Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017) van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD)

Nr. 81 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 7 februari 2019

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen
voorgelegd aan de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie
over de brief van 4 december 2018 inzake de Voortgangsrapportage CTIVD over de werking
van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017) (Kamerstuk 34 588, nr. 80).

De vragen en opmerkingen zijn op 21 december 2018 aan de Ministers van Binnenlandse
Zaken en Koninkrijksrelaties en van Defensie voorgelegd. Bij brief van 6 februari
2019 zijn de vragen beantwoord.

De voorzitter van de commissie, Ziengs

De adjunct-griffier van de commissie, Hendrickx

Inhoudsopgave

blz.

 
 
 
 

I.

Vragen en opmerkingen vanuit de fracties

2

 

1.

Inleiding

2

 

2.

Algemeen beeld

3

 

3.

Zorgplicht

6

 

4.

Datareductie

7

 

5.

Onderzoeksopdrachtgerichte interceptie

7

 

6.

Maatregelen

8

 

7.

Tijdpad

9

II.

Reactie van de Ministers

10

I. Vragen en opmerkingen vanuit de fracties

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de beleidsreactie
en de voortgangsrapportage over de werking van de Wiv 2017 en hebben nog enkele vragen.

De implementatie van deze nieuwe grote wet met vele waarborgen erin vergt veel voor
de AIVD en MIVD. Tijdens deze dynamische verbouwing, moet de toko open blijven om
de veiligheid van een ieder van ons te beschermen. Dat je deze wijzigingen niet zo
voor elkaar hebt, hadden we allemaal kunnen verwachten. De leden van de VVD-fractie
vragen de Ministers dan ook wat hun oordeel is over de diensten als zij dit meewegen
bij de tussenstand van deze voortgangsrapportage. Wordt er waar mogelijk voldoende
inspanning geleverd en is het einddoel helder? De conclusies van de CTIVD liegen er
niet om, maar geeft dit niet een te eenzijdig beeld?

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de voortgangsrapportage
van de CTIVD over de werking van de Wet op inlichtingen- en veiligheidsdiensten 2017
(Wiv 2017). Deze leden benadrukken in dit verband de noodzaak van modernisering van
de bevoegdheden van de diensten in de Wiv 2017 in het licht van technologische en
maatschappelijke ontwikkelingen, maar ook van toenemende terroristische dreiging,
cyber-dreigingen, de vele brandhaarden in de wereld en destabilisatie aan de grenzen
van Europa.

De leden van de CDA-fractie hebben waardering voor de beoordeling door de CTIVD. In
dit verband onderstrepen deze leden dat de CTIVD met een beoordeling een inschatting
geeft van risico’s op onrechtmatig handelen en niet het oordeel dat daarmee reeds
onrechtmatig is gehandeld.

De leden van de D66-fractie hebben met een kritische blik kennisgenomen van de voortgangsrapportage
over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017).
De leden hebben daarover nog enkele vragen.

De leden van de fractie van GroenLinks hebben met zorg kennis genomen van de Voortgangsrapportage
van de CTIVD over de werking van de Wet op de inlichtingen en veiligheidsdiensten
2017. Voorts hebben de leden van de fractie van GroenLinks nog enkele specifieke vragen
aan de regering naar aanleiding van de voortgangsrapportage van de CTIVD.

De leden van de SP-fractie hebben met bijzondere belangstelling kennis-genomen van
het rapport van de CTIVD over de inwerkingtreding van de WIV en hebben enkele indringende
vragen.

De leden van de PvdD-fractie willen hun waardering uitspreken voor het werk van de
Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zij hebben
wel ontstemd kennisgenomen van de brief van de Ministers over de voortgangsrapportage
van de CTIVD.

De aan het woord zijnde leden vragen de Ministers te reflecteren op de uitslag van
het referendum. Is de Minister nog altijd van mening dat voldoende recht is gedaan
aan de zorgen geuit tijdens het publieke debat voorafgaand aan het referendum? En
is de Minister nog altijd van mening dat voldoende recht is gedaan aan het resultaat
van het referendum (NEE)? Kan de Minister aangeven of haar vertrouwen in het instrument
van een referendum gesterkt is nu blijkt dat de bevolking een betere inschatting kan
maken van de te verwachten effecten van een nieuwe wet dan de Ministers, de ambtenaren
en de eigen inlichtingendiensten?

2. Algemeen beeld

De leden van de VVD-fractie lezen dat de nulmetingen zijn verricht t.a.v. de periode
1 mei 2018 tot 1 juli 2018 en dat de CTIVD het beeld dat daaruit naar voren is gekomen
in oktober 2018 heeft geactualiseerd. Kan de CTIVD op basis van die actualisatie ook
vooruitgang constateren in het operationaliseren van de nieuw toegekende bevoegdheden?

De leden van de VVD-fractie vragen of de Ministers van mening zijn dat de CTIVD de
diensten te veel langs de meetlat van de AVG legt, terwijl de toe-passelijkheid van
de AVG juist uitgesloten is voor verwerking van persoons-gegevens door inlichtingen-
en veiligheidsdiensten?

De leden van de VVD-fractie vragen of de Ministers zich herkennen in de uitspraak
van de CTIVD dat de diensten te veel gericht zijn op operationele capaciteit in plaats
van op beleidsmatigheid?

De leden van de VVD-fractie vragen hoe reëel is het om te verwachten dat al in mei
2019 een heel ander beeld vastgesteld kan worden door de CTIVD ten aanzien van het
operationaliseren van de nieuw toegekende bevoegdheden.

Wordt in de toezichtsactiviteiten naar de werking van de wet ook het punt meegenomen
van de VVD of de vele waarborgen die de wet kent juist niet contraproductief zijn
voor de effectiviteit van de diensten? Wordt bekeken of de balans niet is doorgeslagen
en de wet daardoor onwerkbaar wordt voor de diensten? Zo ja, wanneer wordt hierover
gerapporteerd? Zo nee, waarom gebeurt dit niet en hoe gaan de Ministers ervoor zorgen
dat dit voortaan wel gebeurt?

Volgens de CTIVD is er nog geen herkenbare en gestructureerde vorm van interne controle
op de vernietiging van gegevens. Wel is de bewaartermijn van maximaal drie jaar in
technische zin geborgd. Kan de Minister hierop reflecteren, vragen de leden van de
VVD-fractie.

De leden van de D66-fractie lezen in het voortgangsrapport dat de implemen-tatie van
de Wiv 2017 veel vergt van de AIVD en de MIVD. Zij begrijpen tevens dat beide diensten
hebben onderschat welke veranderingen in hun werkproces deze nieuwe wet met zich meebracht.
De diensten gaven een te beperkte uitleg aan de waarborgen in de wet. Zij hebben bij
de veranderingen te veel vast willen houden aan bestaande werkprocessen. Tot slot
hebben zij überhaupt de omvang van deze veranderoperatie onderschat. Kan de Minister
uitleggen hoe zij tegen het feit aankijkt dat deze diensten de gevolgen voor hun werkprocessen
bij de diensten hebben onderschat? Kan de Minister daarbij in ieder geval op bovenstaande
drie punten ingaan? Kan de Minister vervolgens toelichten of er tussen de AIVD en
MIVD een verschil zit in de beantwoording van voorgaande vragen? Zijn er bij deze
diensten reeds concrete aanbevelingen ter verbetering en onderlinge prioriteit bij
de diensten beschikbaar?

De leden van de D66-fractie lezen dat de diensten voor de uitdaging staan om de nieuw
toegekende bevoegdheden zo snel mogelijk te operationaliseren. Kan de Minister een
indruk geven in hoeverre de administratieve lasten voor de diensten met deze wet zijn
toegenomen en wat doet dat met de capaciteit voor hun operationele werkzaamheden?
De leden lezen dat de CTIVD verwacht de risico’s op toekomstige onrechtmatigheden
aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in
mei 2019. Verwacht de Minister dat ook, en kan zij aangeven op welke termijn zij verwacht
dat de diensten kunnen beginnen met het inperken van de risico’s deze doelstelling
in mei 2019 te halen?

