afdeling toezicht van de CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid
en dus ook op de wijze waarop bekende en nieuwe technische risico’s zich tijdens de
uitvoering concreet voordoen. Aangezien dit een verschuiving van toetsing vooraf naar
toezicht tijdens de uitvoering is, zal dit toezicht van de CTIVD bindend zijn.
De afdeling toezicht van de CTIVD kan, doordat zij toegang heeft tot de systemen van
de diensten, effectief toezicht houden op de gekozen werkwijze van de diensten en
daarmee op de technische risico’s. De handelingen die tijdens de uitvoering van de
hackbevoegdheid worden verricht, worden vastgelegd in logging waardoor de CTIVD tijdens
en achteraf bindend toezicht kan uitoefenen. Omdat hiermee wordt voorzien in bindend
toezicht op technische risico’s vanaf het moment dat de hackbevoegdheid wordt ingezet
laat dat geen ruimte voor extra toetsing vooraf op technische risico’s.
3.2.4.2 Onbekende kwetsbaarheden
Bij het programmeren en configureren van geautomatiseerde werken worden fouten gemaakt.
Dergelijke fouten worden aangeduid als onbekende kwetsbaarheden en zijn daardoor onlosmakelijk
verbonden aan het bestaan en gebruik van geautomatiseerde werken. Vanuit het uitgangspunt
van heimelijk optreden en het voorkomen dat de diensten worden onderkend, maken de
diensten ten behoeve van het binnendringen veelal gebruik van bestaande functionaliteiten
van geautomatiseerde werken. Soms is het ook noodzakelijk om gebruik te maken van
een kwetsbaarheid om een geautomatiseerd werk binnen te dringen. Daarbij kan het voorkomen
dat een gevonden kwetsbaarheid onbekend is.
Er bestaat een grote verscheidenheid aan onbekende kwetsbaarheden. Deze verscheidenheid
is te illustreren aan de hand van een aantal niet limitatieve voorbeelden: het gaat
van onbekende kwetsbaarheden die rechtstreeks door iedereen via het internet te gebruiken
zijn, tot aan onbekende kwetsbaarheden waar eerst al een bepaalde mate van controle
over een netwerk verkregen moet zijn en waarmee dieper in een geautomatiseerd werk
of netwerk binnengedrongen kan worden. En verder ook van onbekende kwetsbaarheden
die moeilijk te vinden zijn, pas na een ruime voorbereidingstijd gebruikt kunnen worden
of veel specifieke expertise vereisen, tot aan relatief eenvoudige, snel inzetbare
onbekende kwetsbaarheden. En tevens van onbekende kwetsbaarheden in een geautomatiseerd
werk dat breed gebruikt worden, tot onbekende kwetsbaarheden in een systeem dat slechts
op één plek in de wereld gebruikt wordt. Afhankelijk van deze verschillende aspecten,
kan het bestaan van die onbekende kwetsbaarheid een cybersecurityrisico met zich meebrengen.
Het gebruik maken van een onbekende kwetsbaarheid is een keuze die na zorgvuldige
afweging in aanloop naar en tijdens de uitvoering van de hackbevoegdheid gemaakt wordt.
Het gebruik van onbekende kwetsbaarheden is één van de onderdelen die mee worden genomen
bij het inschatten van technische risico’s. Zoals in paragraaf 3.2.4.1 reeds is toegelicht
zijn de technische risico’s die zich tijdens de uitvoering concreet voordoen onderworpen
aan bindend toezicht door de CTIVD. Dit geldt ook voor het gebruik van onbekende kwetsbaarheden.
Voor het gebruik van onbekende kwetsbaarheden geldt eveneens dat het voorafgaand aan
de uitvoering van de bevoegdheid veelal niet te voorzien is of het daadwerkelijk noodzakelijk
is een onbekende kwetsbaarheid in te zetten. Ook bij de inzet van onbekende kwetsbaarheden
is vaak enige spoed geboden om gebruik te kunnen maken van een operationele kans en/of
snel sporen uit te wissen. De CTIVD kan met bindend toezicht gedurende de gehele uitvoering
effectief toezicht houden, aangezien dit toezicht niet gebonden is aan een specifiek
moment en doorlopend is. Het gebruik van onbekende kwetsbaarheden hoeft derhalve niet
meer te worden beschreven bij toestemmings- of verlengingsaanvragen.
3.2.5 Verduidelijking bijschrijfmogelijkheid
In artikel 45, achtste lid, van de Wiv 2017 is bepaald dat een verleende toestemming
tot het binnendringen van een geautomatiseerd werk van een persoon of organisatie
voor de duur van de toestemming ook de bevoegdheid omvat om binnen te dringen in een
ander geautomatiseerd werk van die persoon of organisatie, voor zover dat in de plaats
treedt van of een aanvulling is op het geautomatiseerde werk waar oorspronkelijk de
toestemming voor is verleend. Deze bevoegdheid staat bekend als de bijschrijfmogelijkheid.
De mogelijkheid tot bijschrijven zorgt ervoor dat de diensten snel en effectief onderzoek
kunnen doen. Cyberactoren maken gebruik van geautomatiseerde werken, die vaak in een
complexe keten aan elkaar gekoppeld worden, hun zogenoemde digitale aanvalsinfrastructuur,
voor het uitvoeren van hun offensieve cyberstrategie. Om de herleidbaarheid van hun
activiteiten te verkleinen, wisselen targets snel van geautomatiseerde werken en werkmethodes.
Ook hacken cyberactoren geautomatiseerde werken van anderen om die te gebruiken voor
het uitvoeren van hun offensieve cyberprogramma.
In de praktijk is gebleken dat de TIB, in het kader van de uitvoering van haar rechtmatigheidstoets
op de door de Minister verleende toestemming, het feit dat in het artikellid gesproken
wordt van een geautomatiseerd werk van een persoon of organisatie, zodanig uitlegt dat het hier dient te gaan om een geautomatiseerd
werk dat exclusief aan die persoon of organisatie toebehoort. De TIB maakt onderscheid tussen systemen
die in eigendom zijn van, exclusief bezit zijn van of exclusief gebruikt worden door
personen of organisaties enerzijds, en anderzijds systemen waarbij naast de personen
of organisaties waarvoor de oorspronkelijke toestemming is verleend sprake is van
medegebruik door anderen van dat systeem. Bij deze laatste categorie moet gedacht
worden aan een gedeelde server of een door de actor gehackt systeem. De uitleg van
de TIB is problematisch omdat cyberactoren vaak gebruik maken van een gedeelde infrastructuur.
Dit maakt bijschrijven in een dergelijke situatie in de praktijk vrijwel onmogelijk.
Ter illustratie van deze problematiek dient het volgende praktijkvoorbeeld.
In april 2020 komt de AIVD een nieuwe digitale spionagecampagne op het spoor. Deze
campagne richt zich maandenlang op westerse overheden, waaronder de Nederlandse overheid
en diverse Nederlandse ministeries. De AIVD constateert al snel dat sprake is van
een grootscheepse digitale spionagecampagne
van een statelijke actor en besluit verder onderzoek te doen naar deze aanvaller.
Deze spionagecampagne staat in open bronnen bekend als Advanced Persistent Threat
(APT) 31 en wordt door diverse bronnen gerelateerd aan China. Dit soort aanvallen
komen zeer regelmatig voor. De AIVD wil bij dit soort aanvallen de aanvaller identificeren,
de modus operandi vastleggen en de slachtoffers waarschuwen.
Uit het onderzoek blijkt dat de aanvallers systemen van Europese burgers (ook Nederlanders)
hacken om zo een groot netwerk van aanvalssystemen te creëren. Hierbij wisselen de
aanvallers in hoog tempo van gehackte systemen om onderkenning en onderbreking van
hun spionageactiviteiten te voorkomen. Aanvallers weten dat inlichtingendiensten onderzoek
doen naar aanvalsinfrastructuur en wisselen daarom snel en regelmatig van aanvalsinfrastructuur.
Het snelle wisselen van aanvalsinfrastructuur vraagt om snelheid en flexibiliteit
in het handelen van de AIVD om deze spionagecampagne te kunnen blijven volgen. Zo
vraagt de AIVD telkens toestemming om door de aanvaller gehackte infrastructuur te
mogen onderzoeken.
Echter, omdat de infrastructuur niet exclusief in gebruik is bij de aanvaller (het
betreffen onder andere gehackte systemen van burgers) moet de AIVD telkens een volledig
nieuw en tijdrovend verzoek tot toestemming indienen om deze te mogen onderzoeken.
Als de aanvaller een infrastructuur had gehuurd in plaats van gehackt had de AIVD
deze infrastructuur mogen bijschrijven. Bijschrijven stelt de AIVD in staat sneller
te reageren. Maar, omdat het gehackte systemen betreft moet de AIVD telkens een nieuw
verzoek tot toestemming indienen. In sommige gevallen wordt de toestemming pas verkregen
nadat de aanvaller alweer een nieuw systeem heeft gehackt.
Deze vertraging in het onderzoek belemmert het actuele zicht van de AIVD op de aanvalsinfrastructuur
van de aanvaller omdat in de periode dat toestemming moet worden verkregen informatie
wordt gemist. Ook wordt het voor de AIVD moeilijker om nieuwe slachtoffers te notificeren
en onderzoek te doen naar de achterliggende daders.
Deze vertraging kan worden verholpen door het loslaten van het criterium van exclusiviteit
waardoor de AIVD de juiste infrastructuur binnen één onderzoek kan bijschrijven en
sneller een aanvaller kan volgen. Hierdoor is de AIVD beter in staat onderzoek te
doen naar digitale aanvalscampagnes gericht tegen Nederland of Nederlandse belangen.
Om deze reden wordt in deze Tijdelijke wet geregeld dat het niet langer vereist is
dat er sprake is van exclusief gebruik om te kunnen bijschrijven. Dit geldt zowel
voor artikel 45 Wiv 2017 als voor artikel 47 en 54 Wiv 2017.
Met het voorgestelde artikel 5, tweede lid, wordt verduidelijkt dat niet is vereist
dat er sprake is van exclusief gebruik om te kunnen bijschrijven. Gedurende de toestemmingsperiode
kunnen dus ook geautomatiseerde werken die behalve door de actor zelf ook door anderen
worden gebruikt, worden bijgeschreven voor zover dat noodzakelijk is voor het doel
waarvoor de oorspronkelijke toestemming is gevraagd. Voor het bijschrijven geldt dat
er een interne autorisatie vereist is. Hierbij blijven de vereisten van noodzaak,
proportionaliteit, subsidiariteit en gerichtheid onverkort gelden. Tevens blijft de
verplichting die in artikel 27, eerste lid, Wiv 2017 is neergelegd onverkort van toepassing.
Dat betekent in dit geval dat, wanneer van een bijgeschreven server gegevens worden
overgenomen waarvan wordt vastgesteld dat deze niet relevant zijn voor het onderzoek
of enig ander lopend onderzoek van de desbetreffende dienst, deze gegevens terstond
worden vernietigd. Bestaande waarborgen zijn dus van toepassing zijn op de gehele
inzet van de bevoegdheid en dus ook op eventueel bij te schrijven kenmerken. Kenmerken
mogen dan ook uitsluitend binnen deze als rechtmatig beoordeelde bandbreedte worden
bijgeschreven.
De CTIVD houdt bindend toezicht op de bijgeschreven kenmerken tijdens de inzet van
de hackbevoegdheid. Daarnaast kan de TIB oordelen over de bijgeschreven geautomatiseerde
werken die in de verzoeken tot verlenging van de toestemming door de Ministers zijn
opgenomen en na akkoord van de Minister aan de TIB ter toetsing worden voorgelegd.
Dit waarborgt dat in elke fase van de inzet van de hackbevoegdheid de juiste waarborgen
aanwezig zijn: vooraf onafhankelijk getoetst door de TIB en tijdens en na afloop bindend
toezicht door CTIVD.
3.3 Onderzoeksopdrachtgerichte (OOG) interceptie en GDA
3.3.1 Inleiding
De bevoegdheid voor de diensten om OOG-interceptie op de kabel te verrichten was één
van de belangrijkste moderniseringen in de Wiv 2017. De introductie van kabelinterceptie
vloeide voort uit aanbevelingen van de commissie Dessens, die de Wiv 2002 heeft geëvalueerd.11 Deze commissie concludeerde dat de interceptiebepalingen in de Wiv 2002 vanwege de
voortschrijdende technologische ontwikkelingen te weinig recht deden aan de noodzakelijke
bevoegdheden in het kader van de nationale veiligheid.
De diensten hebben deze bevoegdheid tot op heden nog slechts beperkt kunnen inzetten
voor inlichtingendoeleinden. Deze noodzakelijke uitbreiding van de Wiv 2002 is daarom
tot op heden beperkt benut. Naast de bevoegdheid tot OOG-interceptie op de kabel hebben
de diensten de bevoegdheid tot OOG-interceptie in de ether. Deze bevoegdheid hadden
de diensten ook al onder de Wiv 2002.
Zoals eerder toegelicht vinden cyberdreigingen vooral plaats via het wereldwijde communicatienetwerk.
Dit netwerk bestaat onder andere uit kabels en satellieten. Om inzicht te krijgen
op de cyberdreiging is het daarom cruciaal om gegevensstromen van deze kabels en satellieten
te intercepteren. Een vergelijkbaar alternatief is niet beschikbaar.
Benadrukt dient te worden dat de gerichtheid bij OOG-interceptie op de kabel en in
de ether ziet op de onderzoeksopdracht en niet op personen of organisaties: het is
immers onderzoeksopdrachtgerichte interceptie. Het middel moet dan ook bij uitstek niet gezien worden als een stapeling
van gerichte intercepties.12 De invulling van het gerichtheidsvereiste moet afgestemd worden op de aard van de
bevoegdheid en de context waarin deze toepassing vindt, mede in het licht van het
daarmee te bereiken doel. Die is bij OOG-interceptie anders dan bij gerichte interceptie.
De verzameling van gegevens (bulkdatasets) verkregen uit OOG-interceptie dragen in
hun geheel en in samenhang met andere gegevens bij aan het beantwoorden van de onderzoeksvragen
van de diensten.
OOG-interceptie is per definitie een bulkbevoegdheid met een grote mate van inherente
ongerichtheid bij het verzamelen van gegevens. Het merendeel van de gegevens die worden
geïntercepteerd zal altijd zien op personen en/of organisaties die niet in onderzoek
bij de diensten zijn en dat ook nooit zullen zijn. De noodzaak van OOG-interceptie
ligt volgens de wetgever met name in het onderkennen van ongekende dreigingen. Juist
het feit dat het gaat om het blootleggen van ongekende (cyber)dreigingen maakt dat
dit middel alleen effectief is als sprake is van een bepaalde mate van ongerichtheid
bij het verzamelen van gegevens. De gegevens die uiteindelijk door de diensten worden
opgeslagen, zijn gerelateerd aan de onderzoeksopdrachten van de diensten.13
Na de invoering van de Wiv 2017 zijn voor met name kabelinterceptie zowel technisch
als juridisch veel voorbereidingen getroffen om OOG-interceptie mogelijk te maken.
In de praktijk is gebleken dat enkele elementen van de Wiv 2017 achteraf minder goed
aansloten bij de operationele praktijk. Deze elementen vormen de basis voor de specifieke
voorzieningen die in dit wetsvoorstel worden voorgesteld ten aanzien van OOG-interceptie.
Het betreft de volgende voorzieningen:
– Het opnemen van een zelfstandige juridische grondslag voor OOG-interceptie ten behoeve
van verkennen.
– Het benoemen van aspecten die met name moeten worden betrokken bij de invulling van
de eisen van gerichtheid en proportionaliteit bij de aanvraag van een toestemming
voor OOG-interceptie.
– De introductie van bindend toezicht door de afdeling toezicht van de CTIVD op het
uitvoeren van GDA waarbij OOG-metadata wordt betrokken ter vervanging van de voorafgaande
toets door de TIB.
3.3.2 Het verkennen ten behoeve van OOG-interceptie
Bij de aanvraag van toestemming om tot OOG-interceptie over te kunnen gaan dient zo
duidelijk mogelijk te worden omschreven welke gegevensstromen worden geïntercepteerd.
Om die duidelijkheid te kunnen geven is het noodzakelijk inzicht te hebben in welke
gegevensstromen over welke kabels gaan en op welke wijze deze gegevensstromen mogelijk
een bijdrage leveren bij de beantwoording van de onderzoeksvragen van de diensten.
Dit is alleen mogelijk door gegevensstromen van een kabel te intercepteren en daarvan
vervolgens door middel van technisch onderzoek te bepalen of en op welke wijze een
gegevensstroom mogelijk een bijdrage levert aan de beantwoording van onderzoeksvragen.
Dit technisch onderzoek kan onder andere inhouden het onderzoek naar de aanwezigheid
van voor de onderzoeksvragen van de diensten van belang zijnde communicatie, het vaststellen
van de aard van deze communicatie en de gebruikte technische protocollen. Interceptie
met dit doel wordt «het intercepteren ten behoeve van verkennen» genoemd. Deze bevoegdheid
kunnen de diensten zowel inzetten voor OOG-interceptie op de kabel als voor OOG-interceptie
uit de ether. Hoewel de bevoegdheid tot OOG-interceptie op de kabel en de bevoegdheid
tot OOG-interceptie uit de ether in aard en omvang verschillen, is het doel en het
belang van verkennen van zowel kabelgebonden- als etherverkeer gelijk, namelijk: zorgen
voor het onderbouwen van een toestemmingsaanvraag voor interceptie ten behoeve van
het inlichtingenproces. Daarbij komt dat de formulering van dit artikel op deze wijze
net als in de Wiv 2017 techniekonafhankelijk is geformuleerd.
In rapport 75 constateert de CTIVD dat een algemene grondslag voor verkennen ten behoeve
van OOG-interceptie ontbreekt in de Wiv 2017.14 In het wetsvoorstel wordt daarvoor een zelfstandige juridische grondslag vastgelegd.
Het is van belang op te merken dat de geïntercepteerde gegevens enkel en alleen met
dit doel mogen worden onderzocht. Het doel is namelijk om met deze kennis de uiteindelijke
toestemmingsaanvraag voor kabelinterceptie ex artikel 48 Wiv 2017 zo goed mogelijk
te kunnen onderbouwen. Indien de Minister vervolgens daarvoor de gevraagde toestemming
voor kabelinterceptie verleent en de TIB de verleende toestemming rechtmatig acht,
kan de bijzondere bevoegdheid tot het doen van kabelinterceptie worden ingezet ter
verkrijging van gegevens die gebruikt mogen worden in het inlichtingenproces. Het
introduceren van de wettelijke grondslag voor verkennen ten behoeve van interceptie
zorgt er voor dat er een betere, technische onderbouwing gegeven kan worden bij de
inzet van kabelinterceptie ex artikel 48 Wiv 2017. Het is van belang op te merken
dat dit dus niet betekent dat de inzet van kabelinterceptie daardoor per definitie
in kwantitatieve zin kleiner of beperkter zal worden, maar enkel dat de aanvraag in
technische zin beter kan worden onderbouwd. Bij het uitoefenen van de bevoegdheid
tot OOG-interceptie ten behoeve van verkennen is ook sprake van bulkinterceptie.
Voor de uitoefening van de bevoegdheid tot verkennen is toestemming van de Minister
nodig, waarna de TIB deze toestemming op rechtmatigheid beoordeelt. Aanvragen voor
de inzet van bevoegdheden worden onderbouwd met de eisen van noodzaak, subsidiariteit,
doelmatigheid, proportionaliteit en gerichtheid. Deze eisen zijn neergelegd in artikel 26
Wiv 2017. Omdat de toepassing van de bevoegdheid tot OOG-interceptie ten behoeve van verkennen juist dient om vast te stellen waarop de toepassing van artikel 48 Wiv 2017, waarbij
sprake is van verwerving van gegevens ten behoeve van het inlichtingenproces, zich
dient te richten, is de in artikel 26, vijfde lid, Wiv 2017 neergelegd eis van gerichtheid
bij de uitoefening van de verkenningsbevoegdheid naar zijn aard niet toepasbaar. Daarom
is in artikel 6, vierde lid, van het wetsvoorstel het gerichtheidsvereiste buiten
toepassing verklaard. De bevoegdheid tot verkennen heeft immers als doel om juist
van de totale hoeveelheid beschikbare gegevensstromen vast te stellen welke gegevensstromen
bij de uiteindelijke OOG-interceptie, artikel 48 Wiv 2017, een bijdrage kunnen gaan
leveren aan de beantwoording van de onderzoeksvraag. Als belangrijke waarborg verbiedt
dit wetsvoorstel de opbrengst van de verkenning te gebruiken voor inlichtingen doeleinden.
De toestemming wordt verleend voor een periode van ten hoogste een jaar. Ingeval de
TIB een verleende toestemming rechtmatig beoordeelt, doet zij daarvan mededeling aan
de afdeling toezicht van de CTIVD die vervolgens op de uitvoering daarvan toezicht
kan uitoefenen (artikel 6, derde lid). De toestemming tot verlengen van de bevoegdheid
geldt ook voor (ten hoogste) een jaar.
Voor de uitvoering van deze bevoegdheid is de medewerking van aanbieders van communicatiediensten
vereist. Dat ziet allereerst op de verstrekking van gegevens die noodzakelijk zijn
om uitvoering te kunnen geven aan de bevoegdheid; daarnaast is medewerking vereist
bij de uitvoering van de bevoegdheid (artikel 6, vijfde lid).
Zoals het zesde lid van artikel 6 regelt, worden gegevens verworven op grond van het
eerste lid genoemde bevoegdheid niet verwerkt voor andere doeleinden dan waarvoor
de bevoegdheid bedoeld is. Het doel van de verkenningsbevoegdheid is omschreven in
het eerste lid, te weten het vaststellen op welke gegevensstromen een uiteindelijk
verzoek tot OOG-interceptie (artikel 48 Wiv 2017) betrekking dient te hebben. De geïntercepteerde
gegevens moeten hiervoor, zoals eerder in deze paragraaf benoemd, technisch worden
onderzocht, zodat de verworven gegevens kunnen worden gestructureerd, geanalyseerd
en geduid. In het kader van dit technisch onderzoek is het soms noodzakelijk ondersteuning
te krijgen van een buitenlandse collegadienst. Hierbij worden de voor dat technisch
onderzoek benodigde gegevens aan de desbetreffende collegadienst verstrekt. Deze verstrekking
vindt plaats met het expliciete verbod deze gegevens te gebruiken voor inlichtingendoeleinden.
