Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 9
NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 4 september 2023

Inhoudsopgave

I.

Algemeen deel

2

 

1.

Inleiding

14

 

2.

Inhoud van het wetsvoorstel op hoofdlijnen

21

 
 

2.1

Inleiding

21

 
 

2.2

Integrale wijze van onderzoek in het cyberdomein en gegevensverwerking

24

 
 
 

2.2.3

De wijze van verwerking van gegevens

27

 
 

2.3

Overzicht van de voorgestelde maatregelen

28

 
 

2.4

De verhouding van de Tijdelijke wet tot de Wiv 2017

32

 

3.

De maatregelen nader beschouwd

42

 
 

3.1

De reikwijdte van de wet

43

 
 

3.2

verkennen van en binnendringen in een geautomatiseerd werk

45

 
 
 

3.2.1

Verkennen van een geautomatiseerd werk

51

 
 
 

3.2.2

Technische risico’s

52

 
 
 

3.2.3

Verduidelijking bijschrijfmogelijkheid

53

 
 

3.3

Onderzoeksopdrachtgerichte (OOG) interceptie en GDA

56

 
 
 

3.3.1

Het verkennen ten behoeve van OOG-interceptie

65

 
 

3.4

Bijschrijfmogelijkheid artikel 47 Wiv 2017

67

 
 

3.5

Bijschrijfmogelijkheid artikel 54 Wiv 2017

70

 

4.

Toets en toezicht en de mogelijkheid van beroep op de Afdeling bestuursrechtspraak
van de Raad van State

72

 
 

4.1

Inleiding

72

 
 

4.2

Bindend toezicht door de afdeling toezicht van de CTIVD

77

 
 

4.3

Beroep op de Afdeling bestuursrechtspraak

43

 

5.

Grondrechtelijke en mensenrechtelijke aspecten

91

 

6.

Gevolgen verbonden aan de uitvoering van de wet

103

 
 

6.1

Algemeen

103

 
 

6.2

De uitvoeringsconsequenties voor de TIB, de CTIVD en de Afdeling bestuursrechtspraak
van de Raad van State

103

 

7.

Advies en consultatie

107

 
 

7.1

Algemeen

107

 
 

7.2

De reactie van de TIB

108

 
 

7.3

Overige reacties (burgers en NGO’s)

108

II.

Artikelsgewijze toelichting

109

I. Algemeen deel

Wij hebben met veel belangstelling kennis genomen van de vragen en opmerkingen van
de leden van de fracties van de VVD, D66, CDA, SP, PvdA, GroenLinks, PvdD, CU, SGP,
Volt en BBB. Wij gaan daar graag op in. Daarbij zal zoveel mogelijk de indeling van
het verslag worden gevolgd. Waar dat dienstig is zullen gelijkluidende vragen van
de leden van de diverse fracties worden samengenomen en worden beantwoord. Er zijn
in het verslag diverse vragen gesteld over de nota van wijziging en de Hoofdlijnennotitie.
Deze beide documenten zijn gelijktijdig met deze nota naar aanleiding van het verslag
aan de Tweede Kamer aangeboden. Kortheidshalve is naar de inhoud daarvan verwezen.

De leden van de VVD-fractie hebben met veel waardering en interesse kennisgenomen
van het wetsvoorstel. Zij benadrukken dat de (digitale) dreiging van landen met een
offensief cyberprogramma toeneemt en dat daarmee de Nederlandse (veiligheids)belangen
in zowel nationaal als internationaal verband onder druk komen te staan. Zij achten
het dan ook noodzakelijk om de juiste randvoorwaarden te scheppen voor de effectieve
taakuitvoering van de Nederlandse inlichtingen- en veiligheidsdiensten in het cyberdomein,
zodat daarmee de toenemende (digitale) dreigingen het hoofd kunnen worden geboden
en de nationale veiligheid beter kan worden gewaarborgd. Zij van mening dat het voorliggende
wetsvoorstel de diensten daartoe in staat stelt.

De leden van de D66-fractie geven aan kennis te hebben genomen van het wetsvoorstel
en onder andere vragen te hebben over de reikwijdte, technische aspecten, nadere verduidelijking
en proportionaliteit van het voorliggende wetsvoorstel.

Zo vernemen deze leden graag van de regering of de dreiging van landen met een offensief
cyberprogramma nog even groot is als toen de wet werd aangekondigd. Wij reageren hierop
graag als volgt. De dreiging van landen met een offensief cyberprogramma tegen Nederland
en Nederlandse belangen is onverminderd groot. In dit verband wordt verwezen naar
de jaarverslagen van de AIVD en MIVD over het jaar 2022. De knelpunten die met de
Tijdelijke wet opgelost moeten worden, worden groter. De cyberdreigingen zijn in de
afgelopen jaren toegenomen, terwijl het zicht op de dreiging van landen met een offensief
cyberprogramma verder is afgenomen.1 Landen als China, Rusland, Iran en Noord-Korea zetten op grote schaal digitale aanvallen
in. Deze landen opereren offensief, opportunistisch en houden zich niet aan de rechtstatelijke
principes en regels zoals wij dat doen. Doelwitten zijn persoonsgegevens, belangrijke
hightech innovaties, politieke standpunten, militaire geheimen, kwetsbaarheden van
onze vitale infrastructuur, informatie over dissidenten en nog veel meer. Het gaat
dus om economische schade, militaire schade, fysieke schade en/of geopolitieke schade
veroorzaakt bij zowel Nederlandse organisaties als ook individuele Nederlanders. Bijvoorbeeld
doordat routers van Nederlanders worden gebruikt vanuit Rusland door hackers van de
GRU. Of doordat persoonsgegevens van Nederlandse burgers worden buitgemaakt. De AIVD
zag dit in 2022 gebeuren toen verschillende landen met offensieve cyberprogramma’s
probeerden data te stelen in de (Europese) reis- en luchtvaartsector (Jaarverslag
2022). Ook hebben de diensten in het afgelopen jaar gezien dat Russische staatshackers
een cyberoperatie aan het voorbereiden waren waarbij de website van een Nederlandse
overheidsinstelling zou worden misbruikt. De hackers maakten een kopie van deze overheidswebsite
om bezoekers daarvan te kunnen infecteren met malware om ze hiermee te kunnen bespioneren.
In potentie kunnen de gegevens van Nederlandse burgers die hackers buitmaken gebruikt
worden voor allerlei doeleinden. Een ander goed voorbeeld zijn Russische desinformatiecampagnes
rond MH17. Voor landen met een offensief cyberprogramma kunnen Nederlandse burgers
een middel zijn om bepaalde doelen (beïnvloeding, spionage, sabotage) te bereiken.
De Nederlandse infrastructuur is hier bij uitstek in het vizier vanwege het feit dat
Nederland in het wereldwijde communicatienetwerk een belangrijk knooppunt is. Landen
zetten een offensief cyberprogramma in de vorm van cyberoperaties veelal in als onderdeel
van een bredere offensieve strategie, waarbij ook andere – meer klassieke – operaties
worden ingezet, teneinde hun geopolitieke doelstellingen te bereiken. Deze operaties
vormen ook onderdeel van een militaire strategie. Deze aanpak van die landen wordt
ook wel een whole-of-society approach genoemd. Dat vergt van de AIVD en MIVD een integrale
wijze van onderzoek naar die landen waar de dreiging vanuit gaat. De diensten doen
daarbij onderzoek naar hun doelwitten, intenties, capaciteiten en wijze van aansturing.
Om deze vragen te kunnen beantwoorden is het nodig om naar meer dan alleen de specifieke
cyberaanval te kijken. Cyberaanvallen worden niet uitgevoerd als doel op zich, maar
als onderdeel van een integrale strategie. De diensten moeten dan ook integraal onderzoek
doen naar het land achter de aanval, zodat zij zicht krijgen op de herkomst, aansturing,
politieke intenties, doelwitten en slachtoffers van de cyberaanvallen. Het is nodig
zicht te krijgen op welke infrastructuur cyberactoren gebruiken, welke personen of
organisaties daarachter zitten en wat hun modus operandi is. Pas dan kunnen de diensten
beter zicht krijgen op de dreiging die van de landen uitgaat. Dat zicht hebben de
diensten nu onvoldoende. Deze wet gaat daar een belangrijke bijdrage aan leveren.

Om de AIVD en de MIVD aan hun wettelijke taak te kunnen laten voldoen, is het noodzakelijk
bestaande bevoegdheden op een effectieve wijze in te kunnen zetten tegen deze landen.
Het huidige wettelijke kader sluit onvoldoende aan bij de cyberdreiging en het type
onderzoek naar landen met een offensief cyberprogramma. Zoals ook in de memorie van
toelichting aangeven, zijn er een aantal knelpunten die er in de praktijk voor zorgen
dat de dreiging die vanuit statelijke actoren uitgaat onvoldoende effectief door de
diensten kunnen worden onderkend, onderzocht en tegengegaan. Dat komt omdat een aantal
bevoegdheden op een beperkte wijze kunnen worden uitgeoefend. Iedere bevoegdheid die
de diensten tot hun beschikking hebben om onderzoek te doen naar dreigingen zijn ieder
op zich noodzakelijk en hebben hun eigen, unieke meerwaarde. Zo zijn bulkdatasets
noodzakelijk omdat hiermee bijvoorbeeld de koppeling gemaakt kan worden tussen target
en telefoonnummer. Of is onderzoek op de kabel nodig om de verborgen dreiging te zien
die daar voorbij komt, zoals een aanval van een nog onbekend Russisch target. Het
gaat hierbij om de puzzelstukjes die de puzzel compleet kunnen maken. Zonder deze
puzzelstukjes geen goed zicht. In de praktijk blijkt dat als gevolg van de eerdergenoemde
knelpunten waardevolle bulkdatasets moeten worden vernietigd, dat hackoperaties hortend
en stotend op gang komen en worden uitgevoerd of helemaal niet kunnen worden opgestart
en dat OOG-interceptie op de kabel niet goed van de grond komt.

Dat deze bevoegdheden niet effectief kunnen worden ingezet klemt extra, omdat het
bij dit soort complexe onderzoeken gaat om de inlichtingenmiddelenmix, waarbij elke
bevoegdheid die voor dit soort onderzoeken wordt ingezet, het geheel effectiever maakt.
Dat is onderdeel van de eerder genoemde integrale wijze van onderzoek doen. Het één
kan niet zonder het ander. Als een bevoegdheid niet kan worden ingezet of wegvalt,
kan dat worden vergeleken met het vallen van dominosteen dat effect heeft op het hele
onderzoek. Een afnemende effectiviteit van elk van deze middelen heeft een negatieve
consequentie voor het werk van de diensten en de combinatie daarvan versterkt dat
alleen maar ten negatieve. Zo kunnen bijvoorbeeld bulkdatasets niet worden gebruikt
om een koppeling te kunnen maken tussen een target en een kenmerk, waardoor een hackoperatie
niet kan worden gestart. Ook kan bijvoorbeeld niet via kabelinterceptie worden opgemerkt
dat een bepaald target een kenmerk heeft waardoor deze kan worden gehackt.

De Tijdelijke wet treft enkele regelingen die bovengenoemde knelpunten moet oplossen.
Het is deze combinatie van maatregelen en inzet van inlichtingenmiddelen die de diensten
effectiever maken in hun onderzoeken naar landen met een offensief cyberprogramma.
Alleen dan is het mogelijk zicht op de dreiging van deze landen op te bouwen en de
verborgen dreiging gekend te maken. Bij die ongekende of verborgen dreiging weten
de inlichtingen- en veiligheidsdiensten dat er een dreiging is, maar is nog niet bekend
hoe deze dreiging eruitziet, hoe deze zich technisch manifesteert en welke personen
of organisaties te identificeren zijn.

De leden van de D66-fractie vragen voorts of er verschuivingen hebben plaatsgevonden
in de landen waar de dreiging vandaan komt sinds de aankondiging van het voorstel.
Ook vragen zij of nader uiteengezet kan worden welke landen onder «landen met een
offensief cyberprogramma» vallen. Is, aldus deze leden, deze term dynamisch en betekent
dit dat eventueel andere dan de in de memorie van toelichting genoemde landen, hieronder
kunnen worden geschaard als de omstandigheden daartoe aanleiding geven. In dit kader
vragen zij ten slotte voorts of ook NAVO- of EU-landen hier theoretisch onder kunnen
(gaan) vallen. Op dit samenhangende complex aan vragen willen we graag als volgt reageren.
De specifieke landen met een offensief cyberprogramma waar op dit moment actief onderzoek
naar wordt gedaan door de diensten worden genoemd in de staatsgeheim gerubriceerde
bijlage bij de Geïntegreerde Aanwijzing (GA). In de memorie van toelichting bij het
voorstel van de Tijdelijke wet worden twee voorbeelden genoemd: China en Rusland.
In het jaarverslag 2022 van de AIVD worden ook Iran en Noord-Korea genoemd. De diensten
doen ook onderzoek naar cyberdreigingen en cyberaanvallen afkomstig van statelijke
actoren of (criminele) organisaties die cyberaanvallen uitvoeren als deze direct gericht
zijn op Nederland of Nederlandse belangen. Hieronder valt ook de ongekende digitale
dreiging gericht tegen Nederland of Nederlandse belangen. Of en, zo ja, welke verschuiving
heeft plaatsgevonden kan vanwege het genoemde staatsgeheime karakter ervan – anders
dan hetgeen reeds in de openbaarheid is gebracht – niet worden benoemd. Gelet op de
– in de woorden van deze leden – dynamisch gekenschetste term, is het zeker mogelijk
dat omstandigheden aanleiding kunnen geven om andere – dan de in de toelichting en
het jaarverslag genoemde – landen onder de term «landen met een offensief cyberprogramma»
te scharen. Zoals eerder aangegeven, bepaalt de GA naar welke landen met een offensief
cyberprogramma de diensten onderzoek doen, maar ook de GA kan op dit punt worden aangepast
als omstandigheden daartoe aanleiding geven. De diensten hebben in de GA ook de opdracht
gekregen om onderzoek te doen naar de (op dit moment) ongekende dreiging. Dit kunnen
dreigingen zijn die nog niet geattribueerd kunnen worden aan een al gekende statelijke
actor met een offensief cyberprogramma genoemd in de GA, of dreigingen die komen van
statelijke actoren waarvan tot nu toe onbekend was dat zij een dreiging vormden tegen
Nederland of Nederlandse belangen. Dit kunnen ook NAVO- of EU-landen zijn, indien
deze landen een offensief cyberprogramma hebben dat gericht is op Nederland of Nederlandse
belangen en de GA de diensten de opdracht geeft hier onderzoek naar te doen. De Kamer
wordt hierover geïnformeerd via de Commissie voor de Inlichtingen- en Veiligheidsdiensten
(CIVD).

De leden van de D66-fractie wijzen erop dat volgens de memorie van toelichting het
bestaande regime van de Wiv 2017 de inlichtingendiensten belemmert om onderzoek naar
landen met een offensief cyberprogramma effectief uit te kunnen voeren. Deze leden
verzoeken de regering aan te geven of de inlichtingendiensten met de voorliggende
tijdelijke wet dit onderzoek wel effectief kunnen uitvoeren. In het wetsvoorstel zijn
diverse elementen opgenomen die deze belemmeringen weg kunnen nemen en de effectiviteit
van de inzet vergroten. Bij de totstandkoming van het wetsvoorstel zijn zowel diensten,
departementen als de TIB en CTIVD op een constructieve wijze betrokken. Dit geeft
vertrouwen dat met dit wetsvoorstel het doel van grotere effectiviteit van de diensten
bereikt kan worden. Voor wat betreft uitvoering geldt dat het concept wetsvoorstel
op uitvoeringseffecten is getoetst. De uitkomsten hiervan zijn zo goed mogelijk in
het uiteindelijke wetsvoorstel verwerkt. Dit geeft ook ten aanzien van de uitvoerbaarheid
van het wetsvoorstel het benodigde vertrouwen.

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel
en onderkennen dat het van groot belang is dat de AIVD en MIVD met adequate bevoegdheden
zijn toegerust om onderzoek te doen naar landen met een offensief cyberprogramma.
In dat kader herinneren zij aan de motie-Van der Staaij c.s.2 Deze leden willen meegeven dat wanneer dergelijke landen erin slagen om vertrouwelijke
informatie, economische en technologische kennis te bemachtigen, dit niet alleen het
vrije maatschappelijk verkeer van onze inwoners schaadt en schendt maar ook een enorme
inbreuk op de burgerrechten van onze inwoners betekent. Naar het oordeel van deze
leden is het dan ook een valse tegenstelling dat het hier zou gaan om een uitruil
tussen burgerrechten en veiligheid. De diensten moeten dan ook zo snel mogelijk in
staat worden gesteld te handelen op dreigingen van landen met een offensief cyberprogramma.
Wij steunen deze reactie.

De leden van de CDA-fractie wijzen erop dat technologische ontwikkelingen snel gaan
en vragen in dat verband in hoeverre deze wet voldoende ruimte voor de veiligheidsdiensten
geeft om te kunnen opereren tegen dreigingen uit landen met een offensief cyberprogramma
die gebruik maken van nieuwe technologische ontwikkelingen om informatie te vergaren
en te verwerken. Wij antwoorden graag als volgt. Dit wetsvoorstel stelt de AIVD en
MIVD in staat effectiever onderzoek te doen naar landen met een offensief cyberprogramma.
Juist in het cyberdomein zijn wendbaarheid en snelheid cruciaal. De Wiv 2017 biedt
– zo blijkt ook uit het ECW-rapport – deze snelheid en wendbaarheid onvoldoende, waardoor
de diensten onvoldoende in staat zijn de cyberdreiging op een adequate manier te onderzoeken
en tegen te gaan. Dit wetsvoorstel beoogt die ruimte wel te bieden. De desbetreffende
landen opereren steeds geavanceerder en de technische omgeving waarbinnen zij opereren
wijzigt constant. Het is daarom van belang de onderzoeksmethoden van de diensten hierop
aan te passen en tijdens onderzoeken te kunnen meebewegen in een dynamisch en veranderlijk
domein. Dit is nodig om zicht te houden, maar in veel gevallen juist zicht te krijgen
op de doelwitten, intenties, technische capaciteiten en wijze van aansturing en daarmee
de dreiging van landen met een offensief cyberprogramma.

De leden van de CDA-fractie wijzen erop dat de Afdeling advisering het geen gegeven
acht dat met de voorgestelde maatregelen de beoogde operationele snelheid en wendbaarheid
zal worden bereikt en dat, gelet daarop, de Afdeling het van groot belang acht dat
de maatregelen tijdens de looptijd van de tijdelijke wet gemonitord worden. In reactie
hierop heeft de regering gesteld dat gedurende de looptijd van de tijdelijke wet (tussentijds)
de uitvoering intern door de diensten zal worden gemonitord en dat de (tussentijdse)
resultaten met de stelselpartners (de CTIVD, de TIB en de Afdeling bestuursrechtspraak
van de Raad van State) zullen worden gedeeld en besproken. Deze leden vragen op welk
moment de Kamer wordt geïnformeerd over de bevinding van de tussentijdse monitoring.
Wij antwoorden deze leden graag als volgt. Om te kunnen beoordelen of de Tijdelijke
wet functioneert is op dit moment voorzien dat deze 1 jaar na inwerkingtreding (tussentijds)
wordt gemonitord, middels een invoeringstoets. Zodra de eerste inzichten beschikbaar
zijn, zullen die met de Kamer worden gedeeld.

Deze leden vragen voorts wanneer de Kamer de nota van wijziging tegemoet kan zien,
die bij brief van 20 december 20223 is aangekondigd. De nota van wijziging, die is voorzien van een uitgebreide toelichting,
is gelijktijdig met deze nota naar aanleiding van het verslag aan de Tweede Kamer
aangeboden. Tegelijkertijd is ook het nader rapport naar aanleiding van het door de
Afdeling advisering van de Raad van State uitgebrachte advies openbaar geworden.

Op de vraag van de leden van de CDA-fractie wat de consequenties voor het functioneren
van de diensten kunnen zijn, indien het wetsvoorstel niet voortvarend wordt behandeld,
merken wij het volgende op. Wij erkennen dat het wetgevingsproces door diverse factoren,
zoals het feit dat wij het wenselijk hebben geacht een nota van wijziging in te dienen
en deze voorafgaand daaraan voor advies voor te leggen aan de Afdeling advisering
alsmede de tijd die de afstemming met TIB en CTIVD heeft genomen, ten opzichte van
de eerder uitgesproken wens van een voortvarende behandeling vertragend heeft gewerkt.
De oorzaak daarvan was gelegen in de noodzaak om ook voor de bulkdatasets in overleg
met de toezichthouders tot een uitvoerbare oplossing te komen. Een en ander neemt
niet weg dat de problematiek waarvoor het wetsvoorstel een oplossing beoogt te bieden,
niet weg is en zeker niet is afgenomen; integendeel. De cyberdreigingen zijn in de
afgelopen jaren toegenomen, terwijl het zicht op die dreiging is afgenomen. Er dreigt
een grotere kloof te ontstaan tussen de ontwikkeling van de dreiging en digitale aanvallen
van landen met een offensief cyberprogramma en de weerbaarheid van Nederland daartegen.
Dat levert evidente risico’s op voor onze nationale veiligheid. De afronding van het
wetstraject blijft ons streven. Ook in deze periode achten wij behandeling die niet
wacht tot de verkiezingen noodzakelijk gezien de dreiging.

De leden van de SP-fractie hebben kennisgenomen van het wetsvoorstel en geven aan
daarover nog vele vragen te hebben. Deze leden vragen allereerst waarom de regering
ervoor gekozen heeft dit wetsvoorstel incompleet aan de Kamer voor te leggen, voordat
de afronding via een nota van wijziging klaar is. Wij antwoorden graag als volgt.
Het aan de Kamer voorgelegde wetsvoorstel is niet incompleet. Het heeft zelfstandige
betekenis en ook zonder de voorgenomen wijzigingen die zijn opgenomen in de gelijktijdig
met deze nota naar aanleiding van het verslag aan de Tweede Kamer aangeboden nota
van wijziging, blijft het van het grootste belang dat de daarin opgenomen wettelijke
voorzieningen om de diensten in staat te stellen effectief onderzoek te kunnen doen
naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen
op een zo kort mogelijke termijn beschikbaar komen. Zie voorts hetgeen wij hiervoor
in antwoord op de vraag van de leden van de CDA-fractie hebben geantwoord.

De leden van de SP-fractie geven aan verbaasd te zijn dat tijdens de technische briefing
van de toezichthouders bleek dat deze een brief inzake het toezicht op de AIVD en
MIVD hadden gekregen en dat de nadere informatie die de Kamer in voorbereiding op
het verslag vroeg niet is gestuurd. Zij vragen waarom dit zo is en waarom de regering
de Tweede Kamer informatie onthoudt over besluiten die zij wel heeft genomen in het
kader van dit wetsvoorstel. Wij antwoorden deze leden graag als volgt. De brief waaraan
de voorzitter van de TIB tijdens de technische briefing aan refereerde behelsde een
antwoord op een vraag in de (niet door de TIB openbaar gemaakte) aanbiedingsbrief
van haar consultatiereactie op de ontwerpnota van wijziging. De TIB vroeg daarin om
verduidelijking van het door ons in gesprekken met de voorzitter van de TIB ingenomen
standpunt inzake de toepasselijke proportionaliteitstoets in het kader van het wetsvoorstel.
In die brief, die desgevraagd ook aan de Kamer is gezonden, is die verduidelijking
gegeven. Er was geen intentie om de Kamer deze informatie te onthouden.

De leden van de fractie van de SP geven aan dat in de aanloop van dit wetsvoorstel
de regering met meerdere fracties in de Tweede Kamer heeft afgesproken om steun te
verwerven voor dit wetsvoorstel (Vergaderjaar 2022/23, Aanhangsel van de Handelingen,
nr. 1185) en deze leden vragen de regering opnieuw of zij uit wil leggen waarom deze fracties
zijn geselecteerd voor dat overleg en welke informatie daar met de fracties is gedeeld.
Deze leden hechten er zeer aan dat alle volksvertegenwoordigers een gelijke informatiepositie
krijgen van de regering, zeker op het vlak van wetgeving, en verzoeken dus om inhoudelijk
antwoord op deze opnieuw gestelde vraag. In reactie hierop merken wij het volgende
op. Het is niet ongebruikelijk dat een bewindspersoon de mogelijke steun in de Kamer
voor een wetsvoorstel verkent. De gesprekken door de toenmalige Ministers van BZK
en van Defensie werden noodzakelijk geacht om een beeld te vormen over het draagvlak
voor een tijdelijke wet binnen de Tweede Kamer. Deze gesprekken waarbij een bewindspersoon
mogelijke steun voor een wetsvoorstel verkent zijn oriënterend van aard. Het was dan
ook niet de intentie om met alle fracties te spreken.

De leden van de SP-fractie willen weten of de regering tijdens deze gesprekken toezeggingen
heeft gedaan over dit wetsvoorstel of de werkwijze van de geheime diensten die in
een vorm van een «side letter» bestaan. De toenmalige Ministers van BZK en van Defensie
hebben destijds gesproken over de aanleiding voor de tijdelijke wet, de toegenomen
dreiging vanuit landen met een offensief cyberprogramma en de operationele knelpunten
die de AIVD en MIVD ervaren in de onderzoeken naar deze landen. De gesprekken vonden
plaats met de portefeuillehouders van de coalitiepartijen, alsmede met de portefeuillehouders
van oppositiepartijen GroenLinks, PvdA, SGP en JA21, en gingen over de aanleiding
en over het draagvlak voor de tijdelijke wet. Er zijn in deze gesprekken geen toezeggingen
gedaan over het wetsvoorstel en/of de werkwijze van de diensten. Er bestaat dan ook
geen «side letter».

Deze leden vroegen voorts of de regering op dit moment gesprekken met Tweede Kamerfracties
over dit wetsvoorstel voert buiten het wetstraject om, bijvoorbeeld omdat zij wil
onderzoeken welke steun er is in de Eerste Kamer? Het is, zoals hiervoor al is uiteengezet,
gebruikelijk dat er rondom wetsvoorstellen verkennend wordt gesproken met verschillende
Tweede en Eerste Kamerfracties over steun voor wetsvoorstellen.

De leden van de SP-fractie vragen waarom deze wet het karakter van «spoed» heeft gekregen,
zeker nu duidelijk is dat er in 2021 al door (voormalig) bewindspersonen uitgebreid
met fracties is gesproken over dit wetsvoorstel en er uit documenten, opgevraagd via
de Wet open overheid, blijkt dat er meermaals een plan is gemaakt om de presentatie
van het wetsvoorstel «goed te laten landen», bijvoorbeeld via de inzet van «witte
jassen» en steunzenders. In reactie hierop merken wij op, dat de dreiging van landen
met een offensief cyberprogramma toeneemt en die dreiging is actueel, terwijl het
zicht op die dreiging en de weerbaarheid daartegen afneemt. Dat levert directe risico’s
op voor de nationale veiligheid. De noodzaak en urgentie om de nationale veiligheid
te beschermen is dan ook groot. Deze Tijdelijke wet moet er voor zorgen dat de diensten
effectief onderzoek kunnen doen naar de cyberdreiging. Een spoedige behandeling en
inwerkingtreding van de wet is daarom van belang. De Tijdelijke wet betreft echter
een technische en juridische complexe materie waardoor zorgvuldig te werk moet worden
gegaan in het voorbereidingstraject. In de communicatie ten aanzien van het voorstel
voor een Tijdelijke wet worden personen gesproken die bekend zijn binnen en met het
nationale veiligheidsdomein, het werk van de TIB en CTIVD en de diensten, waardoor
ze de (technisch) complexe materie die in de Tijdelijke wet wordt geregeld goed begrijpen
en feitelijke informatie op dat punt goed over kunnen brengen aan anderen. Er is geen
sprake van de inzet van «steunzenders» of «witte jassen» die een positief geluid over
het wetsvoorstel kunnen verspreiden. Overigens, zoals ik ook in antwoord op kamervragen
van het toenmalig Kamerlid Leijten heb aangegeven4, is de term witte jassen of steunzenders niet geheel passend en daarom zullen deze
termen in het vervolg niet meer worden gebruikt, maar zal worden gesproken over vaktechnische-
of inhoudelijk experts. Beoogd is aan genoemde experts feitelijke informatie te verschaffen
over nut en noodzaak van het wetsvoorstel die zij vervolgens kunnen overbrengen dan
wel toelichten aan anderen indien zij daarnaar worden gevraagd. Het is namelijk in
ieders belang dat de discussie omtrent dit wetsvoorstel gevoerd wordt op basis van
feiten en met respect voor argumenten voor en tegen.

Ook willen de leden van de SP-fractie graag een heldere uitleg van de regering over
wat zij als «nieuw» betitelt in dit wetsvoorstel, omdat bij de Wiv 2017 al een spoedprocedure
– waarbij het toezicht van de TIB vooraf wordt uitgesteld – bestaat. Wordt deze spoedprocedure
betiteld als onwerkbaar en zo ja, waarom dan precies? In de context van de Wiv 2017
moet spoed enerzijds onderscheiden worden van snelheid en wendbaarheid anderzijds.
De spoedprocedure is bedoeld voor onvoorziene en uitzonderlijke situaties waarbij
er niet gewacht kan worden met de inzet van middelen om een dreiging te onderzoeken,
terwijl in onderzoeken naar landen met een offensief cyberprogramma operationele snelheid
en wendbaarheid juist doorlopend van essentieel belang is. Zo moet er bij cyberoperaties
snel meebewogen kunnen worden met de aanvaller, bijvoorbeeld door kenmerken bij te
schrijven op een hacklast, en is snelheid de norm. Het is daarnaast van belang gedurende
een hackoperatie het binnendringen in een geautomatiseerd werk en onderzoek in dit
systeem ononderbroken voort te zetten, bijvoorbeeld om onderkenning te voorkomen.
Anders komen operaties stil te liggen waardoor inlichtingenposities verloren gaan.
Dit proces is iets anders dan spoed. De spoedprocedure uit de Wiv 2017 is daarom niet
de geschikte procedure om snelheid en wendbaarheid in deze onderzoeken te bewerkstelligen.
Dit wetsvoorstel beoogt oplossingen te bieden om die snelheid en wendbaarheid in de
dagelijkse praktijk van de diensten mogelijk te maken. Dit zorgt ervoor dat de wijze
waarop de diensten onderzoek doen past bij de dynamiek van de dreiging. Daarom wordt
in een gedeeltelijke verschuiving van de statische TIB toets vooraf naar bindend toezicht
van de CTIVD gedurende en na afloop van de uitvoering van bepaalde bijzondere bevoegdheden
voorzien, bijvoorbeeld ten aanzien van de bijschrijfmogelijkheid bij de bevoegdheid
tot het binnendringen in en de bevoegdheid tot het verkennen van geautomatiseerde
werken.

De leden van de SP-fractie vragen de regering ook te reageren op de «spoed» claim
voor deze wet als het gaat om de korte consultatietermijn die is toegepast voor dit
wetsvoorstel en het feit dat er vervolgens na het sluiten van de termijn het nog zeven
maanden duurde voordat het wetsvoorstel bij de Kamer werd ingediend. Zij vragen of
de regering kan reflecteren op haar werkwijze. Wij lichten de gevolgde werkwijze graag
als volgt toe. Bij het opstellen van deze wet zijn verschillende organisaties betrokken.
Naast de departementen zijn ook de uitvoeringsorganisaties AIVD en MIVD nauw aangesloten
bij dit proces. Daarnaast zijn de TIB en CTIVD, mede op verzoek van uw Kamer, vanaf
het begin van het opstellen van deze wet intensief geconsulteerd. Vanwege de taak
die aan de Afdeling bestuursrechtspraak van de Raad van State is toebedeeld in de
Tijdelijke wet, is ook deze organisatie uitvoerig geconsulteerd. Aangezien elke wijziging
in de wet direct effect heeft of kan hebben op de nationale veiligheid en/of het operationele
werk van de diensten is er nadrukkelijk aandacht geweest voor de uitvoerbaarheid van
het wetsvoorstel. Alle genoemde betrokken organisaties hebben hieraan bijgedragen.
Al deze consultatie reacties en inzichten in de uitvoerbaarheid zijn zorgvuldig meegenomen
en meegewogen in de aanpassingen van de tekst van het wetsvoorstel en de memorie van
toelichting. Dit gehele proces nam veel tijd in beslag, waardoor het inderdaad nog
zeven maanden duurde voordat het daadwerkelijk ingediend kon worden.

De leden van de SP-fractie vragen de regering te reageren op de uitspraak van de directeur-generaal
van de AIVD, gedaan tijdens het rondetafelgesprek van 5 april 2023, dat de diensten
niet bij de totstandkoming van de Wiv 2017 betrokken waren en dat daardoor de implementatie
van de Wiv 2017 (zie het rapport van de Algemene Rekenkamer over de slagkracht van
de AIVD en MIVD) niet goed is verlopen. Klopt deze uitspraak wel, zo vragen deze leden
aan de regering. Zij herinneren zich de actieve rol van de AIVD in de discussies rond
het referendum over de Wiv 2017. Ook herinneren zij zich de foutieve informatie die
de AIVD over de Wiv 2017 op haar website had (Vergaderjaar 2017/18, Aanhangsel van
de Handelingen, nr. 921). Zij vragen of de regering helder kan uitleggen waar de stellige uitspraak van de
DG-AIVD vandaan komt. Wij willen hier als volgt op reageren. De uitspraak komt van
de praktijkervaring van de diensten met de Wiv 2017, de lessen die de regering daaruit
heeft getrokken en de constateringen van de ECW en de ARK in hun rapporten. Eén van
de grote verschillen tussen de voorbereiding van de Wiv 2017 destijds en de voorbereiding
van de Tijdelijke wet nu is dat er destijds geen goede uitvoeringstoets is geweest.
De Algemene Rekenkamer heeft in haar rapport geconcludeerd dat de uitvoeringseffecten
bij de implementatie van de Wiv 2017 meer aandacht hadden moeten krijgen bij de totstandkoming
van de wet. Ook constateren zij dat de onmisbare technische en operationele inbreng
vanuit de diensten bij de totstandkoming van de wet beperkt was. Ook de ECW heeft
in het kader van haar evaluatie van de Wiv 2017 aanbevolen voorafgaand aan de inwerkingtreding
van toekomstige wetswijzigingen een impactanalyse uit te voeren en zo in praktische
zin de consequenties van de invoering van de wet in beeld te brengen. De ECW doet
dan ook de aanbeveling5 bij een toekomstige wetswijziging tijdig aandacht te hebben voor de implementatie
daarvan en een ICT-uitvoeringstoets uit te doen. Ook moet worden opgemerkt dat enkele
cruciale punten in de wet pas in een laat stadium van het wetstraject zijn toegevoegd,
zoals het gerichtheidscriterium en de oprichting van de TIB, zonder voldoende stil
te staan bij de uitvoeringseffecten van die aanpassingen. Wij hebben de aanbevelingen
van de ECW en ARK ter harte genomen bij de voorbereiding van de Tijdelijke wet. Bij
de voorbereiding van dit wetsvoorstel is doorlopend aandacht geweest voor de uitvoerbaarheid
van het wetsvoorstel voor de diensten door verschillende uitvoeringstoetsen uit te
voeren. Bij deze uitvoeringstoetsen zijn ook de TIB, CTIVD en Afdeling bestuursrechtspraak
van de Raad van State betrokken geweest. De uitkomsten van die uitvoeringstoetsen
zijn betrokken bij de totstandkoming van het wetsvoorstel. Ook hebben de diensten
reeds de voorbereiding van de implementatie van de Tijdelijke wet gestart, zodat implementatievraagstukken
en eventuele knelpunten tijdig worden gesignaleerd.

De leden van de SP-fractie vragen of de regering kan aangeven welke ándere opties
dan een wetswijziging onderzocht zijn om de administratieve last van de inzet van
bevoegdheden te verminderen. Voordat is besloten over te gaan tot het opstellen van
een wetsvoorstel is samen met alle stelselpartners – in casu de TIB, de CTIVD en de
betrokken departementen – onderzocht of de Wiv 2017 voldoende ruimte bood om de operationele
knelpunten die de diensten in onderzoeken naar landen met een offensief cyberprogramma
ervoeren op te lossen. Uit de gesprekken met deze stelselpartners, dus ook de TIB
en CTIVD, is de conclusie getrokken dat de problematiek enkel via een wetswijziging
kan worden opgelost. Bij de implementatie van de Tijdelijke wet wordt tevens meegenomen
hoe de interne processen zo efficiënt mogelijk kunnen worden ingericht, bijvoorbeeld
door automatisering van bepaalde processtappen. Het aanpassen van interne processen
lost echter niet de geconstateerde operationele knelpunten op. Daarnaast merken wij
op dat alhoewel administratieve lastenverlichting gewenst is, de Tijdelijke wet niet
primair ten doel heeft de administratieve last van de inzet van bevoegdheden te verminderen.
De Tijdelijke wet beoogt een effectieve inzet van bevoegdheden die past bij de snelheid,
dynamiek en complexiteit van onderzoeken naar landen met een offensief cyberprogramma
en een daarbij passend en robuust stelsel van waarborgen.

De leden van de PvdA-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel.
Deze leden delen de zorg over het feit dat ook Nederland in toenemende mate te maken
heeft met dreigingen vanuit diverse landen met een offensief cyberprogramma en dat
de inlichtingen- en veiligheidsdiensten de wettelijke mogelijkheden moeten hebben
om onderzoek naar dergelijke dreigingen te doen en daar tegen op te kunnen treden.
Dit neemt echter niet weg dat er bij eventuele versterking van de wettelijke mogelijkheden
een balans moet worden behouden tussen enerzijds het kunnen optreden tegen die bedreigingen
en anderzijds de bescherming van de democratische rechtsstaat. Wij onderschrijven
deze benadering, waarbij wij wel opmerken dat het optreden van de diensten tegen de
hier bedoelde dreigingen ook plaatsvindt ter bescherming van de democratische rechtsstaat.
Een solide wettelijke borging van de bevoegdheden van de diensten achten de leden
van de PvdA-fractie noodzakelijk. Deze leden geven aan nog meerdere vragen bij het
wetsvoorstel te hebben. Wij hopen dat wij met de beantwoording van de vragen van deze
en andere leden hen ervan kunnen overtuigen dat met dit wetsvoorstel de door deze
leden noodzakelijk geachte balans en solide wettelijke borging wordt geboden.

De leden van de GroenLinks-fractie hebben met belangstelling kennisgenomen van het
wetsvoorstel en onderschrijven het belang van effectieve wetgeving om de diensten
in staat te stellen te voorkomen dat landen met een offensief cyberprogramma Nederland
schade toebrengen. Zij hechten daarnaast ook veel belang aan goede waarborgen tegen
disproportionele inzet van bevoegdheden en aan effectief toezicht van de toezichthouders.
Om de passendheid van het wetsvoorstel binnen deze uitgangspunten te kunnen beoordelen
geven zij aan nog behoorlijk wat vragen te hebben.

De leden van de PvdD-fractie geven aan met ontstentenis kennis te hebben genomen van
het wetsvoorstel. Zij hebben bezwaren tegen het wetsvoorstel en vinden het staatsrechtelijk
vreemd dat gelijktijdig met de aanbieding van de wet al een nota van wijziging werd
aangekondigd. De leden van de PvdD-fractie verwachten dat de Staten-Generaal deugdelijke
wetgeving ontvangt en kan behandelen en niet meteen op aanvullende of reparatiewetgeving
moeten rekenen. Anders dan deze leden zien wij geen staatsrechtelijke bezwaren tegen
de aankondiging van een nota van wijziging gelijktijdig met de indiening van het wetsvoorstel.
Het indienen van nota’s van wijziging is immers een normaal onderdeel van het wetgevingsproces.
Nu reeds bij de indiening van het wetsvoorstel het voornemen bestond om op het wetsvoorstel
een nota van wijziging in te dienen, leek het ons juist wenselijk om de Kamer daarvan
op de hoogte te stellen om te voorkomen dat de Kamer zich bij het achterwege laten
van een dergelijke mededeling juist daardoor overvallen zou kunnen voelen. Wij verwijzen
kortheidshalve naar de brief van 20 december 2022 die wij aan de Kamer hebben gezonden.6 Het ingediende wetsvoorstel is naar ons oordeel deugdelijk en de nota van wijziging
strekt zeker niet tot reparatie van het wetsvoorstel. Het heeft wel een substantieel
aanvullend karakter, hetgeen de reden is om de ontwerpnota van wijziging voor advies
aan de Afdeling advisering voor te leggen. Dat neemt niet weg dat het wetsvoorstel
wel degelijk zelfstandige betekenis heeft. Wij hopen dan ook met de beantwoording
van de vragen en opmerkingen van de leden van deze fractie de scepsis die bij deze
leden met betrekking tot dit wetsvoorstel leeft weg te kunnen nemen.

De leden van de ChristenUnie-fractie hebben met belangstelling kennisgenomen van het
wetsvoorstel. Ze hebben nog wel enkele vragen daarbij, die zich met name toespitsen
op de in artikel 13 geregelde beroepsmogelijkheid bij de Afdeling bestuursrechtspraak
van de Raad van State.

De leden van de SGP-fractie hebben met belangstelling van het wetsvoorstel kennisgenomen.
Zij vinden het belangrijk dat de diensten snel en wendbaar kunnen reageren op de complexe
en wisselende dreigingen die uitgaan van landen. Zij geven aan vragen te hebben over
de wenselijkheid van verschillende toezichtregimes en de relatie tussen het wetsvoorstel
en bezinning op de herziening voor de langere termijn. Ook wachten zij de nota van
wijziging af. Waar het gaat om de herziening voor de langere termijn verwijzen wij
naar de gelijktijdig met deze nota naar aanleiding van het verslag en nota van wijziging
aan de Tweede Kamer aangeboden Hoofdlijnennotitie. Daarin is onder meer ingegaan op
enkele scenario’s die er bestaan met betrekking tot het stelsel van toetsing, toezicht
en klachtbehandeling alsmede op de verhouding van onderhavig wetsvoorstel tot de herziening
van de Wiv 2017.

De leden van de Volt-fractie hebben kennisgenomen van het wetsvoorstel en hetgeen
schriftelijk is voorbereid en toegelicht tijdens het rondetafelgesprek over het wetsvoorstel
op 5 april 2023.

Het lid van de BBB-fractie heeft van alle documenten omtrent het wetsvoorstel kennisgenomen
en nog een aantal vragen daarover.

Het wetsvoorstel voorziet in een tijdelijk, van de Wiv 2017 afwijkend, regime voor
het onderzoek van de AIVD en de MIVD naar landen met een offensief cyberprogramma.
Er wordt hier uitgegaan van tijdelijke wetgeving voor de termijn van vier jaar. Het
lid van de BBB-fractie wil graag vernemen wat de beweegredenen van de regering zijn
om de wet tijdelijk te maken? Zijn de problemen omtrent dit onderwerp, zo stelt dit
lid, niet permanent van aard? Wij reageren hierop graag als volgt. Het doel van het
onderhavige wetsvoorstel is het op korte termijn treffen van een tijdelijke voorziening
om de diensten in staat te stellen om effectief op te kunnen treden tegen de dreigingen
van landen met een offensief cyberprogramma tegen Nederland. Daarmee kon niet worden
gewacht totdat de eerder aangekondigde herziening van de Wiv 2017 ter opvolging van
de evaluatie door de ECW zijn beslag zou hebben gekregen. Die omvat immers een scala
aan onderwerpen en vergt een langere voorbereidingstijd. In artikel 17 van het wetsvoorstel
is bepaald dat de Tijdelijke wet na vier jaar vervalt. De reden daarvoor is dat de
herziening van de Wiv 2017 naar verwachting binnen de werkingsduur van de Tijdelijke
wet kan worden bewerkstelligd. Mocht dat onverhoopt niet zo zijn, dan zal bezien moeten
worden of een wetstraject tot verlenging van de Tijdelijke wet moet worden ingezet.

Het lid van de BBB-fractie leest dat de inlichtingendiensten 9% en 10% van hun personeelscapaciteit
kwijt zijn om te voldoen aan de wet. Dit betreft veel juridische en administratieve
capaciteit. Dit lid vraagt wat de regering ervan vindt dat zoveel personeelscapaciteit
hier naartoe gaat en of er naar mogelijkheden kan worden gezocht waarbij de diensten
niet zoveel tijd kwijt zijn aan bureaucratische werkzaamheden. In reactie hierop antwoorden
wij als volgt. Zoals de ARK heeft geconcludeerd lijdt de operationele slagkracht onder
structurele administratieve lastenverzwaring als gevolg van de implementatie van de
Wiv 2017. De ARK heeft de aanbeveling gedaan om hier passende maatregelen te treffen
nu de operationele slagkracht onder druk staat. Wij hechten belang aan een goede implementatie
van de wet door de diensten en onderschrijven de aanbeveling van de ARK. Tegelijkertijd
wordt onderkend dat de zwaarte van de wettelijke bevoegdheden zorgvuldige besluitvorming
vereist op basis van een gedegen, door waarborgen omgeven proces. Het is evident dat
dit administratieve capaciteit vergt. Sinds de implementatie van de Wiv 2017 hebben
de diensten verder geïnvesteerd in de ICT-capaciteit en het interne toezicht op onder
andere de gegevensverwerking. Dit door middel van meer structurele borging van het
compliant werken. Dit moet ervoor zorgen dat de administratieve (lasten) verzwaring
afneemt.

Het lid van de BBB-fractie wijst erop dat de TIB en de CTIVD nu een wettelijke grondslag
krijgen voor de informatie-uitwisseling. In het verlengde hiervan wordt gevraagd waarom
de regering er niet voor kiest om van deze twee organen één orgaan te maken. Deze
twee organen lijken op het eerste gezicht op elkaar en daarmee zou de efficiëntie
worden bevorderd en de bureaucratie worden verminderd. Dit lid vraagt of de regering
dit ook denkt en aan te geven in hoeverre dit mogelijk is. Wij merken allereerst op
dat beide organen binnen het bestaande stelsel van toetsing en toezicht twee te onderscheiden
functies vervullen. De TIB dient een door de Minister verleende toestemming voor de
inzet van bijzondere bevoegdheden op rechtmatigheid te toetsen.7 Wordt de verleende toestemming onrechtmatig bevonden, dan vervalt deze van rechtswege.
De TIB is dan ook in de autorisatiefase voorafgaand aan de inzet van (bepaalde) bijzondere
bevoegdheden gepositioneerd. De afdeling toezicht van de CTIVD (hierna ook: de afdeling
toezicht) heeft een andersoortige taak en functie en ziet toe op de rechtmatige uitvoering
van de Wiv 2017. De vraag of het laten opgaan van beide organen in één nieuw orgaan
wenselijk is, is een vraagstuk dat niet in het kader van dit wetsvoorstel dient te
worden beantwoord maar in het kader van de herziening van de Wiv 2017. In de Hoofdlijnennotitie
wordt hierop – en op andere mogelijke scenario’s voor een herinrichting van het stelsel
van toetsing, toezicht en klachtbehandeling – ingegaan.

Zowel de AIVD als de MIVD voeren speciale strategische operaties uit. Van een strategische
operatie kan sprake zijn als een van de diensten zich positioneert in een netwerk
of binnendringt bij een leverancier van software gebruikt door targets. Dit is noodzakelijk
om zicht te kunnen krijgen op de activiteiten en intenties van targets zoals landen
met een offensief cyberprogramma en hiermee ook een betere inlichtingenpositie te
krijgen. Hiermee kunnen we in het kader van de nationale veiligheid cyberoperaties
onderkennen en tijdig tegen gaan. Het lid van de BBB-fractie geeft aan dat bevoegdheden
hiertoe zijn opgenomen in de Wiv 2017, maar door een gebrek aan toetsingskaders heeft
de TIB meerdere aanvragen om te interveniëren afgewezen. Dit lid vindt dit uitermate
slecht en aannemelijk is ook dat Nederland hierdoor minder informatie kan vergaren.
Dit lid vraagt of hier in de nieuwe wet rekening mee is gehouden zodat het voorgaande
niet meer kan gebeuren. Wij antwoorden dit lid graag als volgt. Met de in het wetsvoorstel
voorgestelde maatregelen wordt beoogd de thans in de praktijk van de uitvoering van
onderzoeken naar landen met een offensief cyberprogramma ondervonden belemmeringen
bij de toepassing van de Wiv 2017 te adresseren. In hoofdstuk 2 van de memorie van
toelichting is uiteengezet op welke wijze dit is uitgewerkt in het wetsvoorstel. Een
belangrijk onderdeel vormt de te introduceren mogelijkheid om tegen oordelen van de
TIB beroep in te kunnen stellen bij de Afdeling bestuursrechtspraak. Daarmee wordt
– zoals de ECW in haar evaluatierapport aangeeft – een weeffout in het bestaande stelsel
van toetsing en toezicht hersteld. Dit biedt de mogelijkheid om in de situatie waar
tussen de TIB en de voor een dienst verantwoordelijke Minister verschil van mening
bestaat over de uitleg van de wet, zoals bijvoorbeeld over het toetsingskader, bij
de Afdeling bestuursrechtspraak een eenduidige en gezaghebbende uitspraak te verkrijgen.

Het lid van de BBB-fractie vraag voorts of de regering kan toezeggen dat aanvragen
van veiligheidsdiensten niet meer worden afgewezen omwille van gebrekkige bureaucratische
regels. In reactie hierop antwoorden wij als volgt. De inzet van bijzondere bevoegdheden
door de diensten, ook die rondom strategische operaties, gaat altijd gepaard met passende
waarborgen. De afwegingen die worden gemaakt en interne procedures die worden gevolgd,
te weten vanaf het verzoek om toestemming tot de inzet van de bijzondere bevoegdheid,
zorgen er voor dat er sprake is van een grote mate van zorgvuldigheid van voorbereiding
tot en met de inzet van de bevoegdheid. Deze zijn ook inzichtelijk voor de CTIVD.
Dit is in de Tijdelijke wet niet anders en betekent dat er ook in de Tijdelijke wet
sprake zal zijn van enige vorm van bureaucratie. Uit de uitvoeringstoets is echter
gebleken dat de Tijdelijke wet in zijn huidige vorm uitvoerbaar is. Hoe de Tijdelijke
wet in de praktijk gaat werken is, net zoals de Raad van State constateert, is afhankelijk
van het rolvaste gedrag van de stelselpartners. Met de Tijdelijke wet wil de regering
het mogelijk maken dat bestaande bijzondere bevoegdheden in samenhang met passende
waarborgen kunnen worden ingezet ten behoeve van het beschermen van Nederlandse belangen
tegen offensieve cyberdreigingen. De bureaucratie die hierbij hoort moet werkbaar
zijn, en is noodzakelijk om de inzet van bijzondere bevoegdheden te laten voldoen
aan de waarborgen die daarbij horen.

Het lid van de BBB-fractie wijst tot slot op de risico’s verbonden aan de bredere
bevoegdheden van de diensten en dat bijvoorbeeld het College voor de Rechten van de
Mens (CRvdM) en Bits of Freedom (BoF) kritische reacties hebben gegevens op het wetsvoorstel.
In reactie op de vraag van dit lid of de regering deze reactie heeft gelezen, wordt
bevestigend geantwoord. In paragraaf 7 van de memorie van toelichting is ingegaan
op deze en andere reacties. Daar is ook gereageerd op enkele van de door dit lid aangestipte
onderwerpen uit die reacties, met name waar het gaat om de informatieplicht (meldplicht)
en de informatie-uitwisseling tussen TIB en CTIVD. Voor zover daarbij de door dit
lid aangestipte voorbeelden daarin niet zijn geadresseerd, zullen deze bij de inhoudelijke
bespreking van de desbetreffende onderwerpen in deze nota naar aanleiding van het
verslag worden betrokken.

1. Inleiding

De leden van de SP-fractie constateren dat het wetsvoorstel een nieuwe werkwijze en
vorm van toezicht introduceert voor het inlichtingenonderzoek van de diensten naar
landen met een offensief cyberprogramma. Deze leden vragen hoe wenselijk het is om
te gaan werken met twee verschillende toezichtsregimes. Wij reageren hierop graag
als volgt. Voorop wordt gesteld dat het bestaande toezichtsregime in de Wiv 2017 gewoon
geldt, ook waar het gaat om de onderzoeken die onder de werking van de regeling in
het wetsvoorstel vallen. Het wetsvoorstel geeft deels een afwijking van en deels een
aanvulling op het in de Wiv 2017 neergelegde stelsel, ook waar het gaat om het stelsel
van toetsing en toezicht. De afwijking bestaat daaruit dat (1) de toestemming voor
verkenning van geautomatiseerde werken (artikel 4, eerste lid) en (2) de toestemming
voor geautomatiseerde analyse op metadata verkregen via OOG-interceptie (artikel 8)
in het kader van onderzoeken waarop deze wet van toepassing is verklaard niet meer
ter toetsing aan de TIB wordt voorgelegd. De aanvulling ten opzichte van de Wiv 2017
bestaat uit twee onderdelen, namelijk de introductie van (1) een bindende toezichtsbevoegdheid
voor de afdeling toezicht en (2) de mogelijkheid van beroep op de Afdeling bestuursrechtspraak.
In de genoemde gevallen waarbij de TIB-toets komt te vervallen, wordt bindend toezicht
door de afdeling toezicht geïntroduceerd. De in het wetsvoorstel getroffen voorzieningen
zijn onlosmakelijk verbonden met de andere daarin opgenomen afwijkingen dan wel aanvullingen
van de Wiv 2017 ter zake van de bijzondere bevoegdheden van de diensten en zijn ook
daartoe beperkt. De keuze voor deze voorzieningen hangt samen met de wens om voor
de onderzoeken en (met name) de daarbij in te zetten bevoegdheden in de sfeer van
OOG-interceptie en hacken, te komen tot een vorm van toets en toezicht dat aansluit
bij de fase waarin de desbetreffende bevoegdheden moeten worden ingezet en als zodanig
ook beter aansluit bij de dynamiek van de uitvoering van die bevoegdheden. Dit standpunt
wordt door zowel TIB als CTIVD onderschreven. Het gaat er dan ook uiteindelijk niet
om of – zoals deze leden stellen – het wenselijk is met twee toezichtsregimes te werken.
Het is inherent aan de gemaakte keuzen in de Tijdelijke wet om de diensten meer mogelijkheden
te bieden voor hun onderzoeken in het cyberdomein dat die gepaard dienen te gaan met
aanvullende waarborgen, ook in de sfeer van toezicht. Bovendien achten we het stelsel
werkbaar, nu immers voorafgaand aan de inzet van bijzondere bevoegdheden door de diensten
onder de werking van de Tijdelijke wet altijd aangegeven moet worden dat daarop de
Tijdelijke wet van toepassing is. Dit bepaalt ook 1-op-1 of het in het wetsvoorstel
opgenomen stelsel van toetsing, toezicht en beroep van toepassing is. Daar kan dus
geen rechtsonzekerheid over ontstaan.