De leden van de D66-fractie begrijpen dat op onderdelen tussen beide diensten wordt
samengewerkt en deze diensten dezelfde software gebruiken en informatie delen. Niettemin
blijkt dat er sprake is van een gebrekkige ondersteunde ICT-infrastructuur bij de
MIVD. Hoe duidt de Minister deze waarneming en op welk moment en in welke mate is
zij bereid hier consequenties aan te verbinden? Kan de Minister bij deze duiding ingaan
op de vraag in hoeverre de aanstaande co-locatie van beide diensten in de Frederikkazerne
hierbij een rol speelt?

De leden van de D66-fractie lezen dat de zorgplicht van beide diensten voor een rechtmatige
gegevensverwerking een essentiële waarborg is voor zowel de gegevensbescherming als
het toezicht daarop. Effectief toezicht op de naleving van deze zorgplicht is nog
onvoldoende mogelijk, doordat het instrumentarium voor de zorgplicht te weinig concreet
is ingevuld. Zij begrijpen voorts uit overweging 16 van de Algemene Verordening voor
Gegevens-bescherming (AVG) dat deze niet van toepassing is op de nationale veiligheid
van lidstaten. Kan de Minister aangeven hoe zij die zorgplicht ziet? Kan zij daarbij
ingaan op de vraag hoe de AVG zich verhoudt tot het inlichtingendeel en het veiligheidsdeel
van de diensten? Hoe ziet de Minister het instrumentarium vervolgens en op welke termijn
kan dit gebruikt worden in de praktijk, zodat er een doorlopende interne controle
kan plaatsvinden?

De leden van de D66-fractie vinden het belangrijk dat er voldoende kennis en ervaring
bij de diensten aanwezig is om de wettelijke taken en voortvloeiende zorgplicht adequaat
te borgen. Kan dit Minister aangeven of hier sprake van is? Is die capaciteit voldoende
om het proces te waarborgen? In hoeverre is er sprake van weerstand bij de diensten,
en op welke manieren?

De CTIVD constateert in haar voortgangsrapportage, zo merken de leden van de GroenLinks-fractie
op, dat er veel professionele mensen bij de diensten werken en dat er door deze mensen
veel werk is verricht in de afgelopen periode, maar dat er in het licht van de invoering
van de Wiv 2017 nog veel achterstanden zijn. De commissie constateert dat we meer
hadden mogen verwachten van de diensten ten aanzien van de waarborgen van burgerlijke
rechten en de rechtsbescherming. De leden van de GroenLinksfractie vinden deze conclusies
van de CTIVD zorgelijk, omdat we, zoals de CTIVD ook stelt, juist van geheime diensten
mogen verwachten dat zij er alles aan doen om zorgvuldig te werk te gaan en zich strikt
aan de wet- en regelgeving houden. Graag ontvangen deze leden een uitgebreide reactie
van de regering hoe het kan dat de diensten kennelijk onvoldoende hebben gedaan om
aan de terechte hoge verwachtingen te voldoen. Had de regering zelf ook meer verwacht?
Hoe kan het, zo vragen de aan het woord zijnde leden zich af, dat er bij de diensten
niet tijdig genoeg is begonnen met het implementeren van nieuwe werkwijze conform
de Wiv 2017? Is de overgang van de oude naar de nieuwe wet door de diensten onderschat?
Zo nee, hoe kan het dan dat de diensten niet tijdig volgens het nieuwe juridische
kader zijn gaan werken?

De leden van de fractie van GroenLinks constateren dat de regering tijdens de totstandkoming
van de Wiv 2017 heeft toegezegd dat er voor de inwerkingtreding van de Wiv 2017 een
adequaat instrumentarium zou zijn om de diensten vanaf de inwerkingtreding volgens
de nieuwe wet te laten opereren. Hoe kijkt de regering terug op deze toezegging, zo
vragen de aan het woord zijnde leden zich af. Hoe heeft de regering uitvoering gegeven
aan deze toezegging?

De CTIVD geeft aan dat in de werkprocessen van de diensten het criterium «zo gericht
mogelijk» uit de aangenomen Kamermotie-Recourt1 niet goed is geimplementeerd. Graag ontvangen de leden van de GroenLinksfractie hier
een uitgebreide reactie op van de regering. Hoe gaat de regering ervoor zorgen dat
dit criterium alsnog zo spoedig mogelijk wordt geimplementeerd in zowel de regelgeving
als de werkprocessen? Kan de regering in dit kader ook ingaan op de vraag hoe dit
criterium in de komende wetswijziging wordt verankerd?

De leden van de fractie van GroenLinks constateren dat de CTIVD ook aangeeft dat er
nog geen sprake is van een alles overkoepelend kader met oog voor interne controle
bij de diensten. Kan de regering aangeven hoe dit alsnog vorm zal krijgen in de structuren
en technische vormgeving van de werkprocessen bij de diensten?

De CTIVD heeft in de voortgangsrapportage grote zorgen geuit over de ICT-infrastructuur
bij de MIVD. Systemen zouden verouderd zijn en beperkt onderhouden worden en er zou
veel sprake zijn van ad hoc oplossingen en er wordt geen integraal ict-beleid gevoerd.
Hoe worden deze problemen op korte termijn opgelost zo vragen de aan het woord zijnde
leden zich af. Ook zijn zij benieuwd of de MIVD niet kan aansluiten op adequate systemen
van de AIVD?

Tot slot zijn de leden van de fractie van GroenLinks benieuwd naar de reactie van
de regering op de verwachting van de CTIVD dat zij in de volgende voortgangsrapportage
een veel positiever beeld verwachten te kunnen geven. Kan de regering aan deze verwachting
van de CTIVD voldoen? Zo, ja waarop baseert de regering dit vertrouwen? Zo nee, waarom
niet?

De leden van de SP-fractie lezen dat een goede implementatie van het nieuwe wettelijke
kader veel tijd en inspanning vergt, ook al is de wet al in werking getreden. Waarom
hebben het ministerie en de geheime diensten de invoering van de wet zo onderschat?
Waarom is onderschat dat het nieuwe wettelijke kader ook voor bestaande bevoegdheden
geldt en waarom is hier zoveel achterstand ontstaan? Waarom is de toezegging van het
kabinet dat «zo gericht mogelijk» zal worden gewerkt in de praktijk nog niet in het
beleid en in de werkprocessen van de geheime diensten opgenomen? Deze leden wijzen
daarbij op de zorgen die eerder door diverse Kamerleden zijn geuit, maar ook op de
rechtszaak die is aangespannen door verschillende organisaties om uitstel van de invoering
van de wet te eisen.

Kan het kabinet garanderen dat geen rechten van individuele burgers zijn geschonden
sinds de inwerkingtreding van de nieuwe wet? Kan het kabinet ook garanderen dat er
geen gebruik wordt gemaakt van de nieuwe bevoegd-heden totdat aan alle voorwaarden
is voldaan? Hoe komt het dat de «zorgplicht» als wettelijke en doorlopende verplichting
voor gegevens-verwerking nog niet in de systemen van de diensten is verankerd? Hoe
komt het dat met name bij de MIVD de problemen zo groot zijn? Hoe reëel is het om
te verwachten dat de MIVD de achterstanden op korte termijn kan inhalen? Toetst de
Toetsingscommissie Inzet Bevoegdheden (TIB) daadwerkelijk of (nieuwe) bevoegdheden
niet worden ingezet voordat voldoende waarborgen zijn ingebouwd in de werkprocessen
van de diensten?

