Naar aanleiding van: 'bescherming van persoonsgegevens met de AVG'

Deze weken is in de media veel aandacht voor de Algemene Verordening Gegevensbescherming (AVG). Hierin staat hoe instanties om moeten gaan met persoonsgegevens van burgers. Hoe de AIVD (persoons)gegevens behandelt die de dienst verwerkt, is geregeld in de Wet op inlichtingen- en veiligheidsdiensten 2017.

Uitzondering voor gegevens voor nationale veiligheid

De AVG, de privacywet, is een Europese wet. Zij geeft aan dat iedere burger moet weten waarvoor een instantie bepaalde gegevens nodig heeft en hoe deze verder worden verwerkt. Daarnaast regelt de AVG ook wie toezicht houdt op de naleving van de regels uit  de verordening.

In de AVG staat dat de verordening een uitzondering maakt voor gegevens die verwerkt worden omwille van de nationale veiligheid. De regels daarvoor mogen landen zelf verder invullen. In ons land hebben wij daarvoor de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017).

Wiv regelt verwerking (persoons)gegevens

In de Wiv 2017 staat waarom de AIVD bepaalde gegevens moet en kan verwerven en verwerken en waar ze voor nodig zijn.

De Wiv omvat de regels hoe moet worden omgegaan met alle vormen van gegevens die van belang zijn voor het werk van de AIVD. Het gaat daarbij niet alleen om de naam, adres en een telefoonnummer van een persoon die wij in onderzoek hebben, een ‘target’. Maar ook de gegevens van leveranciers van kantoorspullen, sollicitanten of andere relaties zijn in die zin van belang voor het werk van de AIVD. En dus vallen ook deze onder de gegevensverwerking zoals de Wiv die voorschrijft en niet onder de AVG.

Principes AVG komen terug in de Wiv

Veel onderdelen van de AVG zijn verankerd in de Wiv. Zo verplicht de Wiv 2017 de AIVD om maatregelen te treffen voor een zorgvuldige verwerking van (persoons)gegevens, de zorgplicht. Wij moeten daarom zorgen voor een goede beveiliging. Wij moeten er op toezien dat gegevens betrouwbaar zijn en dat de toegang tot die gegevens zorgvuldig is geregeld. De Wiv 2017 schrijft ook, met bewaartermijnen, voor hoe lang wij gegevens mogen bewaren.

Verstrekken van gegevens aan de AIVD

De AVG schrijft voor dat instanties aan betrokkenen moeten melden wanneer zij gegevens aan anderen verstrekken. Als dit gebeurt omdat de AIVD erom vraagt, en dus in het kader van de nationale veiligheid, dan vervalt deze verplichting voor de instantie. Als wij bijvoorbeeld van een aanbieder van een communicatiedienst bepaalde gegevens over een target willen ontvangen, dan mag deze dat niet melden aan de betrokkene.

Inzage in gegevens en notificatie

Iemand kan, net als in de AVG is opgenomen, inzage krijgen in welke gegevens de AIVD over hem heeft verwerkt. De Wiv heeft daarvoor wel bepaalde voorwaarden. Zo mag inzage geen inzicht geven in onze onderzoeksmethoden en bronnen.

De Wiv 2017 verplicht de AIVD ook om na verloop van tijd iemand te informeren als er bepaalde bijzondere bevoegdheden zijn gebruikt, als dat onderzoeken niet in gevaar brengt. Dat is vergelijkbaar met de AVG. Dat heet de notificatieplicht.

Als iemand denkt dat wij ten onrechte gegevens over hem hebben verwerkt, dan biedt de Wiv 2017 altijd nog de mogelijkheid om een klacht in te dienen.

Onafhankelijk toezicht op gegevensverwerking

Toezicht op de manier waarop de AIVD gegevens verwerft en verwerkt wordt gehouden door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Deze onafhankelijke commissie heeft toegang tot al onze systemen en mag met alle medewerkers spreken. Zij brengt met regelmaat openbare rapporten uit.

In de rubriek ‘Naar aanleiding van’ geeft de AIVD algemene duiding bij gebeurtenissen of berichten in de media die te maken hebben met het werk van de dienst.