Waar het gaat om de vraag van deze leden welk regime de diensten moeten hanteren bij
een offensieve aanval van een land dat niet betiteld is als actor die onder dit wetsvoorstel
valt, wordt opgemerkt dat het wetsvoorstel betrekking heeft op alle landen met een
offensief cyberprogramma tegen Nederland of Nederlands belangen (artikel 2, eerste
lid). Indien is vastgesteld dat het niet om een land (statelijke actor) gaat, dan
is uitsluitend de Wiv 2017 van toepassing.

De leden van de SP-fractie vragen of de regering helder kan uiteenzetten welke landen
zich kwalificeren als landen met offensieve cyberprogramma’s tegen Nederland of Nederlandse
belangen? Wij verwijzen deze leden naar onze reactie op een vergelijkbare vraag van
de leden van de D66-fractie.

De leden van de SP-fractie vragen voorts hoe landen nu precies in aanmerking komen
en op welke wijze de kwalificatie vervalt. Wij antwoorden deze leden als volgt. De
wettelijke taken van de diensten worden aan de hand van de inventarisatie van de behoeften
bij belanghebbende ministeries8 uitgewerkt in onderzoeksthema’s in de Geïntegreerde Aanwijzing (GA). Daarin is ook
het onderzoek naar landen met een offensief cyberprogramma opgenomen. Het offensieve
cyberprogramma moet gericht zijn op Nederland of Nederlandse belangen. Landen komen
in aanmerking voor deze kwalificatie als de diensten en de belanghebbende ministeries
aanwijzingen hebben dat deze landen actief een offensief cyberprogramma ontplooien
waarmee zij een risico vormen gericht op Nederland en/of Nederlandse belangen. Indien
bij actualisering van de GA een thema geen prioriteit meer heeft of er geen onderzoeksbehoefte
meer is, kan dat thema vervallen. Bij onderhavig onderzoeksthema is daarvan geen sprake;
integendeel. De cyberdreiging neemt alleen maar toe.

Deze leden vragen of de regering ook kan aangeven wat wordt verstaan onder «Nederlandse
belangen»? Wij reageren hierop graag als volgt. De Nederlandse belangen waar deze
wet naar verwijst, zijn de belangen zoals beschreven in de veiligheidsstrategie voor
het Koninkrijk der Nederlanden.9 Deze nationale veiligheidsbelangen vormen de kern van wat Nederlandse inlichtingen-
en veiligheidsdiensten moeten beschermen. Er zijn verschillende dreigingen voor de
nationale veiligheid. Als een dreiging één of meer veiligheidsbelangen ernstig aantast,
kan dat maatschappelijke ontwrichting veroorzaken en daarmee de nationale veiligheid
schaden. Tegelijkertijd zijn deze dreigingen met elkaar verweven. De ene dreiging
heeft invloed op de andere dreiging, waardoor ze elkaar kunnen versterken. De Veiligheidsstrategie
legt de nadruk op deze verwevenheid en beschrijft de veiligheidsbelangen als volgt:

– Territoriale veiligheid: Het ongestoord functioneren van het Koninkrijk der Nederlanden
en haar EU en NAVO bondgenoten als onafhankelijke staten in brede zin,

– dan wel de territoriale veiligheid in enge zin.

– Fysieke veiligheid: Het ongestoord functioneren van de mens in het Koninkrijk der
Nederlanden en zijn omgeving.

– Economische veiligheid: Het ongestoord functioneren van het Koninkrijk der Nederlanden
als een effectieve en efficiënte economie.

– Ecologische veiligheid: Het ongestoord blijven voortbestaan van de natuurlijke leefomgeving
in en nabij het Koninkrijk der Nederlanden.

– Sociale en politieke stabiliteit: Het ongestoorde voortbestaan van een maatschappelijk
klimaat waarin individuen ongestoord kunnen functioneren en groepen mensen

– goed met elkaar kunnen samenleven binnen de verworvenheden van de democratische rechtstaat
van het Koninkrijk der Nederlanden en de daarin gedeelde waarden.

– Internationale rechtsorde en stabiliteit: Het goed functioneren van het internationale
stelsel van normen en afspraken, gericht op het bevorderen van de internationale vrede
en veiligheid, inclusief mensenrechten, en effectieve multilaterale instituties en
regimes, alsmede het goed functioneren van staten grenzend aan het Koninkrijk der
Nederlanden en in de directe omgeving van de Europese Unie.

De leden van de SP-fractie vinden het beschermen van het Nederlandse bedrijfsleven
tegen cyberaanvallen zeer belangrijk maar vragen de regering wel uit te leggen wat
precies de rol van de AIVD en MIVD behoort te zijn op dit vlak. Is dat de taak van
veiligheidsdiensten, of zou het beter zijn om het bestaande Nationaal Cyber Security
Center (NCSC) hier beter op toe te rusten, zo vragen deze leden. Wij beantwoorden
deze vraag als volgt. De AIVD en de MIVD hebben in het kader van de nationale veiligheid
beiden zowel een veiligheidstaak als een inlichtingentaak. Dat behelst onderzoek,
waarbij men – anders dan het NCSC – algemene en bijzondere bevoegdheden mag inzetten
om dreigingen tegen de nationale veiligheid te onderkennen. Daarmee kan uniek zicht
op de digitale dreiging worden opgebouwd. Daarnaast hebben de diensten ook een veiligheidsbevorderende
taak, gericht op rijksoverheid, defensie en vitale sectoren. Het Nationaal Bureau
Verbindingsbeveiliging (NBV) van de AIVD maakt daar gebruik van om organisaties te
adviseren over het versterken van de digitale weerbaarheid. Vanzelfsprekend wordt
daarbij door de diensten nauw samengewerkt met ketenpartners zoals het NCSC. De MIVD
doet specifiek onderzoek bij en naar de defensie-industrie en verwerkt in dat kader
inlichtingen, waarbij de bescherming van het desbetreffende bedrijfsleven tegen cyberaanvallen
een belangrijk aandachtspunt is.

De leden van de SP-fractie geven aan dat zij economische schade van cyberaanvallen
uiteraard ook willen terugdringen en voorkomen, maar, zo vragen deze leden, is het
grootschalig kunnen afluisteren van de samenleving daarvoor het uitgelezen middel.
Zij vragen of de regering hierop een reflectie kan geven. Allereerst merken we op
dat we afstand nemen van de door deze leden gehanteerde kwalificatie dat er sprake
zou zijn van grootschalig afluisteren van de Nederlandse samenleving. Wat wel gebeurt,
maar dat is inherent aan zowel de bevoegdheid tot het verkennen ten behoeve van OOG-interceptie
als de bevoegdheid tot OOG-interceptie, is dat in beide gevallen sprake is van het
in bulk intercepteren van gegevens die – in de context van de Tijdelijke wet – bij
kunnen dragen aan het beantwoorden van onderzoeksvragen over landen met een offensief
cyberprogramma. De Nederlandse bevolking als samenleving valt hier niet onder. Omdat
offensieve cyberprogramma’s zich voornamelijk via het internet manifesteren en omdat
van te voren niet bekend is waar dreigingen vandaan komen of hoe deze eruit zien,
is de mogelijkheid om via de hier bedoelde bijzondere bevoegdheden dataverkeer te
kunnen verwerven cruciaal. De inzet van deze bevoegdheden voor de interceptie van
gegevens die worden getransporteerd via een kabel- of satellietverbinding (ook HF,
UHF en VHF) alsmede de opslag en verdere verwerking van de aldus verworven gegevens
hebben voornamelijk betrekking op het buitenland. Wij hanteren het begrip «voornamelijk»
omdat door de werking van het internet het nimmer uit te sluiten is dat hier ook gegevens
van of over burgers uit Nederland in zitten. Het onderzoek van de diensten richt zich
echter op het beantwoorden van onderzoeksvragen naar personen en/of organisaties die
onderdeel uitmaken van landen met een offensief cyberprogramma. Bij de verkenning van de kabel- of satellietverbindingen wordt eerst onderzocht welke gegevens van
deze kabel of satelliet wél en welke gegevens niet kunnen bijdragen aan het beantwoorden
van onderzoeksvragen. Op deze manier kunnen bij de interceptie voor het inlichtingenproces dus alleen die gegevens worden geïntercepteerd en verwerkt waarvan de gerede verwachting
is dat deze een bijdrage leveren aan de beantwoording van de onderzoeksvragen. Het
betreft hier dan zoals hierboven aangegeven de onderzoeksvragen gericht op de dreiging
vanuit landen zoals China en Rusland. Voordat deze bevoegdheden ingezet mogen worden,
toetst de TIB of de verleende toestemming voor de inzet van deze bevoegdheden rechtmatig
is verleend. Daarbij wordt bezien of voldaan wordt aan de eisen van noodzakelijkheid,
proportionaliteit en subsidiariteit en – voor zover het gaat om OOG-interceptie voor
het inlichtingenproces – ook de eis van gerichtheid. De afdeling toezicht van de CTIVD
kan te allen tijde hun reguliere toezicht houden op de uitvoering van de betreffende
bevoegdheden door de diensten.

De leden van de PvdA-fractie wijzen erop dat na de inwerkingtreding van de Wiv 2017
deze wet door de Evaluatiecommissie Wiv 2017 is geëvalueerd en dat de Algemene Rekenkamer
onderzoek heeft gedaan naar de invloed van die wet op de operationele slagkracht van
de diensten. Zij geven aan dat de uitkomsten van beide onderzoeken zijn gebruikt bij
de onderbouwing van het voorliggende wetsvoorstel. Zij missen echter een beschouwing
op het rapport dat op verzoek van de Minister van BZK door de hoogleraren Bovend’Eert,
Lawson en Winter is gemaakt. Zij vragen of de regering alsnog uitgebreid op de conclusies
van de genoemde hoogleraren in hun rapport kan ingaan en aan kunnen geven in hoeverre
die conclusies stroken met de voorstellen in voorliggend wetsvoorstel. Wij reageren
hierop graag als volgt. De genoemde rapportages, dus die van de ECW, de Algemene Rekenkamer
en van de drie hoogleraren, zijn rapportages die primair van belang zijn bij de herziening
van de Wiv 2017. In de Hoofdlijnennotitie die betrekking heeft op de herziening van
de Wiv 2017 en die gelijktijdig met deze nota naar aanleiding van het verslag aan
de Tweede Kamer is aangeboden, wordt op deze rapportages ingegaan. Wij verwijzen naar
hetgeen daar is gesteld. Bij de voorbereiding van voorliggend wetsvoorstel heeft het
advies van de drie hoogleraren geen enkele rol gespeeld. Immers het advies is uitgebracht
in het kader van de te nemen vervolgstappen ter opvolging van het rapport van de ECW
en de daarin gedane voorstellen met betrekking tot het stelsel van toetsing, toezicht
en klachtbehandeling gaan het bestek van de Tijdelijke wet te buiten. Dat ligt slechts
ten dele anders waar het gaat om het rapport van de ECW, omdat een aantal aanbevelingen
van de ECW van direct belang bleken te zijn voor de met het voorliggend wetsvoorstel
te adresseren problematiek. Dat ziet onder meer op de aanbevelingen met betrekking
tot de bijschrijfmogelijkheid, de verkenningsbevoegdheid bij OOG-interceptie en het
herstel van de door de ECW geconstateerde weeffout10 in het stelsel van toezicht, namelijk door het openen van de beroepsmogelijkheid
bij de Afdeling bestuursrechtspraak.

De leden van de PvdA-fractie wijzen er op dat na de inwerkingtreding van de voorliggende
wet er twee wettelijke regimes voor toetsing en toezicht ontstaan en in hoeverre,
zo vragen deze leden, vormt dat een extra belasting voor de diensten en de toezichthouders.
De extra belasting zal voornamelijk liggen bij de implementatie van de Tijdelijke
wet, waarbij door de diensten uitvoeringsbeleid gemaakt moet worden en medewerkers
moeten worden opgeleid. Ook voor de TIB en de CTIVD zal een implementatietermijn nodig
zijn, zoals de CTIVD in haar reactie op het ontwerpwetsvoorstel ook eerder heeft aangegeven.
Met beide instanties is omtrent de benodigde aanvullende capaciteit, onder andere
van juridische aard, overleg gevoerd.

Ook vragen deze leden in hoeverre het bestaan van twee wettelijke regimes op zich
al niet nadelig is voor de slagkracht van de diensten. Wij willen deze leden allereerst
verwijzen naar hetgeen wij eerder in Onderdeel I van deze nota naar aanleiding van
het verslag hebben geantwoord op vragen van de leden van de CDA-fractie, waarbij zij
vragen of de wet voldoende ruimte aan de diensten geeft om te opereren tegen dreigingen.
In aanvulling daarop merken we op dat wij er vertrouwen in hebben dat het wetsvoorstel
bij kan dragen aan de effectiviteit van de uitvoering van de taken van de diensten
en de mogelijkheid om de verplichtingen die uit het wetsvoorstel voortvloeien goed
uit te kunnen voeren.

De leden van de fractie van de PvdA vragen of de regering nog nader kan ingaan op
de vraag waarom de bestaande wetgeving niet afdoende zou zijn om op te kunnen treden
tegen cyberbedreigingen van statelijke actoren. Ook vinden deze leden ondanks de uitleg
in de memorie van toelichting nog niet duidelijk waarom het zo gericht als mogelijk
werken voor de diensten belemmerend zou zijn. Ook op dit punt vragen zij of de regering
daarop wil ingaan. Zoals we ook al eerder in deze nota naar aanleiding van het verslag
hebben gesteld, zijn wendbaarheid en snelheid essentieel bij onderzoeken in het cyberdomein.
In het cyberdomein is het immers, in tegenstelling tot het fysieke domein, voor personen
en organisaties waar de diensten onderzoek naar doen zeer eenvoudig om snel en vaak
te wisselen van locatie, wereldwijd. Het is van belang mee te kunnen bewegen met dergelijke
veranderingen. De noodzakelijke wendbaarheid en snelheid kan op dit moment echter
binnen de bestaande wettelijke kaders niet worden gerealiseerd. Dit is tevens geconcludeerd
door de ECW. Ook heeft de Algemene Rekenkamer in haar rapport over de operationele
slagkracht van de diensten geconcludeerd dat de effectiviteit van de diensten onder
druk staat. Effectief onderzoek doen naar de dreiging vanuit statelijke actoren was
dus al onvoldoende mogelijk binnen de kaders van de Wiv 2017, maar is het urgenter
geworden door de toenemende dreiging. De knelpunten die de diensten nu ondervinden
in deze onderzoeken kunnen enkel worden opgelost met een wetswijziging. Immers, zonder
een adequate inzet van bevoegdheden is het voor beide diensten moeilijk, en soms onmogelijk,
op een effectieve wijze uitvoering te geven aan onderzoek naar landen met een offensief
cyberprogramma en daarmee zicht te krijgen op de dreiging die daarvan uitgaat. Juist
in onderzoeken als hier bedoeld is het van belang de verborgen dreiging te kunnen
onderkennen. Bij de totstandkoming van de Wiv 2017 is onvoldoende onderkend wat dit
betekent voor de inzet van bijzondere bevoegdheden. Bij de Wiv 2017 is de targetgerichte
benadering (gericht op een – zoveel mogelijk – vooraf gespecificeerde persoon of organisatie),
ook waar het gaat om de toepassing van bijzondere bevoegdheden, de dominante benadering
geweest. Onderzoek in het cyberdomein vergt echter een grotendeels andersoortige onderzoeksmethodiek,
waarbij ook een daarop aangepaste wijze van invulling van wettelijk vastgelegde criteria,
zoals bijvoorbeeld de eis van gerichtheid, past.11 Het wetsvoorstel beoogt dat de AIVD en de MIVD op een effectieve wijze hun wettelijke
taak met betrekking tot de dreigingen in het cyberdomein kunnen uitvoeren. Hierbij
blijft het niveau van waarborgen gehandhaafd en wordt dat zelfs op punten versterkt,
waarbij de aard van het toezicht beter aansluit bij de fase waarin de uitvoering van
een bijzondere bevoegdheid zich bevindt. Dat sluit beter aan bij de dynamische praktijk
van het cyberdomein en doet tevens recht aan de rolverdeling binnen het stelsel: namelijk
die tussen de TIB en de afdeling toezicht van de CTIVD in relatie tot de uitvoeringspraktijk
van de diensten.

Waar het gaat om de vraag van deze leden waarom «zo gericht mogelijk» voor de diensten
belemmerend zou zijn, merken we het volgende op. Bij de toepassing van de bevoegdheid
tot OOG-interceptie gericht op verkennen is de in artikel 26, vijfde lid, Wiv 2017
neergelegde eis dat de bevoegdheid gericht moet worden ingezet naar zijn aard niet
toepasbaar. Dit concludeert de CTIVD ook in rapport 75 over de inzet van kabelinterceptie.
De bevoegdheid tot verkennen heeft immers als doel om van de beschikbare gegevensstromen
vast te stellen welke gegevensstromen bij de uiteindelijke OOG-interceptie ex artikel
48 Wiv 2017 een bijdrage kunnen gaan leveren aan de beantwoording van de onderzoeksvraag.
Dit is alleen mogelijk door gegevensstromen te intercepteren en om vervolgens door
middel van technisch onderzoek te bepalen of en op welke wijze een gegevensstroom
mogelijk een bijdrage levert aan de beantwoording van onderzoeksvragen. Dit technisch
onderzoek richt zich onder andere op het onderzoeken van de aanwezigheid van voor
de onderzoeksvragen van de diensten van belang zijnde communicatie, het vaststellen
van de aard van deze communicatie en de gebruikte technische protocollen. Verkenning
heeft dus tot doel om het verzoek om toestemming voor OOG-interceptie voor inlichtingenonderzoek
te onderbouwen. In een verzoek om toestemming om de bijzondere bevoegdheid tot OOG-interceptie
als bedoeld in artikel 48 Wiv 2017 in te kunnen zetten dient volgens artikel 7 van
de Tijdelijke wet – als nadere duiding van de in artikel 26, tweede en vijfde lid,
Wiv 2017 neergelegde proportionaliteits- en gerichtheidseis – een indicatie te worden
gegeven welke gegevensstromen worden geïntercepteerd. De uitkomsten van de verkenning
bieden daarvoor de noodzakelijke informatie.

De leden van de PvdA-fractie wijzen op de spoedprocedure zoals die in artikel 37 Wiv
2017 is opgenomen. Daarin wordt bepaald dat indien er sprake is van onverwijlde spoed
een bevoegdheid ook al mag worden gebruikt zonder dat de TIB ex ante heeft getoetst;
die toetsing vindt dan achteraf plaats. Deze leden hebben een aantal vragen. Allereerst
willen zij vernemen hoe vaak die spoedprocedure wordt gebruikt. Wij wijzen op hetgeen
in het jaarverslag 2022 van de TIB is opgenomen, namelijk dat er in 2021 111 spoedprocedures
zijn aangevraagd en in 2022 129 spoedprocedures. Deze leden vragen voorts waarom de
spoedprocedure niet voldoende mogelijkheden biedt voor slagvaardig optreden van de
diensten en of daarvoor een Tijdelijke wet nodig is. Ook vragen zij of deze spoedprocedure
aangepast kan worden om de slagvaardigheid van de diensten te bevorderen, en zo ja,
waarom een Tijdelijke wet dan nog beter is. En, zo nee, waarom niet. Wij willen deze
leden allereerst verwijzen naar hetgeen we hiervoor in reactie op vragen van de leden
van de SP-fractie hebben gesteld over de spoedprocedure. In aanvulling daarop merken
we nog het volgende op. Een aanpassing van de spoedprocedure wordt niet passend geacht,
aangezien de spoedprocedure naar haar aard bedoeld is om in uitzonderingssituaties
snel te kunnen handelen. De Tijdelijke wet ziet niet op uitzonderingssituaties, waar
bijvoorbeeld een spoedprocedure voor ingezet kan worden, maar op een tijdelijke reguliere
oplossing voor de al eerder benoemde knelpunten die aan de orde van de dag zijn bij
onderzoeken naar cyberdreigingen van statelijke actoren, mét daarbij een adequaat
stelsel van toetsing en toezicht.

De leden van de GroenLinks-fractie constateren dat het voorliggende wetsvoorstel in
2021 is aangekondigd en nu pas in de Kamer voorligt ter behandeling, terwijl de regering
destijds heeft aangegeven, vooruitlopend op de bredere herziening van de Wiv 2017,
vanwege spoedeisende omstandigheden met een tijdelijke wet te komen. Zij vragen of
de regering kan aangeven waarom de tijd tussen de aankondiging van de tijdelijke wet
en de daadwerkelijke indiening bij de Kamer zo relatief lang heeft geduurd voor een
wet die aangekondigd was met spoed ingevoerd te moeten worden? Deze leden verwijzen
wij voor onze reactie op een vergelijkbare vraag van de leden van de SP-fractie naar
hetgeen daar is gesteld.

De leden van de fractie van GroenLinks vragen naar de stand van zaken van de aangekondigde
nota van wijziging. De nota van wijziging is gelijktijdig met deze nota naar aanleiding
van het verslag bij de Tweede Kamer ingediend.

De leden van de fractie van de PvdD-fractie vragen of de behandeling van deze wet
niet stilgelegd kan worden en de aandacht niet beter besteed kan worden aan de herziening
van de Wiv 2017. Wat hen betreft gaan we niet aan de slag met dit soort tijdelijke
wetgeving, met erg veel onduidelijkheden, maar zetten we in op een herziening van
de Wiv 2017. Daarbij moet, aldus deze leden, echt aandacht besteed worden aan en informatie
gedeeld worden over op welke schaal er momenteel al data (van burgers) verzameld wordt
door de veiligheidsdiensten, en hoort een deugdelijke impactanalyse. Daarnaast moeten
vragen beantwoord worden als: wat kan er momenteel wel en niet op basis van bevoegdheden?
Wat zijn de knelpunten? Deze leden zouden het liefst zien dat de herziening in één
keer goed gedaan wordt en niet met, zoals sommige experts het noemden, «experimenteerwetgeving»
komen waarbij geëxperimenteerd wordt met de data van miljoenen mensen. In reactie
op de vragen en opmerkingen van deze leden, merken wij op dat huidige Wiv 2017 aan
herziening toe is. In dit kader wordt mede verwezen naar de rapporten van de ECW en
ARK. De ECW constateert immers dat de Wiv 2017 niet op alle punten heeft gebracht
wat was beoogd en de ARK constateert dat de slagkracht van de diensten fors onder
druk staat. Echter, het stilleggen van de behandeling van de Tijdelijke wet is niet
wenselijk aangezien de diensten nog steeds aangeven dat ze op dit moment in onvoldoende
mate in staat zijn Nederland te beschermen tegen offensieve cyberdreigingen. De urgentie
van de problemen waar de Tijdelijke wet oplossingen voor biedt is dermate hoog, dat
het onwenselijk is om deze oplossingen uit te stellen tot het moment waarop de gehele
herziening van de Wiv 2017 is afgerond. De structurele herziening van de Wiv 2017
zal naar zijn aard omvangrijker zijn en meer voorbereidingstijd vragen dan de Tijdelijke
wet. In de Hoofdlijnennotitie wordt hier meer uitgebreid op ingegaan. Inzichten die
voortvloeien uit de (evaluatie van de) werking van de Tijdelijke wet worden meegenomen
in het wetvoorstel voor de structurele herziening. Wat de suggestie over het experimenteren
met data van miljoenen mensen betreft, kan worden opgemerkt dat de inzet van bijzondere
bevoegdheden voor het verkrijgen, bewerken, analyseren en/of opslaan van data ten
alle tijde voorzien zijn van passende waarborgen, bijvoorbeeld op het gebied van privacy.
Hierbij dient te worden opgemerkt dat de diensten in het kader van de Tijdelijke wet
deze gegevens verwerven en verwerken enkel in het kader van hun opdracht onderzoek
te doen naar de dreiging die uitgaan van landen met een offensief cyberprogramma gericht
op Nederland en Nederlandse belangen. Deze onderzoeken zijn dus altijd gericht op
de dreigingen vanuit het buitenland, namelijk vanuit landen als Rusland, China, Iran
en Noord-Korea. In de Tijdelijke wet worden de waarborgen voor de bescherming van
data van Nederlandse burgers niet afgeschaald. Op bepaalde bevoegdheden verschuift
het toezicht vooraf door de TIB naar toezicht tijdens of achteraf door de afdeling
toezicht. deze afdeling kan dan tijdens en na de inzet van een bevoegdheid bindend
toezicht houden en kan meekijken tijdens (bijvoorbeeld) het uitvoeren van een hackoperatie.
Indien er sprake is van een onrechtmatigheid, kan de afdeling via de voorgestelde
procedure in de Tijdelijke wet de inzet van de bevoegdheid direct stopzetten en de
verwerkte gegevens na de inzet van die bevoegdheid laten verwijderen en vernietigen.
Er is dan ook in het geheel niet sprake van experimenteren en ook niet van experimenteerwetgeving.

2. Inhoud van het wetsvoorstel op hoofdlijnen

2.1 Inleiding

De leden van de D66-fractie merken op dat het beoogde doel van de wet, namelijk meer
operationele snelheid en wendbaarheid mogelijk te maken, terwijl het niveau van toezicht
gelijk blijft, door de Afdeling advisering niet als gegeven wordt geacht. In reactie
op dit advies stelt de regering, aldus deze leden, dat de Afdeling advisering dit
terecht signaleert en dat het succes in sterke mate zal afhangen van de bereidheid
van de betrokken instanties tot rolvaste en constructieve samenwerking. Deze leden
vragen de regering hoe zij het succes van het bereiken van dit doel inschat en ook
of zij in dit verband nader kan ingaan op die constructieve samenwerking en aangeven
waar dit in het verleden wellicht niet geheel volgens wens verliep. Hoe is dat, zo
vragen deze leden ten slotte, met dit wetsvoorstel opgelost. Het beoogde doel van
de wet zal inderdaad in sterke mate afhangen van de bereidheid van betrokkenen tot
rolvaste en constructieve samenwerking. In de Tijdelijke wet wordt een aantal wettelijke
voorzieningen getroffen die tezamen met de uitleg in de memorie van toelichting en
hetgeen voorts in de parlementaire behandeling ter zake wordt gewisseld meer duidelijkheid
zal bieden over de inzet van bepaalde bijzondere bevoegdheden, niet alleen voor de
diensten maar ook waar het gaat om de toetsende taak van de TIB dan wel de toezichthoudende
taak van de afdeling toezicht in de onderscheiden fasen van inzet van bijzondere bevoegdheden
alsmede de reikwijdte van de uitoefening van de hen toekomende bevoegdheden. In het
verleden bestond er met betrekking tot bepaalde bijzondere bevoegdheden soms onduidelijkheid
over de mogelijkheden voor het inzetten van deze bevoegdheden. Dit kon dan resulteren
in verschillen van inzicht tussen betrokkenen, waardoor impasses ontstonden in de
toepassing van bevoegdheden. De Tijdelijke wet verschaft naar ons oordeel de helderheid
over de inzet van bepaalde cruciale bevoegdheden die eerder ontbrak. Indien er toch
geschillen ontstaan tussen de afdeling toezicht van de CTIVD of TIB enerzijds en de
verantwoordelijke Minister anderzijds biedt de Tijdelijke wet de mogelijkheid deze
voor te leggen aan de Afdeling Bestuursrechtspraak van de Raad van State. Daarmee
kunnen impasses worden doorbroken en wordt voorzien in eenduidige en gezaghebbende
uitleg van de betreffende wettelijke bepalingen.

De leden van de D66-fractie vragen de regering nader in te gaan op de spoedeisendheid
van het voorliggende wetsvoorstel. Het feit dat gekozen is voor een tijdelijke wet
impliceert dat niet tot een algehele herziening van de Wiv 2017 kan worden gewacht.
Zij missen een omschrijving van de spoedeisendheid in de memorie van toelichting,
met name waarom het wetsvoorstel nu geboden is en niet gewacht kan worden tot de algehele
herziening van de Wiv 2017. De toegenomen dreiging vanuit landen met een offensief
cyberprogramma en de operationele knelpunten die de AIVD en MIVD ervaren in de onderzoeken
naar deze landen vormen de aanleiding voor de Tijdelijke wet. Langer wachten met het
oplossen van deze knelpunten belemmert de diensten bij het adequaat beschermen van
de belangen van Nederlandse burgers, bedrijven, militairen en bondgenoten. De noodzaak
om de desbetreffende knelpunten op te lossen wordt bevestigd door de rapporten van
de Evaluatiecommissie Wiv en de Algemene Rekenkamer. Het ligt in de lijn der verwachting
dat de oplossingen voor de knelpunten die in de Tijdelijke wet zijn opgenomen ook
onderdeel zijn van de algehele herziening van de Wiv 2017. Echter het herzieningstraject
zal naar verwachting nog enkele jaren vergen en het is niet verantwoord om voor het
onderzoek naar landen met een offensief cyberprogramma gericht tegen Nederland op
de afronding van dat traject te wachten.

Waar het gaat om de vraag van deze leden of met betrekking tot de nota van wijziging
nog spoedadvies bij de Afdeling advisering is gevraagd, verwijzen wij naar het antwoord
op een vergelijkbare vraag van de leden van de fractie van de SP.

De leden van de CDA-fractie lezen dat de Tijdelijke wet bedoeld is om bedreigingen
vanuit diverse landen met een offensief cyberprogramma het hoofd te bieden, waarbij
zij aangegeven dat de landen die met name genoemd worden China, Rusland, Iran en Noord-Korea
zijn. Deze leden vragen of de Tijdelijke wet nu expliciet er op toeziet dat alleen
aanvallen uit deze landen het hoofd wordt geboden of geeft de wet voldoende mogelijkheden
om te kunnen ingrijpen wanneer andere landen buiten deze vier een offensief cyberprogramma
gaan ontwikkelen. In reactie hierop merken wij op dat de wet is ook van toepassing
is op het moment dat er sprake is van cyberdreiging en cyberaanvallen door andere
landen dan die welke door deze leden worden genoemd. Wij verwijzen deze leden voor
het overige naar hetgeen wij aan het begin van onderdeel I (Algemeen deel) van deze
nota naar aanleiding van het verslag in reactie op vragen van de leden van de D66-fractie
hebben uiteengezet over de wijze waarop het onderzoek van de diensten zich ook op
andere landen kan gaan richten.

De leden van de CDA-fractie lezen dat de acties van de hiervoor genoemde landen los
moeten worden gezien van eveneens schadelijke, maar met een crimineel oogmerk verrichte
aanvallen. Betekent dit nu, aldus deze leden, dat deze wet niet ingezet kan worden
op gelijksoortige aanvallen maar dan van criminelen, niet gelieerd aan een land met
een offensief cyberprogramma. Waarom, zo vragen deze leden, wordt de vertrouwelijke
informatie, economische en technologische kennis die door criminelen wordt verzameld
bij een aanval en daarna doorverkocht aan een land met een offensief cyberprogramma
niet op dezelfde wijze beoordeeld als een aanval van land met een offensief cyberprogramma.
Het gaat er volgens deze leden toch om dat vertrouwelijke informatie, en economische
en technologische kennis wordt beschermd, niet op welke wijze een land met een offensief
cyberprogramma deze verzamelt. Zij vernemen graag waarom de regering dit onderscheid
maakt. Wij merken hier het volgende over op. De reikwijdte van de Tijdelijke wet is
gericht op onderzoek naar landen met een offensief cyberprogramma tegen Nederland
of Nederlandse belangen. Wanneer deze landen in het kader van hun offensieve cyberprogramma
ook gebruik maken van bedrijven of groeperingen, vormen deze bedrijven en groeperingen
daarmee een dreiging voor de nationale veiligheid en kan onderzoek daarnaar ook plaatsvinden
binnen de reikwijdte van deze wet. Het is daarbij niet bepalend of het gaat om criminelen
of niet. Daarbij moet het vermoeden bestaan dat de aanval te linken is aan een statelijke
actor. Indien dat niet zo, of tijdens het onderzoek dit vermoeden wordt ontkracht,
valt het onderzoek niet meer onder de reikwijdte van de Tijdelijke wet. In dat geval
kunnen de diensten het onderzoek eventueel vervolgen onder de Wiv 2017. Verder sluit
dit ook niet uit dat andere aanvallen die een dreiging van de nationale veiligheid
inhouden, wel degelijk door de diensten in onderzoek kunnen worden genomen op grond
van de Wiv 2017.

De leden van de SP-fractie zijn niet overtuigd van de noodzakelijkheid van de Tijdelijke
wet en vinden een periode van vijf jaar (bedoeld zal zijn vier jaar) ook niet tijdelijk
en vragen waarom er geen horizonbepaling in de wet zit als deze tijdelijk zou zijn.
Deze leden wijs ik op artikel 17 van het wetsvoorstel, waarin is voorzien dat de Tijdelijke
wet vier jaren na het tijdstip van inwerkingtreding vervalt.

De leden van de SP-fractie geven aan dat in de technische briefings en het rondetafelgesprek
werd gesproken over een experimenteerwet. Zij vragen of de regering kan aangeven waar
het karakteriseren van het wetsvoorstel als een experimenteerwet vandaan komt en of
de regering het met deze karakterisering eens is. In reactie hierop merken wij op
dat in de technische briefing die is gegeven door de diensthoofden en directeur CZW
deze wet niet als een experimenteerwet is aangemerkt. Het is een tijdelijke wet die
voor een nijpend probleem van de diensten bij het verrichten van onderzoeken naar
landen met een offensief cyberprogramma een oplossing moet bieden, een en ander in
afwachting van de brede herziening van de Wiv 2017. In het algemeen deel van de memorie
van toelichting, met name de paragrafen 1 en 2, is op nut en noodzaak van de in het
wetsvoorstel opgenomen voorzieningen ingegaan, die de mogelijkheden tot effectieve
inzet van de bijzondere bevoegdheden die voor onderzoeken naar landen met een offensief
cyberprogramma tegen Nederland of Nederlandse belangen van cruciale betekenis zijn,
vergroten, waarbij tegelijkertijd de waarborgen waarmee die inzet moet zijn omgeven
op een hoog niveau blijven. De Tijdelijke wet is een tijdelijke oplossing totdat de
herziening van de Wiv 2017 zijn beslag krijgt.

De leden van de SGP-fractie vragen een motivering van de keuze van de verschillende
onderdelen van het wetsvoorstel, in het licht van het feit dat nog een Hoofdlijnennotitie
volgt en een algehele herziening van de Wiv 2017. Wij antwoorden deze leden graag
als volgt. De toegenomen dreiging vanuit landen met een offensief cyberprogramma en
de operationele knelpunten die de AIVD en MIVD ervaren in de onderzoeken naar deze
landen vormen de aanleiding voor de Tijdelijke wet. Langer wachten met het oplossen
van deze knelpunten belemmert de diensten bij het adequaat beschermen van de belangen
van Nederlandse burgers, bedrijven, militairen en bondgenoten. De noodzaak om de desbetreffende
knelpunten op te lossen wordt bevestigd door de rapporten van de ECW en de Algemene
Rekenkamer. Het ligt in de lijn der verwachting dat de oplossingen voor de knelpunten
die in de Tijdelijke wet zijn opgenomen ook onderdeel kunnen uitmaken van de algehele
herziening van de Wiv 2017. Daarom wordt de werking van de Tijdelijke wet ook periodiek
gemonitord en worden de resultaten daarvan bij de voorgenomen herziening van de Wiv
2017 betrokken. In de Hoofdlijnennotitie die gelijktijdig met deze nota naar aanleiding
van het verslag aan de Tweede Kamer is aangeboden, wordt nader ingegaan op de hoofdlijnen
van de algehele herziening van de Wiv 2017.

De leden van de SGP-fractie lezen dat de regering met het wetsvoorstel operationele
knelpunten wil verhelpen. Zij vragen zich af waarom in dat licht ook onderwerpen als
geschillenbeslechting zijn opgenomen, terwijl zulke thema’s beter passen in het vervolgtraject
aangezien het fundamentele systeemkeuzes betreft die uitgebreid doordenking vergen.
Deze leden vragen waarom niet met andere, tijdelijke oplossingen in de sfeer van geschillenbeslechting
kan worden volstaan om tegemoet te komen aan de zorgen die op dit punt leven. Wij
reageren hierop graag als volgt. Ervan uitgaande dat deze leden met hun vragen beogen
aan te geven dat herziening van het stelsel van toetsing en toezicht een fundamentele
systeemkeuze betreft, dan onderschrijven wij dat. Dat is een vraagstuk dat bij de
herziening van de Wiv 2017 aan de orde zal komen en waarop in de Hoofdlijnennotitie
ook wordt ingegaan. Dat er in dit wetsvoorstel reeds een voorstel voor geschillenbeslechting
is opgenomen hangt echter samen met de wens om operationele knelpunten die de diensten
op dit moment bij hun onderzoeken in het cyberdomein ervaren, te verhelpen, nu immers
een deel van die knelpunten zijn terug te voeren op verschillen van inzicht met de
TIB over de uitleg en toepassing van diverse wettelijke bepalingen, ook waar het gaat
om de (rol)invulling van de TIB bij de uitvoering van haar rechtmatigheidstoets. De
ECW wijt dit onder meer aan een systeemfout in de Wiv 2017, namelijk het ontbreken
van de mogelijkheid om geschillen op dit vlak aan een rechter te kunnen voorleggen.
Waar het gaat om de introductie van het bindend toezicht voor de afdeling toezicht
van de CTIVD, hangt dat samen met het feit dat de Kamer in de aanvaardde motie van
het lid Van Baarle12 heeft aangegeven dat – kort gezegd – er bij verschuivingen in het toezichtstelsel
geen afschaling van toezicht in de verwerkingsfase mag optreden. Hoewel de motie primair
ziet op de herziening van de Wiv 2017 is de daarin neergelegde notie ook bij de voorstellen
inzake de beperking van de ex-ante toets van de TIB in een aantal gevallen in acht
genomen, door in plaats daarvan bindend toezicht voor de afdeling toezicht te introduceren.
Daarnaast is bindend toezicht ook voorzien op de toepassing van de bijschrijfmogelijkheden
zoals voorzien in de Tijdelijke wet. Met de thans gemaakte keuzes wordt niet vooruitgelopen
op keuzes die bij de herziening van de Wiv 2017 zullen worden gemaakt, zij het dat
het beroep op de Afdeling bestuursrechtspraak ook bij de herziening zal terugkomen.
In dat kader zal onder meer bezien worden of het mogelijk is om aansluiting te zoeken
bij de beroepsprocedure in de Algemene wet bestuursrecht. De tijdelijke aanpassingen
in het stelsel van toetsing en toezicht zullen na inwerkingtreding van de Tijdelijke
wet worden gemonitord en mede op basis van de daarmee opgedane ervaringen zal een
besluit inzake een andere inrichting van het stelsel van toetsing en toezicht, waarbij
ook de klachtbehandeling zal worden betrokken, worden genomen. In de Hoofdlijnennotitie
wordt nader geschetst hoe wij dat traject voor ons zien. In de Hoofdlijnennotitie
worden ook meerdere scenario’s voor de herinrichting van dat stelsel geschetst.

2.2 Integrale wijze van onderzoek in het cyberdomein en gegevensverwerking

De leden van de SP-fractie vragen of zij goed begrijpen dat de verworven gegevens
onder deze tijdelijke wet, gericht op landen met een offensief cyberprogramma, burgers
in Nederland kunnen betreffen. Zij vragen of de regering kan uitleggen hoe dat precies
werkt. Voor zover deze vraag ziet op OOG-interceptie, is deze bevoegdheid per definitie
een bulkbevoegdheid met een grote mate van inherente ongerichtheid bij het verzamelen
van gegevens. Allereerst moet worden opgemerkt dat alle onderzoeken waar OOG-interceptie
wordt ingezet of waar verzoeken daartoe zijn gedaan door de diensten deze gericht
zijn op het buitenland. In het kader van de Tijdelijke wet zal dat immers altijd het
geval zijn: de onderzoeken zijn naar landen met een offensief cyberprogramma. Het
is op voorhand, door de werking van het internet, niet uit te sluiten dat daarbij
ook gegevens van burgers uit Nederland worden verworven. Gegevensstromen over het
wereldwijde internet zijn niet af te bakenen op geografische grenzen. Er is geen evident
«Nederlands» verkeer of «Russisch» verkeer. Gegevensstromen worden dynamisch gerouteerd
waarbij bijvoorbeeld sprake kan zijn van keuzes op basis van prijs of snelheid. De
werking van dit systeem kan dus betekenen dat bijvoorbeeld een mail verzonden vanaf
een account van een persoon in Amsterdam naar een account van een persoon in Breda
niet uitsluitend over de binnenlandse infrastructuur wordt gerouteerd, maar deels
via buitenlandse infrastructuur en als gevolg daarvan bij OOG-interceptie wordt verworven.
Dat is een technische realiteit van hoe het internet functioneert die onder ogen moet
worden gezien. Dergelijke gegevens zullen echter in vrijwel alle gevallen niet voor
het inlichtingenproces gebruikt mogen worden en niet verder worden verwerkt.

De leden van de SP-fractie vragen of zij het goed lezen dat de verworven gegevens
onder de Tijdelijke wet ingezet mogen worden voor andere opsporingsactiviteiten. Wij
reageren hierop graag als volgt. Allereerst wordt opgemerkt dat de diensten geen opsporingsactiviteiten
(mogen) verrichten (zie artikel 13 Wiv 2017); de diensten verrichten onderzoeken in
het kader van de nationale veiligheid. Wel is het zo dat gegevens die onder toepassing
van de Tijdelijke wet door een dienst worden verworven, ook gebruikt kunnen worden
voor andere lopende onderzoeken van die dienst. Er is geen enkele reden om op dit
aspect af te wijken van hetgeen uit de (toepasselijke) Wiv 2017 voortvloeit. De gegevens
die onder toepassing van de bevoegdheid tot verkennen als bedoeld in artikel 6, eerste
lid, van het wetsvoorstel worden verworven, mogen echter uitsluitend worden gebruikt voor het daarin geformuleerde doel, namelijk om vast te stellen op
welke gegevensstromen een verzoek om toestemming als bedoeld in artikel 48, tweede
lid, Wiv 2017 betrekking dient te hebben. En dat betreft dan uitsluitend een verzoek
om toestemming tot inzet van die bevoegdheid in het kader van de uitvoering van een
onderzoek waarop de Tijdelijke wet betrekking heeft. De in het kader van de verkenning
verworven gegevens mogen dus niet voor het inlichtingenproces worden gebruikt en mogen
dus ook niet voor andere doeleinden of onderzoeken worden gebruikt. Waar het gaat
om de wijze waarop het toezicht in dit geval plaatsvindt, antwoorden wij deze leden
graag als volgt. Voor de uitoefening van de bevoegdheid tot verkenning als bedoeld
in artikel 6, eerste lid, van de Tijdelijke wet dient de voor de dienst verantwoordelijke
Minister toestemming te geven. Deze toestemming dient voor een bindende rechtmatigheidstoets
te worden voorgelegd aan de TIB (artikel 6, derde lid). Daarmee wordt dus niet afgeweken
van de regeling in de Wiv 2017, zoals die geldt voor de uitoefening van artikel 48
Wiv 2017. Daarnaast blijft op de uitvoering van de bevoegdheid het reguliere toezicht
door de afdeling toezicht van de CTIVD, zoals geregeld in de Wiv 2017, gewoon van
toepassing. Er vindt dan ook geen afschaling van het toezicht plaats.

De leden van de SP-fractie zouden graag een volledige lijst zien van de geautomatiseerde
data-analyse zoals die in artikel 60 is bedoeld. Wij reageren hierop graag als volgt.
In artikel 60, eerste lid, Wiv 2017 staat dat de diensten bevoegd zijn om geautomatiseerde
data-analyse (GDA) uit te voeren. Alle vormen van data-analyse kunnen onder deze bevoegdheid
worden begrepen. De wet geeft geen definitie van het begrip GDA en dus ook geen scherpe
afbakening van wat wel en niet onder GDA kan worden verstaan. Het tweede lid noemt
een drietal vormen van GDA die bij de voorbereiding van de Wiv 2017 illustratief waren
voor geautomatiseerde data-analyse. De opsomming is niet limitatief omdat de wet geschreven
is met als doel om ook de toepassing van eventuele nieuwe methoden en technieken mogelijk
te maken. Het is bovendien technisch gezien niet mogelijk om een dergelijke volledige
lijst van vormen van geautomatiseerde data-analyse, zoals bedoeld in artikel 60 Wiv
2017, op te stellen, omdat voortdurend nieuwe methoden en technieken worden ontwikkeld
die vaak bestaande methoden en technieken weer vervangen.

De leden van de SP-fractie geven aan dat het toezicht op verzamelde bulkdata goed
moet kunnen inschatten wat de algoritmes die de data gaan onderzoeken precies doen
en zoeken. Zij vragen of de regering kan aangeven of dit vormgegeven is op zo een
wijze dat de geautomatiseerde analyse van data geen uitkomsten kent waarmee principes
als de onschuldpresumptie worden ondermijnd. Hoe, zo vragen deze leden, wordt er gewaakt
voor tunnelvisie via algoritmes en wellicht het missen van signalen. Deze leden zijn
niet gerust op de mogelijkheid goed toezicht te houden op de automatische data-analyse
als dit niet zo transparant mogelijk kan gebeuren. Zij vragen hierop een reactie van
de regering. Wij reageren hierop als volgt. Artikel 60 van de Wiv 2017 geeft in algemene
zin een regeling voor de toepassing van geautomatiseerde data-analyse van de diensten.
Voor alle vormen van geautomatiseerde data-analyse geldt dat deze slechts toegepast
mogen worden in het kader van een goede taakuitvoering van de diensten. Daarbij gelden
de algemene bepalingen van gegevensverwerking uit de Wiv 2017 (artikelen 17 tot en
met 24). In het bijzonder speelt de zorgplicht voor de rechtmatigheid van gegevensverwerking
(artikel 24 Wiv 2017) een belangrijke rol bij geautomatiseerde data-analyse. De diensten
moeten maatregelen treffen voor een zorgvuldige ontwikkeling, toepassing en beheer
van geautomatiseerde data-analyses. Bovendien moet er samenwerking zijn tussen de
ontwikkelaars en beheerders van geautomatiseerde data-analyses en de gebruikers. Zo
wordt ervoor gezorgd dat het algoritme steeds passend is voor de situatie waarin het
wordt gebruikt, voorzien van de meest actuele waarborgen. Een belangrijke waarborg
bij de toepassing van GDA door de diensten is dat het de diensten niet is toegestaan
om maatregelen jegens een persoon te bevorderen of te treffen uitsluitend gebaseerd
op de resultaten van GDA. Er moet altijd sprake zijn van menselijke validatie, weging
en tussenkomst. De afdeling toezicht houdt toezicht op de ontwikkeling en uitvoering
van geautomatiseerde data-analyses. De afdeling heeft in het kader van hun toezichthoudende
taak dan ook toegang tot de systemen van de diensten. Hierover publiceert de CTIVD
ook in haar toezichtsrapporten, zoals rapport 69.13 In de Tijdelijke wet wordt daarnaast geregeld dat de afdeling toezicht, binnen de
reikwijdte van het wetsvoorstel, bindend kan oordelen over de toepassing van GDA op
OOG-metadata. Tot slot wordt opgemerkt dat het principe van onschuldspresumptie een
rol speelt in het kader van de opsporing en vervolging van strafbare feiten. De Nederlandse
inlichtingen- en veiligheidsdiensten zijn daar niet mee belast. Het principe van onschuldspresumptie
is dan ook niet van toepassing in het domein van de inlichtingen- en veiligheidsdiensten.

2.2.3 De wijze van verwerking van gegevens

De leden van de PvdA-fractie lezen dat het toezicht een dynamisch karakter moet krijgen
en dat daardoor ook gemonitord kan worden of de wet rechtmatig wordt uitgevoerd en
of de in de wet voorziene waarborgen in verband met de bescherming van de persoonlijke
levenssfeer adequate invulling krijgen. Deze leden vragen wat de gevolgen zijn indien
gedurende deze monitoring blijkt dat de rechtmatige toepassing problematisch is of
de waarborgen tekortschieten. Wordt, aldus deze leden, de wet dan aangepast en, zo
ja, gaat dat dan meteen gebeuren; zo nee, waarom niet. In antwoord op deze vragen
reageren wij graag als volgt. Het monitoren waarnaar deze leden verwijzen, heeft betrekking
op het dynamische toezicht door de afdeling toezicht (monitoren van de rechtmatige
uitvoering) en moet dan ook worden onderscheiden van het monitoren dat plaatsvindt
met betrekking tot de toepassing van de Tijdelijke wet als zodanig en dat in reactie
op een daartoe strekkend advies van de Afdeling advisering in het nader rapport is
aangekondigd. Waar het gaat om het «monitoren», lees: de uitvoering van het dynamische
toezicht door de afdeling toezicht, geldt juist dat die ertoe strekt om erop toe te
zien dat de diensten de Tijdelijke wet op een rechtmatige wijze uitvoeren en daarbij
de waarborgen in verband met de bescherming van de persoonlijke levenssfeer – niet
alleen zoals die zijn voorzien in de Tijdelijke wet maar ook in de Wiv 2017 – in acht
nemen. Indien bij de uitvoering van dit toezicht blijkt dat de wet door de diensten
niet rechtmatig wordt uitgevoerd of dat men de waarborgen niet in acht neemt, dan
staan de afdeling toezicht de reguliere toezichtsbevoegdheden ter beschikking die
voortvloeien uit de Wiv 2017 aangevuld met die uit de Tijdelijke wet. Dit laatste
ziet dan op de in artikel 12 van de Tijdelijke wet voorziene mogelijkheid om in de
daar aangegeven gevallen (artikel 12, eerste lid) bindend toezicht uit te oefenen.
Zoals hiervoor aangegeven zal de toepassing van de wet in brede zin worden gemonitord
en de daarmee opgedane ervaringen zullen worden betrokken bij de brede herziening
van de Wiv 2017, waarop in de Hoofdlijnnotitie wordt ingegaan. Er is dan ook niet
voorzien in een tussentijdse aanpassing van de Tijdelijke wet.

Waar het gaat om de vraag van de leden van de PvdA-fractie of er alsnog een formeel
tussentijds ijkmoment in de Tijdelijke wet kan worden opgenomen, naar wij aannemen
bedoelt men daarmee een tussentijdse evaluatie, achten wij dat niet wenselijk. Zoals
in reactie op het advies van de Afdeling advisering is opgemerkt (onderdeel 3), is
in artikel 17 van het wetsvoorstel erin voorzien dat de wet na vier jaren vervalt.
In die vier jaren zal de herziening van de Wiv 2017 niet alleen voorbereid moeten
worden maar ook tot stand dienen te worden gebracht. Een formeel ijkpunt halverwege
die periode zal, zeker indien dat een vorm krijgt van een formele evaluatie, vertragend
gaan werken op de herziening. Immers een dergelijke evaluatie kost tijd – niet alleen
om uit te voeren, maar ook om voor te bereiden – en heeft alleen betekenis, indien
de resultaten daarvan worden afgewacht en worden meegenomen bij de herziening. Vandaar
dat is aangegeven dat de Tijdelijke wet gedurende de looptijd zal worden gemonitord.
Daartoe zal onder meer een jaar na inwerkingtreding een invoeringstoets worden uitgevoerd,
maar ook daarna zullen de effecten van de werking van de wet op de daadwerkelijke
praktijk worden bezien.

2.3 Overzicht van de voorgestelde maatregelen

De leden van de D66-fractie lezen dat de diensten uiterlijk binnen drie dagen een
oordeel van de afdeling toezicht moeten uitvoeren. Drie dagen kunnen, aldus deze leden,
onder omstandigheden erg lang maar ook erg kort zijn. Deze leden vragen of de diensten
binnen die termijn een operatie (tijdelijk) stopzetten. Ook vragen zij of die termijn
inhoudt dat de diensten binnen drie dagen de activiteit gestaakt moet hebben of de
activiteit direct moet staken, en dit uiterlijk binnen drie dagen afgerond moet hebben.
Tot slot vragen zij of de toezichthouder toezicht houdt op het staken van de activiteit
en zou de termijn hiertoe niet proportioneel moeten zijn tegenover hoe snel dat realistisch
en wenselijk is. Dit wetsvoorstel introduceert een bindende vorm van toezicht voor
de afdeling toezicht van de CTIVD. Indien de afdeling toezicht van oordeel is dat
sprake is van een onrechtmatige situatie is het zaak zo spoedig mogelijk gevolg te
geven aan dit oordeel, zodat de door de afdeling toezicht als onrechtmatig aangemerkte
situatie niet langer dan nodig blijft bestaan. De afdeling toezicht komt niet lichtvaardig
tot een oordeel van onrechtmatigheid. Hieraan gaat een onderzoek en een proces van
hoor- en wederhoor vooraf. Een onrechtmatigheidsoordeel zal – gelet op de doorlopende
informatie-uitwisseling en constructieve dialoog tussen diensten en CTIVD – voor de
diensten naar verwachting niet als een verrassing komen. Een termijn van drie dagen
wordt, gelet op de technische en organisatorische handelingen die het beëindigen van
een onrechtmatig aangemerkte situatie vergen, redelijk geacht.

De leden van de D66-fractie hebben kennisgenomen van de wijzigingen op het gebied
van kabelinterceptie. Zij vragen of de regering een voorbeeldcasus kan schetsen voor
wat er nodig is om de inzet van de bevoegdheid tot verkennende kabelinterceptie als
omschreven in artikel 6 te rechtvaardigen. Is, zo vragen deze leden, de wens om in
een vervolgstadium OOG-interceptie toe te passen afdoende. Als antwoord op deze vragen
reageren wij als volgt. Zoals genoemd in artikel 6 van de Tijdelijke wet kan de desbetreffende
bevoegdheid, namelijk verkennend onderzoek ten behoeve van OOG-interceptie, ingezet
worden met het uitsluitende doel om vast te stellen op welke gegevensstromen een verzoek
om toestemming voor OOG-interceptie ten behoeve van het inlichtingenproces betrekking
dient te hebben. Indien de diensten OOG-interceptie op de kabel voor het inlichtingenproces
willen inzetten om zicht te krijgen op het offensieve cyberprogramma van een statelijke
actor, zullen zij eerst moeten weten hoe en over welke gegevensstromen deze actor
communiceert. Deze informatie kan onder meer verkregen worden door gegevens op te
vragen bij aanbieders van communicatiediensten op grond van artikel 52 Wiv 2017 of
door intern onderzoek. Hieruit kunnen aanwijzingen volgen die gebruikt worden bij
een verzoek om toestemming voor de inzet van het verkennend onderzoek ten behoeve
van OOG-interceptie, namelijk bijvoorbeeld dat dit verkennende onderzoek gericht zal
zijn op internationaal verkeer en mogelijk antwoord zal geven op de onderzoeksopdracht
waarvoor wordt verkend. Met de inzet van deze verkennende bevoegdheid wordt beter
zicht gecreëerd op eventuele activiteiten/aanwezigheid van de statelijke actor op
deze gegevensstromen. Deze opbrengsten zullen vervolgens uitsluitend gebruikt worden
om het verzoek om toestemming voor OOG-interceptie ten behoeve van het inlichtingenproces
te onderbouwen. De opbrengsten van de verkennende bevoegdheid komen dus niet beschikbaar
voor het inlichtingenproces. Voor de verdere uitwerking van OOG-interceptie ten behoeve
van het inlichtingenproces verwijzen wij naar paragraaf 3.3.