De leden van de PvdD-fractie vragen de Ministers verder hoe het mogelijk is dat de
impact van deze wet verkeerd werd ingeschat zeker gegeven het feit dat er zelden een
wet zo uitvoerig en diepgaand (publiek) bediscussieerd is. Hebben de Ministers een
idee waar deze foutieve inschatting gemaakt is? Zo nee, waarom niet?

De Minister geeft verder in een reactie op de voortgangsrapportage aan dat achter
de schermen een team van professionals, vaak tegen de stroom in, tegelijkertijd keihard
aan het werk is om ons land veilig te houden. Heeft het «tegen de stroom in» werken
betrekking op de implementatieopgave van de waarborgen of op andere werkzaamheden
van de veiligheidsdiensten? Als het dat eerste betreft willen de leden graag weten
waaruit die tegenstroom bestaat.

De leden van de PvdD-fractie vragen de Minister te reageren op de stelling van de
CTIVD dat het momenteel voor de inlichtingendiensten niet goed mogelijk is «voldoende
interne controle uit te oefenen over de gegevens-verwerking» en dat zodoende «effectief
extern toezicht daarop niet aan de orde» is. Kan de Minister aangeven of er volledig
zicht is op de activiteiten van de inlichtingendiensten en waar dat uit blijkt?

De Minister gaf de leden in december 2017 te kennen dat bij de inwerking-treding van
de wet een adequaat instrumentarium beschikbaar zou zijn waarmee de gegevensbescherming
geborgd kon worden. Nu blijkt dat dit nog altijd niet het geval is vragen de leden
de Minister welke concrete stappen zij gaat nemen om ten eerste de gegevensbescherming
en privacy zo snel en zo goed mogelijk te waarborgen en ten tweede de implementatie
van de waarborgen te versnellen.

Aangezien de aandacht voor nationale veiligheid gelijk op dient te gaan met de rechtsbescherming
van burgers vragen de leden of het mogelijk is en of de Ministers bereid zijn de bevoegdheden
van de inlichtingendiensten, tijdelijk en met inachtname van de veiligheid, in te
perken zolang de wettelijk verplichte waarborgen nog niet op orde zijn?

De leden willen graag van de Ministers weten wat de effecten zouden zijn als de bevoegdheden,
waarvan de toezichthouder heeft vastgesteld dat het risico op onrechtmatig handelen
hoog of gemiddeld is, opgeschort zouden worden.

Naar aanleiding van de technische briefing van de CTIVD georganiseerd in de Tweede
Kamer hebben de leden nog enkele aanvullende vragen. De CTIVD gaf aan dat de inlichtingendiensten
zich te veel richten op de kale wettekst bij het implementeren van de waarborgen en
daarmee voorbij gaan aan de aanvullende communicatie tussen de Ministers en het parlement.
Kunnen de Ministers aangeven of zij dit beeld herkennen? En zijn de Ministers bereid
er bij de inlichtingendiensten op aan te dringen dat zij de interactie tussen de uitvoerende
en de wetgevende macht betrekken bij hun interpretatie van de wet?

De leden van de PvdD-fractie ontvangen graag een indicatie van de Ministers over de
verdeling van de inzet bij de inlichtingendiensten. Hoeveel van de tijd, die maximaal
ingezet had kunnen worden om de wettelijke waarborgen te implementeren, is toch ingezet
voor de dagelijkse operationele praktijk?

3. Zorgplicht

Als het gaat om de zorgplicht, geeft de CTIVD aan, zo lezen de leden van de VVD-fractie,
dat de diensten voortdurend in controle moeten zijn en dat dit vereist dat de diensten
een aantal instrumenten gebruiken dat hen centraal zicht geeft op de werking van processen
en systemen van gegevens-verwerking en dat hen daardoor in staat stelt risico’s te
signaleren en tijdig maatregelen te nemen. De leden van de VVD-fractie vragen zich
af aan welke instrumenten daarbij gedacht wordt? Zijn dit ICT oplossingen? Moet er
een onafhankelijke auditteam komen? En hoe reëel is het om te verwachten dat dit in
mei 2019 gerealiseerd is?

De leden van de D66-fractie onderschrijven het belang van een zo kort mogelijke termijn
waarin het instrumentarium voor de zorgplicht concreet wordt ingericht en geïmplementeerd.
Welke onderdelen behoeven interne controle, en wat is de impact van die maatregelen
op de organisatie en haar capaciteit? Kan de Minister toelichten waarom er tot nu
toe ondanks de negatieve signalen geen adequate tijdsplanning is gemaakt, en waarom
er geen interne controle op het beleid is uitgevoerd?

De CTIVD constateert, zo lezen de leden van de GroenLinks-fractie, dat ten aanzien
van de zorgplicht de regering kennelijk een andere opvatting heeft van wat de zorgplicht
precies inhoudt dan de opvatting van de CTIVD over het beginsel van zorgplicht. De
CTIVD geeft aan dat er een verschil zit tussen een toezegging nakomen en daarna minder
aandacht geven aan het vervolg en het continu monitoren van de vraag of gegevensverwerking
nog in overeenstemming is met de wet. Graag ontvangen de leden van de GroenLinks-fractie
hier een nadere beschouwing op van de regering. Zij vragen de regering daarbij ook
specifiek in te gaan op het feit dat de AVG niet van toepassing is op de diensten,
maar dat de CTIVD aangeeft dat het instrumentarium uit de AVG ook gebruikt zou kunnen
worden voor het stelsel waarin de diensten actief zijn.

De leden van de PvdD-fractie willen graag weten of het waar is dat er een verschil
van inzicht is over de interpretatie van de zorgplicht tussen de Ministers en de CTIVD?
Kunnen zij aangeven waar dat meningsverschil om draait? Klopt het dat de CTIVD van
mening is dat de zorgplicht continu bewaakt moet worden en de Ministers van mening
zijn dat dit slechts op het moment van invoering getoetst dient te worden?

4. Datareductie

Als het gaat om datareductie moet de oplossing ook in (ICT-)systemen gezocht worden.
De leden van de VVD-fractie vragen wat reëel is te verwachten, met name ook voor de
MIVD die achterloopt ten opzichte van de AIVD.

De leden van de D66-fractie hebben waargenomen dat de CTIVD een ruime definitie hanteert
voor relevante gegevens, en dat zij het wel noodzakelijk vinden dat aanvullend wordt
gemotiveerd waarom gegevens relevant zijn beoordeeld. Aan welke onderdelen van inhoudelijke
motivatie denkt de CTIVD die noodzakelijk zijn? De leden lezen dat de relevantiebeoordeling
in veel gevallen binnen drie maanden plaatsvindt. In hoeveel van de gevallen wordt
de termijn van drie maanden overschreden, en wat zijn daar de oorzaken van?

5. Onderzoeksopdrachtgerichte interceptie

De leden van de VVD-fractie lezen aan de ene kant dat in de door de TIB rechtmatig
bevonden verzoeken om toestemming bij OOG-interceptie, alle wettelijk vereiste elementen
zijn opgenomen, maar aan de andere kant dat het vereiste «zo gericht mogelijk» volgens
de CTIVD geen herkenbare invulling in beleid en werkprocessen krijgt. Wat gebeurt
er dan de facto? Wordt er afgeweken van omvang bulk of wordt meer onderzocht dan aangegeven?

De leden van de VVD-fractie lezen dat er vooralsnog een fundamenteel verschil van
opvatting bestaat over wat wettelijk wordt verstaan onder de geautomatiseerde analyse
van metadata. Er is ook een rechtseenheidsbrief verschenen. Kan de Minister toelichten
wat de laatste stand van zaken is op dit punt?

