Nota van wijziging : Nota van wijziging

Nr. 12
NOTA VAN WIJZIGING

Ontvangen 20 september 2023

Het voorstel van wet wordt als volgt gewijzigd:

A

Het opschrift komt te luiden: Regels inzake de coördinatie ten aanzien van terrorismebestrijding en de bescherming
van de nationale veiligheid ten behoeve van het verhogen van de weerbaarheid tegen
dreigingen en risico’s (Wet coördinatie terrorismebestrijding en nationale veiligheid)

B

In de considerans wordt «regels te stellen ten aanzien van de verwerking van gegevens,
waaronder persoonsgegevens, ten behoeve van de coördinatie en analyse in het kader
van het verhogen van de weerbaarheid ten aanzien van terrorismebestrijding en bescherming
van de nationale veiligheid, door het versterken van de weerbaarheid van de samenleving
en daarbij de nodige waarborgen op te nemen voor de bescherming van de persoonlijke
levenssfeer» vervangen door «een wettelijke grondslag te bieden voor de coördinatie
ten aanzien van terrorismebestrijding en de bescherming van de nationale veiligheid
ten behoeve van het verhogen van de weerbaarheid tegen dreigingen en risico’s en daarbij
de nodige waarborgen op te nemen voor de bescherming van de persoonlijke levenssfeer».

C

Artikel 2 komt te luiden:

Artikel 2. Coördinatietaak

1. Onverminderd de taken en bevoegdheden van betrokken overheidsorganisaties op grond
van de op hen toepasselijke wetgeving, coördineert Onze Minister de samenhang en effectiviteit
van het beleid en de door overheidsorganisaties te nemen maatregelen in het kader
van terrorismebestrijding en de bescherming van de nationale veiligheid, met het oog
op het verhogen van de weerbaarheid tegen dreigingen en risico’s, het beschermen van
de nationale veiligheidsbelangen en het voorkomen van maatschappelijke ontwrichting.

2. De in het eerste lid bedoelde taak ziet op:

a. het bevorderen van de samenwerking tussen betrokken overheidsorganisaties en maatschappelijke
organisaties;

b. het bevorderen van de informatiedeling tussen betrokken overheidsorganisaties voor
zover dit noodzakelijk is met het oog op het treffen van maatregelen naar aanleiding
van een concrete gebeurtenis;

c. het bevorderen van de samenhang en effectiviteit van het in het eerste lid bedoelde
beleid en het evalueren van dit beleid, met name naar aanleiding van de concrete toepassing
van het beleid en genomen maatregelen in de praktijk en, indien de evaluatie daartoe
aanleiding geeft, het op basis daarvan in samenwerking met betrokken overheidsorganisaties
ontwikkelen van voorstellen voor verbetering.

3. In verband met de taak, bedoeld in het eerste lid, kan Onze Minister trends en
fenomenen signaleren, analyseren en duiden. In dat kader wordt geen onderzoek gedaan
gericht op personen, of organisaties.

D

Artikel 3 komt te luiden:

Artikel 3. Gegevensverwerking

1. Onze Minister kan, voor zover dit noodzakelijk is voor de uitvoering van de in
artikel 2 bedoelde taak, gegevens, waaronder persoonsgegevens, verwerken:

a. afkomstig uit publiek toegankelijke bronnen;

b. ontvangen op grond van artikel 6.

2. Bij het gebruik van de in het eerste lid, onderdeel a, bedoelde bronnen wordt,
indien dit onlinebronnen zijn, geen gebruik gemaakt van technische hulpmiddelen die
op basis van profilering persoonsgegevens verzamelen, analyseren en combineren.

3. Bij algemene maatregel van bestuur worden regels gesteld met betrekking tot te
nemen technische, personele en organisatorische maatregelen, waaronder regels over
functiescheiding, autorisatie voor het gebruik van bepaalde systemen, opslag en beveiliging.

4. Persoonsgegevens afkomstig uit publiek toegankelijke onlinebronnen, met uitzondering
van bronnen die onder het toepassingsbereik van artikel 85 van de Algemene verordening
gegevensbescherming en artikel 43 van de Uitvoeringswet Algemene verordening gegevensbescherming
vallen, worden binnen een jaar na opslaan vernietigd of gepseudonimiseerd, tenzij
dit vanwege het doeleinde van de verwerking niet mogelijk is. De resterende persoonsgegevens
worden uiterlijk binnen vijf jaar na opslaan vernietigd, met dien verstande dat uitsluitend
met het oog op de afhandeling van een inzageverzoek of een procedure in rechte deze
gegevens langer bewaard kunnen worden, voor zover dat voor deze doeleinden noodzakelijk
is.

5. In afwijking van het vierde lid kan de bewaartermijn van persoonsgegevens na advies
van de in artikel 4 bedoelde functionaris voor gegevensbescherming telkens met vijf
jaar worden verlengd, indien deze verlenging noodzakelijk is voor het signaleren,
analyseren en duiden van een trend of fenomeen als bedoeld in artikel 2, derde lid
en deze verlenging geringe gevolgen heeft voor de bescherming van de persoonlijke
levenssfeer van betrokkene.

6. Persoonsgegevens die voorkomen in gegevens verwerkt op grond van het eerste lid,
onderdeel b, worden vernietigd zodra zij niet langer noodzakelijk zijn voor de uitvoering
van de in artikel 2 bedoelde taak, doch uiterlijk vijf jaar na de laatste verwerking.