De AIVD en de MIVD zijn immers ook gebonden aan deze waarborg bij de uitoefening van
de bevoegdheid. Daarnaast zijn de kaders en waarborgen omtrent internationale samenwerking
die voortvloeien uit de Wiv 2017 onverkort van toepassing. Deze gegevens mogen dus
voor geen enkel ander doel worden verstrekt aan een buitenlandse collegadienst.
3.3.3 Aspecten te betrekken bij invulling van de eisen proportionaliteit en gerichtheid
bij OOG-interceptie
De diensten hebben als taak onderzoek te doen naar zowel bekende als verborgen dreigingen.
Bij een bekende dreiging hebben de diensten een redelijk goed beeld van de oorsprong
van de dreiging en hoe deze dreiging eruitziet. Bij verborgen dreigingen weten de
diensten dat er een dreiging is, maar is nog niet bekend hoe deze dreiging eruitziet
en hoe deze zich precies technisch manifesteert. Het inzetten van kabelinterceptie
is bij uitstek een middel om zicht te krijgen op zowel de bekende als de verborgen
dreiging.
De inzet van het middel wordt gerechtvaardigd door de ernst van de dreiging die van
statelijke actoren met offensieve cyberprogramma’s uitgaat. Daarbij is het van belang
dat de invulling van de proportionaliteit en de gerichtheid niet beperkt is tot (technische)
kenmerken die zijn gerelateerd aan gekende targets, maar dat kabelinterceptie ook
kan worden ingezet voor target discovery. Voor dat doel is het van belang dat het voor de diensten mogelijk is om gegevens
in bulk te intercepteren. Want juist op die manier is kabelinterceptie van operationele
meerwaarde voor de diensten. De inzet van deze bevoegdheid op bovengenoemde wijze
kan dus, gelet op de aard en de ernst van de aanwezige dreiging, als proportioneel
en zo gericht mogelijk worden beschouwd.
Zoals in de inleiding van deze paragraaf al is aangestipt, is OOG-interceptie een
bulkbevoegdheid. Dit heeft een wezenlijk effect op de invulling van het gerichtheidscriterium
en de proportionaliteitstoets. Artikel 7 van dit wetsvoorstel heeft als doel om het
toetsingskader bij deze specifieke bevoegdheid te geven. Binnen het gegeven toetsingskader
moeten twee aspecten met name, en daarmee het zwaarwegendst, worden betrokken bij
de invulling van de toets op gerichtheid en proportionaliteit.
Deze twee aspecten zullen hieronder nader worden toegelicht.
Sub a: indicatie gegevensstromen
Bij de invulling van het gerichtheids- en proportionaliteitsvereiste moet ook een
indicatie van de te intercepteren gegevensstromen worden betrokken. Bij het geven
van deze indicatie leveren de resultaten van de OOG-interceptie bevoegdheid ten behoeve
van verkenning daarvoor de onderbouwing. Met deze indicatie wordt bedoeld de feitelijke,
technische aanduiding van de te intercepteren gegevensstromen, zoals die op het moment
van de aanvraag te geven zijn. Een voorbeeld van de feitelijke, technische aanduiding
zijn bij kabelinterceptie klantkanalen, waarmee de te intercepteren gegevensstromen
aan worden geduid.
Sub b: indicatie reductie gegevens
Kabelinterceptie bestaat uit verschillende stappen, ook wel: de keten van verwerving.
Het begint met het overnemen (kopiëren) van de in de toestemming aangeduide gegevensstromen.
Deze gegevensstromen worden vervolgens gefilterd. Het doel van filtering is om gegevens
te verwerven die later op enigerlei wijze een bijdrage kunnen leveren aan het beantwoorden
van onderzoeksvragen. Het eindresultaat van dit proces leidt tot de gegevens die voor
de diensten toegankelijk zijn bij het beantwoorden van onderzoeksvragen. Deze gehele
keten van verwerven moet dus gezien worden als een proces van datareductie.
Gegevensstromen zijn dynamisch en wijzigen voortdurend. De filters moeten daarop worden
aangepast. Daarom kan bij de aanvraag voor het inzetten van het middel slechts een
indicatie worden gegeven voor de wijze waarop de diensten van plan zijn om de gegevens
te reduceren. Op de uitvoering van dit gehele proces houdt de afdeling toezicht van
de CTIVD toezicht.
Na inwerkingtreding van de Wiv 2017 is de eerste praktijkervaring opgedaan met kabelinterceptie.
Uit deze praktijkervaring is gebleken dat actoren gebruik maken van veel verschillende
protocollen en technieken om hun offensieve cyberprogramma uit te voeren en hun activiteiten
te verhullen. Tevens innoveren deze actoren voortdurend hun werkwijze om hun offensieve
doelen beter te bereiken en niet te worden onderkend.
Bij het inzetten van kabelinterceptie ten behoeve van een onderzoek moet een indicatie
gegeven worden van de reductie van gegevens. Gelet op de hiervoor beschreven veranderlijke
methode, is het niet mogelijk om op voorhand en categorisch gegevensstromen uit te
sluiten van interceptie. Om het middel effectief ten behoeve van een onderzoek in
te zetten, is het dus niet mogelijk om gegevensstromen enkel op basis van technische
eigenschappen, zoals de oorsprong of bestemming van communicatie of de soort (streaming)dienst
die wordt aangeboden, uit te sluiten. Het is van belang dat de diensten per geval
een afweging kunnen maken welke gegevens gefilterd moeten worden en welke gegevens
doorgelaten kunnen worden.
3.3.4 Geautomatiseerde data-analyse (GDA) op OOG-metadata
3.3.4.1 Geautomatiseerde data-analyse (GDA)
Gegevensverwerking is een kernactiviteit van de diensten. Eén van de verwerkingsmethoden
is geautomatiseerde data-analyse (GDA). Zonder toepassing van vormen van GDA zijn
grote gegevensbestanden – zoals bulkdatabestanden – vrijwel niet effectief te gebruiken.
De juridische grondslag voor deze verwerkingsmethode is neergelegd is artikel 60 van
de Wiv 2017. In het tweede lid van dat artikel wordt een drietal voorbeelden gegeven
van GDA, namelijk het op geautomatiseerde wijze onderling vergelijken van gegevens,
het doorzoeken van gegevens aan de hand van profielen en het vergelijken van gegevens
met het oog op het opsporen van bepaalden patronen. Andere – niet in artikel 60 benoemde –
voorbeelden betreffen de enkelvoudige (komt een bepaalde term voor in een bestand)
of meervoudige naslag (komt een bepaalde term voor in een combinatie van bestanden).
Op grond van het derde lid van artikel 60 is het de diensten niet toegestaan om maatregelen
jegens een persoon te bevorderen of te treffen uitsluitend gebaseerd op de resultaten
van GDA. Deze norm behelst dus dat in deze gevallen altijd sprake zal dienen te zijn
van menselijke tussenkomst.15
3.3.4.2 Toestemming voor GDA op OOG-metadata
De diensten zijn bevoegd om GDA toe te passen op alle gegevens die de diensten verwerven.
Hiervoor is geen toestemming nodig, met uitzondering van de toepassing van GDA op
OOG-metadata. Dat zijn dus metadata verkregen uit OOG-interceptie ex artikel 48 Wiv
2017. In algemene zin kan gesteld worden dat metadata die gegevens zijn die niet de
inhoud betreffen. Bij e-mail zijn dit bijvoorbeeld het tijdstip van verzenden, de
verzender en de ontvanger. Voor GDA als hier bedoeld is ingevolge artikel 50, eerste
lid onder b, van de Wiv 2017 toestemming van de verantwoordelijke Minister nodig gevolgd
door een rechtmatigheidstoets van de TIB op de verleende toestemming.
In artikel 8 van het wetsvoorstel wordt voorgesteld de ex ante toets van de TIB op
de door de Minister verleende toestemming voor GDA op OOG te laten vervallen. De reden
hiervoor is dat de aard van die toets zich niet goed verhoudt tot het dynamische proces
van gegevensverwerking. Omdat bij het analyseren van gegevens voortdurend nieuwe inzichten
worden verkregen en aan nieuwe hypotheses worden getoetst, en daarbij de datahuishouding
van de diensten veranderlijk is, is niet op voorhand te voorspellen op welke exacte
wijze GDA (en in welke vorm) wordt ingezet bij de uitvoering van onderzoeken van de
diensten.
Het is de taak van de afdeling toezicht van de CTIVD om toe te zien op het rechtmatig
handelen van de diensten. De afdeling toezicht van de CTIVD ziet op dit moment dus
al toe op de uitvoering van GDA. Omdat de bindende ex ante toets van de TIB bij GDA
op OOG-metadata vervalt, krijgt de afdeling toezicht van de CTIVD in de plaats daarvan
de bevoegdheid om bindend te kunnen oordelen over de wijze waarop de diensten GDA
als hier bedoeld toepassen.
3.4 Bijschrijfmogelijkheid artikel 47 Wiv 2017
Op basis van artikel 47 van de Wiv 2017 hebben de diensten de bevoegdheid tot gerichte
interceptie van communicatie (ook wel: tappen). Het zevende lid van artikel 47 van
de Wiv 2017 bepaalt dat een verleende toestemming voor de inzet van deze bevoegdheid
ook, voor de duur van de verleende toestemming, na de toestemmingsverlening bekend
geworden andere nummers of technische kenmerken van de desbetreffende persoon of organisatie
omvat. Dit wordt de bijschrijfmogelijkheid genoemd.
In artikel 9 van het wetsvoorstel wordt bepaald dat in aanvulling op het bepaalde
in artikel 47, zevende lid, Wiv 2017 de verleende toestemming tot interceptie tevens
de bevoegdheid omvat om, voor de duur van de verleende toestemming, de in verband
met de in deze wet aan de toetsingscommissie en afdeling toezicht toegekende taak
bevoegd en telecommunicatie te ontvangen of op te nemen aan de hand van na de toestemmingverlening
bekend geworden andere nummers of technische kenmerken die in gebruik worden genomen door de desbetreffende persoon of organisatie. Daarmee wordt ook bij toepassing van
deze bevoegdheid niet vereist dat er sprake is van het exclusieve gebruik door de
persoon of organisatie van het desbetreffende nummer of technisch kenmerk jegens wie
de bevoegdheid wordt ingezet, hetgeen door de zinsnede «nummers of technische kenmerken
van de desbetreffende persoon of organisatie» in die zin wordt uitgelegd.
Gedurende de toestemmingsperiode kunnen nummers dan wel technische kenmerken worden
bijgeschreven voor zover dat noodzakelijk is voor het doel waarvoor de oorspronkelijke
toestemming is gevraagd. Hiervoor geldt onverkort dat er – naast de wettelijk vereiste
toestemming voor de uitoefening van de tapbevoegdheid – sprake moet zijn van een geldige
interne toestemming en er ook voldaan moet zijn aan de eisen van noodzakelijkheid, gerichtheid,
proportionaliteit en subsidiariteit. Indien dit niet het geval is, zullen de diensten
een nieuw toestemmingsverzoek indienen. Bij deze bijschrijving blijft de verplichting
die in artikel 27, eerste lid, Wiv 2017 is neergelegd onverkort van toepassing. Dat
betekent dat als van verworven gegevens wordt vastgesteld dat deze niet relevant zijn
voor het onderzoek of enig ander lopend onderzoek van de desbetreffende dienst, deze
gegevens terstond moeten worden vernietigd. Gegevens die na anderhalf jaar nog niet
beoordeeld zijn, moeten eveneens worden vernietigd.
Er is voor gekozen om de uitoefening van de bevoegdheid tot bijschrijving onder de
werking van de regeling inzake bindend toezicht door de afdeling toezicht van de CTIVD
te brengen. Aldus kan er op een rechtmatige uitoefening van deze bevoegdheid adequaat
worden toegezien.
3.5 Bijschrijfmogelijkheid artikel 54 Wiv 2017
Op basis van artikel 54 kunnen de diensten gegevens opvragen bij aanbieders van telecommunicatie-
en opslagdiensten. De binnen het cyberonderzoek meest voorkomende inzet van artikel 54
is het opvragen van disk-images van servers. Op basis van dit artikel is het ook mogelijk
andere vormen van in Nederland opgeslagen gegevens op te vragen.
Artikel 54 kent, anders dan de artikelen 45 en 47, geen mogelijkheid tot bijschrijven.
Als na ontvangst van de opgevraagde gegevens blijkt dat een cyberactor inmiddels gebruikmaakt
van een ander technisch kenmerk moet hiervoor opnieuw toestemming worden gevraagd
aan de Minister en dient de verleende toestemming te worden getoetst door de TIB.
Bovendien kan een cyberactor overstappen naar een nieuwe aanbieder, zoals een andere
hostingprovider. Ook in dit geval moet opnieuw toestemming worden gevraagd om het
target te kunnen volgen. Deze procedure staat de benodigde snelheid in het cyberdomein
in de weg. Als een nieuwe toestemming op basis van artikel 54 Wiv 2017 eenmaal is
verleend door Minister en goedgekeurd door de TIB, dan kan de cyberactor in de praktijk
alweer gewisseld zijn van aanbieder en/of kenmerk en verdwijnt deze uit beeld. De
diensten zien het ontbreken van de bijschrijfmogelijkheid bij artikel 54 als een hiaat
in de wet. Het ontbreken van de mogelijkheid tot bijschrijven van aanbieders en kenmerken
draagt bij aan het verminderen van het zicht op de dreiging waar dit wetsvoorstel
op ziet.
Met de in artikel 10 voorgestelde regeling wordt aldus mogelijk gemaakt dat een verleende
toestemming voor het opvragen van gegevens ook, voor de duur van de verleende toestemming,
de bevoegdheid omvat om aan de hand van een na de toestemmingsverlening van de desbetreffende
persoon of organisatie bekend geworden ander nummer of technisch kenmerk gegevens
op te vragen en dit een aanvulling is op of in de plaats treedt van een eerder nummer
of technisch kenmerk waarvan al toestemming is verkregen. Hierbij geldt eveneens dat
de inzet ten aanzien van een nieuw nummer of technisch kenmerk een gelijkwaardige
afweging ten aanzien van de noodzakelijkheid, proportionaliteit, subsidiariteit en
gerichtheid kent. Ook wordt geregeld dat de diensten zich voor het opvragen van gegevens
kunnen wenden tot een andere aanbieder, ingeval gebleken is dat deze in de plaats
van de oorspronkelijke aanbieder is getreden of naast de oorspronkelijke aanbieder
door de gebruiker wordt ingeschakeld.
Conform hetgeen ten aanzien van de bevoegdheid ex artikel 45 en 47 Wiv 2017 is overwogen
geldt bij deze bevoegdheid ook dat er ten behoeve van het kunnen bijschrijven niet
is vereist dat er sprake is van exclusief gebruik. Gedurende de toestemmingsperiode
kunnen nummers dan wel technische kenmerken worden bijgeschreven voor zover dat noodzakelijk
is voor het doel waarvoor de oorspronkelijke toestemming is gevraagd. Hiervoor geldt
onverkort dat er sprake moet zijn van een geldige interne toestemming voor bijschrijving
en er voldaan moet zijn aan een gelijkstrekkende motivering van de eisen van noodzakelijkheid,
gerichtheid, proportionaliteit en subsidiariteit als in de oorspronkelijke toestemmingaanvraag
is opgenomen. Indien dit niet het geval is, zullen de diensten een nieuw toestemmingsverzoek
indienen. Bij deze bijschrijving blijft de verplichting die in artikel 27, eerste
lid, Wiv 2017 is neergelegd onverkort van toepassing. Dat betekent dat als van verworven
gegevens wordt vastgesteld dat deze niet relevant zijn voor het onderzoek of enig
ander lopend onderzoek van de desbetreffende dienst, deze gegevens terstond moeten
worden vernietigd. Gegevens die na anderhalf jaar nog niet beoordeeld zijn, moeten
eveneens worden vernietigd.
In de praktijk zullen de bijgeschreven kenmerken worden opgenomen in een eventueel
verzoek tot verlenging van de bevoegdheidsuitoefening. Tot slot is ervoor gekozen
om de uitoefening van de bevoegdheid tot bijschrijving onder de werking van de regeling
inzake bindend toezicht door de afdeling toezicht te brengen. Aldus kan er op een
rechtmatig uitoefening van deze bevoegdheid effectief worden toegezien.
4. Toets en toezicht en de mogelijkheid van beroep op de Afdeling bestuursrechtspraak
van de Raad van State
4.1 Inleiding
In het onderzoek naar landen met een offensief cyberprogramma gericht tegen Nederland
of Nederlandse belangen zetten de diensten bijzondere bevoegdheden in die gepaard
kunnen gaan met diepgaand ingrijpen in de persoonlijke levenssfeer van burgers. Daarom
is de inzet van bevoegdheden door de diensten aan stevige waarborgen onderworpen.
In de Wiv 2017 is daaraan, met inachtneming van de eisen die onder meer voortvloeien
uit het Europees Verdrag voor de Rechten van de Mens (EVRM) en de jurisprudentie van
het Europees Hof voor de Rechten van de Mens (EHRM), uitwerking gegeven. Daarbij is,
met de geïntroduceerde TIB-toets, verder gegaan dan als minimumnorm op grond van het
EVRM en de jurisprudentie van het EHRM geldt.16 Dit waarborgenstelsel werkt als volgt.
Voorafgaand aan de inzet van een aantal bijzondere bevoegdheden is toestemming van
de verantwoordelijke Minister vereist. De TIB beoordeelt vervolgens de toestemming
die de Minister heeft gegeven op rechtmatigheid (niet op doelmatigheid). De TIB-toets
is een bindende ex ante toets voorafgaand aan de start of verlenging van de inzet
van een bijzondere bevoegdheid. De TIB toetst de toestemming van de Minister aan de
hand van vier criteria: noodzaak, proportionaliteit, subsidiariteit en gerichtheid.
Deze criteria hebben alle zelfstandige betekenis en dienen bij een verzoek om toestemming
afzonderlijk te worden onderbouwd. De criteria zijn in de Wiv 2017 als norm open geformuleerd.
Een toets op deze criteria gebeurt niet alleen bij de TIB, maar daaraan voorafgaand
allereerst door de Minister die de toestemming verleent en door de diensten zelf in
het kader van de voorbereiding van de aanvraag voor toestemming waarbij het resultaat
van die toets in de aanvraag wordt verantwoord. De betrokken Minister draagt steeds
volledige verantwoordelijkheid voor de inzet van deze bijzondere bevoegdheden en is
gehouden daarover parlementaire verantwoording af te leggen. De aard van de dreiging
bepaalt mede de noodzaak van de inzet en dit heeft uiteraard ook effect op de weging
van de proportionaliteit. Ingevolge artikel 26, vierde lid, van de Wiv 2017 dient
de uitoefening van een bevoegdheid evenredig te zijn aan het daarmee beoogde doel.
Dit brengt met zich mee dat naarmate de dreiging en de noodzaak om daartegen op te
treden groter is, sneller aan deze eis voldaan wordt.
De afdeling toezicht van de CTIVD houdt toezicht op een rechtmatige taakuitvoering
door beide diensten. Deze vorm van toezicht kan zowel plaatsvinden tijdens (ex durante)
als na de inzet (ex post). De afdeling toezicht van de CTIVD kan haar toezichthoudende
taak dus al uitvoeren op het moment dat uitvoering wordt gegeven aan een door de TIB
goedgekeurde toestemming voor de inzet van een bijzondere bevoegdheid. Naast de afdeling
toezicht van de CTIVD houden de diensten zelf ook intern toezicht op de naleving van
de wet- en regelgeving en de daaruit voortvloeiende zorgplicht. De diensten hebben
hiervoor een eigen intern compliance stelsel opgezet, waarbij compliance en data adviseurs
toezien op een rechtmatige taakuitvoering van de diensten. Op deze manier proberen
de diensten hun processen continu te verbeteren. Als er een compliance incident heeft
plaatsgevonden bij de diensten wordt dit door middel van een interne procedure gemeld
en vastgelegd in een register. De afdeling toezicht van de CTIVD wordt actief door
de diensten op de hoogte gesteld van de incidenten in de hoogste risico- en impactcategorieën.
Het voorliggende wetsvoorstel brengt ten opzichte van dit stelsel waar het gaat om
de uitvoering van de in artikel 2, eerste lid, van het wetsvoorstel bedoelde taak
van de diensten enkele veranderingen. De reikwijdte daarvan is beperkt tot de gevallen
waarop onderhavig wetsvoorstel betrekking heeft.
In de voorgestelde wettelijke regeling wordt erin voorzien dat de eis van een ex ante
rechtmatigheidstoets door de TIB voor bepaalde toestemmingen (bijvoorbeeld het kunnen
verkennen van geautomatiseerde werken) niet meer wordt gesteld. In die gevallen wordt
deze vervangen door bindend toezicht door de afdeling toezicht van de CTIVD, waarbij
– zoals ook eerder in deze memorie is uiteengezet – wordt aangesloten bij een vorm
van toezicht die beter past bij de aard en fase waarin de toepassing van de bevoegdheid
zich bevindt. Op deze wijze wordt een hoog niveau van waarborgen gehandhaafd. Artikel 12
van het wetsvoorstel voorziet in een regeling voor dit bindende toezicht.
Met de voorgestelde regeling inzake bindend toezicht wordt ten opzichte van het stelsel
van toets en toezicht zoals de Wiv 2017 thans kent voor de duur van en beperkt tot
de toepassing van de Tijdelijke wet, een nieuw toezichtselement geïntroduceerd. Daarmee
wordt de kwestie inzake de noodzaak van een vorm van rechterlijke toets, waarvoor
de ECW in haar rapport aandacht heeft gevraagd, reeds nu actueel. Naar het oordeel
van de regering moet dan ook – vooruitlopend op het wetstraject dat naar aanleiding
van het rapport van de ECW zal worden ingezet – reeds nu in een vorm van een rechterlijke
toets worden voorzien waar het gaat om de oordelen die in het kader van het bindend
toezicht door de afdeling toezicht van de CTIVD tot stand komen, maar evenzeer waar
het gaat om enkele oordelen van de TIB. Zoals de ECW terecht heeft aangegeven kent
het huidige stelsel van toets en toezicht een weeffout, waarbij de toezichthouders
niet alleen in het laatste woord in een concrete casus hebben, maar ook wat betreft
de uitleg van begrippen en criteria, en de wijze waarop zij hieraan toetsen. Deze
kwestie heeft, zoals de ECW aangeeft, in de afgelopen jaren verschillende malen tot
knelpunten geleid. Een deel van de knelpunten waarop de constatering van de ECW betrekking
heeft, betreft de inzet van met name de bijzondere bevoegdheden ex artikel 45 (hacken)
en 48 (OOG-interceptie) van de Wiv 2017 in de context van onderzoeken naar landen
met een offensief cyberprogramma. Dit is eerder in de memorie van toelichting van
context en inhoud voorzien. In deze context is het dan ook noodzakelijk om een voorziening
te treffen waarmee tot een gezaghebbende en eenduidige wetsuitleg kan worden gekomen,
waarin het door TIB en CTIVD gevoerde rechtseenheidsoverleg slechts ten dele in kan
voorzien omdat daarbij geen betrokkenheid van de Ministers is voorzien. Daarom voorziet
dit wetsvoorstel eveneens in een – relatief eenvoudig vormgegeven – beroepsprocedure
bij de Afdeling bestuursrechtspraak van de Raad van State (artikel 13). In aanvulling
hierop wordt tevens voorzien in een regeling voor een voorlopige voorziening (artikel 14).