De leden van de CDA-fractie wijzen erop dat de CTIVD constateert dat er vooralsnog
een fundamenteel verschil van opvatting blijft bestaan over wat wettelijk wordt verstaan
onder de geautomatiseerde analyse van metadata, tussen de TIB en de CTIVD enerzijds
en de beide diensten en departementen anderzijds. De leden van de CDA-fractie vragen
in dit verband hoe het criterium geoperationaliseerd wordt: «wanneer een GDA voorzienbare
andere dan persoonsgegevens als resultaat heeft die in onderlinge samenhang kunnen
leiden tot identificatie» (zie rechtseenheidsbrief over geautomatiseerde data-analyse
ex artikel 50 Wiv 2017, 23 november 2018, Kamerstuk 29 924, nr. 174). Kan de regering aangeven waarop het door de diensten gehanteerde onderscheid tussen
eenvoudige en complexe metadata-analyses is gebaseerd, waarbij alleen de meer complexe
metadata-analyses onder het bereik van voorafgaande toestemming van de Minister en
toetsing door de TIB zouden vallen?

De leden van de D66-fractie nemen aan dat het algemeen beleid omtrent het toestemmingsproces
voldoende handvatten biedt voor het indienen van verzoeken voor de inzet van bijzondere
bevoegdheden. De toepassing van het criterium «zo gericht mogelijk» ten aanzien van
de verschillende stadia van het interceptieproces lijkt echter vrijwel achterwege
te zijn gebleven, terwijl het daar ook duidelijk toegepast zou moeten worden. De leden
vragen zich af of er een tijdlijn is voor de implementatie van een wettelijk kader
op dit punt. Kan de Minister dit uiteenzetten? Kan de Minister met betrekking tot
de bulkinterceptie bij kabel garanderen, dat in de verschillende stadia van het interceptieproces
het criterium «zo gericht mogelijk» correct zal worden toegepast voordat die bevoegdheid
zal worden gebruikt?

Voorts merken de aan het woord zijnde leden op dat er tevens problemen zijn met betrekking
tot de waarborgen als het gaat om de selectie van gegevens, omdat de diensten de wet
soms te beperkt uitleggen. Hoe legt de Minister de waarborgen in de wet uit? Kan de
Minister uiteenzetten hoe zij ervoor gaat zorgen dat de werkinstructies van de beide
diensten hiertoe worden aangevuld? Kan de Minister tot slot met betrekking tot de
bulkinterceptie bij kabel garanderen, dat de werkinstructies op orde zijn alvorens
de diensten gebruik maken van deze bevoegdheid?

6. Maatregelen

Met de CTIVD onderschrijven de leden van de CDA-fractie dat de professio-naliteit
van de diensten in de uitvoering van de aan hen toebedeelde taken ter bescherming
van de nationale veiligheid buiten kijf staat. De CTIVD constateert echter, dat essentiële
waarborgen voor de bescherming van de rechten van het individu hun invulling in de
praktijk geheel of gedeeltelijk missen. Welke stappen zetten de diensten om in de
praktijk invulling te geven aan deze waarborgen, zonder dat de operatie daaronder
lijdt, zo vragen de leden van de CDA-fractie.

De CTIVD stelt dat effectief toezicht op de naleving van de verplichtingen die de
wet stelt, nog onvoldoende mogelijk is. Deelt de regering dit oordeel, en zo ja, welke
maatregelen neemt zij om de mogelijkheden voor effectief toezicht zo spoedig mogelijk
tot stand te brengen, zo vragen de leden van de CDA-fractie. De Ministers van BZK
en van Defensie hebben in december 2017 toegezegd, dat «bij de inwerkingtreding van
de wet een adequaat instrumentarium beschikbaar is waarmee gegevensbescherming is
geborgd, zodat de CTIVD dit onmiddellijk kan betrekken bij haar toezichthoudende taken».
Hoe beoordeelt de regering de kritiek van de CTIVD, dat dit instrumentarium nog steeds
ontbreekt, zo vragen de leden van de CDA-fractie.

Kan de regering nader ingaan op de vraagstukken die aan de orde zijn bij de invulling
van het gewenste instrumentarium voor de zorgplicht? De CTIVD stelt dat de zorgplicht
nadrukkelijk meer vraagt dan het enkel invoeren van de verplichtingen die de wet oplegt
bij onder meer de verzameling, analyse en het gebruik van gegevens. Kan de regering
uiteenzetten, welke maatregelen zij noodzakelijk acht bovenop de wettelijk vastgelegde
vereisten?

De leden van de CDA-fractie vragen welke stappen de regering zet om ervoor te zorgen,
dat de MIVD zo spoedig mogelijk kan beschikken over een goede ICT-infrastructuur,
die ook kan dienen als basis voor een gedegen systematiek van datareductie. Is het
juist dat het huidige ICT-systeem van de MIVD niet voorziet in de mogelijkheid van
data lineage?

De CTIVD stelt dat aan het criterium «zo gericht mogelijk» geen herkenbare invulling
is gegeven in het beleid en de werkprocessen van de beide diensten. Deelt de regering
het standpunt van de CTIVD dat eerst door de diensten zelf nader ingevuld moet worden
wat «zo gericht mogelijk» inhoudt in de context van onderzoeksopdrachtgerichte interceptie,
en zo ja, welke stappen de regering zet om deze invulling te bespoedigen.

De leden van de PvdD-fractie hebben zich verwonderd over de uitspraken van de voormalig
directeur van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Die vindt dat
de diensten «steeds meer controlemechanisme om de oren krijgen» en kwalificeert de
privacy en gegevensbeschermende maatregelen als «nodeloze procedures» en «politieke
praatjes». Kunnen de Ministers aangeven of dit representatief is voor de wijze waarop
momenteel binnen de diensten gedacht wordt over de te implementeren waarborgen? Zijn
de Ministers bereid een anonieme peiling te houden onder de medewerkers van de diensten
om hun houding ten opzichte van privacy en gegevens-bescherming in beeld te brengen?
Deze leden vragen de Minister of het kan zijn dat de waarborgen als «nodeloos» en
«politiek» gekwalificeerd worden omdat de bevoegdheden die met de Wiv gecreëerd zijn
simpelweg niet te verenigen zijn met fatsoenlijk privacy- en gegevensbeschermingsbeleid.
Is de Minister bereid met een nieuwe wet te komen die de bescherming van privacy en
persoonsgegevens als uitgangspunt neemt in plaats van de door de inlichtingendiensten
gewenste bevoegdheden? Zo nee, waarom niet?

De leden van de PvdD-fractie vragen de regering of het klopt dat er wel aanvullende
maatregelen getroffen worden om een verantwoorde implemen-tatie van de wet te borgen
maar geen aanvullende maatregelen genomen worden om de verantwoorde implementatie
zelf te versnellen. Ook vragen deze leden wat bedoeld wordt met de zinsnede «met oog
voor de uitvoerings-praktijk van de diensten». Betekent het dat aanvullende maatregelen
aangaande borging van de verantwoorde implementatie alleen genomen worden als de veiligheidsdiensten
aangeven daartoe bereid te zijn? De leden willen graag van de Ministers weten wie
de inschatting maakt of de uitvoeringspraktijk van de diensten in het geding is.

Verder vragen de leden de Minister waarom zij in haar brief wel aangeeft dat er maatregelen
genomen worden om de sturing en regie op de implementatie te versterken en te voorzien
in een strakke monitoring daarvan maar er geen melding gemaakt wordt van versterking
van de implementatieopgave.

7. Tijdpad

Gegeven het feit dat de Ministers stellen dat grotere en concretere stappen nodig
zijn om aan de wettelijke verplichtingen te voldoen, verwachten de leden van de PvdD-fractie
dat dit geruime tijd gaat duren. Kunnen de Ministers een indicatie geven van het moment
waarop zij verwachten dat de diensten volledig aan de bestaande en beloofde wettelijke
verplichtingen voldoen? De leden willen ook van de Minister weten welke garantie zij
kan afgeven dat het stelsel voor datareductie voor 1 mei 2019 op orde is en wat er
gebeurt met de reeds verzamelde data als de wettelijke bewaartermijn van één jaar
toch wordt overschreden voordat het datareductie stelsel op orde is?