7. Onze Minister is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens
op grond van deze wet.

E

Artikel 4 komt te luiden:

Artikel 4. Functionaris gegevensbescherming

Onze Minister benoemt een functionaris voor gegevensbescherming die in het bijzonder
is belast met de taken, bedoeld in artikel 37 van de Algemene verordening gegevensbescherming,
ten aanzien van de verwerking van persoonsgegevens op grond van deze wet.

F

Artikel 5 wordt als volgt gewijzigd:

1. In het eerste lid wordt «4, derde lid» vervangen door «3, eerste lid».

2. In het eerste en tweede lid, wordt «de verwerkingsverantwoordelijke» vervangen
door «Onze Minister».

G

Na artikel 5 wordt een artikel ingevoegd luidende:

Artikel 5a. Toetsing en rapportage

Onze Minister laat de wijze waarop uitvoering wordt gegeven aan zijn in artikel 2
bedoelde taak toetsen. Een rapportage van de resultaten van deze toetsing wordt aan
de Staten-Generaal gezonden.

H

In artikel 6 wordt «artikel 3, eerste lid, onderdeel a, bedoelde taken» vervangen
door «artikel 2 bedoelde taak».

I

Artikel 7 komt te luiden:

Artikel 7. Gegevensverstrekking door Onze Minister

1. Onze Minister kan ten behoeve van de in artikel 2 bedoelde taak, gegevens, waaronder
persoonsgegevens, verstrekken aan:

a. de in artikel 6, aanhef en onderdelen a tot en met e, bedoelde verwerkingsverantwoordelijken;

b. de politie in verband met haar taken op grond van artikel 3 van de Politiewet 2012;

c. de Koninklijke Marechaussee in verband met haar taken op grond van artikel 4 van
de Politiewet 2012;

d. het openbaar ministerie in verband met zijn taken op grond van artikel 124 van
de Wet op de rechterlijke organisatie;

e. de diensten, genoemd in artikel 1, onderdeel a, van de Wet op de inlichtingen-
en veiligheidsdiensten 2017, in verband met de uitvoering van de taken op grond van
die wet;

f. Onze Minister die het aangaat, voor zover de verstrekking noodzakelijk is in verband
met de bij of krachtens de wet aan hem opgedragen taken.

2. Onze Minister verstrekt persoonsgegevens gepseudonimiseerd, tenzij dit vanwege
de doeleinden van de verwerking niet mogelijk is. Persoonsgegevens worden voor openbaarmaking
geanonimiseerd, tenzij dit vanwege de doeleinden van de verwerking niet mogelijk is.

3. Onverminderd artikel 2, derde lid, ziet een verstrekking als bedoeld in het eerste
lid niet op een duiding van de uitingen van een persoon waardoor die persoon in verband
wordt gebracht met een trend of fenomeen.

J

In artikel 8, eerste en tweede lid, wordt «taken» vervangen door «taak».

K

In artikel 11 wordt «Wet verwerking persoonsgegevens coördinatie en analyse terrorismebestrijding
en nationale veiligheid» vervangen door «Wet coördinatie terrorismebestrijding en
nationale veiligheid».

TOELICHTING

Op 2 juni 2022 vond het debat plaats over de werkwijze van de NCTV (nationaal coördinator
terrorismebestrijding en veiligheid). Tijdens dit debat heb ik toegezegd naar aanleiding
van de zorgen die door de Kamer zijn geuit op een zorgvuldige wijze te kijken naar
een wijziging van het wetsvoorstel. Daarnaast zijn gedurende het debat een aantal
moties aangenomen1, waaronder de motie van het lid van der Plas2 waarin de Kamer het kabinet oproept om te onderzoeken op welke wijze de functies
die de NCTV binnen de nationale crisisstructuur vervult verder losgekoppeld kunnen
worden van de analysefuncties waar de NCTV zich mee bezighoudt. Daarbij is toegezegd
de uitvoering van deze motie te betrekken bij de behandeling van het wetsvoorstel.
Inmiddels is ter uitvoering van de betreffende motie een rapportage met aanbevelingen
afgerond en aangeboden aan de Tweede Kamer middels brief van 16 februari 2023.3 Daarbij is tevens aangegeven dat nu het wetsvoorstel niet ziet op de nationale crisisstructuur
de opvolging van de in brief opgenomen aanbevelingen verder buiten het traject van
dit wetsvoorstel ter hand wordt genomen.

De periode na het debat heb ik de verschillende mogelijkheden onderzocht waarop aanpassing
van het wetsvoorstel mogelijk is en wat dit zou betekenen. In bijgaande nota van wijziging
is het resultaat hiervan opgenomen. De voorgestelde wijzigingen zien op de volgende
uitgangspunten:

– terug naar de kerntaak van de NCTV, namelijk coördineren;

– versterken van de controle op het naleven van de regels opgenomen in het wetsvoorstel.

Met de voorgestelde wijzigingen wordt een toekomstbestendig kader gecreëerd dat zowel
recht doet aan het belang van het werk van de NCTV, als aan de controleerbaarheid
van de werkzaamheden van de NCTV in de toekomst en de bescherming van persoonsgegevens
in overeenstemming met de Algemene verordening gegevensbescherming (AVG). Daarnaast
is van de gelegenheid gebruik gemaakt om enkele technische en redactionele verbeteringen
aan te brengen.