Deze leden vragen voorts of de regering een indicatie kan geven van de mogelijke schaal
van de dataverzameling op basis van de voorgestelde bevoegdheid tot ongerichte kabelinterceptie.
Wij merken ter zake het volgende op. Het doel van de verwerving van de gegevens op
grond van artikel 6 van de Tijdelijke wet, het verkennen ten behoeve van OOG-interceptie,
is om met deze kennis het verzoek voor OOG-interceptie ex artikel 48 Wiv 2017 zo goed
mogelijk te kunnen onderbouwen. Als belangrijke waarborg verbiedt dit wetsvoorstel
de opbrengst van de verkenning te gebruiken voor inlichtingendoeleinden. Het algemeen
of cijfermatig aangeven van een schaal van de dataverzameling van gegevens op basis
van deze bevoegdheid is niet mogelijk aangezien de inzet per keer enorm kan verschillen.

De leden van de D66-fractie vragen of de regering in een limitatieve lijst kan opsommen
waarvoor de via verkennende kabelinterceptie verkregen gegevens allemaal verwerkt
mogen worden. Hierop antwoorden wij als volgt. Het doel van de verwerking van de gegevens
is om met deze kennis het uiteindelijke toestemmingsverzoek, met daarin de aspecten
genoemd in artikel 7 van de Tijdelijke Wet, voor OOG-interceptie ex artikel 48 Wiv
2017 te kunnen onderbouwen. Als belangrijke waarborg verbiedt het wetsvoorstel de
opbrengst van de verkenning te gebruiken voor inlichtingendoeleinden. Gegevens mogen
dus enkel worden verwerkt om de toestemmingsverzoeken voor OOG-interceptie naar landen
met een offensief cyberprogramma te kunnen onderbouwen. De verzoeken zijn altijd gebaseerd
op de aandachtsgebieden van de diensten zoals geformuleerd in de GA.

Deze leden vragen voorts of de regering kan aangeven waarom de toestemming tot verkennende
kabelinterceptie een jaar geldig is en waarom deze termijn niet dusdanig wordt verkort
in overeenstemming met het doel van de bevoegdheid of verlengd waar nodig met een
verzwaarde toets. In artikel 48, tweede lid, van de Wiv 2017 is bepaald dat de toestemming
voor de uitoefening van de bijzondere bevoegdheid tot OOG-interceptie door de Minister
kan worden verleend voor een periode van ten hoogste een jaar. Bij de uitwerking van
de regeling voor de verkenningsbevoegdheid, die immers gerelateerd is aan de uitoefening
van de bevoegdheid ex artikel 48, eerste lid, van de Wiv 2017, is bij die systematiek
aangesloten. Zoals uit de formulering blijkt gaat het om een maximumtermijn en bestaat
de mogelijkheid om voor een kortere termijn toestemming te verkrijgen. Daarnaast kan,
indien dat noodzakelijk is, na afloop van de periode waarvoor toestemming is verleend,
een nieuwe toestemming worden aangevraagd. De verleende toestemming wordt door de
TIB op rechtmatigheid getoetst.

De leden van de D66-fractie vernemen dat met de ongerichte interceptiebevoegdheid
op de kabel gegevens kunnen worden verworven en met buitenlandse «collegadiensten»
mogen worden gedeeld voor technisch onderzoek. In dit verband vragen deze leden of
de regering kan aangeven wie wel en wie niet «collegadiensten» zijn en welke criteria
zijn daaraan zijn verbonden en welke rol de wegingsnotities hierin spelen. Wij antwoorden
deze leden graag als volgt. Collegadiensten zijn inlichtingen- en veiligheidsdiensten
van andere landen waar een samenwerkingsrelatie mee is. In artikel 88 Wiv 2017 is
het aangaan van samenwerkingsrelaties met de inlichtingen- en veiligheidsdiensten
genormeerd. Wegingsnotities spelen hierin een belangrijke rol, aangezien die de basis
vormen voor de besluitvorming door de Minister of met een dienst van een ander land
kan worden samengewerkt en zo ja, wat de aard en intensiteit van die samenwerking
kan zijn (de voorwaarden voor samenwerking). Bij de uit te voeren weging spelen in
ieder geval de volgende aspecten een rol:

– De democratische inbedding van de dienst in het desbetreffende land;

– De eerbiediging van de mensenrechten door het desbetreffende land;

– De professionaliteit en betrouwbaarheid van de desbetreffende dienst;

– De wettelijke bevoegdheden en mogelijkheden van de dienst in het desbetreffende land;

– Het door de desbetreffende dienst geboden niveau van gegevensbescherming.

De verstrekking van de gegevens waarop de leden van de D66-fractie in hun vraagstelling
op duiden, is dan ook alleen mogelijk indien dat past binnen de op grond van de weging
vastgestelde voorwaarden van samenwerking. Indien deze niet voorziet in de verstrekking
van gegevens, dan kunnen daaraan ook niet de gegevens ten behoeve van technisch onderzoek
worden verstrekt.

De leden van de D66-fractie vragen of het klopt dat zowel de verstrekking als de naleving
van de gemaakte afspraken zich onttrekken aan bindende toezichtsbevoegdheden van de
TIB en de CTIVD. Hierover merken we op dat ook onder de Wiv 2017 de bindende ex ante
toets van de TIB zich niet uitstrekt over de verstrekking van gegevens die met de
inzet van bijzondere bevoegdheden zijn verworven. Die toets is immers beperkt tot
de door de Minister verleende toestemmingen voor de inzet van bijzondere bevoegdheden
in de sfeer van de verwerving van gegevens (enkele uitzonderingen daargelaten) en
niet op de verdere verwerking van de daarmee verworven gegevens. Dat valt immers onder
de reguliere – niet bindende – toezichtsbevoegdheid van de afdeling toezicht. Dit
wordt niet anders onder de werking van de Tijdelijke wet.

Waar het gaat om het toezicht op de naleving op de gemaakte afspraken tussen de collegadiensten
en de Nederlandse diensten, waarnaar deze leden aansluitend informeren, en of de situatie
kan ontstaan dat gegevens of toepassingen die niet door de Nederlandse inlichtingendiensten
mogen worden gebruikt wel kunnen worden gebruikt bij buitenlandse diensten, merken
we het volgende op. Voor het verstrekken van gegevens aan buitenlandse diensten bestaat
een zorgvuldig stelsel met bijbehorende waarborgen, waarop de CTIVD toezicht houdt.
De AIVD en MIVD kunnen samenwerken met buitenlandse diensten waarvoor een wegingsnotitie
is opgesteld als bedoeld in artikel 88 Wiv 2017. In een wegingsnotitie wordt een weging
gemaakt waarbij in ieder geval de volgende criteria dienen te worden betrokken: de
eerbiediging van de mensenrechten, democratische inbedding en de professionaliteit
en betrouwbaarheid van de dienst. In een wegingsnotitie kunnen tevens aanvullende
waarborgen voor samenwerking worden opgenomen. Een voorbeeld daarvan is dat bepaalde
gegevens – bijvoorbeeld ongeëvalueerde gegevens – niet met een bepaalde dienst mogen
worden gedeeld. Voor het delen van gegevens met een buitenlandse dienst moet altijd
eerst toestemming worden gegeven. Afhankelijk van de aard van de gegevens en de uitkomst
van de uitgevoerde weging van de buitenlandse dienst zijn er verschillende toestemmingsniveau
’s voorzien, tot aan de betrokken Minister. De AIVD en MIVD stellen in voorkomende
gevallen voorwaarden aan het gebruik van de gegevens. In het kader van technisch onderzoek
van gegevens verworven door middel van OOG-interceptie ten behoeve van verkennen onder
de Tijdelijke wet zal expliciet die voorwaarde worden toegevoegd. Voor deze voor de
AIVD en MIVD soms noodzakelijke ondersteuning mag de desbetreffende partnerdienst
enkel op de aangegeven gronden, dus voor technisch onderzoek, de verstrekte gegevens
gebruiken. Tevens geldt de zogenaamde derde partij-regel: verstrekte gegevens mogen
nooit zonder toestemming van de AIVD of MIVD aan derden worden verstrekt. Ook wordt
als voorwaarde gesteld dat door de AIVD en MIVD verstrekte gegevens niet mogen worden
gebruikt ten behoeve van handelingen die in strijd zijn met internationale recht.
De naleving van gemaakte afspraken met een buitenlandse collegadienst is onderworpen
aan de (ongeschreven) vertrouwensregel die in de samenwerking tussen inlichtingen-
en veiligheidsdiensten van toepassing is. Indien geconstateerd wordt dat een dienst
van een ander land zich niet aan de gestelde voorwaarde(n) houdt, zal de samenwerkingsrelatie
met die dienst opnieuw worden gewogen. Afhankelijk van de uitkomst wordt besloten
of de samenwerkingsrelatie moet worden voortgezet en, zo ja, wat dan de aard en de
intensiteit van die relatie – mede in het licht van de geconstateerde vertrouwensbreuk
– moet zijn. Dat kan betekenen dat met de desbetreffende buitenlandse dienst geen
gegevens meer mogen worden gedeeld. Schending van het wederzijdse vertrouwen is namelijk
een «doodzonde» in de internationale samenwerking tussen inlichtingen- en veiligheidsdiensten.

De leden van de SP-fractie zouden graag willen weten hoe en wanneer de TIB om een
toestemmingsaanvraag wordt gevraagd als het gaat om een bijschrijving van een server
waar veel burgers gebruik van maken. Hierop antwoorden wij als volgt. In het algemeen
geldt dat de diensten de Minister verzoeken om toestemming voor de inzet van bepaalde
bijzondere bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd
werk. Hiervoor worden toestemmingsverzoeken geschreven door de diensten, die – na
een interne juridische toets en na toestemming van het diensthoofd – vervolgens aan
de verantwoordelijke Minister worden voorgelegd. Wanneer de Minister toestemming verleent,
wordt de door de Minister verleende toestemming voor de inzet van de bevoegdheid op
rechtmatigheid getoetst door de TIB. Daarbij wordt geoordeeld aan de hand van de criteria
noodzaak, proportionaliteit, subsidiariteit en gerichtheid. De TIB wordt dus niet
gevraagd om toestemming maar beoordeelt de door de Minister verleende toestemming
op rechtmatigheid. Dat oordeel is bindend. Op grond van artikel 5, tweede lid, is
de reeds in artikel 45, achtste lid, Wiv 2017 voorziene bijschrijfmogelijkheid verduidelijkt.
Deze bijschrijfmogelijkheid zorgt ervoor de diensten effectief onderzoek kunnen doen
dat past bij de dynamische dreiging en operationele praktijk. Juist in het cyberdomein
zijn snelheid en wendbaarheid – het mee kunnen bewegen met een actor – cruciaal. Hierbij
staat het gebruik van het kenmerk door de actor centraal. Gedurende de toestemmingsperiode
kunnen dus ook (na interne autorisatie) geautomatiseerde werken zoals servers die
behalve door de actor ook door burgers of andere derden worden gebruikt, worden bijgeschreven.
Hierbij blijven de vereisten van noodzaak, proportionaliteit en subsidiariteit onverkort
gelden. Bij de toepassing daarvan is dus geen (aanvullende) toestemming van de Minister
voorzien en dus ook geen TIB-toets. Deze leden zien het dan ook goed dat binnendringen
op een aldus bijgeschreven geautomatiseerd werk bij een door de Minister verleende
toestemming tot verlenging van de uitoefening van de bevoegdheid door de TIB getoetst
kan worden, afhankelijk van de vraag of hetgeen is bijgeschreven ook in de verlengingsaanvraag
terug komt. Een en ander betekent niet dat er geen toezicht op de toepassing van deze
bijschrijfmogelijkheid bestaat. In het wetsvoorstel is dit immers onderworpen aan
het bindend toezicht van de afdeling toezicht van de CTIVD. Er is dus sprake van een
sluitend stelsel van toetsing en toezicht op de inzet en uitvoering van de bevoegdheid
tot het binnendringen in een geautomatiseerd werk, inclusief op de in het wetsvoorstel
voorziene bijschrijfmogelijkheid.

De leden van de SP-fractie vragen hoe is geregeld dat de verworven gegevens die niet
relevant zijn voor het onderzoek ook daadwerkelijk zullen worden vernietigd. Hierop
antwoorden wij als volgt. Het vernietigen van gegevens omdat deze niet-relevant zijn
verklaard zal op eenzelfde wijze geschieden als de beide diensten kennen onder de
Wiv 2017. De CTIVD houdt toezicht op de daadwerkelijke uitvoering hiervan.

Tot slot vragen deze leden de regering om aan te geven hoe lang de diensten gegevens
die via een bijschrijving zijn verkregen kunnen onderzoeken zonder dat daarvoor enige
toets op proportionaliteit heeft plaatsgevonden. Dit is naar ons oordeel niet mogelijk.
Wij wijzen erop dat intern bij de diensten bijschrijvingen worden getoetst aan de
wettelijke vereisten, zoals onder meer de in paragraaf 3.1 van de Wiv 2017 opgenomen
algemene bepalingen die gelden voor elke vorm van gegevensverwerking door de diensten.
De toets op proportionaliteit maakt daar deel van uit. En ook hier geldt dat de CTIVD
toezicht houdt op de uitvoering van de bevoegdheid tot binnendringen in een geautomatiseerd
werk en de verwerking van de daarmee verkregen gegevens.

2.4 De verhouding van de Tijdelijke wet tot de Wiv 2017

De leden van de VVD-fractie hebben vernomen dat voorliggend wetsvoorstel een tijdelijke
wet betreft met een horizonbepaling van vier jaar. Zij vragen of de regering het traject
tot herziening van de Wiv 2017 kan concretiseren dat binnen de werkingsduur van de
Tijdelijke wet moet worden bewerkstelligd. Voorts vragen deze leden welke concrete
stappen worden de komende tijd genomen om dit traject te bestendigen en hoe deze stappen
en plannen zich verhouden tot voorbereiding van de Tijdelijke wet. Tot slot vragen
deze leden op welke wijze de regering voornemens is vertraging in dit traject tot
aanpassing van de wet te voorkomen zonder daarbij de voortvarendheid van het wetstraject
van de tijdelijke wet uit het oog te verliezen. Hierop antwoorden wij als volgt. De
Tijdelijke wet beoogt tijdelijke voorzieningen te treffen om een urgent probleem met
betrekking tot het kunnen verrichten van onderzoeken door de AIVD en MIVD naar cyberdreigingen
tegen Nederland en Nederlandse belangen op korte termijn te adresseren. Herziening
van de Wiv 2017 is een naar aard en omvang ingrijpender wetstraject, dat veel meer
voorbereidingstijd vraagt en bovendien een goede afstemming met diverse betrokken
stelselpartners – waaronder ook de toezichthouders – vergt. De hoofdlijnen van de
in gang te zetten herziening zijn geschetst in de Hoofdlijnennotitie. Na bespreking
daarvan met de Tweede Kamer, zal het wetstraject worden ingezet. In afwachting daarvan
zullen reeds verkennende studies plaatsvinden, bijvoorbeeld naar de toepasselijkheid
van de Algemene wet bestuursrecht, de aspecten verbonden aan een bulkdataregeling
en een regeling voor gegevensverwerking, opdat het wetstraject – concreet de uitwerking
in een wetsvoorstel met toelichting – vervolgens met voortvarendheid kan starten.
Het is onze inschatting dat dit in een periode van vier jaar (de looptijd van de Tijdelijke
wet) kan worden gerealiseerd. Inzichten die gaande het wetstraject worden opgedaan
met de toepassing van de Tijdelijke wet zullen daarbij worden betrokken.

De leden van de D66-fractie vragen of de regering kan aangeven in hoeverre het beschermen
van economische belangen verdisconteerd is in het belang van de nationale veiligheid.
In antwoord op deze vraag willen wij in algemene zin het volgende opmerken. Economische
belangen kunnen ingeval daarbij tevens nationale veiligheidsbelangen in het geding
zijn onder de taakstelling van de diensten vallen en – via de GA – door de verantwoordelijke
Ministers in onderzoeksopdrachten worden vervat. Het begrip nationale veiligheid zoals
dat in de Wiv 2017 wordt gehanteerd komt overeen met hetzelfde begrip zoals dat wordt
gehanteerd in het EVRM, met name in artikel 8 EVRM waar het als één van de doelcriteria
geldt die een beperking op het recht op bescherming van de persoonlijke levenssfeer
(private and family life) legitimeert, en volgt de uitleg die daaraan door het EHRM
wordt gegeven.14 Er bestaat geen formele definitie van nationale veiligheid. Uit de jurisprudentie
van het EHRM komt het beeld naar voren dat het begrip ruim wordt uitgelegd. Aan de
bij het EVRM aangesloten staten wordt een «wide margin of appreciation» gelaten. Afhankelijk
van maatschappelijke omstandigheden en de bijbehorende mogelijke bedreigingen is het
mogelijk het begrip nationale veiligheid nader in te vullen. De invulling van het
begrip vindt in de Nederlandse praktijk met name plaats door de wetgever, die in de
taakartikelen van de AIVD en de MIVD in de Wiv 2017 en de daarbij gegeven toelichting
al enige richtinggevende uitspraken heeft gedaan, en in de uitwerking van de taakstelling
in de Geïntegreerde Aanwijzing (GA) ex artikel 6 Wiv 2017.

De leden van de fractie van D66 vragen – meer concreet – in hoeverre het beschermen
van bedrijven een belangrijk aspect is bij de voorliggende wet. Ook vragen zij of
het beschermen van economische belangen een doel op zich is. Tot slot vragen deze
leden welke mate of schaal van economische schade de regering verwacht te voorkomen
met voorliggend voorstel. Hierop antwoorden wij als volgt. De diensten hebben de wettelijke
taak om onderzoek te doen naar activiteiten van statelijke en andere actoren die een
dreiging kunnen vormen voor de economische veiligheid van Nederland voor zover daarbij
ook sprake is van nationale veiligheidsbelangen. Immers de diensten mogen alleen onderzoek
verrichten in het kader van de nationale veiligheid. Een dergelijke dreiging kan zich
voordoen in de vorm van ongewenste kennis- of technologieoverdracht en onwenselijke
strategische afhankelijkheden. Zoals gesteld in het Dreigingsbeeld Statelijke Actoren
(november 2022) staat de economische veiligheid van Nederland onder druk. Zo zijn
vitale processen kwetsbaar voor spionage, sabotage en ook, als gevolg van bijvoorbeeld
investeringen en overnames, voor ongewenste invloed en strategische afhankelijkheid
van statelijke actoren. Tegelijkertijd is er sprake van een toename van misbruik van
die risicovolle strategische afhankelijkheden. De Europese afhankelijkheid van Russisch
gas heeft dat recent duidelijk gemaakt. Ook ongewenste kennisoverdracht vormt een
dreiging voor de economische veiligheid van Nederland. Zo zijn Nederlandse bedrijven,
kennisinstellingen en wetenschappers op grote schaal doelwit van (digitale) actoren
die hoogwaardige technologie proberen buit te maken, bijvoorbeeld door middel van
cyberspionage of het omzeilen van exportrestricties. Diefstal en het weglekken van
kennis brengt het risico van oneerlijke concurrentie en ongewenst eindgebruik voor
bijvoorbeeld militaire doeleinden met zich mee. De diensten verwachten niet dat deze
dreiging op korte of middellange termijn minder wordt. De kwetsbaarheid van nationale
veiligheidsbelangen is niet alleen afhankelijk van de dreiging door statelijke actoren,
maar ook van de weerbaarheid van Nederland. Twee specifieke taken van de AIVD die
bijdragen aan een weerbare overheid en bedrijfsleven zijn de zogeheten naslagtaak15 en het werk dat de diensten in het kader van hun beveiligingsbevorderende taak. Onder
de veiligheidsbevorderende taak valt het in het kader van de nationale veiligheid
bevorderen van maatregelen ter bescherming van het voortbestaan van de democratische
rechtsorde, de veiligheid of andere gewichtige belangen van de staat. Daaronder vallen
ook maatregelen ter beveiliging van gegevens waarvan de geheimhouding door de nationale
veiligheid wordt geboden en van die onderdelen van de overheid en van het bedrijfsleven
die van vitaal belang zijn voor de instandhouding van het maatschappelijk leven en
voor de MIVD van de krijgsmacht.16 Een integrale aanpak van weerbaarheid vraagt ook breed maatschappelijk bewustzijn
van de economische dreigingen tegen Nederland. De AIVD droeg ook daar in 2022 met
partners aan bij. Door in gesprek te gaan met vitale sectoren en topsectoren en adviezen
te geven. En door bedrijven en burgers bewuster te maken van het bestaan van economische
spionage en de gevolgen daarvan. Ook zetten de diensten zich in om (defensie)bedrijven
en kennisinstellingen bewuster te maken van risico’s op spionage en ongewenste kennisoverdracht.
Dat doen de diensten vaak samen met de betrokken ministeries. Op de vraag van deze
leden in welke mate of op welke schaal de regering verwacht economische schade te
voorkomen met voorliggend wetsvoorstel, antwoorden wij, dat het niet mogelijk is om
op voorhand daarvan een inschatting te maken.

De leden van de D66-fractie vragen voorts of de regering kan aangeven of zij ten aanzien
van het voorkomen van economische schade de inbreuken op privacyrechten van burgers
gerechtvaardigd achten conform dezelfde proportionaliteitsafwegingen zoals op het
vlak van nationale veiligheid. Hierop antwoorden wij als volgt. De diensten hebben
in het belang van de nationale veiligheid mede als taak onderzoek te doen om de economische
veiligheid en kennisveiligheid van Nederland te waarborgen. Dit is conform hetgeen
staat gesteld in de Nationale Veiligheidsstrategie. De Nederlandse economische- en
kennisveiligheid worden ook bedreigd door landen met een offensief cyberprogramma.
In het Dreigingsbeeld Statelijke Actoren, opgesteld door de AIVD, MIVD en NCTV, is
de dreiging van statelijke actoren tegen de economische veiligheid van Nederland en
haar bondgenoten de afgelopen jaren duidelijker naar voren gekomen. Wanneer deze veiligheid,
als onderdeel van de nationale veiligheid, in het geding komt en mogelijk economische
schade voor Nederland en Nederlandse belangen als gevolg heeft, bijvoorbeeld aan vitale
sectoren, hebben de diensten dezelfde bevoegdheden tot hun beschikking om in te zetten
in het onderzoek naar de dreiging, als naar andere dreigingen gericht tegen de nationale
veiligheid. In ieder onderzoek van de diensten wordt per bevoegdheid en per casus
een proportionaliteitsafweging gemaakt, waarbij het onderzoeksbelang voor de nationale
veiligheid wordt afgewogen tegen de privacy-inbreuk die de bevoegdheid met zich meebrengt.

De leden van de D66-fractie vragen of de regering kan schetsen hoe er bij samenloop
van verschillende onderzoekstaken van de diensten wordt bepaald of en waarop het nieuwe
toezichtstelsel van toepassing is. Hierop antwoorden wij als volgt. In artikel 2,
tweede lid, van het wetsvoorstel is bepaald dat op de uitvoering van de in artikel
2, eerste lid, bedoelde taak de Wiv 2017 van toepassing is met inachtneming van het
bepaalde in deze wet. Dat geldt dus ook voor het stelsel van toetsing en toezicht;
wat in de Wiv 2017 ter zake is bepaald geldt met inachtneming van het bepaalde in
de Tijdelijke wet. De onderzoeken die de diensten dienen te verrichten worden op grond
van artikel 6 Wiv 2017 in de GA geformuleerd en geprioriteerd en dat geldt niet anders
voor onderzoeken naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse
belangen. Daarmee is nog niet gezegd dat dus altijd de Tijdelijke wet van toepassing
is. De toepasselijkheid van de Tijdelijke wet wordt immers binnen het stelsel van
de Tijdelijke wet telkens ad hoc bepaald en wordt in het verzoek om toestemming voor
de inzet van een bijzondere bevoegdheid aangegeven. Ingeval een target van de dienst
in verschillende onderzoeken van de dienst is betrokken, waaronder een onderzoek naar
landen met een offensief cyberprogramma, en vanuit die verschillende onderzoeken de
inzet van een bijzondere bevoegdheid jegens dat target wordt overwogen, dan zal een
ad hoc afweging dienen plaats te vinden voor welk onderzoek de inzet van die bijzondere
bevoegdheid en de daarmee te verkrijgen gegevens het grootste belang heeft oftewel
waar het zwaartepunt van het onderzoek naar het target ligt. Als dat zwaartepunt bij
het onderzoek naar landen met een offensief cyberprogramma ligt, dan kan de toepasselijkheid
van de Tijdelijke wet worden ingeroepen. Daarvoor geldt de volgende werkwijze:

• Waar het gaat om de toepassing van alle bijzondere bevoegdheden als bedoeld in paragraaf 3.2.5 van de Wiv 2017 geldt dat
op grond van artikel 2, derde lid, dient te worden aangegeven of daarbij uitvoering
wordt gegeven aan de Tijdelijke wet.

• Voor zover het een bijzondere bevoegdheid betreft waarop de Tijdelijke wet van toepassing
is verklaard en die is onderworpen aan de ex ante toetsing door de TIB geldt dat de
TIB die toetst conform het bepaalde in de Wiv 2017 met inachtneming van het bepaalde
in de Tijdelijke wet.

• Indien de TIB van oordeel is dat met betrekking tot de aan haar voorgelegde toestemming
ten onrechte is bepaald dat daarmee toepassing wordt gegeven aan de Tijdelijke wet,
deelt zij dit terstond mede aan de Minister. De TIB toetst vervolgens de toestemming
zonder toepassing van het bepaalde in de Tijdelijke wet. Uitsluitend de Wiv 2017 is
dan van toepassing. Tegen het oordeel van de TIB dat in casu de Tijdelijke wet niet
van toepassing is staat voor de Minister beroep open bij de Afdeling bestuursrechtspraak.
Ingeval de TIB een onder toepassing van de Tijdelijke wet verleende toestemming goedkeurt,
deelt zij dit terstond mede aan de afdeling toezicht van de CTIVD. Indien de TIB onder
toepassing van de Tijdelijke wet de goedkeuring weigert, vervalt de toestemming van
rechtswege. Tegen het oordeel van de TIB staat voor de Minister beroep open bij de
Afdeling bestuursrechtspraak.

• Voor zover het gaat om bijzondere bevoegdheden die op grond van de Tijdelijke wet
zijn onttrokken aan de ex ante toetsing van de TIB, geldt nog steeds dat in de aanvraag
voor toestemming bepaald dient te zijn dat de Tijdelijke wet van toepassing is. Van
de verleende toestemming in deze gevallen dient terstond mededeling te worden gedaan
aan de afdeling toezicht van de CTIVD.

• Waar het gaat om de bijschrijfmogelijkheden bij toepassing van artikel 47 en 54 Wiv
2017 (de artikelen 9 en 10) geldt dat van de toepassing daarvan terstond mededeling
dient te worden gedaan aan de afdeling toezicht van de CTIVD. Deze bijschrijfmogelijkheden
bestaan uitsluitend indien ten aanzien van de bijzondere bevoegdheid die het betreft
(artikel 47 en 54) overeenkomstig artikel 2, derde lid, is bepaald dat toepassing
wordt gegeven aan de Tijdelijke wet.

• De afdeling toezicht van de CTIVD krijgt in het kader van de toepassing van de Tijdelijke
wet in aanvulling op het bepaalde in de Wiv 2017 in een limitatief aantal gevallen
(artikel 12, eerste lid) de bevoegdheid bindende oordelen te geven en te bepalen of
ze daaraan – eveneens limitatief bepaalde (artikel 12, tweede lid) – gevolgen verbindt.
Tegen de bindende oordelen van de afdeling toezicht en de daaraan verbonden gevolgen
staat voor de Minister de mogelijkheid van beroep op de Afdeling bestuursrechtspraak
open.

Resumerend: het vaststellen of de Tijdelijke wet toepassing moet vinden – ook ingeval
van samenloop van onderzoeken naar een zelfde target – vindt primair plaats in het
kader van de toestemmingverlening voor een bijzondere bevoegdheid, secundair – voor
zover een TIB-toets is voorgeschreven – door de TIB en – ingeval de TIB de Tijdelijke
wet niet van toepassing acht – uiteindelijk door de Afdeling bestuursrechtspraak bij
een eventueel tegen dat oordeel ingesteld beroep.

De leden van de D66-fractie verzoeken de regering nader uiteen te zetten waarom de
huidige spoedprocedure volgens hen niet toereikend is. Ook vragen zij of de regering
kan aangeven hoe vaak er van de huidige spoedprocedure – uitgesplitst per jaar – gebruik
is gemaakt sinds de inwerkingtreding van de Wiv-2017 en of uitgesplitst kan worden
welk percentage dit van het volledige aantal verzoeken per jaar vormt. In dit verband
wordt verwezen naar de beantwoording op soortgelijke vragen van de SP-fractie en PvdA-fractie.
In onderstaande tabel wordt het door deze leden gevraagde overzicht verstrekt.

Jaar

Totaal aantal verzoeken1

spoedprocedure

Percentage spoedverzoeken op volledige aantal verzoeken

2022

2.902

129

4.4%

2021

3.071

111

3.6%

2020

2.784

86

3.1%

2019

2.355

68

2.9%

2018

2.159

112

5.2%

X Noot

1

Boven genoemde cijfers komen uit de jaarverslagen van de TIB

In het jaar 2023 tot en met de maand juli heeft de AIVD 1.579 verzoeken aan de TIB
voorgelegd, waarop 72 de spoedprocedure van toepassing was. Het percentage spoedverzoeken
op het volledige aantal verzoeken dat op rechtmatigheid is getoetst door de TIB komt
voor de AIVD van 1 januari tot en met 31 juli 2023 uit op 4,6%.

De leden van de CDA-fractie vragen wat de stand van zaken is met betrekking tot de
toegezegde Hoofdlijnennotitie inzake de voorgenomen wijziging van de Wiv 2017. De
Hoofdlijnennotitie is gelijktijdig met de aanbieding van deze nota naar aanleiding
van het verslag aan de Tweede Kamer aangeboden.

De leden van de SP-fractie willen graag weten hoe de geheime diensten zullen bepalen
welke wet – de Tijdelijke wet of de Wiv 2017 – van toepassing is bij samenloop van
verschillende onderzoekstaken en voorts wat nu precies de voorliggende keuze wordt
bij inlichtingenactiviteiten richting landen met een offensief cyberprogramma. Deze
leden verwijzen we naar hetgeen hiervoor in antwoord op een (deels) vergelijkbare
vraag van de leden van de fractie van D66 is geantwoord.

Naar aanleiding van de vraag van deze leden hoe de regering erop toeziet dat de diensten
niet onnodig het lichtere toezichtsregime van de Tijdelijke wet inzetten, willen we
opmerken dat van een lichter toezichtsregime geen sprake is. Integendeel. Waar de
ex ante TIB-toets in een beperkt aantal gevallen is beperkt, is ter compensatie voorzien
in ex durante bindend toezicht door de afdeling toezicht van de CTIVD, omdat dat beter
past bij het dynamische karakter van de uitvoering van de desbetreffende bevoegdheden
door de diensten. En ook overigens is het toezichtinstrumentarium van de afdeling
toezicht in het kader van de Tijdelijke wet ten opzichte van de regeling in de Wiv
2017 met extra bindende oordeelsbevoegdheden uitgebreid. Er is vanuit toezichtsoptiek
dan ook geen enkele reden te veronderstellen dat de diensten de Tijdelijke wet onnodig
inzetten. Zowel intern (via de reguliere verantwoordingslijn vanuit de diensten naar
de Minister) als extern (door de TIB en de afdeling toezicht) bestaan er mechanismen
die een juiste toepassing van de Tijdelijke wet borgen.

De leden van de SP-fractie vragen ten slotte op welke wijze er afspraken zijn gemaakt
met de toezichthouders en de diensten dat altijd gekozen zal worden voor het minst
ingrijpende onderzoeksmiddel, in plaats van de meest vergaande. Wij beantwoorden deze
vraag als volgt. Er zijn met de TIB of de CTIVD ter zake geen afspraken gemaakt. Dat
is ook niet nodig, nu immers uit artikel 26, eerste lid, van de Wiv 2017 voortvloeit
dat de diensten het zogeheten subsidiariteitsvereiste dienen toe te passen. De TIB
en de CTIVD zien ieder vanuit hun taak toe op de toepassing daarvan door de diensten.

De leden van de PvdA-fractie lezen dat het aan de TIB is om te beoordelen of de bevoegdheden
van de Tijdelijke wet mogen worden ingeroepen dan wel dat de bestaande Wiv 2017 van
toepassing is. Daarbij geldt dat een bevoegdheid alleen op grond van de Tijdelijke
wet mag worden ingezet als het zwaartepunt van de inzet op onderzoeksopdrachten binnen
de reikwijdte van deze wet valt. Deze leden vragen hoe en op grond waarvan dat zwaartepunt
wordt bepaald. Wij beantwoorden deze vraag als volgt. Het kan inderdaad voorkomen
dat vanuit verschillende lopende onderzoeken van de dienst aandacht is voor een bepaald(e)
target(organisatie). In die gevallen kan een bevoegdheid alleen onder toepassing van
de Tijdelijke wet worden ingezet als het zwaartepunt van de inzet betrekking heeft
op onderzoeksopdrachten die binnen de reikwijdte van deze wet vallen. De wijze waarop
dit zwaartepunt wordt bepaald is zeer afhankelijk van de omstandigheden van de specifieke
casus. Voor de inzet van een bijzondere bevoegdheid onderbouwen de diensten de onderzoeksvragen
die bijdragen aan de beantwoording van onderzoeksopdrachten zoals vastgesteld in de
GA. Er zijn enkele criteria die richting geven aan het bepalen van het zwaartepunt.
Deze criteria zijn bijvoorbeeld ten behoeve van welk inlichtingenteam de bevoegdheid
wordt ingezet en voor welke onderzoeksopdracht de meeste opbrengst door de inzet van
de bevoegdheid wordt verwacht. De Minister geeft al dan niet toestemming voor de onderbouwing
dat ofwel het Tijdelijke wet-regime ofwel het Wiv 2017-regime van toepassing is. De
TIB toetst deze toestemming op rechtmatigheid.

De leden van de PvdA-fractie lezen dat als het om de reikwijdte van de wet gaat (paragraaf
3.1) het voor de diensten niet altijd mogelijk is om een cyberaanval aan een specifiek
land te linken en te beoordelen of er al dan niet sprake is van een statelijke actor.
En ook of er sprake is van een offensief cyberprogramma. Kortom, zo stellen deze leden,
hoe kan op voorhand duidelijk worden of de Tijdelijke wet van toepassing is? De reikwijdte
van deze Tijdelijke wet is beperkt tot onderzoeken van de diensten naar landen met
een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Welke landen
dat zijn wordt bepaald aan de hand van de GA. Daarnaast bepaalt de GA dat de diensten
onderzoek moeten doen naar cyberdreigingen en cyberaanvallen enkel vanwege het feit
dat deze op Nederland of Nederlandse belangen zijn gericht en dat het vermoeden bestaat
dat deze te attribueren is aan een statelijke actor. In die gevallen is de Tijdelijke
wet ook van toepassing. Zowel de TIB als de CTIVD zijn bekend met de inhoud van de
GA. In een verzoek tot toestemming voor de inzet van een bijzondere bevoegdheid wordt
onderbouwd waarom de deze onder de Tijdelijke wet valt. Ook als niet (direct) een
digitale aanval te attribueren is aan een land, maar er wel een vermoeden is dat deze
te attribueren is aan een statelijke actor wordt dat onderbouwd. Op basis van deze
onderbouwing wordt toestemming gegeven door de Minister, welke toestemming op rechtmatigheid
wordt getoetst door de TIB.

De leden van de PvdA-fractie vragen hoe de Tijdelijke wet gebruikt wordt om de strengere
voorwaarden van de Wiv 2017 te vermijden. Wij verwijzen deze leden naar hetgeen ik
hiervoor op eenzelfde vraag van de leden van de SP-fractie heb geantwoord.

Tot slot vragen de leden van de PvdA-fractie hoe kan worden voorkomen dat gegevens
van onschuldige personen die voor de diensten niet interessant (zijn) – laat staan
voor buitenlandse diensten – door gebruikmaking van de Tijdelijke wet toch breder
beschikbaar komen. Wij merken daarover op dat de Tijdelijke wet niet tot doel heeft
en ook geen specifieke of afwijkende regeling bevat ten opzichte van de Wiv 2017 om
gegevens van personen die niet relevant zijn voor onderzoeken van de diensten breder
beschikbaar te stellen. De in de Wiv 2017 neergelegde waarborgen die gelden als het
gaat om internationale samenwerking zijn onverkort van toepassing.

De leden van de GroenLinks-fractie merken op dat in aanloop naar de invoering van
de Wiv 2017 een uitgebreide parlementaire behandeling heeft plaatsgevonden. Ook vond
er een uitgebreide maatschappelijke discussie plaats in aanloop naar het raadgevend
referendum over het wetsvoorstel. Zowel tijdens de parlementaire behandeling als tijdens
de discussie in de campagne voor het referendum kwam de gerichtheid van het zogenoemde
sleepnet uitgebreid aan de orde. Het uitgangspunt dat geformuleerd werd was dat bevoegdheden
zo gericht mogelijk moeten worden ingezet om te voorkomen dat onnodig gegevens van
burgers worden verzameld die geen doel van het specifieke noodzakelijke onderzoek
zijn. Deze leden hechten sterk aan dit uitgangspunt en zijn van mening dat ook bij
een gewijzigde wet de bijzondere bevoegdheden die de diensten hebben zo gericht mogelijk
moeten worden ingezet. Zij vragen of de regering hierop kan reflecteren. Ook wij hechten
aan dat uitgangspunt, en het vereiste dat bijzondere bevoegdheden door de diensten
zo gericht mogelijk moeten worden ingezet blijft ook in de Tijdelijke wet gelden;
ook bij de bevoegdheid tot kabelinterceptie ten behoeve van het inlichtingenonderzoek.
De Tijdelijke wet maakt daarop één uitzondering, namelijk bij de bevoegdheid tot OOG-interceptie
ten behoeve van verkennen. Bij deze bevoegdheid die juist dient om vast te stellen
waarop de toepassing van artikel 48 Wiv 2017 (OOG-interceptie), waarbij sprake is
van verwerving van gegevens ten behoeve van het inlichtingenproces, zich dient te
richten, is de eis van gerichtheid bij de uitoefening van de verkenningsbevoegdheid
naar zijn aard niet toepasbaar. Dit wordt tevens door de CTIVD in rapport 75 naar
inzet van kabelinterceptie toegelicht.17 Het is daarbij van belang te benadrukken dat deze bevoegdheid dient als opstap naar
het indienen van interceptie ten behoeve van het inlichtingenproces. Deze gegevens
mogen dan ook alleen gebruikt worden ten behoeve van het indienen van die aanvraag.
Voor deze interceptie ten behoeve van het inlichtingenproces geldt de eis van gerichtheid
onverkort.

De leden van de GroenLinks-fractie vragen hoe het gerichtheidscriterium sinds de inwerkingtreding
van de Wiv 2017 in de praktijk is toegepast en op welke wijze dit criterium onder
de Tijdelijke wet wordt vormgegeven. Voorts vragen deze leden hoe de toezichthouders
hier zo adequaat mogelijk toezicht op blijven houden. Wij beantwoorden deze vraag
als volgt. Bevoegdheden die de diensten inzetten om gegevens te verzamelen moeten
zo gericht mogelijk door de diensten worden ingezet. De diensten doen wat redelijkerwijs
in hun vermogen ligt om reeds bij verwerving van gegevens de niet voor het onderzoek
noodzakelijke gegevens tot een minimum te beperken en motiveren dit in hun aanvraag
tot de inzet van een bevoegdheid. De invulling van het gerichtheidscriterium is sterk
afhankelijk van de bevoegdheid die wordt ingezet, de omstandigheden van een specifieke
operatie en de fase waarin het onderzoek zich bevindt. Ook wordt rekening gehouden
met de inlichtingencontext, bijvoorbeeld of het inzetten van de bevoegdheid dient
tot onderzoek naar een gekend contraterrorisme-target of een ongekende statelijke
dreiging. De Tijdelijke wet wijzigt het gerichtheidscriterium op zichzelf niet. Bij
een aanvraag tot toestemming voor OOG-interceptie ten behoeve van het inlichtingenproces
wordt in de Tijdelijke wet nader gespecificeerd welke aspecten met name – en daarmee
het zwaarwegendst – moeten worden betrokken bij de invulling van de eisen van gerichtheid
en proportionaliteit en de toets daarop (artikel 7 van het wetsvoorstel). Bij de bevoegdheid
tot verkennen ten behoeve van OOG-interceptie heeft het gerichtheidsvereiste geen
betekenis, gelet op de aard en het doel van de bevoegdheid (artikel 6, vierde lid
van het wetsvoorstel). In de praktijk motiveren de diensten bij de aanvraag van een
bevoegdheid tot het verzamelen van gegevens op welke wijze de bevoegdheid zo gericht
mogelijk wordt ingezet. Op deze manier kan de TIB bij haar rechtmatigheidstoets op
de door de Minister verleende toestemming toetsen op welke wijze de diensten voornemens
zijn de desbetreffende bevoegdheid zo gericht mogelijk in te zetten. De afdeling toezicht
kan tijdens haar onderzoeken inzicht krijgen in de manier waarop de diensten invulling
hebben gegeven aan het gerichtheidsvereiste tijdens de uitvoering van een bevoegdheid
en daarop toezicht houden.

De leden van de GroenLinks-fractie constateren dat er zorgen en verwarring is ontstaan
over de vraag of het toezicht door de TIB en de CTIVD nu wel of niet wordt ingeperkt.
Zij vragen om in een helder schematisch overzicht het huidig toezicht te schetsen
en in ditzelfde schema aan te geven hoe dit toezicht in de tijdelijke wet wordt gewijzigd
en of daarbij sprake is van een versterking of inperking. Wij bieden graag deze verduidelijking
en willen benadrukken dat met het voorliggend voorstel geen sprake is van inperking
van het toezicht op het handelen van de diensten.

Huidig stelsel van toetsing en toezicht in de Wiv 2017

Wijzigingen op grond van de Tijdelijke wet

Compenserende maatregel

Effect

TIB toetst ex ante de toestemmingen voor de in artikel 32 Wiv 2017 gespecificeerde
bijzondere bevoegdheden

Ex ante toets door de TIB van verleende toestemmingen vervalt met betrekking tot:

– De verkenning van geautomatiseerde werken ex artikel 45, eerste lid, onder a, Wiv
2017 (artikel 4 Tijdelijke wet);

– Geautomatiseerde data-analyse (GDA) op met OOG-interceptie verkregen metadata ex
artikel 50, vierde lid, Wiv 2017 (artikel 8 Tijdelijke wet).

In plaats van bindend ex ante toets door de TIB komt bindend toezicht ex durante (gedurende
de uitoefening van de bevoegdheid) en ex post (na afloop van de uitoefening van de
bevoegdheid) door de afdeling toezicht van de CTIVD in de plaats.

Verschuiving van bindende toets ex ante naar bindend toezicht ex durante en ex post.
Sluit beter aan bij fase van uitvoering onderzoek door de diensten en is daarmee effectiever.

Aanpassingen zoals voorgesteld worden door zowel TIB als CTIVD ondersteund.

De afdeling toezicht van de CTIVD is op grond van artikel 97, derde lid, jo. paragraaf
7.2.2 Wiv 2017 belast met rechtmatig toezicht op de uitvoering van de Wiv 2017

Taak blijft ongewijzigd en wordt aangevuld met de mogelijkheid tot het geven van bindende
oordelen met betrekking tot de in artikel 12, eerste lid, Tijdelijke wet gespecificeerde
handelingen.

Verduidelijking bijschrijfmogelijkheden worden gecompenseerd door bindend toezicht
door de afdeling toezicht.

Is versterking van het ex durante en ex post toezicht door de afdeling toezicht

 

Mogelijkheid van beroep tegen oordelen van de TIB en de afdeling toezicht bij de Afdeling
bestuursrechtspraak van de Raad van State

Herstel weeffout (ECW)

Versterking van het stelsel doordat Afdeling bestuursrechtspraak in geschillen tussen
Minister en TIB of afdeling CTIVD inzake de uitleg of toepassing van de Tijdelijke
wet definitief uitsluitsel kan geven (draagt bij aan doorbreken impasses).

De regering schrijft dat de voorliggende wet nadrukkelijk een tijdelijk karakter heeft.
De leden van de GroenLinks-fractie vragen de regering nader in te gaan op het tijdelijke
karakter van de voorliggende wet. Ook vragen zij op welke wijze de tijdelijke wijzigingen
zullen worden geëvalueerd. Kan hierbij, aldus deze leden, ook aangegeven worden waarom
bij het voorliggende wetsvoorstel gekozen is voor vier jaar en bijvoorbeeld niet voor
een periode van twee jaar, zodat na twee jaar beoordeeld kan worden of verlenging
noodzakelijk is of dat dan de herziening van de gehele Wiv 2017 gereed kan zijn. Wij
beantwoorden deze vraag als volgt. De reden dat er voor een looptijd van vier jaar
is gekozen, is dat na het uitbrengen aan de Kamer van de Hoofdlijnennotitie, het traject
van de structurele herziening van de Wiv 2017 kan worden ingezet. De verwachting is
dat de herziening binnen vier jaar zijn beslag moet kunnen krijgen. Een termijn van
twee jaar is voor een herzieningstraject dat een bredere reikwijdte heeft dan de Tijdelijke
wet niet realistisch. Mocht blijken dat de herziening van de Wiv 2017 eerder klaar
is dan de looptijd van de Tijdelijke wet, dan kan deze ook eerder vervallen. Tot slot
wordt opgemerkt dat om te kunnen beoordelen of de Tijdelijke wet functioneert zoals
wordt beoogd, deze na inwerkingtreding (tussentijds) zal worden gemonitord. De resultaten
daarvan zullen ook met de Kamer worden gedeeld. Deze zullen ook worden meegenomen
in het bredere herzieningstraject.

De leden van de SGP-fractie vragen de regering om vanuit het perspectief van de uitvoeringspraktijk
in te gaan op het dubbele regime van toetsing en toezicht dat ontstaat door het naast
elkaar bestaan van de Wiv 2017 en de Tijdelijke wet. Zij vragen of het voldoende werkbaar
is om rekening te houden met de verschillende regimes die door het wetsvoorstel ontstaan
en ook wat dit betekent dat voor de administratieve belasting. Wij verwijzen deze
leden naar ons antwoord op vergelijkbare vragen van de leden van de PvdA-fractie in
onderdeel 1. Inleiding van deze nota naar aanleiding van het verslag.

De leden van de SGP-fractie vragen in het licht van de constatering van de Afdeling
advisering dat het stelsel van toezicht in complexiteit toeneemt en dat het de vraag
is of de beoogde doelen van het wetsvoorstel worden bereikt, waarom de regering toch
geen nut ziet in eenduidiger alternatieven. Wij hebben kennis genomen van de zorgen
van de Afdeling advisering, zoals door deze leden geschetst. De Afdeling advisering
geeft daarnaast echter ook aan dat men, gelet op de dreiging die uitgaat van landen
met een offensief cyberprogramma, het niettemin begrijpelijk acht om thans, vooruitlopend
op een definitieve wetswijziging, een aangepast regime voor een beperkt deel van de
taken en bevoegdheden te beproeven. Daarbij is volgens de Afdeling advisering van
belang dat veel van de in de Tijdelijke wet gekozen oplossingen corresponderen met
de grondig gemotiveerde aanbevelingen van de ECW. De praktijk zal moeten uitwijzen
of de met het wetsvoorstel beoogde doelen worden bereikt. Overeenkomstig het advies
van de Afdeling advisering zullen dan ook de ervaringen met de voorgestelde maatregelen
worden gemonitord en die zullen vervolgens worden betrokken bij de herziening van
de Wiv 2017. Daarop zijn we eerder in deze nota naar aanleiding van het verslag al
ingegaan. Bij de voorbereiding van het wetsvoorstel is uiteraard bezien hoe de problematiek
waarvoor op korte termijn een oplossing moest worden gevonden, het beste kon worden
geadresseerd en zijn ook alternatieven bezien. Daarbij was het van belang om de balans
tussen enerzijds de verbetering van de mogelijkheden voor de diensten om onderzoek
te doen naar dreigingen vanuit landen met een offensief cyberprogramma en anderzijds
daarop te voorzien in adequaat en effectief toezicht een continu aandachtspunt. Erkend
is dat er tijdelijk twee stelsels, ook waar het gaat om toezicht, naast elkaar bestaan.
Maar zoals hiervoor reeds is uiteengezet is dit vanuit het perspectief van de diensten
werkbaar.

De leden van de Volt-fractie merken op dat met de komst van de Tijdelijke wet een
poging wordt gedaan om acute knelpunten te verhelpen. Ook wijzen ze erop dat de regering
in de memorie van toelichting aangeeft dat de brede wetswijziging van de Wiv 2017
binnen de vervaltermijn van de Tijdelijke wet wordt afgerond. Deze leden vragen of
de regering verwacht dat de inzet van de bevoegdheden uit de Tijdelijke wet over vier
jaar niet langer nodig is of is het waarschijnlijk dat de wet dan verlengd wordt.
Uit de memorie blijkt immers niet, aldus deze leden, dat de dreiging van tijdelijke
aard is en dus vragen zij de regering waarom dan toch voor een tijdelijke wet is gekozen.
Op basis waarvan acht de regering het waarschijnlijk dat de Wiv 2017 binnen vier jaar
herzien is en welke manier gaat de regering ervoor zorgen dat de herziening van de
Wiv 2017 binnen vier jaar zal plaatsvinden. Wij willen deze leden allereerst verwijzen
naar onze reactie op (deels) vergelijkbare vragen van de leden van de GroenLinks-fractie
waar het gaat om het tijdelijke karakter van de wet. In aanvulling daarop merken we
nog het volgende op. Het is correct te veronderstellen dat de oplossingen die de Tijdelijke
wet biedt voor de geconstateerde knelpunten- deels in aanvulling en deels in afwijking
op het bepaalde in de Wiv 2017 – langer dan vier jaar nodig zijn. Voorzien is dat
de oplossingen voor deze knelpunten daarom moeten worden meegenomen in het wetsvoorstel
dat zal worden voorbereid in het kader van het traject van de herziening van de Wiv
2017.

De leden van de Volt-fractie vragen tot slot of het tijdelijke karakter van de wet
een impact heeft op de rechtsbescherming van burgers. Voor de rechtsbescherming van
de burgers heeft de Tijdelijke wet geen gevolgen. De mogelijkheden die de burgers
hebben in het kader van rechtsbescherming op grond van de Wiv 2017 blijven immers
onverkort van toepassing.

3. De maatregelen nader beschouwd

De leden van de PvdA-fractie lezen dat de diensten onderzoek doen naar cyberdreigingen
en cyberaanvallen waarbij enkel het vermoeden dat deze te linken zijn aan een statelijke
actor afdoende is om dat onderzoek te kunnen doen. Op grond waarvan, zo vragen deze
leden, kunnen diensten een dergelijk vermoeden krijgen en hoe wordt dit afgebakend.
Voorts vragen zij of degenen die toestemming moeten geven en gedurende het onderzoek
dit moeten monitoren inzicht krijgen in de achtergrond van een vermoeden dat er sprake
is van een statelijke actor. Wij beantwoorden deze vraag als volgt. Alle onderzoeken
van de AIVD en MIVD vinden hun grondslag in de in artikel 8 onderscheidenlijk artikel
10 Wiv 2017 geregelde taakstelling en de ter uitvoering daarvan op grond van artikel
6 Wiv 2017 vastgestelde GA. De GA geeft de diensten de expliciete opdracht onderzoek
te doen naar cyberdreigingen en cyberaanvallen vanwege het feit dat deze op Nederland
of Nederlandse belangen zijn gericht en het vermoeden bestaat dat deze dreiging of
aanval te attribueren is aan een statelijke actor. Dit vermoeden is altijd gebaseerd
op bestaande informatie en inlichtingen.18 De afbakening dat het vermoeden moet bestaan dat het om een statelijk actor gaat
is van belang, omdat het taakveld van de inlichtingen- en veiligheidsdiensten in het
geval van cyberdreiging zich daarop richt. In de aanvragen voor de inzet van bijzondere
bevoegdheden worden de vermoedens onderbouwd en moet ook onderbouwd worden hoe de
verzochte inzet bijdraagt aan de beantwoording van de onderzoeksvragen. Dat betekent
dus inderdaad dat degene die toestemming geeft voor de inzet van een bevoegdheid –
veelal de Minister – inzicht heeft in de onderbouwing van het vermoeden van een statelijke
actor. Datzelfde geldt voor de TIB die de rechtmatigheid van de door de Minister gegeven
toestemming toetst – voor zover de inzet van een bijzondere bevoegdheid aan haar toets
onderworpen is – alsook de afdeling toezicht die toezicht houdt op het rechtmatig
handelen van de diensten.