Dit houdt verband met het feit dat een oordeel van de afdeling toezicht van de CTIVD
bindend is en in beginsel binnen drie dagen moet worden uitgevoerd. Met een voorlopige
voorziening kunnen onomkeerbare operationele gevolgen worden voorkomen in afwachting
van de uitspraak op het beroep.
Deze regeling heeft, evenals die betreffende het bindend toezicht van de afdeling
toezicht, een tijdelijk karakter en is beperkt tot de toepassing van hetgeen in dit
wetsvoorstel is bepaald. In het kader van het wetstraject naar aanleiding van het
rapport van de ECW en – eerder – de daaromtrent uit te brengen hoofdlijnennotitie
zal het stelsel van toets en toezicht dat in de Wiv 2017 is neergelegd meer fundamenteel
en in zijn geheel op zijn merites worden beoordeeld. Hierbij zullen onder meer ook
de door de Tweede Kamer aangenomen moties inzake het stelsel van toetsing en toezicht
worden betrokken, alsmede de aan het parlement toegezonden analyse van de jurisprudentie
van het Europese Hof voor de Rechten van de Mens en het rapport van de Algemene Rekenkamer
inzake de slagkracht van de AIVD en MIVD.
In het onderstaande zal eerst worden ingegaan op de voorgestelde bindende toezichtsbevoegdheid
van de afdeling toezicht en aansluitend de regeling van beroep bij de Afdeling bestuursrechtspraak
en tot slot de regeling omtrent de voorlopige voorziening
4.2 Bindend toezicht door de afdeling toezicht van de CTIVD
In artikel 2, tweede lid, van het wetsvoorstel is bepaald dat op de uitvoering van
de op de in artikel 2, eerste lid, geformuleerde taak de Wiv 2017 van toepassing is
met inachtneming van het bepaalde in deze wet. Hieruit vloeit dan ook voort dat de
in de Wiv 2017 geregelde taak van de afdeling toezicht om toe te zien op de rechtmatigheid
van de uitvoering van hetgeen bij of krachtens de Wiv 2017 is gesteld onverkort van
toepassing is op de uitvoering van de taak van de diensten om onderzoek te verrichten
naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen.
Het betreft hier overigens een bestaande taak van de diensten waarover het toezicht
van de afdeling toezicht zich nu reeds uitstrekt. In artikel 2, tweede lid, wordt
bepaald dat het bepaalde bij deze Tijdelijke wet in acht genomen dient te worden.
Dat betekent concreet dat bij de taak van de afdeling toezicht om toe te zien op de
uitvoering van de hier bedoelde onderzoekstaak van de diensten, de in artikel 12 opgenomen
regeling inzake bindend toezicht – aanvullend – van toepassing is.
Artikel 12 van het wetsvoorstel biedt de grondslag voor de bindende toezichtsbevoegdheid
van de afdeling toezicht en geeft met betrekking tot de uitvoering daarvan enkele
procedurele voorschriften. Met die voorschriften wordt beoogd een zorgvuldige toepassing
van de toezichtsbevoegdheid te realiseren. De voorgestelde regeling valt uiteen in
de volgende onderdelen:
a. een limitatieve opsomming van de bepalingen van het wetsvoorstel waarop de regeling
inzake bindend toezicht kan worden toegepast;
b. bij constatering van een onrechtmatigheid kan de afdeling toezicht dit vervolgens
als een voorlopig oordeel mededelen aan de verantwoordelijke Minister;
c. bij dat voorlopige oordeel kan de afdeling toezicht aangegeven of en, zo ja, welke
gevolgen aan dat oordeel worden verbonden;
d. de gevolgen zijn beperkt tot twee – limitatieve – opties: beëindiging van de desbetreffende
bevoegdheid en/of de verwijdering en vernietiging van de bij de uitvoering daarvan
verwerkte gegevens;
e. een wettelijk vastgelegde termijn waarbij de Minister op het voorlopig oordeel en
de daaraan verbonden gevolgen kan reageren;
f. de vaststelling van het oordeel en de daaraan te verbinden gevolgen door de afdeling
toezicht nadat de reactie van de Minister is ontvangen of indien deze binnen de gestelde
termijn is uitgebleven. Dit oordeel is vervolgens bindend;
g. indien de Minister het oordeel en de daaraan verbonden gevolgen onderschrijft, dient
de Minister daar binnen drie dagen uitvoering aan te geven, tenzij beroep wordt ingesteld
waarbij tevens een verzoek om een voorlopige voorziening wordt gedaan;
h. de plicht om de beide kamers der Staten-Generaal te informeren over het oordeel van
de afdeling toezicht, waarbij de regeling inzake vertrouwelijkheid onverkort van toepassing
is.
4.3 Beroep op de Afdeling bestuursrechtspraak
Zoals hiervoor toegelicht voorziet dit wetsvoorstel in een bindende toezichtsbevoegdheid
voor de afdeling toezicht van de CTIVD. De ex ante toets van de TIB heeft reeds een
bindend karakter. In het kader van deze ex ante toets zijn de afgelopen jaren meermaals
soms fundamentele verschillen van inzicht ontstaan over de uitleg en reikwijdte van
wettelijke begrippen maar ook over de wijze waarop de vereisten van noodzaak, proportionaliteit,
subsidiariteit en gerichtheid in de aanvragen moeten worden beschreven. In het huidige
stelsel heeft de TIB hierin het laatste woord. De ECW constateerde in dit verband
dat het stelsel van de wet hiermee een weeffout17 bevat die de komende jaren wellicht opnieuw tot problemen zal leiden, mede gelet
op de snelle technologische ontwikkelingen. Immers, ook de verduidelijkingen van begrippen
en verhelderingen van procedures zullen weer nieuwe vragen van afbakening kunnen oproepen.
De ECW concludeert daarom dat het niet alleen praktisch onwenselijk is, maar ook principieel
niet passend dat een toezichthouder het laatste woord heeft over de uitleg van wettelijke
begrippen, de invulling van de toetsingsnormen en de intensiteit van de toetsing.
Dat is volgens de ECW bij uitstek een rechterlijke taak, waarbij de toezichthouder,
gegeven de rechterlijke overwegingen, gaat over de toepassing in concrete gevallen.
De ECW heeft dan ook aanbevolen dat het stelsel van toezicht wordt aangevuld met een
rol voor de rechter, die de grenzen van het speelveld bepaalt waarbinnen het toezicht
op de bevoegdheidsuitoefening door de diensten plaatsvindt. De ECW verwijst hierbij
naar het bestuursrecht waarbij eveneens geschillen tussen toezichthouders en onder
toezicht gestelden aan de orde zijn, maar waarbij de bestuursrechter wel de bevoegdheid
heeft deze geschillen finaal te beslechten. Ten aanzien van de oordelen van de TIB
ontbreekt deze mogelijkheid (of een vergelijkbare procedure) volledig. Dit klemt te
meer nu ook de afdeling toezicht van de CTIVD met dit wetsvoorstel een bindende oordeelsbevoegdheid
krijgt. Gelet op de in het geding zijnde belangen en omstandigheden (snel duidelijkheid,
zo min mogelijk bekendheid van staatsgeheime informatie) heeft de ECW aanbevolen de
Afdeling bestuursrechtspraak van de Raad van State in eerste en enige instantie te
belasten met de geschillenbeslechting zoals hiervoor bedoeld. De bestuursrechter is
bij uitstek geschikt om de rechtmatigheid van overheidshandelen te beoordelen: aan
de hand van de beginselen van behoorlijk bestuur en met inachtneming van de bijzondere
positie van de democratisch gelegitimeerde overheid. Een rol voor de rechter zou het
stelsel ook meer in balans brengen, omdat het probleem wordt neergelegd waar het rechtsstatelijk
gezien het beste thuishoort, namelijk de rechter, aldus de ECW.
Gelet op de specifieke aard van de geschillen en de (operationele) noodzaak om zo
snel mogelijk tot een finale uitspraak te komen, is het niet wenselijk de daarvoor
de in het bestuursrecht gebruikelijke rechtsgang in meerdere instanties open te stellen.
De rechter die in eerste en enige instantie oordeelt heeft in dit geval de voorkeur.
Tegen deze achtergrond wordt voorgesteld de Afdeling bestuursrechtspraak van de Raad
van State te belasten met de berechting van geschillen tussen de verantwoordelijke
Minister en de afdeling toezicht van de CTIVD of de TIB over de rechtmatigheid van
de oordelen van de afdeling toezicht van de CTIVD of de TIB op grond van de Tijdelijke
wet (artikel 13). De keuze voor de Afdeling bestuursrechtspraak is in de eerste plaats
ingegeven door de volledige onafhankelijkheid van de Afdeling als rechterlijk orgaan
dat duurzaam met rechtspraak is belast. Daarnaast heeft de Afdeling bestuursrechtspraak
als hoogste algemene bestuursrechter veel ervaring met de beslechting van geschillen
waarin overheidshandelen centraal staat, ook in het licht van constitutionele en mensenrechtelijke
vraagstukken. Daarnaast is het van belang dat de Afdeling bestuursrechtspraak met
gezag kan opereren. De keuze voor de Afdeling bestuursrechtspraak doet ook recht aan
het grote maatschappelijke belang dat over de rechtmatigheid van het optreden van
de AIVD en de MIVD (relatief) snel een definitief rechterlijk oordeel wordt gegeven.
Bovendien heeft de Afdeling bestuursrechtspraak reeds ervaring met AIVD- en MIVD-gerelateerde
zaken en de omgang met staatsgeheime informatie die daaraan inherent verbonden is.
In aanvulling op de beroepsregeling wordt in artikel 14 ook een regeling voorgesteld
waarmee een voorlopige voorziening kan worden getroffen voor spoedeisende gevallen
die verband houden met een bindend oordeel van de afdeling toezicht en de daaraan
door de afdeling toezicht van de CTIVD verbonden gevolgen.
Benadrukt moet worden dat de thans voorgestelde regeling inzake beroep en de voorlopige
voorziening een regeling sui generis is. Hoewel veel elementen zijn ontleend aan de Algemene wet bestuursrecht (Awb),
is de regeling nadrukkelijk geen bijzonder bestuursprocesrecht en de bepalingen uit
de Awb zijn dan ook niet van toepassing op de beroepsregeling. Dit houdt verband met
het feit dat de Awb niet geldt voor de besluitvormingsprocedure voor de toepassing
van bijzondere bevoegdheden door de diensten.18 Deze procedure heeft een geheim karakter teneinde de effectiviteit van de toepassing
van een bevoegdheid te behouden. Indien een dergelijke beslissing (volledig) overeenkomstig
de regeling van de Awb zou moeten worden voorbereid en bekendgemaakt, zou dat niet
alleen afbreuk doen aan de effectiviteit van de toepassing van de betreffende bevoegdheid
maar ook aan een efficiënte taakuitvoering door de diensten. De oordelen die ten grondslag
liggen aan de beroepsprocedure zijn dan ook geen besluiten in de zin van de Awb. Ook
zijn de TIB en de CTIVD geen bestuursorganen19 aangezien zij een controlerende respectievelijk toezichthoudende taak hebben die
zich onderscheidt van de bestuurlijke werkzaamheden waarop de Awb ziet. Dit laat onverlet
dat de beroepsprocedure wel belangrijke raakvlakken vertoont met de bestuursrechtelijke
procedures uit de Awb. Daarom wordt zo veel mogelijk aangesloten bij reeds bestaande
procedures en terminologie.
Om tot uitdrukking te brengen dat de (nieuwe) taak van de Afdeling bestuursrechtspraak
op grond van dit wetsvoorstel nadrukkelijk onderscheiden moet worden van de rechtsprekende
taak die de Afdeling in bestuursrechtelijke zaken heeft, voorziet artikel 13, eerste
lid, in een grondslag voor deze taak. Het betreft geen rechtspraak in bestuursrechtelijke
geschillen, maar uitsluitend in geschillen op grond van de Tijdelijke wet. Hiermee
valt deze vorm van geschillenbeslechting onder de wettelijke taak van de Afdeling
bestuursrechtspraak zoals geformuleerd in artikel 30b van de Wet op de Raad van State,
te weten de berechting van de bij de wet aan haar opgedragen geschillen.
De beroepsprocedure
Artikel 13 bevat een regeling voor het instellen van beroep bij de Afdeling Bestuursrechtspraak
van de Raad van State en bevat de volgende, voornamelijk procedurele, voorschriften.
a. een limitatieve opsomming van de oordelen van de TIB en de CTIVD waartegen de verantwoordelijke
Minister beroep kan instellen;
b. een bepaling waaruit blijkt dat het instellen van beroep geen schorsende werking heeft;
c. een termijn van twee weken voor het indienen van een beroepschrift door de Minister
vanaf het moment dat de TIB of de CTIVD het oordeel schriftelijk aan de verantwoordelijke
Minister heeft medegedeeld;
d. bij indiening van het beroepschrift worden alle relevante gegevens vertrouwelijk aan
de Afdeling bestuursrechtspraak verstrekt. Ook wordt een afschrift van de stukken
aan de TIB of de CTIVD gestuurd;
e. behoudens gevallen waarin de Afdeling bestuursrechtspraak kennelijk onbevoegd is,
het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond of kennelijk gegrond is,
kan de TIB of de CTIVD binnen twee weken na indiening van het beroepschrift een verweerschrift
indienen;
f. bij indiening van het verweerschrift kunnen aanvullende gegevens (d.w.z. gegevens
die niet reeds zijn verstrekt bij indiening van het verweerschrift) vertrouwelijk
worden verstrekt aan de Afdeling bestuursrechtspraak. De TIB of de CTIVD stuurt een
afschrift van deze stukken aan de betreffende Minister;
g. de Afdeling bestuursrechtspraak kan zowel de Minister als de TIB of CTIVD verzoeken
om binnen een door de Afdeling te bepalen termijn aanvullende gegevens te verstrekken.
Degene die deze aanvullende gegevens verstrekt, verstrekt ook hiervan een afschrift
aan de wederpartij;
h. de Afdeling bestuursrechtspraak nodigt de partijen zo spoedig mogelijk uit voor een
(inhoudelijke) zitting, tenzij de Afdeling bestuursrechtspraak van oordeel is dat
zij kennelijk onbevoegd is, of het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond
of kennelijk gegrond is. De uitnodiging wordt uiterlijk 24 uur voor de zitting verstuurd;
i. de Afdeling bestuursrechtspraak kan deskundigen benoemen en een deskundig lid in de
meervoudige kamer benoemen;
j. de behandeling van de zaak vindt plaats met gesloten deuren;
k. de Afdeling bestuursrechtspraak kan een tussenuitspraak doen;
l. de Afdeling bestuursrechtspraak doet zo spoedig mogelijk uitspraak;
m. de uitspraak wordt gemotiveerd en kan strekken tot gehele of gedeeltelijke onbevoegdverklaring,
niet-ontvankelijkverklaring, ongegrondverklaring of gegrondverklaring van het beroep;
n. indien de uitspraak strekt tot gehele of gedeeltelijke gegrondverklaring van het beroep
kan de Afdeling bepalen dat de rechtsgevolgen van het vernietigde oordeel in stand
blijven of de zaak zelf in de zaak voorzien en daarbij ook een voorlopige voorziening
treffen. Ook kan de Afdeling de TIB of CTIVD opdragen een nieuw oordeel uit te brengen
of een andere handeling te verrichten;
o. de uitspraak van de Afdeling bestuursrechtspraak wordt openbaar gemaakt met uitzondering
van staatsgeheime informatie en wordt (integraal) in afschrift toegezonden aan de
verantwoordelijke Minister en de afdeling toezicht en de toetsingscommissie;
p. een verplichting tot geheimhouding voor alle betrokkenen.
De beroepsprocedure vangt aan met het indienen van een beroepschrift. Omdat er in
de regel sprake zal zijn van een lopend inlichtingenonderzoek en de (voorgenomen)
uitoefening van de bevoegdheid van groot operationeel belang is, zijn de termijnen
voor het indienen van een beroepschrift en een verweerschrift relatief kort (twee
weken). Op deze termijnen is de Algemene termijnenwet van toepassing zodat de termijnen
automatisch met één of twee werkdagen verlengd worden indien de termijn in het weekend
of op een algemeen erkende feestdag eindigt. De korte termijnen zijn ook om een andere
reden noodzakelijk, namelijk vanwege het feit dat het beroep geen schorsende werking
heeft (artikel 13, tweede lid). Wanneer de rechtmatigheid van de uitoefening van een
bevoegdheid ter discussie staat, is het van belang op de kortst mogelijke termijn
duidelijkheid te verkrijgen over de rechtmatigheid. Zoals hiervoor reeds uiteen is
gezet, kan een oordeel van de afdeling toezicht van de CTIVD nadelige gevolgen hebben
voor een inlichtingenonderzoek, in het bijzonder wanneer de uitoefening van een bevoegdheid
ingevolge artikel 12, eerste lid, juncto tweede lid, onder a, naar het oordeel van
de afdeling toezicht van de CTIVD beëindigd dient te worden. Hoewel beroep mogelijk
is tegen een dergelijk oordeel, is het onvermijdelijk dat er enige tijd zit tussen
het vastgestelde oordeel van de afdeling toezicht van de CTIVD en de uitspraak in
beroep. In die tussenliggende periode wordt informatie gemist en kan het zicht op
een target verloren gaan. Om dit te voorkomen wordt in artikel 14 een regeling voorgesteld
waarmee een voorlopige voorziening kan worden getroffen die ook kan strekken tot het
verlenen van schorsende werking aan het oordeel, de daaraan door de afdeling toezicht
van de CTIVD verbonden gevolgen of beide. Deze procedure wordt verderop in deze paragraaf
toegelicht.
In de praktijk zal sprake zijn van een geschil tussen de afdeling toezicht van de
CTIVD of de TIB enerzijds en de verantwoordelijke Minister anderzijds over de vraag
of de verleende toestemming dan wel de uitvoering van een bevoegdheid in overeenstemming
is met het gestelde bij of krachtens de Wiv 2017, het bepaalde in dit wetsvoorstel
en de toepasselijke internationaal- en Europeesrechtelijke normen. Het beroepschrift
zal derhalve gronden bevatten ter onderbouwing van het standpunt van de Minister inzake
een verleende toestemming (bij een oordeel van de TIB) dan wel inzake de uitvoering
van de in artikel 12, eerste lid, genoemde bevoegdheden (bij een oordeel van de afdeling
toezicht van de CTIVD). De verantwoordelijke Minister verstrekt onverwijld een afschrift
van het beroepschrift en de bijbehorende stukken aan de CTIVD of de TIB. Op deze manier
kunnen de CTIVD en de TIB direct beschikken over de stukken die zij nodig hebben voor
het opstellen van het verweerschrift.
Indien de Afdeling na ontvangst van het beroepschrift niet tot het oordeel komt dat
zij kennelijk onbevoegd is of het beroep kennelijk niet-ontvankelijk, kennelijk ongegrond
of kennelijk gegrond is, zal zij de TIB of de CTIVD in de gelegenheid stellen een
verweerschrift in te dienen. Omdat de TIB of de CTIVD al beschikt over het beroepschrift
en de bijbehorende stukken, zal dit in de praktijk neerkomen op een verzoek van de
Afdeling om het verweerschrift binnen de wettelijke termijn in te dienen. Omdat de
meest relevante stukken al bijgevoegd zullen zijn bij het beroepschrift, worden bij
het verweerschrift alleen nog die stukken gevoegd die niet eerder zijn verstrekt.
Dit voorkomt dubbele dossiervorming.
Het toetsingskader voor de Afdeling wordt gevormd door het bepaalde bij of krachtens
de Wiv 2017, het onderhavige wetsvoorstel en de toepasselijke internationaal- en Europeesrechtelijke
normen. Het zwaartepunt van de beoordeling zal naar verwachting liggen bij een oordeel
over de juiste toepassing van de vier algemene toetsingsmaatstaven voor de toepassing
van bevoegdheden door de diensten, te weten: noodzaak, proportionaliteit, subsidiariteit
en gerichtheid en de daarbij behorende belangenafweging. Politiek-bestuurlijke of
doelmatigheidsoverwegingen spelen hierbij geen rol.
Het staat de Afdeling bestuursrechtspraak vrij om te bepalen op welke wijze en met
welke intensiteit zal worden getoetst. Het aan haar voorgelegde geschil, met name
het feitencomplex en de gerezen rechtsvragen, zijn daarbij richtinggevend. Wel is
de mate waarin de wetgever marges heeft gelaten in dit kader van belang. In de Wiv
2017 kunnen de marges per bevoegdheid verschillen waardoor de toetsingsintensiteit
ook voor de TIB en de afdeling toezicht van de CTIVD kan verschillen. Dit betekent
logischerwijs ook dat de marges voor de bij de Afdeling bestuursrechtspraak ter toetsing
voorliggende oordelen kunnen verschillen. Voor zover er complexe technische aspecten
aan de orde zijn kan de Afdeling op grond van artikel 13, tiende lid, altijd deskundigen
inschakelen ten behoeve van de oordeelsvorming.
Ten behoeve van de beoordeling dient de Afdeling te beschikken over alle relevante
stukken die betrekking hebben op het geschil. Hieronder valt in elk geval het verzoek
om toestemming, het (gemotiveerde) oordeel van de TIB of de afdeling toezicht van
de CTIVD, alsmede eventuele onderliggende stukken. Vanwege de korte termijnen is het
van belang dat de Afdeling direct over alle relevante stukken beschikt, zodat zij
op de kortst mogelijke termijn tot een uitspraak kan komen. Ook is voorzien in een
bepaling waarmee zowel de Minister als de afdeling toezicht en de TIB verplicht zijn
op een daartoe strekkend verzoek van de Afdeling bestuursrechtspraak alle door de
Afdeling relevante geachte inlichtingen mondeling dan wel schriftelijk, te verstrekken,
ook buiten de zitting (artikel 13, zevende lid). Vanwege het staatsgeheime karakter
van de stukken, worden de stukken en inlichtingen uitsluitend vertrouwelijk aan de
Afdeling ter beschikking gesteld. Hierover zullen nadere (praktische) afspraken worden
gemaakt. Ook hier zorgt de partij die de inlichtingen verstrekt aan de Afdeling voor
verzending in afschrift aan de wederpartij.