Het eerste uitgangspunt aan de hand waarvan wijzigingen zijn doorgevoerd is een uitvloeisel
van een herbezinning op de kerntaak van de NCTV. Zoals aan bod kwam in paragraaf 2.1
van de memorie van toelichting bij het wetsvoorstel, is de toenmalige NCtb opgericht
om te coördineren en zo versnippering en het gebrek aan regie op het terrein van terrorismebestrijding,
en later ook de nationale veiligheid, tegen te gaan. Daarbij werd een gemeenschappelijk
beleidskader en een centrale organisatie wezenlijk gevonden. Met de voorgestelde wijzigingen
wordt vastgelegd dat coördineren de primaire taak van de NCTV is. Het analyseren van
trends en fenomenen die van belang zijn voor terrorismebestrijding en nationale veiligheid
kan dan ook geen op zichzelf staand doel zijn. De analysetaak keert dan ook niet terug
als zelfstandige taak in het wetsvoorstel, met dien verstande dat het uiteraard wel
van belang blijft om op basis van afdoende kennis te coördineren. De NCTV maakt daartoe
geïntegreerde analyses vanuit breed maatschappelijk oogpunt op basis van inlichtingen,
analyses en informatie van ketenpartners (zoals AIVD, politie, wetenschap en overige
ministeries), aangevuld met eigen expertise. Daar hoort niet bij dat analyses worden
verstrekt aan organisaties naar aanleiding van een vraag of bepaalde uitingen van
een persoon passen binnen een bepaalde trend of een bepaald fenomeen. Daar hoort ook
niet bij dat personen ten gevolge van een dergelijke analyse in verband kunnen worden
gebracht met een trend of fenomeen. In de memorie van toelichting bij het wetsvoorstel
werd dit aangeduid als de zogenoemde «korte analyses». Deze mogelijkheid wordt met
deze nota van wijziging expliciet uitgesloten (artikel I, nieuw artikel 7, derde lid).
Dit ligt feitelijk in het verlengde van de reeds in het wetsvoorstel opgenomen bepaling
dat er geen onderzoek wordt gedaan gericht op personen.

Concreet betekent dit het volgende.

Voor een goede uitvoering van de coördinatietaak en de doelstellingen die daarmee
worden nagestreefd blijft het noodzakelijk om over een bepaald kennisniveau te beschikken.
Het verhogen van de weerbaarheid tegen terroristische dreigingen en risico’s en andere
dreigingen en risico’s voor de nationale veiligheid vereist kennis van trends en fenomenen
die hierop van invloed zijn. En met de ontwikkeling van de maatschappij naar een wereld
waar trends en fenomenen zich mede ontwikkelen in discussies die zich grotendeels
hebben verplaatst naar het digitale domein, geldt dat het raadplegen van publieke
bronnen waar deze discussies worden gevoerd noodzakelijk is. Tevens geldt ten algemene
dat veel informatie online te vinden is en zodra deze informatie persoonsgegevens
bevat kan er al snel sprake zijn van een verwerking in de zin van de AVG.4 Zonder kennis van wat er speelt is de NCTV niet goed in staat de coördinerende rol
goed te vervullen en de juiste overheidsorganisaties te betrekken en bijeen te brengen.

Voor de werkwijze van de NCTV betekent de aanpassing in de taak zoals die is opgenomen
in het wetsvoorstel verschillende dingen, al naar gelang de specifieke situatie die
het betreft.

Daarbij dient te worden benadrukt dat er veel verschillende situaties aan de hand
kunnen zijn die verschillende werkzaamheden en handelen vergen.

Een aanleiding om over te gaan tot coördinatie kan bijvoorbeeld gevormd worden door
een concrete gebeurtenis of een concreet incident. Afhankelijk van de situatie kunnen
direct coördinerende werkzaamheden opgestart worden, maar kan het ook noodzakelijk
zijn om eerst een beoordeling te maken van de vraag of en zo ja in welke mate coördinatie
vereist is. Het kan zijn dat daarbij bepaalde basisinformatie uitgezocht dient te
worden, maar nog geen sprake is van analysewerkzaamheden ten aanzien van trends en
fenomenen. In andere gevallen kan het wel noodzakelijk zijn om analysewerkzaamheden
te verrichten doordat een inschatting gemaakt dient te worden van de gevolgen van
die gebeurtenis op een bepaalde trend of fenomeen, waarvoor het nodig kan zijn om
publiek toegankelijke onlinebronnen, waaronder social media, te raadplegen zodat een
inschatting gemaakt kan worden van de aard en het effect van het incident of de gebeurtenis
op een bepaalde trend of fenomeen. Op basis van deze inschatting worden vervolgens
indien noodzakelijk coördinerende werkzaamheden opgestart, bijvoorbeeld omdat sprake
is van een nog niet onderkend fenomeen. Deze coördinatie kan dan inhouden dat ketenpartners,
bijvoorbeeld gemeenten, bijeengebracht worden en waar nodig een aanpassing van het
beleid plaats vindt. Een andere aanleiding kan gevormd worden door berichtgeving in
de media of vragen vanuit de politiek over een bepaalde situatie. In deze gevallen
is er sprake van een noodzaak tot het kunnen maken van een actuele en korte inschatting
van een bepaalde situatie met het oog op het kunnen beoordelen van de noodzaak van
coördineren en de mate waarin wordt gecoördineerd. In alle gevallen geldt dat het
vergaren van informatie voor coördinatiewerkzaamheden zich niet kan uitstrekken tot
het doen van onderzoek gericht op personen of organisaties.