De leden van de SGP-fractie vragen of de regering meer concreet inzichtelijk kan maken
wat de beoogde maatregelen kunnen betekenen voor de omvang en intensiteit van verzamelen
van gegevens, mede met het oog op de maatschappelijke gevoeligheid van de thematiek.
Deze leden vragen bijvoorbeeld aandacht voor de zorg dat volledige steden en woonwijken
worden afgetapt, en dat bij intercepties gegevens van miljoenen burgers verzameld
worden. Graag zouden zij op basis van de huidige ontwikkelingen vernemen welke verwachtingen
reëel zijn als het gaat om frequentie en intensiteit. Wij gaan er bij onze beantwoording
van uit dat de vraagstelling van deze leden specifiek betrekking heeft op de bevoegdheid
tot OOG-interceptie in het kader van de Tijdelijke wet, immers daarover zijn de door
deze leden genoemde zorgen geuit. Het is van belang om allereerst te benadrukken dat
de diensten OOG-interceptie op de kabel niet zullen inzetten om een beeld te krijgen
van de digitale handelingen van (Nederlandse) burgers. Kabelinterceptie betreft het
intercepteren van getransporteerde gegevens over kabelgebonden infrastructuur. Anders
dan bijvoorbeeld een gerichte internet- of telefoontap, welke gericht is op een apparaat
van een persoon en/of organisatie en betrekking heeft op alle communicatie (inhoud
en metadata)19 die daarmee plaatsvindt waardoor een vollediger beeld van deze persoon en/of organisatie
kan worden verkregen, is kabelinterceptie gericht op communicatiestromen. Deze communicatiestromen
bevatten slechts gedeelten (fragmenten) van de communicatie van personen en organisaties
in het digitale domein. Het levert – anders dan bij gerichte interceptie – geen volledig
(en ononderbroken) beeld op van de communicatie van een persoon of organisatie. De
diensten richten zich op communicatiestromen die internationaal gegevensverkeer bevatten.
Zoals eerder in deze nota naar aanleiding van het verslag is uiteengezet, is vanwege
de technische inrichting van het internet en de wijze waarop gegevensstromen daarop
plaatsvinden, het nimmer uit te sluiten dat daarin ook gedeelten van gegevens van
communicatieverkeer van Nederlandse burgers in zitten. De interceptie is daarop ook
niet gericht. Waar het gaat om de betekenis van de beoogde maatregelen voor de omvang
en intensiteit van OOG-interceptie merken we het volgende op. Een doel van de Tijdelijke
wet is dat de diensten meer gegevensstromen kunnen verkennen (artikel 6) en aan de
hand van een analyse van die gegevens beter kunnen bepalen via welke datastromen vervolgens
de bevoegdheid tot OOG-interceptie (artikel 48 Wiv 2017) kan worden ingezet voor onderzoeken
naar landen met een offensief cyberprogramma. Met deze aangepaste werkwijze wordt
bewerkstelligd dat ten opzichte van de huidige situatie zowel de omvang als de frequentie
voor het inzetten van de bevoegdheid tot OOG-interceptie ex artikel 48 Wiv 2017 kan
worden vergroot en de effectiviteit van het onderzoek. Daarbij wordt opgemerkt dat
ook voor de inzet van de verkennende bevoegdheid de normen van noodzaak, proportionaliteit
en subsidiariteit onverkort van toepassing zijn. De TIB zal dus een rechtmatigheidsoordeel
over een door de Minister verleende toestemming voor de inzet van de verkennende bevoegdheid
moeten geven. De gegevens die worden geïntercepteerd onder artikel 6 worden overigens
niet gebruikt voor inlichtingenonderzoek.

3.1 De reikwijdte van de wet

De leden van de VVD-fractie begrijpen dat de toegenomen cyberdreiging vanuit statelijke
actoren een belangrijke aanleiding vormt voor het voorliggende wetsvoorstel. Hoewel
deze leden met de regering van oordeel zijn dat de toegenomen cyberdreiging voor een
substantieel deel wordt veroorzaakt door de agressie van diverse landen met een offensief
cyberprogramma, staan de Nederlandse (veiligheids)belangen niet louter onder druk
door statelijke actoren. In 2022 werd in het Cyber Security Beeld Nederland, een gezamenlijk
document van het Nationaal Cyber Security Centrum en de AIVD en MIVD, gesteld dat
ransomware aanvallen (van criminele groeperingen) inmiddels een bedreiging vormen
voor de nationale veiligheid. Deze leden vragen welke rol de regering ziet voor de
inlichtingen- en veiligheidsdiensten, in het bijzonder in het kader van voorliggend
wetsvoorstel, in het tegengaan van bedreigingen voor de nationale veiligheid wanneer
die uitgaan van criminele groeperingen. Wij beantwoorden deze vraag als volgt. De
inlichtingen- en veiligheidsdiensten voeren hun taak uit in het kader van de nationale
veiligheid. Als criminele actoren een dreiging vormen voor de nationale veiligheid
en hun activiteiten een gevaar vormen voor het voortbestaan van de democratische rechtsorde,
dan wel voor de veiligheid of andere gewichtige belangen van de staat, heeft de AIVD
de wettelijke taak daar onderzoek naar te doen. In het kader van voorliggend wetvoorstel
is het van belang op te merken dat deze zich beperkt tot onderzoeken naar landen met
een offensief cyberprogramma. Dit onderzoek richt zich dan ook primair op statelijke
dreigingen tegen de rijksoverheid, defensie en vitale organisaties. Indien (criminele)
organisaties in opdracht van of gelieerd zijn aan statelijke actoren die vallen onder
de reikwijdte van de Tijdelijke wet, doen de diensten daar tevens in het kader van
deze wet onderzoek naar. Zoals is vastgesteld in bijvoorbeeld het Cybersecuritybeeld
Nederland 2021 kunnen digitale aanvallen van criminele groeperingen echter ook een
bedreiging vormen voor de nationale veiligheid. In dat geval vindt het onderzoek uitsluitend
op grond van de Wiv 2017 plaats.

De leden van de GroenLinks-fractie lezen dat de regering niet vooraf kan bepalen welke
landen gerekend zullen worden tot de categorie landen met een offensief cyberprogramma
en geven aan dit op zichzelf te begrijpen. Zij vragen dan ook een nadere toelichting
op hoe precies bepaald wordt wanneer er sprake is van een statelijke actor waarop
de tijdelijke wet van toepassing is. Wij verwijzen deze leden allereerst graag naar
onze reactie op een grotendeels zelfde vraag van de leden van de D66-fractie in het
begin van het Algemeen deel van deze nota naar aanleiding van het verslag, waarin
zij vragen welke landen onder de categorie landen met een offensief cyberprogramma
vallen. In aanvulling daarop merken we nog het volgende op. Bij de dreiging van statelijke
actoren hoeft de dreiging niet direct afkomstig te zijn van een regeringsapparaat,
inlichtingendienst of krijgsmacht. Deze dreigingen en aanvallen kunnen zich ook manifesteren
via bedrijven, groeperingen of instellingen die zich laten inzetten door statelijke
actoren maar daar niet direct aan gelinkt kunnen worden. Het is aan de AIVD en MIVD
om te onderzoeken of er bij dergelijke cyberaanvallen sprake is van een statelijke
actor – en er dus een link is met een land – die dergelijke bedrijven en organisaties
direct of indirect aanstuurt.

De leden van de SGP-fractie constateren dat de reikwijdte van de wet op twee punten
een enigszins onbepaald karakter heeft, namelijk het vereiste dat het optreden van
niet-statelijke actoren onderdeel en uitvloeisel moet zijn het handelen van landen
en bovendien het criterium van de Nederlandse belangen. Deze leden vragen hoe de regering
omgaat met het risico dat het bereik van de wet (gaandeweg) op oneigenlijke wijze
kan worden opgerekt. Specifiek vragen zij een meer concrete duiding te geven van de
Nederlandse belangen. Klopt het, zo vragen deze leden, dat hieronder bijvoorbeeld
niet begrepen wordt het beschermen van individuele, grote bedrijven, maar dat de ernst
hierbij altijd te maken moet hebben met de taken die de diensten op grond van de Wiv
2017 hebben in het belang van de nationale veiligheid. Wij beantwoorden deze vraag
als volgt. Voor een nadere toelichting op het begrip Nederlandse belangen, verwijzen
wij graag naar het antwoord dat wij eerder op een vraag van de leden van de SP-fractie
hebben gegeven. Het beschermen van individuele, grote bedrijven kan een Nederlands
belang zijn in het kader van bescherming van de economische veiligheid, waar de diensten
op grond van hun wettelijke taken onderzoek naar moeten doen. Bij de inzet van een
bevoegdheid moeten de diensten een toestemmingsverzoek schrijven. Dit verzoek geschiedt
in het kader van een of meer onderzoeksopdrachten waarbij ze ook moeten aangeven of
naar het oordeel van de diensten de Tijdelijke wet van toepassing is. Het is primair
de verantwoordelijkheid van de diensten om binnen het juiste wettelijke kader te handelen.
De TIB zal, ingeval in de verleende toestemming is bepaald dat de Tijdelijke wet van
toepassing is, dit bij haar rechtmatigheidstoets kunnen betrekken. De TIB kan aldus
erop toezien dat de verleende toestemming binnen het bereik van de wet past. Bij verschil
van mening tussen de Minister en de TIB kan dit aan de Afdeling bestuursrechtspraak
worden voorgelegd.

De leden van de SGP-fractie vragen voorts een toelichting op de stelling dat de wet
ook van toepassing is op situaties waarin het vermoeden bestaat dat dreigingen te
attribueren zijn aan een statelijke actor. Deze leden constateren dat het vermoeden
niet duidelijk op te maken valt uit de Wiv 2017. Zo spreekt artikel 8, tweede lid,
onderdeel d, slechts expliciet over het verrichten van onderzoek betreffende landen.
Waarom, zo vragen deze leden, heeft de regering geen aanleiding gezien om het criterium
van het vermoeden duidelijker te verankeren in het wetsvoorstel. De leden van de SGP-fractie
vragen ten slotte of de regering uitgebreider kan duiden wanneer sprake is van een
vermoeden en op welke wijze dat vermoeden door de diensten aannemelijk dient te worden
gemaakt. Wij merken naar aanleiding van deze vragen het volgende op. In artikel 2,
eerste lid, van het wetsvoorstel is het onderzoek waarop onderhavig wetsvoorstel specifiek
ziet nadrukkelijk als een uitwerking van de bestaande taakstelling van de diensten
in artikel 8 (AIVD) en 10 (MIVD) van de Wiv 2017 geformuleerd. Dat is breder dan de
inlichtingentaak buitenland van de AIVD en MIVD, zoals neergelegd in artikel 8, tweede
lid, onder d, Wiv 2017, waarnaar deze leden verwijzen. Veeleer is relevant de taak
van de diensten om onderzoek te doen naar dreigingen, zoals die onder meer in artikel
8, tweede lid, onder a, Wiv 2017 voor de AIVD is neergelegd. Aldaar is expliciet gesteld
dat dit onderzoek betrekking heeft op organisaties en personen die door de doelen
die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstige
vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde,
dan wel voor de veiligheid of voor andere gewichtige belangen van de staat. Maar ook
al zou het aspect vermoeden niet zijn benoemd, het is inherent aan het onderzoek van
de diensten dat men niet alleen onderzoek doet naar gekende dreigingen die te attribueren
zijn aan gekende personen en organisaties, maar juist ook om ongekende dreigingen
te onderkennen en te achterhalen welke persoon of organisatie (in casu statelijke
actor) daarachter zit. Dat is het domein van de vermoedens. De specifieke landen met
een offensief cyberprogramma waarnaar op dit moment door de AIVD en MIVD actief onderzoek
wordt gedaan, worden genoemd in de staatsgeheim gerubriceerde bijlage bij de Geïntegreerde
Aanwijzing (GA). Zoals hiervoor uiteengezet doen de diensten ook naar (op dit moment)
ongekende dreigingen. Dit kunnen dreigingen zijn die nog niet geattribueerd kunnen
worden aan een al gekende statelijke actor met een offensief cyberprogramma genoemd
in de GA, of dreigingen die komen van statelijke actoren waarvan tot nu toe onbekend
was dat zij een dreiging vormden tegen Nederland of Nederlandse belangen. De GA geeft
de diensten namelijk de expliciete opdracht onderzoek te doen naar cyberdreigingen
en cyberaanvallen vanwege het feit dat deze op Nederland of Nederlandse belangen zijn
gericht en het vermoeden bestaat dat deze dreiging of aanval te attribueren is aan
statelijke actor. Dit vermoeden is altijd gebaseerd op bestaande informatie en inlichtingen.
Om vast te kunnen stellen of er sprake is van een statelijke actor moet uit het onderzoek
van de inlichtingen- en veiligheidsdiensten blijken dat het offensieve cyber programma
gefaciliteerd, gestuurd en/of gedoogd wordt door de overheid van de betreffende staat.
Het is daarom van belang inzicht te krijgen in de doelstellingen, intenties en aansturing
van landen waar de diensten onderzoek naar doen. Bij de dreiging van statelijke actoren
hoeft de dreiging niet direct afkomstig te komen van een regeringsapparaat, inlichtingendienst
of krijgsmacht. Deze dreigingen en aanvallen kunnen zich ook manifesteren via bedrijven,
instellingen of meer diffuse proxy-organisaties. Het is aan de AIVD en MIVD om te
onderzoeken of er bij dergelijke cyberaanvallen sprake is van een statelijke actor
– en er dus een link is met een land – die dergelijke bedrijven en organisaties direct
of indirect aanstuurt.

3.2 Verkennen van en binnendringen in een geautomatiseerd werk

De leden van de D66-fractie vragen of de regering kan bevestigen dat de rol van de
TIB bij het verkennen van geautomatiseerde werken volledig verdwijnt, maar voor het
binnendringen nog steeds geldt. Wij kunnen bevestigen dat in het kader van de Tijdelijke
wet de bindende ex ante toets van de TIB bij de uitoefening van de bijzondere bevoegdheid
tot het verkennen van een geautomatiseerd werk wordt geschrapt en wordt vervangen door bindend toezicht
van de afdeling toezicht gedurende de uitoefening van deze bevoegdheid alsmede achteraf
(artikel 4 resp. 12, eerste lid, onder a).

Waar het gaat om de technische risico’s die de TIB bij de uitoefening van de ex ante
toets op het binnendringen van een geautomatiseerd werk kan betrekken, merken wij – naar aanleiding van een
vraag van deze leden ter zake – het volgende op. Het wetsvoorstel voorziet er allereerst
in dat bij een verzoek om toestemming om binnen te dringen in een geautomatiseerd
werk niet meer de plicht bestaat om een omschrijving te geven van de technische risico’s
die verbonden zijn aan de uitoefening van de desbetreffende bevoegdheid. Deze eis
leidt in de uitvoeringspraktijk immers tot onduidelijkheid: naast bekende technische
risico’s worden daar – door de TIB – ook de mogelijke technische risico’s verbonden
aan mogelijke handelingen in het kader van de uitvoering van de bevoegdheid onder
begrepen. Zoals in de memorie van toelichting is uiteengezet20, is het echter niet mogelijk om voorafgaand aan een toestemmingsperiode van drie
maanden te voorspellen welke handelingen precies nodig zijn om gedurende die periode
het met de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd werk
beoogde doel te bereiken. De eventuele technische risico’s die gekoppeld zijn aan
deze handelingen zijn daarom van tevoren ook niet te voorzien.21 Het schrappen van de wettelijke eis om bij de aanvraag om toestemming voor het binnendringen
in een geautomatiseerd (altijd) de technische risico’s te vermelden, betekent niet
dat er geen technische risico’s meer worden vermeld in het verzoek om toestemming.
Het vermelden van technische risico’s dient – ook zonder een wettelijke plicht daartoe
– nog steeds plaats te vinden, maar is beperkt tot de op het moment van aanvraag van
de toestemming bekende risico’s. Die zijn en blijven immers relevant voor de oordeelsvorming
van de voor de dienst verantwoordelijke Minister. De toetsing van de TIB ziet op de
door de Minister verleende toestemming en voor zover het gaat om de technische risico’s
is deze dan ook beperkt tot de bekende technisch risico’s. Gezien de dynamische en
onvoorzienbare aard van operaties waarbij wordt binnengedrongen in een geautomatiseerd
werk zal deze toets een hoger abstractieniveau hebben. De afdeling toezicht houdt
vervolgens toezicht op de uitvoering van de bevoegdheid en dus ook op de wijze waarop
bekende en nieuwe technische risico’s zich tijdens de uitvoering concreet voordoen.
Daarmee verschuift de bindende ex ante toets voor andere risico’s dan die welke op
moment van toestemmingverlening bekend zijn naar de fase van dynamisch toezicht door
de afdeling toezicht. Ingevolge artikel 12, eerste lid, onder b, van het wetsvoorstel
is ook dat toezicht bindend voor zover dat betrekking heeft op de aan de uitoefening
van de bevoegdheid verbonden technische risico’s. Zoals in de brief aan de voorzitter
van de TIB door ons is aangegeven, is er geen enkele intentie geweest om de wijze
waarop de TIB de proportionaliteitstoets uitvoert in te perken, maar wel om via de
toelichting duidelijk te maken dat waar het gaat om de beoordeling van de technische
risico’s in de nieuwe systematiek het domein van de TIB ophoudt en die van de afdeling
toezicht van de CTIVD begint.22 Het voorgaande geldt mutatis mutandis voor het gebruik van onbekende kwetsbaarheden
door de diensten. Daarmee beantwoorden wij ook de vraag van de leden van de D66-fractie
om wat bij de afdeling toezicht van de CTIVD komt te liggen en welke rol de TIB op
dit vlak nog heeft.

Deze leden horen graag via welk afwegingskader de diensten besluiten wel of niet gebruik
te maken van onbekende kwetsbaarheden (ook wel zero-days genaamd). Het gebruik door
de diensten van een onbekende kwetsbaarheid – indien daar technische risico’s mee
gepaard gaan – zal moeten vallen binnen de in het kader van een verzoek om toestemming
gemaakte proportionaliteitsafweging. De AIVD en MIVD maken tevens gebruik van het
«Beleid AIVD en MIVD over omgang met «onbekende kwetsbaarheden» in het geval dat er
gebruik is gemaakt van een onbekende kwetsbaarheid. Dit beleid is openbaar23. In dit beleid is het uitgangspunt van «melden, tenzij» vastgelegd. Factoren waaraan
wordt getoetst zijn risico’s, wettelijke beperkingen, noodzaak en geheimhouding.

Deze leden vragen ten slotte of de regering kan aangeven of het enkel kwalificeren
van onbekende kwetsbaarheden als technische risico’s voldoende de maatschappelijke
risico’s meeweegt, zoals bij de gevolgen van de WannaCry aanvallen. En, zo ja, of
de regering hier een voorbeeld bij kan schetsen. Wij beantwoorden deze vraag als volgt.
Er dient onderscheid te worden gemaakt tussen technische risico’s en maatschappelijke
risico’s. In een toestemmingsverzoek voor een specifieke inzet van deze bevoegdheid
dient er (ingevolge artikel 26 van de Wiv 2017) in het kader van de proportionaliteit
een afweging plaats te vinden tussen het onderzoeksbelang en het nadeel voor de betrokkene.
In de memorie van toelichting bij de Wiv 2017 is verduidelijkt dat onder «betrokkene»
moet worden verstaan degene jegens wie de bevoegdheid wordt ingezet. Dit betekent
dus dat maatschappelijke risico’s niet passen bij de te maken proportionaliteitsafweging
in een toestemmingsverzoek dat gericht is op een specifiek persoon of specifieke organisatie.
Dat betekent natuurlijk niet dat de diensten geen oog hebben voor maatschappelijke
risico’s, nu de diensten de verwezenlijking daarvan – net zo goed als bij technische
risico’s – wil voorkomen. De maatschappelijke risico’s maken onderdeel uit van de
afweging die wordt gemaakt bij de keuze om over te gaan tot het schrijven en indienen
van een toestemmingsverzoek. Het maakt onderdeel uit van de proportionaliteitstoetsing
die daarbij dient te worden uitgevoerd.

De Afdeling advisering adviseert in het wetsvoorstel te regelen dat data die wordt
verkregen door middel van een verkennende bevoegdheid (inzake OOG interceptie) niet
mogen worden uitgewisseld met buitenlandse diensten. De leden van de CDA-fractie vragen
de regering wat de consequenties voor het functioneren van de diensten zou zijn als
deze aanbeveling van de Afdeling advisering zou worden opgevolgd. Klopt het, zo vragen
deze leden, dat er in dit stadium geen sprake is van uitwisseling van gegevens, maar
juist van verkenning van de mogelijkheden voor onderzoek, en dat Nederland voor onderzoek
soms afhankelijk is van kennis of technische mogelijkheden van buitenlandse diensten.
Tot slot vragen deze leden in hoeverre opvolging van deze aanbeveling de samenwerking
bemoeilijkt van onze diensten met buitenlandse diensten uit landen met gelijke waarden.
Wij beantwoorden deze vragen graag als volgt. Voordat gegevens uit OOG-interceptie
bruikbaar zijn voor het inlichtingenproces moeten deze technisch verwerkt en van betekenis
worden voorzien. In sommige gevallen kan dit een buitengewoon complexe aangelegenheid
zijn. In het kader van dit technisch onderzoek is het soms noodzakelijk ondersteuning
te krijgen van een buitenlandse collegadienst. Artikel 90 van de Wiv 2017 biedt de
wettelijke grondslag voor de AIVD en de MIVD om in het kader van een goede taakuitvoering
een verzoek te doen aan een buitenlandse dienst tot het verlenen van technische of
andere vormen van ondersteuning, waartoe ook de ondersteuning als hier bedoeld kan
worden begrepen. In onderhavig geval worden – ingeval de buitenlandse dienst bereid
is de gevraagde ondersteuning te verlenen – de voor dat technisch onderzoek benodigde
gegevens aan de desbetreffende collegadienst verstrekt. De desbetreffende collegadienst
kan dan technische informatie geven over hoe deze gegevens het beste verwerkt kunnen
worden. Indien met behulp van de buitenlandse diensten de verstrekte gegevens van
betekenis kunnen voorzien en daarmee bruikbaar worden voor het doel waarvoor ze zijn
verworven, dan kan dit bijdragen aan een gerichtere formulering van het verzoek om
toestemming voor OOG-interceptie ex artikel 48 Wiv 2017. Indien de mogelijkheid tot
het verstrekken van gegevens aan een buitenlandse dienst voor technisch onderzoek
zou ontbreken, betekent dat de desbetreffende gegevens uiteindelijk niet voor het
doel gebruikt kunnen worden waarvoor ze zijn verworven.

De leden van de SP-fractie vragen de regering waarom zij juist ingebouwde waarborgen
die tegemoet kwamen aan de tegenstemmers in het «sleepwet-referendum» nu wettelijk
schrapt. Wij beantwoorden deze vraag als volgt. De regering heeft de Tweede Kamer
bij brief van 6 april 2018 geïnformeerd dat naar aanleiding van het referendum over
de invoering van de Wiv 2017 een zestal aanvullende waarborgen worden toegepast bij
de inwerkingtreding van de Wiv 2017. Deze waarborgen blijven intact, met uitzondering
van één specifieke aanpassing met betrekking tot het vereiste van een zo gericht mogelijke
inzet van bevoegdheden. Het is sinds de inwerkingtreding van de Wiv 2017 gebleken
dat de bevoegdheid tot OOG-interceptie op de kabel zich met name bij de verkenningsfase
moeizaam verhoudt tot het vereiste om gegevens zo gericht mogelijk te verwerven. Deze
problematiek is eveneens onderkend door de ECW. In de verkenningsfase (waarvoor artikel
6 van het wetsvoorstel een regeling geeft) dienen de diensten immers juist de ruimte
te hebben om te onderzoeken welke gegevensstromen voor de diensten relevante gegevens
bevatten. Een zo gericht mogelijke inzet is in die fase niet mogelijk aangezien de
diensten dan nog over onvoldoende inlichtingen beschikken om te bepalen op welke gegevensstromen
de bevoegdheid dient te worden ingezet. Daarvoor dient juist de verkenningsbevoegdheid,
teneinde de daadwerkelijke interceptie ten behoeve van het inlichtingenproces wel
zo gericht mogelijk te kunnen toepassen. Om die reden is in het wetsvoorstel opgenomen
dat het vereiste van een zo gericht mogelijke inzet niet van toepassing is bij verkenning
ten behoeve van OOG-interceptie. De bevoegdheid tot verkenning dient uiteraard wel
te voldoen aan de vereisten van noodzaak, proportionaliteit en subsidiariteit en is
onderworpen aan een voorafgaande TIB-toets en toezicht door de CTIVD. Daarnaast mogen
de met de verkenningsbevoegdheid verworven gegevens niet gebruikt worden voor het
inlichtingenproces, en geldt een maximale bewaartermijn van 6 maanden voor deze gegevens.
Bij de reguliere OOG-interceptie ex artikel 48 (ten behoeve van het inlichtingenproces)
geldt uiteraard wel het gerichtheidsvereiste.

De leden van de PvdD-fractie lezen dat het toezicht en de inschatting van de technische
risico’s van de ex ante toetsing bij de TIB komt te vervallen en wordt ondergebracht
bij ex durante toezicht door de CTIVD. Dat de CTIVD bindende bevoegdheden krijgt achten
deze leden een goed teken. Zij achten het ook begrijpelijk dat niet alle technische
risico’s evenals alle door de AIVD en de MIVD noodzakelijk geachte handelingen vooraf
bekend zijn, maar ze snappen niet waarom de ex ante toetsing komt te vervallen. Zij
geven aan in het kader van deugdelijk toezicht ex ante en ex durante toezicht wat
hen betreft het beste zou zijn en zouden van de regering graag vernemen waarom niet
voor gecombineerd toezicht wordt gekozen. Deze leden zouden wij willen verwijzen naar
de uiteenzetting die wij aan het begin van deze paragraaf hebben gegeven naar aanleiding
van vragen van de leden van de D66-fractie. Daaruit blijkt dat de ex ante toetsing
op technische risico’s bij het binnendringen in geautomatiseerde werken geenszins
komt te vervallen, maar dat deze beperkt wordt tot de op dat moment bekende technische
risico’s. Het toezicht op deze en nieuwe technische risico’s tijdens de uitvoering
van de bevoegdheid (ex durante) ligt bij de afdeling toezicht van de CTIVD en is bindend.
In het door deze leden gewenste gecombineerde toezicht is dus voorzien.

De leden van de PvdD-fractie vragen voorts hoe een en ander verhoudt tot de vereisten
van het EHRM en of het klopt dat deze stelt dat er een ex ante toestemming moet worden
verleend. Wij beantwoorden deze vraag als volgt. Het EHRM stelt slechts in enkele
gevallen (namelijk bij interceptie van communicatie en de toepassing van categorieën
van selectoren op in bulk geïntercepteerde gegevens) de eis van een voorafgaande bindende
toets of toestemming door een onafhankelijke instantie, waarbij men de voorkeur heeft
voor een rechter maar dat mag ook een onafhankelijke bestuurlijke autoriteit zijn
(zoals de TIB). Met betrekking tot het binnendringen van geautomatiseerde werken wordt
de eis van een bindende toestemming vooraf dus niet gesteld. Voor het overige zal
de regeling voor bijzondere bevoegdheden, waaronder de inzet van de bevoegdheid tot
binnendringen in een geautomatiseerd werk, dienen te voldoen aan de eisen die het
EVRM en de jurisprudentie van het EHRM stelt aan wetgeving waarin de activiteiten
van inlichtingen- en veiligheidsdiensten worden gereguleerd. Kortheidshalve wordt
gewezen naar hetgeen is gesteld in hoofdstuk 5 van de memorie van toelichting bij
onderhavig wetsvoorstel en voor de Wiv 2017 naar hoofdstuk 9 van de memorie van toelichting
op het daaraan ten grondslag liggende wetsvoorstel.25

Deze leden hebben voorts diverse vragen over de bijschrijfmogelijkheid. Uit de toelichting
maken zij op dat het bijschrijven juridisch makkelijker wordt gemaakt, en dat er minder
toetsing op rechtmatigheid nodig gaat zijn. Zij vragen of hun analyse klopt. Wij beantwoorden
deze vraag als volgt. In artikel 5, tweede lid, van het wetsvoorstel wordt verduidelijkt
wat de bijschrijfmogelijkheid in artikel 45, achtste lid, Wiv 2017 precies behelst,
namelijk dat niet is vereist dat er sprake dient te zijn van exclusief gebruik (uitleg
TIB) van een geautomatiseerd werk door een persoon of organisatie waarop de bevoegdheid
wordt ingezet. Dit betekent niet dat sprake is van het makkelijker maken van bijschrijven.
Zoals in de memorie van toelichting is aangegeven geldt dat voor het bijschrijven
een interne toestemming is vereist. De vereisten van noodzaak, proportionaliteit,
subsidiariteit en gerichtheid blijven daarbij onverkort gelden. De afdeling toezicht
van de CTIVD houdt bindend toezicht op dit bijschrijfproces tijdens de uitvoering
van de bevoegdheid tot binnendringen in een geautomatiseerd werk (artikel 12, eerste
lid, onder c, van het wetsvoorstel).

Daarnaast vragen deze leden of het klopt dat wanneer de geheime diensten een server
bijschrijven waar veel burgers gebruik van maken zij de gegevens die daar op staan
kunnen binnenhalen en deze voor andere onderzoeken gebruiken, en dat de TIB pas bij
de verlenging van de toestemmingsaanvraag deze specifieke hack kan toetsen. Wij beantwoorden
deze vraag als volgt. De diensten kunnen niet zonder meer een server bijschrijven
waar veel burgers gebruik van maken. De bijschrijfmogelijkheid kan alleen gebruikt
worden indien er sprake is van kenmerken/infrastructuur die wordt gebruikt door een
persoon of organisatie waar de dienst onderzoek naar doet. Zoals hiervoor is aangegeven,
dient daarvoor interne toestemming te worden verkregen waarbij getoetst wordt aan
de eisen van de noodzakelijkheid, proportionaliteit, subsidiariteit en gerichtheid.
De afdeling toezicht kan op grond van het wetsvoorstel bindend toezicht houden op
de rechtmatigheid van de bijschrijving. Waar het gaat om de gegevens die langs deze
weg door de diensten worden verworven, geldt dat ingevolge artikel 27, eerste lid,
Wiv 2017, deze zo spoedig mogelijk op relevantie moeten worden beoordeeld en indien
niet relevant dienen te worden vernietigd. Met andere woorden: als gegevens van burgers
die niks met statelijke actoren te maken hebben worden verzameld, worden ze gewist.
En voordat ze gebruikt mogen worden is een nadere analyse nodig. Voor zover het gaat
om bulkdatasets wordt verwezen naar hetgeen in de ingediende nota van wijziging ter
zake wordt voorgesteld. De TIB kan oordelen over de bijgeschreven geautomatiseerde
werken die in de door de Minister verleende toestemming waarmee de inzet van de bevoegdheid
tot binnendringen in een geautomatiseerd werk wordt verlengd zijn opgenomen. Dat betreft
echter de toestemming tot verlenging en niet de bijschrijving als zodanig (dat valt
immers onder de competentie van de afdeling toezicht).

De leden van de PvdD-fractie vragen in dit kader ten slotte of het klopt dat pas na
vaststelling dat deze gegevens voor geen van de onderzoeken relevant is ze zullen
worden vernietigd. De verplichting van art. 27, eerste lid, Wiv 2017 blijft hier onverkort
van toepassing. Dat betekent dat gegevens zo spoedig mogelijk op hun relevantie voor
het onderzoek waarvoor de gegevens zijn verworven dan wel enig ander lopend onderzoek
van de dienst, zoals in artikel 27 nader gespecificeerd, dienen te worden onderzocht
en indien niet relevant bevonden ze dienen te worden vernietigd. Voor dit onderzoek
staat een jaar, waarna – tenzij van de verlengingsmogelijkheid met zes maanden van
artikel 27, derde lid, is gebruik gemaakt – de gegevens zonder meer moeten worden
vernietigd. Voor zover het gaat om bulkdatasets wordt verwezen naar hetgeen in de
ingediende nota van wijziging ter zake wordt voorgesteld.

De leden van de SGP-fractie vragen of de regering de interne autorisatie bij bijschrijvingen
wil toelichten. Wie, zo vragen deze leden, verstrekt die autorisatie en welke procedures
gelden daarbij. We reageren als volgt op deze vraag. Een bijschrijving is het toevoegen
van een kenmerk aan een lopende toestemming voor de inzet van de desbetreffende bevoegdheid.
Dit wordt gedaan door het inlichtingenteam dat gemotiveerd omschrijft waarom het nieuwe
kenmerk past in de verleende toestemming en of dit noodzakelijk, proportioneel, subsidiair
en gericht is. Deze motivatie wordt eerst getoetst door de leidinggevende van dat
inlichtingenteam en, indien deze akkoord is, verleent deze toestemming voor de bijschrijving.
Vervolgens wordt die toestemming bij MIVD bezien door afdeling juridische zaken en
bij de AIVD door het unithoofd. Indien daaruit geen bezwaren naar voren komen, kan
de bijschrijving worden geëffectueerd. De beslissing wordt intern vastgelegd, zodat
de CTIVD te allen tijde de overwegingen die ten grondslag hebben gelegen voor de autorisatie
van de bijschrijving kan toetsten.

De leden van de Volt-fractie vragen of de regering kan toelichten wat er precies terechtkomt
van het verplaatsen van de toetsing vooraf door de TIB naar toezicht van de CTIVD
tijdens de inzet van de bevoegdheid. Deze leden zouden wij willen verwijzen naar onze
reactie op vragen van de GroenLinks-fractie inzake de in hun ogen ontstane verwarring
over het wel of niet inperken van het toezicht van de TIB en CTIVD (zie paragraaf
3.1) alsmede de antwoorden die aan het begin van onderhavige paragraaf zijn gegeven
naar aanleiding van vragen van de leden van de D66-fractie. Met name laatstgenoemde
antwoorden adresseren naar onze mening ook de vraag die deze leden hebben met betrekking
tot de invulling van de proportionaliteitstoets en het toezicht dat wordt gehouden.

Deze leden vragen voorts of de regering tevens kan aangeven hoe de toets van het hoofd
van de dienst eruit ziet? Welke kaders gelden er voor het diensthoofd bij het al dan
niet verlenen van toestemming? Wij beantwoorden deze vraag als volgt. Het toestemmingsniveau
van verkennen wordt in de Tijdelijke wet bij het hoofd van de dienst belegd. Het diensthoofd
maakt de afweging en verleent toestemming op basis van de vereisten van noodzaak,
proportionaliteit, subsidiariteit en gerichtheid en de onderbouwing van die vereisten.
Indien het diensthoofd toestemming verleent voor het verkennen geldt een meldplicht
bij de afdeling toezicht, die daarop vervolgens – de in het wetsvoorstel geïntroduceerde
bevoegdheid tot – bindend toezicht kan uitoefenen. Het diensthoofd maakt de afweging
en verleent toestemming op basis van de vereisten van noodzaak, proportionaliteit,
subsidiariteit en gerichtheid en de onderbouwing van die vereisten.

De leden van de Volt-fractie vragen tot slot welke gevolgen het verschuiven van de
toets voor de invulling van de proportionaliteitstoets en het toezicht dat wordt gehouden
heeft. Deze leden verwijzen wij naar onze reactie op een vergelijkbare vraag van de
leden van de D66-fractie aan het begin van deze paragraaf.

3.2.1 Verkennen van een geautomatiseerd werk

De leden van de PvdA-fractie wijzen erop dat wordt voorgesteld om het verlenen van
voorafgaande toestemming tot het verkennen van een geautomatiseerd werk bij de TIB
weg te halen en te verleggen naar (bindend) toezicht achteraf door de CTIVD. In dat
kader vragen deze leden of ze het goed begrijpen dat het voorafgaande toetsen op rechtmatigheid
door de TIB in deze komt te vervallen maar dat de TIB nog wel op proportionaliteit
mag blijven toetsen, en, zo nee, wat begrijpen deze leden dan niet goed. Wij antwoorden
deze leden graag als volgt. In artikel 32 Wiv 2017 is vastgelegd dat de TIB belast
is met het toetsen van de rechtmatigheid van een door de verantwoordelijke Minister
verleende toestemming. Deze rechtmatigheidstoets omvat onder andere een toets op de
vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid. Ten aanzien
van de bevoegdheid tot het verkennen van een geautomatiseerd werk wordt in het voorliggende
wetsvoorstel de voorafgaande TIB toets vervangen door bindend toezicht door de afdeling
toezicht tijdens de inzet en achteraf (artikel 4, eerste lid, onderscheidenlijk 12,
eerste lid, onder a). Daarmee komt de rol van de TIB voorafgaand aan de inzet van
deze bijzondere bevoegdheid te vervallen, en zal zij derhalve ook geen toets op de
gerichtheid of de proportionaliteit meer kunnen uitvoeren. Het toezicht op het voldoen
aan deze criteria zal deel uitmaken van het bindend toezicht door de afdeling toezicht
op uitoefening van de bevoegdheid door de diensten. De TIB heeft in haar consultatiereactie
op het wetsvoorstel aangegeven zich in deze aanpassing te kunnen vinden gelet op de
zeer beperkte inbreuk die deze bijzondere bevoegdheid oplevert. Met een voorafgaande
toestemming van de Minister en toetsing daarvan door de TIB is die bevoegdheid naar
het oordeel van de TIB in het huidige stelsel te zwaar belegd.26 Nu de overige vragen van de leden van de PvdA-fractie betrekking hebben op de situatie
dat de TIB wel blijft toetsen op proportionaliteit, kan de beantwoording hiervan achterwege
blijven.

Het is deze leden overigens niet duidelijk waarom niet ook het verkennen, zelfs al
gaat het dan niet om het binnendringen van een geautomatiseerd werk, niet toch zo
gericht als mogelijk zou kunnen plaatsvinden. Zij vragen of de regering hierop kan
ingaan. Wij willen erop wijzen dat het niet zo is dat de eis van gerichtheid bij het
verkennen van een geautomatiseerd werk vervalt. Wel is het zo dat geautomatiseerde
werken zeer omvangrijke en complexe systemen zijn. In veel gevallen gaat het om netwerken
die bestaan uit honderden of duizenden wereldwijd verspreide servers of computers.
In deze context is voordat wordt verkend in principe de samenstelling, omvang en gelaagdheid
van een dergelijk (net)werk onbekend, waarmee minder gericht te werk kan worden gegaan
dan bij het daadwerkelijk binnendringen van een geautomatiseerd werk. Dat is dus wel
een factor om mee te wegen bij de invulling van de gerichtheidseis. Met de resultaten
van de verkenning kunnen de diensten een verzoek om toestemming tot het binnendringen
van een geautomatiseerd werk beter motiveren en – mits de verleende toestemming is
verkregen en de TIB deze rechtmatig heeft beoordeeld – vervolgens ter uitvoering van
de verleende toestemming gericht, efficiënt en zorgvuldig in relevante geautomatiseerde
werken binnendringen.

3.2.2 Technische risico’s

De leden van de PvdA-fractie merken op dat voorgesteld wordt om het toezicht op technische
risico’s bij inzet van de hackbevoegdheid van ex ante bij de TIB te verleggen naar
ex durante toezicht door de CTIVD. Deze leden vragen in hoeverre dit toezicht effectief
kan zijn in het geval het technisch risico zich in de praktijk daadwerkelijk gaat
voordoen of reeds heeft voorgedaan. Is, aldus deze leden, het toezicht gedurende de
operatie dan niet te laat. Wij beantwoorden deze vraag als volgt, met dien verstande
dat wordt veronderstelt dat daarmee wordt gedoeld op de situatie waarin een technisch
risico zich daadwerkelijk verwezenlijkt.

Op het moment dat het toestemmingsverzoek wordt geschreven wordt er door de diensten
een inschatting gemaakt van de technische risico’s, zodat dit kan worden meegenomen
in het kader van de proportionaliteitstoets. Het maken van die inschatting kan alleen
ten aanzien van hetgeen op dat moment bekend is over de voorgenomen inzet van de bevoegdheid
tot binnendringen in een geautomatiseerd werk. In het scenario waarin ten tijde van
het schrijven van het verzoek bekend is dat een risico zich zal verwezenlijken (hetgeen
zeer sporadisch zal voorkomen, omdat dit veelal zal indruisen tegen het heimelijke
karakter van de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd
werk), dan zal dit kunnen worden vermeld in het verzoek om toestemming en, indien
de Minister toestemming heeft verleend, worden meegenomen in de toets door de TIB.
Een ander scenario waarin een risico zich verwezenlijkt is dat dit gebeurt gedurende
de uitvoering van de bevoegdheid, terwijl dat ten tijde van het opstellen van het
toestemmingsverzoek niet werd voorzien. Door het vooraf zorgvuldig inschatten van
de technische risico’s en het zo nodig nemen van mitigerende maatregelen wordt de
kans daarop zo klein mogelijk gemaakt. Mocht dit zich evenwel voordoen, dan geldt
een incidentenprotocol binnen de diensten en wordt het incident zo nodig ook actief
aan de CTIVD gemeld. Op de omgang daarmee kan de afdeling toezicht van de CTIVD toezicht
houden, ook doordat zij toegang hebben tot de systemen van de diensten waarin de handelingen
die tijdens de uitvoering van de bevoegdheid tot binnendringen in een geautomatiseerd
werk worden verricht via logging worden vastgelegd. Hierbij verdient ook opmerking
dat de afdeling toezicht niet alleen toezicht houdt op specifieke operaties, maar
ook op het geheel van beleid en werkinstructies en de opvolging hiervan door de diensten.
Dit betekent dat nog voordat sprake is van specifieke inzet de risico’s op onrechtmatigheden
of andere risico’s worden beperkt. Over het geheel genomen zijn wij van oordeel dat
hiermee sprake is van een evenwichtige en effectieve manier van toetsing en toezicht
op technische risico’s, en dat er geen sprake is van toezicht dat te laat is.

Voorts vragen deze leden wat de gevolgen zijn voor het lopend onderzoek van een dienst
als de CTIVD een dreigend risico ziet, of constateert dat er al een technisch probleem
is ontstaan. Wij reageren hierop als volgt. Als hiervan sprake is kunnen de diensten
hierop door de CTIVD worden geattendeerd en kan worden bezien of de risico’s kunnen
worden gemitigeerd en indien dat niet mogelijk is kan dat ertoe leiden dat de inzet
van de bevoegdheid wordt beëindigd. Dit kan betekenen dat een dienst daarmee zijn
informatiepositie in een lopend onderzoek kwijtraakten daarmee het zicht verliest
of verdwijnt op de activiteiten en de dreiging die uitgaat van landen met een offensief
cyberprogramma. Dat kan daarmee ook betekenen dat niet kan worden voldaan aan de opdrachten
die door de betrokken behoeftestellers zijn vastgesteld in de GA.

Ook vragen deze leden zich af hoe de Minister, als niet meer van tevoren duidelijk
hoeft te worden gemaakt wat de technische risico’s zijn, dan kan beoordelen of een
hackoperatie verantwoord is en toegestaan kan worden. Wij beantwoorden deze vraag
als volgt. Het is een onjuiste veronderstelling dat technische risico’s bij een verzoek
om toestemming – dus tevoren – niet meer duidelijk hoeven te worden gemaakt. Bij het
opstellen van een verzoek om toestemming zullen de op dat moment bekende technische risico’s wel degelijk dienen te worden geschetst, omdat voor de Minister
in het kader van de toestemmingverlening relevante, mee te wegen aspecten zijn. Het
gaat om de bekende risico’s, omdat het voor de diensten niet mogelijk is om vooraf
precies te voorspellen of voorzien welke handelingen wel of niet nodig zullen zijn
om uiteindelijk te kunnen binnendringen. De Minister kan de beschrijving van de bekende
technische risico’s meenemen in de beoordeling en of een operatie tot binnendringen
in een geautomatiseerd werk verantwoord is en dus toegestaan kan worden. De verleende
toestemming wordt vervolgens door de TIB getoetst op rechtmatigheid en de TIB kan
de bekende technische risico’s, zoals hiervoor uiteengezet, in haar proportionaliteitstoets
meewegen. De afdeling toezicht ziet vervolgens toe op de rechtmatige uitoefening van
de bijzondere bevoegdheid.

3.2.3 Verduidelijking bijschrijfmogelijkheid

De leden van de PvdA-fractie lezen dat de voorliggende wet voorstelt om de mogelijkheid
tot bijschrijven te verduidelijken. Volgens deze leden gaat het echter om verruiming
van die mogelijkheid en vragen of de regering deze mening deelt. En zo niet, waarom
dan niet.

Wij zien de voorgestelde regeling (artikel 5, tweede lid) niet als een verruiming,
maar als een verduidelijking van een bestaande bevoegdheid in artikel 45 Wiv 2017.
Het is immers altijd de bedoeling geweest dat (op voorhand nog niet bekende) infrastructuur
die gebruikt wordt door partijen waarop de bevoegdheid tot binnendringen in een geautomatiseerd
werk wordt ingezet, moet kunnen worden bijgeschreven. Met de voorgestelde tekst wordt
beoogd – op wettelijk niveau – duidelijkheid te geven over de reikwijdte van die bijschrijfmogelijkheid.
Zoals in de memorie van toelichting is uiteengezet legt de TIB, in het kader van de
uitvoering van haar rechtmatigheidstoets op de door de Minister verleende toestemming,
het feit dat in artikel 45, achtste lid, Wiv 2017 gesproken wordt van een geautomatiseerd
werk van een persoon of organisatie, zodanig uit dat het hier dient te gaan om een geautomatiseerd
werk dat exclusief aan die persoon of organisatie toebehoort. De TIB maakt daarbij onderscheid tussen
systemen die in eigendom zijn van, exclusief bezit zijn van of exclusief gebruikt
worden door personen of organisaties enerzijds, en anderzijds systemen waarbij naast
de personen of organisaties waarvoor de oorspronkelijke toestemming is verleend sprake
is van medegebruik door anderen van dat systeem. Bij deze laatste categorie moet gedacht
worden aan een gedeelde server of een door de actor gehackt systeem. De uitleg van
de TIB is problematisch omdat cyberactoren vaak gebruik maken van een gedeelde infrastructuur.
Dit maakt bijschrijven in een dergelijke situatie in de praktijk vrijwel onmogelijk.
De bijschrijfmogelijkheid wordt aldus nader verduidelijkt.

De leden van de PvdA-fractie lezen dat met artikel 5, tweede lid, het mogelijk wordt
om geautomatiseerde werken die behalve door de actor zelf ook door anderen gebruikt
worden als onderdeel van een onderzoek kunnen worden bijgeschreven. Betekent dat,
aldus deze leden, dan dat een server waarop naast gegevens van een actor ook gegevens
van anderen staan bijgeschreven kunnen worden, of dat er op een dergelijke server
mogelijk duizenden websites gehost worden. En, zo ja, of dat dan wil zeggen dat de
diensten zonder voorafgaand (extern) toezicht hierop onderzoek kunnen doen. In artikel
5, tweede lid, van het wetsvoorstel wordt verduidelijkt wat de bijschrijfmogelijkheid
in artikel 45, achtste lid, Wiv 2017 precies behelst, namelijk dat niet is vereist
dat er sprake dient te zijn van exclusief gebruik (uitleg TIB) van een geautomatiseerd
werk door een persoon of organisatie waarop de bevoegdheid wordt ingezet. Deze bijschrijfmogelijkheid
zorgt ervoor de diensten effectief onderzoek kunnen doen dat past bij de dynamische
dreiging en operationele praktijk. Juist in het cyberdomein zijn snelheid en wendbaarheid
– het mee kunnen bewegen met een actor – cruciaal. Dit betekent niet dat sprake is
van het makkelijker maken van bijschrijven. Zoals in de memorie van toelichting is
aangegeven geldt dat voor het bijschrijven een interne toestemming is vereist. De
vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid blijven daarbij
onverkort gelden. De afdeling toezicht van de CTIVD houdt bindend toezicht op dit
bijschrijfproces tijdens de uitvoering van de bevoegdheid tot binnendringen in een
geautomatiseerd werk (artikel 12, eerste lid, onder c, van het wetsvoorstel). De diensten
kunnen niet zonder meer een server bijschrijven waar veel burgers gebruik van maken.
De bijschrijfmogelijkheid kan alleen gebruikt worden indien er sprake is van kenmerken/infrastructuur
die wordt gebruikt door een persoon of organisatie waar de dienst onderzoek naar doet.
Hierbij staat het gebruik van het kenmerk door de actor centraal. Gedurende de toestemmingsperiode
kunnen dus ook (na interne autorisatie) geautomatiseerde werken zoals servers die
behalve door de actor ook door burgers of andere derden worden gebruikt, worden bijgeschreven.
Waar het gaat om de gegevens die langs deze weg door de diensten worden verworven,
geldt dat ingevolge artikel 27, eerste lid, Wiv 2017, deze zo spoedig mogelijk op
relevantie moeten worden beoordeeld en indien niet relevant dienen te worden vernietigd.
Met andere woorden: als gegevens van burgers die niks met statelijke actoren te maken
hebben worden verzameld, worden ze gewist. En voordat ze gebruikt mogen worden is
een nadere analyse nodig. Voor zover het gaat om bulkdatasets wordt verwezen naar
hetgeen in de ingediende nota van wijziging ter zake wordt voorgesteld. De TIB kan
oordelen over de bijgeschreven geautomatiseerde werken die in de door de Minister
verleende toestemming waarmee de inzet van de bevoegdheid tot binnendringen in een
geautomatiseerd werk wordt verlengd zijn opgenomen. Dat betreft echter de toestemming
tot verlenging en niet de bijschrijving als zodanig (dat valt immers onder de competentie
van de afdeling toezicht). Samengevat is er dus sprake van een sluitend stelsel van
toetsing en toezicht op de inzet en uitvoering van de bevoegdheid tot het binnendringen
in een geautomatiseerd werk, inclusief op de in het wetsvoorstel voorziene bijschrijfmogelijkheid.

Deze leden vragen ook of het mogelijk is dat indien een cyberactor gelinkt aan een
statelijke actor voor een aanval gebruik maakt van routers van families dat die door
de diensten dan gehackt of getapt mogen gaan worden en dat daarvoor dan ook geen voorafgaande
externe toestemming voor nodig is. Zo ja, dan vragen deze leden of de regering dit
proportioneel acht in verhouding tot de behoefte van de diensten om snel te kunnen
handelen. Wat kunnen burgers en bedrijven doen om hier bezwaar tegen aan te tekenen?
Zo nee, wat is er dan niet waar? En deelt de regering de mening dat het voor de CTIVD
op zijn minst moeilijk zal zijn gedurende een hack of tap (ex durante) of achteraf
(ex post) te kunnen beoordelen of dit geoorloofd was? Wij reageren op dit geheel aan
vragen als volgt. De diensten moeten voor de inzet van de bevoegdheid een onderbouwde
toestemmingsverzoek schrijven en na toestemming van de Minister toetst de TIB de verleende
toestemming op rechtmatigheid. Indien de TIB de toestemming voor de inzet rechtmatig
acht, mogen de diensten de bevoegdheid tot bijschrijven inzetten, voor een periode
van maximaal drie maanden. Een bijschrijving moet passen in de afwegingen die in het
rechtmatig geachte toestemmingsverzoek zijn gemaakt. Op de bijschrijving vindt intern
bij de diensten wel degelijk een toets plaats op noodzaak, proportionaliteit, gerichtheid
en subsidiariteit. De diensten hebben daarnaast een inspanningsverplichting om te
onderzoeken of sprake is van andere gebruikers. Aan de hand daarvan kan worden bepaald
of de motiveringen in het verzoek passen bij deze eventuele andere gebruikers. Indien
er een bijschrijving heeft plaatsgevonden, wordt dit gemeld bij de afdeling toezicht
van de CTIVD. De afdeling toezicht kan bindend toezicht houden op de bijschrijving.
Indien zij de bijschrijving niet binnen de kaders van de verleende toestemming achten,
kunnen zij – met inachtneming van de in artikel 12 neergelegde procedure – de inzet
van de bevoegdheid doen beëindigen of de gegevens die zijn verworven met deze bevoegdheid,
laten vernietigen. Naar ons oordeel is de afdeling toezicht zeer wel in staat om de
geoorloofdheid van de bijschrijving te beoordelen. De uitoefening van de bijzondere
bevoegdheid door de dienst vindt op een heimelijke wijze plaats en is – om onderkenning
van het feit dat de diensten een onderzoek doen gericht op het voorkomen, te voorkomen
dat de personen of organisaties die het betreft daartegen maatregelen kunnen nemen
en daarmee de effectiviteit van het onderzoek kunnen schaden – niet kenbaar bij betrokkenen.
Er bestaat dan ook niet de mogelijkheid om daartegen bezwaar aan te tekenen.27 Mocht een persoon of organisatie – en dus ook familie – het vermoeden hebben dat
door de diensten gebruik is gemaakt van (mede) aan hen toekomende routers, dan kunnen
ze altijd een klacht indienen bij de afdeling klachtbehandeling van de CTIVD. Deze
kan effectief onderzoek naar de klacht doen en uiteindelijk tot een bindend oordeel
komen.

Tot slot vragen deze leden of de regering nader kan ingaan op wie (intern) toestemming
tot bijschrijving moet geven en hoe het interne toezicht daarop wordt ingericht. Wij
reageren als volgt op deze vraag. Een bijschrijving is het toevoegen van een kenmerk
aan een lopende toestemming voor de inzet van de desbetreffende bevoegdheid. Dit wordt
gedaan door het inlichtingenteam dat gemotiveerd omschrijft waarom het nieuwe kenmerk
past in de verleende toestemming en of dit noodzakelijk, proportioneel, subsidiair
en gericht is. Dit wordt vervolgens getoetst door de leidinggevende van dat inlichtingenteam
en indien deze akkoord is verleent deze toestemming voor de bijschrijving. Deze toestemming
wordt bij de MIVD bezien door afdeling juridische zaken en bij de AIVD door het unithoofd.
Indien daaruit geen bezwaren naar voren komen, kan de bijschrijving worden geëffectueerd.
De beslissing wordt intern vastgelegd, zodat de CTIVD te allen tijde de overwegingen
die ten grondslag hebben gelegen voor de autorisatie van de bijschrijving kan toetsen.

3.3 Onderzoeksopdrachtgerichte (OOG) interceptie en GDA

De leden van de VVD-fractie onderschrijven het grote belang van het identificeren
van bekende en onbekende dreigingen. Deze leden delen het uitgangspunt van de regering
dat het hebben van de juiste bevoegdheden een randvoorwaarde is voor het effectief
uitvoeren van deze taak door de diensten. Zij begrijpen dan ook dat het inzetten van
kabelinterceptie voor deze taak als noodzakelijk wordt geacht. Deze leden vragen of
de regering het toetsingskader (artikel 7) bij deze specifieke bevoegdheden nader
kan toelichten en concretiseren hoe, met inbegrip van dit toetsingskader, het uitoefenen
van de kabelinterceptie als operationele meerwaarde voor de diensten wordt geborgd.
Wij lichten dit graag toe. De dreigingen, en zeker die in het cyberdomein, vinden
vooral plaats via het wereldwijde communicatienetwerk. De computers en servers in
deze netwerken zijn met elkaar verbonden via datakabels en satellieten. Om inzicht
te krijgen op de cyberdreiging is het daarom cruciaal om gegevensstromen van deze
kabels en satellieten te intercepteren. De diensten hebben zeer beperkte mogelijkheden
om gegevens over personen en organisaties – gerelateerd aan landen met een offensief
cyberprogramma – te verzamelen in het buitenland. Het middel dat daarvoor bij uitstek
geschikt is, is kabelinterceptie. De inzet van kabelinterceptie wordt gerechtvaardigd
door de ernst van de dreiging die van statelijke actoren met offensieve cyberprogramma’s
uitgaat en de unieke meerwaarde die het middel heeft voor de inlichtingenposities
van de diensten over de dreiging van die landen. De informatie die het middel opbrengt
is uniek en cruciaal als het gaat om informatie over bijvoorbeeld de werkwijze van
de landen, hun intenties en doelwitten, bijvoorbeeld door deze vast te kunnen stellen
of te verifiëren. Het zorgt voor de noodzakelijke puzzelstukjes die niet op een andere
wijze kunnen worden verkregen, waardoor het zicht op de dreiging wordt versterkt of
juist zelfs de dreiging aan het licht komt. Kabelinterceptie is hét middel om onderzoek
te doen naar dit soort dreigingen, en meer specifiek naar de ongekende dreiging. Hierbij
is het van belang dat de invulling van de proportionaliteit en de gerichtheid niet
beperkt is tot (technische) kenmerken die zijn gerelateerd aan een lopende operatie
tot binnendringen in een geautomatiseerd werk of aan gekende targets, maar is de operationele
meerwaarde van kabelinterceptie juist dat deze ook kan worden ingezet ten behoeve
van de verborgen dreiging en het identificeren van targets. Voor deze onderbouwing
van de gerichte en proportionele toepassing van OOG-interceptie is in het toetsingskader
van artikel 7 in de Tijdelijke wet aansluiting gezocht bij de dynamiek van cyberdreigingen
en de wijze waarop gegevens over het wereldwijde communicatienetwerk worden gerouteerd.