De Afdeling bestuursrechtspraak kan tot vier uitspraken komen. Ten eerste de onbevoegdverklaring
van de Afdeling. Vervolgens de niet-ontvankelijkverklaring van het beroep. Hierbij
valt te denken aan een te laat ingediend beroepschrift of het ontbreken van procesbelang.
Tevens kan het beroep ongegrond verklaard worden. Het oordeel van de TIB of de afdeling
toezicht van de CTIVD blijft in dat geval in stand en de verantwoordelijke Minister
dient alsdan uitvoering te geven aan een oordeel van de afdeling toezicht van de CTIVD
als bedoeld in artikel 12, vierde lid. Dit is anders wanneer het beroep gegrond wordt
verklaard. In dat geval moet de vraag worden beantwoord welke rechtsgevolgen zijn
verbonden aan de uitspraak. Dit wordt geregeld in de leden 14 tot en met 18. Deze
leden zijn ontleend aan artikel 8:72 Awb en regelen de gevolgen die kunnen worden
verbonden aan een gegrondverklaring van het beroep. Hieronder wordt ook de gedeeltelijke
gegrondverklaring van het beroep verstaan.
Het gevolg van een gegrondverklaring is in de eerste plaats een gehele of gedeeltelijke
vernietiging van het oordeel. Bij een (gehele of gedeeltelijke) gegrondverklaring
van het beroep, wordt het bestreden oordeel (geheel of gedeeltelijk) vernietigd. De
vernietiging werkt terug en het oordeel wordt juridisch geacht nooit te hebben bestaan.
De Afdeling heeft daarnaast diverse bevoegdheden om haar oordeel in rechte te effectueren.
De Afdeling kan namelijk (i) bepalen dat de rechtsgevolgen van het vernietigde oordeel
(gedeeltelijk) in stand blijven, (ii) zelf in de zaak voorzien, (iii) de TIB of CTIVD
opdragen een nieuw oordeel uit te brengen of een andere handeling te verrichten, en
(iv) een voorlopige voorziening treffen. Met deze bevoegdheden kan de Afdeling het
gegrond verklaarde beroep zoveel mogelijk snel en definitief beslechten.
De Afdeling kan bezien of de rechtsgevolgen van het vernietigde oordeel in stand kunnen
blijven. In veel gevallen zullen deze rechtsgevolgen echter juist de aanleiding zijn
voor het beroep. Een voor de Minister negatief oordeel van de TIB of de CTIVD betekent
immers dat de uitoefening van een bevoegdheid niet kan worden gestart of voortgezet,
dan wel dat de uitoefening van een bevoegdheid moet worden beëindigd of gegevens moeten
worden vernietigd. Indien de rechtsgevolgen niet geheel of gedeeltelijk in stand kunnen
blijven, zal de Afdeling bezien of zij zelf in de zaak kan voorzien. De uitspraak
van de Afdeling treedt dan in de plaats van het (gedeeltelijk) vernietigde oordeel.
Dit kan zowel ambtshalve als op verzoek. Met deze bevoegdheid kan het geschil finaal
worden beslecht, maar de Afdeling is hiertoe geenszins verplicht. Diverse factoren
kunnen een rol spelen bij de keuze om al dan niet zelf in de zaak te voorzien, zoals
de duur van de procedure, de urgentie van de te treffen voorziening, een uitdrukkelijk
verzoek van partijen, de belangen van derden of de waarschijnlijkheid dat een nader
onderzoek geen ander licht op de zaak zou kunnen werpen.
Indien een onrechtmatigheidsoordeel van de TIB onderwerp is van het beroep, doet zich
de bijzonderheid voor dat de aanvankelijk door de Minister verleende toestemming van
rechtswege is vervallen (artikel 36, derde lid, Wiv 2017). De Afdeling kan zelf in
de zaak voorzien door een uitspraak te doen die in de plaats komt van het rechtsmatigheidsoordeel
van de TIB en voor deze specifieke situatie bepaalt het achttiende lid van artikel 13
dat de toestemming van de verantwoordelijke Minister in dit geval met terugwerkende
kracht herleeft. De diensten kunnen de toepassing van de desbetreffende bevoegdheid
in dat geval starten of voortzetten.
De Afdeling kan ook een voorlopige voorziening treffen of de TIB of de CTIVD opdragen
een nieuw oordeel uit te brengen of een andere handeling te verrichten, al dan niet
met inachtneming van haar aanwijzingen. Deze bevoegdheid is logischerwijs beperkt
tot de omvang van het geschil en geschiedt in beginsel ex nunc.
In de regeling is voorzien in de mogelijkheid voor de Afdeling om deskundigen te benoemen.
De aard van het inlichtingenwerk is immers zeer specialistisch en een oordeel over
de toepassing van bijzondere bevoegdheden kan bijvoorbeeld de nodige technische kennis
vereisen. Indien de deskundige de benoeming aanvaardt, dan geldt verplichting van
onafhankelijkheid en onpartijdigheid. De verplichting van onpartijdigheid houdt in
dat de deskundige zijn taak zonder vooringenomenheid moet vervullen.
De behandeling van de zaak geschiedt met gesloten deuren. Het gaat immers om de uitvoering
van bevoegdheden door de diensten waarmee per definitie inzicht ontstaat in het actuele
kennisniveau van de betreffende dienst, de personen en organisaties die in onderzoek
zijn en door de diensten aangewende geheime bronnen (artikel 12, derde lid, Wiv 2017).
Het behoeft geen betoog dat een openbare behandeling zich niet verdraagt met deze
belangen.
Dit roept de vraag op hoe de thans voorgestelde beroepsregeling en de rol van de Afdeling
bestuursrechtspraak hierin zich verhoudt tot artikel 121 van de Grondwet. Vooropgesteld
wordt dat de Afdeling bestuursrechtspraak gelet op artikel 1:4 Awb juncto 30b van
de Wet op de Raad van State een onafhankelijk rechterlijk orgaan is dat duurzaam met
rechtspraak is belast. Daarom moet worden aangenomen dat artikel 121 Grondwet, inclusief
de daarin voorziene uitzonderingsmogelijkheden, in algemene zin ook van toepassing
is op de Afdeling bestuursrechtspraak, alhoewel zij geen onderdeel uitmaakt van de
rechterlijke macht in de zin van de Grondwet. De nieuwe taak van de Afdeling bestuursrechtspraak
op grond van dit wetsvoorstel wijkt echter dusdanig af van reguliere (bestuurs)rechtspraak
dat artikel 121 Grondwet daarop niet van toepassing is. Dit heeft in de eerste plaats
te maken met de partijen in het geding, namelijk twee overheidsorganen (de Minister
enerzijds en de TIB of de CTIVD anderzijds). Bovendien hebben burgers, anders dan
in het reguliere bestuursrecht, geen rol in de procedure. Daarnaast is ook de aard
van het geschil anders. Het betreft een geschil over de toepassing van bevoegdheden
door de AIVD en de MIVD in het kader van de bescherming van de nationale veiligheid
waarbij alle informatie staatsgeheim is.
Het feit dat in dit geval geen sprake is van reguliere bestuursrechtspraak betekent
echter niet dat de Afdeling bestuursrechtspraak geen nieuwe rol toebedeeld kan krijgen.
Op grond van het tweede lid van artikel 75 van de Grondwet kunnen bij wet aan de Raad
van State of aan een afdeling van de Raad ook andere taken worden opgedragen. Met
dit wetsvoorstel wordt een dergelijke andere taak opgedragen aan de Afdeling bestuursrechtspraak
die niet bestaat uit rechtspreken in «klassieke» bestuursrechtelijke geschillen, maar
die een andere vorm van geschilbeslechting betreft. Deze taak sluit weliswaar in zekere
zin aan bij de normale rechterlijke taak van de Afdeling maar wijkt daarvan, zoals
hiervoor reeds is toegelicht, ook af. In het verlengde hiervan kan de eis van openbaarheid
van de zittingen en de beslissingen vanwege het staatsgeheime karakter van de procedure,
ook niet worden gesteld. Op deze punten bevat de voorgestelde procedure dan ook een
bepaling die voorziet in de noodzakelijke geheimhouding. Dit laat echter onverlet
dat er een zwaarwegend maatschappelijk belang is om daar waar mogelijk zo veel mogelijk
transparantie te betrachten over de rechtmatigheid van het optreden van de AIVD en
de MIVD, juist ook wanneer het optreden van de diensten onderwerp is van een rechterlijke
uitspraak. Vanwege het staatsgeheime karakter van zaak die in beroep wordt behandeld,
is (integrale) openbaarmaking van de uitspraak problematisch. Artikel 13, eenentwintigste
lid, voorziet daarom in openbaarmaking van de uitspraak met dien verstande dat de
gegevens zoals bedoeld in artikel 12, derde lid, Wiv 2017 achterwege dienen te blijven.
Op deze manier kan de uitspraak beperkt openbaar gemaakt worden met inachtneming van
de noodzakelijke geheimhouding in het belang van de nationale veiligheid.
Het dertiende lid van artikel 13 geeft de Afdeling de bevoegdheid om een tussenuitspraak
te doen en daarbij een voorlopige voorziening te treffen. Deze voorziening is nodig
wanneer de Afdeling zich genoodzaakt ziet prejudiciële vragen te stellen aan het Hof
van Justitie van de Europese Unie in Luxemburg of een adviesverzoek aan het Europees
Hof voor de Rechten van de Mens in Straatsburg te richten. In de tussenuitspraak (verwijzingsuitspraak)
worden de vragen aan het Hof van Justitie van de Europese Unie (dan wel het adviesverzoek
aan het Europees Hof voor de Rechten van de Mens) geformuleerd. Omdat een prejudiciële
procedure dan wel de adviesaanvraag-procedure doorgaans geruime tijd in beslag nemen
en er in de praktijk behoefte is aan een (op z'n minst voorlopig) rechterlijke oordeel,
kan de Afdeling door middel van een voorlopige voorziening een tijdelijke oplossing
bieden voor de voorliggende operationele casuïstiek. De voorlopige voorziening wordt
dan getroffen in afwachting van het finale oordeel van de Afdeling op het beroep.
Voorts is bepaald dat eenieder die betrokken is bij de behandeling van het beroep
verplicht is tot geheimhouding. Deze bepaling hangt samen met de geheimhoudingsplicht
uit de Wiv 2017 (artikelen 135 en 136) en beoogt een effectieve taakuitvoering van
de diensten te bevorderen. Dat kan alleen indien de activiteiten die de diensten verrichten
geheim zijn en blijven. De hier bedoelde geheimhouding gaat dan ook verder dan de
bij rechtszaken gebruikelijke geheimhouding. In die zaken is er altijd een zekere
mate van openbaarheid, bijvoorbeeld op de zitting waar ook stukken uit het dossier
worden voorgehouden en besproken. Het gaat hier echter om staatsgeheime informatie
die op geen enkele wijze openbaar mag worden en waarbij schending van de geheimhouding
grote gevolgen kan hebben en een ernstig strafbaar feit oplevert.
Voorlopige voorziening
Artikel 14 bevat een regeling waarmee een voorlopige voorziening kan worden getroffen
naar aanleiding van een vastgesteld oordeel van de afdeling toezicht van de CTIVD
als bedoeld in artikel 13, eerste lid, onder a. Het wetsvoorstel laat de inhoud van
de voorziening vrij, wel geldt de eis dat ze voorlopig is, in die zin dat de bodemrechter
zich er niet door gebonden mag weten. Naar verwachting zal vooral gebruikt worden
gemaakt van deze procedure teneinde schorsende werking te verlenen aan het oordeel
van de afdeling toezicht, de daaraan door de afdeling toezicht van de CTIVD verbonden
gevolgen of beide, zodat onomkeerbare operationele gevolgen voor de diensten voorkomen
kunnen worden. Om deze reden bepaalt het derde lid van artikel 14 dat het verzoek
om een voorlopige voorziening de werking van een oordeel van de afdeling toezicht
van de CTIVD opschort vanaf het moment dat de afdeling toezicht het oordeel heeft
vastgesteld totdat de voorzitter van de kamer die over het beroepschrift oordeelt
(die in deze regeling optreedt als voorzieningenrechter; hierna: de voorzitter) uitspraak
heeft gedaan. Op deze manier wordt voorkomen dat onduidelijkheid ontstaat over de
rechtmatigheid van de verwerkte gegevens in het kader van de bevoegdheid die onderwerp
van het beroep is.
De procedure voor de voorlopige voorziening is vergelijkbaar met de beroepsprocedure
met dien verstande dat de termijnen aanzienlijk korter zijn. De procedure verloopt
als volgt:
a. de voorzitter van de kamer die over het beroepschrift oordeelt fungeert in deze procedure
als voorzieningenrechter en kan op verzoek van de verantwoordelijke Minister een voorlopige
voorziening treffen indien beroep is of wordt ingesteld tegen een bindend oordeel
van de afdeling toezicht van de CTIVD en onverwijlde spoed dit noodzakelijk maakt;
b. de termijn voor het instellen van beroep is langer (twee weken, artikel 13, derde
lid) dan de termijn voor het verzoek om een voorlopige voorziening. Om te voorkomen
dat gegevens verloren gaan in de tussenliggende periode kan het verzoek om een voorlopige
voorziening ook gedaan worden voorafgaand aan het instellen van beroep;
c. de termijn voor het verzoek om een voorlopige voorziening is drie dagen en vangt aan
op de dag nadat de afdeling toezicht van de CTIVD het vastgestelde oordeel schriftelijk
aan de verantwoordelijke Minister heeft medegedeeld:
d. het verzoek om een voorlopige voorziening heeft schorsende werking en werkt terug
tot het moment dat de afdeling toezicht het oordeel en de daaraan te verbinden gevolgen
vaststelt;
e. de bepalingen uit de beroepsprocedure ex artikel 13 zijn van overeenkomstige toepassing
voor zover het gaat om de vertrouwelijke verstrekking van onderliggende en aanvullende
stukken (artikel 13, vierde, vijfde, zesde en zevende lid), de mogelijkheid om een
verweerschrift in te dienen waarbij de termijn geen twee weken maar drie dagen is
(artikel 13, vijfde lid), de inhoudelijke zitting behoudens gevallen van kennelijke
onbevoegdheid van de voorzitter, kennelijke niet-ontvankelijkheid van het verzoek
of een kennelijk ongegrond of kennelijk gegrond verzoek (artikel 13, achtste en negende
lid), de mogelijkheid om een deskundige te benoemen (artikel 13, tiende lid) de bepalingen
omtrent geheimhouding (artikel 13, elfde en eenentwintigste lid), de mogelijkheden
voor de uitspraak en de gevolgen daarvan (artikel 13, vijftiende tot en met negentiende
lid) en de verstrekking van een afschrift van de uitspraak (artikel 13, twintigste
lid);
f. de voorzitter doet zo spoedig mogelijk gemotiveerd uitspraak en stelt het moment vast
waarop de voorlopige voorziening vervalt:
g. de uitspraak kan luiden: de onbevoegdverklaring van de voorzitter, niet-ontvankelijkverklaring
van het verzoek, afwijzing van het verzoek of gehele of gedeeltelijke toewijzing van
het verzoek;
h. de mogelijkheid om direct uitspraak te doen op het beroep indien nader onderzoek niet
noodzakelijk is indien de verantwoordelijke Minister en de afdeling toezicht hiermee
instemmen.
De verantwoordelijke Minister kan een verzoek om een voorlopige voorziening indienen
bij de voorzitter indien onverwijlde spoed, gelet op de betrokken belangen, dat vereist.
Wanneer sprake is van onverwijlde spoed zal per geval worden beoordeeld, maar daarvan
zal in de regel al snel sprake zijn bij een oordeel en daaraan verbonden gevolgen
door de afdeling toezicht, aangezien het bestreden oordeel en de daaraan verbonden
gevolgen per definitie leidt tot onomkeerbare gevolgen, namelijk de uitoefening van
een bevoegdheid moet worden beëindigd of bepaalde gegevens moeten worden verwijderd
en vernietigd. Hiermee wordt immers informatie gemist, het zicht op een target kan
verloren gaan en het verwijderen en vernietigen van gegevens kan niet meer ongedaan
worden gemaakt.
De voorlopige voorziening kan ook tegelijkertijd met het instellen van het beroep
worden aangevraagd waarbij tevens de mogelijk bestaat voor «kortsluiting» (artikel 14,
zesde en zevende lid). Dit houdt in dat wanneer, hangende het beroep, een verzoek
om een voorlopige voorziening wordt gedaan en de voorzitter van oordeel is dat na
de daartoe gehouden zitting nader onderzoek redelijkerwijs niet kan bijdragen aan
de beoordeling van de bodemzaak, hij daarin direct uitspraak kan doen. Wel is vereist
dat een zitting heeft plaatsgevonden waar ook de hoofdzaak aan de orde is gekomen.
Bepalend is uiteindelijk of de informatie die schriftelijk en ter zitting is verkregen
van dien aard is dat mag worden aangenomen dat nader onderzoek geen relevante nieuwe
gegevens of argumenten zal opleveren.
5. Grondrechtelijke en mensenrechtelijke aspecten
De in het wetsvoorstel voorziene afwijkingen dan wel aanvullingen ten opzichte van
hetgeen in de Wiv 2017 is bepaald, voldoen als zodanig aan de eisen die daaraan vanuit
nationaal als internationaal recht worden gesteld. Een en ander ziet met name op aanvulling
dan wel verduidelijking van aspecten van bijzondere bevoegdheden die reeds in de Wiv
2017 zijn geregeld, waarbij met name wordt gewezen op de in dit wetsvoorstel voorziene
bijschrijfmogelijkheden (de artikelen 5, tweede lid, 9 en 10) alsmede op de introductie
van een zelfstandige grondslag voor de bijzondere bevoegdheid tot verkenning met het
oog op de toepassing van artikel 48 Wiv 2017, die uitsluitend binnen de kaders van
de Tijdelijke wet kan worden ingezet (artikel 6). Daarnaast worden enkele afwijkingen
voorgesteld ten aanzien van in de Wiv 2017 opgenomen regelingen voor de verdere verwerking
van verworven gegevens en enkele procedurele eisen (o.a. de artikelen 4, 5, eerste
lid, 8). Tot slot wordt voor de toepassing van hetgeen in deze Tijdelijke wet is geregeld,
voorzien in extra rechtswaarborgen door de invoering van bindend toezicht door de
afdeling toezicht van de CTIVD en een beroepsmogelijkheid bij de Afdeling bestuursrechtspraak
van de Raad van State ter zake van aangewezen oordelen van de TIB en de afdeling toezicht.
Overeenkomstig artikel 10, eerste lid, van de Grondwet wordt met de regeling in het
wetsvoorstel voorzien in een formeel-wettelijke grondslag die is vereist ingeval sprake
is van een beperking van het recht op bescherming van de persoonlijke levenssfeer.
Bij de hiervoor genoemde aanvullingen die zijn opgenomen in het wetsvoorstel gaat
het om situaties waarbij (veelal) sprake zal zijn van de verwerking van persoonsgegevens,
waarmee vanzelfsprekend sprake is van een beperking van het hiervoor genoemde grondrecht.
Tevens wordt voldaan aan de eisen die artikel 8 van het Europees verdrag tot bescherming
van de rechten van de mens (EVRM) stelt. Allereerst wordt opgemerkt dat bij de totstandkoming
van de Wiv 2017 reeds is geoordeeld dat die wet aan artikel 8 EVRM en het door het
Europees Hof voor de Rechten van de Mens (EHRM) ter zake uitgebrachte jurisprudentie
voldoet. In hoofdstuk 9 van de memorie van toelichting bij het voorstel van wet die
tot de Wiv 2017 heeft geleid is uitvoerig stilgestaan bij de grondrechtelijke en mensenrechtelijke
aspecten van de in dat wetsvoorstel voorgestelde regeling voor de activiteiten van
de inlichtingen- en veiligheidsdiensten, ook waar het gaat om de bevoegdheid tot het
binnendringen van geautomatiseerde werken. De in dit kader voorgestelde aanvullingen
ten opzichte van de (bijzondere) bevoegdheden die de diensten reeds op grond van de
Wiv 2017 toekomen, zijn noodzakelijk om de aan de diensten opgedragen taken in het
kader van de nationale veiligheid effectief te kunnen uitvoeren. Zoals in hoofdstuk
1 van deze memorie van toelichting is uiteengezet zijn de dreigingen in het cyberdomein
van zo’n ernstige aard dat het noodzakelijk is om de mogelijkheden om daar onderzoek
naar te kunnen doen ter voorkoming (dan wel mitigering) van mogelijke schade aan Nederland
of Nederlandse belangen van essentieel belang is. Voor een deel betreft het, zie de
voorgestelde bijschrijfmogelijkheden, een aanvulling op reeds bestaande bevoegdheden
om deze – rekening houdend met de snelheid en wendbaarheid van de actoren in het cyberdomein –
effectiever in te kunnen zetten, waar naar hun aard geen andere, minder belastende
alternatieven bestaan. De inzet zal – overeenkomstig de in artikel 26 van de Wiv 2017
neergelegde eisen – altijd proportioneel dienen te zijn. Waar het gaat om de bijschrijving
zal aan het voldoen aan deze en andere eisen conform artikel 31 Wiv 2017 aantekening
dienen te worden gehouden. Daarenboven zal ook van de uitoefening van deze bijschrijfmogelijkheden
de afdeling toezicht van de CTIVD terstond worden geïnformeerd, zodat ze daar ook
– indien de afdeling dat nodig acht – hun aandacht direct op kunnen richten teneinde
de rechtmatigheid daarvan te beoordelen en zonodig deze te doen beëindigen. Met de
voorgestelde bevoegdheid tot verkenning met het oog op de toepassing van artikel 48
Wiv 2017 (interceptie in bulk van telecommunicatie) wordt – vooralsnog beperkt tot
de toepassing in het kader van deze wet – een zelfstandige juridische grondslag geïntroduceerd,
die uitsluitend in het teken staat aan een effectievere toepassing van de bevoegdheid
tot OOG-interceptie. Ook deze bevoegdheid is noodzakelijkheid in verband met de aan
de diensten opgedragen taak in het kader van de nationale veiligheid. Naar zijn aard
bestaat voor de met deze bevoegdheid te verwerven gegevens geen alternatief. Het geen
hiervoor is gesteld met betrekking tot het voldoen aan de eisen van artikel 26 Wiv
2017 geldt mutatis mutandis ook voor de uitoefening van deze bevoegdheid.