Een andere reden om over te gaan tot analysewerkzaamheden met het oog op het kunnen
uitvoeren van de coördinatietaak is de noodzaak om op basis van kennis van trends
en fenomenen te kunnen coördineren. Daarbij geldt dat er tevens sprake is van een
wisselwerking. Fenomeenkennis ontstaat ook door kennis opgedaan bij de coördinatie
naar aanleiding van gebeurtenissen en incidenten. Op het terrein van de nationale
veiligheid zijn meerdere spelers met ieder een eigen rol, vanuit de eigen taken en
bevoegdheden. Uiteraard geldt hier dat een belangrijke rol is weggelegd voor de inlichtingen-
en veiligheidsdiensten maar bijvoorbeeld ook de politie. De AIVD heeft een bijzondere
rol omdat deze dienst een taak heeft ten aanzien van het doen van onderzoek gericht
op personen en organisaties. Bij de NCTV komt als coördinator veel informatie samen
en wordt de samenwerking en een samenhangend beleid bevorderd. Daarbij geldt dat vanuit
de NCTV ook wordt gekeken naar vroegtijdige signalering van nieuwe ontwikkelingen
met het oog op het ontwikkelen van preventief beleid. Hierbij geldt dat er sprake
is van nauwe samenwerking en afstemming. Dit proces is dynamisch omdat trends en fenomenen
ook samenhangen met actuele gebeurtenissen en incidenten.

Het voorgaande zal in de werkprocessen verankerd worden zodat er steeds beslismomenten
zijn over de noodzaak tot bepaalde type werkzaamheden en de voortzetting daarvan.

Daarmee wordt ook recht gedaan aan de beginselen van proportionaliteit en subsidiariteit
doordat de noodzaak op verschillende momenten opnieuw wordt bezien. Maar die proportionaliteit
en subsidiariteit komen ook op andere manieren terug, namelijk bij de wijze waarop
vervolgens om wordt gegaan met de persoonsgegevens die nog wel kunnen worden verwerkt.

Daarbij kan onderscheid worden gemaakt tussen het opslaan van gegevens in de systemen
van de NCTV («inkomend») en het verstrekken van gegevens door de NCTV aan andere organisaties
(«uitgaand»).

In het wetsvoorstel was reeds geregeld dat er beschermingsmaatregelen worden getroffen
voor persoonsgegevens die worden opgeslagen in de systemen van de NCTV, doordat bij
algemene maatregel van bestuur regels worden gesteld met betrekking tot te nemen technische,
personele en organisatorische maatregelen, waaronder regels over functiescheiding,
autorisatie voor het gebruik van bepaalde systemen, opslag en beveiliging (met de
nota van wijziging verplaatst van artikel 4, vierde lid, naar artikel 3, derde lid).
Daarnaast wordt met de nota van wijziging een aantal waarborgen verder verduidelijkt
en ingeperkt aan de hand van een «trechtermodel», zodat verzekerd is dat persoonsgegevens
niet langer bewaard worden dan noodzakelijk. Daarbij is van belang dat onder het begrip
«publieke toegankelijke onlinebronnen» meerdere type bronnen zijn te onderscheiden.
Krantenartikelen en wetenschappelijke artikelen zijn namelijk ook publiek toegankelijke
(online) bronnen. Deze bronnen worden uitgesloten van de opgenomen vernietigingsplicht
ten aanzien van persoonsgegevens. Naast het feit dat dit type gegevens eenvoudig opnieuw
«vergaard» zou kunnen worden, is het vernietigen van krantenberichten en dergelijke
disproportioneel voor het doel dat daarmee gediend wordt. Voor het bepalen van de
reikwijdte van deze categorie wordt aangesloten bij artikel 85 van de Algemene verordening
gegevensbescherming (AVG) en artikel 43 van de Uitvoeringswet Algemene verordening
gegevensbescherming die zien op «journalistieke doeleinden en ten behoeve van uitsluitend
academische, artistieke of literaire uitdrukkingsvormen». Voor alle andere persoonsgegevens
die afkomstig zijn van publiek toegankelijke onlinebronnen geldt vervolgens dat binnen
een jaar een schifting heeft plaatsgevonden, waarbij persoonsgegevens ofwel worden
vernietigd, ofwel gepseudonimiseerd, ofwel behouden als geen van beide mogelijk is
(artikel 3, vierde lid).

In dit kader is het van belang om eerst een aantal begrippen te verduidelijken. Bij
persoonsgegevens in de zin van de AVG gaat het niet alleen om gegevens aan de hand
waarvan een persoon rechtstreeks geïdentificeerd kan worden (een «geïdentificeerde»
persoon). Ook gegevens aan de hand waarvan iemand indirect geïdentificeerd kan worden
kunnen persoonsgegevens zijn (een «identificeerbare» persoon).5 Met name die laatste categorie kan in de praktijk moeilijker af te bakenen zijn.
Het anonimiseren en pseudonimiseren van persoonsgegevens vormen belangrijke beschermings-
en beveiligingsmaatregelen. Pseudonimiseren betekent dat persoonsgegevens door het
gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld,
waardoor deze persoon identificeerbaar is. Om te kunnen bepalen of een persoon identificeerbaar
is dient rekening te worden gehouden met alle middelen waarvan redelijkerwijs valt
te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door
een andere persoon om de natuurlijke persoon direct of indirect te identificeren.
Of er sprake is van «middelen waarvan redelijkerwijs valt te verwachten dat zij zullen
worden gebruikt» moet rekening worden gehouden met alle objectieve factoren. Het gaat
bijvoorbeeld om de kosten van en de tijd benodigd voor identificatie, met inachtneming
van de beschikbare technologie op het tijdstip van verwerking en de technologische
ontwikkelingen. De AVG is niet van toepassing op anonieme gegevens, dat wil zeggen
persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet meer identificeerbaar
is.6 Bij gegevens die verstrekt worden aan andere partijen geldt daarbij dat het van belang
is de positie van de ontvanger te betrekken. Met andere woorden, is de ontvanger in
staat met «redelijke middelen» een persoon te (her)identificeren.7

Deze definiëring maakt ook dat voor de vraag of er sprake is van anonimisering of
pseudonimisering relevant is welke middelen redelijkerwijs ingezet kunnen worden om
een persoon te (her)identificeren en door wie.