Voor de inzet van bijzondere bevoegdheden binnen het kader van de Wiv 2017 dient in
beginsel aan vier voorwaarden te zijn voldaan. Getoetst wordt of de inzet van de bijzondere
bevoegdheid (1) noodzakelijk is, of wordt voldaan aan de vereisten van (2) proportionaliteit
en (3) subsidiariteit en (4) de inzet zo gericht mogelijk plaatsvindt. Artikel 7 van
dit wetsvoorstel geeft een nadere invulling van het toetsingskader voor OOG-interceptie.
Binnen het gegeven toetsingskader moeten twee aspecten met name worden gemotiveerd
ter concretisering van de gerichtheid en proportionaliteit. Het betreft (1) een indicatie
van de gegevensstromen en (2) een indicatie van de reductie van de gegevens. Uit praktijkervaring
blijkt dat actoren gebruik maken van veel verschillende protocollen en technieken
om hun offensieve cyberprogramma uit te voeren en hun activiteiten te verhullen. Tevens
innoveren deze actoren voortdurend hun werkwijze om hun offensieve doelen beter te
bereiken en niet te worden onderkend. Het toetsingskader voor OOG-interceptie in de
Tijdelijke wet zorgt voor meer houvast bij de invulling van de vereisten van gerichtheid
en proportionaliteit die past bij de aard van de bevoegdheid. De invulling van die
vereisten moet immers passen bij het onderzoek naar – veelal – de ongekende dreiging
en het bulkkarakter van de bevoegdheid. Hierbij beschikken de diensten in de eerste,
verwervende fase, niet over concrete technische kenmerken van gekende targets of targetorganisaties
waarop de inzet zich kan richten. In die fase, waarbij de verleende toestemming voor
de daarbij in te zetten bijzondere bevoegdheid is onderworpen aan het rechtmatigheidsoordeel
van de TIB, kan een indicatie worden gegeven van de te intercepteren gegevensstromen,
veelal onderbouwd door de verkennende bevoegdheid ten behoeve van OOG-interceptie.
Ook het geven van een indicatie van de wijze waarop de reductie van gegevens binnen
de gehele keten van verwerving invulling krijgt, geeft invulling aan de vereisten
van gerichtheid en proportionaliteit dat past bij de aard van de bevoegdheid en dynamiek
van de operationele praktijk. Hierbij is het van belang op te merken bulkinterceptie
verschillende stappen kent, waarbij bij elke stap een andere mate van inbreuk op de
privacy gepaard gaat: het graduele proces van inbreuk bij bulkinterceptie. Bij de
eerste verwervende fase zal een indicatie kunnen worden gegeven van de wijze waarop
gegevensreductie zal plaatsvinden. De gegevensstromen die worden geïntercepteerd zijn
dynamisch van aard en wijzigen voortduren. Tijdens de uitvoering van de bevoegdheid
moeten de filters die data reduceren daarop worden aangepast, zodat de gegevens die
worden geïntercepteerd, worden verworven voor het doel waarvoor de inzet plaatsvindt.
Het aanbrengen van filterkaders is derhalve ook een dynamisch proces. Op de uitvoering
van de bevoegdheid, en de wijze waarop gegevensreductie plaatsvindt, houdt de CTIVD
toezicht.

Op basis van bovenstaande specifieke punten uit het toetsingskader kunnen de diensten
het potentieel van kabelinterceptie (lees: identificeren van bekende en onbekende
dreigingen) meer benutten. Juist in de identificatie van de onbekende dreiging zit
de operationele meerwaarde van kabelinterceptie voor de diensten. Op die manier kunnen
(cyber)dreigingen inzichtelijk worden gemaakt. Kabelinterceptie is hierbij cruciaal,
omdat de diensten zeer beperkte mogelijkheden hebben om gegevens over personen en
organisaties – gerelateerd aan landen met een offensief cyberprogramma – te verzamelen
in het buitenland.

In paragraaf 2.3 van deze nota naar aanleiding van het verslag is in reactie op vragen
van de leden van de D66-fractie ingegaan op de verkennende bevoegdheid in het kader
van OOG-interceptie (artikel 6), waarbij wordt aangegeven dat deze verkennende bevoegdheid
er toe dient om de aanvraag voor OOG interceptie als bedoeld in artikel 7 Tijdelijke
wet en artikel 48 Wiv 2017, te kunnen onderbouwen.

Artikel 7 van dit wetsvoorstel geeft een nadere invulling van het toetsingskader voor
OOG-interceptie. Binnen het gegeven toetsingskader moeten twee aspecten met name,
en daarmee het zwaarwegendst, worden gemotiveerd ter concretisering van de gerichtheid
en proportionaliteit. Deze twee aspecten zijn een indicatie van de gegevensstromen
en een indicatie van de reductie van de gegevens.

De uitoefening van OOG-interceptie betreft een gefaseerd model dat we hieronder nader
toelichten:

1) interceptie en opslag van gegevens (verwerving van gegevens);

2) doorzoekbaar maken van gegevens;

3) onderzoeken van de gegevens;

4) het verder verwerken en gebruiken van de gegevens in het inlichtingendomein.

Binnen fase 1 richten de beide diensten zich op communicatiedragers (zoals kabels
of satellietlinken) die gegevensstromen transporteren die vooral betrekking hebben
op het buitenland. Het is niet uitgesloten dat deze communicatiedragers, door de werking
van het internet, ook gegevensstromen van Nederlandse burgers transporteren. De communicatiedragers
waarop geïntercepteerd wordt, zijn resultaten van het verkennend onderzoek zoals bedoeld
in artikel 6 Tijdelijke wet. Het doel in fase 1 is om mogelijk relevant internationaal
verkeer voor het betreffende onderzoek te intercepteren en op te slaan. In deze fase
is er nog geen sprake van inlichtingenonderzoek, het betreft enkel het intercepteren
en opslaan van grote hoeveelheden gegevens die mogelijk relevant internationaal verkeer
bevat in het onderzoek naar landen met een offensief cyberprogramma.

Binnen fase 2 en 3 start het «search» gericht op selectie oftewel identificatieonderzoek.
In dit onderzoek gaan de diensten op zoek naar gegevens van personen en/of organisaties
die onderdeel zijn van landen met een offensief cyberprogramma. Deze fase kan gezien
worden als de start van het onderzoeken of personen en/of organisaties in aanmerking
komen voor verder onderzoek gezien een mogelijke betrokkenheid bij statelijke actoren,
die ook een offensief cyberprogramma uitvoeren. De gegevens van personen en/of organisaties
die potentieel in aanmerking komen voor verdere onderzoeken kunnen ter beschikking
komen voor de inlichtingenteams in fase 4.

De leden van de D66-fractie hebben kennisgenomen van de wijzigingen op het gebied
van kabelinterceptie. Zij stellen in dat kader diverse vragen, die identiek zijn met
de vragen die zij in paragraaf 2.3 van het verslag (Overzicht van de voorgestelde
maatregelen) hebben gesteld. Wij verwijzen dan ook kortheidshalve naar onze antwoorden
op die vragen in paragraaf 2.3 van deze nota naar aanleiding van het verslag.

De leden van de D66-fractie vragen of de methoden die de inlichtingendiensten gebruiken
om de data te analyseren (GDA) onder de algoritmewetgeving van Europa gaan vallen.
Indien dat niet het geval is, willen deze leden vernemen op basis van welke uitzonderingen
dat dan het geval is. Wij beantwoorden deze vraag als volgt. De concept AI-verordening
van de EU is niet van toepassing op de ontwikkeling en het gebruik van AI systemen
voor het doel van nationale veiligheid. Nationale veiligheid blijft krachtens artikel
4 lid 2 van het EU-Verdrag28 immers de uitsluitende verantwoordelijkheid van de lidstaten. De toepassing van GDA
door de diensten is gereguleerd door de bepalingen inzake gegevensverwerking uit de
Wiv 2017, en in het bijzonder artikel 60 van de Wiv 2017.

De leden van de CDA-fractie merken op dat de regering stelt, dat de bevoegdheid tot
onderzoeksopdrachtgerichte interceptie tot op heden slechts beperkt is ingezet ten
behoeve van het inlichtingenproces vanwege de onduidelijkheid met betrekking tot de
wijze waarop het gerichtheidsvereiste bij de inzet van deze bevoegdheid moet worden
geïnterpreteerd en de verschillende zienswijzen ter zake van de Ministers en de TIB
nog niet tot een oplossing hebben geleid. Daardoor kunnen bepaalde onderzoeken in
het cyberdomein nog niet worden opgestart. Deze leden vragen de regering in dit verband
ook te reflecteren op de uitspraak van prof. dr. Bart Jacobs en mr. drs. Rowin Jansen
in het rondetafelgesprek over het voorliggende wetsvoorstel: «Uiteindelijk zal het
van de opstelling van de diensten én van de toezichthouders afhangen of dit nieuwe
«dynamisch toezicht» succesvol is.» Deze leden vragen, op welke wijze de regering
de (bereidheid tot) constructieve samenwerking van alle betrokkenen denkt te bevorderen.
In paragraaf 2.1 van deze nota naar aanleiding van het verslag zijn wij naar aanleiding
van vragen van de leden van de D66-fractie ingegaan op wat wij bedoelen met constructieve
samenwerking. Kortheidshalve verwijzen wij deze leden daarnaar.

De leden van de SP-fractie stellen dat onderzoeksopdrachtgerichte onderschepping ongericht
mogelijk en techniek onafhankelijk wordt gemaakt. Zij vragen of de regering kan aangeven
op basis van welke informatie dit onderdeel is geworden van het wetsvoorstel. Ook
vragen deze leden of het klopt dat hier geheel de wens van de geheime diensten wordt
gevolgd of dat hier op basis van uitgebreide evaluatie en gesignaleerde knelpunten
een wetsaanpassing wordt voorgesteld. Ook vragen zij of de motivering tot verkennen
van een kabel gelijk is aan een OOG-interceptie en, zo nee, waarom niet. Voorts willen
zij vernemen waarom naar het oordeel van de regering een OOG-interceptie risicovoller
– en daardoor met meer waarborgen omkleed – is dan snapshotten. In antwoord op de
vragen van deze leden, willen we als volgt reageren. Reeds in de voorloper van de
Wiv 2017, te weten de Wiv 2002, was voorzien in de mogelijkheid tot ongerichte interceptie
van niet-kabelgebonden telecommunicatie (artikel 27 Wiv 2002). De koppeling van de
bevoegdheid aan het feit dat het uitsluitend betrekking mocht hebben op niet-kabelgebonden
telecommunicatie (lees: etherverkeer) maakte dat die bevoegdheid techniekafhankelijk
was geformuleerd. Op advies van de Commissie Dessens, die de Wiv 2002 heeft geëvalueerd,
bevat de Wiv 2017 thans een techniekonafhankelijke regeling voor OOG-interceptie:
de regeling voor zowel ether- als kabelinterceptie van bulkgegevens. De Tijdelijke
wet volgt deze techniekonafhankelijk bepaling voor OOG-interceptie. In aanvulling
op de Wiv 2017 voorziet artikel 6 van de Tijdelijke wet in een zelfstandige juridische
grondslag voor het verkennend onderzoek ten behoeve van OOG-interceptie. Daarmee wordt
tevens uitvoering gegeven aan een aanbeveling van de CTIVD en de ECW.29 Ook de TIB ziet een aparte, zelfstandige wettelijke regeling als een welkome wijziging.30

De verkennende bevoegdheid heeft tot doel om een verzoek tot toestemming voor OOG-interceptie
beter te kunnen onderbouwen. Deze stap gaat vooraf aan de toepassing van OOG-interceptie
ten behoeve van het inlichtingenproces en dus het onderzoeken van de daadwerkelijke
dreiging vanuit landen met een offensief cyberprogramma. De bevoegdheid tot verkennen
ten behoeve van OOG-interceptie en de bevoegdheid tot OOG-interceptie ten behoeve
van het inlichtingenproces dienen beide een ander doel, hetgeen tot uitdrukking komt
in de motivering voor de inzet van betreffende bevoegdheid; die zijn dan ook verschillend.
Beide bevoegdheden zijn voorzien met waarborgen die passen bij de aard van de bevoegdheid.
Een belangrijke waarborg die geldt voor het verkennende onderzoek is dat geïntercepteerde
gegevens met dat doel niet mogen worden gebruikt voor inlichtingendoeleinden. Vanuit
privacy-perspectief is de daarmee gepaard gaande inbreuk geringer dan bij het gebruik
van gegevens voor inlichtingendoeleinden, nu in het laatste geval immers de inhoud
van de geïntercepteerde communicatie in een inlichtingenonderzoek kan worden gebruikt.
In die zin is laatstgenoemd gebruik als risicovoller aan te merken. Voor beide bevoegdheden
– verkennen en OOG-interceptie – geldt dat deze niet mogen worden ingezet zonder toestemming
van de Minister en goedkeuring door de TIB in het kader van de aan haar opgedragen
rechtmatigheidstoets. De afdeling toezicht kan regulier toezicht op de uitvoering
van beide bevoegdheden uitoefenen.

De leden van de SP-fractie vragen de regering te erkennen dat het mogelijk is om een
hele wijk of stad af te tappen. Wij beantwoorden deze vraag als volgt en verwijzen
hier tevens naar de beantwoording van de Kamervragen van het lid Arib, d.d. 9 juni
2022, en de Kamervragen van het lid Leijten, d.d. 23 december 202231. Het is voor de inlichtingendiensten technisch niet mogelijk om hele wijken of steden
in Nederland af te luisteren. De inrichting van communicatienetwerken (zowel internet
als telefonie) maken het integraal aftappen op wijk- of stadniveau in de praktijk
technisch onmogelijk. Daar speelt mee dat de inrichting van de interceptieketen, zoals
hierboven reeds is aangegeven, niet is ingericht op dergelijke interceptie. De interceptie
wordt gericht op internationaal verkeer (omdat de diensten een onderzoek uitvoeren
gericht op dreigingen vanuit het buitenland richting Nederland) waarbij door de inrichting
van communicatienetwerken niet geheel kan worden uitgesloten dat verkeer met oorsprong
en bestemming in Nederland wordt verworven.

In dat kader is het ook aangewezen om de door de (toenmalige) Ministers van BZK en
Defensie gedane toezegging inzake de inzet van kabelinterceptie voor onderzoek naar
communicatie met oorsprong en bestemming in Nederland te verhelderen. In de kamerbrief
van april 2018 32 is door de Ministers aangegeven dat het vrijwel uitgesloten is dat OOG-interceptie
op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong
en bestemming in Nederland (met uitzondering van onderzoek in het kader van cyber
defence, omdat bij digitale aanvallen misbruik wordt gemaakt van de Nederlandse digitale
infrastructuur en OOG-interceptie op de kabel noodzakelijk kan zijn om dit te ontdekken).
Dit volgt uit het feit dat het lichtst mogelijke middel moet worden ingezet (subsidiariteit)
en dat het middel in verhouding moet staan tot de dreiging (proportionaliteit). Indien
de inlichtingendiensten in Nederland een inlichtingenonderzoek uitvoeren gericht op
personen in een wijk of stad in Nederland, zijn daar lichtere middelen voor beschikbaar
dan kabelinterceptie, en zou men bijvoorbeeld toestemming kunnen vragen voor een gerichte
telefoontap of voor de bevoegdheid tot binnendringen in een geautomatiseerd werk.
De CTIVD geeft in haar rapport aan dat de precieze strekking van de gedane toezegging
niet eenduidig is maar dat geconcludeerd kan worden dat het zwaartepunt van de toezegging
gericht is op onderzoek naar gegevens met oorsprong en bestemming Nederland en niet
op de interceptie van gegevens met oorsprong en bestemming Nederland. 33 Interceptie van gegevens met oorsprong en bestemming Nederland is door de werking
van het internet op voorhand niet uit te sluiten. Het inlichtingenonderzoek, zoals
hierboven genoemd, zal de toets op het gebied van subsidiariteit en proportionaliteit
om deze redenen niet doorstaan. De waarborg die voortvloeit uit de gedane toezegging
door de Ministers dient op een manier gelezen te worden dat het vrijwel uitgesloten
is dat de diensten OOG-interceptie zullen inzetten voor inlichtingenonderzoeken naar
gegevens met oorsprong en bestemming Nederland met uitzondering van de onderzoeken
binnen cyber defence.

De leden van de SP-fractie vragen tenslotte aan de regering om uit te leggen waarom
dit moment is gekozen om het toezicht vooraf op de toepassing van algoritmes op bulk-geïntercepteerde
data af te schaffen. Zou de komst van ChatGPT en soortgelijke algoritmes niet juist
pleiten voor sterker toezicht. Zij vragen of de regering bereid is om artikel 8 ter
herzien. Wij zijn niet bereid om artikel 8 te herzien gelet op het volgende. In artikel
8 van het wetsvoorstel wordt voorgesteld de ex ante toets van de TIB op de door de
Minister verleende toestemming voor GDA op OOG-metadata te laten vervallen en die
te vervangen door bindend toezicht door de afdeling toezicht. Het is op voorhand niet
te voorspellen welke vorm van GDA op welk moment met welke gegevens gebruikt gaan
worden bij de onderzoeken van de diensten. Bij het verrichten van data analyses kunnen
bij elke handeling nieuwe inzichten worden verkregen en moeten nieuwe hypotheses worden
getoetst. Dit alles gebeurt in een omgeving waarbij de beschikbare en bruikbare gegevens
zeer veranderlijk zijn. De regering acht het wenselijk dat er goed en effectief toezicht
plaatsvindt op de wijze waarop de diensten gegevens verwerken, ook gelet op de ontwikkelingen
rondom AI en algoritmes. De afdeling toezicht heeft inzicht in de systemen van de
diensten en kan meekijken met de wijze waarop GDA op OOG-metadata tijdens onderzoeken
wordt toegepast en is daarom de aangewezen instantie om effectief toezicht te houden.
De ECW concludeerde in haar rapport ook dat het verwerken van gegevens een dynamisch
proces is en zich daarom minder goed leent voor een statische ex ante toets door de
TIB.34 In de Tijdelijke wet krijgt de afdeling toezicht de bevoegdheid om bindend te oordelen
over de wijze waarop de diensten GDA op metadata uit kabel- of etherinterceptie toepassen
(artikel 12, eerste lid, onder d). De TIB schrijft in haar reactie op het conceptwetsvoorstel
dat deze verschuiving van toezicht verdedigbaar wordt geacht, gelet op de aard van
de bevoegdheid die meer het karakter heeft van verdere verwerking van gegevens.35

De leden van de GroenLinks-fractie merken op dat in de samenleving en in de Kamer
ook tijdens de behandeling van de Wiv 2017 veel aandacht is geweest voor het delen
van gegevens met buitenlandse diensten. Zij wijzen erop dat ze al vaker aandacht hebben
gevraagd voor het toezicht op het delen van informatie met buitenlandse diensten.
Zij vragen of de regering nauwkeurig kan aangeven wat er met voorliggend voorstel
concreet gaat veranderen ten aanzien van het delen van gegevens met buitenlandse diensten.
Wij beantwoorden deze vraag als volgt. Het voorliggend wetsvoorstel brengt geen veranderingen
aan ten aanzien van het delen van gegevens met buitenlandse diensten. De Wiv 2017
is en blijft onverkort van toepassing. Wel is in de toelichting op artikel 6 geëxpliciteerd
dat de diensten de gegevens die zijn verkregen ten behoeve van verkennend onderzoek
met het oog op toepassing van artikel 48 Wiv 2017 met andere diensten kunnen delen
om ondersteuning te krijgen bij het technisch onderzoek van die gegevens. Bij de verstrekking
van de gegevens voor dit doel moet dan ook expliciet als voorwaarde worden gesteld
dat de verstrekte gegevens niet voor andere doeleinden, bijvoorbeeld voor inlichtingenonderzoek,
mogen worden gebruikt door de ontvangende dienst.

De leden van de GroenLinks-fractie vragen of de regering ook kan aangeven op welke
manier nu het toezicht op het delen van gegevens met buitenlandse diensten is geregeld
en wat er met het voorliggend voorstel op dit vlak concreet zal veranderen. Om met
de laatste vraag te beginnen: het wetsvoorstel brengt geen wijziging aan in het toezicht
waar het gaat om de uitoefening van de bevoegdheid van de diensten om gegevens met
inlichtingen- en veiligheidsdiensten van andere landen te delen. Daarvoor geldt de
bestaande regeling in de Wiv 2017. Dat betekent dat uitoefening van die bevoegdheid
is onderworpen aan het rechtmatigheidstoezicht door de afdeling toezicht van de CTIVD.
Nu het hier gaat om de verstrekking van ongeëvalueerde gegevens zal altijd toestemming
van de voor de dienst verantwoordelijke Minister moeten worden verkregen en dient
de CTIVD van een verleende toestemming terstond op de hoogte te worden gesteld. De
afdeling toezicht kan beoordelen of aan de wettelijke vereisten voor verstrekking
van gegevens wordt voldaan en zal, zeker waar het gaat om verstrekking van gegevens
als bedoeld in artikel 6, eerste lid, van het wetsvoorstel, daarbij de in de memorie
van toelichting gedane uitspraken van de regering ter zake betrekken. Dat ziet dan
in het bijzonder op de mededeling dat bij de verstrekking door de dienst van de hier
bedoelde gegevens aan een buitenlandse dienst het expliciete verbod is gesteld deze
gegevens te gebruiken voor inlichtingendoeleinden. Ook zal de afdeling toezicht kunnen
toetsen of er inderdaad van een situatie sprake is dat voor het technisch onderzoek
van de gegevens het noodzakelijk is de hulp in te roepen van een buitenlandse dienst.

De leden van de GroenLinks-fractie vragen op welke wijze voorkomen wordt dat gegevens
die door Nederland met buitenlandse diensten gedeeld worden vervolgens door die diensten
weer gedeeld worden met diensten waar Nederland geen gegevens mee zou willen delen.
Wij beantwoorden deze vraag als volgt. Op grond van artikel 65, tweede lid, Wiv 2017
zijn de diensten verplicht om in alle gevallen waarbij sprake is van verstrekking
van gegevens aan inlichtingen- en veiligheidsdiensten van andere landen de voorwaarde
te stellen dat degene aan wie de gegevens worden verstrekt, deze gegevens niet aan
anderen mag verstrekken (de zogeheten derde partijregel36). Uitsluitend de voor de dienst verantwoordelijke Minister of namens deze het hoofd
van de dienst kan aan de ontvangende dienst alsnog toestemming verlenen om de gegevens
aan andere personen of instanties te verstrekken, waaraan voorwaarden kunnen worden
verbonden (artikel 66, derde lid, Wiv 2017). De naleving van deze voorwaarde(n) door
de desbetreffende dienst berust op de (ongeschreven) vertrouwensregel die in de samenwerking
tussen inlichtingen- en veiligheidsdiensten geldt. Indien geconstateerd wordt dat
een dienst van een ander land zich niet aan de gestelde voorwaarde(n) houdt, zal de
samenwerkingsrelatie met die dienst opnieuw worden gewogen. Afhankelijk van de uitkomst
wordt besloten of de samenwerkingsrelatie moet worden voortgezet en, zo ja, wat dan
de aard en de intensiteit van die relatie – mede in het licht van de geconstateerde
vertrouwensbreuk – moet zijn. Schending van het wederzijdse vertrouwen is namelijk
een «doodzonde» in de internationale samenwerking tussen inlichtingen- en veiligheidsdiensten.
Tot slot wordt opgemerkt dat verstrekking van gegevens aan diensten waarmee geen samenwerkingsrelatie
bestaat weliswaar in artikel 64 Wiv 2017 is toegestaan, maar die mogelijkheid is gereserveerd
voor situaties waarin een dringende of gewichtige reden daartoe noodzaakt.

De leden van de GroenLinks-fractie constateren dat niet precies duidelijk is wat er
gebeurd is met de analyse en de aanbevelingen van de commissie Bovend’Eert ten aanzien
van het toezicht en zouden graag willen vernemen op welke wijze deze zijn betrokken
bij de totstandkoming van voorliggend wetsvoorstel. Wij beantwoorden deze vraag als
volgt. Waar het gaat om voorliggend wetsvoorstel hebben de analyse en de aanbevelingen
van deze commissie geen rol gespeeld. Immers het verzoek van de Minister van BZK dat
heeft geleid tot de rapportage van deze hoogleraren stond in het teken van de herziening
Wiv 2017 en de te nemen vervolgstappen ter zake. De analyse en aanbevelingen zullen
worden betrokken bij de voorgenomen herziening van de Wiv 2017, waarbij ook het gehele
stelsel van toetsing, toezicht en klachtbehandeling zal worden bezien. In de Hoofdlijnennotitie
wordt op de analyse en aanbevelingen van de commissie Bovend’Eert ingegaan.

De leden van de PvdD-fractie lezen dat de in het kader van artikel 6 van het wetsvoorstel
verworven gegevens met buitenlandse diensten gedeeld mogen worden, waarbij deze gehouden
worden aan hetzelfde verbod om de gegevens voor inlichtingendoeleinden te gebruiken
als de Nederlandse diensten. Deze leden vragen hoe de regering kan garanderen dat
buitenlandse diensten deze gegevens niet gebruiken voor inlichtingendoeleinden. Hiervoor
hebben wij een vraag van de leden van de GroenLinks-fractie beantwoord waar het gaat
om het voorkomen dat een buitenlandse dienst de verstrekte gegevens worden gedeeld
met diensten waar Nederland geen gegevens mee zouden willen delen. Het aldaar gegeven
antwoord is ook van toepassing op de situatie die door de leden van de PvdD-fractie
wordt aangekaart, zodat we kortheidshalve daarnaar verwijzen.

De leden van de PvdD-fractie vinden het bevreemdend dat veiligheidsdiensten internationaliseren,
maar dat er nauwelijks toezicht bestaat op de samenwerking en wat er met data gebeurt.
Deze leden zouden van de regering willen vernemen wat voor toezicht er op dit punt
gaat zijn. En ook hoe wordt voorkomen dat buitenlandse diensten geen misbruik maken
van de verkregen informatie. Klopt het, aldus deze leden, dat zowel de verstrekking
als de naleving van de daarbij gemaakte afspraken zich onttrekken aan bindende toezichtsbevoegdheden
van beide toezichthouders. In dat kader vragen zij ook wat voor sanctieregime moet
garanderen dat buitenlandse diensten op de in de memorie van toelichting bedoelde
manier met informatie omgaan. In reactie op deze vragen verwijzen wij naar hetgeen
wij hiervoor op vragen van de leden van de GroenLinks-fractie, waarbij dezelfde problematiek
aan de orde is gesteld, hebben geantwoord. In aanvulling daarop bevestigen we dat
zowel de verstrekking als de naleving van de daarbij gemaakte afspraken zich onttrekken
aan de bindende toezichtsbevoegdheden van TIB en CTIVD. Wel is het zo dat de TIB een bindende ex
ante toets uitoefent op de door de verleende toestemming voor de toepassing van de
bevoegdheid als bedoeld in artikel 6, eerste lid, van het wetsvoorstel (artikel 6,
derde lid). Het gaat hier echter om de toepassing van de bevoegdheid (de verwerving van de gegevens) en niet om de verdere verwerking
van de daarmee verworven gegevens. Op de verdere verwerking, waaronder de verstrekking aan buitenlandse diensten, ziet immers de afdeling toezicht van de CTIVD toe. Van
die verstrekking wordt overeenkomstig artikel 89, tweede lid, Wiv 2017 terstond mededeling
gedaan aan de afdeling toezicht. De in artikel 6, derde lid, van het wetsvoorstel
opgenomen mededelingsplicht van de TIB aan de afdeling toezicht van een rechtmatigheidsoordeel
alsmede hetgeen in artikel 11 is geregeld, strekken ertoe dat de overgang van de ex
ante toetsing door de TIB naar het ex durante en ex post toezicht door de afdeling
toezicht op een goede manier kan plaats vinden.

De leden van de PvdD-fractie vragen voorts waarom er in artikel 6 lid 2 gekozen wordt
om voor de periode van een jaar toestemming te verlenen tot het met een technisch
hulpmiddel aftappen, ontvangen, opnemen en afluisteren van elke vorm van telecommunicatie
of gegevensoverdracht.

Zoals wij eerder in antwoord op een vraag van de leden van de fractie van D66 hebben
aangegeven, is in artikel 48, tweede lid, van de Wiv 2017 bepaald dat de toestemming
voor de uitoefening van de bijzondere bevoegdheid tot OOG-interceptie door de Minister
kan worden verleend voor een periode van ten hoogste een jaar. Bij de uitwerking van
de regeling voor de verkenningsbevoegdheid in artikel 6 van het wetsvoorstel, die
immers gerelateerd is aan de uitoefening van de bevoegdheid ex artikel 48, eerste
lid, van de Wiv 2017, is bij die systematiek aangesloten.

De leden van de PvdD-fractie vragen aansluitend waarom deze toestemming «telkens op
een daartoe strekkend verzoek kan worden verlengd voor eenzelfde periode». Wat is,
zo vragen deze leden, de maximale duur om data te intercepteren. Want zoals deze leden
het nu in de wet lezen kan deze onbeperkt verlengd worden, terwijl de memorie van
toelichting het laat lijken dat dit tot «ten hoogste» een jaar kan. Zij vragen of
de regering hier duidelijkheid over kan geven. Wij beantwoorden deze vraag als volgt.
Na een verkregen toestemming voor de uitvoering van de bevoegdheid tot intercepteren
ten behoeve van verkennen als bedoeld in artikel 6 van het wetsvoorstel kunnen de
diensten maximaal één jaar lang uitvoering geven aan deze bijzondere bevoegdheid.
Indien bij afloop van deze termijn blijkt dat het noodzakelijk is om de uitoefening
van de bevoegdheid voor het onderzoek voort te zetten, kunnen de diensten een verzoek
bij de Minister indienen om toestemming te vragen voor verlenging van de duur waarvoor
de bevoegdheid mag worden uitgeoefend. Bij het indienen van een toestemmingsverzoek
tot verlenging is er sprake van eenzelfde besluitvormingsproces als bij het eerste
verzoek voor het mogen uitoefenen van die bevoegdheid. Een dergelijk verzoek moet
voldoen aan de eisen van artikel 29, tweede lid, Wiv 2017, waarbij – hier relevant
– in onderdeel g is bepaald dat voor zover het een verzoek om verlenging van de toestemming
betreft, daarin een aanduiding van de met de uitoefening van de desbetreffende bevoegdheid
behaalde resultaten moet zijn opgenomen. Dat is – naast de noodzaak tot het onderbouwen
van de noodzakelijkheid, proportionaliteit en subsidiariteit van het verlengingsverzoek
– dus een relevant feit bij de beoordeling door de Minister of opnieuw toestemming
moet worden verleend. Een door de Minister verleende toestemming wordt vervolgens
onderworpen aan de rechtmatigheidstoets door de TIB die het hiervoor genoemde aspect
daarbij kan betrekken.

De leden van de Volt-fractie merken op dat met betrekking tot de verwerving, het gebruik
en verwerking van bulkdatasets de regering aangeeft dat de wet voldoende waarborgen
bevat om hiervan op een verantwoorde manier gebruik te maken. Zij vragen of de regering
aan de hand van een concreet voorbeeld kan toelichten waarom zij van oordeel is dat
het gebruik van bulkdatasets, zoals bedoeld in de Tijdelijke wet, voldoet aan de eisen
die daaraan worden gesteld in de jurisprudentie van het EHRM en de Grondwet. En ook
of daarbij in het bijzonder in kan worden in gegaan op de beoogde bewaartermijnen
en de wijze waarop die kunnen worden verlengd. Om met laatstgenoemde vraag te beginnen,
merken we op dat in de nota van wijziging is voorzien in een regeling inzake termijnen
voor het gebruik van bulkdatasets verworven met bijzondere bevoegdheden. Wij verwijzen
deze leden graag naar hetgeen ter toelichting daarop is gesteld, waarmee ook de door
hen gestelde vragen ter zake worden beantwoord. Waar het gaat om de vraag inzake het
gebruik van bulkdatasets in relatie tot de eisen van het EHRM en de Grondwet, hebben
we in de memorie van toelichting gewezen op jurisprudentie in relatie tot bulkinterceptie
(via OOG-interceptie verworven bulkdatasets) en de aan de Kamer toegezonden analyse
van recente jurisprudentie van het EHRM (Big Brother Watch e.a. tegen het VK; Centrum
för Rätvissa tegen Zweden) van de directie Constitutionele Zaken en Wetgeving van
het Ministerie van BZK. De conclusie is dat de Wiv 2017 in algemene zin aan de eisen
van het EVRM (en de Grondwet) voldoet. De in genoemde uitspraken gegeven oordelen
van het EHRM zien specifiek op bulkdatasets verworven via bulkinterceptie en hoe die
bevoegdheid is gereguleerd (inclusief de verstrekking aan en verkrijging van buitenlandse
diensten). Die bevindingen die zijn gerelateerd aan de verwerking van bulkdatasets
verworven met bulkinterceptie kunnen niet 1-op-1 op de verwerking van bulkdatasets
verworven met andere bevoegdheden (zoals de bevoegdheid tot het binnendringen van
een geautomatiseerd werk) worden getransponeerd. Daarvoor gelden dus – in afwachting
van de herziening van de Wiv 2017, waarbij het voornemen bestaat met een specifieke
regeling voor de verwerking van bulkdatasets te komen -de in de Wiv 2017 opgenomen
algemene bepalingen inzake de verwerking van gegevens (artikelen 17 e.v. Wiv 2017).
Dat neemt niet weg, dat gelet op het bijzondere karakter van bulkdatasets, specifieke
voorzieningen wenselijk kunnen zijn. In dit kader wijzen we onder meer op de Tijdelijke
regeling verdere verwerking gegevens bulkdatasets.

3.3.1 Het verkennen ten behoeve van OOG-interceptie

De leden van de PvdA-fractie merken op dat om toestemming te krijgen voor OOG-interceptie
zo duidelijk mogelijk dient te worden omschreven welke gegevensstromen worden geïntercepteerd.
Daarvoor is eerst technisch onderzoek nodig om duidelijk te krijgen welke gegevensstromen
over welke kabels gaan en op welke wijze deze gegevensstromen mogelijk een bijdrage
leveren bij de beantwoording van de onderzoeksvragen van de diensten. Voor dit technisch
onderzoek kan het nodig zijn gegevens met een buitenlandse collegadienst te delen.
Die mag dan expliciet geen gebruik van die gegevens maken voor inlichtingendoeleinden.
Deze leden vragen of de regering hun mening deelt, dat het delen van dergelijke gegevens
met buitenlandse diensten extra waarborgen vergt. En, zo ja, hoe kan daar op worden
toegezien. Ook vragen zij welke waarborgen en welk toezicht er bestaat op het verder
gebruik van deze gegevens. Wij delen de mening van deze leden dat voor het delen van
gegevens als hier bedoeld waarborgen dienen te bestaan, maar dat geldt in feite voor
elke vorm van uitwisseling van gegevens met buitenlandse diensten. Of en, zo ja, met
welke diensten mag worden samengewerkt, wat de aard en intensiteit van die samenwerking
is – waaronder dus ook of er gegevens aan verstrekt mogen worden – wordt vastgesteld
aan de hand van de wettelijke voorgeschreven weging van de (voorgenomen) samenwerkingsrelatie
aan de hand van diverse, deels ook wettelijk vastgelegde, criteria (artikel 89 Wiv
2017), en dient ten slotte door de Minister te worden goedgekeurd. Deze weging bepaalt
de parameters waarbinnen de samenwerking met een buitenlandse dienst kan plaatsvinden.
Aan de verstrekking van gegevens aan een buitenlandse dienst stelt de wet in ieder
geval de eis van toepassing van de derde-partijregel en voorts zal de Minister toestemming
moeten geven voor de verstrekking van ongeëvalueerde gegevens aan een buitenlandse
dienst (artikel 89, tweede lid, Wiv 2017). Een extra waarborg die bij de verstrekking
van gegevens als hier bedoeld ten behoeve van een technische analyse, is dat dit doel
bij de verstrekking nadrukkelijk als voorwaarde dient te worden gesteld: de ontvangende
dienst mag de gegevens niet voor andere (eigen) doeleinden aanwenden. Op de wijze
waarop op de naleving van deze voorwaarde wordt toegezien, zijn we in paragraaf 2.3
van deze nota naar aanleiding van het verslag in antwoord op vragen van de leden van
de D66-fractie reeds ingegaan. Kortheidshalve wordt daarnaar verwezen.

Tot slot vragen de leden van de PvdA-fractie in hoeverre de TIB weet of dergelijke
gegevens met buitenlandse diensten worden gedeeld en kan het de toestemming37 voor een technisch onderzoek daarvan mede afhankelijk maken. Wij beantwoorden deze
vraag als volgt. De TIB is uitsluitend belast met het beoordelen op rechtmatigheid
van door de Minister verleende toestemmingen voor de inzet van bijzondere bevoegdheden.
De TIB heeft een rol in de autorisatiefase. Het delen van gegevens door de diensten
met inlichtingen- en veiligheidsdiensten van andere landen zit in de fase van verdere
verwerking van de met de hiervoor bedoelde bijzondere bevoegdheden verworven gegevens.
De wetgever heeft het toezicht daarop belegd bij de CTIVD. De TIB heeft met andere
woorden hier wettelijk gezien geen rol.

De leden van de SGP-fractie ontvangen graag nadere toelichting waarom in artikel 7
gekozen is voor de toevoeging «met name» voor de twee centrale aspecten bij de toetsing
van OOG-interceptie, waarvan in de toelichting wordt gezegd dat deze aspecten het
zwaarwegendst zijn. Zij vragen in hoeverre het noodzakelijk is om deze toevoeging
op te nemen. Zijn er situaties denkbaar, zo vragen deze leden, waarin aan andere dan
de centrale aspecten toch een doorslaggevend belang toekomt en zo nee, waarom is deze
toevoeging dan niet gewoon achterwege gelaten. Het bevreemdt deze leden dat, ervan
uitgaande dat de toevoeging relevant is, een duiding van de toevoeging ontbreekt.
Wij beantwoorden deze vraag als volgt. Het toevoegen van «met name» heeft tot doel
om aan te geven dat deze twee aspecten als het zwaarwegendst dienen te worden betrokken
bij de invulling van de toets op gerichtheid en proportionaliteit. Daarmee wordt dus
beoogd richting te geven aan de uit te voeren toets ter zake, waarbij de in de memorie
van toelichting gegeven toelichting op de in artikel 7 genoemde aspecten dient te
worden betrokken. Een en ander is noodzakelijk gebleken omdat de bevoegdheid tot OOG-interceptie
tot op heden slechts beperkt is ingezet ten behoeve van het inlichtingenproces vanwege
de onduidelijkheid met betrekking tot de wijze waarop deze vereisten bij de inzet
van deze bevoegdheid moet worden geïnterpreteerd en de verschillende zienswijzen ter
zake van de Ministers en de TIB nog niet tot een oplossing heeft geleid. Daardoor
kunnen bepaalde onderzoeken in het cyberdomein nog niet worden opgestart.

De leden van de SGP-fractie vragen of de regering kan aangeven welke afspraken en
waarborgen er zijn voor zorgvuldige omgang gegevens door buitenlandse collegadiensten,
bijvoorbeeld als het gaat om het vernietigen van gegevens. Welk belang komt toe aan
het onderscheid tussen het verstrekken van gegevens aan buitenlandse diensten en benutten
van buitenlandse expertise om de Nederlandse gegevens te analyseren? In hoeverre bestaat
bovendien inzicht en wordt richting de Nederlandse diensten rekenschap gegeven of
afspraken worden nageleefd? Klopt het dat geen rol voor toetsing en toezicht is weggelegd
als het gaat om de samenwerking met buitenlandse collegadiensten? In antwoord op de
vragen van deze leden verwijzen wij allereerst naar hetgeen we aan het begin van deze
paragraaf in antwoord op vragen van de leden van de PvdA-fractie hebben gesteld, waar
het gaat om het aspect van waarborgen. Naast de voorwaarde dat de verstrekte gegevens
door de desbetreffende buitenlandse dienst uitsluitend in het kader van de gevraagde
technische analyse mogen worden gebruikt, kunnen daarbij uiteraard ook andere voorwaarden
worden gesteld, zoals dat men de gegevens na die analyse dient te vernietigen. Aan
het vragen van ondersteuning van de buitenlandse dienst bij technische analyse als
hier bedoeld is inherent dat er gegevens verstrekt worden en in dat opzicht is er
dus geen onderscheid, behalve dat dit plaatsvindt onder strikte doelbinding. Waar
het de overige vragen van deze leden betreft wordt verwezen naar hetgeen in paragraaf
2.3 – in antwoord op vragen van de leden van de D66-fractie – en in paragraaf 3.3
– in antwoord op vragen van de leden van de PvdD-fractie is gesteld, met name waar
het gaat om het aspect toetsing en toezicht als het gaat om samenwerking met buitenlandse
diensten.

3.4 Bijschrijfmogelijkheid artikel 47 Wiv 2017

Voorafgaand aan de beantwoording van de vragen van de leden van de fracties van de
VVD, PvdA en D66 merken wij op dat gelet op de inhoud van de vragen van deze leden
het ons voorkomt dat deze – uitgezonderd de eerste vraag van de leden van de VVD-fractie
– betrekking hebben op de bijschrijfmogelijkheid in het kader van de toepassing van
artikel 45 Wiv 2017 (de bevoegdheid tot binnendringen in een geautomatiseerd werk)
en niet de bijschrijfmogelijkheid in het kader van artikel 47 Wiv 2017 (gericht tappen).
De beantwoording van hun vragen heeft dan ook betrekking op de toepassing van de bijschrijfmogelijkheid
van artikel 45 Wiv 2017.

De leden van VVD-fractie lezen dat bij de bijschrijfmogelijkheid krachtens artikel
47 naast de wettelijk vereiste toestemming sprake moet zijn van een geldige interne
toestemming. Deze leden vragen of de regering de geschetste interne toestemming nader
kan toelichten, onder meer bij wie die is belegd. De interne toestemmingsprocedure
voor bijschrijven is dezelfde als die welke eerder geschetst is bij artikel 45 (bijschrijven
in het kader van de bevoegdheid tot binnendringen in een geautomatiseerd werk). De
diensten moeten voor de inzet van de tapbevoegdheid een onderbouwd toestemmingsverzoek
schrijven en na toestemming van de Minister toetst de TIB de verleende toestemming
op rechtmatigheid. Indien de TIB de toestemming voor de inzet rechtmatig acht, mogen
de diensten de bevoegdheid tot bijschrijven inzetten, voor een periode van maximaal
drie maanden. Een bijschrijving is het toevoegen van een kenmerk aan een lopende toestemming
voor de inzet van de desbetreffende bevoegdheid. Dit wordt gedaan door het inlichtingenteam
dat gemotiveerd omschrijft waarom het nieuwe kenmerk past in de verleende toestemming
en of dit noodzakelijk, proportioneel, subsidiair en gericht is. Deze motivatie wordt
eerst getoetst door de leidinggevende van dat inlichtingenteam en, indien deze akkoord
is, verleent deze toestemming voor de bijschrijving. Vervolgens wordt die toestemming
bij MIVD bezien door afdeling juridische zaken en bij de AIVD door het unithoofd.
Indien daaruit geen bezwaren naar voren komen, kan de bijschrijving worden geëffectueerd.
De beslissing wordt intern vastgelegd, zodat de CTIVD te allen tijde de overwegingen
die ten grondslag hebben gelegen voor de autorisatie van de bijschrijving kan toetsen.

De leden van de VVD-fractie achten het positief dat lopende onderzoeken kunnen worden
uitgebreid met apparaten via de wettelijke bijschrijfmogelijkheden met de nodige waarborgen.
Gelet op het feit dat cyberaanvallen steeds geraffineerder en grootschaliger georganiseerd
kunnen worden via de inzet van de brede digitale infrastructuur en specifiek via digitale
apparaten van derden (bijvoorbeeld via botnets) achten zij deze bevoegdheid noodzakelijk.
Deze leden vragen hoe de bijschrijfmogelijkheid van artikel 45 kan bijdragen aan het
effectief bestrijden van botnetaanvallen. Wij beantwoorden deze vraag graag als volgt.
Cyberactoren maken gebruik van snel wisselende infrastructuur voor het uitvoeren van
hun offensieve cyberstrategie. De verduidelijking van de mogelijkheid tot bijschrijving
op grond van artikel 47, zevende lid, van de Wiv 2017 en artikel 45, achtste lid,
van de Wiv 2017 in respectievelijk artikel 9, eerste lid, van de Tijdelijke wet en
artikel 5, tweede lid van de Tijdelijke wet zorgt ervoor dat de diensten snel en effectief
onderzoek kunnen doen, doordat bewegingen van cyberactoren in het digitale domein
beter of überhaupt gevolgd kunnen worden en in kaart gebracht kunnen worden. Het voorgaande
geldt in algemene zin voor alle onderzoeken in het cyberdomein, en dus ook voor (eventuele)
onderzoeken naar actoren die gebruik maken van botnets. Waarbij opgemerkt moet worden
dat een botnet slechts een middel of wijze van opereren van een cyberactor is. Vanuit
het perspectief van de diensten zijn daarom niet zozeer de geautomatiseerde werken
die deel uitmaken van het botnet op zichzelf interessant, maar meer de beheersinfrastructuur
daarachter waarmee aanvallen worden aangestuurd, de wijze waarop dit gebeurt, met
welke intentie en uiteraard welke actor hierachter zit.

De leden van de D66-fractie vragen de regering aan te geven of de voorbeelden die
zij onder hoofdstuk 3.3.4.1 (GDA) van de memorie van toelichting geeft, een limitatieve
opsomming is van de inzet van GDA. Indien dit geen limitatieve opsomming is, kan de
regering dan aangeven wat de grenzen zijn van wat er onder GDA wordt verstaan? Zoals
wij ook eerder in antwoord op vragen van de leden van de SP-fractie hebben aangegeven
(paragraaf 2.2 van deze nota naar aanleiding van het verslag) bestaat er geen limitatieve
lijst met vormen van GDA. Het is een open begrip dat diverse bestaande en nog te ontwikkelen
vormen van GDA moet kunnen omvatten. Bij de herziening van de Wiv 2017 zal overigens
de bestaande regeling inzake GDA opnieuw tegen het licht worden gehouden, waarbij
ook hetgeen de ECW ter zake heeft opgemerkt zal worden betrokken.

Deze leden horen graag van de regering hoe de proportionaliteit van het bijschrijfsysteem
gewaarborgd is. Wij beantwoorden deze vraag als volgt. Voor de toepassing van de bijschrijfmogelijkheid
geldt dat de interne toestemmingsprocedure moet worden gevolgd. Evenals bij een regulier
verzoek om toestemming aan de Minister om de bijzondere bevoegdheid ex artikel 47
Wiv 2017 (gericht tappen) in te mogen zetten, zal het verzoek om toestemming dienen
te voldoen aan de vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid.
Wordt de interne autorisatie verleend, dan wordt de afdeling toezicht daarvan terstond
mededeling gedaan. De afdeling kan dan beoordelen of de autorisatie rechtmatig is
verleend en toezien op de wijze waarop aan de bijschrijfbevoegdheid uitvoering wordt
gegeven.

Voorts vragen deze leden hoe ruim «een derde» wordt opgevat en hoeveel sneller «derden»
voortaan kunnen worden bijgeschreven dan nu de praktijk is. Wij beantwoorden deze
vraag als volgt. Een derde is een partij die technisch te relateren is aan het target.
Daarbij moet onder andere gedacht worden aan een partij die een netwerk aansluit,
een dienst levert, software levert of technische kennis levert. Een derde kan niet
worden bijgeschreven. Zodra in een lopend onderzoek een nieuwe derde in beeld komt,
dient een nieuw toestemmingsverzoek te worden ingediend. Geautomatiseerde werken van
een derde die al in het toestemmingsverzoek vermeld staat kunnen wel worden bijgeschreven.
Dit is overigens onder de Wiv 2017 ook al het geval.

De leden van de D66-fractie vragen of de regering nader kan uiteenzetten wat zij precies
verstaat onder dat geen sprake hoeft te zijn van exclusief gebruik voor geautomatiseerde
werken die behalve door de actor zelf ook door anderen worden gebruikt, voor zover
dat noodzakelijk is voor het doel waarvoor de oorspronkelijke toestemming is aangevraagd,
om te kunnen bijschrijven. Ook vragen zij of hierbij voorbeelden uit de praktijk bij
worden gegeven. Wij beantwoorden deze vragen graag als volgt. De mogelijkheid tot
bijschrijven zorgt ervoor dat de diensten snel en effectief onderzoek kunnen doen.
Cyberactoren maken gebruik van geautomatiseerde werken, die vaak in een complexe keten
aan elkaar gekoppeld worden, hun zogenoemde digitale aanvalsinfrastructuur, voor het
uitvoeren van hun offensieve cyberstrategie. Om de herleidbaarheid van hun activiteiten
te verkleinen, wisselen targets snel van geautomatiseerde werken en werkmethodes.
Ook hacken cyberactoren geautomatiseerde werken van anderen om die te gebruiken voor
het uitvoeren van hun offensieve cyberprogramma. Cyberactoren maken gebruik van gedeelde
infrastructuur of hacken geautomatiseerde werken om dit onderdeel te maken van hun
aanvalscampagne. Dit maakt bijschrijven in een dergelijke situatie in de praktijk
vrijwel onmogelijk. Er kan enkel een kenmerk worden bijgeschreven indien het past
binnen de reikwijdte van de betreffende toestemming. Een kenmerk bij een geautomatiseerd
werk is een technische aanduiding, waarmee wordt aangeduid op welke geautomatiseerd
werk een bijzondere bevoegdheid betrekking heeft, in dit geval de bevoegdheid tot
het binnendringen in een geautomatiseerd werk. Een voorbeeld hiervan is een IP-adres.
Indien een toestemming gericht is op een bepaalde cyberactor dan kunnen enkel kenmerken
worden bijgeschreven die gebruikt worden door de cyberactor. Deze kenmerken kunnen
exclusief en niet-exclusief in gebruik zijn bij de cyberactor. Op het moment dat een
cyberactor meerdere geautomatiseerde werken gebruikt ten behoeve van een aanvalscampagne
die zowel exclusief en niet-exclusief in gebruik zijn, kunnen de diensten de cyberactor
niet snel genoeg volgen als de niet-exclusieve kenmerken niet bijgeschreven kunnen
worden. Hier dient namelijk een procedure gevolgd te worden die minstens een week
in beslag neemt. Het is noodzakelijk om deze niet-exclusieve kenmerken wel bij te
schrijven om efficiënt en effectief onderzoek te doen naar activiteiten van cyberactoren
die de nationale veiligheid van Nederland kan schaden. Het ontbreken van zicht op
deze activiteiten schaadt Nederland en Nederlandse belangen en kan uiteindelijk schadelijk
zijn voor Nederland als geheel maar ook voor burgers en bedrijven die direct geraakt
kunnen worden door deze activiteiten. Het is derhalve noodzakelijk om zowel kenmerken
die exclusief in gebruik zijn als kenmerken die niet-exclusief in gebruik zijn om
activiteiten van cyberactoren te kunnen volgen zodat de dreiging voor de nationale
veiligheid op tijd geduid kan worden. Vanzelfsprekend zijn de beginselen van noodzakelijkheid,
gerichtheid, proportionaliteit en subsidiariteit alsmede de reikwijdte van de eerder
verleende toestemming waaraan de bijschrijving moet zijn gerelateerd van toepassing.

Deze leden vragen ten slotte of de regering een mogelijk risico ziet in het ontbreken
van een nadere afbakening van wie of wat er wel bijgeschreven mag worden en of de
regering hierop kan reflecteren en daarbij ingaan op de waarborgen die er met het
voorliggende voorstel bestaan tegen (praktisch) ongelimiteerd bijschrijven. Ook vragen
zij of er een limiet is aan op welke schaal kan worden bijgeschreven en, zo ja, of
hiervan een voorbeeld kan worden gegeven. In reactie hierop merken we het volgende
op. De TIB toetst of de door de Minister verleende toestemming rechtmatig is. Bij
de beoordeling van de rechtmatigheid worden noodzaak, proportionaliteit, subsidiariteit
en gerichtheid meegewogen. Binnen de reikwijdte van de verleende toestemming mag worden
bijgeschreven. Dit is nu al mogelijk als het gaat om kenmerken die exclusief toebehoren aan een persoon of organisatie waar de diensten onderzoek naar doen. Het
(kunnen) bijschrijven van kenmerken is aldus niet nieuw en is dus een bestaande praktijk,
waarop de afdeling toezicht van de CTIVD toezicht kan houden. Het onderhavige wetsvoorstel
verduidelijkt slechts dat ook kenmerken die niet exclusief toebehoren aan de persoon of organisatie waar de diensten onderzoek naar doen kunnen
worden bijgeschreven. De afbakening wordt bepaald door de door de Minister verleende
toestemming en wel in het bijzonder de persoon of organisatie waarop de bevoegdheid
mag worden ingezet. De bijschrijving dient daaraan gerelateerd te zijn en hoe vaak
daarvan gebruik moet worden gemaakt is op voorhand niet aan te geven, immers dat is
afhankelijk van het gedrag van de desbetreffende persoon of instantie. Het is ook
niet wenselijk om (op voorhand) een limiet daaraan te stellen. Naar ons oordeel kan
in deze worden volstaan met de op de toepassing van artikel 5, tweede lid, van het
wetsvoorstel voorziene mogelijkheid van bindend toezicht door de afdeling toezicht
(artikel 12, eerste lid, onder c). Voor het overige geldt dat de algemene waarborgen
uit de Wiv 2017 van toepassing zijn in het kader van de zorgplicht en de verdere gegevensverwerking.
Deze waarborgen zorgen ervoor dat niet-relevante gegevens zo spoedig mogelijk worden
vernietigd en niet verder worden verwerkt in het inlichtingenproces. Met de huidige
waarborgen zijn wij van oordeel dat sprake is van een sluitend stelsel van waarborgen.