II. Reactie van de Ministers

1. Inleiding

De veiligheidssituatie in de wereld is sinds de invoering van de vorige wet op de
inlichtingen en veiligheidsdiensten in 2002 aanzienlijk veranderd. In dat dreigingsbeeld
heeft de steeds verder ontwikkelende technologie een nadrukkelijke rol. Met de Wiv
2017 is het wettelijke kader op veel punten vernieuwd. Met de Wiv 2017 zijn de bevoegdheden
van de diensten

gemoderniseerd en zijn de waarborgen voor de privacy aanzienlijk verstevigd ten opzichte
van de oude wet. Zo bevat de Wiv 2017 striktere termijnen voor het bewaren van gegevens
en is er een onafhankelijke toetsende instantie gekomen, de Toetsingscommissie Inzet
Bevoegdheden (TIB), die vooraf toetst of de inzet van een bijzondere bevoegdheid rechtmatig
is. De versterkte waarborgen zijn niet alleen van toepassing op de nieuwe bevoegdheden
maar ook op de reeds onder de Wiv 2002 bestaande bevoegdheden van de diensten die
in de Wiv 2017 opnieuw zijn opgenomen.

Na aanvaarding van de nieuwe wet is op 21 maart 2018 daarover een raadgevend referendum
gehouden. Naar aanleiding van de geldige uitkomst van dit raadgevend referendum, waarbij
49,44% van de kiezers tegen de wet stemde en 46,53% voor, heeft het kabinet vervolgens
conform de Wet raadgevend referendum de uitslag in overweging genomen en bij brief
van 6 april 2018 (Kamerstukken 34 588 en 34 270, nr. 70) het parlement geïnformeerd over de gevolgen die – na heroverweging – daaraan werden
verbonden. Zo zijn er beleidsregels vastgesteld die per 1 mei 2018, gelijktijdig met
de volledige inwerkingtreding van de Wiv 2017, in werking zijn getreden. Daarnaast
is een wetsvoorstel tot wijziging van de Wiv 2017, dat eveneens was aangekondigd,
thans voor advies aanhangig bij de Afdeling advisering van de Raad van State.

De CTIVD heeft in haar voortgangsrapportage kritisch geoordeeld over de implementatie
van de versterking van een aantal van de waarborgen in de Wiv 2017. Hierbij is het
goed om te benadrukken dat de rapportage een inschatting van risico’s op onrechtmatig handelen betreft en niet het oordeel dat daarmee reeds onrechtmatig
is gehandeld. Met de CTIVD zijn wij van oordeel dat de Wiv 2017 in balans is, maar
dat implementatie van de wet veel van de diensten vergt en dat hier nog veel werk
nodig is. Juist omdat de versterking van de waarborgen in de nieuwe wet diep ingrijpt
op de werkprocessen van de diensten, vergt de goede implementatie veel tijd en inspanning.

De implementatie van de Wiv 2017 heeft voor beide diensten prioriteit. Zowel in aanloop
naar de inwerkingtreding van de Wiv 2017 als daarna hebben beide diensten veel werk
verzet voor een goede implementatie. Zoals de CTIVD ook schetst, is een substantieel
deel van de capaciteit van de AIVD en de MIVD ingezet voor deze implementatie. Hierbij
wordt nauw samengewerkt tussen beide diensten. Uiteraard geldt wel dat het twee verschillende
organisaties betreft met ieder zijn eigen inbedding, uitdagingen, taken en werkwijze.

Naar aanleiding van de voortgangsrapportage van de CTIVD hebben de diensten bovendien
nog aanvullende maatregelen getroffen, zoals ook geduid in de aanbiedingsbrief van
4 december jongstleden. De inspanningen van de diensten voor de implementatie van
de wet gaan daarmee onverminderd door. Wij streven ernaar om de risico’s op toekomstige
onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage
van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment
een hoog risico signaleert. Tot slot blijft voor ons overeind dat de operationele
taakuitvoering doorgang moet blijven vinden. Dit is van het grootste belang voor de
nationale veiligheid.

2. Algemeen beeld

Meerdere fracties hebben vragen gesteld over de voorbereidingen van de diensten op
de implementatie en of de diensten de veranderoperatie hebben onderschat. Een goede
implementatie vergt veel tijd en inspanning. Zoals eerder aangegeven hebben de diensten
in aanloop naar de inwerkingtreding van de wet projectorganisaties opgericht ten behoeve
van de voorbereiding op de implementatie. Een belangrijk deel van de capaciteit van
de AIVD en de MIVD is toentertijd gegaan naar een zorgvuldige implementatie.

Na inwerkingtreding van de Wiv 2017 is gebleken dat de implementatie van de nieuwe
wet meer impact op de diensten heeft dan door ons en de diensten bij de totstandkoming
van de wet is onderkend. Dit is ook door de CTIVD vastgesteld in haar rapportage.
De versterking van de waarborgen in de Wiv 2017 grijpen nog dieper in op de kern van
het werk van de diensten, namelijk de verwerving en verdere verwerking van gegevens.
Hierdoor is het lastig gebleken de implementatie te combineren met een niet afnemende
inzet op de operationele taakuitvoering. Zo geldt bijvoorbeeld voor datareductie dat
er een grote verscheidenheid is van data waarover de diensten middels de inzet van
bijzondere bevoegdheden beschikken. Deze data kunnen allerlei verschillende vormen
aannemen en via verschillende bevoegdheden worden vergaard. Voor elke «soort» data
moet een datareductie systematiek worden ingeregeld die bovendien controleerbaar is.
Zoals de CTIVD zelf ook stelt in haar rapport is een dergelijke systematiek zeer complex
en niet eenvoudig te realiseren. Bovendien komen de diensten bij de daadwerkelijke
(technische) implementatie zaken tegen die vooraf niet konden worden voorzien, hetgeen
overigens niet ongebruikelijk is bij de inwerkingtreding van een ingrijpende nieuwe
wet.

Daarnaast heeft de TIB, al dan niet in gezamenlijkheid met de CTIVD, een aantal wettelijke
vereisten na inwerkingtreding van de Wiv 2017 voorzien van nadere uitleg, waarvan
de uitwerking in de werkprocessen van de diensten extra inspanningen vergt bovenop
hetgeen reeds aan de implementatie van de wet als zodanig werd besteed.

De AIVD en de MIVD hebben nauw samengewerkt bij de implementatie van de Wiv 2017.
Zoals ook aangegeven in de aanbiedingsbrief van 4 december jongstleden worden er zowel
bij de AIVD als de MIVD aanvullende maatregelen getroffen voor een verantwoorde implementatie
van de wet inclusief de daarin neergelegde essentiële waarborgen voor de bescherming
van de rechten van de burger. Een goede implementatie is en blijft prioriteit voor
ons en voor de diensten, gelijktijdig met de voortzetting van de operationele taakuitvoering.