Voor persoonsgegevens die voorkomen in gegevens die afkomstig zijn van publiek toegankelijke
onlinebronnen, met uitzondering van de hierboven genoemde categorie van kort gezegd
kranten en boeken die worden opgeslagen met het oog op het kunnen analyseren, signaleren
en duiden van trends en fenomenen geldt dat binnen een jaar:

– Persoonsgegevens worden vernietigd, of indien dit niet mogelijk is;

– Persoonsgegevens worden gepseudonimiseerd, of indien niet mogelijk is:

– Persoonsgegevens langer worden bewaard.

Voor wat betreft pseudonimisering geldt dat dit betekent dat de personen die toegang
hebben tot deze gegevens niet over de aanvullende gegevens kunnen beschikken die voor
identificatie van personen vereist is. Deze pseudonimisering biedt met name bescherming
tegen bijvoorbeeld datalekken. Binnen de organisatie zijn immers de aanvullende gegevens
beschikbaar om pseudonimisering ongedaan te maken. Dat neemt niet weg dat dit een
belangrijke beschermingsmaatregel is doordat derden niet over deze gegevens beschikken.

Het onderdeel «niet mogelijk» in bovengenoemd stroomschema ziet op twee aspecten,
namelijk zowel de noodzaak tot behoud van de betreffende persoonsgegevens gelet op
het doel waarvoor deze zijn opgeslagen, als de vraag indien de betreffende persoonsgegevens
behouden dienen te blijven in welke vorm dat nodig en mogelijk is. Zoals hierboven
al bod kwam, kan het onmogelijk zijn om persoonsgegevens te pseudonimiseren omdat
aan de hand van aanvullende gegevens identificatie alsnog mogelijk is en deze aanvullende
gegevens redelijkerwijs ingezet kunnen worden door een persoon. Als deze aanvullende
gegevens namelijk zien op zeer openbare informatie, dan is de vraag of pseudonimisering
wel mogelijk is. Niettemin kan het weghalen van direct identificerende persoonsgegevens
ook dan meerwaarde hebben. Ter illustratie: het pseudonimiseren van een zeer bekend
persoon kan onmogelijk zijn omdat uit de context onmiddellijk zal blijken om wie het
gaat. Als pseudonimisering echter alleen door andere personen binnen de organisatie
ongedaan kan worden gemaakt, maar niet door derden of door de personen die toegang
hebben tot de gepseudonimiseerde persoonsgegevens, dan is pseudonimisering wel mogelijk.

Binnen uiterlijk vijf jaar dienen alle resterende persoonsgegevens afkomstig van social
media vernietigd te zijn (artikel 3, vierde lid). Hiervoor gelden twee uitzonderingen.
Voor de eerste categorie geldt dat deze gegevens wel beschikbaar blijven voor de coördinatietaak,
maar dat deze gegevens van dusdanige publieke aard zijn, dat de gevolgen voor de bescherming
van de persoonlijke levenssfeer gering zijn, terwijl deze gegevens nog wel van belang
zijn voor een trend of fenomeen. Voor deze categorie geldt dat na advies van de functionaris
voor gegevensbescherming, die hierna aan bod komt, de bewaartermijn telkens met vijf
jaar kan worden verlengd (artikel 3, vijfde lid). Een voorbeeld betreft het manifest
van Anders Breivik. Dit manifest is van publieke aard waardoor de gevolgen voor de
persoonlijke levenssfeer van deze betrokkene van het langer bewaren van zijn persoonsgegevens
beperkt zijn. Vanwege de impact van de gebeurtenissen rondom Anders Breivik kan het
manifest echter wel voor langere duur van belang zijn voor het analyseren van een
trend of fenomeen. Voor de tweede categorie binnen de uitgezonderde categorie geldt
dat de gegevens niet voor de coördinatietaak beschikbaar blijven, maar voor andere
doeleinden langer bewaard moeten blijven, namelijk het kunnen afhandelen van inzageverzoeken
van betrokkenen of rechtszaken die daarmee samenhangen (artikel 3, vierde lid). Indien
bijvoorbeeld een procedure bij een rechtbank aanhangig is waarbij persoonsgegevens
betrokken zijn die onder de vernietigingsplicht vallen, worden deze vernietigd in
de systemen die worden gebruikt voor de coördinatietaak. Het dossier voor de rechtszaak
bevat deze gegevens nog wel om de rechtszaak te kunnen afhandelen.

Ten aanzien van de verstrekking van gegevens door de NCTV (uitgaande processen) geldt
dat het wetsvoorstel een gesloten systeem bevat. Een verstrekking van gegevens waarin
persoonsgegevens zijn opgenomen is alleen mogelijk aan de in artikel 7 opgenomen partijen.