De leden van de GroenLinks-fractie wijzen erop dat de regering (in de toelichting
op artikel 9 van het wetsvoorstel) schrijft dat gedurende de toestemmingsperiode nummers
dan wel technische kenmerken worden bijgeschreven voor zover dat noodzakelijk is voor
het doel waarvoor de oorspronkelijke toestemming is verleend. Deze leden vragen de
regering op dit punt nader in te gaan op wat hier «noodzakelijk» betekent en welke
criteria hierbij gebruikt worden om te bepalen of het noodzakelijk is. Om een kenmerk
te mogen bijschrijven is het vereist dit kenmerk ook noodzakelijk, proportioneel,
subsidiair en zo gericht mogelijk is en dat dezelfde afwegingen gelden zoals in de
verleende toestemming zijn omschreven en die door de TIB rechtmatig zijn beoordeeld.

3.5 Bijschrijfmogelijkheid artikel 54 Wiv 2017

Voorafgaand aan de beantwoording van de vragen van de leden van de SP-fractie merken
wij op dat gelet op de inhoud van de vragen van deze leden het ons voorkomt dat deze
betrekking hebben op de bijschrijfmogelijkheid in het kader van de toepassing van
artikel 45 Wiv 2017 (de bevoegdheid tot binnendringen in een geautomatiseerd werk)
en niet de bijschrijfmogelijkheid in het kader van artikel 54 Wiv. De beantwoording
van hun vragen heeft dan ook betrekking op de toepassing van de bijschrijfmogelijkheid
van artikel 45 Wiv 2017.

De leden van de SP-fractie vragen de regering wat de AIVD en MIVD in de technische
briefing bedoelden met de claim dat er nooit IP-adressen van nieuwe servers «bijgeschreven»
kunnen worden en of kan worden aangegeven of dit nooit gebeurt of hoe vaak dit nu
wel gebeurt. Wij beantwoorden deze vraag als volgt. Technische kenmerken, zoals IP-adressen,
die niet exclusief in gebruik zijn bij de actor worden nu niet bijgeschreven maar
zijn onderdeel van een reguliere aanvraag voor de uitvoering van een bijzondere bevoegdheid
zoals geregeld in de artikelen 45 (bevoegdheid tot binnendringen in een geautomatiseerd
werk) en 47 (gerichte interceptie) Wiv 2017. Dit komt voort uit een strikte interpretatie
van het bijschrijfcriterium.

Deze leden wijzen erop dat het wetsvoorstel de mogelijkheid uitbreidt tot bijschrijven
van non-targets en deze leden vragen zich af waarom de indruk is gewekt dat bijschrijven
geheel onmogelijk was tot nu toe. Wij reageren graag als volgt. Het klopt dat tijdens
de technische briefing is toegelicht dat er op dit moment geen bijschrijvingen gedaan
kunnen worden indien er sprake is van kenmerken die niet exclusief in gebruik zijn
bij de actor. Het voorstel zorgt er juist voor dat de diensten effectief onderzoeken
kunnen doen dat past bij de snelheid en dynamiek van de dreiging in het cyberdomein.
Het maakt het mogelijk om kenmerken die in gebruik zijn bij een actor, bijvoorbeeld
bij aanvalsinfrastructuur, ten behoeve van bijvoorbeeld een aanvalscampagne bij te
kunnen schrijven onder een lopende toestemming tot binnendringen in een geautomatiseerd
werk of taptoestemming die gericht is op de betreffende actor. Dit voorstel voorziet
niet in de mogelijkheid om kenmerken van non-targets bij te schrijven. Non-targets
zijn namelijk personen of organisaties die niet onder de aandacht van de diensten
staan, maar wel over gegevens of informatie beschikken over of van een target. In
casu gaat het over kenmerken die ofwel toebehoren aan zowel een actor als een legitieme
gebruiker (omdat er bijvoorbeeld sprake is van gedeeld gebruik van een server), ofwel
een kenmerk dat toebehoort aan een legitieme gebruiker maar feitelijk onder controle
staat van de actor (omdat er bijvoorbeeld een geautomatiseerd werk van een legitieme
gebruiker gehackt is). In deze gevallen moeten de diensten in staat zijn om deze kenmerken
bij te schrijven om zicht te houden op de actor en omdat bij deze kernmerken het gebruik
van het kenmerk door de actor centraal staat. Vanzelfsprekend zullen de diensten gegevens
die niet toebehoren aan de actor niet meenemen in het inlichtingenonderzoek.

De leden van de SP-fractie vragen voorts toe te lichten waarom het toetsen van bijschrijven
kan vervallen. Hoe wordt, aldus deze leden, een bijschrijving bij het verschoven toezicht
zichtbaar en daarmee toetsbaar. Wij antwoorden deze leden als volgt. Het is een onjuiste
conclusie dat de toets op bijschrijven vervalt onder het voorstel. Het toezicht op
bijschrijvingen wordt onder het voorstel juist verstevigd vanwege het bindend toezicht
van de afdeling toezicht op bijschrijvingen. Indien er sprake is van een lopende toestemming
kunnen de diensten onder artikel 45 Wiv 2017 en artikel 47 Wiv 2017, en na inwerkingtreding
Tijdelijke wet ook bij artikel 54 Wiv 2017, overgaan tot het bijschrijven van kenmerken
die gebruikt worden door de actor die onderwerp is van de verleende toestemming. Bij
beide diensten is er sprake van een interne toets op het bijschrijven van kenmerken.
Bij een eventueel door de Minister verleende toestemming waarbij de uitoefening van
de bevoegdheid wordt verlengd, kan de TIB kennisnemen van de resultaten van een bijgeschreven
kenmerk op de eerder verleende toestemming indien het kenmerk onderdeel uitmaakt van
de aan de TIB-toets onderworpen toestemming. De bijschrijfmogelijkheid wordt in het
nieuwe voorstel wel verduidelijkt waardoor ook kenmerken die niet exclusief in gebruik
zijn bij de actor bijgeschreven kunnen worden. Ten allen tijde blijven de beginselen
van gerichtheid, noodzakelijkheid, proportionaliteit en subsidiariteit alsmede de
reikwijdte van het verzoek onverminderd van toepassing.

Deze leden vragen de regering ten slotte om toe te lichten of door de CTIVD geformuleerde
criteria (CTIVD toezichtsrapport nr. 53) voor het hacken van non-targets onverkort
van kracht blijven bij toepassing van artikel 5 in het voorliggend wetsvoorstel. En
gelden deze criteria ook voor de artikelen 10 en 11 in relatie tot artikelen 47 en
54 van de bestaande wet? Het begrip non-targets zoals de diensten en de CTIVD het
begrip omschrijven is hier niet van toepassing. Een non-target is een persoon of een
organisatie die niet onder de aandacht van de diensten staat maar wel over gegevens
of informatie beschikt van een target. Bij een inzet op non-target staat het non-target
centraal met bijbehorende waarborgen. Bij een inzet op een kenmerk dat niet exclusief
in gebruik is bij een actor staat de actor en dus het target centraal. Dit betekent
ook meteen dat de gegevens die niet bij de actor horen niet verder worden verwerkt
in een inlichtingenonderzoek. Het rapport van de CTIVD is onverkort van toepassing
maar heeft geen invloed op het bijschrijven van kenmerken die niet exclusief in gebruik
zijn bij de actor onder bijvoorbeeld artikel 45 Wiv 2017, 47 Wiv 2017 en artikel 54
Wiv 2017.

4. Toets en toezicht en de mogelijkheid van beroep op de Afdeling bestuursrechtspraak
van de Raad van State

4.1 Inleiding

De leden van de SP-fractie willen graag nadere uitleg over wat er bedoeld wordt bij
de accentverschuiving van het toezicht en willen graag een overzicht krijgen welk
bindend toezicht vooraf vervalt en wordt verschoven. In reactie op deze vraag merken
wij op dat accentverschuiving betekent dat waar thans het accent ligt op een bindende
toets ex ante door de TIB dat verschuift naar een bindende toets ex durante (of ex
post) naar de afdeling toezicht van de CTIVD. Wij hebben dat inzichtelijk gemaakt
in een schematisch overzicht dat we eerder in deze nota naar aanleiding van het verslag
(paragraaf 2.5) als reactie op vragen van de GroenLinks-fractie hebben opgenomen.

In reactie op de vraag van de leden van SP-fractie of het klopt dat er geen sprake
meer is van bindend toezicht op de bevoegdheden voor kabelinterceptie, antwoorden
wij dat dat onjuist is. Zowel waar het gaat om de in artikel 6 van dit wetsvoorstel
geregelde bevoegdheid tot verkennen als de reguliere OOG-interceptie ex artikel 48
Wiv 2017 blijft de ex ante toets door de TIB bestaan. Er verandert in dat opzicht
dus niets. Wel is het zo dat voor de bevoegdheid tot verkennen enkele specifieke voorzieningen
zijn getroffen. Zo komt de eis van gerichtheid ex artikel 26, vijfde lid, Wiv 2017
te vervallen, is de uitoefening strikt doelgebonden, mogen alleen daartoe aangewezen
medewerkers van de diensten van de desbetreffende gegevens kennisnemen en is de bewaartermijn
voor de in het kader van verkennen verworven gegevens voor zover die niet bijdragen
aan het doel van de verwerving verkort van drie jaar38 naar zes maanden.

Deze leden vragen aansluitend of de Kamer dus fout is geïnformeerd tijdens het rondetafelgesprek.
Zoals uit voorgaand antwoord blijkt, blijft de bindende toetsing ex ante bij kabelinterceptie
bestaan. Bindend toezicht achteraf door de afdeling toezicht van de CTIVD bestaat
thans niet en wordt in het wetsvoorstel ook niet bij kabelinterceptie voorzien. Dit
alles blijkt uit de memorie van toelichting.39 Wij zien dan ook niet in hoe de Kamer «dus fout» kan zijn geïnformeerd bij het rondetafelgesprek.

De leden van de fractie van de PvdA vragen of de Afdeling bestuursrechtspraak over
de benodigde kennis en vaardigheden beschikt om de in het wetsvoorstel aan deze afdeling
opgedragen taak, namelijk tot het oordelen over geschillen tussen de verantwoordelijke
Ministers enerzijds en de TIB en afdeling toezicht van de CTIVD anderzijds over de
rechtmatigheid van de door de TIB dan wel afdeling toezicht op grond van de Tijdelijke
wet genomen oordelen, uit te voeren. Ook vragen zij of de Afdeling bestuursrechtspraak
over capaciteit daarvoor beschikt. In reactie hierop merken wij het volgende op. Zoals
in de memorie van toelichting is aangegeven, is de keuze voor de Afdeling bestuursrechtspraak
in de eerste plaats ingegeven door de volledige onafhankelijkheid van de Afdeling
als rechterlijk orgaan en voorts doordat de Afdeling bestuursrechtspraak als hoogste
bestuursrechter veel ervaring heeft met de beslechting van geschillen waarin overheidshandelen
centraal staat, ook in het licht van constitutionele en mensenrechtelijke vraagstukken.
De Afdeling bestuursrechtspraak kan ook met gezag opereren en de keuze voor dit orgaan
doet recht aan het grote maatschappelijke belang dat bij oordeelsvorming omtrent de
rechtmatigheid van de activiteiten van de inlichtingen- en veiligheidsdiensten aan
de orde is. Daarbij komt dat Afdeling bestuursrechtspraak ook nu reeds als hoogste
bestuursrechter optreedt bij geschillen over de toepassing van de Wiv 2017 en de Wet
veiligheidsonderzoeken.40 Ook in die zaken kan de Afdeling bestuursrechtspraak van staatsgeheime informatie
kennis nemen. Voor zover, gelet op de aard van de geschillen die op grond van de Tijdelijke
wet aan de Afdeling bestuursrechtspraak kunnen worden voorgelegd, de Afdeling bestuursrechtspraak
het noodzakelijk acht de benodigde technische kennis op te doen, is in het wetsvoorstel
erin voorzien dat zij deskundigen kan raadplegen maar ook dat een staatsraad in buitengewone
dienst met de benodigde technische kennis kan worden benoemd die onderdeel uitmaakt
van een meervoudige kamer. Gelet hierop hebben wij geen enkele twijfel erover dat
op het moment dat de beroepsmogelijkheid in werking treedt en wordt toegepast, de
Afdeling bestuursrechtspraak over de door de leden van de PvdA-fractie genoemde kennis
en ervaring zal beschikken, voor zover men dat nu al niet heeft. Uiteraard zullen
bij de Afdeling bestuursrechtspraak de daarvoor benodigde randvoorwaarden in personele,
organisatorische, technische en financiële zin dienen te worden gerealiseerd. Over
de implementatie van het wetsvoorstel wordt reeds met de Afdeling bestuursrechtspraak
van de Raad van State overleg gevoerd.

De leden van de PvdA-fractie wijzen de regering op de kanttekeningen die de commissie
Bovend’Eert bij de beroepsmogelijkheid bij de Afdeling bestuursrechtspraak plaatst,
namelijk dat de beroepsmogelijkheid wel openstaat voor de Ministers, maar niet voor
de burgers of bedrijven die wensen op te komen tegen het inzetten van een bevoegdheid
waarmee zij in hun persoonlijke levenssfeer of bedrijfsvoering worden geraakt. Daarom
stelde deze commissie voor om een onafhankelijk vertegenwoordiger van de burger of
een belangenorganisatie aan te stellen die in de gevallen die het opportuun acht namens
de burger beroep instelt. Deze leden wijzen op het feit dat de amicus curiae onlangs
een wettelijke basis heeft gekregen en wellicht tot inspiratie kan dienen. In reactie
hierop zouden wij het volgende willen opmerken. De beslissingen waartegen beroep bij
de Afdeling bestuursrechtspraak kan worden opengesteld, betreffen beslissingen inzake
operationele activiteiten van de diensten. Dergelijke activiteiten hebben uit de aard
der zaak een staatsgeheim karakter en zijn niet openbaar. Mede in verband daarmee
is in artikel 145 Wiv 2017 bepaald dat (onder meer) de Algemene wet bestuursrecht
niet van toepassing is.41 Immers de in de Algemene wet bestuursrecht geldende bepalingen inzake de voorbereiding
en totstandkoming van besluiten en de mogelijkheid van bezwaar en beroep kunnen geen
toepassing vinden waar sprake is van een heimelijke uitoefening van bevoegdheden tegen
personen, waarbij het publiekelijk bekendraken daarvan – met name bij die personen
– negatieve gevolgen heeft voor het slagen van die toepassing maar ook dat daarmee
het actuele kennisniveau van de dienst in het geding komt. Daarmee wordt de nationale
veiligheid ernstig geschaad. De idee van aanstelling van een onafhankelijke vertegenwoordiger
voor de burger of een belangenorganisatie die in de gevallen waarin deze het opportuun
acht, beroep namens de burger instelt, is om een aantal redenen niet uitvoerbaar.
Om beroep in te kunnen stellen, zal een dergelijke onafhankelijke vertegenwoordiger
kennis moeten hebben van alle (onder de toepasselijke regeling vallende) operationele
besluiten die door (of namens) de Minister worden genomen. Los van het feit dat zelfs
binnen de diensten kennis over operationele besluiten niet mag worden gedeeld met
andere personen dan die welke daar in het kader van een goede taakuitvoering kennis
van moeten kunnen nemen (wettelijk vastgelegd need to know-beginsel), is een integraal
overzicht daarvan niet beschikbaar en – al zou dat er wel zijn – is het ook vanuit
het feit dat het om uiterst gevoelige en kwetsbare informatie gaat niet wenselijk
dat deze aan een derde beschikbaar wordt gesteld om aan de hand daarvan te bezien
of deze het opportuun acht beroep in te stellen. Dat is dus iets anders dan de figuur van de amicus curiae, die thans in Afdeling 8.1.2b van de Algemene wet bestuursrecht is geregeld. Daarbij
wordt aan de hoogste bestuursrechtelijke colleges, waaronder aan de Afdeling bestuursrechtspraak
van de Raad van State, de mogelijkheid geboden om anderen dan partijen in de gelegenheid
stellen binnen een door het college te bepalen termijn schriftelijke opmerkingen te
maken (artikel 8:12b, eerste lid). In de opgenomen regeling voor beroep bij de Afdeling
bestuursrechtspraak is niet in deze mogelijkheid voorzien. In het kader van de herziening
van de Wiv 2017 zal worden onderzocht of en, zo ja, op welke wijze (delen van) de
Awb van toepassing kunnen worden, onder meer waar het gaat om de beroepsprocedure.
Daarbij zal – zo zeggen wij toe – ook de mogelijkheid van toepassing van de figuur
van de amicus curiae worden betrokken.

De leden van de PvdA-fractie vragen in hoeverre de voorgestelde beroepsmogelijkheid
bij de Afdeling bestuursrechtspraak, ondanks de spoedprocedure of de voorlopige voorziening,
kan gaan leiden tot vertraging voor de diensten. Belemmert dit, aldus deze leden,
de operationele slagkracht van de diensten en hoe verhoudt zich dat tot de belemmering
van die slagkracht die nu nog veroorzaakt zou worden door het nu nog bestaande toezicht
door de TIB. Voor ons en de diensten is het belangrijkste dat door het instellen van
beroep tegen oordelen van de TIB dan wel de afdeling toezicht onder meer duidelijkheid
kan worden verkregen over de uitleg van de wet. Dat er enige vertraging kan optreden
bij de uitvoering van onderzoeken door de diensten is daaraan inherent, maar te prefereren
boven de bestaande situatie dat – in geval van onrechtmatigheidsoordelen van de TIB
– een bevoegdheid niet (meer) kan worden ingezet en de toestemmingsprocedure opnieuw
moet worden ingezet. Dat levert immers ook vertraging op. Met de beroepsmogelijkheid
kan een eenduidige en gezaghebbende uitspraak over de uitleg van de wet worden verkregen,
die ertoe kan bijdragen dat (vertragende) discussies over de uitleg van de wet tussen
de diensten en de TIB dan wel afdeling toezicht van de CTIVD voor de toekomst worden
voorkomen en uiteindelijk juist tot meer snelheid in het proces van het al dan niet
kunnen inzetten van bijzondere bevoegdheden door de diensten kan leiden.

De leden van de SGP-fractie vragen de regering te reflecteren op de consequenties
van de keuzes inzake toetsing en toezicht voor het uitoefenen van de ministeriële
verantwoordelijkheid. Zij vragen daarbij ook aandacht te geven aan de argumenten die
door de regering dienaangaande zijn aangevoerd bij de behandeling van de Wiv 2017
en waarom bepaalde keuzes in de huidige omstandigheden nu anders gewogen worden. Zij
vragen de regering of deze voorbeelden kan geven van andere beleidsvelden waar de
bevoegdheid in ernstige situaties die de openbare orde en het landsbelang raken beperkt
worden door bindende toetsing en bindend toezicht. Wij reageren graag als volgt op
de door deze leden gemaakte opmerkingen. De leden van de SGP-fractie snijden met hun
vragen een wezenlijke kwestie aan. Het borgen van de nationale veiligheid is immers
een wezenlijke staatstaak waarvoor de ter zake verantwoordelijke Ministers over de
volle breedte verantwoordelijkheid moeten kunnen dragen en aan het parlement verantwoording
af moeten kunnen leggen. Een onafhankelijke toezichthouder – of die nu wel of niet
bindende bevoegdheden heeft – kan die verantwoordelijkheid niet «overnemen». Dat neemt
niet weg dat op veel beleidsterreinen sprake is van toezicht met bindende bevoegdheden,
waarbij we wijzen op het toezicht dat bijvoorbeeld door de Autoriteit Persoonsgegevens
(AP) op grond van de Algemene Verordening Gegevensbescherming (AVG) en de daaraan
gerelateerde uitvoeringsregelgeving wordt gehouden op de rechtmatige verwerking van
persoonsgegevens. Een vergelijkbare rol vervult de afdeling toezicht van de CTIVD
maar dan in het domein van de inlichtingen- en veiligheidsdiensten en – tot op heden
– met niet bindende bevoegdheden. Daarnaast bestaan er vormen van bindend toezicht
in de financiële sector (vergelijk het toezicht door de DNB en AFM), op het vlak van
consumentenbescherming (vgl. ACM) e.d.; veelal ter uitvoering van Europese regelgeving.
Het is ook vaak toezicht door een bepaalde instantie op een specifiek aspect van de
activiteiten van de onder toezichtgestelden, zoals de verwerking van persoonsgegevens
of de bescherming van consumentenbelangen. In de praktijk hebben onder toezichtgestelden
dan ook vaak met meerdere – gespecialiseerde – toezichthouders te maken. Verder dient
opgemerkt te worden dat het domein van de inlichtingen- en veiligheidsdiensten gekenmerkt
wordt door een taakuitvoering die zich niet in de openbaarheid afspeelt en waarin
dus (in tegenstelling tot andere beleidsterreinen) geen volledige openbare parlementaire
of media controle plaatsvindt. Op grond van de huidige Wiv 2017 is het toezichtsmandaat
van de afdeling toezicht van de CTIVD breed geformuleerd, namelijk de rechtmatige
(niet: de doelmatige) uitvoering van de Wiv 2017 en de Wet veiligheidsonderzoeken.
Nu het daar gaat om niet-bindend toezicht en dit toezicht kan uitmonden in onderzoeksrapporten
met niet bindende aanbevelingen, heeft dat als zodanig geen (beperkende) invloed op
de ministeriële verantwoordelijkheid. Waar het gaat om de TIB die wel een bindende
toetstaak heeft, is indertijd door de Afdeling advisering van de Raad van State gesteld
dat met de introductie van de bindende rechtmatigheidstoets door de TIB afbreuk kan
worden gedaan aan de ministeriële verantwoordelijkheid. Daarop is van de zijde van
de regering geantwoord dat de Afdeling – in zijn advies – er terecht op wijst dat
de beslissing om de diensten een onderzoek te laten starten niet uitsluitend een juridisch
oordeel vereist, maar samenhangt met beleidsmatige afwegingen. De regering heeft daarop
– samengevat42 – gereageerd door te stellen dat voor zover het gaat om de beleidsmatige afwegingen,
dat die niet onderworpen zijn aan de toets van de TIB of het rechtmatigheidstoezicht
door de CTIVD. De Minister draagt voor die beslissing de volle ministeriële verantwoordelijkheid.
Bij de inzet van bevoegdheden van de diensten zullen naast rechtmatigheidsaspecten
ook beleidsaspecten een rol spelen en die beleidsaspecten kunnen doorwerking hebben
in de invulling van criteria als noodzakelijkheid, proportionaliteit en subsidiariteit.
Maar uiteindelijk wordt wel gekozen voor de inzet van een bepaalde bevoegdheid die
de rechtmatigheidstoets dient te doorstaan; het gaat immers om toepassing van wettelijk
vastgelegde eisen. De Minister is volledig verantwoordelijk voor het uiteindelijk
door hem genomen besluit. Dat een bindende toets door de TIB leidt tot een inperking
van de ministeriële bevoegdheid en daarmee ook een inperking van de ministeriële verantwoordelijkheid
en de daarmee samenhangende mogelijkheid tot parlementaire controle is, zoals de regering
indertijd in reactie op het advies van de Afdeling advisering heeft aangegeven, voor
discussie vatbaar. Indien de TIB een verleende toestemming onrechtmatig acht, kan
de Minister altijd een nieuw besluit nemen, waarbij gepoogd kan worden de door de
TIB geconstateerde gebreken op het vlak van rechtmatigheid (onvoldoende noodzaak aangetoond,
disproportioneel of een te zwaar middel als er een lichter alternatief voorhanden
is) weg te nemen. Of de Minister daarvoor kiest is ook aan de Minister en ook daarvoor
is hij verantwoordelijk. Voorts is de Minister volledig verantwoordelijk voor de uiteindelijke
uitvoering van de bijzondere bevoegdheid. De parlementaire controle blijft intact.
Het antwoord op de vraag of er wel of niet sprake is van een inperking van de ministeriële
verantwoordelijkheid bij bindende toetsing – maar dat zal niet anders liggen bij bindend
toezicht – is voor discussie vatbaar. Naar ons oordeel dient de wetgever – regering
en beide kamers der Staten-Generaal – bij de introductie van een bindende bevoegdheid
voor de afdeling toezicht van de CTIVD zoals bijvoorbeeld nu in het wetsvoorstel wordt
voorgesteld dan ook nadrukkelijk stil te staan bij de betekenis daarvan voor de ministeriële
verantwoordelijkheid. Immers het raakt direct aan de parlementaire controletaak. Het
voorstel voor een bindende toezichtsbevoegdheid van de afdeling toezicht van de CTIVD,
zoals dat er thans ligt, waarbij deze beperkt is tot specifiek aangewezen besluiten,
achten we vanuit ons oogpunt aanvaardbaar. Bij de herziening van de Wiv 2017, waarbij
in brede zin naar het stelsel van toetsing en toezicht zal worden gekeken en diverse
scenario’s denkbaar zijn, zal voor elk scenario de gevolgen daarvan voor de ministeriële
verantwoordelijkheid nader in kaart gebracht dienen te worden. We verwijzen naar hetgeen
in de Hoofdlijnennotitie is gesteld. Wel zijn reeds een aantal noties te onderkennen,
die daarbij een rol dienen te spelen. Allereerst dat – aansluitend bij het door de
Afdeling advisering gemaakte onderscheid in het kader van de TIB-toets – het toezicht,
indien dat bindend is, zich tot rechtmatigheidsvraagstukken dient te beperken en niet
kan zien op beleidsmatige vraagstukken of beleidsmatige aspecten niet zijnde beleidsjuridische
aspecten bij de uitoefening van de taken door de inlichtingen- en veiligheidsdiensten.
Dat betekent naar ons oordeel dat de invulling van de taakstelling van de diensten
(zoals met name neergelegd in de GA), dat bij uitstek een beleidsmatige aangelegenheid
betreft, buiten het rechtmatigheidstoezicht valt. Dat geldt naar ons oordeel evenzeer
voor de besluiten aangaande de samenwerking met inlichtingen- en veiligheidsdiensten
van andere landen, nu dat immers uiteindelijk een beleidsmatige en geen louter juridische
afweging is, waarbij ook aspecten van belang zijn die raken aan de betrekkingen van
Nederland met andere landen. Ergo: het nationale veiligheids- en buitenlands beleid van Nederland behoort tot het domein van de politiek. Voor deze beleidsmatige kwesties
dient de Minister ten volle verantwoordelijkheid te dragen en verantwoording aan het
parlement af te (kunnen) leggen. Daarin kan een toezichthouder niet treden. Bij de
herziening van de Wiv 2017 en de vormgeving van het stelsel van toetsing en toezicht,
zal dan ook – voor zover sprake is van de invoering van bindend toezicht (anders dan
de bestaande TIB-toets) – nadrukkelijk stil dienen te worden gestaan bij de reikwijdte
van dergelijk toezicht en de oordelen die uitgesproken kunnen worden.

De leden van de SGP-fractie lezen dat de beroepsprocedure volgens de regering een
tijdelijk karakter heeft en dat deze ook meer fundamenteel en in zijn geheel zal worden
bezien. Betekent dit, aldus deze leden, dat het een reële optie is om straks te kiezen
voor een alternatief voor de voorgestelde beroepsprocedure of is het risico behoorlijk
dat wordt voortgegaan op een pad dat onder tijdsdruk is ingeslagen en dat mogelijk
niet optimaal is. In reactie op hetgeen deze leden opmerken, willen we als volgt reageren.
De Tijdelijke wet heeft een looptijd van vier jaren en alle daarin opgenomen voorzieningen,
waaronder de beroepsprocedure bij de Afdeling bestuursrechtspraak delen in die tijdelijkheid.
De verwachting is dat binnen die vier jaar de brede herziening van de Wiv 2017 zijn
beslag kan krijgen. De in de Tijdelijke wet opgenomen mogelijkheid van beroep bij
de Afdeling bestuursrechtspraak zal echter bij de brede herziening worden gehandhaafd.
Zoals de ECW terecht heeft geconstateerd bevat de huidige Wiv 2017 een weeffout en
met de beroepsmogelijkheid bij de Afdeling bestuursrechtspraak wordt die weeffout
hersteld; in paragraaf 4.3 van de memorie van toelichting zijn we daarop uitgebreid
ingegaan. Wel is het zo dat in het kader van de herziening van de Wiv 2017 de ervaringen
die met de Tijdelijke wet worden opgedaan, dus ook waar het gaat om de beroepsprocedure,
– voor zover voorhanden – daarbij zullen worden betrokken. Zoals in de memorie van
toelichting echter ook is aangegeven, is de thans voorgestelde regeling inzake beroep
(en de voorlopige voorziening) een regeling sui generis, waarbij elementen zijn ontleend aan de Algemene wet bestuursrecht. De Algemene wet
bestuursrecht is thans niet van toepassing op – kort gezegd – de operationele besluitvorming
van de diensten en al hetgeen daarmee samenhangt; zie artikel 145 Wiv 2017. In het
kader van de herziening van de Wiv 2017 zal nadrukkelijk worden onderzocht of en,
zo ja, op welke wijze de Algemene wet bestuursrecht toch – waarschijnlijk met diverse
uitzonderingen – toepassing kan vinden in het operationele domein van de diensten.
Maar ook of voor het beroep op de Afdeling bestuursrechtspraak aansluiting kan worden
gevonden bij de regeling van (hoger) beroep in de Algemene wet bestuursrecht. In de
Hoofdlijnennotitie wordt daarop nader ingegaan. Het gaat ons echter te ver om dit
te kwalificeren als een fundamentele herziening.

4.2 Bindend toezicht door de afdeling toezicht van de CTIVD

De leden van de D66-fractie vragen aan de regering om aan te geven of er sprake is
van bindend toezicht door de CTIVD op bevoegdheden voor kabelinterceptie. Dat is niet
het geval. Zoals deze leden hebben geconstateerd ontbreekt immers in artikel 12 van
het wetsvoorstel, waarin het bindend toezicht door de afdeling toezicht is geregeld,
de mogelijkheid om bindend toezicht uit te oefenen op de toepassing van artikel 6
van het wetsvoorstel en artikel 48 Wiv 2017. De reden daarvoor is, dat het bestaande
toetsings- en toezichtsstelsel met betrekking tot de uitoefening van deze bevoegdheid
zoals is neergelegd in de Wiv 2027 in essentie ongewijzigd blijft. Zowel voor de thans
expliciet in artikel 6 van het wetsvoorstel geregelde bevoegdheid tot verkenning met
het oog op OOG-interceptie als de interceptie ex artikel 48 Wiv 2017 voor het inlichtingenproces
blijft immers een bindende TIB-toets ex ante van de door de Minister verleende toestemmingen
vereist en kan de CTIVD op de uitvoering van die bevoegdheden niet bindend rechtmatigheidstoezicht
uitoefenen.

De leden van de D66-fractie vragen of de regering een voorbeeldcasus kan geven waarin
de TIB op basis van haar toetsing tot een onrechtmatigheidsoordeel kan komen van de
door de Minister gegeven toestemming voor de inzet van verkenning op de kabel. In
algemene zin kunnen wij het volgende erover opmerken. Een verzoek om toestemming voor
het verkennen ten behoeve van OOG-interceptie wordt onderbouwd aan de hand van de
eisen van noodzaak, proportionaliteit, subsidiariteit. Een op basis van een dergelijk
verzoek verleende toestemming van de voor de dienst verantwoordelijke Minister wordt
voor een rechtmatigheidsoordeel aan de TIB voorgelegd. Daarbij zal de TIB als onafhankelijke
instantie toetsen of de Minister de toestemming rechtmatig heeft verleend. In het
geval de TIB de onderbouwing op één of meerdere van de hiervoor genoemde eisen onvoldoende
acht kan de TIB tot een onrechtmatigheidsoordeel komen. De TIB benoemt in haar openbare
jaarverslagen ook de juridische gronden waarop verzoeken voor toestemmingen van de
Minister voor OOG-interceptie in de verslagperiode onrechtmatig zijn geacht.

De leden van de D66-fractie wijzen erop dat in de Kamerbrief van 31 maart 202343 de Minister van Binnenlandse Zaken en Koninkrijksrelaties schrijft dat zij eraan
hecht te benadrukken dat er geen enkele intentie is om de wijze waarop de TIB thans
de proportionaliteitstoets uitvoert in te perken. Daarbij is aangegeven dat de aanpassing
in de toelichting bij de beoordeling van technische risico’s is doorgevoerd met als
doel te verduidelijken waar (in de nieuwe systematiek) het domein van de TIB ophoudt
en het domein van de CTIVD begint en voorts dat zodra zich een geschikte gelegenheid
voordoet, zij dit in het kader van de parlementaire behandeling van het wetsvoorstel
ook zal verduidelijken. Deze leden vragen of de regering die verduidelijking in de
beantwoording van deze vragen kan geven? En, zo niet, of de regering dan kan aangeven
wanneer uiterlijk deze verduidelijking kan worden verwacht. Wij antwoorden deze leden
graag als volgt. De toetsing van de TIB ziet op de door de Minister verleende toestemming
en voor zover het gaat om de technische risico’s is deze dan ook beperkt tot de bekende
technisch risico’s. Deze bekende technische risico’s kunnen dan ook door de TIB in de door haar uit te voeren proportionaliteitstoetsing
worden betrokken. De afdeling toezicht houdt vervolgens toezicht op de uitvoering
van de bevoegdheid en dus ook op de wijze waarop bekende en nieuwe technische risico’s
zich tijdens de uitvoering concreet voordoen. Daarmee verschuift de bindende ex ante
toets voor andere risico’s dan die welke op moment van toestemmingverlening bekend
zijn naar de fase van dynamisch toezicht door de afdeling toezicht. Ingevolge artikel
12, eerste lid, onder b, van het wetsvoorstel is ook dat toezicht bindend voor zover
dat betrekking heeft op de aan de uitoefening van de bevoegdheid verbonden technische
risico’s. Zoals in de brief aan de voorzitter van de TIB door ons is aangegeven, is
er geen enkele intentie geweest om de wijze waarop de TIB de proportionaliteitstoets
uitvoert in te perken, maar wel om via de toelichting duidelijk te maken dat waar
het gaat om de beoordeling van de technische risico’s in de nieuwe systematiek het
domein van de TIB ophoudt en die van de afdeling toezicht van de CTIVD begint.44 De leden van de SP-fractie vragen de regering of het verschuiven van delen van toetsing
vooraf naar toezicht tijdens een operatie door de CTIVD een vermindering van administratieve
lasten in zal houden. Deze leden zien een verschuiving van vooraf naar tijdens niet
als een wijziging in waarop toezicht wordt gehouden en hoe de diensten hun inzet moeten
verantwoorden en daarmee zien zij niet hoe dit de gewraakte bureaucratische last vermindert.
Zij vragen of de regering kan uitleggen hoe dit zit. De Tijdelijke wet zorgt slechts
in een beperkt aantal gevallen voor een verschuiving van een ex ante toets door de
TIB naar bindend toezicht door de afdeling toezicht ex durante. Zoals we ook in de
memorie van toelichting hebben uiteengezet past dit beter bij de dynamische aard van
onderzoeken naar landen met een offensief cyberprogramma. De administratieve last
die verbonden is aan het voorleggen van door de Minister verleende toestemmingen aan
de TIB en het beantwoorden van de vragen die door de TIB worden gesteld komt met de
verschuiving te vervallen. Dat levert evident minder administratieve lasten op. Na
verleende toestemming door de Minister kan de uitvoering van de bevoegdheid direct
plaatsvinden. De afdeling toezicht kan ex durante de rechtmatigheid daarvan monitoren
en waar ze een onrechtmatigheid meent te constateren dit op uitvoeringsniveau aan
de orde stellen en in overleg met de dienst tot een oplossing daarvoor komen.45 Omdat de afdeling toezicht in het kader van haar toezichthoudende taak rechtstreeks
toegang heeft tot de informatie bij de diensten kan zij in eerste instantie zelf de
hiervoor benodigde informatie verzamelen. De administratieve lasten zijn in dat geval
dan ook naar verwachting lager dan bij een TIB-toets.

De leden van de SP-fractie vragen waarom de regering niet eerlijk aangeeft dat de
CTIVD geen bindend toezicht krijgt op bulkinterceptie-operaties. Het lijkt ons dat
uit het wetsvoorstel en de daarop gegeven toelichting blijkt dat de afdeling toezicht
van de CTIVD ter zake geen bindend toezicht kan uitoefenen. Voor zover de vraag van
deze leden erop ziet waarom dat niet zo is, verwijzen we naar ons antwoord op de vragen
ter zake van de leden van de D66-fractie aan het begin van deze paragraaf.

De leden van de PvdA-fractie valt het op dat in artikel 12 van het wetsvoorstel, waarin
de bindende toezichtsbevoegdheid van de afdeling toezicht is geregeld, staat dat indien
de CTIVD van mening is dat er sprake is van onrechtmatigheid het de Minister «kan»
informeren. Betekent dit, aldus deze leden, dat de CTIVD er ook voor kan kiezen om
onrechtmatigheden niet te melden en in stand te laten. Voorts vragen zij wat dat betekent
als een bevoegdheid onrechtmatig is gebruikt, op grond van welke overwegingen een
onrechtmatigheid niet gemeld hoeft te worden en waarom de CTIVD onrechtmatigheden
niet moet melden. In antwoord op deze set met elkaar samenhangende vragen, merken
wij het volgende op. Het klopt dat ingeval de afdeling toezicht een (vermeende) onrechtmatigheid
bespeurt, die niet verplicht hoeft te melden aan de voor de dienst verantwoordelijke
Minister. Dat is niet zo vreemd. Toezichthouders hebben immers over het algemeen een
zekere vrijheid bij de uitvoering van de hen opgedragen toezichthoudende taak en kunnen
daar – binnen de grenzen die de wetgever stelt – ook een eigen beleid in ontwikkelen.
Dat is bij het rechtmatigheidstoezicht in het kader van de toepassing van de Wiv 2017
en de Wet veiligheidsonderzoeken niet anders. Zoals ook in de artikelsgewijze toelichting
op artikel 12 is aangegeven, zal in de praktijk naar verwachting pas tot een mededeling
aan de Minister van een geconstateerde onrechtmatigheid komen indien niet in de reguliere
contacten tussen de toezichthouder en de diensten op werkniveau een geconstateerde
onrechtmatigheid kan worden weggenomen.46 Daar komt bij dat er onrechtmatigheden in gradaties kunnen optreden en het zou te
ver voeren indien reeds een kleine overtreding van een regel door de AIVD of de MIVD
al tot een mededeling als bedoeld in artikel 12, eerste lid, van de wet zou moeten
leiden. Toepassing van artikel 12, eerste lid, brengt immers ook een hele procedure
op gang: eerst voorlopig oordeel uitbrengen, al dan niet met vermelding van de daaraan
te verbinden gevolgen, reactie van de Minister, vaststellen definitief oordeel en
de daaraan te verbinden gevolgen en – mogelijk – ook nog een gang naar de Afdeling
bestuursrechtspraak. Deze procedure, waarbij ook veel beslag wordt gelegd op de capaciteit
van de toezichthouder als de diensten, moet naar ons oordeel gereserveerd blijven
voor onrechtmatigheden die enige substantie hebben; uiteraard ter beoordeling aan
de afdeling toezicht.

De leden van de GroenLinks-fractie lezen dat het toezicht enigszins verschuift van
de TIB naar de CTIVD. Om deze verschuiving ten opzichte van de huidige wet beter te
kunnen begrijpen vragen deze leden de regering om ten aanzien van deze aanpassingen
binnen het toezicht een concreet (fictief) voorbeeld te beschrijven zoals het toezicht
nu verloopt, waar de concrete knelpunten in de praktijk worden ervaren en hoe in hetzelfde
(fictieve) voorbeeld het toezicht onder de voorliggende wet zal verlopen en op welke
wijze hierbij de in de praktijk ervaren knelpunten worden opgelost.

Een van de terreinen waarop is beoogd een verschuiving van toezicht te realiseren
is op het gebied van de beschrijving van technische risico’s die gepaard gaan met
de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd werk. Op dit
moment is er een spanningsveld ontstaan tussen de dynamiek van de uitvoering van de
bevoegdheid tot binnendringen in een geautomatiseerd werk en de statische ex ante
toetsing van de TIB voorafgaand aan de inzet van deze bevoegdheid. Er worden door
de TIB eisen gesteld aan de voorafgaande beschrijving van de technische risico’s waar
de diensten niet aan kunnen voldoen. Hierdoor hebben de diensten operaties niet kunnen
uitvoeren of kunnen voortzetten. Voorafgaand aan een toestemmingsperiode van drie
maanden is het niet mogelijk om te voorspellen welke handelingen precies nodig zullen
zijn om het met de inzet van de bevoegdheid tot binnendringen in een geautomatiseerd
werk beoogde doel te bereiken. Ook is vooraf vaak nog onbekend binnen welke context
zal moeten worden geopereerd, bijvoorbeeld of er sprake is van een target dat veiligheidsbewust
is en maatregelen neemt waarmee de diensten bij de uitvoering van de bevoegdheid rekening
moeten houden teneinde risico’s te beperken dan wel te mitigeren. Doordat zowel de
benodigde handelingen als de context vooraf niet of slechts zeer beperkt vooraf bekend
zijn, is het niet mogelijk op basis daarvan de technische risico’s concreet te omschrijven
in een verzoek om toestemming. Voornoemde beperkingen brengen met zich mee dat de
omschrijving van de technische risico’s voorafgaand aan de inzet van de bevoegdheid
een beperkte waarborgfunctie toekomt. Tot deze conclusie kwamen zowel de CTIVD als
de Evaluatiecommissie van de Wiv 2017 al eerder. De beschrijving zal beperkt moeten
blijven tot hetgeen op het moment van schrijven van het verzoek om toestemming bekend
is, en zal geen (technische) details kunnen bevatten, maar op een passend abstract
niveau moeten worden geformuleerd. Een ander concreet knelpunt komt voort uit de invulling
van de rechtmatigheidstoets door de TIB op het gebied van de technische risico’s.
Reeds eerder is in de parlementaire behandeling van de Wiv 2017 aangegeven dat het
niet de taak is van de TIB om de risico’s van grootschalige, abstract aangeduide en
technisch complexe operaties in te schatten. Een dergelijke inschatting behoort tot
de operationele verantwoordelijkheid van de diensten en de daarvoor verantwoordelijke
Ministers. In de praktijk zal deze inschatting aan de orde komen bij de vraag of de
bijzondere bevoegdheid voor uitoefening in aanmerking komt gelet op de operationele,
veiligheidsrisico’s die daaraan verbonden zijn; dat is een andere afweging dan die
waarvoor de TIB zich gesteld ziet, die immers de rechtmatigheid toetst indien – naar
aanleiding van de hiervoor geschetste afweging – tot de uitoefening van een bijzondere
bevoegdheid is besloten.47 Concreet betekent dit, dat de Ministers zullen moeten worden voorzien van informatie
zodat zij in staat worden gesteld om de ingeschatte risico’s mee te wegen. De TIB
toetst vervolgens of de betrokken Minister op basis van de gegeven inschatting en
het laten meewegen daarvan in het kader van de proportionaliteit op rechtmatige wijze
tot het geven van toestemming heeft kunnen komen. De voornoemde invulling van de rechtmatigheidstoets
en de beperkte waarborgfunctie van de vooraf te geven beschrijving van de technische
risico’s brengen met zich mee dat het uitoefenen van toezicht op de inzet van de bevoegdheid
tot binnendringen in een geautomatiseerd werk en de inschatting van en de omgang met
de technische risico’s beter past bij een ex durante toets.

De leden van de PvdD-fractie lezen dat bij de constatering van een onrechtmatigheid
er – op grond van artikel 12, tweede lid – twee opties bestaan, namelijk beëindiging
van de desbetreffende bevoegdheid en/of de verwijdering en vernietiging van de bij
de uitvoering daarvan verwerkte gegevens. Zij hebben hier enkele vragen over. Allereerst
of de aanname klopt dat het alleen om verwerkte gegevens gaat en – aldus deze leden
– bulkdata buiten beschouwing blijft. Naar wij aannemen is deze vraag ingegeven door
hetgeen in de artikelsgewijze toelichting is gesteld met betrekking tot het bindend
toezicht op GDA op OOG-metadata, namelijk dat de verwijdering en vernietiging niet
ziet op de in de GDA betrokken gegevens maar uitsluitend op de uit de toegepaste GDA-methodiek
voortvloeiende gegevens (de resultaten).48Die aanname is juist. De bulkdata die bij GDA op OOG-metadata worden betrokken, zijn
allereerst de metadata verkregen via een rechtmatig bevonden OOG-interceptie ex artikel
48 Wiv 2017 en voorts de bulkdatasets die door toepassing van andere aan de dienst
toekomende bevoegdheden (algemeen en bijzonder, dan wel via verkrijging van een collegadienst)
zijn verworven. Het bindend toezicht heeft geen betrekking op de verwerving van die
bulkdatasets. Het bindend toezicht heeft uitsluitend betrekking op de toegepaste methodiek
van GDA. Is die methodiek (bevoegdheid) onrechtmatig bevonden en heeft de afdeling
toezicht daaraan het gevolg verbonden dat die bevoegdheid dient te worden beëindigd,
dan kan het daaraan te koppelen gevolg – namelijk de verwijdering en vernietiging
van bij de uitvoering verwerkte gegevens – alleen betrekking hebben op de gegevens
die door toepassing van de betreffende GDA zijn gegenereerd; dus niet op de daarbij
gebruikte bulkdatasets. Artikel 50, vierde lid, Wiv 2017 waarop het bindend toezicht
binnen de reikwijdte van het wetsvoorstel betrekking heeft ziet immers uitsluitend
op het verkrijgen van toestemming van de Minister voor de toepassing van een nader aan te duiden vorm van GDA met een aanduiding van de daarbij te betrekken
bulkdatasets (gegevensbestanden). Het bindend toezicht komt hier in de plaats van
de ex ante bindende toets door de TIB, welke zich bij haar toetsing ook tot het object
van toestemming – namelijk het mogen toepassen van GDA – dient te beperken. De leden
van de fractie van de PvdD-fractie vragen voorts wat dit betekent voor data die mogelijk
al met buitenlandse diensten is gedeeld. Het antwoord op deze vraag luidt dat het
geen betekenis heeft. Immers, dat valt niet onder de reikwijdte van het bindend toezicht
in artikel 12 van het wetsvoorstel. Op de verstrekking door de AIVD en MIVD van gegevens,
al dan niet in de vorm van bulkdata, geldt het reguliere rechtmatigheidstoezicht door
de afdeling toezicht op grond van de Wiv 2017. Dat toezicht is beperkt tot wat onder
Nederlandse jurisdictie valt en dus niet op de (verdere) verwerking van de ontvangen
bulkdatasets door de desbetreffende buitenlandse diensten. Immers omgekeerd geldt
hetzelfde: buitenlandse toezichthouders hebben ook geen jurisdictie met betrekking
tot de verwerking van bulkdatasets door de AIVD of MIVD die deze van een dienst van
het land waarin de desbetreffende toezichthouder jurisdictie heeft, heeft verkregen.

De leden van de SGP-fractie vragen waarom het wetsvoorstel slechts facultatief regelt
dat de afdeling toezicht een oordeel over onrechtmatigheid kan melden aan de Minister.
Waarom, aldus deze leden, zou in situaties van onrechtmatigheid niet een verplichting
tot melden moeten gelden. Voor het antwoord op deze vraag verwijzen we deze leden
naar ons antwoord op een vergelijkbare vraag van de leden van de fractie van de PvdA.
Waar het gaat om hun vraag hoe het contrast te verklaren is met de regeling voor de
TIB, die bepaalt dat deze terstond het oordeel dient te melden dat de toestemming
ten onrechte is verleend, merken we het volgende op. Wij nemen aan dat deze leden
met hun vraag doelen op het bepaalde in artikel 3, eerste lid, van het wetsvoorstel,
waarbij de TIB met betrekking tot de aan haar voorgelegde toestemming haar oordeel
dat met betrekking tot die toestemming ten onrechte is bepaald dat daarmee uitvoering wordt gegeven aan de Tijdelijke wet, terstond mededeling dient te doen aan de desbetreffende Minister. Allereerst ziet
het hier bedoelde oordeel van de TIB niet op de toestemmingverlening als zodanig maar
op het feit dat in dat kader tevens is bepaald dat de Tijdelijke wet van toepassing
is (zie ook artikel 2, derde lid). Aan dat oordeel verbindt de wet het rechtsgevolg
dat de Tijdelijke wet niet van toepassing is en de TIB bij de door haar uit te voeren
rechtmatigheidstoets het bepaalde in de Tijdelijke wet buiten toepassing laat. Indien
vervolgens de verleende toestemming door de TIB rechtmatig wordt geoordeeld kan de
dienst de betreffende bevoegdheid uitsluitend uitvoeren overeenkomstig het bepaalde
in de Wiv 2017 en derhalve zonder toepassing van de in de Tijdelijke wet voorziene
aanvullingen en afwijkingen ten opzichte van de Wiv 2017. Dat werkt direct door in
de mogelijkheden van de dienst bij het verrichten van onderzoek. Gelet op het feit
dat de TIB belast is met een bindende ex ante toets, waarbij een rechtmatigheidsoordeel voorwaardelijk is voor het kunnen toepassen
van een bevoegdheid, is het voor de dienst van belang dat ze terstond wordt geïnformeerd
door de TIB indien deze de Tijdelijke wet niet van toepassing acht opdat – indien
de Minister dat aangewezen acht – tegen het oordeel van de TIB beroep bij de Afdeling
bestuursrechtspraak kan worden ingesteld. Het is immers van het grootste belang dat
zo snel mogelijk duidelijkheid komt over de toepasselijkheid van de Tijdelijke wet
en daarmee het toepasselijke wettelijke kader waarbinnen de diensten hun onderzoek
en bevoegdheden kunnen uitoefenen. Dat is ook van belang voor toezicht door de afdeling
toezicht die immers ook duidelijkheid moet hebben of de regeling inzake het bindend
toezicht zoals voorzien in de Tijdelijke wet van toepassing is.

De leden van de Volt-fractie merken op dat het bindend toezicht – zoals bedoeld in
de Tijdelijke wet – een grote verandering is ten opzichte van de huidige toezichtspraktijk.
In beginsel zijn deze leden van mening dat het toezicht vooraf beter is, voor zover
het mogelijk is om effectief toezicht te houden vooraf. Door het weghalen van het
toezicht vooraf ontstaat, aldus deze leden, de situatie waarin mogelijk gegevens worden
verzameld of praktijken worden uitgehaald die niet rechtmatig zijn. Dat kun je volgens
deze leden dan stopzetten en/of laten verwijderen, maar dan is het kwaad al geschied.
Deze leden vragen of de regering van mening is dat het toezicht met deze wet zo is
ingericht dat de diensten daadwerkelijk en onverwijld gestopt kunnen worden door de
toezichthouder als de toezichthouder van oordeel is dat de bevoegdheid onrechtmatig,
ondoelmatig of buitenproportioneel wordt ingezet. Allereerst zouden wij willen opmerken
dat de ex ante toets door de TIB – wat deze leden aanduiden als toezicht vooraf –
in het kader van de Tijdelijke wet op een zeer beperkt aantal gevallen komt te vervallen
en wordt vervangen door de mogelijkheid van bindend toezicht op de uitoefening van
de desbetreffende bevoegdheden door de diensten door de afdeling toezicht van de CTIVD
(toezicht ex durante).49 Dat bindend toezicht is rechtmatigheidstoezicht, waarvan proportionaliteit een onderdeel
vormt. Ondoelmatigheid maakt geen onderdeel uit van de rechtmatigheidstoets en daarop
ziet de afdeling toezicht dan ook niet toe. De uitoefening van het bindend toezicht
door de afdeling toezicht dient op zorgvuldige wijze plaats te vinden gelet op de
effecten die het kan hebben op de taakuitvoering van de diensten. Vandaar dat in artikel
12 van het wetsvoorstel is opgenomen dat indien de afdeling toezicht tot het voorlopige
oordeel komt dat de toepassing door de diensten van de in artikel 12, eerste lid,
bevoegdheden, onrechtmatig is, deze – met de gevolgen die de afdeling daaraan wil
verbinden – aan de verantwoordelijke Minister kan worden medegedeeld. De Minister
wordt daarmee in de gelegenheid gesteld om daarop binnen een korte termijn van drie
dagen te reageren, waarna de afdeling toezicht het oordeel en de daaraan te verbinden
gevolgen definitief kan vaststellen. Binnen drie dagen na ontvangst van het vastgestelde
oordeel dient de Minister daaraan uitvoering te geven. Tegen het oordeel staat beroep
open bij de Afdeling bestuursrechtspraak, maar dat beroep heeft geen schorsende werking.
Wel kan een voorlopige voorziening worden aangevraagd. Kort en goed: het bindend toezicht
heeft als effect dat er daadwerkelijk bij onrechtmatig handelen van de diensten kan
worden ingegrepen en dat onrechtmatig handelen dus kan worden gestopt, maar dat dit
vanwege de zorgvuldigheid van de besluitvorming ter zake niet onverwijld kan plaatsvinden.

Deze leden vragen ten slotte of de regering in het kader van het vorige punt concrete
informatie heeft over hoeveel tijd de wijziging zal besparen en of de regering kan
aangeven hoeveel tijd er nu, zonder Tijdelijke wet, wordt verloren. De voorgestelde
wijzigingen beogen dat bijzondere bevoegdheden effectiever kunnen worden ingezet,
zodat de noodzakelijke snelheid en wendbaarheid in het cyberdomein wordt bewerkstelligd.
Zo wordt die snelheid en wendbaarheid onder meer gehaald met de voorgestelde maatregelen
met betrekking tot de bijschrijfmogelijkheden, nu die ertoe leiden dat – anders dan
thans het geval is – niet telkens eerst een toestemmingstraject met toets door de
TIB dient te worden afgelegd. Het stelsel van toets en toezicht moet daarop aansluiten.
Met de voorgestelde wijzigingen in het stelsel van toetsing en toezicht gaat het niet
primair om de vraag of daarmee effectiviteitswinst wordt behaald, maar om de voorgestelde
tijdelijke voorzieningen in aanvulling op dan wel in afwijking van de Wiv 2017 met
adequate waarborgen te omgeven. Zoals eerder in deze nota naar aanleiding van het
verslag is aangegeven zal bij de verschuiving van bepaalde onderdelen van de fase
van ex ante toets naar die van ex durante er aan de voorkant sprake zijn van minder
administratieve lasten. Hier staat tegenover dat er een toename van administratieve
lasten zal zijn vanwege de toenemende rol van de CTIVD in het kader van de uitvoering
van dynamisch en bindend toezicht.