Een belangrijk element ter versterking van de waarborgen waarmee beperkingen op het
recht op persoonlijke levenssfeer dienen te worden omgeven, is in de Wiv 2017 gerealiseerd
door de introductie van de TIB en de door deze instantie uit te voeren bindende toets
ex ante. Daarmee werd een waarborg bij de toepassing van bijzondere bevoegdheden geïntroduceerd,
die overigens op meer bevoegdheden ziet dan waartoe gelet op de huidige stand van
zaken van de jurisprudentie van het EHRM daarin voorzien moet zijn. Bij de voorbereiding
van onderhavig wetsvoorstel is ook acht geslagen op de recente jurisprudentie van
het EHRM die betrekking heeft op de bevoegdheden tot bulkinterceptie en de verwerking
van bulkdatasets en welke gevolgen daaraan verbonden moeten worden.20 Uit de analyse van die jurisprudentie, die ook aan beide kamers der Staten-Generaal
is toegezonden, is gebleken dat de huidige wet ter zake nog steeds voldoet aan de
eisen van het EVRM. Die conclusie is ook van belang voor de regeling van onderhavig
wetsvoorstel mede in het licht van de aard en inhoud van de voorgestelde bepalingen
in relatie tot de Wiv 2017. Een bindende ex ante toets wordt door het EHRM op dit
moment slechts in een beperkt aantal gevallen geëist, te weten bij bulkinterceptie
(in de Wiv 2017 aangeduid als onderzoeksopdrachtgerichte interceptie; OOG-interceptie)
en de vaststelling van categorieën van selectoren toe te passen op de in bulk geïntercepteerde
gegevens. Daarnaast geldt dat de inzet van bijzondere bevoegdheden jegens journalisten
die gericht zijn op het achterhalen van de bron van een journalist ook een bindende
toets vooraf vereist; in de Wiv 2017 is die toets – evenals die welke ziet op de inzet
van bijzondere bevoegdheden die kunnen leiden tot de verwerving van vertrouwelijke
communicatie tussen een advocaat en cliënt – in de handen gelegd van de rechtbank
Den Haag; die rechtbank verleent overigens de toestemming en toetst dus niet – zoals
bij de TIB – een door de Minister verleende toestemming. Uit recente jurisprudentie
van het Hof van Justitie van de Europese Unie (HvJEU), waar het gaat om de zogeheten
e-privacyrichtlijn, vloeit inmiddels voort dat de zogeheten stomme tap, te weten de
real time interceptie van uitsluitend verkeers- en locatiegegevens (dus geen inhoud),
ook een vooraf bindende toets door een onafhankelijke instantie vergt.21 Daarvoor zal een wettelijke voorziening worden getroffen.
De in dit wetsvoorstel opgenomen wijzigingen waar het gaat om de ex ante toets door
de TIB betreffen op een enkele uitzondering na, te weten de zelfstandige juridische
grondslag tot verkennen met het oog op de toepassing van artikel 48 Wiv 2017 (zie
artikel 6), wijzigingen waarvoor vanuit perspectief van het EVRM en de jurisprudentie
van het EHRM geen noodzaak bestaat om die te onderwerpen aan een bindende voorafgaande
toets. De zelfstandige juridische grondslag ex artikel 6 van het wetsvoorstel is op
een vergelijkbare manier geregeld als andere (vergelijkbare) bijzondere bevoegdheden
in de Wiv 2017. Niet alleen is voorzien in toestemming van de Minister en een bindende
toets van de TIB ter zake, maar ook overigens zal aan de algemene eisen voor de (verdere)
verwerking van gegevens – zoals de toets aan noodzakelijkheid, subsidiariteit en proportionaliteit –
moeten worden voldaan. Voorts wordt gewezen op de strikte doelbinding bij de verwerking
van de gegevens (geen gebruik van de gegevens voor het inlichtingenproces) en de beperkte
kring van personen die van de geïntercepteerde gegevens kennis mogen nemen.
Bij de andersoortige wijzigingen is voorzien in adequaat toezicht. Daar waar de eis
van toestemming van de Minister dan wel de toetstaak van de TIB komt te vervallen,
wordt voorzien in bindend toezicht door de afdeling toezicht van de CTIVD. Dat geldt
ook in andere gevallen, waarbij voorzien is in aanvullende mogelijkheden tot bijschrijving.
Waar aan de orde is voorzien in een meldplicht voor de Minister dan wel de TIB aan
de afdeling toezicht opdat daarmee van meet af aan het toezicht kan worden geactiveerd.
Dit past ook in het streven te komen naar een dynamisch toezicht op de taakuitvoering
van de diensten, waarbij de gehele keten aan activiteiten – van begin tot eind – aan
toezicht is onderworpen. Door aan de oordelen van de afdeling toezicht een bindend
karakter toe te kennen, betekent dat een forse versterking van het toezicht en wordt
daarmee ook het recht op bescherming van de persoonlijke levenssfeer – waarop dat
toezicht voor een groot deel betrekking heeft – adequaat geborgd.
Naar ons oordeel vallen de in het wetsvoorstel voorziene wijzigingen binnen de reikwijdte
die aan bij het verdrag aangesloten staten is gelaten om in het kader van de nationale
veiligheid maatregelen te nemen die een gerechtvaardigde beperking van het door artikel 8
EVRM gegarandeerde recht op – kort gezegd – privacy met zich brengen. De voorgestelde
regeling – inhoudende enerzijds de zeer beperkt inperking van de toetsbevoegdheid
van de TIB voorafgaand aan de bevoegdheidsuitoefening die anderzijds wordt vervangen
door bindend toezicht in de fase van uitvoering van de bevoegdheid – betekent per
saldo dat het geheel van waarborgen bij de uitoefening van de bevoegdheden waarop
onderhavig wetsvoorstel specifiek betrekking heeft tenminste gelijk blijft.
De in dit wetsvoorstel voorziene inperking van de toetsbevoegdheid van de TIB waarvoor
een bindende toezichtsbevoegdheid van de afdeling toezicht voor in de plaats treedt
betreft een tijdelijke voorziening en loopt daarmee niet vooruit op mogelijke aanpassingen
van het stelsel van toets en toezicht mede naar aanleiding van de aanbevelingen van
rapport van de ECW. Het is dan ook een voorziening in het kader van deze Tijdelijke
wet en naar zijn aard dus ook tijdelijk van karakter. Bij de herziening van de Wiv
2017 naar aanleiding van het rapport van de evaluatiecommissie zal immers het gehele
stelsel van toets en toezicht, de eventuele samenvoeging van TIB en CTIVD, alsmede
de (positionering van de) behandeling van klachten en vermoedens van misstanden op
zijn merites en in onderlinge samenhang bezien dienen te worden. Daarbij zullen uiteraard
ook de ervaringen die worden opgedaan bij de toepassing van deze wet worden betrokken.
Tot slot. Hetgeen is bepaald in het Grondrechtenhandvest van de Europese Unie blijft
hier buiten toepassing. De voorgestelde regeling betreft een maatregel in het kader
van de nationale veiligheid, waarvoor ingevolge artikel 4, tweede lid, van het Verdrag
van de Europese Unie de uitsluitende verantwoordelijkheid berust bij de lidstaten.
6. Gevolgen verbonden aan de uitvoering van de wet
6.1 Algemeen
In het kader van de uitvoerbaarheid van de wet heeft een ketentest met de TIB, CTIVD
en de diensten plaatsgevonden. In deze ketentest is aan de hand van het concept van
het wetsvoorstel bezien of de wet een oplossing biedt voor de geconstateerde problematiek
en uitvoerbaar is. Daarnaast zijn er meerdere overleggen geweest met de Raad van State
over het inrichten van de beroepsprocedure bij de Afdeling bestuursrechtspraak van
de Raad van State. Over het gehele wetsvoorstel heeft een uitvoeringstoets plaatsgevonden
waar in meer detail de uitvoerbaarheid van de wet en de impact op de zowel de diensten
als TIB, CTIVD en Raad van State wordt toegelicht.
Onder andere naar aanleiding van het rapport «slagkracht» van de Algemene Rekenkamer
hebben de diensten bij de voorbereiding van dit wetsvoorstel continu aandacht gehad
voor de uitvoerbaarheid en implementatie van de wet. Bij elke wijziging van het wetsvoorstel
is er een controle geweest op de consequenties daarvan op onder andere IT en bedrijfsvoering.
Voor uitvoeringsorganisaties is het belangrijk dat er een wet is, die ook uitvoerbaar
blijkt. Het blijft daarom van groot belang voor de diensten om continu aandacht te
hebben op wijzigingen die doorgevoerd worden in het wetsvoorstel.
6.2 De uitvoeringsconsequenties voor de diensten
Bij de voorbereiding van dit wetsvoorstel hebben de diensten aan de hand van het concept-wetsvoorstel
de uitvoeringseffecten in kaart gebracht. Het wetsvoorstel heeft effect op het gehele
stelsel. Daarom zijn de CTIVD, de TIB en de Afdeling Bestuursrecht van de Raad van
State bij de uitvoeringstoets betrokken. De bevindingen zijn meegenomen in de uitvoeringstoets.
Uitvoerbaarheid
Ten opzichte van het bestaande wettelijke kader worden met deze Tijdelijke wet geen
bevoegdheden geïntroduceerd die niet al onder de Wiv 2017 door de diensten zouden
kunnen worden ingezet. De belangrijkste wijzigingen zien op het bevorderen van de
effectieve inzet en uitvoering van bevoegdheden. Mogelijk zal dit het effect hebben
dat de betreffende bevoegdheden vaker worden ingezet. De organisaties zijn daar echter
al op toegerust. Wel wordt de werking van het stelsel van toetsing en toezicht via
dit voorstel van wet gewijzigd. Een van de wijzigingen betreft de introductie van
een beroepsmogelijkheid bij de Raad van State. Hiervoor zullen de diensten extra juridische
expertise werven.
Implementatie
De diensten zijn momenteel al bezig met het opstellen van nieuw en aanvullend beleid,
werkinstructies, processen en techniek om effectief te de Tijdelijke wet te kunnen
uitvoeren. Daarbij wordt ook al nagedacht over het opleiden van medewerkers. Een van
de elementen hiervan is een doorontwikkeling van de systemen van de diensten. Zo zal
ter ondersteuning de software die de diensten gebruiken voor de administratie van
verleende toestemmingen worden aangepast. Daarnaast dienen de diensten maatregelen
te nemen om te kunnen voldoen aan de in de wet geregelde meldplicht. Ook moeten aanpassingen
worden gedaan aan verschillende technische verwervings- en verwerkingsketens. Het
is binnen de bestaande omvang van de organisaties mogelijk om deze implementatie te
realiseren. Dit zal echter wel verdringingseffecten hebben op andere IT-veranderdoelstellingen
van beide organisaties. Deze verdringingseffecten zijn in kaart gebracht en wordt
er actief op gestuurd en afwegingen gemaakt in prioritering.
Het aanpassen van IT-applicaties heeft daarnaast een lange doorlooptijd. Om ervoor
te zorgen dat de wet tijdig is geïmplementeerd zal een deel van de implementatie op
korte termijn via handmatige werkprocessen plaatsvinden. Automatisering in IT-applicaties
volgt later. Een voorbeeld hiervan is handmatig melden in plaats van geautomatiseerd.
Dit zal wel zorgen voor aanvullende administratieve lasten bij de diensten. Na inwerkingtreding
van de wet zullen de diensten de oplossingen blijven doorontwikkelen.
Implementatie zal – voor zowel de korte als langere termijn – in overleg met de CTIVD
plaatsvinden. Dit borgt dat de aspecten die voor de CTIVD randvoorwaardelijk zijn
voor uitoefening van haar toezichtstaken al in een vroeg stadium van implementatie
kunnen worden betrokken. Het draagt daarnaast bij aan het compliant handelen van de
diensten: zo kan de CTIVD beoordelen of de diensten in staat zijn om op een zorgvuldige
en toetsbare wijze invulling te geven aan de Tijdelijke Wet.
De diensten werken via diverse IT-trajecten aan het eigen informatielandschap. Dat
volgt mede uit de bevindingen van de CTIVD bij de implementatie van de Wiv 2017. De
aanvullende eisen die de Tijdelijke wet aan de diensten stelt worden waar mogelijk
bij deze IT-trajecten betrokken.
Tijdpad
Inschatting van de diensten is dat de inspanning die nodig is om de relevante systemen
in gereedheid te brengen voor in werking treden van deze wet ongeveer twee maanden
in beslag zal nemen. Binnen die periode kunnen de werkzaamheden beschreven onder implementatie
op korte termijn worden uitgevoerd. Uitzondering hierop is de voorbereiding van de
inwerkingtreding van het onderdeel OOG-interceptie uit de ether. Er is schaarse kennis
en capaciteit benodigd om dit technisch te faciliteren, waardoor de diensten meer
tijd nodig hebben. Daarom voorziet het wetsvoorstel in de mogelijkheid voor gedifferentieerde
inwerkingtreding. De structurele wijzigingen in het IT-landschap van de diensten kennen
een meerjarige termijn. Eventuele aanpassingen in het wetsvoorstel zullen op hun gevolgen
voor de planning dienen te worden bezien.
6.3 De uitvoeringsconsequenties voor de TIB, de CTIVD en de Afdeling bestuursrechtspraak
van de Raad van State
Voor zowel de CTIVD als de TIB zijn extra financiële middelen beschikbaar gesteld
zodat zij uitvoering kunnen geven aan de Tijdelijke wet. Met dit budget worden hun
secretariaten uitgebreid, onder andere met bestuursrechtelijke expertise om uitvoering
te kunnen geven aan het hoger beroep. Het gaat hierbij in totaal om € 1 miljoen in
2022 en € 2,2 miljoen structureel vanaf 2023. Waar het gaat om de gevolgen van de
voorgestelde beroepsregeling voor de Afdeling bestuursrechtspraak van de Raad van
State is het op dit moment nog lastig de exacte uitvoeringsconsequenties te duiden.
Op basis van de praktijkervaring zal de Raad van State op basis van opgedane ervaring
het gesprek nader worden gevoerd om te bezien wat nodig is om de voorziene extra taak
uit te voeren. Naar verwachting zullen met name in de periode vlak na inwerkintreding
van de wet diverse zaken aan de Afdeling bestuursrechtspraak worden voorgelegd. Na
verloop van tijd zal – zo is de verwachting – het aantal beroepszaken afnemen, met
name indien er door de uitspraken van de Afdeling duidelijkheid wordt geboden in kwesties
betreffende de uitleg van de wet en daarin gehanteerde begrippen.
6.4 Regeldruk
In het wetsvoorstel wordt in een tweetal artikelen, te weten artikel 6 (de zelfstandige
juridische grondslag tot verkennen met het oog op toepassing van artikel 48 Wiv 2017)
en artikel 10 (aanvulling bijschrijfmogelijkheid bij artikel 54 Wiv 2017), voorzien
in een beperkte verruiming van de medewerkingsplicht van derden bij de toepassing
van het bepaalde in deze artikelen. Het betreft een verruiming ten opzichte van de
verplichtingen (informatieverplichtingen en inhoudelijke verplichtingen22) die reeds uit de toepassing van de Wiv 2017 voortvloeien. In paragraaf 3.3.2 van
deze memorie is ingegaan op hetgeen de zelfstandige juridische grondslag ex artikel 6
van het wetsvoorstel inhoudt en in paragraaf 3.5 op de aanvulling van de bijschrijfmogelijkheid
van artikel 54 Wiv 2017. In beide gevallen is medewerking vereist van een aanbieder
van een communicatiedienst23 en bij de toepassing van artikel 54 daarnaast ook van personen of instanties die
– kortgezegd – beroeps- of bedrijfsmatig opslagdiensten voor gegevens24 aanbieden.
Bij de bevoegdheid ex artikel 6 van het wetsvoorstel is medewerking van de communicatie-aanbieder
vereist bij de uitvoering van een door de verantwoordelijke Minister verleende (en
door de TIB rechtmatig geachte) toestemming voor het verkennen ten behoeve van de
inzet van de bijzondere bevoegdheid tot onderzoeksopdrachtgerichte interceptie ex
artikel 48 Wiv 2017. Voor de uitoefening van deze bevoegdheid is waar het gaat om
verkenning op de kabelgebonden infrastructuur de medewerking vereist van de desbetreffende
aanbieder. Hij krijgt daartoe een opdracht en is verplicht medewerking te verlenen.
Hiervoor bestaat geen alternatief. Het betreft hier een inhoudelijke verplichting.
Deze situatie is vergelijkbaar met de medewerking die bij de uitoefening van artikel 48
Wiv 2017 aan de orde is. In artikel 6, vijfde lid, van het wetsvoorstel is dan ook
artikel 53 van de Wiv 2017 van overeenkomstige toepassing verklaard. Dat betekent
onder meer dat de aanbieder die verplicht is medewerking te verlenen naar redelijkheid
aanspraak heeft op vergoeding uit ’s-Rijks kas van de investerings-, exploitatie-
en onderhoudskosten voor de technische voorzieningen die zijn of worden gemaakt teneinde
te kunnen voldoen aan de opdracht, alsmede van de door de aanbieder gemaakte administratie-
en personeelskosten rechtstreeks voortvloeiend uit het voldoen aan de opdracht; in
de Regeling kosten aftappen Wiv 2017 zijn nadere regels gesteld met betrekking tot
de vaststelling en vergoeding van de kosten. De inzet van de bijzondere bevoegdheid
van artikel 48 Wiv 2017 op de kabelgebonden infrastructuur en daarmee ook de toepassing
van artikel 7 van het wetsvoorstel is vooralsnog beperkt tot een enkele aanbieder.
De daaraan verbonden kosten zijn operationele kosten voor de diensten die uit de geheime
begroting van de diensten worden bekostigd en daarmee als staatsgeheim gekwalificeerd.
De omvang van deze kosten zijn evenwel inzichtelijk voor de Commissie voor de Inlichtingen
en Veiligheidsdiensten van de Tweede Kamer. Op basis van artikel 7.20 Comptabiliteitswet
2016 verricht de Algemene Rekenkamer onderzoek naar de geheime uitgaven en ontvangsten
van het Rijk.
Bij de bevoegdheid ex artikel 10 van het wetsvoorstel wordt de uitoefening van de
bijzondere bevoegdheid van de diensten om – mits met een verkregen toestemming van
de Minister en een rechtmatigheidsoordeel van de TIB – zich te wenden tot kortgezegd
de aanbieder van een opslagdienst voor gegevens met de opdracht om die gegevens te
verstrekken (zogeheten disk images) ook mogelijk gemaakt ingeval het target tussentijds
van aanbieder verandert of naast een bestaande opslagdienst ook van een andere opslagdienst
gebruik gaat maken. Op deze wijze wordt voorkomen dat hiervoor de hele toestemmingsprocedure
moet worden doorlopen, waardoor kostbare tijd bij het verkrijgen van voor het onderzoek
noodzakelijke gegevens verloren gaat. Het gaat ook hier om inhoudelijke verplichtingen.
En ook hier geldt dat voor het voldoen aan die opdracht ingevolge artikel 54, zesde
lid, artikel 13.6, tweede en derde lid, van de Telecommunicatiewet van overeenkomstige
toepassing is. Dat betekent dat men aanspraak hebben op vergoeding uit 's Rijkskas
van de door hen gemaakte administratiekosten en personeelskosten rechtstreeks voortvloeiend
uit het voldoen aan een opdracht op grond van de Wet op de inlichtingen- en veiligheidsdiensten
2017. Omtrent het aantal gevallen waarin van de voorgestelde mogelijkheid gebruik
wordt gemaakt alsmede de daaraan verbonden kostenvergoeding kan vanwege het staatsgeheime
karakter geen openbare informatie worden verschaft.
7. Advies en consultatie
7.1 Algemeen
Een ontwerp van het wetvoorstel is gericht ter consultatie voorgelegd aan de TIB,
de CTIVD, het Adviescollege Toetsing Regeldruk (ATR) en de Afdeling bestuursrechtspraak
van de Raad van State25. Daarnaast is een ontwerp van het wetsvoorstel in de periode 1 tot en met 17 april
aan internetconsultatie onderworpen. Dat heeft tot iets meer dan 170 reacties geleid
van burgers en organisaties, die binnen de consultatietermijn commentaar hebben geleverd.
Enkele van de respondenten hebben ervoor gekozen hun reactie niet openbaar te maken.
De rest van de reacties is te raadplegen op www.internetconsultatie.nl.
7.2 De reactie van de TIB26
De TIB geeft in haar reactie allereerst aan dat de noodzakelijkheid van de in het
ontwerp-wetvoorstel voorziene uitbreiding van een aantal bijzondere bevoegdheden voor
de diensten vooral een politieke vraag is. Aansluitend concludeert zij dat het geheel
van de voorgestelde maatregelen toezichtbaar is, zij het onder de conditie dat de
informatieplicht wordt geschrapt en de benodigde additionele capaciteit voor de TIB
wordt gerealiseerd. De TIB gaat vervolgens op een aantal onderwerpen nader in.
De TIB stelt vast dat toepassing van de Tijdelijke wet aan de orde is indien het zwaartepunt
van de onderzoeken binnen de reikwijdte daarvan valt. Indien het zwaartepunt bij dergelijke
onderzoeken ligt kunnen alle – onder toepassing van de Tijdelijke wet verworven –
gegevens ook worden bekeken door teams met andere onderzoeksopdrachten, hetgeen zij
kwalificeert als een forse uitbreiding van de bevoegdheden van de diensten waarmee
waarborgen die op grond van de Wiv 2017 gelden buiten toepassing blijven. Deze conclusie
delen wij niet. De waarborgen van de Wiv 2017 zijn immers gewoon van toepassing, zij
het dat op een beperkt aantal onderdelen en uitsluitend voor zover het om het door
de Tijdelijke wet bestreken onderzoek betreft, de regeling in de Wiv 2017 deels wordt
aangevuld (vergelijk de bijschrijfmogelijkheden) dan wel daarvan wordt afgeweken (vergelijk
het laten vervallen van de TIB-toets bij verkennen van geautomatiseerde werken). De
achtergrond daarvan is in deze memorie uitvoerig toegelicht. Dat de gegevens die via
het onderzoek waarop deze wet van toepassing is zijn verworven, breder beschikbaar
komen voor andere onderzoeken van de dienst, is in lijn met de regeling die ook nu
al in de Wiv 2017 is vastgelegd. Rechtmatig verworven gegevens mogen immers ook voor
andere lopende onderzoeken van de diensten waarvoor ze relevant zijn bevonden, worden
gebruikt.27
De TIB geeft aan dat naar haar oordeel de memorie van toelichting onvoldoende duidelijk
maakt waar strategische operaties op zien. Ook andere respondenten (zoals Bits of
Freedom) wijzen hier op. De toelichting is hierop aangevuld (paragraaf 2.2.1).