Daarnaast geldt dat het afhankelijk is van de concrete situatie of en zo ja op welke
wijze deze verstrekking mogelijk is. De opgenomen hoofdregel is dat persoonsgegevens
gepseudonimiseerd worden verstrekt, tenzij dit vanwege het doeleinde van de verwerking
niet mogelijk is. Bij openbaarmaking geldt anonimisering als hoofdregel. Bij bepaalde
coördinerende werkzaamheden is het niet mogelijk om deze te verrichten zonder dat
er persoonsgegevens worden verstrekt aan de betrokken ketenpartners en kan dit ook
niet op gepseudonimiseerde wijze. In het geval van bijvoorbeeld noodzakelijke coördinerende
werkzaamheden rond een terugkerende Syriëganger die vervolgd dient te worden, kan
het verstrekken van bijvoorbeeld de naam waarschijnlijk onvermijdelijk zijn. Verder
kan het pseudonimiseren van persoonsgegevens in bepaalde gevallen onmogelijk zijn
omdat een persoon dusdanige bekendheid geniet dat altijd herleidbaar is om wie het
gaat. Ook hier geldt dat het meestal om publieke personen zal gaan. Daarbij geldt
overigens ook dat in die gevallen de verwachting is dat de bescherming die pseudonimiseren
biedt niet nodig is. Het benoemen van een president van een land als onderdeel van
een beschrijving van gebeurtenissen zal bijvoorbeeld geen schade berokkenen aan de
betreffende president.

Een belangrijke waarborg ten aanzien van de verstrekking van analyses is zoals hierboven
reeds opgemerkt dat expliciet wordt uitgesloten dat er een duiding plaatsvindt van
uitingen van een persoon die juist door die duiding worden geassocieerd met een bepaalde
trend of een bepaald fenomeen dat een dreiging of risico vormt voor de nationale veiligheid
(artikel 7, derde lid). Met uitingen wordt bedoeld alle vormen van gedragingen en
uitspraken die wijzen op een bepaald gedachtegoed. De achterliggende gedachte is uit
te sluiten dat een analyse van de NCTV er de oorzaak van is dat een persoon in verband
wordt gebracht met een trend of fenomeen. Omgekeerd betekent dit dat er wel ruimte
is om bepaalde publieke personen die reeds op andere wijze in verband zijn gebracht
met een trend of fenomeen wel benoemd kunnen worden. Het «op andere wijze in verband
gebracht» kan op verschillende manieren plaatsvinden. Van belang is in ieder geval
dat er sprake is van een bepaalde algemene bekendheid in relatie tot de trend en het
fenomeen. Dit kan zijn omdat het om een persoon gaat die zelf publiekelijk op de voorgrond
treedt als vertegenwoordiger van een trend of fenomeen, zoals een leider van ISIS.
Ook kan het gaan om een persoon die bekend is geworden vanwege een gebeurtenis die
gelinkt is aan een trend of fenomeen, zoals bijvoorbeeld de gebeurtenissen rondom
Anders Breivik. Wat niet mogelijk is, is dat in een analyse een persoon wordt genoemd
en die persoon vervolgens door die analyse in verband wordt gebracht met bijvoorbeeld
gewelddadig gedachtegoed. Het is geen taak van de NCTV om antwoord te geven op de
vraag of een persoon als gevaar voor de nationale veiligheid kan worden beschouwd
omdat het gedachtegoed van die persoon aangemerkt kan worden als passend binnen een
trend of fenomeen zoals jihadisme.

Deze normering geldt naast de bepaling dat het kunnen opstellen van analyses van trends
en fenomenen geen onderzoek kan worden gedaan gericht op personen en organisaties.
Overigens geldt ten aanzien van publieke organisaties eveneens dat het niet doen van
onderzoek gericht op organisaties niet wegneemt dat organisaties een rol kunnen spelen
in een trend of fenomeen en dus voor kunnen komen in producten van de NCTV. Een voorbeeld
betreft «Een perspectief op de transformatie van ISIS na de val van het «kalifaat»».
De kennis van trends en fenomenen en eventuele analyses die daaruit volgen zullen
echter altijd in het licht dienen te staan van de coördinerende taak.

Een belangrijk gevolg van het voorgaande is ook dat het daarmee niet langer mogelijk
is dat overheidsorganisaties, zoals gemeenten, een beroep doen op de kennis van de
NCTV bij de vraag of uitingen van een persoon die zich in die gemeente begeeft passen
binnen een bepaalde trend of een bepaald fenomeen indien die persoon niet al onderwerp
is geweest van bijvoorbeeld betrokkenheid bij een terroristische aanslag. Mocht de
NCTV een dergelijk verzoek ontvangen, dan zal al naar gelang de concrete vraag die
gesteld wordt, worden verwezen naar de AIVD of de politie, die uiteraard een eigen
afweging maken of de gestelde vraag past binnen de aan hen toebedeelde taken en verantwoordelijkheden.
Het ontvangen van meer algemene informatie over trends en fenomenen blijft overigens
wel mogelijk.

Het tweede gehanteerde uitgangspunt is een versterking van «checks and balances»,
wat concreet betekent dat als een bepaalde taak wordt toegekend, er een tegenwicht
georganiseerd dient te worden die in verhouding staat tot die taak. Met de bovengenoemde
wijziging is er al sprake van een inperking, doordat de analysetaak als zelfstandige
taak wegvalt en tevens de mogelijkheid tot het verstrekken van de zogenoemde «korte
analyses» wordt geschrapt. Niettemin wordt voorzien in aanvullende waarborgen ter
versterking van de controle op de werkzaamheden van de NCTV, naast de controlemechanismen
die al in het wetsvoorstel zijn opgenomen zoals de verplichting tot het uitvoeren
van een gegevensbeschermingsaudit.