4.3 Beroep op de Afdeling bestuursrechtspraak

De leden van de D66-fractie vragen waarom niet is gekozen voor de mogelijkheid om
een prejudiciële vraag te stellen aan de Afdeling bestuursrechtspraak in plaats van
een volledige rechtsgang bij de Afdeling bestuursrechtspraak. Ook vragen zij welke
voor- en nadelen de regering daarbij in overweging heeft genomen. Meer specifiek vragen
deze leden waarom het stellen van prejudiciële vragen niet afdoende is als de weeffout
– volgens de memorie van toelichting – vooral in de uitleg van begrippen, criteria
en de wijze waarop toezichthouders daaraan toetsen, ligt. Zoals in de memorie van
toelichting reeds is aangegeven, zijn in het kader van de ex ante toets door de TIB
de afgelopen jaren meermaals soms fundamentele verschillen van inzicht ontstaan over
de uitleg en reikwijdte van wettelijke begrippen maar ook over de wijze waarop de
vereisten van noodzaak, proportionaliteit, subsidiariteit en gerichtheid in de aanvragen
moeten worden beschreven. Op dit moment heeft de TIB hierin het laatste woord en is
niet voorzien in een vorm van (rechterlijk) beroep. De ECW ziet dit als een weeffout
in het stelsel van toezicht50. De uitleg van wettelijke begrippen, de invulling van toetsingsnormen en de intensiteit
van de toetsing is bij uitstek een rechterlijke taak. Wij hebben dit standpunt in
onze (eerste) reactie op het rapport van de ECW onderschreven en geven daaraan in
dit wetsvoorstel (reeds) uitwerking.

Waar het gaat om de prejudiciële procedure merken we het volgende op. Een prejudiciële
procedure bestaat thans alleen in het civiele recht en wat het bestuursrecht betreft
alleen in het belastingrecht.51 Kern van de prejudiciële procedure is – kort gezegd – het in een rechterlijke procedure
versneld verkrijgen van een finaal rechterlijk standpunt van de hoogste rechter over
een rechtsvraag die vervolgens in zaken waarin dezelfde rechtsvraag speelt, toegepast
kan worden. Het belangrijkste bezwaar tegen de invoering van een prejudiciële procedure
in het Wiv-domein is het gegeven dat in een prejudiciële procedure een lagere rechter in een bij hem aanhangige zaak een oordeel kan vragen aan de hoogste rechter. Zowel
de Minister als de TIB en de CTIVD zijn geen rechterlijke instanties en kunnen om
deze reden dus geen prejudiciële vragen stellen. Het inrichten van een prejudiciële
procedure zou dus een herbezinning vergen van bestaande taken, bevoegdheden en positionering
van de betrokken partijen alsmede de beroepsgang en daarmee feitelijk van het gehele
stelsel van toetsing en toezicht en de inrichting van de rechtsbescherming. Dat gaat
het bestek van dit wetsvoorstel te buiten. Met een prejudiciële procedure kunnen parallelle
procedures bij meerdere instanties met vergelijkbare rechtsvragen worden voorkomen.
Daarmee wordt rechtsongelijkheid beperkt en rechtseenheid bevorderd. In de procedures
op grond van dit wetsvoorstel spelen deze argumenten geen rol. Er is geen sprake van
een procedure in meerdere instanties en het aantal procespartijen is zeer beperkt:
het betreft twee Ministers en de TIB en CTIVD. Dit is wezenlijk anders in het algemene
bestuursrecht en het civiele recht waar zaken in beginsel bij elke rechtbank en bij
elke rechter aangebracht kunnen worden en waar de mogelijkheid op verschillende uitkomsten
in vergelijkbare zaken groter is. Al deze aspecten, leiden tot de conclusie dat de
thans voorgestelde beroepsprocedure het best aansluit bij de wens om te voorzien in
een vorm van een rechterlijke toets waar het gaat om de oordelen die in het kader
van het bindend toezicht door de afdeling toezicht van de CTIVD tot stand komen en
de oordelen van de TIB op grond van dit wetsvoorstel zonder dat hiervoor fundamentele
wijzigingen in de aard en de positie van de betrokken organisaties nodig zijn. Bij
de herziening van de Wiv 2017 zal het gehele stelsel van toetsing en toezicht opnieuw
bezien worden. Daarbij zullen ook de ervaringen die worden opgedaan bij de toepassing
van de beroepsprocedure worden betrokken.

De leden van de D66-fractie vragen tot slot ook in te gaan op de uitspraak dat het
voorstel een beperkte rechtsstatelijke betekenis heeft, nu de burger dezelfde rechtsgang
niet kan bewandelen. Hoewel het beroep in de regel zal gaan om de uitoefening van
bevoegdheden die een inbreuk maken op de persoonlijke levenssfeer van burgers, is
de burger geen (proces)partij. Vanwege het staatsgeheime karakter van de werkzaamheden
van de diensten, zullen burgers ook niet op de hoogte zijn van het feit dat zij (mogelijk)
onderwerp zijn van onderzoek. De beroepsprocedure voorziet primair in de wens om relatief
snel een finaal rechterlijk oordeel te krijgen over bepaalde bindende oordelen van
de TIB en de CTIVD en beoogt geen (aanvullende) vorm van rechtsbescherming te bieden.
Wel bestaat op grond van de Wiv 2017 voor de burger de mogelijkheid om een klacht
in te dienen bij de afdeling klachtbehandeling van de CTIVD die is belast met het
onderzoeken en beoordelen van klachten en van meldingen van vermoedens van misstanden.
De afdeling klachtbehandeling is een onafhankelijke en zelfstandige klachtinstantie
die diepgaand onderzoek kan doen en bindende oordelen kan geven.

De leden van de CDA-fractie vragen of de regering het eens is met prof. mr. P.P.T.
Bovend’Eert dat een procedure in twee instanties de positie van de TIB in het stelsel
van toezicht aanzienlijk zou verzwakken. Ook vragen zij hoe de regering de suggestie
beoordeelt om bij een verschil van inzicht met de TIB een prejudiciële vraag voor
te leggen aan de Afdeling bestuursrechtspraak, die deze vraag dan bindend beantwoordt.
Wij merken hier het volgende over op. In het stelsel dat prof. Bovend’Eert c.s. heeft
voorgesteld wordt de TIB als een rechterlijke instantie gepositioneerd en is met de
mogelijkheid van beroep van de Afdeling bestuursrechtspraak derhalve sprake van een
procedure in twee instanties. De TIB is echter geen rechterlijke instantie en dus
van een procedure in twee instantie is in dat opzicht geen sprake. Ook zien we niet
in dat de beroepsprocedure als zodanig gevolgen heeft voor de positie van de TIB.
De TIB kan nog steeds bindend oordelen en een onrechtmatigheidsoordeel betekent nog
steeds dat de bevoegdheid niet kan worden uitgeoefend of voortgezet. Het beroep heeft
immers geen schorsende werking. Het beroep voorziet in een thans ontbrekende vorm
van geschillenbeslechting waarin de rechter het laatste woord krijgt bij verschillen
van inzicht tussen de Ministers en de TIB of de CTIVD. Onafhankelijke rechterlijke
geschillenbeslechting is een belangrijk kenmerk van een democratische rechtsstaat
en doet op geen enkele wijze afbreuk aan de positie van de betrokken partijen.

Zoals hiervoor aangegeven in antwoord op de vraag van de leden van de D66-fractie,
is een prejudiciële procedure niet mogelijk omdat in de procedures op grond van de
Wiv 2017 (in samenhang met de Tijdelijke wet) de rechter geen rol heeft. Het inrichten
van een prejudiciële procedure zou een herbezinning vergen van het gehele stelsel
van toetsing en toezicht en dat gaat het bestek van dit wetsvoorstel te buiten. Tot
slot is het aantal betrokken partijen minimaal waardoor de bevordering van de rechtseenheid,
een belangrijk kenmerk van een prejudiciële procedure, geen rol speelt.

De leden van de SP-fractie vragen of bij een beroep van de diensten bij een afwijzing
door de TIB opnieuw alle informatie die hoort bij een operatie moet worden overlegd
aan de Afdeling bestuursrechtspraak van de Raad van State en hoe in deze procedure
het staatsgeheime karakter van de informatie die wordt gedeeld wordt gewaarborgd.
Bij de indiening van het beroepsschrift worden alle relevante gegevens (vertrouwelijk)
aan de Afdeling bestuursrechtspraak verstrekt. De betreffende Minister bepaalt als
indiener van het beroepsschrift in eerste instantie welke gegevens dit zijn. De TIB
ontvangt een afschrift van deze stukken en kan bij indiening van het verweerschrift
eventuele aanvullende gegevens verstrekken. Daarnaast kan ook de Afdeling beide partijen
verzoeken om aanvullende gegevens te verstrekken. Op deze manier wordt gewaarborgd
dat alle relevante gegevens onderdeel uitmaken van het dossier. Om het staatsgeheime
karakter van de gegevens te waarborgen, zullen technische en organisatorische maatregelen
worden getroffen. Overigens heeft de Afdeling bestuursrechtspraak reeds ervaring met
AIVD- en MIVD-gerelateerde zaken en de omgang met staatsgeheime informatie die daaraan
inherent verbonden is. Dit is een belangrijk argument om de Afdeling bestuursrechtspraak
te belasten met de geschillenbeslechting zoals thans voorgesteld.

Ook vragen de leden van de SP-fractie of de met het beroep beoogde helderheid over
afwegingskaders voor de inzet van bevoegdheden niet uit de wet en de bedoeling van
de wetgever zou moeten volgen. De Wiv 2017 schept de kaders waarbinnen de diensten
opereren waarbij de documenten uit de wetsgeschiedenis, zoals de in het kader van
de parlementaire behandeling gewisselde stukken en de memorie van toelichting in het
bijzonder, behulpzaam kunnen zijn bij eventuele interpretatiekwesties. Deze documenten
moeten immers beschouwd worden als standpunt van de wetgever ten tijde van de totstandkoming.
De wetgever kan op onderdelen van het wetsvoorstel in deze stukken voorzien in uitleg,
context en duiding of deze juist open laten. Als de invulling of concretisering niet
rechtstreeks uit de wet valt af te leiden en de wetsgeschiedenis geen aanknopingspunten
biedt, wordt de concrete invulling overgelaten aan de praktijk. Daarbij kunnen (juridische)
verschillen van inzicht ontstaan waarbij het gebruikelijk is om de rechter daarin
het laatste woord te geven. De rechter zal dan uiteindelijk via zijn uitleg zelf de
wet (nader) concretiseren, aanvullen of verfijnen alvorens hij deze kan toepassen.
Dit proces van rechtsvorming waarborgt ook dat de rechter kan meebewegen met toekomstige
ontwikkelingen. De wetgever kan immers niet alle toekomstige situaties overzien, laat
staan regelen.

De leden van de SP-fractie geven aan het niet alleen een rare maar ook onwenselijke
figuur te vinden dat de Raad van State uitspraken kan doen in een soort «hoger beroep»
inzake een afwijzing. Hiermee zou, aldus deze leden, de regering het doen voorkomen
dat de TIB onzorgvuldig te werk zou gaan. Zij vragen welke aanwijzingen de regering
daarvoor heeft en of de TIB volgens de regering teveel verzoeken afwijst. Ook vragen
zij welk percentage afwijzingen de regering wenselijk zou vinden. Wij zijn niet van
opvatting dat de TIB onzorgvuldig te werk gaat. Zoals de ECW heeft aangegeven kent
het huidige stelsel van toetsing en toezicht een weeffout. Momenteel hebben de toezichthouders
niet alleen het laatste woord in een concrete casus, maar ook wat betreft de uitleg
van begrippen en criteria, en de wijze waarop zij hieraan toetsen. Dat heeft in de
afgelopen jaren verschillende malen tot knelpunten geleid. In de context van onderzoeken
naar landen met een offensief cyberprogramma heeft dat geleid tot knelpunten aangaande
de inzet van met name de bijzondere bevoegdheden ex artikel 45 (bevoegdheid tot binnendringen
in een geautomatiseerd werk) en 48 (OOG-interceptie) van de Wiv 2017. Daarom regelt
dit wetsvoorstel een beroepsprocedure bij de Afdeling bestuursrechtspraak van de Raad
van State (artikel 13). Zo kan tot een gezaghebbende en eenduidige wetsuitleg worden
gekomen. Er is voorts geen aanleiding te veronderstellen dat de TIB te veel verzoeken
afwijst. Uit het meest recente jaarverslag van de TIB blijkt dat de TIB in 2022 in
2,3% van de gevallen een onrechtmatigheidsbeslissing heeft genomen. Er kunnen echter
geen conclusies verbonden worden aan aantallen of percentages. Een onrechtmatigheidsoordeel
kan immers tot gevolg hebben dat onderzoeken niet kunnen worden opgestart, niet kunnen
worden voortgezet of zelfs dat bepaalde toestemmingen helemaal niet meer aangevraagd
worden. Juist in die gevallen heeft de beroepsprocedure toegevoegde waarde.

De leden van de SP-fractie vinden het logisch dat bij een geschil over de uitleg van
de wet en de bevoegdheden van de diensten juist de Minister of regering een oordeel
velt en vragen waarom niet voor die werkwijze is gekozen in plaats van de Afdeling
bestuursrechtspraak partij te maken. Vooropgesteld wordt dat bij een geschil over
de uitleg van de wet de verantwoordelijke Minister altijd eerst in overleg zal treden
met de TIB of de CTIVD zoals dat nu ook gebruikelijk is. Echter bij het geschil dat
ontstaat over de uitleg van de wet is de Minister, immers als verantwoordelijke voor
een van de diensten, ook partij en de wetgever heeft er niet in voorzien dat de Minister
in die gevallen dan de uitleg van de wet vaststelt. Dat doet in de praktijk de TIB
(of de CTIVD) en, zoals de ECW ook heeft geconcludeerd en de praktijk uitwijst, leidt
dit tot impasses met gevolgen voor de taakuitvoering door de diensten en daarmee voor
de nationale veiligheid. Om die impasses te doorbreken is beroep op – in casu – de
Afdeling bestuursrechtspraak aangewezen. Daarmee wordt, zoals de ECW aangeeft, een
weeffout in de Wiv 2017 hersteld. Zoals hiervoor aangegeven in antwoord op de vraag
van de leden van de CDA-fractie is het een belangrijk rechtstatelijk beginsel dat
een uiteindelijk oordeel over de uitleg of toepassing van de wet is voorbehouden aan
de onafhankelijke rechter. Dit laat onverlet dat de Minister altijd het initiatief
kan nemen om de wet te wijzigen om (meer) duidelijkheid te creëren. Echter, voor de
dynamische operationele praktijk van de diensten is een langdurig wetgevingsproces
vaak niet de meest gewenste oplossing.

De leden van de SP-fractie vragen ook een uitgebreide toelichting over welke kennis
en expertise de Afdeling bestuursrechtspraak bezit op het gebied van cyberoperaties
van derde landen. Wij willen deze leden allereerst verwijzen naar ons antwoord op
de vraag van de leden van de PvdA-fractie naar de bij de Afdeling bestuursrechtspraak
aanwezige kennis en vaardigheden voor de aan haar opgedragen taak (zie paragraaf 4.1
van deze nota naar aanleiding van het verslag). In aanvulling daarop merken wij nog
het volgende op. De Afdeling bestuursrechtspraak zal naar verwachting vooral oordelen
over de toepassing van de wet en de uitleg van wettelijke begrippen. Dit gebeurt weliswaar
in de context van inlichtingenonderzoeken naar landen met een offensief cyberprogramma,
maar specifieke kennis en expertise van de cyberoperaties van de desbetreffende landen
is daarvoor niet (altijd) noodzakelijk. De beroepsregeling voorziet overigens in de
mogelijkheid om externe deskundigen te benoemen en een persoon als deskundig lid toe
te voegen aan de meervoudige kamer die het beroep behandelt. Op deze wijze kan de
Afdeling beschikken over alle kennis en expertise die zij nodig acht voor de behandeling
van de zaak.

De leden vragen tevens naar wat is besproken tijdens het vooroverleg met de voorzitter
van de Afdeling bestuursrechtspraak over dit wetsvoorstel, welke randvoorwaarden zijn
afgestemd, welke toezeggingen zijn gedaan en met welke argumenten de regering een
beroep heeft gedaan op de Raad van State voor deze rol in operaties van de geheime
diensten. Zoals aangegeven in de beantwoording van de Kamervragen van het lid Leijten52 heeft in de voorbereidende fase overleg plaatsgevonden met de voorzitter van de Afdeling
bestuursrechtspraak omdat in het voorstel voor de Tijdelijke wet een nieuwe beroepsprocedure
bij de Afdeling bestuursrechtspraak wordt geïntroduceerd. Daarbij is het (destijds
meest recente) concept van de beroepsregeling besproken en toegelicht waarbij de Afdeling
bestuursrechtspraak (procesrechtelijke) suggesties heeft gedaan voor aanvulling of
verduidelijking. Ook is in algemene zin gesproken over de eventuele financiële en
organisatorische gevolgen. Met uitzondering van enkele procedurele afspraken over
het vervolgproces zijn geen toezeggingen gedaan.

Tot slot vragen deze leden te reageren op de analyse van de commissie Bovend’Eert
over het externe toezicht en zij vragen waarom de regering wél tot het oordeel komt
dat de huidige vormgeving voldoet aan de vereisten van de Europese rechtspraak. Wij
merken ter zake het volgende op. In hun advies concluderen de hoogleraren Bovend’Eert,
Lawson en Winter dat de huidige inrichting van het stelsel van toezicht in de Wiv
2017 in het algemeen voldoet aan de vereisten in de rechtspraak van het EHRM. Hoewel
er geen dwingendrechtelijke aanleiding voor is, zien zij wel aanleiding om op onderdelen
tot aanpassingen te komen. Het advies en de daaraan verbonden aanbevelingen zullen
tezamen met de aangenomen moties over toetsing en toezicht worden betrokken bij de
herziening van de Wiv 2017. Zie ook hetgeen is gesteld in de Hoofdlijnennotitie.

De leden van de ChristenUnie-fractie vragen de regering of er bij de totstandkoming
van de Wiv 2017 of daarna is gesproken over de introductie van een dergelijke beroepsmogelijkheid
of op een ander moment is overwogen deze te introduceren. Indien het antwoord bevestigend
is, vragen deze leden in te gaan op de overwegingen waarom daarvan is afgezien en
het moment waarop de behoefte ontstond om een dergelijke beroepsmogelijkheid in het
leven te roepen. Bij de totstandkoming van de Wiv 2017 is – voor zover kon worden
nagegaan – de introductie van de mogelijkheid van beroep tegen de bindende oordelen
van de TIB bij de Afdeling bestuursrechtspraak niet aan de orde geweest. Dat was blijkbaar
geen issue en er zijn dan ook geen bijzondere overwegingen te geven waarom daarvan
is afgezien. Pas na de totstandkoming van de Wiv 2017 is gelet op de opgedane ervaringen
met de TIB-toets de wenselijkheid van beroep tegen de bindende oordelen van de TIB
manifest geworden. De ECW staat daar in het rapport ook bij stil.

Ook vragen deze leden hoe vaak de afgelopen jaren gebruik zou zijn gemaakt van het
instrument als dat reeds had bestaan. Het is onmogelijk aan te geven hoe vaak gebruik
zou zijn gemaakt van de beroepsmogelijkheid als deze zou hebben bestaan onder de Wiv
2017. In algemene termen valt wel op te merken dat de ECW een aantal fundamentele
verschillen van interpretatie heeft onderkend. Bij dergelijke gevallen van uiteenlopende
interpretaties zou tussenkomst van de Afdeling bestuursrechtspraak uitkomst hebben
kunnen bieden. De verwachting is dan ook dat de beroepsmogelijkheid met name zal baten
in geval van dergelijke specifieke fundamentele interpretatieverschillen.

De leden van de ChristenUnie-fractie constateren dat het onderzoeksrapport van de
hoogleraren Bovend’Eert, Lawson en Winter niet terugkomt in de memorie van toelichting,
maar dat ter zake slechts wordt verwezen naar de aangekondigde Hoofdlijnennotitie.
Zij vragen waarom de regering niet uitgebreider heeft stilgestaan bij de conclusies
uit het rapport nu de voorliggende wet een relatief grote wijziging van het toezicht
inhoudt en waarom de regering hier pas op wil reflecteren na de voorliggende wetsbehandeling.
Zoals hiervoor aangegeven op vragen van de leden van de SP-fractie, zal het advies
van de hoogleraren Bovend’Eert, Lawson en Winter en de daaraan verbonden aanbevelingen
tezamen met de aangenomen moties over toetsing en toezicht worden betrokken bij de
herziening van de Wiv 2017. Zie ook hetgeen is gesteld in de Hoofdlijnennotitie. Hoewel
door de drie hoogleraren geconcludeerd wordt dat de huidige inrichting van het stelsel
van toezicht in het algemeen voldoet aan de vereisten in de rechtspraak van het EHRM,
achten de hoogleraren aanpassingen op enkele onderdelen noodzakelijk. Zo zou de TIB
als rechterlijke instantie en de CTIVD als zelfstandig bestuursorgaan (ZBO) moeten
worden aangemerkt. Dergelijke wijzigingen zijn naar aard en inhoud echter zeer fundamenteel
en vergen een herbezinning van het hele stelsel van toetsing en toezicht. Daarmee
is het een vraagstuk dat in het kader van de herziening van de Wiv 2017 aan de orde
moet komen en niet bij een Tijdelijke wet als de onderhavige, waarbij voor een urgent
probleem – in afwachting van de herziening van de Wiv 2017 – die tijdelijke maatregelen
moeten worden getroffen die nodig zijn om dat probleem te adresseren.

Ook vragen deze leden hoe de regering het standpunt van de hoogleraren dat een procedure
in twee instanties (toetsing TIB en beroep Afdeling bestuursrechtspraak) niet effectief
en niet nodig is en het voorgestelde alternatief (bindend antwoord op een prejudiciële
vraag over de wetsuitleg door de Afdeling bestuursrechtspraak) beoordeelt en hoe de
inhoud van het rapport zich verhoudt tot de voorgestelde wijzigingen. Zoals hiervoor
aangegeven in antwoord op de vraag van de leden van de D66-fractie, is een prejudiciële
procedure niet mogelijk omdat in de procedures op grond van de Tijdelijke wet de rechter
geen rol heeft. Het inrichten van een prejudiciële procedure zou een herbezinning
vergen van het gehele stelsel van toetsing en toezicht en dat gaat het bestek van
dit wetsvoorstel te buiten.

Voorts vragen deze leden in hoeverre het gebrek aan specialistische kennis bij de
Afdeling bestuursrechtspraak een beperkende factor kan zijn bij het beroep, evenals
de eenzijdigheid van de beroepsmogelijkheid (enkel in te roepen door de Minister).
Ook vragen deze leden of het wetsvoorstel niet nadelig is voor de belangen van de
burger binnen het toezicht en of de (privacy)belangen van burgers in beroepsprocedures
behartigd zouden kunnen worden door speciaal daarvoor aangewezen deskundigen (amici
curiae), bijvoorbeeld op grond van artikel 13 lid 10. Zoals aangegeven in antwoord
op vragen van de leden van de fracties van D66 en de SP, voorziet de beroepsregeling
in voldoende mogelijkheden voor de Afdeling om te beschikken over noodzakelijke deskundigheid
die zij nodig acht voor de behandeling van de zaak. Voor zover met de eenzijdigheid
van de beroepsmogelijkheid gedoeld wordt op een ontbrekende mogelijkheid voor de burger
om beroep in te stellen, wordt opgemerkt dat het belang van de burger en diens privacy
wel indirect wordt vertegenwoordigd. Zowel de diensten als de TIB en de CTIVD wegen
het belang van de bescherming van de persoonlijke levenssfeer af tegen het belang
van de nationale veiligheid. De burger is geen procespartij en kan dat ook niet zijn.
In lijn met de suggestie van de Afdeling advisering, zullen de mogelijkheden om de
privacybelangen van burgers meer of beter te betrekken bij de procedure, bijvoorbeeld
door een amicus curiae, onderzocht worden bij de voorgenomen herziening van de Wiv
2017. Met artikel 13, lid 10, wordt overigens primair bedoeld op deskundigen met expertise
die van belang is voor de inhoudelijke beoordeling van het geschil, dus bijvoorbeeld
op het terrein van techniek.

De leden van de ChristenUnie-fractie vragen ook, onder verwijzing naar artikel 121
van de Grondwet op grond waarvan uitspraken van rechters openbaar moeten zijn, in
hoeverre de uitspraak uit de beroepsprocedure openbaar is en wat er dan precies openbaar
is. De beroepsregeling schrijft voor dat de uitspraak van de Afdeling bestuursrechtspraak
openbaar gemaakt wordt met uitzondering van staatsgeheime informatie zoals bedoeld
in artikel 12, derde lid, van de Wiv 2017. Het gaat dan om informatie inzake door
de dienst aangewende middelen in concrete aangelegenheden, door de dienst aangewende
geheime bronnen en het actuele kennisniveau van de dienst. Met inachtneming van genoemde
beperkingen aan de openbaarheid, kan aldus door de uitspraken van de Afdeling bestuursrechtspraak
duidelijkheid worden gegeven over de wijze waarop de wet dient te worden uitgelegd;
het kan daarbij gaan om kwesties als de uitleg van wettelijke begrippen, de reikwijdte
van de bevoegdheden van de diensten, maar ook de reikwijdte van de bevoegdheden van
de TIB en de CTIVD. Daarbij is het niet noodzakelijk om in te gaan op de specifieke
staatsgeheime details van de casus.

Ook vragen deze leden wat voor zaken naar verwachting zullen worden voorgelegd in
de beroepsprocedure en of dat over interpretatieverschillen over de uitleg van de
wet gaat of ook over geschillenbeslechting. De verschillen van inzicht zoals die de
afgelopen jaren zijn voorgekomen, betroffen vooral de uitleg en reikwijdte van wettelijke
begrippen, de wijze waarop de vereisten van noodzaak, proportionaliteit, subsidiariteit
en gerichtheid in de aanvragen moeten worden beschreven en de intensiteit van de toetsing.
De Afdeling krijgt dus de rol van geschillenbeslechter ten aanzien van de deze aspecten.

De leden van de ChristenUnie-fractie constateren een onderscheid tussen de TIB en
de CTIVD waarbij de TIB een rechterlijke autoriteit is en de CTIVD meer vergelijkbaar
is met een inspectiedienst, die nu een bindende bevoegdheid krijgt. Zij vragen of
het voor de interpretatie en uitleg van de wet na een uitspraak van de TIB een prejudiciële
procedure niet veel wenselijker, effectiever en sneller zou zijn. Allereerst zouden
wij willen opmerken dat de door deze leden gegeven kwalificatie van zowel TIB als
CTIVD onjuist is. De TIB is geen rechterlijke instantie en haar taak is dan ook niet
het verlenen van rechterlijke autorisatie. Wat de TIB doet is, zoals ook de ECW aangeeft,
vergelijkbaar met de rechtsfiguur van goedkeuring53. De CTIVD is voorts niet aan te merken of te vergelijken met een inspectiedienst.
De CTIVD is een onafhankelijke toezichthouder en niet aan te merken als een inspectiedienst;
dergelijke diensten werken immers veelal onder ministeriele verantwoordelijkheid hetgeen
bij de CTIVD niet het geval is. Waar het gaat om de vraag van deze leden inzake de
prejudiciële procedure verwijzen wij hen naar hetgeen hiervoor in antwoord op een
vergelijkbare vraag van de leden van de D66-fractie is gesteld.

Deze leden vragen of de beroepsgang niet beperkt moet worden voor zaken in relatie
tot de CTIVD. Zij vragen de regering of er momenteel interpretatiekwesties bestaan
en om een reflectie hierop. Sinds de inwerkingtreding van de Wiv 2017 zijn er verscheidene
kwesties geweest waarbij er een verschil van inzicht was met de toezichthouders over
de invulling van wettelijke begrippen. Zo heeft een langdurig verschil van inzicht
met de afdeling toezicht van de CTIVD over de relevantiebeoordeling van verworven
gegevens geleid tot het vernietigen van vijf door de diensten verworven bulkdatasets
naar aanleiding van en beslissing van de afdeling klachtbehandeling van de CTIVD.
Daarnaast bestaat er een verschil van inzicht met de TIB over het detailniveau waaraan
de omschrijving van de technische risico’s bij een verzoek tot inzet van de bevoegdheid
tot binnendringen in een geautomatiseerd werk moet voldoen. Ten aanzien van de inzet
van de bevoegdheid tot OOG interceptie op de kabel hebben wij een andere opvatting
van de wijze waarop het gerichtheidsvereiste zou moeten worden toegepast dan de TIB,
waardoor de inzet van deze bijzondere bevoegdheid sinds de inwerkingtreding van de
Wiv 2017 nog nauwelijks heeft plaatsgevonden. Tot slot zijn er meerdere interpretatieverschillen
van kleinere aard waarover de diensten in dialoog staan met de toezichthouders. Soms
leidt dit tot een voor alle partijen aanvaardbare uitkomst, in andere gevallen blijkt
het niet mogelijk om tot overeenstemming te komen. De TIB oordeelt bindend en bij
een onrechtmatigheidsoordeel van de TIB vervalt de toestemming van de Minister van
rechtswege en kan de bevoegdheid niet worden uitgeoefend zonder dat thans hierover
een rechterlijk oordeel kan worden gevraagd. De ECW heeft dit als «weeffout» aangemerkt.
Nu ook de afdeling toezicht van de CTIVD met dit wetsvoorstel een bindende oordeelsbevoegdheid
krijgt, kan zich daar dezelfde situatie voordoen. De beroepsmogelijkheid geldt derhalve
niet alleen voor de bindende oordelen van de TIB, maar ook van de afdeling toezicht
van de CTIVD. Met een beroep op de Afdeling bestuursrechtspraak kan aldus een gezaghebbend,
bindend rechterlijk oordeel over de uitleg van de wet worden verkregen.

De leden van de Volt-fractie vragen hoe de regering oordeelt over de mogelijkheden
voor burgers om bezwaar en beroep te maken met betrekking tot de maatregelen waar
zij in dit wetsvoorstel mogelijk mee te maken krijgen. De rechtsbescherming die de
Wiv 2017 reeds biedt, geldt onverkort bij toepassing van de Tijdelijke wet. De toepasselijkheid
van de Algemene wet bestuursrecht is buiten toepassing verklaard waar het gaat om
de voorbereiding, totstandkoming en tenuitvoerlegging van de operationele besluiten,
met inbegrip van de mogelijkheid tot bezwaar en beroep (zie artikel 145 Wiv 2017).
Wel bestaat op grond van de Wiv 2017 de mogelijkheid om een klacht in te dienen bij
de afdeling klachtbehandeling van de CTIVD die is belast met het onderzoeken en beoordelen
van klachten en van meldingen van vermoedens van misstanden. De afdeling klachtbehandeling
is een onafhankelijke en zelfstandige klachtinstantie die diepgaand onderzoek kan
doen en bindende oordelen kan geven.

5. Grondrechtelijke en mensenrechtelijke aspecten

De leden van de D66-fractie merken op dat in het voorliggende voorstel de bepaling
over de beoordeling van de relevantie van bulkdata is geschrapt. Voorgesteld was om
die relevantiebeoordeling jaarlijks opnieuw uit te kunnen voeren, zonder maximum aan
de hoeveelheid van die beoordelingen. Hierdoor zou de data, in theorie, tot in het
oneindige bewaard kunnen worden. Vooruitlopend op de nota van wijziging, waarin de
regering een nieuw voorstel over deze materie zal doen, willen deze leden de regering
vragen hoe zij naar die relevantiebeoordeling kijkt. Deze leden vragen of de regering
het met de Afdeling advisering eens is dat het niet maximeren van die hoeveelheid
beoordelingen kan leiden tot het oneindig verlengen van de beoordelingstermijn. Ook
vragen zij of de regering een oplossing voor zich ziet waar tegemoet gekomen kan worden
aan de kritiek van de Afdeling advisering en de bulkdatasets niet gemakshalve maar
relevant verklaard worden om geen (mogelijk belangrijke) gegevens te verliezen en
daarbij tegelijkertijd aan de eisen van het EHRM te voldoen omtrent zo kort mogelijke
bewaartermijnen. In reactie op de vragen van deze leden willen we als volgt reageren.
Gelijktijdig met deze nota naar aanleiding van het verslag is bij de Tweede Kamer
een nota van wijziging ingediend, waarin een aangepaste regeling voor een – belangrijk
– onderdeel van de problematiek inzake bulkdatasets is opgenomen. Wij willen deze
leden verwijzen naar hetgeen daarop ter toelichting is gesteld alsmede naar onze reactie
op het advies van de Afdeling advisering ter zake in het aan de Koning uitgebrachte
nader rapport.

De leden van de D66-fractie vragen met betrekking tot voorliggend wetsvoorstel hoe
de regering deze in overeenstemming acht met de wens tot toetsing vooraf met het oog
op bescherming van mensenrechten en privacy conform de huidige jurisprudentie van
het EHRM en het HvJEU. Zowel het EHRM als het Hof van Justitie van de EU hebben in
hun jurisprudentie slechts voor een beperkt aantal situaties de eis van een voorafgaande bindende toets gesteld. Waar die zijn gesteld, zoals bij de
interceptie van communicatie (gericht als in bulk), de selectie van bulkdata verkregen
via interceptie als bij de inzet van bevoegdheden jegens journalisten in relatie tot
bronbescherming, voldoet de Wiv 2017 alsmede de in onderhavig wetsvoorstel opgenomen
voorstellen aan deze eisen. Zoals we ook in de memorie van toelichting hebben aangegeven,
wordt de eis van een bindende ex ante toets in de Wiv 2017 in meer gevallen gesteld
dan uit het Europese recht voortvloeit. Er is dus sprake van conformiteit met de huidige
jurisprudentie.

De leden van de CDA-fractie nemen aan dat ondanks de fantastische cyberinfrastructuur,
ligging en de aanwezige hoogwaardige technologische kennis Nederland niet het enige
land is dat bedreigd wordt. Zij vragen of de regering een beeld kan schetsen hoe andere
landen hun toezichtregime hebben georganiseerd, bijvoorbeeld Frankrijk, Duitsland
en het Verenigd Koninkrijk. Ook vragen zij wat voor gevolgen de inrichting van dat
toezichtregime heeft op de effectiviteit van het uitvoeren van onderzoeken voor hun
veiligheidsdiensten en of, wanneer dat toezichtregime sneller en adequater kan reageren
dan de Nederlandse diensten, Nederland dat toezichtregime dan niet over kan nemen
aangezien deze landen zich ook hebben gecommitteerd aan het EVRM.

Vooropgesteld wordt dat de bij het EVRM aangesloten staten in hoge mate zelf kunnen
bepalen op welke wijze zij binnen de eigen rechtsorde invulling geven aan de waarborgen
die tegenover een beperking van de in het EVRM vastgelegde mensenrechten dienen te
staan, zoals het vereiste van onafhankelijk en effectief toezicht. Deze flexibiliteit
is ook nodig vanwege het feit dat bij de verdragspartijen grote diversiteit bestaat
waar het gaat om de verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten
en (in het bijzonder) het toezicht daarop. Het is uiteindelijk aan het EHRM om te
bepalen of het betreffende rechtstelsel, daaronder begrepen het toezichtregime voor
inlichtingen- en veiligheidsdiensten, voldoet aan de vereisten uit het EVRM. Daarbij
beoordeelt het EHRM het wettelijk kader waarbinnen door de (instanties van de) staten
is geopereerd aan de hand van het voorgelegde feitencomplex in het licht van het EVRM
en de jurisprudentie van het EHRM. Het EHRM kijkt daarbij altijd naar het stelsel
als geheel waarbij de afwezigheid van de ene waarborg kan worden gecompenseerd door
de aanwezigheid van een andere waarborg. Vanwege de verschillen in taken, bevoegdheden
en positionering van de betrokken instanties in de genoemde landen, kunnen in algemene
zin geen uitspraken worden gedaan over effectiviteit van buitenlandse toezichtregimes,
evenmin over de bruikbaarheid daarvan in het Nederlandse stelsel.

Op verzoek van de leden van de CDA-fractie schetsen wij in het onderstaande het beeld
met betrekking tot de door deze leden genoemde landen.

Duitsland kent drie federale inlichtingen- en veiligheidsdiensten, te weten het Bundesamt für
Verfassungsschutz (hierna: BfV), de Bundesnachrichtendienst (BND) en de Militärischen
Abschirmdienst (MAD). Het toezicht op deze diensten is belegd bij het Parlamentarische
Kontrollgremium (PKGr), de G10-commissie, de federale commissaris voor gegevensbescherming
en vrijheid van informatie en de Onafhankelijke Raad van Toezicht.

De PKGr is onderdeel van de Bondsdag en heeft tot taak toezicht te houden op het BfV,
de BND en de MAD.54 De PKGr heeft in het kader van deze toezichthoudende taak recht op inzage in de dossiers
van de diensten, het recht om de kantoren van de diensten te betreden en het recht
om het personeel van de diensten te ondervragen.55 De federale regering kan indien nodig echter gemotiveerd weigeren bepaalde informatie
met de PKGr te delen.56 Daarnaast vindt jaarlijks een openbare hoorzitting plaats met de hoofden van de diensten57 en is een permanente vertegenwoordiger van de PKGr benoemd die de PKGr ondersteunt
en zowel reguliere onderzoeken als onderzoeken naar individuele gevallen uitvoert.58 De PKGr brengt in elk geval halverwege de zittingsperiode en aan het einde daarvan
verslag uit aan de Bondsdag over zijn toezichtactiviteiten.59 Hiernaast brengt de PKGr jaarlijks verslag uit aan de Bondsdag over de aard en omvang
van de inzet van inlichtingenmiddelen die inbreuk maken op het brief-, post- en telecommunicatiegeheim.60

De G10-commissie oefent toezicht vooraf uit op de inzet van inlichtingenmiddelen die
inbreuk maken op artikel 10, eerste lid, van de Duitse Grondwet (brief-, post- en
telecommunicatiegeheim).61 De toezichtbevoegdheden van de commissie strekken zich uit over het gehele proces
van verzamelen, verwerken en gebruiken van de persoonsgegevens die via voornoemde
inlichtingenmiddelen zijn verkregen, waaronder de beslissing om de betrokkenen al
dan niet te notificeren. In dat kader heeft de commissie uitgebreide rechten om informatie
op te vragen, dossiers in te zien en toegang te krijgen tot alle kantoren.62 Verzoeken voor het intercepteren en onderzoeken van telecommunicatie worden schriftelijk
gedaan door het diensthoofd of zijn plaatsvervanger bij de Minister van Binnenlandse
Zaken.63 Na instemming beoordeelt de G-10 commissie de rechtmatigheid van de voorgenomen bevoegdheid.
De bevoegdheid wordt niet uitgeoefend voordat de G-10 commissie de rechtmatigheid
positief heeft beoordeeld.64

De PKGr benoemt de G10-commissie, bestaande uit vijf leden en vijf plaatsvervangende
leden, voor de duur van één zittingsperiode van de Bondsdag. De Bondsregering adviseert
over de benoeming. Minimaal drie leden en drie plaatsvervangend leden moeten voldoen
aan de eisen voor benoembaarheid tot rechter. Zij zijn bij de uitvoering van hun taken
onafhankelijk en aan geen enkele instructie onderworpen. De commissie komt minstens
eenmaal per maand bijeen en haar beraadslagingen zijn geheim.65 Aan deze beraadslagingen kan worden deelgenomen door de permanente vertegenwoordiger
van de PKGr.66

De federale commissaris voor gegevensbescherming en vrijheid van informatie is een
onafhankelijke toezichthoudende autoriteit als bedoeld in de artikelen 51 en 59 van
de AVG en houdt in die hoedanigheid ook toezicht op de uitvoering van regelgeving
inzake gegevensbescherming, daaronder ook begrepen uitvoering door de diensten. Op
dit punt bestaat overlap met de toezichtbevoegdheid van de G10-commissie, maar alleen
de G10-commissie heeft de bevoegdheid om te oordelen over een beperking van de in
artikel 10 van de Duitse Grondwet genoemde grondrechten.

De Onafhankelijke Raad van Toezicht67 houdt toezicht op de BND op het gebied van technische verkenning, in het bijzonder
de zogenaamde strategische monitoring van telecommunicatie in het buitenland, maar
ook wanneer het vertrouwelijke relaties van bijvoorbeeld journalisten en advocaten
betreft. Het toezicht door de Onafhankelijke Raad van toezicht laat de bevoegdheden
van de G10-commissie en de federale commissaris voor gegevensbescherming en vrijheid
van informatie onverlet.

Het Verenigd Koninkrijk kent een aantal inlichtingen- en veiligheidsdiensten waarvan de Security Service,
Secret Intelligence Service, Defence Intelligence en de Government Communications
Headquarters het meest relevant zijn.

De bijzondere bevoegdheden zijn geregeld in de Investigatory Powers Act 2016 die samen
met de Regulation of Investigatory Powers Act 2000 voorziet in de rechtsgrondslag
en de toepasselijke beperkingen en waarborgen voor het gebruik van dergelijke bevoegdheden
vastlegt. De IPA 2016 voorziet ook in de regeling voor het gebruik van onderzoeksbevoegdheden
voor bulksgewijze verzameling (alleen voor inlichtingendiensten). Om deze bevoegdheden
te kunnen uitoefenen, moeten de autoriteiten beschikken over een bevel dat is uitgevaardigd
door een bevoegde autoriteit (in de meeste gevallen de Secretary of State). Het bevel
moet bevestigd worden door een onafhankelijke Judicial Commissioner (de zogenaamde
«double-lockprocedure»).68

Het toezicht op deze diensten is belegd bij de Investigatory Powers Commissioner,
een onafhankelijke toezichthouder die toeziet op het gebruik van bijzondere bevoegdheden
door de Britse inlichtingendiensten (alsmede de inzet van bijzondere bevoegdheden
door veel andere overheidsinstanties) die een inbreuk maken op de persoonlijke levenssfeer.69 De Investigatory Powers Commissioner is uitsluitend belast met het houden van toezicht
en het rapporteren aan de prime Minister en kan dus niet zelf ingrijpen. Indien de
diensten ernstige fouten maken ten aanzien van een persoon kan de Investigatory Powers
Commissioner wel zelfstandig besluiten de betrokken persoon daarover te informeren.
Daarnaast is er het Investigatory Powers Tribunal (IPT). Dit is een rechterlijke instantie
die klachten onderzoekt inzake vermeend onrechtmatig handelen van de diensten.70

Het Intelligence and Security Committee (ISC) is een parlementaire commissie en heeft
tot taak de uitgaven, bedrijfsvoering, beleid en operaties te controleren van de Security
Service, de Intelligence service, GCHQ en inlichtingenactiviteiten van enkele andere
overheidsinstanties.71 De controle door de ISC vindt achteraf plaats. De diensten hoeven de ISC niet vooraf
te informeren over operaties of programma’s. Ter uitvoering van haar controletaken
heeft de ISC de mogelijkheid om de hoofden van de Security Service, de Intelligence
Service en de GCHQ te vragen om toegang tot informatie.72 De prime Minister kan informatie aan de ISC weigeren indien de gevraagde informatie
lopende operaties betreft.

Frankrijk kent meerdere inlichtingen- of veiligheidsdiensten. De Direction Génerale de la Securité
Exterieure (DGSE), de Direction Générale de la Sécurité Intérieure (DGSI), de Direction
du Renseignement et de la Sécurité de la Défense (DRSD) en de Direction du Reseignement
Militaire (DRM) zijn het meest relevant.

De Délégation parlementaire au renseignement (DPR) oefent parlementaire controle uit op het optreden van de regering op het gebied
van inlichtingen, zij beoordeelt het overheidsbeleid op dit gebied en houdt toezicht
op actuele kwesties en toekomstige uitdagingen die daarmee verband houden.73

Het juridisch kader voor de diensten is neergelegd in de Code de la Sécurité intérieure
(CSI). De Commission Nationale de Contrôle des Techniques de Renseignement (CNCTR) houdt toezicht op het gebruik van inlichtingentechnieken.74 De CNCTR bestaat uit negen leden (twee afgevaardigden, twee senatoren, twee leden
van de Conseil dȃtat, twee rechters van het Cour de Cassation en een vertegenwoordiger
van ARCEP (Autorité de régulation des Communications et des Postes).75 De CNCTR is een onafhankelijke commissie en de leden hebben toegang tot alle plaatsen,
inlichtingen en documenten die nuttig zijn voor de vervulling van hun taak.76 De premier geeft toestemming voor de inzet van een bevoegdheid na ontvangst van het
advies van de CNCTR.77 De premier kan gemotiveerd van het advies van de CNCTR afwijken.78

De CNCTR heeft permanent toegang tot alle informatie en ontvangt alle informatie met
betrekking tot alle verleende toestemmingen voorafgaand aan de uitvoering en ontvangt
voor het overige alle informatie waarom zij verzoekt.79 Zij kan zich op elk moment met een aanbeveling over onderbreking of stopzetting van
een bijzondere bevoegdheid en/of vernietiging van verzamelde gegevens wenden tot de
bij de uitvoering betrokken instanties, inclusief de premier en de betrokken Minister.
Zodra een aanbeveling wordt ontvangen, informeert de premier de CNCTR onmiddellijk
over de wijze waarop uitvoering wordt gegeven aan de aanbeveling. Wanneer de premier
geen of onvoldoende gevolg geeft aan de aanbevelingen van de commissie, kan de voorzitter
dan wel drie leden van de CNCTR de Conseil dȃtat informeren.80 Jaarlijks brengt de CNCTR een openbaar rapport uit over haar werkzaamheden.81

Een ieder kan zich tot de CNCTR wenden met het verzoek te controleren of tegen hem
op legitieme wijze middelen worden of zijn ingezet.82 Een klacht kan worden ingediend bij de Conseil dȃtat.83

Daarnaast houdt de Commission nationale de l’informatique et des libertés (CNIL) toezicht op de DGSI. Deze commissie is een onafhankelijke toezichthouder op grond
van de AVG84 en ziet ook toe op de bescherming van persoonsgegevens in het kader van inlichtingenactiviteiten.

Daarnaast is voorzien in toezicht door andere instanties op diverse niveaus, zoals
de Contrôle de l’inspection des services de renseignement (ISR) die als inspectiedienst op verzoek van de Minister-President inspectiemaatregelen
kan treffen ten aanzien van de inlichtingendiensten.85

De leden van de SP-fractie hebben grote zorgen over de grondrechtelijke en mensenrechtelijke
aspecten bij deze wet. De consultatietijd voor maatschappelijke organisaties was zeer
krap – twee weken – en de inzendingen zijn toch ongemeen kritisch. Het wetsvoorstel
redeneert geheel vanuit de werkwijze en wens te opereren van de geheime diensten.
Hun wens is bekend en ook begrijpelijk. Maar juist een wetsvoorstel dat bevoegdheden
om te tappen, te hacken, data te onderzoeken, data te delen en data te bewaren, verruimt,
moet de balans tussen de impact van onderzoek van de diensten op mensenrechtenaspecten
bewaren. Deze leden zien die balans niet terug. Zij vragen of de regering hierop een
reflectie geven. Allereerst willen we opmerken dat de Wiv 2017, dus inclusief de daarin
vervatte waarborgen, gewoon van toepassing is op de uitoefening van de taak van de
diensten zoals omschreven in artikel 2, eerste lid, maar dat op een beperkt aantal
onderdelen in het wetsvoorstel sprake is van een aanvulling dan wel een afwijking
van enkele bepalingen in de Wiv 2017. Bij de uitwerking daarvan in het wetsvoorstel
hebben we ons wel degelijk rekenschap gegeven van wat een en ander zou moeten betekenen
voor de balans tussen enerzijds de voor de diensten benodigde bevoegdheden om onderzoek
te kunnen doen naar cyberdreigingen en anderzijds hoe de daaruit voortvloeiende beperkingen
op met name de privacy van burgers kunnen worden geminimaliseerd en van adequate waarborgen
kunnen worden voorzien. Dat heeft ertoe geleid dat in de gevallen waar ex ante toets
door de TIB is beperkt, de afdeling toezicht de bevoegdheid tot bindend toezicht heeft
gekregen, en dat voorts ook bindend toezicht is geïntroduceerd met betrekking tot
bijvoorbeeld de in het wetvoorstel opgenomen voorzieningen inzake bijschrijfbevoegdheden.
Op die wijze is naar ons oordeel een goede balans tussen beide belangen gevonden.
Voorts vragen zij of de regering zich een faciliteerder van het oprekken van de mogelijkheden
van de geheime diensten of een hoeder van het algemeen belang, waarbij belangen van
burgers en hun privacy zorgvuldig moeten meetellen, vindt. Wij merken op dat naar
ons oordeel deze leden hier een valse tegenstelling creëren. Bij de regering staat
het algemeen belang voorop. Daartoe behoort ervoor zorgen dat burgers, bedrijven en
anderen gevrijwaard worden van dreigingen en hun belangen en grondrechten worden beschermd.
Het is de taak van de diensten om deze belangen en grondrechten te beschermen en daarom
zijn in de Wiv 2017 en de Tijdelijke wet hun bevoegdheden en waarborgen bij de uitoefening
daarvan vastgelegd. Het beschermen van burgerrechten en het beschermen van de nationale
veiligheid zijn geen tegengestelde doelstellingen. De AIVD en de MIVD spelen een cruciale
rol bij het beschermen van de persoonlijke levenssfeer van Nederlandse burgers, bijvoorbeeld
tegen landen die actief cyberprogramma’s voeren gericht tegen Nederland. Hierbij zetten
zij zich in om met rechtsstatelijke middelen en robuuste waarborgen onder parlementaire
verantwoording de strijd aan te gaan met veelal niet-rechtsstatelijke tegenstanders.
De Nederlandse diensten onderscheiden zich in hun handelen door een cultuur van rechtmatigheid
hoog in het vaandel te dragen. Hun medewerkers worden gedreven door een intrinsiek
besef van het belang daarvan en door de wens onze open en vrije samenleving, waar
zij zelf als burger ook onderdeel van zijn, te beschermen. Dit besef is diep verankerd
in hun dagelijkse handelen. Andersom is het zo dat de bescherming van burgerrechten
via toezicht op de diensten en andere waarborgen niet tegengesteld is aan het belang
de democratische rechtsorde te beschermen. Onafhankelijk en effectief intern en extern
toezicht draagt bij aan het vertrouwen bij de burger dat de diensten zich (enkel)
bedienen van rechtmatige middelen. Kortom, veiligheidsbelangen en het beschermen van
de grondrechten van burgers zijn onlosmakelijk met elkaar verbonden en kunnen elkaar
zelfs versterken. Burgers moeten er immers zeker van kunnen zijn dat de overheid hen
zowel beschermt tegen uiteenlopende dreigingen als zorgt voor een wettelijk kader
met stevige waarborgen en onafhankelijk toezicht ter bescherming van de persoonlijke
levenssfeer.

De leden van de SP-fractie vragen de regering uit te leggen hoe de «notificatie» van
inzet van artikelen 5, 10 en 11, die de CTIVD niet verplicht om tot onderzoek over
te gaan, voldoende is om aan de criteria van «end-to-end safeguards» en «sufficient
guarantees against abuse» van Europees Hof voor de Rechten van de Mens te voldoen.
Het concept van «end-to-end safeguards» waar deze leden naar verwijzen, is door het
Hof in de zaak Big Brother Watch e.a. tegen het Verenigd Koninkrijk geïntroduceerd
in het kader van bulkinterceptieregimes en geeft uitdrukking aan de gedachte dat naarmate
men verder komt in de keten van verwerking van gegevens verkregen door bulkinterceptie
ook het inbreukmakende karakter van die verwerking toeneemt. Dit concept heeft dus
een beperkte reikwijdte en kan aldus niet op de toepassing van de andere bijzondere
bevoegdheden door de diensten worden getransponeerd. De door deze leden aangehaalde
notificaties hebben geen betrekking op bulkinterceptie en daarop zijn de criteria
van «end-to-end safeguards» niet van toepassing. Waar het gaat om het criterium dat
er voorzien dient te zijn in «sufficient guarantees against abuse» oftewel voldoende
waarborgen tegen misbruik, betreft het een eis die door het EHRM in algemene zin wordt
gesteld bij de regulering van beperkingen van – in casu – het door artikel 8 EVRM
beschermde recht op privacy. Zowel de Wiv 2017 als onderhavig wetsvoorstel gezamenlijk
genomen voorziet in die adequate waarborgen. De notificaties waar deze leden op wijzen,
namelijk dat de afdeling toezicht van de toepassing van een bepaalde bevoegdheid terstond
op de hoogte wordt gesteld, dragen er aan bij dat het toezicht op die bevoegdheidsuitoefening
adequaat kan worden uitgeoefend en vormen aldus een (aanvullende) waarborg tegen misbruik.

Deze leden hebben nog een aantal specifieke vragen over de verhouding van artikelen
in het wetsvoorstel als het gaat om uitspraken van het Europees Hof van de Rechten
van de Mens, bijvoorbeeld de verhouding van het nieuwe artikel 6 (verkennen tot een
jaar en data opslaan tot 6 maanden) met randnummers 350 en 360 van de zaak van Big
Brother Watch en others vs het Verenigd Koninkrijk. Hoe is er, zo vragen deze leden,
volgens de regering, sprake van «end-to-end safeguards» en «sufficient guarantees
against abuse» als beide toezichthouders beperkt zijn in de criteria waarop ze kunnen
toetsen en het bindend toezicht van de CTIVD op dit artikel ontbreekt. Alvorens concreet
op deze vragen in te gaan achten wij het voor de goede orde wenselijk om hetgeen in
de desbetreffende randnummers wordt gesteld hier integraal weer te geven:

«350. Therefore, in order to minimise the risk of the bulk interception power being
abused, the Court considers that the process must be subject to «end-to-end safeguards»,
meaning that, at the domestic level, an assessment should be made at each stage of
the process of the necessity and proportionality of the measures being taken; that
bulk interception should be subject to independent authorisation at the outset, when
the object and scope of the operation are being defined; and that the operation should
be subject to supervision and independent ex post facto review. In the Court’s view,
these are fundamental safeguards which will be the cornerstone of any Article 8 compliant
bulk interception regime (see also the report of the Venice Commission, at paragraph
197 above, which similarly found that two of the most significant safeguards in a
bulk interception regime were the authorisation and oversight of the process).» En

«360. In the light of the above, the Court will determine whether a bulk interception
regime is Convention compliant by conducting a global assessment of the operation
of the regime. Such assessment will focus primarily on whether the domestic legal
framework contains sufficient guarantees against abuse, and whether the process is subject to «end-to-end safeguards»
(see paragraph 350 above). In doing so, it will have regard to the actual operation
of the system of interception, including the checks and balances on the exercise of
power, and the existence or absence of any evidence of actual abuse (see Association
for European Integration and

Human Rights and Ekimdzhiev, cited above, § 92).»