De TIB vraagt om verduidelijking van de voorgestelde verruiming van de bijschrijfmogelijkheid.
De voorgestelde regeling verduidelijkt dat niet is vereist dat er sprake is van exclusief
gebruik om te kunnen bijschrijven. Daarnaast worden aanvullende mogelijkheden tot
bijschrijven geïntroduceerd. Het wetsvoorstel zorgt hiermee voor een consistente regeling
ten aanzien van het bijschrijven van kenmerken. Het effect van de voorgestelde maatregelen
is dat een voorafgaande toets op dergelijke bijschrijvingen komt te vervallen. In
plaats daarvan komt bindend toezicht door de afdeling toezicht van de CTIVD op de
bijschrijvingen. De noodzaak van goede werkafspraken tussen de CTIVD, de TIB en de
diensten ter zake wordt onderschreven.
In haar reactie gaat de TIB ook in op het inmiddels uit het wetsvoorstel geschrapte
artikel 6 (oud) van het wetsvoorstel, waarbij artikel 27, eerste lid, van de Wiv 2017
waar het gaat om bulkdatasets verkregen uit de inzet van de hackbevoegdheid buiten
toepassing werd verklaard en vervangen door een andere regeling met gevolgen voor
de bewaartermijn (flexibel; mogelijkheid tot jaarlijkse verlenging) en de eis dat
de relevantie-beoordeling zo spoedig mogelijk moet plaatsvinden (vervalt). Onder verwijzing
naar de zaak Big Brother Watch e.a. tegen het Verenigd Koninkrijk vraagt men zich
af of het niet vastleggen van een maximale bewaartermijn voor bulkdata door het EHRM
niet als een tekortkoming zou kunnen worden aangemerkt. De hier bedoelde voorziening
is thans uit het wetsvoorstel gelicht. De door de TIB opgeworpen vraag zal worden
betrokken bij de (nieuw) op te stellen regeling inzake (aspecten van) de verwerking
van bulkdatasets.
De voorgestelde regeling voor de verkenning van gegevensstromen (artikel 7; thans
artikel 6) wordt als een welkome aanvulling gezien. De TIB is echter kritisch met
betrekking tot het buiten toepassing verklaren van het gerichtheidsvereiste bij de
toepassing van deze bevoegdheid. De memorie van toelichting maakt onvoldoende inzichtelijk
waarom het vaststellen van de potentiële inlichtingenwaarde op een gegevensstroom
niet zo gericht mogelijk kan plaatsvinden. De toelichting is op dit punt nader aangevuld.
De TIB wijst er verder op dat een en ander onverlet laat dat zij nog altijd de proportionaliteit
van de inzet van deze bevoegdheid zal moeten beoordelen. Dat is juist, zij het dat
– als dit wetsvoorstel tot wet wordt verheven en in werking treedt – daarbij wel een
relevant en ook door de TIB in acht te nemen gegeven is dat de wetgever in dit kader
heeft bepaald dat de toets aan gerichtheid achterwege dient te blijven. Waar het gaat
om de daadwerkelijke kabelinterceptie voor het inlichtingenwerk (toepassing artikel 48
Wiv 2017) merkt de TIB terecht op dat artikel 8 (thans artikel 7) geen beperking in
haar wettelijke toekomende beoordelingsruimte ziet, zij het dat zij ook hier hetgeen
de wetgever daaromtrent heeft gesteld daarbij dient te betrekken.
De TIB wijst er verder op dat thans ook wordt voorgesteld om streamingsdiensten en
internetverkeer met oorsprong of bestemming in Nederland te kunnen aftappen. Dat zou
in weerwil zijn met eerdere toezeggingen van de Ministers van BZK en van Defensie.
Er is op dit punt sprake van gewijzigde omstandigheden en nieuwe inzichten. Inmiddels
blijkt uit de praktijk blijkt dat actoren op een zo diverse manier te werk gaan dat
het niet mogelijk is om op voorhand bepaalde gegevensstromen enkel en alleen op basis
van hun aard of oorsprong uit te sluiten. In de toelichting is daar nader op ingegaan.
De TIB acht het (voorgestelde) stelsel van toets en toezicht over het geheel genomen
onder voorwaarden toezichtbaar. Zij kan zich vinden in het voorstel om de TIB voortaan
niet meer voorafgaand bindend te laten toetsen over de rechtmatigheid van de toestemming
voor het zogenaamde scannen in het kader van de hackbevoegdheid. Dat geldt ook voor
de geautomatiseerde data-analyse (GDA) op metadata verkregen uit OOG-interceptie.
In beide gevallen kan de afdeling toezicht van de CTIVD bindend toezicht gaan houden.
Waar het gaat om de in artikel 12 (thans artikel 11) geregelde bevoegdheid voor de
TIB en de afdeling toezicht om inlichtingen uit te wisselen voor zover dat noodzakelijk
is voor een effectief toezicht, zou de informatieplicht aan de Minister (artikel 3)
onderscheidenlijk het hoofd van de dienst (artikel 12; thans artikel 11) dienen te
worden geschrapt. Het wetsvoorstel is in deze zin aangepast.
De voorgestelde wijzigingen voor de omgang met technische risico’s en onbekende kwetsbaarheden
maakt onvoldoende duidelijk wat wel en wat niet door de TIB mag worden gevraagd bij
een toets van de verleende toestemming voor een hackoperatie en wat zij vervolgens
moet beoordelen. Ze dient immers nog steeds de proportionaliteit te toetsen. In de
toelichting is dit thans verder uitgewerkt.
De TIB wijst er voorts op dat als in een (aanvraag voor een) toestemming niet meer
beschreven hoeft te worden wat de diensten in technisch opzicht gaan doen, en dat
de Minister dan ook feitelijk niet meer weet waarvoor zij toestemming verleent. In
de toestemmingsaanvragen zullen nog steeds de relevante technische aspecten aan de
orde komen die de Minister nodig heeft om tot een geïnformeerd oordeel te komen. Het
zal dan om die technische informatie – inclusief risico’s – gaan die op het moment
van de aanvraag bekend is. Gezien de dynamische en onvoorzienbare aard van hackoperaties
zal deze informatie over technische risico’s een hoger abstractieniveau hebben. De
CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid en dus ook op de wijze
waarop bekende en nieuwe technische risico’s zich tijdens de uitvoering concreet voordoen.
Aangezien dit een verschuiving van toetsing vooraf naar toezicht tijdens de uitvoering
is, zal dit toezicht van de CTIVD bindend zijn. De Minister en ook de TIB hebben dus
inzicht in de risico’s voor zover die bekend zijn op het moment dat de aanvraag ter
toestemming voorligt en het moment van afwegen van de proportionaliteit. Indien gedurende
de looptijd van de toestemming gebruik willen maken van een onbekende kwetsbaarheid
waarvan de inzet de oorspronkelijke proportionaliteitafweging overstijgt, zal ten
behoeve van deze nieuw te maken afweging een nieuwe aanvraag ter toestemming worden
ingediend. Een en ander laat onverlet de volledige verantwoordelijkheid die de Minister
draagt voor de taakuitvoering van de onder hem ressorterende dienst. De door de TIB
geschetste werkwijze om de risico’s die door het vervallen van de toets vooraf van
de technische risico’s en onbekende kwetsbaarheden te mitigeren betreft de wijze waarop
de afdeling toezicht haar toezichtstaak zou kunnen uitvoeren. Een en ander zal worden
betrokken bij het te voeren overleg met de afdeling toezicht over de wijze waarop
deze haar bindend toezicht zal gaan uitvoeren.
In het wetsvoorstel wordt tegen onrechtmatigheidsoordelen van de TIB beroep opengesteld
bij de Afdeling bestuursrechtspraak. De TIB geeft aan dat ze niet principieel tegen
de introductie van een beroepsprocedure staat. Ze toont zich verrast dat in het kader
van het wetsvoorstel niet wordt ingegaan op het rapport van de drie hoogleraren die
op verzoek van de Minister van BZK hebben gekeken naar recente uitspraken van het
EHRM en het stelsel van toezicht. De door deze drie hoogleraren in het uitgebrachte
rapport gedane voorstellen zullen bij de standpuntbepaling over de aanbevelingen van
de Evaluatiecommissie Wiv 2017 inzake het stelsel van toets en toezicht worden betrokken.
Dit standpunt zal in de aan de Tweede Kamer toegezegde hoofdlijnennotitie worden vastgelegd.
Dat geldt ook voor de andere door de TIB gemaakte opmerkingen inzake het beroepsstelsel.
De TIB wijst er op dat de beroepsmogelijkheid haar meer werk zal opleveren en dat
in verband daarmee additionele juridische ondersteuning nodig is. Hierover is inmiddels
het overleg met de TIB over gaande.
Tot slot wijst de TIB op het ontbreken van een voorafgaande bindend toets op de zogeheten
stomme tap (waarbij uitsluitend verkeersgegevens in real time worden verkregen). Vooruitlopend
op de wijziging van de Wiv 2017 zal in overleg met de TIB tot een tijdelijke regeling
worden gekomen om de door recente Europese jurisprudentie geëiste voorafgaande bindende
toets te borgen.
7.3 De reactie van de CTIVD28
De CTIVD wijst erop dat zij in de afgelopen maanden door het Ministerie van BZK en
van Defensie is meegenomen in de voorbereiding van het concept-wetsvoorstel. Hieraan
voegen wij toe dat dit ook geldt voor de TIB. Een en ander indachtig de door de Tweede
Kamer aangenomen motie van het lid Leijten. Over het geheel genomen kan de CTIVD zich
vanuit toezichtsperspectief vinden in de uitgangspunten van de Tijdelijke wet. Het
uitgangspunt dat het toezicht niet wordt afgeschaald, maar op bepaalde punten wordt
verlegd, is onderbouwd uitgewerkt. De CTIVD noemt nog een viertal aandachtspunten,
te weten de consequenties voor het toezicht van de CTIVD, de informatie-uitwisseling
tussen CTIVD en TIB, de bulkdatasets en – tot slot – de beroepsprocedure en voorlopige
voorziening.
De voorgestelde wijziging van het stelsel van toets en toezicht betekent dat met name
de taak van de afdeling toezicht wordt gewijzigd, nu deze immers ex durante bindend
toezicht uit dient te gaan voeren. Dat vergt dat men additionele juridische en technische
capaciteit en kennis moet verwerven. In gesprek met de CTIVD is dit inmiddels overeengekomen.
Terecht vraagt de CTIVD aandacht voor een implementatietermijn voordat het toezicht
volledig effectief kan zijn.
Evenals de TIB vraagt ook de CTIVD aandacht voor de regeling die in artikel 12 (thans
artikel 11) van het wetsvoorstel is opgenomen met betrekking tot de informatie-uitwisseling
tussen de TIB en de afdeling toezicht. De meldingsplicht aan de hoofden van de diensten,
zoals opgenomen in artikel 12, tweede lid, (thans artikel 11) acht zij principieel
onjuist. Gesteld wordt dat ervan uit dient te worden gegaan dat de TIB en de afdeling
toezicht prudent wordt omgegaan met de geheimhoudingsbepalingen en slechts die gegevens
zullen worden uitgewisseld voor zover dat noodzakelijk is voor de taakuitvoering op
grond van deze wet. Het ging er bij de voorgestelde regeling niet om dat er twijfel
zou zijn aan een prudente omgang van beide instanties met hun geheimhoudingsverplichtingen,
maar om het feit dat de hoofden van de diensten de zorgplicht die de Wiv 2017 aan
hen oplegt met betrekking tot onder meer menselijke bronnen kunnen nakomen. De meldplicht
is komen te vervallen. Wel is bepaald dat beide instanties geen inlichtingen met betrekking
tot informanten en agenten mogen uitwisselen. Daarmee wordt op een andere wijze recht
gedaan aan de zorgplicht van de diensthoofden ter zake.
Indien de TIB bij haar besluitvorming van oordeel is dat het wenselijk is om de CTIVD
op bepaalde punten te wijzen, dan neemt zij dit op in haar rechtmatigheidsoordeel.
Indien de CTIVD naar aanleiding van haar toezichtstaak onder deze Tijdelijke wet tot
het oordeel komt dat het wenselijk is de TIB te wijzen op punten, dan wordt dit aan
tevens aan de diensten medegedeeld.
De CTIVD wijst erop dat door haar in de afgelopen jaren veelvuldig aandacht heeft
besteed aan het fenomeen van bulkdatasets. Zoals zij terecht aangeeft, kent de Wiv
2017, buiten het stelsel van onderzoeksopdrachtgerichte interceptie, geen relevantiebeoordeling
dan wel bewaartermijnen die rekening houden met het bijzondere karakter van dergelijke
sets. Deze problematiek is ook door de Evaluatiecommissie Wiv 2017 gesignaleerd en
die heeft dan ook aanbevolen een specifieke regeling voor bulkdatasets in de Wiv 2017
op te nemen. De CTIVD geeft aan eerder aanbevolen te hebben om bij bulkdatasets flexibele
bewaartermijnen te hanteren gepaard gaande met bindende bevoegdheden vanuit het toezicht.
De CTIVD stelt vast dat in het aan haar voorgelegde ontwerp-wetsvoorstel hieraan invulling
wordt gegeven, maar dat de regeling beperkt is tot bulkdatasets die met de hackbevoegdheid
zijn verkregen en dat voor bulkdatasets die met andere bijzondere bevoegdheden zijn
verworven dan wel buiten de scope van de Tijdelijke wet vallen er nog niets is geregeld.
De aanvankelijk in artikel 6 (oud) van het wetsvoorstel geregelde mogelijkheid om
de bewaartermijn van bulkdatasets telkens met een jaar te kunnen verlengen ten behoeve
van relevantiebeoordeling, is uit het wetsvoorstel gehaald. Indachtig de opmerking
van de CTIVD zal een wijziging van de Wiv 2017 worden voorbereid waarmee een regeling
wordt getroffen die breder is dan de scope van de Tijdelijke wet.
De CTIVD onderschrijft het belang van een beroepsprocedure tegen bindende oordelen
van de TIB en de CTIVD bij de Afdeling bestuursrechtspraak van de Raad van State.
De opgenomen mogelijkheid om een voorlopige voorziening bij de rechter te vragen ten
einde in geval van onverwijlde spoed de werking van het bindende oordeel van de afdeling
toezicht van de CTIVD en een daaraan verbonden gevolg op te schorten, acht zij in
lijn met wat in de context van de Algemene wet bestuursrecht gebruikelijk is en voorts
dat hiermee zowel recht wordt gedaan aan het bindende karakter van een oordeel van
de CTIVD als aan de belangen van de dienst(en) hangende een beroepsprocedure. De CTIVD
ziet een en ander (bindend besluit, beroep, voorlopige voorziening) als een essentieel
deel van het systeem van checks and balances dat in het wetsvoorstel is neergelegd.
Tot slot wijst de CTIVD op het feit dat in artikel 14 (thans artikel 13) van het wetsvoorstel
de uitspraken van de Afdeling bestuursrechtspraak van de Raad van State in het kader
van de Tijdelijke wet niet openbaar zijn. Dat acht ze onwenselijk. Ook de Afdeling
bestuursrechtspraak heeft in haar advies voor dit aspect aandacht gevraagd. Het wetsvoorstel
is zodanig aangepast dat de uitspraak van de Afdeling bestuursrechtspraak openbaar
is met uitzondering van de gegevens als bedoeld in artikel 12, derde lid, van de Wiv
2017.
7.4 Advies van Adviescollege Toetsing Regeldruk29
Het Adviescollege Toetsing Regeldruk (ATR) heeft op 13 april 2022 haar advies uitgebracht
over het concept-wetsvoorstel. Aan de hand van het door het ATR gehanteerde toetsingskader
voor de beoordeling van de regeldruk komt het college tot de volgende bevindingen.
Allereerst merkt het college op dat het geen opmerkingen heeft bij de onderbouwing
van nut en noodzaak van de Tijdelijke wet. Wel vraagt het college zich af of de Tijdelijke
wet – die na vier jaar vervalt – ook niet wordt ingetrokken als de dreigingen wegvallen
of afnemen die een belangrijke aanleiding voor de wet vormen. Naar verwachting is
eerder het omgekeerde het geval, namelijk dat de dreigingen waarop dit wetsvoorstel
betrekking heeft in de loop van de tijd alleen maar zullen toenemen. Het is dan ook
van belang om ook de aangekondigde herziening van de Wiv 2017 ter opvolging van het
rapport van de Evaluatiecommissie Wiv 2017 de komende periode met voortvarendheid
ter hand te nemen teneinde te komen tot structurele maatregelen om deze en andere
dreigingen tegen de nationale veiligheid voor de langere termijn te kunnen adresseren.
Het college geeft aan dat uit de toelichting niet blijkt of er alternatieven zijn
overwogen in plaats van een afzonderlijk, op zichzelf staand wetsvoorstel; bijvoorbeeld
een aanpassing van de Wiv 2017 in twee fasen. Het college adviseert om toe te lichten
welke alternatieven voor deze Tijdelijke wet zijn overwogen en de gemaakte keuze voor
een tijdelijke wet nader te onderbouwen. Van meet af aan is ingezet op een afzonderlijk,
zelfstandig wetsvoorstel en geen (al dan niet gefaseerde) wijziging van de Wiv 2017.
Het gaat er immers om op relatief korte termijn te komen tot een op maat gesneden
regeling om de door de diensten ondervonden problemen bij de toepassing van de Wiv
2017 in het cyberdomein te ondervangen. Een wijziging van de Wiv 2017 zou onherroepelijk
(bredere) discussies oproepen over de reikwijdte van de regeling (zou die ook voor
andere onderzoeken moeten gelden?), de werking van het voorziene stelsel van toets
en toezicht en beroep op de Afdeling bestuursrechtspraak en dergelijke. Dat zijn legitieme
vraagstukken, echter die moeten in het kader van de herziening van de Wiv 2017 aan
de hand van de aanbevelingen van de ECW te worden beantwoord. Een tijdelijke wet als
de onderhavige is daar niet het geschikte middel voor.
Waar het gaat om de beoordeling van het aspect werkbaarheid, adviseert het college
om te onderzoeken of een onderscheid in de vereiste voorafgaande toestemming vooraf
en het toezicht op beide inlichtingendiensten minder belemmeringen en minder regeldruk
tot gevolg zou kunnen hebben. Aan dit onderdeel van het advies lijkt de veronderstelling
ten grondslag te liggen dat de aard en mate van dreiging en de taak die de AIVD en
de MIVD ter zake hebben zodanig verschillend zijn dat dit ook in differentiatie in
het toepasselijke stelsel van toets en toezicht zou moeten leiden. Die veronderstelling
is onjuist en staat ook haaks op het aan de Wiv 2017 – en ook de Tijdelijke wet ten
grondslag liggende uitgangspunt – dat beide diensten weliswaar in verschillende domeinen
(civiel dan wel militair) opereren maar voor het overige gelijkwaardig zijn en dat
beide diensten niet alleen dezelfde bevoegdheden toekomen maar ook onderworpen zijn
aan eenzelfde stelsel van toets en toezicht. Er is geen enkele aanleiding om tot differentiatie
daarin te komen, hetgeen alleen maar tot meer complexiteit leidt. Daar komt bij dat
de beide diensten in toenemende mate gezamenlijk onderzoeken verrichten en een eenduidig
stelsel van toets en toezicht is dan onontbeerlijk.
Tot slot staat het college stil bij de opgenomen regeldrukparagraaf. Dit leidt niet
tot nadere opmerkingen. Het college sluit af met het dictum dat het voorstel kan worden
ingediend nadat met de adviespunten is rekening gehouden.
7.5 Reactie van de Afdeling bestuursrechtspraak van de Raad van State30
De Afdeling bestuursrechtspraak (hierna: de Afdeling) geeft in haar reactie aan dat
het wetsvoorstel zowel principiële als praktische vragen oproept. Zij constateert
allereerst dat de keuze voor een procedure bij de (hoogste) algemene bestuursrechter
begrijpelijk is. Ten aanzien van de in de Tijdelijke wet geregelde bijzondere procedure
voor de behandeling van het beroep van de Minister, wijst de Afdeling erop dat deze
procedure enkele bijzondere kenmerken heeft, zoals de behandeling achter gesloten
deuren, de verplichting tot geheimhouding voor alle betrokkenen en aanvankelijk ook
een niet-openbare uitspraak. Gelet op de aard van de materie en de belangen van de
veiligheid van de Staat, heeft de Afdeling begrip voor de keuze voor behandeling achter
gesloten deuren en geheimhouding. De niet-openbare uitspraak roept echter principiële
vragen op, in het bijzonder de verhouding tot artikel 121 Grondwet. Ook constateert
de Afdeling dat de beroepsprocedure weliswaar raakvlakken vertoont met de bestuursrechtelijke
procedures waarin de Afdeling bestuursrechtspraak rechtspreekt, maar dat het lijkt
te gaan om de uitoefening van een andere, specifieke geschilbeslechtende taak. Het
gaat immers om een sui generis voorziening voor een geschil tussen twee overheidsorganen.
Burgers hebben, anders dan in reguliere bestuursrechtelijke procedures, geen rol in
de procedure. Daarnaast is ook de aard van het geschil bijzonder. Het gaat om een
geschil over machtigingen voor en beoordeling van operaties van de veiligheidsdiensten
in het kader van de bescherming van de nationale veiligheid en niet om het bieden
van rechtsbescherming in een procedure over de rechtmatigheid van een besluit van
een bestuursorgaan, zoals in bestuursrechtspraak in klassieke zin.
De Afdeling geeft de regering daarom in overweging in de toelichting alsnog en meer
uitgebreid in te gaan op de toepasselijkheid van artikel 121 Grondwet. Verder wordt
de regering gevraagd een duidelijke en beredeneerde keuze te maken over de aard van
de geschilbeslechting en de wettelijke grondslag van de aan de Afdeling bestuursrechtspraak
op te dragen taak en daarop in de toelichting in te gaan.