Ten eerste zal het toezicht op de naleving van de AVG en de bepalingen in het wetsvoorstel
die zien op de verwerking van persoonsgegevens worden versterkt door te voorzien in
de benoeming van een functionaris voor gegevensbescherming (f-g), specifiek voor de
toepassing van dit wetsvoorstel. De taken en positie van een f-g worden rechtstreeks
geregeld door de AVG. Een f-g is een interne, onafhankelijke toezichthoudende functionaris.
De AVG regelt rechtstreeks zijn taken en zijn onafhankelijke positie. Een f-g wordt
aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn
deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming
en zijn vermogen om zijn taken onder de AVG te vervullen. Daarnaast werkt een f-g
samen met de Autoriteit Persoonsgegevens (AP). Door te voorzien in de benoeming van
een f-g specifiek ten aanzien van de verwerking van persoonsgegevens onder dit wetsvoorstel,
wordt de zogenoemde «accountability» van de NCTV aanzienlijk versterkt. Ten tweede
zal naast toezicht door de f-g en de AP op de naleving van regels inzake de verwerking
van persoonsgegevens, de Inspectie Justitie en Veiligheid (IJenV) toe gaan zien op
de naleving van de normen in het wetsvoorstel die niet zien op de verwerking van persoonsgegevens.
De IJenV heeft als Rijksinspectie een goede kennis van de domeinen van JenV en vervult
uit dien hoofde al een belangrijke rol in de controle op de uitvoering van de taken
door het Ministerie, waaronder cybersecurity en nationale veiligheid.

Van belang is daarbij uiteraard dat de IJenV over afdoende capaciteit en expertise
beschikt. Daarnaast geldt dat de IJenV de frequentie van controles moet kunnen aanpassen
aan haar bevindingen. Met de IJenV vindt dan ook in het kader van de voorbereiding
op de uitvoering afstemming plaats over de vraag wat de IJenV nodig heeft om zijn
taak op een goede manier te kunnen uitvoeren zodat daar rekening mee gehouden kan
worden. De huidige inschatting is dat de capaciteitsinzet ongeveer 2 fte bedraagt.
Ter uitvoering van het wetsvoorstel wordt gewerkt aan een algemene maatregel van bestuur.
Op het moment dat het ontwerp gereed is voor consulatie zal tevens de IJenV worden
gevraagd een actuele inschatting te maken van de benodigde capaciteit bij gelegenheid
van het verrichten van de uitvoeringstoets. Voor wat betreft de benodigde expertise
geldt dat de IJenV reeds ervaring heeft in het domein nationale veiligheid, zoals
cybersecurity, maar bijvoorbeeld ook ten aanzien van de nationale veiligheidsstrategie.

Daarnaast geldt dat het van belang is dat er tussen de IJenV en de AP onderling overleg
kan plaatsvinden waar dat nodig is om hun werkzaamheden af te stemmen. Uiteraard is
het aan de IJenV en de AP om hier in onderling overleg vorm aan te geven, bijvoorbeeld
door het sluiten van een convenant. Als Minister is het van belang om de omstandigheden
te creëren dat beide toezichthouders hun werk kunnen doen, maar uiteraard niet te
treden in de eigen professionele afwegingen van deze organisaties waaronder het oordeel
over de frequentie van het toezicht. Wellicht ten overvloede geldt tot slot dat zoals
gebruikelijk de ontwerp-amvb aan de AP zal worden voorgelegd voor advies.

Met deze communicerende vaten wordt voorzien in optimale controle op de werkwijze
van de NCTV, ook in de toekomst.

Voor de financiële kant geldt dat de kosten voor de f-g binnen de NCTV binnen het
huidige financiële kader NCTV opgevangen zullen worden. Dat geldt ook voor de kosten
die de IJenV zal moeten maken voor de uitvoering van de toezichts- en rapportageverplichting.
Dit zal in totaal ongeveer 2 fte beslaan (€ 230.000). Er zijn geen verdere administratieve
en uitvoeringslasten bij partijen buiten de NCTV aan verbonden.

Artikelsgewijs

A, B en K

Het opschrift, het «gelet op» in de considerans en de citeertitel worden aangepast
aan de inperking van de taak opgenomen in het wetsvoorstel. Tevens wordt een vereenvoudiging
doorgevoerd door deze kernachtiger te formuleren.

C

In het oorspronkelijke wetsvoorstel was in artikel 2 een reikwijdte bepaling opgenomen
met daarin tevens de doelstellingen opgenomen van de taken. De taken zelf waren opgenomen
in artikel 3. Ter vereenvoudiging van het wetsvoorstel zijn de artikelen 2 en 3 samengevoegd
in een nieuw artikel 2, waarin zowel de taak als de doelstellingen die met de taak
worden nagestreefd zijn opgenomen nu deze onlosmakelijk zijn verbonden. De analysetaak
als zelfstandige taak is daarin geschrapt. Daarnaast zijn redactionele verbeteringen
aangebracht.

In het voorgestelde eerste en tweede lid van artikel 2 is de coördinatietaak vastgelegd.
In het eerste lid is het «beschermen van vitale belangen van de samenleving» vervangen
door het meer actueel gehanteerde begrip «beschermen van nationale veiligheidsbelangen».
Inhoudelijk is geen verschil beoogd. Daarnaast is verduidelijkt dat ook maatschappelijke
organisaties een rol kunnen spelen in de samenwerking met overheidsorganisaties, bijvoorbeeld
in de aanpak van extremisme en terrorisme (onderdeel a). In het tweede lid is tevens
verduidelijkt dat het bewaken van de samenhang van beleid van belang is (onderdeel
c).

In het derde lid is tot slot uitdrukking gebracht dat met het oog op deze coördinatietaak
analyses van trends en fenomenen opgesteld kunnen worden, met dien verstande dat dit
– net als in het oorspronkelijke wetsvoorstel – geen bevoegdheid inhoudt tot het doen
van onderzoek gericht op personen of organisaties.