Uit de eerste geciteerde overweging blijkt dat – waar het gaat om het bulkinterceptie-regime
– er in elke fase van het proces van verwerking – waarbij het EHMR een viertal fasen
onderscheidt, te weten (1) de verzameling en opslag, (2) het doorzoeken van de verworven
gegevens (via toepassing van selectoren of complexe query’s), (3) het onderzoeken
van de geselecteerde gegevens en (4) het gebruik van de gegevens – de noodzakelijkheid
en proportionaliteit van de handelingen die worden verricht moet worden beoordeeld.
In artikel 18 e.v. van de Wiv 2017 zijn aan de verwerking van gegevens in algemene
zin eisen gesteld en waar het gaat om de verzameling van gegevens in de artikelen
25 e.v. Wiv 2017 meer specifieke eisen; de eisen van noodzakelijkheid en proportionaliteit
zijn in de Wiv 2017 wettelijk verankerd. Die eisen gelden dus ook bij de toepassing
van de bijzondere bevoegdheid in artikel 6 van het wetsvoorstel. Voor de toepassing
van deze bevoegdheid is toestemming van de Minister vereist, die vervolgens onderworpen
is aan de voorafgaande bindende toets door de TIB; zoals door het EHRM wordt geëist.
Het verzoek om toestemming moet voldoen aan de eisen van artikel 29, tweede lid, Wiv
2017, waarbij dus ook het doel en de reikwijdte van de bevoegdheidsuitoefening moeten
worden gemotiveerd. Op het gehele verwerkingsproces is vervolgens toezicht mogelijk
door de afdeling toezicht van de CTIVD; voor het effectief kunnen zijn van dit toezicht
is het niet vereist dat deze bindend is. Waar het gaat om het ex post facto review
– te weten de beoordeling van klachten van burgers over de (vermeende) toepassing
van de bevoegdheid – biedt de afdeling klachtbehandeling van de CTIVD die bindend
kan oordelen de betreffende geëiste remedie. Ook waar het dus gaat om de toepassing
van artikel 6. De TIB en de afdeling toezicht van de CTIVD kunnen op de toepassing
van dit artikel conform het bepaalde in de Wiv 2017 hun rechtmatigheidstoets onderscheidenlijk
rechtmatigheidstoezicht toepassen; waar het gaat om de proportionaliteitstoetsing
door de TIB verwijzen wij in dit verband naar de door ons aan de Kamer gezonden afschrift
van de brief aan de voorzitter van de TIB ter zake.86 Overweging 360 geeft uitdrukking aan wat ook wel aangeduid wordt als de holistische
benadering van het EHRM waar het gaat om de vraag of een bepaalde wettelijk stelsel
voldoet aan de eisen van het EVRM. Naar ons oordeel kan zowel de Wiv 2017 en de in
het wetsvoorstel voorziene bepalingen (deels in aanvulling, deels in afwijking van
de Wiv 2017) in totaliteit bezien in overeenstemming met de eisen van het EVRM worden
beschouwd.

Deze leden vragen voorts of de regering ook kan uitleggen hoe het nieuwe artikel 7,
dat de criteria voor toetsen van bulkinterceptie verzwakt, zich verhoudt tot de eerder
genoemde randnummers van de zaak. Wij delen niet de opvatting van de leden van de
SP-fractie dat met artikel 7 de criteria voor toetsen van verleende toestemming voor
bulkinterceptie wordt verzwakt. Zoals in de memorie van toelichting is aangegeven
strekt artikel 7 ertoe om de eisen van proportionaliteit (artikel 26, tweede lid)
en gerichtheid (artikel 26, vijfde lid) in relatie tot de bevoegdheid van OOG-interceptie
ex artikel 48 Wiv 2017 te verduidelijken en aan te geven waar naar ons oordeel met
name het accent dient te liggen. OOG-interceptie is immers een bulkbevoegdheid en
met deze karakteristiek moet bij de invulling van de genoemde criteria nadrukkelijk
rekenschap worden gegeven. Met het voorgestelde artikel 7 in combinatie met de daarbij
gegeven uitleg wordt – mits het wetsvoorstel de instemming van beide Kamers der Staten-Generaal
verkrijgt – door de wetgever ter zake een duidelijke, richtinggevende uitspraak gedaan.
Daarmee wordt voor de toepassingsprakrijk de gewenste helderheid geschapen. Nu de
waarborgen die de Wiv 2017 – aangevuld met artikel 7 van het wetsvoorstel – niet worden
gewijzigd, lijkt ons dat een toets aan hetgeen in de randnummers wordt gesteld niet
aan de orde. Zie ook hetgeen we hiervoor al daarover hebben opgemerkt.

De leden van de SP-fractie vragen of een niet-bindende «indicatie van verkeersstromen
en datareductie» een voldoende stevig criterium is volgens Europees recht. Deze leden
vragen of de regering erkent dat dit relevant is, omdat de nieuwe wet toezichthouders
opdraagt «met name» en «daarmee het zwaarwegendst» te toetsen op alleen deze twee
niet-bindende indicaties. Zij vragen of de regering kan uitleggen waarom zij heeft
gekozen voor deze indicatoren voor OOG-interceptie. OOG-interceptie is een bulkbevoegdheid.
Dit heeft een wezenlijk effect op de invulling van het gerichtheidscriterium en de
proportionaliteitstoets. Artikel 7 van het wetsvoorstel geeft meer richting aan de
wijze waarop aan deze beginselen dient te worden getoetst, gelet op de bijzondere
aard van de bevoegdheid. Er is voor deze criteria gekozen aangezien hiermee inzage
kan worden gegeven in de mate van gerichtheid van de verwerving en de (direct daaropvolgende)
verwerking (en dus reductie) van de gegevens, en daarmee ook de proportionaliteit
van de inzet zorgvuldig kan worden getoetst. Gelet op het feit dat de diensten voor
aanvang van de inzet van de bevoegdheid slechts tot op zekere hoogte kennis hebben
van de exacte klantkanalen waarop zal worden geïntercepteerd en de gegevens die vervolgens
worden verworven, stelt artikel 7 expliciet dat de toets op gerichtheid en proportionaliteit
dient plaats te vinden aan de hand van een indicatie hiervan. Deze twee aspecten zijn
gerelateerd aan uitspraken van het EHRM. Het Hof spreekt voornamelijk over de keuze
van gegevensstromen, omdat de keuze voor de interceptie van gegevensstromen gericht
moet zijn op internationaal verkeer waarvan het waarschijnlijk is dat deze gegevens
en meerwaarde kunnen hebben voor het inlichtingenonderzoek en de beantwoording van
onderzoeksvragen. De verdere reductie van gegevens in de keten van OOG-interceptie
bestaat uit verschillende stappen, ook wel: de keten van verwerving genoemd. Het eindresultaat
van dit proces leidt tot de gegevens die voor de diensten toegankelijk zijn bij het
beantwoorden van onderzoeksvragen. Deze gehele keten van verwerven moet dus gezien
worden als een proces van datareductie inclusief effectieve en robuuste waarborgen.
Er is namelijk sprake van diverse stappen voordat geïntercepteerde en opgeslagen gegevens
daadwerkelijk in een inlichtingenonderzoek kunnen worden betrokken. Per stap in het
proces nemen de waarborgen ook toe. Gegevensstromen zijn daarnaast dynamisch en wijzigen
voortdurend. De filters moeten daarop worden aangepast. Daarom kan bij de aanvraag
voor het inzetten van het middel slechts een indicatie worden gegeven voor de wijze
waarop de diensten van plan zijn om de gegevens te reduceren. Op de uitvoering van
dit gehele proces houdt de afdeling toezicht van de CTIVD toezicht. Bij het inzetten
van kabelinterceptie ten behoeve van een onderzoek moet een indicatie gegeven worden
van de reductie van gegevens. Gelet op de hiervoor beschreven veranderlijke methode,
is het niet mogelijk om op voorhand en categorisch gegevensstromen uit te sluiten
van interceptie. Het wetsvoorstel biedt helderheid over welke aspecten vooraf te toetsen
zijn door de TIB en op welke wijze de afdeling toezicht van de CTIVD toezicht kan
houden op rechtmatige uitvoering van deze bevoegdheid.

Het is voor de leden van de GroenLinks-fractie van groot belang dat de inrichting
van het wettelijk stelsel voor het werk van de inlichtingen- en veiligheidsdiensten
adequaat is ingebed binnen onze Grondwet en binnen internationale verdragen die de
mensenrechten beschermen. Een belangrijk ijkpunt hierbij is voor deze leden het feit
dat het EHRM in haar rechtspraak als uitgangspunt heeft genomen dat toetsing van noodzakelijkheid
en proportionaliteit vooraf door een onafhankelijke rechterlijke instantie de voorkeur
geniet. Omdat burgers doorgaans geen weet hebben van het precieze werk van inlichtingendiensten
is het van belang dat de inzet van bijzondere bevoegdheden vooraf door een onafhankelijke
instantie (de TIB) wordt getoetst. Zij vragen of de regering kan toelichten op welke
wijze dit uitgangspunt van het EHRM in de voorliggende wet is verankerd. Voorts vragen
zij of de regering helder kan toezeggen dat het voorliggende wetsvoorstel EHRM-proof
is. Met deze leden zijn wij het eens dat het wettelijk stelsel adequaat dient te zijn
ingebed binnen onze Grondwet en binnen internationale verdragen die de mensenrechten
beschermen. Dat geldt niet alleen voor de Wiv 2017, maar ook voor onderhavig wetsvoorstel.
Naar ons oordeel is daarvan ook sprake. Er kan natuurlijk altijd discussie zijn over
een bepaalde keuze die is gemaakt in wetgeving en die anderen wellicht anders hadden
willen zien, maar wij zijn van oordeel dat de wetgeving EVRM-proof is. Waar het gaat
om het door deze leden gememoreerde ijkpunt over de toetsing vooraf door een onafhankelijke
rechterlijke instantie, merken we op dat zowel het EHRM als het Hof van Justitie van
de EU hebben in hun jurisprudentie slechts voor een beperkt aantal situaties de eis van een voorafgaande bindende toets hebben gesteld. Waar die zijn gesteld, zoals
bij de interceptie van communicatie (gericht als in bulk), de selectie van bulkdata
verkregen via interceptie als bij de inzet van bevoegdheden jegens journalisten in
relatie tot bronbescherming, voldoet de Wiv 2017 alsmede de in onderhavig wetsvoorstel
opgenomen voorstellen aan deze eisen. Zoals we ook in de memorie van toelichting hebben
aangegeven, wordt de eis van een bindende ex ante toets in de Wiv 2017 in meer gevallen
gesteld dan uit het Europese recht voortvloeit. Er is dus sprake van conformiteit
met de huidige jurisprudentie. In aanvulling daarop merken we op dat het EHRM inderdaad
consistent haar voorkeur heeft uitgesproken voor een toets (of toestemming) door een
onafhankelijke rechterlijke instantie. Maar in plaats daarvan kan ook een – qua onafhankelijkheid
daarmee vergelijkbare – niet-rechterlijke autoriteit daarmee worden belast.87 In het kader van de uitvoering van de Wiv 2017 kennen we beide situaties. Zo is voor
het openen van brieven en andere geadresseerde zendingen, de inzet van bijzondere
bevoegdheden jegens journalisten gericht op het achterhalen van hun bronnen alsmede
de inzet van bijzondere bevoegdheden jegens advocaten waarbij kennis kan worden genomen
van de vertrouwelijke communicatie tussen de advocaat en diens client de toestemming
vereist van de rechtbank Den Haag. In de andere gevallen waarbij de wet een bindende
toets vooraf eist, is die in handen gelegd van de TIB.

De leden van de Volt-fractie merken op dat om een goede afweging te kunnen maken tussen
het inbreuk maken op fundamentele rechten en vrijheden van mensen voor nationale veiligheid
en het beschermen van fundamentele rechten en vrijheden voor individuen en groepen
mensen, het belangrijk is dat duidelijk is wat de dreiging inhoudt. De inbreuk moet
immers noodzakelijk zijn in een democratische samenleving. Hoewel de leden van Volt-fractie
begrijpen dat de regering niet exact kan duiden wat de dreiging inhoudt, vragen deze
leden wel om toe te lichten aan de hand van een concreet (fictief) voorbeeld welke
gevolgen het niet nemen van deze maatregelen heeft voor mensen die zich in Nederland
bevinden. Gaat het, aldus deze leden, bijvoorbeeld om economische schade of ook om
schade aan (groepen) burgers, en wat gebeurt er als de maatregelen niet worden getroffen.
Ook vragen zij aan welke potentiële risico’s mensen die zich in Nederland bevinden
dan worden blootgesteld en in welke mate. Waarom rechtvaardigt die dreiging de inbreuk
op de fundamentele rechten en vrijheden? Wij antwoorden deze leden graag als volgt.
Landen als China, Rusland, Iran en Noord-Korea zetten op grote schaal digitale aanvallen
in. Doelwitten daarbij zijn persoonsgegevens, belangrijke hightech innovaties, politieke
standpunten, militaire geheimen, kwetsbaarheden van onze vitale infrastructuur, informatie
over dissidenten en nog veel meer. Het gaat dus om economische schade, militaire schade,
fysieke schade en/of geopolitieke schade veroorzaakt bij zowel Nederlandse organisaties
als ook individuele Nederlanders. Bijvoorbeeld doordat routers van Nederlanders worden
gebruikt vanuit Rusland door hackers van de GRU. Of doordat persoonsgegevens van Nederlandse
burgers worden buitgemaakt. De AIVD zag dit in 2022 gebeuren toen verschillende landen
met offensieve cyberprogramma’s probeerden data te stelen in de (Europese) reis- en
luchtvaartsector (Jaarverslag 2022). Ook hebben de diensten in het afgelopen jaar
gezien dat Russische staatshackers een cyberoperatie aan het voorbereiden waren waarbij
de website van een Nederlandse overheidsinstelling zou worden misbruikt. De hackers
maakten een kopie van deze overheidswebsite om bezoekers daarvan te kunnen infecteren
met malware om ze hiermee te kunnen bespioneren. In potentie kunnen de gegevens van
Nederlandse burgers die hackers buitmaken gebruikt worden voor allerlei doeleinden.
Denk aan desinformatiecampagnes rond MH17. Voor landen met een offensief cyberprogramma
kunnen Nederlandse burgers een middel zijn om bepaalde doelen (beïnvloeding, spionage,
sabotage) te bereiken. Nederland is een aantrekkelijk doelwit. We zijn een technologisch
geavanceerd digitaal knooppunt van het wereldwijde internet. Andere landen maken hier
misbruik van. De AIVD en MIVD zien een steeds grotere kloof ontstaan tussen de ontwikkeling
van de dreigingen en onze weerbaarheid daartegen. Cruciaal voor die weerbaarheid is
dat je weet wie je aanvalt, hoe ze dat doen, wie we moeten waarschuwen en wat je er
aan kunt doen om dit te voorkomen. Maar ook dat we tijdig de cyberaanvallen tegen
kunnen gaan.

Deze leden vragen tot slot of de regering kan toelichten welke impact de afzonderlijke
maatregelen hebben op de bescherming van relevante fundamentele rechten en vrijheden
en in hoeverre de maatregelen in lijn zijn met geldende Europese en nationale rechtspraak
over fundamentele rechten en vrijheden. Zij vragen of daarbij de analyse van de heer
Bovend’Eert kan worden betrokken, zoals gegeven in zijn position paper ten behoeve
van het rondetafelgesprek over de Tijdelijke wet cyberoperaties d.d. 5 april 2023.
Wij reageren hierop graag als volgt. De in de Tijdelijke wet opgenomen maatregelen
betreffen deels aanvullingen en deels afwijkingen van een beperkt aantal in de Wiv
2017 geregelde bijzondere bevoegdheden voor de diensten, waarbij – met inachtneming
van die aanvullingen en afwijkingen – de Wiv 2017 als zodanig gewoon van toepassing
blijft. Voorts komt in een tweetal gevallen de thans bestaande bindende ex ante toets
door de TIB te vervallen en wordt deze vervangen door bindend toezicht door de afdeling
toezicht van de CTIVD ex durante (tijdens de uitvoering van de bevoegdheid) en ex
post (na afloop). Daarnaast wordt met betrekking tot de aanvullingen in de sfeer van
bijschrijfbevoegdheden voor de diensten voorzien in bindend toezicht ex durante en
ex post door genoemde afdeling toezicht. Waar het gaat om de impact waarnaar deze
leden vragen, merken wij op dat voor alle maatregelen die betrekking hebben op de
bevoegdheden van de diensten geldt dat bij toepassing daarvan deze een beperking op
kunnen leveren van de in de artikelen 10 (recht op bescherming van de persoonlijke
levenssfeer) en 13 (recht op brief- en telecommunicatiegeheim) Grondwet alsmede artikel
8 EVRM (recht op privacy) gegarandeerde grond- respectievelijk mensenrechten. Dergelijke
beperkingen zijn geoorloofd, indien aan een aantal eisen wordt voldaan. Naast de grondwettelijke
eis dat een dergelijke beperking een formeel wettelijke grondslag dient te hebben
(waaraan zonder meer wordt voldaan), vloeien uit artikel 8 EVRM en de jurisprudentie
van het EHRM meer materiële eisen voort. Het gaat dan om de eisen dat de beperking
een legitiem doel moet dienen, bij wet voorzien moet zijn en noodzakelijk moet zijn
in een democratische samenleving en die door de jurisprudentie van het EHRM in de
loop der jaren nadere invulling en precisering hebben gekregen. Waar het gaat om bulkinterceptie
heeft het EHRM nog vrij recent in de uitspraken van het EHRM in de zaken Big Brother
Watch e.a. tegen het VK en Centrum för Rätvissa tegen Zweden een aangepast toetsingskader
vastgesteld, waaraan wetgeving en praktijk ter zake dient te voldoen. De door de directie
CZW van het Ministerie van BZK opgestelde interne analyse van deze uitspraken en wat
deze betekenen voor de regeling in de Wiv 2017 is aan de beide kamers der Staten-Generaal
is gezonden. Daarnaast is door het Hof van Justitie van de EU in de gevoegde zaken
C-511/18, C-512/18 en C-520/18 (Quadrature du Net e.a.) uitgesproken dat real time
verzameling van verkeers- en locatiegegevens («stomme tap») uitsluitend geoorloofd
is indien dit is onderworpen aan een voorafgaand bindend toezicht door een onafhankelijke
instantie (bij voorkeur een rechter of een qua onafhankelijkheid daarmee vergelijkbare
instantie). In de nota van wijziging wordt voor de stomme tap voorzien in de door
het Hof van Justitie van de EU vereiste toets ex ante. In hoofdstuk 9 van de memorie
van toelichting bij het wetsvoorstel dat tot de Wiv 2017 heeft geleid is uitvoerig
op de betekenis van genoemde Grondwets- en verdragsartikelen en de daaromtrent gevormde
jurisprudentie ingegaan waar het gaat om de in de Wiv 2017 en met name de daarin opgenomen
bevoegdheden van de diensten en de waarborgen die daarbij moeten zijn voorzien. De
daar gegeven uiteenzettingen voor de bijzondere bevoegdheden waarop onderhavig wetsvoorstel
aanvullingen dan wel afwijkingen aanbrengt, zijn evenzeer van toepassing op de maatregelen
in dit wetsvoorstel. Kortheidshalve wordt daarnaar verwezen. Ten opzichte van de regeling
van het stelsel van toetsing en toezicht in de Wiv 2017 wordt naar ons oordeel met
de in onderhavig wetsvoorstel opgenomen maatregelen inzake de toets door de TIB en
de introductie van bindend toezicht door de afdeling toezicht van de CTIVD per saldo
voorzien in een versterking van de reeds bestaande waarborgen waarmee de uitoefening
van de bijzondere bevoegdheden van de diensten wordt omgeven. Daarmee kan door beide
instanties corrigerend worden opgetreden indien de impact van de door de diensten
ingezette bevoegdheden op met name het recht op bescherming van de persoonlijke levenssfeer
zodanig is dat deze onrechtmatig moet worden beschouwd. Tegen die bindende oordelen
wordt de mogelijkheid van beroep bij de Afdeling bestuursrechtspraak geïntroduceerd.
In het door de heer Bovend’Eert uitgebrachte position paper, dat aansluit op het eerder
door hem en twee collega hoogleraren uitgebrachte advies «Naar een duurzaam en effectief
stelsel van toezicht door inlichtingen- en veiligheidsdiensten, staan niet zozeer
de maatregelen centraal die erop gericht zijn de diensten in staat te stellen om beter
op te kunnen treden tegen dreigingen in het cyberdomein, maar het stelsel van toetsing
en toezicht («de verschuiving van bevoegdheden van TIB naar CTIVD») en de rechtsgang
bij de Afdeling bestuursrechtspraak. Hetgeen in het position paper naar voren wordt
gebracht zijn grotendeels noties die bij de voorgenomen herziening van de Wiv 2017
dienen te worden betrokken en waarvoor de heer Bovend’Eert aandacht vraagt. Waar het
gaat om onderhavig wetsvoorstel werpt hij de vraag op welke argumenten voor de regering
nu precies de doorslag hebben gegeven om een, zij het beperkte, verschuiving van het
toezicht door te voeren. Zoals hiervoor is aangegeven is die verschuiving inderdaad
zeer beperkt en heeft de TIB aangegeven dat ze zich kan vinden in de verschuiving
met betrekking tot het verkennen (in haar woorden: scannen) van geautomatiseerde werken
en die met betrekking tot GDA op OOG-metadata verdedigbaar acht. Het gaat hier om
gevallen waarvan is vastgesteld – in de praktijk en door de ECW – dat een statische
toets ex ante niet past en dat daarbij beter kan worden voorzien in een dynamisch
toezicht gedurende de uitvoering van de bevoegdheid. Dat heeft niets met snelheid
van besluitvorming te maken of het voorhanden zijn van een spoedprocedure. De spoedprocedure
dient een ander doel en biedt geen oplossing voor de geconstateerde problemen in de
uitvoeringspraktijk. Waar het gaat om de beroepsgang bij de Afdeling bestuursrechtspraak
is naar het oordeel van de heer Bovend’Eert sprake van een fundamentele wijziging
van het stelsel van toezicht. Evenals in het eerder genoemde advies van Bovend’Eert
c.s. wordt gesteld dat er in feite een procedure in twee instanties wordt ingevoerd,
waarbij de TIB als de eerste instantie en de Afdeling bestuursrechtspraak als tweede
instanties geldt. Dit vanuit de veronderstelling dat de TIB als een rechterlijke instantie
zou moeten worden aangemerkt. Zoals wij al eerder hebben aangegeven beschouwen wij
– in navolging van hetgeen de ECW ter zake stelt – de activiteit van de TIB niet als
rechterlijk, maar als een activiteit welke te vergelijking is met de figuur van goedkeuring
als bedoeld in hoofdstuk 10 Awb. Een karakterisering van een en ander als een procedure
in twee instanties is dan ook in dat licht bezien onjuist. De opmerking dat de introductie
van een rechtsgang bij de Afdeling bestuursrechtspraak niet goed te rijmen zou zijn
met de positieve recensie van het functioneren van de TIB, doet niet af aan de conclusie
van de ECW – die wij delen – dat het bestaande stelsel een weeffout bevat en die door
de beroepsgang wordt hersteld. Ook daar zijn wij reeds uitvoerig op ingegaan. Voor
het overige verwijzen wij deze leden graag naar de uitgebrachte Hoofdlijnennotitie.

6. Gevolgen verbonden aan de uitvoering van de wet

6.1 Algemeen

De leden van de Volt-fractie vragen wat de geschatte kosten zijn voor de uitvoering
van de Tijdelijke wet en of er voldoende kosten zijn begroot om deze wet uit te voeren.
Het is moeilijk in te schatten wat de kosten aangaande de uitvoering van de implementatie
van de Tijdelijke wet zullen zijn. Zo hebben de diensten inmiddels de capaciteit vergroot.
De Algemene Rekenkamer concludeerde dat dit bij aanvang van de implementatie van de
Wiv 2017 niet het geval was. Deze situatie is nu anders en de diensten zijn daardoor
beter voorbereid op de implementatie. De Tijdelijke wet heeft bovendien prioriteit
bij de diensten waardoor hiervoor middelen vrijgemaakt zullen worden. Gezien de geleerde
lessen van de implementatie van de Wiv 2017 en de daarop genomen acties zijn de diensten
financieel voldoende voorbereid op de implementatie van de Tijdelijk wet.

6.2 De uitvoeringsconsequenties voor de TIB, de CTIVD en de Afdeling bestuursrechtspraak
van de Raad van State

De leden van de D66-fractie merken op dat doordat een deel van het toezicht verschuift
meer inspanning wordt gevraagd van de CTIVD. Zij vragen of de regering aan kan geven
of de verwachte toename in werkdruk bij de CTIVD niet tot problemen bij de implementatie
van onderliggend wetsvoorstel zal leiden. Ook vragen zij of de CTIVD voldoende capaciteiten
heeft en of hier op voorhand rekening mee is gehouden en, zo ja, in welke mate wordt
verwacht dat de capaciteit toe zal nemen in vergelijking met voorgaande jaren onder
de Wiv 2017. In overleg met de voorzitter van de CTIVD is besloten om vooruitlopend
op de inwerkingtreding van de Tijdelijke wet de formatie van het secretariaat van
de CTIVD met 10 FTE uit te breiden van 16,89 FTE naar 26,89 FTE. De CTIVD heeft hierover
in haar reactie op de nota van wijziging op de Tijdelijk wet het volgende geschreven:
«De CTIVD gaat er vanuit dat de uitbreiding van haar taken zoals geregeld in de ontwerpnota
van wijziging kan worden gerealiseerd met de extra formatie waarvoor de CTIVD nu de
vacatures aan het invullen is (10 fte).»

De leden van de SP-fractie willen de regering vragen om een oordeel over de werkwijze
van de TIB. Zij stellen in dat verband de vraag of de regering die als zorgvuldig
en integer beoordeelt. Vervolgens stellen deze leden diverse vragen omtrent het feit
dat er in het jaarverslag van de TIB is gelakt. Allereerst willen wij opmerken dat
wij er geen twijfel over hebben dat de TIB op een zorgvuldige en integere wijze werkt.
Dat is ook bij de kwestie rond het jaarverslag van de TIB niet aan de orde. Het is
zowel voor de diensten als de TIB en de CTIVD een wettelijke verplichting om jaarlijks
een openbaar verslag uit te brengen over de wijze waarop de respectievelijke organisaties
hun taken in het voorafgaande jaar hebben verricht. Hiermee kan de maatschappij kennis
nemen van het werk van de diensten en van de wijze waarop de TIB en CTIVD de aan hen
bij de wet opgedragen taken in het verslagjaar hebben vervuld. Ook de diensten maken
ieder jaar een jaarverslag. Zo ontstaat er een breed en openbaar beeld van het functioneren
van het stelsel van inlichtingen- en veiligheidsdiensten in Nederland en het toezicht
daarop. Er zijn door de wetgever wel enkele beperkingen opgelegd aan deze openbare
verslaglegging in het belang van de nationale veiligheid. Zo moeten de gegevens die
zicht geven op de door de diensten aangewende midden in concrete aangelegenheden,
de door de diensten gebruikte geheime bronnen en het actuele kennisniveau van de diensten
achterwege blijven. Om parlementaire controle ook op deze – niet openbare – aspecten
van het werk van de diensten mogelijk te maken, zijn deze gegevens wel vertrouwelijk
met de Kamer gedeeld via de daartoe geëigende kanalen. Het openbaar verslag doen van
het werk van de diensten en het toezicht daarop is een groot goed. In het jaarverslag
van de TIB over het kalenderjaar 2021 en 2022 zijn enkele zinsneden door de TIB zwartgelakt
omdat deze teveel zicht geven op de gegevens zoals hierboven genoemd. Dat het zwartlakken
van deze passages door de regering zou zijn gebeurd, lijkt te berusten op een misverstand.
De TIB is onafhankelijk en bepaalt zelf wat zij middels haar jaarverslag wel of niet
openbaar maakt, maar dient daarbij uiteraard wel de hiervoor aangegeven wettelijke
beperkingen in acht te nemen. Het ontwerpjaarverslag is – hoewel niet wettelijk verplicht
– voor een zogeheten check op mogelijke staatsgeheime informatie aan de verantwoordelijke
Ministers voorgelegd. De diensthoofden worden aldus in de gelegenheid gesteld om –
vanuit de op hen berustende zorgplicht ex artikel 23 en 24 Wiv 2017 – aan te geven
of het jaarverslag gerubriceerde gegevens bevat. Naar aanleiding daarvan is gewezen
op enkele passages die naar ons oordeel staatsgeheime informatie bevatten. Het betreffen
hier passages die zicht geven op de door de diensten aangewende middelen in concrete
aangelegenheden, de door de diensten gebruikte geheime bronnen en het actuele kennisniveau
van de diensten. De TIB heeft dan een aantal mogelijkheden. Zij kan ervoor kiezen
om – nu zij meent dat het geen staatsgeheime informatie betreft – deze toch openbaar
te maken. Dat zou naar ons oordeel schade voor de nationale veiligheid hebben opgeleverd
met alle gevolgen van dien en wij zijn de TIB dan ook erkentelijk voor het feit dat
dit niet heeft plaatsgevonden. Het stond en staat de TIB echter vrij om de desbetreffende
passages zodanig te formuleren dat de nationale veiligheid niet wordt geraakt. Daar
heeft zij om haar moverende redenen echter niet voor gekozen en heeft deze passages
zwart gelakt. Dat is een beslissing die bij de TIB rust.

De leden van de SP-fractie geven aan geschrokken te zijn van het feit dat de TIB zowel
in het jaarverslag als in de technische briefing geen inzicht mag geven over de schaal
van gegevens verzameling door de diensten. Zij vragen hoe Kamerleden de proportionaliteit
van dit wetsvoorstel kunnen toetsen als zij niet kunnen vergelijken wat de situatie
mét en zonder dit wetsvoorstel precies oplevert.

De situatie mét en zonder wetsvoorstel is wel met elkaar te vergelijken. Het ECW rapport
en het rapport van de Algemene Rekenkamer laten zien wat de huidige situatie onder
de Wiv 2017 is. De reikwijdte van dit wetsvoorstel is in volle omvang te bespreken
en te toetsen zonder de nationale veiligheid te raken. Maar vanwege de nationale veiligheid
zijn er enkele wettelijke randvoorwaarden die zowel voor de diensten als de TIB en
CTIVD gelden. Voorbeelden uit de praktijk zijn bijvoorbeeld vaak staatsgeheime informatie
en kan er van lopende operaties in het openbaar niet veel naar buiten gebracht worden.

De leden van de SP-fractie stellen vast dat de diensten geen blad voor de mond nemen
en geen argument schuwen – ook onjuiste argumenten – om de Kamerleden en de samenleving
te imponeren voor dit wetsvoorstel te zijn en deze leden vinden het de mond snoeren
van de toetsingscommissie daarmee in bitter schril contrast staan. Zij vragen of de
regering kan aangeven waarom zij dit wenselijk vindt en waarom men deze informatie-onbalans
acceptabel vindt. Wij herkennen ons volstrekt niet in het beeld dat deze leden schetsen.
Voor zover het gaat om de TIB en de kwestie van het lakken, zijn wij hiervoor in antwoord
op vragen van deze leden uitvoering ingegaan. Het lakken is een autonome keuze van
de TIB geweest. Voor het overige staat het eenieder vrij om zich in het openbaar uit
te spreken over de werkwijze van de diensten, waarbij wel voorkomen moet worden dat
zeker degenen die vanuit hun functie kennis dragen van staatsgeheime informatie ervoor
zorgen dat deze niet wordt geopenbaard. Dat onze argumenten door sommigen niet worden
gedeeld, en dat men daar andere argumenten tegenover stelt, is in onze democratie
gelukkig mogelijk. Dat bevordert een open debat. Voor het overige zien we niet in
waar de informatie-onbalans waar deze leden op doelen, uit zou bestaan.

De leden van de SP-fractie vinden de route voor geschilbeslechting bij de Raad van
State ongewenst omdat hiermee de uitleg van de wet niet democratisch maar juridisch
(bestuursrechtelijk) wordt ingevuld. Een geschil tussen de diensten en de toezichthouders
hoeft geenszins een bestuurlijke aangelegenheid te zijn maar kan een fundamentele
mensenrechtenkwestie behelzen. Als dit dan achter gesloten deuren bedisseld wordt
door de bestuursrechter, met hooguit een geheime notificatie aan de commissie stiekem,
dan zijn de democratische waarborgen van toezicht op de diensten – waar het kan zo
transparant mogelijk – totaal ondermijnd. Hiermee kunnen de diensten namelijk aan
grensverkenning doen (onderzoeken wat de grenzen van de wet zijn) zonder dat het parlement,
of de samenleving, daar enige kennis van heeft. Gegeven het feit dat de diensten logischerwijs
vaker dan andere uitvoeringsdiensten in vertrouwen handelen, hoort niet te betekenen
dat het toezicht en democratische controle moet worden ondermijnd. Zij vragen hoe
de regering dit ziet. Wij beantwoorden deze vraag als volgt. In de memorie van toelichting
is uitvoerig uiteengezet waarom in het wetsvoorstel – in navolging van hetgeen de
ECW heeft aanbevolen – een beroepsprocedure bij de Afdeling bestuursrechtspraak wordt
opengesteld tegen specifiek aangewezen oordelen van de TIB als van de afdeling toezicht
van de CTIVD. Dat zijn geen geschillen omtrent bestuurlijke aangelegenheden maar om
rechtsgeschillen, immers zowel TIB als de afdeling toezicht van de CTIVD beoordelen
de rechtmatigheid van de (besluiten en handelingen ter) uitvoering van de wet. En
daar kunnen fundamentele mensenrechtenkwesties aan de orde zijn. De ECW heeft geconstateerd
dat de uitleg van wettelijke begrippen, de invulling van de toetsingsnormen en de
intensiteit van de toetsing bij uitstek een rechterlijke taak is, waarbij de toezichthouders
(TIB en CTIVD), gegeven de rechterlijke overwegingen, gaan over de toepassing in concrete
gevallen. 88 Het is in een rechtstaat als de onze volstrekt normaal dat geschillen omtrent de
uitleg van wettelijke bepalingen aan een rechter worden voorgelegd en voor de geschillen
waarop de in het wetsvoorstel opgenomen beroepsregeling betrekking heeft ligt het
voor de hand daarvoor de Afdeling bestuursrechtspraak (in eerste en enige instantie)
als beroepsinstantie aan te wijzen. De Wiv 2017 en ook hetgeen in onderhavig wetsvoorstel
wordt geregeld is immers (bijzonder) bestuursrecht en dan ligt een gang naar de bestuursrechter
in de rede. De aan de Afdeling bestuursrechtspraak voor te leggen geschillen zijn
naar hun aard vertrouwelijk van aard, immers het gaat om kwesties inzake de nationale
veiligheid, waarin staatsgeheime informatie aan de orde komt, hetgeen grenzen stelt
aan de openbaarheid van de procedure en aan de openbaarheid van de uitspraak. Dat
is niet wezenlijk anders bij de uitoefening van de taak door de TIB en door de CTIVD:
ook daar gaat het om kwesties inzake de nationale veiligheid, is staatsgeheime informatie
aan de orde, hetgeen grenzen stelt aan de openbaarheid van hun taakuitvoering en de
mate waarin zij van hun werkzaamheden in het openbaar verslag kunnen uitbrengen. Parlementaire
controle is en blijft in alle gevallen mogelijk: openbaar waar dat kan, gesloten waar
dat moet.

De leden van de SP-fractie willen ten slotte graag van de regering weten of de TIB
en de CTIVD voldoende capaciteit en werkplekken hebben, en hoeveel meer zij hebben
voor hun toezichtstaken. Zij werken met staatsgeheime gegevens en houden live toezicht
op de netwerken van de AIVD/MIVD. Hebben de toezichthouders, zo vragen deze leden,
de (fysieke) mogelijkheid om dit werk goed uit te voeren. In overleg met de voorzitter
van de CTIVD is besloten om vooruitlopend op de inwerkingtreding van de Tijdelijke
wet de formatie met 10 FTE uit te breiden (zie ook antwoord 225). Voor de TIB geldt
dat de formatie bestond uit 8,17 FTE en dat deze in het kader van de Tijdelijke wet
in overleg met de voorzitter van de TIB met 3 FTE wordt uitgebreid. De werving voor
deze extra capaciteit is momenteel gaande. Voor de CTIVD geldt dat het aantal werkplekken
dient te worden uitgebreid. Hier wordt momenteel aan gewerkt. De TIB beschikt, ook
na uitbreiding van het secretariaat, over voldoende werkplekken. Het gaat hierbij
om werkplekken die voldoen aan de eisen om te werken met staatsgeheime informatie.

De leden van de GroenLinks-fractie constateren dat met het voorliggende wetsvoorstel
zowel het werk als de werkbelasting voor zowel TIB, de CTIVD als voor de Afdeling
bestuursrechtspraak van de Raad van State kan wijzigen. Zij vragen of de regering
kan aangeven op welke wijze de TIB, de CTIVD en de Afdeling bestuursrechtspraak zich
hierop voorbereiden en wat dit concreet betekent voor de personele bezetting bij de
drie instanties. Wij verwijzen deze leden naar ons antwoord op een vergelijkbare vraag
van de leden van de SP-fractie.

De leden van de Volt-fractie vragen of de toezichthouders volgens de regering op dit
moment inhoudelijk en qua capaciteit voorbereid zijn op de voorgenomen wijzigingen.
Is er, aldus deze leden, voldoende expertise binnen de toezichthouders om effectief
toezicht te houden op de voorgenomen maatregelen en zullen de toezichthouders tijdig
in staat zijn om de Tijdelijke wet uit te voeren. Wij verwijzen deze leden graag naar
de hiervoor door ons gegeven antwoorden op vergelijkbare vragen van de leden van de
fracties van D66, SP en GroenLinks.

7. Advies en consultatie

7.1 Algemeen

De TIB is van mening dat omdat onder de voorliggende wet het mogelijk is dat alle
verworven gegevens ook worden bekeken door teams met andere onderzoeksopdrachten,
dat een forse uitbreiding van de bevoegdheden van de diensten met zich meebrengt.
De regering deelt die conclusie niet omdat de waarborgen van de Wiv 2017 hierbij van
toepassing blijven. Daarin is immers al bepaald dat rechtmatig verworven gegevens
ook voor andere lopende onderzoeken van de diensten mogen worden gebruikt. De leden
van de PvdA-fractie zijn echter van mening dat juist omdat de voorliggende wet het
toezicht vooraf voor een deel naar achter verschuift en het vereiste van gerichtheid
vooraf verdwijnt, dat het brede gebruik van gegevens op basis van de Tijdelijke wet
niet een op een vergelijkbaar is met de Wiv 2017. Deze leden vragen of de regering
de mening deelt dat het voor het breder gebruiken van gegevens op basis van de Tijdelijke
wet verworven extra waarborgen nodig zijn. Allereerst willen we opmerken dat slechts
in twee situaties de toets vooraf door de TIB komt te vervallen, namelijk bij de bevoegdheid
tot het verkennen van geautomatiseerde werken en bij geautomatiseerde data-analyse
op met OOG-interceptie verworven metadata. In beide gevallen gaat de afdeling toezicht
van de CTIVD bindend toezicht houden. De TIB heeft in haar reactie op het ontwerpwetsvoorstel
aangegeven zich in deze voorstellen te kunnen vinden. Dit staat overigens los van
de vraag van deze leden inzake het breder gebruiken van de gegevens die op basis van
de Tijdelijke wet zijn verworven en of daarvoor extra waarborgen nodig zijn. Zoals
ook uit onze reactie op de opmerking ter zake van de TIB in haar reactie op het ontwerpwetsvoorstel
blijkt (zie par. 7.2 van de memorie van toelichting) en door deze leden is aangehaald,
zijn wij niet van mening dat er extra waarborgen nodig zijn. We lichten dit graag
toe. Bij het onderzoek van de diensten naar landen met een offensief cyberprogramma
is de Wiv 2017 van toepassing, zij het dat de Tijdelijke wet deels in aanvullingen
op en deels in afwijkingen van een beperkt aantal bepalingen in de Wiv 2017 voorziet.
De verwerving en de verdere verwerking van gegevens door de diensten geschiedt gewoon
onder toepassing van de regeling in de Wiv 2017. En in lijn met hetgeen onder de Wiv
2017 geldt, komen de gegevens die in het onderzoek naar landen met een offensief cyberprogramma
worden verworven ook beschikbaar voor de andere lopende inlichtingenonderzoeken van
de diensten. Waar het gaat om de in artikel 6 van het wetsvoorstel opgenomen bevoegdheid
tot verkennen met het oog op de toepassing van de bevoegdheid tot OOG-interceptie
is bepaald dat de daarmee verkregen gegevens juist niet ter beschikking van de inlichtingenonderzoeken.
Dus daar is breder gebruik sowieso niet aan de orde. In het wetsvoorstel is, zoals
gezegd, ten opzichte van een beperkt aantal in de Wiv 2017 geregelde bijzondere bevoegdheden
voorzien in aanvulling van de – veelal reeds bestaande – bijschrijfmogelijkheden.
Deze mogelijkheden zijn alleen aanwezig indien de bijzondere bevoegdheid waarop de
aanvulling betrekking heeft, reeds onder toepassing van de Wiv 2017 – en dus met inachtneming
van de daaraan in de Wiv 2017 verbonden waarborgen – door de diensten wordt ingezet.
Behoudens artikel 6 (verkennen ten behoeve van OOG-interceptie) schept de Tijdelijke
wet dus geen nieuwe zelfstandige bijzondere bevoegdheden. Overigens is er wel anderszins
sprake van extra waarborgen, omdat – naast de twee genoemde situaties waar de voorafgaande
toets door de TIB komt te vervallen – de in het wetsvoorstel voorziene aanvullingen
van de bijschrijfmogelijkheid worden onderworpen aan bindend toezicht door de afdeling
toezicht van de CTIVD.

7.2 De reactie van de TIB

De leden van de D66-fractie memoreren dat in het rondetafelgesprek met de Kamer de
TIB aangaf dat zij de Kamer graag hadden ingelicht over de bevoegdheden die de inlichtingendiensten
reeds hebben en dat tot spijt van de TIB de passages daarover niet publiceerbaar waren.
De leden van de D66-fractie vragen of de regering de leden van deze commissie op een
andere manier vertrouwelijk kan informeren. De bevoegdheden die de diensten hebben
staan in de Wiv 2017 en zijn voor een ieder kenbaar. Wat niet openbaar is informatie
over deze bevoegdheden voor zover daarmee zicht wordt gegeven op de door de diensten
aangewende middelen in concrete aangelegenheden, de door de diensten gebruikte geheime
bronnen en het actuele kennisniveau van de diensten. Dat is staatsgeheime informatie.
Dergelijke informatie kan vertrouwelijk met de Kamer worden gedeeld, maar uitsluitend
met de door de Tweede Kamer daartoe ingestelde Commissie voor de Inlichtingen- en
Veiligheidsdiensten.

De leden van de GroenLinks-fractie constateren dat de laatste tijd veel discussie
is geweest over de vraag of het toezicht door de TIB in het voorliggende wetsvoorstel
wel effectief blijft. In deze discussie hebben zowel de huidige TIB als voormalige
leden van de TIB zich gemengd. Deze leden vragen aan de regering hoe zij terugkijkt
op deze discussie en op hoe de TIB betrokken is geweest bij de totstandkoming van
het voorliggende wetsvoorstel. Wat had de regering terugkijkend anders kunnen doen
om te voorkomen dat er onrust zou ontstaan over het uitgeklede toezicht door de TIB,
zo vragen deze leden. Allereerst is het goed om te benadrukken dat het toezicht door
de TIB niet wordt uitgekleed en effectief blijft. Voor zover in het wetsvoorstel sprake
is van beperking van de toetstaak van de TIB wordt dat vervangen door bindend toezicht
door de afdeling toezicht van de CTIVD. In de memorie van toelichting is dit naar
ons oordeel adequaat toegelicht. Waar het gaat om de gerezen onduidelijkheid inzake
de door de TIB uit te voeren proportionaliteitstoetsing hebben wij die zowel mondeling
als schriftelijk weggenomen. De brief die we aan de voorzitter van de TIB hebben gezonden
is ook in afschrift aan de Kamer toegezonden. Ook wij hebben kennisgenomen van het
verschil in perceptie dat bestaat tussen de voormalige technische leden van de TIB.
Voor het overige geldt dat zowel de TIB als CTIVD vanaf de start van de voorbereiding
van de Tijdelijke wet nauw bij het wetgevingsproces zijn betrokken. Het wetsvoorstel
is zowel formeel als informeel ter consultatie aangeboden aan de TIB en CTIVD. Daarnaast
hebben meerdere overleggen en ketentesten plaatsgevonden, mét de TIB, CTIVD en de
Afdeling bestuursrechtspraak van de Raad van State.

7.3 Overige reacties (burgers en NGO’s)

De leden van de GroenLinks-fractie hechten veel waarde aan breed draagvlak in de samenleving
voor het werk van de veiligheidsdiensten. Om een stevig draagvlak in stand te houden
en zo mogelijk te vergroten vinden deze leden het daarom van belang dat de regering
en de diensten zelf zoveel als mogelijk is aan de samenleving communiceren op welke
wijze de rechten van burgers zo goed mogelijk worden beschermd. Zij vragen op welke
wijze gaat de regering ervoor gaat zorgen dat het draagvlak voor het werk van de diensten
wordt versterkt. Wij zijn het met deze leden eens dat het voor het werk dat de AIVD
en MIVD in het kader van onze nationale veiligheid verrichten een breed draagvlak
in de samenleving wenselijk is. Een belangrijk instrument om draagvlak te verwerven
en te behouden is, zoals deze leden terecht aangeven, communicatie. Hoewel de diensten
de laatste jaren al veel meer openheid betrachten over het werk dat ze verrichten,
niet allen door optredens van de diensthoofden in de media maar ook door gebruikmaking
van sociale mediakanalen en publicaties over uiteenlopende onderwerpen, kan het nuttig
zijn om te verkennen of ook anderszins mogelijkheden bestaan om de diverse aspecten
van het – veelal geheime – werk van de diensten voor een breder publiek toegankelijk
te maken.

II. Artikelsgewijze toelichting

De leden van de GroenLinks-fractie hebben nog enkele specifieke vragen bij enkele
artikelen.

Artikel 2

Deze leden vragen wanneer de diensten voldoende aanwijzingen en gronden hebben om
van een vermoeden te spreken. Het attribueren van een digitale aanval aan een specifiek
land vergt soms veel onderzoek. Dit heeft onder meer te maken met het feit dat er
bij cyberaanvallen gebruik wordt gemaakt van een groot aantal verschillende tussenstappen,
waarbij diverse partijen verspreidt over verschillende landen betrokken kunnen zijn.
Vermoedens over de betrokkenheid van statelijke actoren zijn gebaseerd zijn op een
groot aantal verschillende factoren. Denk hierbij aan de gebruikte aanvalsinfrastructuur,
de modus operandi en de gekozen slachtoffers. Bij de inzet van bijzondere bevoegdheden
worden de vermoedens concreet onderbouwd op basis van inlichtingen. Deze aanvragen
voor de inzet van bijzondere bevoegdheden worden op rechtmatigheid getoetst door de
TIB.

Voorts vragen deze leden of de regering in het kader van dit artikel ook in kan gaan
hoe voorkomen wordt dat meerdere wettelijke regimes tot onduidelijkheid leidt. Wij
zijn aan het begin van onderdeel I (algemeen) van deze nota naar aanleiding van het
verslag ingegaan op vragen van de leden van de SP-fractie inzake onder meer de wenselijkheid
met het werken met twee verschillende toezichtsregimes. Wij zouden deze leden allereerst
naar hetgeen wij in reactie op die vragen hebben gesteld willen verwijzen. In aanvulling
daarop merken we op dat juist door de regeling dat een verzoek om toestemming voor
de inzet van een bijzondere bevoegdheid aangegeven moet worden of de Tijdelijke wet
van toepassing is, het van meet af aan duidelijk is dat de in de Tijdelijke wet opgenomen
voorzieningen – in aanvulling dan wel in afwijking van de Wiv 2017 – van toepassing
is. Indien het gaat om een toestemming die onderworpen is aan de rechtmatigheidstoets
van de TIB kan zij ter zake bindend oordelen dat de Tijdelijke wet niet van toepassing
is en dient de Minister hiervan terstond op de hoogte te worden gesteld. Op dat moment
is duidelijk dat uitsluitend de Wiv 2017 van toepassing is; wel kan tegen het oordeel
van de TIB beroep bij de Afdeling bestuursrechtspraak worden ingesteld en indien de
Afdeling het beroep gegrond acht staat de Afdeling op grond van artikel 13 diverse
mogelijkheden ter beschikking ter effectuering van dat oordeel.

Artikel 4

De regering schrijft dat het verschuiven van het toezicht gevolgen kan hebben voor
de proportionaliteitstoets. Kan de regering dit nader toelichten en hierbij concrete
(fictieve) voorbeelden geven? In paragraaf 3.2 van deze nota naar aanleiding van het
verslag zijn wij aan het slot ingegaan op een vergelijkbare vraag van de leden van
de Volt-fractie. Wij verwijzen deze leden graag naar hetgeen we daar hebben gesteld.

Artikel 6

De leden van de GroenLinks-fractie ontvangen graag een nadere toelichting op de stelling
dat een bovengrens van de bruikbaarheid zes maanden is. Ook vragen zij ten aanzien
van dit artikel op welke wijze de TIB volgens de regering het afgenomen gerichtheidscriterium
betrekt bij de toetsing aan proportionaliteit. De diensten moeten (een deel van) de
gegevens die zij in het kader van de in artikel 6 geregelde verkenningsbevoegdheid
hebben verworven zes maanden kunnen bewaren om de geïntercepteerde gegevensstromen
goed te kunnen beoordelen op bruikbaarheid voor het doel waarvoor deze zijn verworven.
Dat doel is om te komen tot een zo gericht mogelijk inzet van OOG-interceptie voor
inlichtingendoeleinden. Een termijn van zes maanden is, gelet op de praktijkervaring
bij de diensten met deze werkwijze, daarvoor voldoende. Omdat, zoals in de memorie
van toelichting en in deze nota naar aanleiding van het verslag in reactie op vragen
ter zake is uiteengezet, gelet op de aard van de bevoegdheid – verkennen – het gerichtheidscriterium
hier niet van toepassing is, betekent dat ook dat dit criterium dus ook niet kan worden
betrokken in een proportionaliteitstoets.

Artikel 12

De leden van de GroenLinks-fractie vragen de regering in het kader van dit artikel
nader in te gaan op het feit dat dat het toezichtsstelsel complexer wordt. Op welke
wijze, aldus deze leden, wordt voorkomen dat een complexer toezichtsstelsel zorgt
voor vertraging van de operationele snelheid. Wij antwoorden graag als volgt. Ook
de leden van de SGP-fractie hebben eerder gewezen op de constatering van de Afdeling
advisering dat het stelsel van toezicht in complexiteit toeneemt. Zoals wij in reactie
op hun vragen ter zake hebben aangegeven, hebben wij van die zorgen kennisgenomen,
maar ook van het feit dat de Afdeling – gelet op de dreiging die thans uitgaat van
landen met een offensief cyberprogramma – het niettemin begrijpelijk acht dat, vooruitlopend
op een definitieve wetswijziging, een aangepast regime voor een beperkt deel van de
taken en bevoegdheden wordt beproefd. Van belang is daarbij, aldus de Afdeling advisering,
dat veel van de in onderhavig wetsvoorstel gekozen oplossingen corresponderen met
de aanbevelingen van de ECW. Het bindend toezicht dat door de afdeling toezicht van
de CTIVD zal worden uitgeoefend, is overigens niet aanbevolen door de ECW. Niettemin
hebben wij ervoor gekozen die wel in het wetsvoorstel op te nemen. Zoals we ook uiteen
hebben gezet in de memorie van toelichting, is bij de uitwerking van de maatregelen
in het wetsvoorstel bezien in hoeverre het stelsel van waarborgen zoals neergelegd
in de Wiv 2017 wordt geraakt en hoe aan het totaal aan waarborgen kwalitatief bezien
geen afbreuk wordt gedaan. Deze afweging heeft ertoe geleid dat waar de bindende toets
door de TIB komt te vervallen ervoor is gekozen deze te compenseren met een bindende
oordeelsbevoegdheid van de afdeling toezicht. Voorts is bezien in welke fase van de
inzet van een bijzondere bevoegdheid welke vorm van toezicht (ex ante dan wel ex durante)
het meest effectief is. Naast voornoemde compensatie van de ex ante toets door bindend
ex durante toezicht is ook de toepassing van de in het wetsvoorstel voorziene bijschrijfmogelijkheden
van de diensten onderworpen aan het bindend toezicht van de afdeling toezicht van
de CTIVD. Wij achten het van belang dat er sprake zal zijn van een balans tussen enerzijds
de verbetering van de mogelijkheden voor de diensten om onderzoek te doen naar dreigingen
vanuit landen met een offensief cyberprogramma en anderzijds te voorzien in adequaat
en effectief toezicht daarop. We erkennen dat er tijdelijk twee stelsels, ook waar
het gaat om toezicht, naast elkaar bestaan. Maar zoals eerder in deze nota naar aanleiding
van het verslag is uiteengezet, is dit vanuit het perspectief van de diensten werkbaar.
Voor zover dit tot vertraging leidt van de operationele snelheid is die vertraging
naar ons oordeel acceptabel. Overeenkomstig het advies van de Afdeling advisering
zullen de ervaringen met de voorgestelde maatregelen worden gemonitord, waarbij uiteraard
ook aandacht zal zijn voor de effecten van het bindend toezicht op de taakuitvoering
van de diensten, en die zullen vervolgens worden betrokken bij de herziening van de
Wiv 2017.

Artikel 17

De leden van de GroenLinks-fractie vragen ten slotte of de regering in het kader van
dit artikel kan aangeven wat de concrete planning is voor het algeheel herzien en
evalueren van de Wiv 2017. Gelijktijdig met deze nota naar aanleiding van het verslag
wordt aan de Tweede Kamer de Hoofdlijnennotitie aangeboden. De Hoofdlijnennotitie
geeft richting aan de algehele herziening van de Wiv 2017. Na bespreking van de Hoofdlijnennotitie
met de Tweede Kamer zal begonnen worden met het opstellen van het wetsvoorstel tot
herziening van de Wiv 2017. Het herzieningstraject zal naar zijn aard omvangrijk zijn
en meer voorbereidingstijd vragen dan het traject van de Tijdelijke wet. Niettemin
menen wij dat de herziening voor afloop van de voorgestelde werkingsduur van de Tijdelijke
wet, te weten vier jaar, kan worden gerealiseerd. De met de toepassing van de Tijdelijke
wet opgedane ervaringen zullen waar mogelijk bij de herziening worden betrokken. Bovendien
zal er blijvend worden ingespeeld op Europeesrechtelijke en technologische ontwikkelingen
(zoals rondom Artificial Intelligence). De voortvarendheid van het wetstraject is afhankelijk van verschillende factoren
en randvoorwaarden, waarop waar nodig en mogelijk wordt gestuurd.

Deze nota naar aanleiding van het verslag wordt mede-ondertekend door de Minister
van Defensie.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.G.J. Bruins Slot