Verschillende fracties hebben gevraagd naar de (verwachte) voortgang van de implementatie
van de Wiv 2017 door de diensten. Zoals door ons gesteld in de aanbiedingsbrief van
4 december jongstleden streven wij ernaar om de risico’s op toekomstige onrechtmatigheden
aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in
mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment een hoog risico
signaleert. In reactie op de vraag van de leden van de D66-fractie en van de GroenLinks
fractie hoe en op welke termijn de diensten werken aan deze doelstelling, geldt dat
verschillende maatregelen hiertoe al in gang zijn gezet. Zo is er al gestart met het
vastleggen van werkprocessen voor onderzoeksopdrachtgerichte interceptie via de ether
ten aanzien van het «zo gericht mogelijk» criterium en wordt er volop gewerkt aan
het verder invullen van het stelsel van datareductie. Naar verwachting zullen voor
1 mei 2019 de voornoemde werkprocessen zijn vastgelegd en het fundament voor het stelsel
van datareductie zijn ingericht. Daarbij geldt voor de MIVD echter, zoals de CTIVD
in de voortgangsrapportage ook opmerkt, dat de inrichting van het stelsel van datareductie
samenhangt met noodzakelijke ontwikkelingen op het gebied van de ICT-infrastructuur.
In het eerste kwartaal van 2019 zullen beide diensten een gedetailleerde en toetsbare
tijdsplanning delen met de CTIVD over de door te voeren verbeteringen, waarbij de
MIVD specifiek zal ingaan op de ontwikkelingen op het gebied van de ICT-infrastructuur
in relatie tot de inrichting van het stelsel van datareductie.

De vraag van de leden van de VVD-fractie of de CTIVD op basis van de actualisatie
in oktober 2018 ook vooruitgang heeft geconstateerd in het operationaliseren van de
nieuw toegekende bevoegdheden, moet door de CTIVD worden beantwoord. Het rapport is
het resultaat van de actualisatie in oktober 2018. Daar de diensten continue werken
aan implementatie van de wet, is er ons inziens in de periode tussen mei en oktober
2018 sprake geweest van vooruitgang.

De leden van de VVD-fractie hebben ook specifiek gevraagd of in de toezichtsactiviteiten
naar de werking van de wet ook wordt gekeken of de vele waarborgen die de wet kent
juist niet contraproductief werken voor de effectiviteit van de diensten. Wij zien
dat de implementatie van de wet veel vraagt van de diensten. Daarbij brengt de nieuwe
wet ook een omvangrijke wijziging van het stelsel van toestemming en toezicht met
zich mee, zoals de introductie van de TIB als nieuwe toetsende instantie. De CTIVD
is er om erop toe te zien dat de werkzaamheden van de diensten in overeenstemming
zijn met de wet. De effectiviteit wordt betrokken bij de in de Wiv 2017 voorziene
evaluatie van de wet en van het functioneren van de diensten (art. 167 lid en 2).

Wat betreft de vraag van de leden van de Partij voor de Dieren-fractie of de diensten
voorbij gaan aan de aanvullende communicatie tussen de Ministers en het parlement
en zich te veel richten op de kale wettekst, kunnen wij melden dat de diensten, uiteraard
hetgeen gewisseld is in het kader van de parlementaire behandeling van het wetsvoorstel
alsmede hetgeen daarna nog over de uitvoering van de wet met de Kamer is gedeeld,
bij de implementatie betrekken.

De leden van de D66-fractie stelden de vraag of er voldoende capaciteit, kennis en
ervaring bij de diensten aanwezig is om de wettelijke taken en de daaruit voortvloeiende
zorgplicht adequaat te borgen. Tevens hebben zowel de leden van de D66-fractie als
die van de PvdDfractie gevraagd of er sprake is van weerstand bij de diensten ten
aanzien van de implementatie. Wij willen hier benadrukken dat de professionaliteit
van de diensten buiten kijf staat. Van weerstand ten aanzien van de Wiv 2017 en de
implementatie hiervan is ons niet gebleken. Beide organisaties zien de versterkte
waarborgen en de gemoderniseerde bevoegdheden als belangrijke en noodzakelijke verbetering
en streven ernaar deze op verantwoorde manier te implementeren. De wettelijke taken
en daaruit voortvloeiende zorgplicht zullen door de diensten adequaat geborgd worden.

De leden van de D66-fractie hebben in dit kader gevraagd in hoeverre de administratieve
lasten voor de diensten met deze wet zijn toegenomen en wat dat doet met de capaciteit
voor hun operationele werkzaamheden. Ook hebben de leden van de PvdD-fractie in dit
kader gevraagd om een indicatie van de verdeling van inzet bij de inlichtingendiensten
tussen implementatie en operationele werkzaamheden. Zoals door ons aangegeven in de
aanbiedingsbrief van de voortgangsrapportage kost de implementatie veel tijd en inspanning.
Een substantieel deel van de capaciteit van de AIVD en de MIVD zal ook komende tijd
gaan naar een zorgvuldige implementatie. Overigens zullen de versterkte waarborgen
blijvende aandacht en daarmee ook structureel capaciteit vragen van de diensten. Gelijktijdig
met de implementatie van het nieuwe wettelijke kader dient de operationele taakuitvoering
van de diensten en daarmee de bescherming van de nationale veiligheid doorgang vinden.
Dit is immers de wettelijke taak van de diensten. Deze combinatie vormt een uitdaging.

Voor de door de leden van de VVD-fractie gestelde vraag of wij ons herkennen in de
uitspraak van de CTIVD dat de diensten te veel gericht zijn op operationele capaciteit
in plaats van op beleidsmatigheid, geldt dat het vinden van de exacte balans hierin
altijd aandacht vraagt. Uiteraard zijn de diensten druk bezig met de implementatie
van de wettelijke en beleidsmatige waarborgen en wordt hierbij ook capaciteit ingezet
om het beleid rondom de toepassing van de wet vorm te geven. Zoals gezegd mag dit
er niet toe leiden dat de operationele praktijk geen doorgang kan vinden. Hiermee
zou het beschermen van de nationale veiligheid in het geding komen. Uiteindelijk is
het nieuwe wettelijke kader niet alleen bedoeld om (terecht) de waarborgen voor de
privacy aanzienlijk te verstevigen, maar ook om de bevoegdheden van de diensten te
moderniseren ten behoeve van de operationele werkzaamheden die nodig zijn om de nationale
veiligheid te beschermen.

In reactie op de vraag van de leden van de PvdD-fractie of bevoegdheden waarvan de
toezichthouder heeft vastgesteld dat het risico op onrechtmatig handelen hoog of gemiddeld
is, kunnen worden opgeschort zolang de verplichte waarborgen niet op orde zijn, willen
wij benadrukken dat dit onverantwoord is. De diensten werken hard om met name deze
risico’s zo snel mogelijk terug te brengen naar een meer aanvaardbaar niveau. De werkzaamheden
van de diensten zijn erop gericht om de nationale veiligheid te beschermen door tijdig
dreigingen te onderkennen. De inzet van bevoegdheden door de diensten is een cruciaal
onderdeel van deze werkzaamheden. Een zorgvuldige implementatie van de wet dient hand
in hand te gaan met deze operationele taakuitvoering, waarbij beide elementen elkaar
moeten (en ook kunnen) versterken. Overigens willen we nogmaals benadrukken dat de
CTIVD in haar voortgangsrapportage geen onrechtmatigheden heeft geconstateerd, maar
een inschatting geeft van het risico hierop. Overigens vindt er momenteel nog geen OOG-interceptie op de kabel plaats.

In antwoord op de vraag van de leden van de SP-fractie of de TIB ook daadwerkelijk
toetst of (nieuwe) bevoegdheden niet worden ingezet voordat voldoende waarborgen zijn
ingebouwd in de werkprocessen van de diensten, geldt dat de TIB belast is met de toets
of een door de Minister verleende toestemming rechtmatig is verleend, met name of
de verleende toestemming tot de inzet van een bevoegdheid voldoet aan de eisen van
noodzakelijkheid, proportionaliteit, subsidiariteit en of de bevoegdheid zo gericht
mogelijk wordt ingezet. Dit vindt zijn uitwerking in de aanvraag om toestemming die
aan de Minister wordt voorgelegd. De verdere verwerking van gegevens die met de toepassing
van de bevoegdheid kunnen worden verworven valt buiten het toetsingskader van de TIB.
Daar houdt immers de CTIVD toezicht op.