Vooropgesteld wordt dat in het onderhavige wetsvoorstel sprake is van rechterlijke
geschilbeslechting door de Afdeling bestuursrechtspraak in de zin van artikel 30b
van de Wet op de Raad van State alhoewel zij geen deel uitmaakt van de rechterlijke
macht in de zin van de Grondwet. Daarom moet worden aangenomen dat artikel 121 Grondwet,
inclusief de daarin voorziene uitzonderingsmogelijkheden, in algemene zin ook van
toepassing is op de Afdeling bestuursrechtspraak. De nieuwe taak van de Afdeling bestuursrechtspraak
op grond van dit wetsvoorstel wijkt echter dusdanig af van reguliere (bestuurs)rechtspraak
dat daarop artikel 121 Grondwet niet van toepassing is. Zoals de Afdeling bestuursrechtspraak
al opmerkt, heeft dit te maken met de partijen in het geding, de afwezigheid van burgers
in de procedure en de aard van het geschil. Op grond van het tweede lid van artikel 75
van de Grondwet kunnen bij wet aan de Raad van State of aan een afdeling van de Raad
ook andere taken worden opgedragen. Met dit wetsvoorstel wordt een dergelijke andere
taak opgedragen aan de Afdeling bestuursrechtspraak. Hoewel de geschillen die aan
de Afdeling bestuursrechtspraak zullen worden voorgelegd een staatsgeheim karakter
hebben, is voorzien in openbaarmaking van de uitspraak. De gegevens zoals bedoeld
in artikel 12, derde lid, Wiv 2017 dienen daarbij echter achterwege te blijven. Op
deze manier kan de uitspraak beperkt openbaar gemaakt worden met inachtneming van
de noodzakelijke geheimhouding in het belang van de nationale veiligheid.
De Afdeling wijst erop dat de Awb niet van toepassing is op de onderhavige regeling
en dat de TIB en de (afdelingen van) de CTIVD niet als bestuursorgaan zijn worden
zodat oordelen van deze toezichthouders niet zijn aan te merken als besluiten in de
zin van artikel 1:3 van de Awb. De Afdeling verzoekt dit in de toelichting te expliciteren.
De redenen waarom de Awb niet van toepassing is en de TIB en CTIVD niet zijn aangemerkt
als bestuursorganen is nader toegelicht in paragraaf 4.3.
Ook heeft de Afdeling vastgesteld dat de Tijdelijke wet een procesrechtelijke regeling
sui generis kent waarbij de Awb niet van toepassing is. Dit maakt een beknopte op
de materie toegesneden regeling mogelijk, maar veel nuttige bepalingen uit de hoofdstukken
6 en 8 van de Awb missen toepassing. De Afdeling verzoekt dit in de toelichting te
expliciteren en het wetsvoorstel een grondslag op te nemen voor een door de Afdeling
bestuursrechtspraak vast te stellen procesregeling dan wel na te gaan of een deel
van de Awb van overeenkomstige toepassing zou moeten worden verklaard. Het van overeenkomstige
toepassing verklaren van de Awb, in elk geval op de procedure van beroep en de voorlopige
voorziening, heeft evidente voordelen. Vanwege het bijzondere karakter van de procedure,
lenen niet alle relevante bepalingen uit de Awb zich hiervoor. Een onderzoek naar
de mogelijkheden en onmogelijkheden op dit punt is complex en omvangrijk en gaat het
bestek van dit wetsvoorstel te buiten. In de wettekst is wel een grondslag opgenomen
voor een door de Afdeling bestuursrechtspraak vast te stellen procesregeling zodat
in aanvulling op de wettelijke voorschriften nadere procedurele afspraken en instructies
vastgelegd kunnen worden voor zowel de beroepsprocedure als de voorlopige voorziening
(artikel 13, lid 22).
Ten aanzien van het ontbreken van schorsende werking van het instellen van beroep
merkt de Afdeling het volgende op. Indien de toezichthouders een voor de betrokken
Ministers negatief oordeel hebben uitgesproken kan een voorgenomen operatie niet worden
uitgevoerd of zal een lopende operatie onmiddellijk moeten worden gestaakt. Omdat
in die gevallen naar het oordeel van de Afdeling steeds sprake zal zijn van «onverwijlde
spoed» en naar verwachting standaard een voorlopige voorziening zal worden gevraagd,
heeft dit tot gevolg dat er standaard naast elkaar twee procedures moeten worden behandeld:
het beroep en het verzoek om een voorlopige voorziening waarop binnen zeer korte termijnen
moet worden beslist. Dit leidt tot procedurele «drukte» die ten koste zal gaan van
de tijd en aandacht benodigd voor de behandeling van het beroep. De Afdeling bestuursrechtspraak
geeft daarom in overweging aan het beroep van de Minister schorsende werking toe te
kennen. Onderkend wordt dat in vrijwel alle gevallen waarin beroep wordt ingesteld,
naar verwachting ook een voorlopige voorziening zal worden verzocht. Om tegemoet te
komen aan de vrees dat dit zal leiden tot procedurele «drukte» zijn de termijnen voor
het indienen van het beroepschrift, het verweerschrift en het doen van de uitspraak
door de Afdeling bestuursrecht verruimd.
De Afdeling constateert dat de Tijdelijke wet niet de mogelijkheid kent van een tussenuitspraak.
Dat past niet bij opdracht om binnen twee weken na ontvangst van het verweerschrift
uitspraak te doen. De zeer korte termijnen maken het praktisch lastig zo niet (nagenoeg)
onmogelijk om nadere informatie in te winnen, getuigen en deskundigen te horen, amici
curiae in te schakelen of om prejudiciële vragen te stellen. De Afdeling stelt daarom
een regeling voor waarbij de Afdeling binnen een – nader te bepalen – korte termijn
oordeelt – bijvoorbeeld in een tussenuitspraak – of een operatie mag starten of doorgaan,
maar waarbij het onderzoek wordt heropend en voortgezet om nader onderzoek te verrichten
om uiteindelijk richtinggevende uitspraken te kunnen doen. Naar aanleiding van deze
reactie is het wetsvoorstel is aangevuld met de mogelijkheid voor de Afdeling om een
tussenuitspraak te doen waarbij tevens is voorzien in de mogelijkheid om een voorlopige
voorziening te treffen zodat op deze manier voorzien kan worden in de door de Afdeling
gewenste procedurele mogelijkheden zoals het horen van deskundigen of het stellen
van prejudiciële vragen maar waarbij tevens een operationeel noodzakelijke voorziening
kan worden getroffen. Dit is nader toegelicht in paragraaf 4.3
De diensten beschikken over grote technische materiedeskundigheid. Ook de beide toezichthouders
hebben technische deskundigheid aan boord. Om de aangevochten oordelen op waarde te
kunnen schatten zal ook de Afdeling bestuursrechtspraak de noodzakelijke technische
kennis moeten opdoen. De rechter moet echter ook de mogelijkheid hebben om (andere)
deskundigen te raadplegen, aldus de Afdeling. Dit is in navolging van het advies van
de Afdeling ook mogelijk gemaakt.
Verder valt te voorzien dat de Afdeling behoefte heeft aan technische deskundigheid
in de zittingskamer die het beroep behandelt. Dat kan door de benoeming van een staatsraad
in buitengewone dienst met de benodigde technische kennis, die onderdeel uitmaakt
van een meervoudige kamer. Dergelijke personen zijn (zeer) schaars en het ligt volgens
de Afdeling dan ook meer voor de hand om bij wet te regelen dat de Afdeling bestuursrechtspraak
een extra lid kan toevoegen aan de behandelend kamer, zoals geregeld in artikel 5
van de Tijdelijke Experimentenwet rechtspleging. De wettekst is aangevuld met een
bepaling op grond waarvan de Afdeling deskundigen kan benoemen en met een bepaling
waarmee een deskundig lid kan worden toegevoegd aan de meervoudige kamer die het beroep
behandelt.
In de procedure voor de Afdeling bestuursrechtspraak wordt het belang van de burger
en diens privacy indirect vertegenwoordigd, maar niet rechtstreeks. De burger is geen
procespartij en kan dat ook niet zijn. De Afdeling geeft daarom in overweging in het
kader van (de evaluatie van) de Tijdelijke wet te bezien, bijvoorbeeld door middel
van rechtsvergelijking met Angelsaksische landen, welke mogelijkheden er zijn om de
privacybelangen van burgers te betrekken in de procedure bij de Afdeling bestuursrechtspraak.
Onderkend wordt dat een amicus curiae zowel kan bijdragen aan de kwaliteit van het
proces van rechtsvorming als aan de legitimiteit van een rechterlijke uitspraak door
participatie, representatie en transparantie. Een amicus curiae is een andere dan
de bij een rechtszaak betrokken partijen die de gelegenheid krijgt om inbreng te leveren
en mee te denken waardoor zij een bijdrage kunnen leveren aan de rechtsontwikkeling.
Hierdoor krijgt de rechter een beter en breder zicht op de mogelijke (maatschappelijke)
gevolgen van een te nemen beslissing. In lijn met de suggestie van de Afdeling, zullen
de mogelijkheden om de privacybelangen van burgers te betrekken bij de procedure,
bijvoorbeeld door een amicus curiae, onderzocht worden bij de voorgenomen herziening
van de Wiv 2017.
In artikel 14, dertiende lid, (thans 13, dertiende lid) is opgenomen dat de Afdeling
bij gegrondverklaring van het beroep tevens de gevolgen bepaalt die daaraan moeten
worden verbonden. De Afdeling geeft in overweging uit het oogpunt van rechtszekerheid
deze mogelijkheden in de wettekst zelf op te nemen. De wettekst is op dit punt aangepast.
Evaluatie van de Tijdelijke wet na één of twee jaar is volgens de Afdeling noodzakelijk
om te bezien of de procedure tot tevredenheid functioneert, of de termijnbepalingen
realistisch zijn, en of behoefte bestaat aan andere onderzoeksinstrumenten. De evaluatie
kan ook worden gebruikt om (rechtsvergelijkend) onderzoek te doen naar een mogelijke
vorm van openbaarheid van de uitspraken van de rechter en naar versterking van de
positie van de burger in de procedure. In het wetsvoorstel wordt voorzien in openbaarheid
van de uitspraak. Bij de voorgenomen herziening van de Wiv 2017 zullen de opgedane
ervaringen met de maatregelen in de Tijdelijke wet een belangrijke rol spelen, zowel
met betrekking tot hetgeen voor de bijzondere bevoegdheden is geregeld, als het stelsel
van toets en toezicht en de regeling voor beroep en de voorlopige voorziening. De
ervaringen zullen bezien worden in het licht van de aanbevelingen die de ECW reeds
heeft gedaan, maar ook nieuwe inzichten, opgedaan na het verschijnen van het rapport
van de ECW, zullen hierbij een rol moeten en kunnen spelen.
Personele en ICT gevolgen
De Afdeling geeft aan dat personele gevolgen op dit moment moeilijk ingeschat kunnen
worden, maar dat er zeker impact zal zijn van de beroepsmogelijkheid in personele,
organisatorische en financiële zin. Daarbij gaat de Afdeling bestuursrechtspraak er
van uit dat de betrokken ministeries de hiermee gemoeide kosten zullen vergoeden.
De Afdeling heeft voorts aangegeven dat alle noodzakelijke aanpassingen (ook inhoudelijk,
beveiliging en IT) eerst moeten worden gerealiseerd voordat de eerste beroepen kunnen
worden behandeld. Hiermee dient rekening te worden gehouden bij de inwerkingtreding.
Met de Afdeling zal in overleg worden getreden over de bij de Afdeling te treffen
voorzieningen.
7.6 Overige reacties (burgers en NGO’s)
Zoals hiervoor aangeven zijn in het kader van de consultatieronde meer dan 170 reacties
ontvangen. Naast de reacties van een aantal burgers, zijn reacties ontvangen van diverse
organisaties en bedrijven. Het gaat daarbij onder meer om het College voor de Rechten
van de Mens (CRvdM), Bits of Freedom (BoF), de Nederlandse Vereniging van Journalisten
(NVJ), Free Press Unlimited, Privacy First en KPN31. De kernpunten van zorg in de betreffende reacties zijn de reikwijdte van de Tijdelijke
wet, toezicht en technische risico’s. Deze zorgen komen voor een groot deel overeen
met verwante kritiek uit andere ontvangen reacties en worden in het onderstaande meegenomen.
Het gaat dan in het bijzonder om (1) de begrenzing van de reikwijdte van het wetsvoorstel,
(2) het voorziene toetsing- en toezichtstelsel, waarbij met name ook aandacht is gevraagd
voor de verplaatsing van bevoegdheden van de TIB naar de CTIVID, (3) strategische
operaties, (4) de technische risico’s van hackoperaties en (5) de voorgestelde beroepsprocedure
bij de Raad van State. Gelet op de hoeveelheid aan reacties en de inhoudelijke overeenkomsten
is ervoor gekozen om deze geparafraseerd en gezamenlijk te weergeven.
Reikwijdte wetsvoorstel
Het conceptwetsvoorstel stuitte bij diverse respondenten (onder meer BoF, NVJ, Privacy
First, het CvdRM en een tweetal wetenschappers) op zorgen over de reikwijdte daarvan.
Grotendeels richten die zorgen zich op de begrenzing van de reikwijdte. In algemene
zin is de reikwijdte van deze Tijdelijke wet beperkt tot onderzoeken van de diensten
naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen.
Dat betekent dat het onderwerp van onderzoek bepaalt of de inzet van een bevoegdheid
kan plaatsvinden onder deze wet. De reikwijdte is in reactie op deze zorgen nader
verduidelijkt en aangescherpt. Zo is nu aanvullend opgenomen dat de GA bepaalt dat
de diensten onderzoek moeten doen naar cyberdreigingen en cyberaanvallen, enkel vanwege
het feit dat deze op Nederland of Nederlandse belangen zijn gericht en dat het vermoeden
bestaat dat deze te attribueren is aan een statelijke actor.
Verplaatsing toezicht
In diverse reacties worden vragen gesteld over het stelsel van toezicht dat het dat
in de Tijdelijke wet besloten ligt. Zo zijn er zorgen dat het toezicht van karakter
verandert en (het risico van) «afschaling» met zich brengt (BoF en Privacy First).
Daarbij wordt als verschil genoemd dat het TIB, onder de Wiv 2017, elke toestemming
van de betrokken Minister voor de uitoefening van een bijzondere bevoegdheid toetst
en de CTIVID, onder de Tijdelijke wet, niet alle operaties zal kunnen volgen. Erkend
wordt dat het stelsel van toezicht, voor zover van toepassing op onderzoeken naar
landen met een offensief cyberprogramma, van karakter verandert met Tijdelijke wet.
Die verandering sluit beter aan de dynamische praktijk van het onderzoek van de diensten
naar landen met een offensief cyberprogramma. Bij alle voorgestelde maatregelen geldt
dat de thans geldende waarborgen voor de toepassing daarvan in totaliteit bezien dienen
te worden gehandhaafd, maar dat er een betere aansluiting van de aard van het toezicht
(ex ante of ex durante) bij de fase waarin de (voorgenomen) uitvoering van een bijzondere
bevoegdheid zich bevindt wordt bewerkstelligd, met als resultaat dat deze meer dan
nu recht doet aan de dynamische praktijk van het cyberdomein. Dit geheel moet ertoe
leiden dat de AIVD en de MIVD op een effectieve wijze hun wettelijke taakopdracht
met betrekking tot de dreigingen in het cyberdomein kunnen uitvoeren.
Evenals de TIB en CTIVD vragen BoF en CRvdM aandacht voor de regeling die in artikel 12
(thans artikel 11) van het wetsvoorstel is opgenomen met betrekking tot de informatie-uitwisseling
tussen de TIB en de afdeling toezicht. De meldingsplicht aan de hoofden van de diensten,
zoals opgenomen in artikel 12, tweede lid, (thans artikel 11) acht zij principieel
onjuist. Gesteld wordt dat ervan uit dient te worden gegaan dat de TIB en de afdeling
toezicht prudent wordt omgegaan met de geheimhoudingsbepalingen en slechts die gegevens
zullen worden uitgewisseld voor zover dat noodzakelijk is voor de taakuitvoering op
grond van deze wet. Het ging er bij de voorgestelde regeling niet om dat er twijfel
zou zijn aan een prudente omgang van beide instanties met hun geheimhoudingsverplichtingen,
maar om het feit dat de hoofden van de diensten de zorgplicht die de Wiv 2017 aan
hen oplegt met betrekking tot onder meer menselijke bronnen kunnen nakomen. De meldplicht
is komen te vervallen. Wel is bepaald dat beide instanties geen inlichtingen met betrekking
tot informanten en agenten mogen uitwisselen. Daarmee wordt recht gedaan aan de zorgplicht
van de diensthoofden ter zake. Indien de TIB bij haar besluitvorming van oordeel is
dat het wenselijk is om de CTIVD op bepaalde punten te wijzen, dan neemt zij dit op
in haar rechtmatigheidsoordeel. Indien de CTIVD naar aanleiding van haar toezichtstaak
onder deze Tijdelijke Wet tot het oordeel komt dat het wenselijk is de TIB te wijzen
op punten, dan wordt dit aan tevens aan de diensten medegedeeld.
Strategische operaties
De strategische inzet van bevoegdheden is onder de Wiv 2017 al mogelijk. Desalniettemin
bestond er in de praktijk behoefte om duidelijkheid te verschaffen over deze werkwijze.
BoF en enkele indieners op persoonlijke titelgeven aan dat naar hun opvatting de memorie
van toelichting onvoldoende duidelijk maakt waar strategische operaties op zien. Ook
de TIB wees hier op. De toelichting is hierop aangevuld.
Technische risico’s hackoperaties
In diverse reacties, waaronder die van het CvdRM, zijn de voorgestelde wijzigingen
voor de omgang met technische risico’s en onbekende kwetsbaarheden, zoals die in het
in consultatie gegeven wetsvoorstel was opgenomen, bekritiseerd. Ook de TIB wees erop
dat het wetsvoorstel onvoldoende duidelijk maakte wat wel en wat niet door de TIB
mag worden gevraagd bij een toets van de verleende toestemming voor een hackoperatie
en wat zij vervolgens moet beoordelen. Het CvdRM adviseert daarbij om de beschrijving
van de technische risico’s toestemmingsplichtig te maken. Daarvoor is niet gekozen.
Wel is verduidelijkt wat wel en niet tot aanvraag toestemming behoort. De TIB kan
in het kader van haar proportionaliteitstoets de op het moment van het verzoek om
toestemming voor inzet van de bevoegdheid bekende risico’s betrekken. Gezien de dynamische
en onvoorzienbare aard van hackoperaties zal deze toets een hoger abstractieniveau
hebben. De CTIVD houdt toezicht op de uitvoering van de hackbevoegdheid en dus ook
op de wijze waarop bekende en nieuwe technische risico’s zich tijdens de uitvoering
concreet voordoen. Aangezien dit een verschuiving van toetsing vooraf naar toezicht
tijdens de uitvoering is, zal dit toezicht van de CTIVD bindend zijn.
Beroepsprocedure Raad van State en Tijdelijke Wet
In de Tijdelijke wet wordt tegen oordelen van de TIB en de CTIVD beroep opengesteld
bij de Afdeling bestuursrechtspraak. Het CvdRM is bezorgd of een tijdelijke wet, waarvoor
naar alle waarschijnlijkheid een spoedbehandeling bij het parlement gevraagd gaat
worden, een passend middel is om zulke fundamentele wijzigingen door de voeren. De
zorg is dat later bij de behandeling van het wetsvoorstel dat strekt ter opvolging
van het advies van de ECW, het parlement geconfronteerd wordt met een fait accompli dat in de weg komt te staan aan een fundamentele discussie in het kader van de herziening
van de Wiv 2017 over de inrichting van het toezichtstelsel. Ter opvolging van de aanbevelingen
van de Evaluatiecommissie Wiv 2017 (ECW) zal, na het uitbrengen van een hoofdlijnennotitie
waarbij ingegaan wordt op de door de ECW gedane aanbevelingen, een traject tot herziening
van de Wiv 2017 worden gestart, waarvan het de verwachting is dat dit traject binnen
de werkingsduur van de Tijdelijke wet kan worden afgerond. Hoewel de introductie van
beroep in de Tijdelijke wet thans noodzakelijk wordt geacht, staat dit geenszins in
de weg aan een inhoudelijke discussie met het parlement over de inrichting van het
stelsel van toetsing en toezicht, zodra een voorstel tot wijziging van de Wiv 2017
is ingediend.
8. Overgangsrecht
In artikel 16 van het wetsvoorstel is voorzien in een overgangsrechtelijke regeling
met als strekking dat op de bij de TIB voor toetsing aanhangige toestemmingen op het
moment van inwerkingtreding van de wet de in het onderhavige wetsvoorstel opgenomen
regeling niet van toepassing is.
II. Artikelsgewijze toelichting
In het algemeen deel van de memorie van toelichting is reeds bij de bespreking van
de verschillende onderwerpen reeds uitvoerig ingegaan op de inhoud van de meeste artikelen,
zodat daarnaar wordt verwezen.
Artikel 2
In artikel 2, derde lid, is bepaald dat de diensten in verzoeken om toestemming voor
de inzet van een bijzondere bevoegdheid in aanvulling op het bepaalde in artikel 29,
tweede lid, Wiv 2017 dienen aan te geven of daarbij uitvoering wordt gegeven aan het
bepaalde in onderhavig wetsvoorstel. Op deze wijze is kenbaar voor zowel de TIB als
de CTIVD dat in het kader van de toets en het toezicht het bepaalde in dit wetsvoorstel
in acht genomen dient te worden. De toepasselijkheid van de Tijdelijke wet in concrete
onderzoeken en wel bij de (voorgenomen) toepassing van bijzondere bevoegdheden, zal
voor zover het gaat om bijzondere bevoegdheden als bedoeld in paragraaf 3.2.5 van
de Wiv 2017 in de aanvraag voor toestemming voor de inzet van die bevoegdheid moeten
worden aangegeven (artikel 2, derde lid). Het wetsvoorstel kent hierop slechts een
enkele uitzondering, namelijk waar het gaat om de als afzonderlijk opgenomen bevoegdheid
tot verkennen als bedoeld in artikel 7 van het wetsvoorstel, met het oog op de toepassing
van artikel 48 Wiv 2017. Deze bevoegdheid kan immers slechts in het kader van de hier
bedoelde onderzoeken worden ingezet.
Artikel 3
In artikel 3, eerste lid, wordt aan de TIB de bevoegdheid toegekend indien zij van
oordeel is dat met betrekking tot een aan haar voorgelegde toestemming ten onrechte
wordt gesteld dat daarmee uitvoering wordt gegeven aan het bepaalde in de Tijdelijke
wet, zij de Minister hiervan terstond op de hoogte stelt. Dit is een oordeel dat buiten
het reguliere toetsingskader van de TIB valt. Deze bevoegdheid is aan de TIB toegekend,
omdat toepassing van de Tijdelijke wet haar bevoegdheid op onderdelen rechtstreeks
raakt. Tegen het oordeel van de TIB staat beroep open bij de Afdeling bestuursrechtspraak.