D

Het voorstelde artikel 3 betreft een technisch en redactioneel aangepaste versie van
het in het oorspronkelijke wetsvoorstel opgenomen artikel 4 over gegevensverwerking.
De volgende leden keren niet terug. Het oorspronkelijke eerste lid (waarin werd vastgelegd
dat de verwerking van (persoons)gegevens alleen mogelijk was onder de voorwaarden
opgenomen in het artikel) en het oorspronkelijke onderdeel c van het derde lid (verwerking
van gegevens ontvangen van andere dan in artikel 6 bedoelde overheidsorganisaties)
keren beide niet terug in het artikel omdat dit reeds volgt uit andere bepalingen
in het wetsvoorstel. Het spreekt voor zich dat verwerking alleen mogelijk is voor
zover dit toegestaan is door het wetsvoorstel en de AVG. Het onderdeel «ontvangen
van andere dan de in artikel 6 bedoelde overheidsorganisaties» volgt feitelijk al
uit onderdeel f van artikel 6 en is daarmee al in inbegrepen in artikel 3, eerste
lid, onderdeel b (nieuw).

Artikel 3, eerste, tweede en derde lid, zijn inhoudelijk verder gelijk aan het oorspronkelijk
in het wetsvoorstel opgenomen artikel 4, derde lid, onderdelen a en b, vierde en vijfde
lid.

In artikel 3, vierde lid, is zoals toegelicht in het algemene deel vastgelegd dat
binnen een jaar na het opslaan van persoonsgegevens afkomstig van social media (publiek
toegankelijke onlinebronnen, met uitzondering van krantenberichten en dergelijke)
een schifting wordt gemaakt waarbij persoonsgegevens ofwel worden vernietigd, ofwel
gepseudonimiseerd, ofwel behouden, waarna binnen uiterlijk vijf jaar in totaal de
resterende persoonsgegevens worden vernietigd. Dit voor zover voor het doel van de
afronding van een rechterlijke procedure of een inzageverzoek deze persoonsgegevens
voor de duur van de afronding van die procedure voor dat doel behouden dienen te blijven.

In dit artikellid is een deel van de verplichting tot pseudonimiseren zoals oorspronkelijk
opgenomen in artikel 4, eerste lid (oud) opgenomen, namelijk het deel dat betrekking
heeft op het opslaan van persoonsgegevens. De plicht om als hoofdregel persoonsgegevens
te pseudonimiseren die aan andere organisaties worden verstrekt is opgenomen in artikel
7, tweede lid.

In artikel 3, vijfde lid, is de in het algemeen deel toegelichte uitzondering op de
vernietigingsplicht opgenomen voor berichtgeving waarvan het noodzakelijk is om deze
voor het signaleren, analyseren en duiden van een trend of fenomeen langer te bewaren,
terwijl de verlenging geringe gevolgen heeft voor de persoonlijke levenssfeer van
de betrokken persoon.

In artikel 3, zesde lid, is de bewaartermijn opgenomen van persoonsgegevens die niet
onder de voorgaande artikelleden vallen.

Nieuw is tot slot het zevende lid waarin wordt verduidelijkt dat de Minister van Justitie
en Veiligheid de verwerkingsverantwoordelijke is voor dit wetvoorstel.

E

Het voorgestelde artikel 4 regelt de benoeming van een functionaris voor gegevensbescherming
specifiek ter versterking van de controle op de naleving van de AVG bij de taakuitvoering
op grond van bijgaand wetsvoorstel.

F, H en J

Deze wijzigingen betreffen technische aanpassingen.

G

In het voorgestelde artikel 5a is opgenomen dat Onze Minister de wijze waarop uitvoering
wordt gegeven aan zijn taken, bedoeld in deze wet, laat toetsen, waarbij een rapportage
van de resultaten van deze toetsing aan de Staten-Generaal wordt gezonden. Dit artikel
ziet op de Inspectie Justitie en Veiligheid.

Op grond van artikel 60 van het Organisatiebesluit Ministerie van Justitie en Veiligheid
is de Inspectie Justitie en Veiligheid (IJenV) als Rijksinspectie onder meer belast
met het houden van toezicht op de uitvoering en de naleving van de wet- en regelgeving
op het terrein van het ministerie en van wet- en regelgeving op andere daartoe bij
of krachtens de wet aangewezen beleidsterreinen. Met de inwerkingtreding van bijgaand
voorstel zal de IJenV gemachtigd zijn ten aanzien van de controle op de uitvoering
en naleving van de hierin opgenomen taak. Met het voorgestelde artikel 5a wordt wettelijk
vastgelegd dat deze controle plaatsvindt en er een rapportage aan de Staten-Generaal
plaatsvindt.

I

Artikel I stelt het voorgestelde artikel 7 omwille van de leesbaarheid in zijn geheel
opnieuw vast. Daarbij is ten eerste de verwijzing naar de taken die oorspronkelijk
in de onderdelen a en b van artikel 3, eerste lid, waren opgenomen aangepast naar
de taak in het voorgestelde artikel 2 (nieuw). Een tweede wijziging ziet op de toevoeging
van een artikellid (derde lid) waarin expliciet is vastgelegd dat het wetsvoorstel
geen grondslag biedt voor het verstrekken van gegevens met daarin een duiding van
de uitingen van een persoon, waardóór die persoon in verband wordt gebracht met een
trend of fenomeen.

In het tweede lid tot slot zijn de passages over pseudonimisering en anonimisering
van persoonsgegevens die worden verstrekt samengebracht.

De Minister van Justitie en Veiligheid,
D. Yesilgöz-Zegerius