Een aantal fracties heeft vragen gesteld over de ICT-infrastructuur bij de MIVD en
mogelijke aansluiting op adequate systemen van de AIVD. Voor beide diensten geldt
dat moderne en hoogwaardige ICT-faciliteiten zeer belangrijk zijn voor een effectieve
taakuitvoering. Het aanpassen van de ICT-faciliteiten en werkprocessen aan de nieuwe
wet kost tijd en vraagt om investeringen. De achterstand bij de MIVD op ICT-gebied
heeft de volle aandacht en het wegwerken ervan heeft prioriteit. De Minister van Defensie
investeert de komende jaren in ICT bij de MIVD, oplopend tot 20 miljoen euro extra
structureel. De inkleuring van deze investeringen zal in een meerjarig kader gestalte
krijgen.

De MIVD en AIVD werken nauw samen op het gebied van SIGINT, cyber en de implementatie
van kabel-interceptie. Mede gezien het voornemen om de diensten gezamenlijk te huisvesten,
ligt het voor de hand om waar mogelijk gezamenlijke ICT-faciliteiten nadrukkelijk
in overweging te nemen. Hierbij zij opgemerkt dat de MIVD als defensie-onderdeel te
allen tijde ook de aansluiting op Defensiesystemen moet behouden.

De vraag van de leden van de VVD-fractie en van de D66-fractie aangaande de AVG wordt
onder het hoofdstuk «zorgplicht» beantwoord. De vragen van de leden van de VVD-, GroenLinks
en PvdD-fractie over een adequaat instrumentarium en interne controle op gegevensverwerking
worden eveneens onder het hoofdstuk «zorgplicht» beantwoord. De vraag van de leden
van de SP-fractie inzake het «zo gericht mogelijk» criterium wordt onder het hoofdstuk
«onderzoeksopdrachtgerichte interceptie» beantwoord. De vraag van deze leden over
de verankering van zorgplicht in de systemen van de diensten wordt onder het hoofdstuk
«zorgplicht» behandeld.

3. Zorgplicht

Ten aanzien van zorgplicht voor de diensthoofden focussen de fracties zich in hun
vragen met name op het instrumentarium waarmee gegevensbescherming wordt geborgd (art.
24 Wiv 2017). Zoals de CTIVD ook stelt in de voortgangsrapportage hebben de diensten
al voorafgaand aan de inwerkingtreding een aanzienlijk aantal maatregelen genomen
ten behoeve van de interne controle langs de tien reeds in de aanbiedingsbrief genoemde
hoofdthema’s. Na inwerkingtreding van de Wiv 2017 is aanvankelijk door ieder op eigen
wijze invulling gegeven aan de open norm van zorgplicht. Vervolgens is gebleken dat
er op onderdelen verschillen van inzicht bestonden over deze invulling.

Naar aanleiding van de voortgangsrapportage is bij beide diensten bovendien een overkoepelend
elfde thema geïntroduceerd, te weten «governance» en wordt er een werkprogramma opgesteld
voor het aanvullen van de bestaande maatregelen. Voor de zorgplicht moeten niet alleen
beleid en werkinstructies worden geschreven, die tot doel hebben om in de hele organisatie
nog meer bewustzijn te creëren over de omgang met gegevens. Het gaat ook om het opleiden
van mensen en het toezien op naleving van bepaalde afspraken bij alle gegevensverwerking.
Aangezien gegevensverwerking het kernproces is van de diensten, betekent dat dat alle
niveaus binnen de organisaties zich moeten bezighouden met het in praktijk brengen
van de eisen van de zorgplicht. Naast deze borging dient er ook monitoring van en
controle op rechtmatige gegevensverwerking plaats te vinden. De diensten voeren in
dit kader onder andere een aantal audits uit komend jaar.

Bij het uitwerken van een structuur waarmee borging, verantwoording, monitoring van
en controle op rechtmatige gegevensverwerking plaatsvindt, maken de diensten dankbaar
gebruik van de door de CTIVD geboden aanbevelingen. Uiteraard moet daarbij steeds
worden voorzien in een meer precieze uitwerking, waarbij ook operationele en technische
belangen worden gewogen.

In reactie op de vragen van de leden van de VVD-, D66 en GroenLinks fractie over de
Algemene Verordening Gegevensbescherming (AVG) geldt dat de AVG het Europeesrechtelijke
kader vormt voor gegevensbescherming. De werking van deze Verordening heeft in alle
lidstaten van de EU directe werking. Zoals de leden terecht aangeven is de AVG niet
van toepassing op activiteiten betreffende de nationale veiligheid. In de AVG zijn
wel onder meer algemene beginselen voor behoorlijke gegevensverwerking opgenomen die
– rekening houdend met het bijzondere en veelal heimelijke karakter van de gegevensverwerking
bij de diensten – ook in de Wiv 2017 terugkomen, zoals bijvoorbeeld het vereiste van
doelbinding, van dataminimalisatie of de verantwoordingsplicht. Het zorg dragen voor
onder meer de kwaliteit van de gegevensverwerking zoals dat in artikel 24 van de Wiv
2017 is neergelegd, impliceert dat over de uitvoering daarvan verantwoording moet
kunnen worden afgelegd. De wijze waarop de diensten invulling geven aan die verantwoordelijkheid
moet wel beschouwd worden in het licht van hun bijzondere taken en het in verband
daarmee voortdurend zorg dragen voor bijvoorbeeld bijzondere beveiligingsmaatregelen
en een ander transparantieregime dan waartoe de AVG verplicht.

Dat betekent dat uitgangspunten van de AVG en meer specifiek voor de uitvoering van
de AVG ontwikkelde instrumenten van waarde kunnen zijn voor gegevensverwerking door de diensten en voor het kunnen uitoefenen van toezicht
op de wijze waarop de diensten daaraan uitvoering geven. Voor de diensten geldt echter
het specifieke kader van de Wiv 2017 en de uitvoering van de aan hen opgedragen taken
– een door of op hen toe te passen instrumentarium moet derhalve altijd worden beschouwd
en ontwikkeld gegeven die bijzondere taakstelling. AVG uitgangspunten en instrumenten
kunnen derhalve niet één op één worden ingezet op de gegevensverwerking door de diensten
maar worden «vertaald» naar hun bijzondere positie en hun bijzondere taakstelling.

4. Datareductie

In reactie op de vraag van de leden van de PvdD-fractie over het stelsel van datareductie
geldt dat het fundament voor het stelsel van datareductie voor alle door de diensten
verworven data voor 1 mei 2019 is ingericht. Dit is immers noodzakelijk, gelet op
het aflopen van de wettelijke bewaartermijn van één jaar voor gegevens die worden
verworven met de inzet van bijzondere bevoegdheden, waarna niet beoordeelde gegevens
moeten worden vernietigd. Een uitzondering hierop geldt voor data verkregen uit onderzoeksopdrachtgerichte
interceptie waarvoor een termijn geldt van in totaal drie jaar met een jaarlijkse
tussentijdse beoordeling waarna niet op relevantie beoordeelde gegevens worden vernietigd.
Zoals hiervoor in antwoord op vragen naar de (verwachte) voortgang van de implementatie
van de Wiv 2017 door de diensten reeds is opgemerkt is de inrichting van het stelsel
van datareductie bij de MIVD sterk verbonden met noodzakelijke ontwikkelingen op het
gebied van ICT.