De TIB toetst vervolgens de voorgelegde toestemming, waarbij ze het bepaalde in de
Tijdelijke wet buiten toepassing laat.
Artikel 4
Artikel 45, eerste lid, van de Wiv 2017 regelt zowel de bevoegdheid tot het verkennen
(onderdeel a) en het binnendringen een geautomatiseerd werk (onderdeel b). Op grond
van artikel 45, derde lid, mag de in het eerste lid bedoelde bevoegdheid slechts worden
uitgeoefend indien de voor de desbetreffende dienst verantwoordelijke Minister op
een daartoe strekkend verzoek van het hoofd van de dienst toestemming heeft verleend.
De verleende toestemming is vervolgens onderwerpen aan een toets op rechtmatigheid
door de TIB. In het voorgestelde artikel 4 wordt waar het gaat om de uitoefening van
de bijzondere bevoegdheid tot verkennen van een geautomatiseerd werk in afwijking
van het bepaalde in artikel 45, derde lid, Wiv 2017 de toestemmingsbevoegdheid exclusief
belegd bij het hoofd van de dienst. In het verlengde daarvan is ook de toets op rechtmatigheid
door de TIB op een verleende toestemming geschrapt. Van een door het hoofd van de
dienst verleende toestemming tot verkenning wordt terstond mededeling gedaan aan de
afdeling toezicht van de CTIVD (artikel 4, tweede lid) die daarop vervolgens – de
in het wetsvoorstel geïntroduceerde bevoegdheid tot – bindend toezicht kan uitoefenen.
Artikel 6
Voor de uitvoering van de bevoegdheid tot verkennen is de medewerking van aanbieders
van communicatiediensten vereist. Artikel 6, vijfde lid, voorziet daarin. Dat ziet
allereerst op de verstrekking van gegevens die noodzakelijk zijn om uitvoering te
kunnen geven aan de bevoegdheid; daartoe wordt artikel 52 van de Wiv 2017 van overeenkomstige
toepassing verklaard. Daarnaast is medewerking vereist bij de uitvoering van de bevoegdheid;
daartoe wordt artikel 53 van de Wiv 2017 van overeenkomstige toepassing verklaard.
Een separate toestemming van de Minister voor de uitoefening van de bevoegdheid als
bedoeld in artikel 53, tweede lid, Wiv 2017 blijft vereist.
Artikel 6, zesde lid, van het wetsvoorstel regelt de volgende aspecten. Gegevens die
worden verkregen bij het uitoefenen van de bevoegdheid tot verkennen zijn enkel toegankelijk
voor daartoe aangewezen functionarissen binnen de diensten. Zij hebben uitsluitend
toegang tot deze gegevens om te onderzoeken op welke gegevensstromen een verzoek als
bedoeld in artikel 48, eerste lid, Wiv 2017 betrekking dient te hebben. Hiervan zal
aantekening worden gehouden. Afhankelijk van de specifieke situatie zijn deze gegevens
voor kortere of langere tijd bruikbaar voor het doel waarvoor ze zijn verworven. Een
bovengrens voor deze bruikbaarheid blijkt uit de praktijk zes maanden te zijn. Deze
gegevens mogen dan ook ten hoogste voor zes maanden worden bewaard en dienen dan,
voor zover deze niet hebben bijgedragen aan het doel van de verwerking, te worden
vernietigd. Met deze bijdrage wordt bedoeld dat deze gegevens in de uiteindelijke
toestemmingsaanvraag voor OOG-interceptie worden gebruikt bij de indicatie van de
te verwerven gegevensstromen.
In het zevende lid wordt de bevoegdheid tot verkennen ten behoeve van OOG-interceptie,
zoals die is neergelegd in artikel 6, eerste lid, voor de toepassing van de Wiv 2017
aangemerkt als een bijzondere bevoegdheid. In paragraaf 5 van het algemeen deel van
deze memorie van toelichting is opgenomen dat artikel 6, eerste lid een zelfstandige
juridische grondslag betreft, die op een vergelijkbare manier is geregeld als andere
(vergelijkbare) bijzondere bevoegdheden in de Wiv 2017. Zo is voorzien in toestemming
van de Minister en een bindende toets van de TIB ter zake, en zal aan de algemene
eisen voor de (verdere) verwerking van gegevens – zoals de toets aan noodzakelijkheid,
subsidiariteit en proportionaliteit – moeten worden voldaan. Met het voorgestelde
artikellid wordt beoogd het voorgaande te expliciteren in de wettekst en aan te sluiten
bij de reeds bestaande systematiek van de Wiv 2017. Met de term onverminderd wordt
aangegeven dat daarbij wel in ogenschouw moeten worden genomen dat artikel 26, vijfde
lid, van de Wiv 2017 buiten toepassing blijft, dat de gegevens niet voor het inlichtingenproces
mogen worden gebruikt en een beperkte kring van personen van de geïntercepteerde gegevens
kennis mogen nemen. Het voorgestelde artikel 6 geldt op die onderdelen dus in afwijking
van de Wiv 2017.
Artikel 7
In artikel 7 van het wetsvoorstel worden twee aspecten verduidelijkt die de eisen
invullen inzake gerichtheid en proportionaliteit, zoals neergelegd in artikel 26,
tweede en vijfde lid, van de Wiv 2017, bij de aanvraag van toestemming voor OOG-interceptie
ex artikel 48, eerste lid, Wiv 2017. De bij de uitoefening van die bevoegdheid verworven
gegevens mogen, in tegenstelling tot de gegevens die in het kader van de in artikel 6
van het wetsvoorstel geregelde bevoegdheid tot verkenning, welke strekt tot het vaststellen
op welke gegevensstromen een verzoek om toestemming tot uitoefening van de bijzondere
bevoegdheid ex artikel 48 betrekking dient te hebben, wel worden gebruikt in het inlichtingenproces.
Artikel 8
Artikel 50, vierde lid, van de Wiv 2017 geeft een specifieke regeling voor geautomatiseerde
data-analyse ten aanzien van de ingevolge artikel 48 Wiv 2017 verzamelde gegevens
anders dan die welke de inhoud van de desbetreffende telecommunicatie betreft voor
zover de uitoefening van die bevoegdheid is gericht op het identificeren van personen
of organisaties. Ook wel: GDA op OOG-metadata. Voor deze specifieke vorm van GDA eist
artikel 50, vierde lid, toestemming van de voor de dienst verantwoordelijke Minister
en stelt voorts in aanvulling op het bepaalde in artikel 29, tweede lid, Wiv 2017
enkele aanvullende eisen met betrekking tot de inhoud van het verzoek om toestemming.
Een door de Minister verleende toestemming dient op grond van artikel 36, eerste lid,
Wiv 2017 voor een rechtmatigheidstoets te worden voorgelegd aan de TIB; de uitoefening
van de bevoegdheid mag vervolgens pas plaatsvinden indien de TIB de toestemming rechtmatig
verleend acht. In artikel 8 wordt – om redenen uiteengezet in paragraaf 3.3.4 in het
algemeen deel van deze toelichting – de verplichting om de ministeriële toestemming
voor een rechtmatigheidstoets aan de TIB voor te leggen geschrapt. In plaats van de
bindende toets ex ante door de TIB wordt in artikel 12 van het wetsvoorstel bindend
toezicht (ex durante) op de uitvoering van de desbetreffende bevoegdheid geïntroduceerd.
Artikel 11
Met het oog op een goede uitvoering van de aan hen opgedragen taak in het kader van
de toepassing van de Tijdelijke wet is het noodzakelijk dat de TIB en de afdeling
toezicht inlichtingen kunnen verstrekken daar waar de taak van de TIB (ex ante toets
in de autorisatiefase, noodzakelijk voor het kunnen inzetten van een bevoegdheid)
raakt aan die van de afdeling toezicht van de CTIVD (ex durante, te weten bij de uitvoering
van de bevoegdheid) en vice versa. Het gaat dan om inlichtingen betreffende bevindingen
die de toetsingscommissie onderscheidenlijk de afdeling toezicht bij de uitvoering
van hun taak in het kader van deze wet hebben opgedaan en die voor de taakuitvoering
van de ander van belang kan zijn. Nu de Wiv 2017 een gesloten stelsel van gegevensverstrekking
kent, ook waar het gaat om verstrekking door de TIB aan de afdeling toezicht en vice
versa, dient daarvoor een wettelijke grondslag te worden gecreëerd. Artikel 11 voorziet
daarin. Indien de TIB bij haar besluitvorming van oordeel is dat het wenselijk is
om de CTIVD op bepaalde punten te wijzen, dan neemt zij dit op in haar rechtmatigheidsoordeel.
Indien de CTIVD naar aanleiding van haar toezichtstaak onder deze Tijdelijke Wet tot
het oordeel komt dat het wenselijk is de TIB te wijzen op punten, dan wordt dit aan
tevens aan de diensten medegedeeld.
Een voorbeeld van toepassing van de bevoegdheid tot het verstrekken van inlichtingen
betreft de situatie, waarbij het noodzakelijk wordt geacht om een nadere toelichting
op de door de TIB aangegeven aandachtspunten te geven in het kader van de mededelingen
die de TIB op grond van artikel 3, tweede en derde lid, alsmede artikel 6, derde lid,
aan de afdeling toezicht van de CTIVD heeft gedaan inzake door haar uitgesproken rechtmatigheidsoordelen.
Dat kan bijdragen aan een effectievere uitvoering van de aan de afdeling toezicht
opgedragen taak.
Een ander voorbeeld betreft de situatie, waarbij de TIB en de afdeling toezicht van
de CTIVD in het kader van een aan de TIB voorgelegde toestemming, inhoudende een verlenging
van de bijzondere bevoegdheid als bedoeld in de artikelen 45, eerste lid, onderdeel b,
47, of 54 van de Wiv 2017, inlichtingen van de afdeling toezicht wenst te ontvangen
voor zover de toestemming tevens betrekking heeft op situaties waarbij eerder toepassing
is gegeven aan de in artikelen 5, tweede lid, 9, eerste lid, en 10, eerste lid, bedoelde
bevoegdheid en de desbetreffende gegevens noodzakelijk zijn voor een effectieve uitvoering
van de aan de TIB opgedragen taak. Het gaat dan om situaties die vanwege het feit
dat het bijschrijvingen betreft op eerder door de TIB beoordeelde en rechtmatig geachte
toestemmingen van de Minister voor de toepassing van de desbetreffende bevoegdheden
en die bijschrijvingen deel uit kunnen maken van een voor goedkeuring voorgelegde
toestemming tot verlenging van de desbetreffende bevoegdheid, de noodzaak bij de TIB
aanwezig wordt geacht om ter zake van de afdeling toezicht nadere inlichtingen over
de bijschrijvingen verstrekt te krijgen. Immers de bijschrijvingen hebben plaatsgevonden
tijdens de uitvoering van de desbetreffende bevoegdheid waarop – mede door de voorgeschreven
mededeling – de afdeling toezicht van de CTIVD actief toezicht heeft kunnen houden.
Met name in de gevallen dat een bijschrijving die eerder door de afdeling toezicht
onrechtmatig is gevonden, maar wel is opgenomen in een verleende toestemming tot verlenging
van de inzet van de bevoegdheid, kan het voor de TIB relevant zijn om van de overwegingen
van de afdeling toezicht ter zake kennis te kunnen nemen. Dat laat onverlet dat de
TIB vervolgens een onafhankelijk rechtmatigheidsoordeel over de voorgelegde toestemming
tot verlenging dient te geven.
In artikel 23 van de Wiv 2017 is aan de hoofden van de diensten onder meer de wettelijke
plicht opgedragen om zorg te dragen voor de geheimhouding van daarvoor in aanmerking
komende bronnen waaruit gegevens afkomstig zijn alsmede de veiligheid van de personen
met wier medewerking gegevens worden verzameld. Waar het gaat om menselijke bronnen
(informanten en agenten) die door de diensten worden ingezet legt dit een bijzondere
verantwoordelijkheid op de hoofden van de diensten en het kunnen borgen van de geheimhouding
van daarop betrekking hebbende gegevens is van essentieel belang voor de tussen een
dienst en een menselijke bron bestaande vertrouwensrelatie. Vandaar dat de verstrekking
van dit soort informatie nadrukkelijk is uitgezonderd van de in artikel 11, eerste
lid, geregelde bevoegdheid.
Tot slot is het wenselijk dat omtrent de toepassing van de in artikel 11 opgenomen
regeling door de TIB en de afdeling toezicht voldoende transparantie wordt betracht
teneinde te voorkomen dat er discussie ontstaat omtrent de onafhankelijkheid van beide
instanties in hun oordeelsvorming. Voorgesteld wordt om dat in het jaarlijks uit te
brengen verslag van werkzaamheden te doen opnemen.
Artikel 12
In artikel 12, eerste lid, wordt limitatief opgesomd welke in het wetsvoorstel geregelde
bevoegdheden van de diensten bij de uitvoering van de in artikel 2, eerste lid, genoemde
taak, onder de in artikel 12 geregelde bevoegdheid van de afdeling toezicht van de
CTIVD tot het houden van bindend toezicht vallen. Deze ziet uitsluitend op de toepassing
van (1) artikel 45, eerste lid, onder a, van de Wiv 2017, juncto artikel 4, inzake
de bevoegdheid tot verkennen van geautomatiseerde werken, (2) artikel 45, eerste lid,
onder b, van de Wiv 2017, juncto artikel 5, eerste lid, inzake de bevoegdheid tot
hacken voor zover het de daaraan verbonden technische risico’s betreft, (3) artikel 5,
tweede lid, inzake de bijschrijfmogelijkheid in het kader van hacken, (4) artikel 50,
vierde lid, van de Wiv 2017, juncto artikel 8, inzake GDA op OOG, (5) artikel 9, inzake
de bijschrijfmogelijkheid in het kader van de toepassing van artikel 47 Wiv 2017 (gerichte
interceptie) of (6) artikel 10 inzake de bijschrijfmogelijkheid in het kader van de
toepassing van artikel 54 Wiv 2017 (het opvragen van gegevens bij aanbieders van telecommunicatie-
en opslagdiensten).
Indien de afdeling toezicht bij het toezicht op de desbetreffende bepalingen tegen
een onrechtmatigheid aanloopt, kan zij daarvan in de vorm van een voorlopig oordeel
mededeling doen aan de verantwoordelijke Minister. Het is een discretionaire bevoegdheid
van de afdeling toezicht; dus geen verplichting. In de praktijk zal naar verwachting
pas tot zo’n mededeling worden gekomen indien niet in de reguliere contacten tussen
de toezichthouder en de diensten een geconstateerde onrechtmatigheid kan worden weggenomen.
Bij het voorlopige oordeel kan de afdeling toezicht – indien zij daartoe aanleiding
ziet – ook aangeven welke gevolgen zij daaraan verbindt. Dat kan uitsluitend betrekking
hebben op (1) beëindiging van de desbetreffende bevoegdheid en/of (2) de verwijdering
en vernietiging van de bij de uitvoering van de desbetreffende bevoegdheid verwerkte
gegevens (artikel 12, tweede lid). Het eerste gevolg is helder: voor zover dat ziet
op de uitoefening van de hackbevoegdheid, betekent dit dat die dan gestopt moet worden.
Bij de verwijdering en vernietiging van gegevens ligt dit wellicht minder eenduidig.
Ingeval van GDA op OOG-metadata betekent dit in ieder geval niet, dat de in GDA betrokken
gegevens dienen te worden verwijderd en vernietigd, maar uitsluitend de uit de toegepaste
GDA-methodiek voortvloeiende gegevens (de resultaten). Dit brengt met zich mee dat
de verplichte verslaglegging inzake de uitoefening van bijzondere bevoegdheden door
de diensten (artikel 31 Wiv 2017) al dan niet in combinatie met voorzieningen in het
toegepaste informatiesysteem, zodanig dient te zijn dat ingeval aan een bindend oordeel
(en daarmee ook bindend) als gevolg de vernietiging van gegevens wordt verbonden,
daaraan ook effectief uitvoering kan worden gegeven.
Nadat het voorlopig oordeel door de afdeling toezicht aan de Minister is medegedeeld,
krijgt de Minister een termijn van drie dagen (na ontvangst) om op het voorlopig oordeel
en de eventueel daaraan te verbinden gevolgen te reageren (artikel 12, derde lid).
Een termijn van drie dagen achten we voldoende lang voor een reactie en ook niet te
lang, nu immers een onrechtmatige geachte uitvoering wel zo spoedig mogelijk dient
te worden beëindigd.
Zodra de afdeling toezicht de reactie van de Minister heeft ontvangen of de termijn
van drie dagen is verstreken en er is geen reactie ontvangen, dan kan zij overgaan
tot het vaststellen van het oordeel (artikel 12, vierde lid). Bij de definitieve oordeelsvorming
dient de reactie uiteraard betrokken te worden. Er is geen termijn vastgesteld om
tot een vaststelling te komen; dat is ter discretie aan de afdeling toezicht. Dat
laat ook ruimte om naar aanleiding van de reactie waar nodig bijvoorbeeld nadere toelichting
te vragen of in overleg te treden om te bezien of de geconstateerde onrechtmatigheid
op een andere wijze ongedaan kan worden gemaakt. Is men tot vaststelling van een oordeel
en de daaraan te verbinden gevolgen gekomen dan dient het oordeel met redenen omkleed
schriftelijk aan de Minister te worden medegedeeld.
Na ontvangst van het oordeel begint voor de Minister de termijn van twee weken te
lopen om tegen het oordeel beroep in te stellen bij de Afdeling bestuursrechtspraak
van de Raad van State. Voor dat beroep geeft artikel 13 een regeling. Tevens is in
artikel 14 voorzien in de mogelijkheid om een voorlopige voorziening aan te vragen.
Deze voorziening is noodzakelijk om te voorkomen dat lopende onderzoeken van de dienst
naar landen met een offensief cyberprogramma nadelige gevolgen ondervinden, bijvoorbeeld
omdat de bevoegdheidsuitoefening naar het oordeel van de afdeling toezicht van de
CTIVD dient te worden beëindigd waardoor het zicht op het target verloren gaat; met
name bij onderzoek in cyberdomein is die kans groot.
Indien de Minister het vastgestelde oordeel alsmede de daaraan door de afdeling toezicht
verbonden gevolgen onderschrijft, dan dient de Minister daaraan binnen drie dagen
uitvoering te geven (artikel 12, vijfde lid). Indien de Minister het niet eens is
met het vastgestelde oordeel en/of de daaraan verbonden gevolgen, dan kan op grond
van artikel 13 beroep bij de Afdeling bestuursrechtspraak worden ingesteld.
Tot slot is bepaald dat van een oordeel van de afdeling toezicht terstond mededeling
wordt gedaan aan de beide kamers der Staten-Generaal (artikel 12, zesde lid). Daarbij
is artikel 12, derde en vierde lid, Wiv 2017 van overeenkomstige toepassing. Nu het
hier om oordelen gaat die betrekking hebben op lopende onderzoeken van de diensten
en de toepassing van bepaalde bijzondere bevoegdheden daarin, zal in zijn algemeenheid
sprake zijn van een of meer van de in artikel 12, derde lid, Wiv 2017 aangeduide categorieën
van gegevens, die ingevolge artikel 12, vierde lid, van die wet, door de Minister
slechts vertrouwelijk kunnen worden verstrekt. In de praktijk betekent dat, dat de
Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD) van de Tweede Kamer
wordt geïnformeerd.
Artikel 15
In artikel 145 van de Wiv 2017 wordt de toepasselijkheid van de Algemene wet bestuursrecht
dan wel het van toepassing zijnde bestuursrecht in de openbare lichamen Bonaire, Sint
Eustatius en Saba buiten toepassing verklaard waar het gaat om de voorbereiding, totstandkoming
en tenuitvoerlegging van – kort gezegd – de operationele besluiten, zoals bijvoorbeeld
inzake de toepassing van bijzondere bevoegdheden, die door de diensten in het kader
van de uitvoering van de aan hen opgedragen taken worden genomen. Aangezien onderhavig
wetsvoorstel een regeling geeft die deels in aanvulling op en deels in afwijking van
de Wiv 2017 een specifieke voorziening treft voor de inzet van bepaalde bijzondere
bevoegdheden door de diensten in onderzoeken naar landen met een offensief cyberprogramma,
dient artikel 145 Wiv 2017 ook van overeenkomstige toepassing te worden verklaard
op besluiten die op grond van dit wetsvoorstel worden genomen.
Artikel 16
Artikel 16 geeft een overgangsrechtelijke regeling voor door de Minister verleende
toestemmingen die op het moment van inwerkingtreding van de wet reeds voor een rechtmatigheidstoets
aan de TIB zijn voorgelegd. Op deze toestemmingen is hetgeen in dit wetsvoorstel is
geregeld niet van toepassing. Dat betekent dus onder meer dat waar dit wetsvoorstel
erin voorziet dat een toestemming voor een bepaalde bijzondere bevoegdheid
niet meer aan de TIB voor een rechtmatigheidstoets moet worden voorgelegd, dat voor
bij de TIB aanhangige toetszaken die op vergelijkbare toestemmingen betrekking hebben
de in het wetsvoorstel geregelde uitzondering niet geldt.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.G.J. Bruins Slot
De Minister van Defensie, K.H. Ollongren
Ondertekenaars
-
Eerste ondertekenaar
H.G.J. Bruins Slot, minister van Binnenlandse Zaken en Koninkrijksrelaties -
Mede ondertekenaar
K.H. Ollongren, minister van Defensie
Bijlagen
Stemmingsuitslagen
Aangenomen met handopsteken
| Fracties | Zetels | Voor/Tegen | Niet deelgenomen |
|---|---|---|---|
| VVD | 34 | Voor | |
| D66 | 23 | Voor | |
| PVV | 16 | Voor | |
| CDA | 14 | Voor | |
| PvdA | 9 | Voor | |
| SP | 9 | Tegen | |
| GroenLinks | 8 | Voor | |
| PvdD | 6 | Tegen | |
| ChristenUnie | 5 | Voor | |
| FVD | 5 | Tegen | |
| BBB | 4 | Voor | |
| DENK | 3 | Tegen | |
| SGP | 3 | Voor | |
| Groep Van Haga | 2 | Tegen | |
| Volt | 2 | Voor | |
| BIJ1 | 1 | Tegen | |
| Ephraim | 1 | Niet deelgenomen | |
| Fractie Den Haan | 1 | Voor | |
| Gündogan | 1 | Voor | |
| JA21 | 1 | Voor | |
| Omtzigt | 1 | Voor |
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.