Ten aanzien van de vraag van de leden van de D66-fractie aan welke inhoudelijke motivatie
de CTIVD denkt voor relevantie beoordeling, vindt de CTIVD het begrijpelijk dat de
diensten een breed relevantiebegrip hanteren, gelet op het belang voor het inlichtingenproces.
De diensten onderschrijven dat sprake is van een objectieve relevantiebeoordeling.
De wijze waarop de relevantie kan worden beoordeeld, hangt van een aantal factoren
af. Eén van die factoren betreft de mate van gerichtheid van de inzet van de bevoegdheid
waarmee gegevens worden verkregen: hoe specifieker een bepaalde bevoegdheid zich richt
op een target, des te groter de kans op relevantie van die gegevens voor het onderzoeksdoel.
Ook andere factoren zoals de aard van de onderzoeksopdracht, de eventuele combinatie
van ingezette bevoegdheden en reeds verkregen data kunnen van invloed zijn op de beoordeling
van de relevantie en daarmee op de termijn waarbinnen de relevantie kan worden beoordeeld.
Gegeven al deze verschillende factoren is het niet eenvoudig om eenduidig aan te geven
hoe relevantie wordt beoordeeld.

In de praktijk van de diensten worden gegevens, conform de Wiv 2017, zo spoedig mogelijk
op relevantie beoordeeld. De termijn van drie maanden, die door de CTIVD wordt genoemd,
hangt samen met de (maximale) toestemmingsduur voor de inzet van de bijzondere bevoegdheid
waarmee de gegevens zijn verkregen. Binnen deze periode van drie maanden worden de
gegevens beoordeeld op relevantie. Bij een verlenging van de inzet van een bevoegdheid
eist de wet dat er ook wordt ingegaan op de reeds behaalde resultaten. Hierbij worden
in ieder geval die relevante gegevens benoemd die de verlenging rechtvaardigen. Exacte
aantallen van verlengingen van de inzet van bevoegdheden die driemaandelijks lopen,
kunnen niet worden verstrekt. Daarnaast geldt dat de TIB toetst op de opbrengst van
de inzet van de bevoegdheid en bij het ontbreken daarvan – voor zover het gaat om
een verzoek tot verlenging – de gevraagde toestemming als onrechtmatig beoordeelt.

De vraag van de leden van de VVD-fractie over de ICT-systemen is reeds behandeld onder
het hoofdstuk «algemeen beeld».

5. Onderzoeksopdrachtgerichte interceptie

Ten aanzien van onderzoeksopdrachtgerichte interceptie heeft een aantal fracties vragen
gesteld over de implementatie van het «zo gericht mogelijk» criterium in de werkprocessen
van de diensten. De diensten onderkennen de door de CTIVD beschreven noodzaak om werkprocessen
vast te leggen. Hier wordt momenteel volop aan gewerkt. Wel is het goed om te benadrukken
dat in alle toestemmingsaanvragen, waaronder ook die voor onderzoeksopdrachtgerichte
interceptie, door beide diensten het criterium wordt betrokken, zoals ook door de
CTIVD aangestipt (art. 48 lid 1). Bovendien dienen de door de Minister verleende toestemmingen
te worden goedgekeurd door de TIB alvorens de interceptie plaats kan vinden.

Dit geldt eveneens voor de aanvragen die nodig zijn voor de volgende stappen in het
interceptieproces, namelijk de selectie en analyse van de geïntercepteerde data (art.
49 lid 1 en 2, art. 50 lid 1 en 2). Zo wordt in de praktijk het criterium toegepast
in de verschillende stadia van het interceptieproces. De vastlegging van deze werkwijze
in beleid en werkprocessen zal naar verwachting voor 1 mei 2019 zijn afgerond en zal
zijn voltooid alvorens OOG-interceptie op de kabel daadwerkelijk plaatsvindt.

Op de vraag van de leden van de GroenLinks-fractie of de regering het «zo gericht
mogelijk» criterium in de komende wetswijziging zal verankeren, kan bevestigend worden
gereageerd.

Aangaande de geautomatiseerde data-analyse (GDA) van metadata, zoals aangehaald door
de leden van de VVD- en CDA-fractie, beraden de diensten zich nog over het door de
CTIVD en TIB aangereikte kader. Zoals aangekondigd in de aanbiedingsbrief van de voortgangsrapportage
zullen wij u nog voor het te plannen Algemeen Overleg over deze complexe materie separaat
informeren.

6. Maatregelen

Ten aanzien van de maatregelen hebben de leden van de CDA-fractie gevraagd welke stappen
de diensten zetten om in de praktijk invulling te geven aan de essentiële waarborgen
voor de bescherming van de rechten van het individu. Bovenop de al getroffen maatregelen,
worden er door de diensten komende tijd aanvullende maatregelen getroffen, zoals uiteengezet
in de aanbiedingsbrief van de voortgangsrapportage. De maatregelen zien op een concrete
invulling van de zorgplicht, zoals in de vorm van een systematiek voor interne controle,
het vastleggen van beleid en werkprocessen rondom onderzoeksopdrachtgerichte interceptie
op het gebied van het «zo gericht mogelijk» criterium, voltooien van de inrichting
van het stelsel van datareductie en het op orde brengen van de ICT. Ook nieuwe elementen
voortkomend uit andere nulmetingen van de CTIVD worden betrokken bij de implementatie.

De hiervoor genoemde maatregelen dienen ertoe om een verantwoorde implementatie van
de wet te borgen. Zoals gezegd is de implementatie een absolute prioriteit voor de
diensten. Gelijktijdig met de implementatie van het nieuwe wettelijke kader moet de
operationele taakuitvoering van de diensten en daarmee de bescherming van de nationale
veiligheid doorgang vinden. Dit is immers onze wettelijke taak. In antwoord op de
vraag van de leden van de PvdD-fractie wie de inschatting maakt of de uitvoeringspraktijk
van de diensten in het geding is, geldt dat het aan de diensten zelf is problemen
in de uitvoeringspraktijk te signaleren richting de betrokken bewindspersoon. Zonder
enige afbreuk te willen doen aan onze politieke verantwoordelijkheid, moge het immers
duidelijk zijn dat de diensten zelf het beste zicht hebben op hun werkzaamheden.

De leden van de PvdD-fractie hebben ook gevraagd of de Minister bereid is met een
nieuwe wet te komen die de bescherming van privacy en persoonsgegevens als uitgangspunt
neemt in plaats van de door de inlichtingendiensten gewenste bevoegdheden. In antwoord
hierop merken wij op het oordeel van de toezichthouder te delen dat de wet in balans
is. Er is dan ook geen enkele aanleiding om met een nieuwe wet te komen.

In reactie op de leden van de PvdD-fractie aangaande de uitspraken van de voormalig
directeur van de MIVD, geldt dat deze op persoonlijke titel zijn gedaan en op geen
enkele wijze representatief zijn voor de wijze waarop er binnen de diensten wordt
gedacht over onderwerpen als privacy en rechtsbescherming. Van deze uitspraken nemen
wij dan ook krachtig afstand. Bij de diensten werken betrokken professionals die hun
werkzaamheden binnen de kaders van de wet uitvoeren. Wij zien daarom geen aanleiding
voor het uitvoeren van een anonieme peiling.

De vraag van de leden van de CDA-fractie over een adequaat instrumentarium voor de
zorgplicht is reeds betrokken bij de beantwoording onder het hoofdstuk «zorgplicht».
De vraag van deze leden aangaande de ICT-infrastructuur van de MIVD is behandeld onder
het hoofdstuk «algemeen beeld». Daarnaast is de vraag over het «zo gericht mogelijk»
criterium betrokken bij de beantwoording onder «onderzoeksopdrachtgerichte interceptie».

7. Tijdpad

In reactie op de vraag van de leden van de PvdD-fractie wanneer de diensten volledig
aan de bestaande en beloofde wettelijke verplichtingen voldoen, geldt dat wij, zoals
aangegeven in de aanbiedingsbrief van de voortgangsrapportage, ernaar streven om de
risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende
voortgangsrapportage van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen
waar zij op dit moment een hoog risico signaleert.