Een nieuwe wet

Op 1 mei 2018 is de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, Wiv 2017, in werking getreden.

De wet is een uitvloeisel van het rapport van de commissie-Dessens uit 2013 die concludeerde dat een wijziging van de oude Wiv (uit 2002) nodig was, omdat die niet meer voldeed.

Om onze taken te kunnen blijven uitvoeren, was modernisering van de bevoegdheden nodig. Daarnaast biedt de wet een aanzienlijke versterking van de waarborgen voor de privacy.

'In de oude wet, de Wiv 2002, was geen rekening gehouden met de snelheid van technologische ontwikkelingen.'

Moderne bevoegdheden

In de Wiv 2002 was geen rekening gehouden met de snelheid van technologische ontwikkelingen. Voor communicatie en andere gegevensuitwisseling maakt iedereen tegenwoordig veelal gebruik van internettoepassingen.

Dat leidt tot dataverkeer dat in grote hoeveelheden en met grote snelheid via kabels over de wereld raast.

De oude wet bood alleen de mogelijkheid om 'op de kabel' dat verkeer te onderzoeken op basis van een kenmerk gericht op een specifieke persoon of organisatie.

De essentie van het werk van de AIVD is om ongekende dreiging zichtbaar te maken. Zonder toegang tot digitale gegevensstromen is het niet mogelijk om nieuwe dreigingen te onderkennen.

Een voorbeeld: als wij weten dat uit een bepaald deel van de wereld veelvuldig digitale aanvallen op Nederland worden uitgevoerd en wij hebben kunnen achterhalen over welke glasvezelfiber dat verkeer loopt, dan kunnen wij die datastroom onderzoeken op kenmerken die we van de aanvallen kennen.

Zo kunnen wij tijdig vaststellen waar de aanval zich op richt en niet pas op het moment dat de kwaadaardige software het doelwit al heeft bereikt en schade heeft aangericht.

De techniek voor deze onderzoeksopdrachtgerichte (OOG-)interceptie op internetkabels vraagt een uitgebreide technische voorbereiding. In 2018 hebben wij daarom nog geen gebruik gemaakt van deze bevoegdheid.

Passende waarborgen

Door het gebruik van internettechnologie is ook sprake van verkeer met grotere hoeveelheden data dan in het analoge tijdperk.

Bovendien lopen alle soorten data door elkaar. Potentieel kunnen wij daarmee ook een grotere inbreuk maken op de privacy van meer personen.

Illustratie weegschaal

Bij het onderscheppen en onderzoeken van bepaalde datastromen via onderzoeksopdrachtgerichte (OOG-)interceptie bestaat bijvoorbeeld het risico dat wij ook verkeer tegenkomen van personen die geen kwaad in de zin hebben.

Onderschepte data die niet relevant zijn voor ons onderzoek worden direct vernietigd. Het gaat om ongeveer 98% van de verzamelde gegevens.

Onder de Wiv 2002 was voor de inzet van een groot aantal bijzondere bevoegdheden toestemming nodig van de minister van Binnenlandse Zaken en Koninkrijksrelaties.

Met de Wiv 2017 is na de toestemming van de minister en voorafgaand aan de inzet een onafhankelijke toetsing nodig van de Toetsingscommissie Inzet Bevoegdheden (TIB). De Wiv 2017 schrijft bovendien striktere bewaartermijnen voor dan zijn voorganger.

Bij het raadgevend referendum van 21 maart 2018 over de Wiv 2017 stemde 49,4% van de kiezers tegen en 46,5% voor de wet.

Extra garanties van kabinet na referendum

Het kabinet heeft na het referendum extra garanties toegezegd om tegemoet te komen aan de uitslag. Zo is beloofd de 'wegingsnotities' over buitenlandse samenwerkingspartners eerder af te ronden dan in de wet staat (1 mei 2020), namelijk voor 1 januari 2019. Voor alle diensten waarmee we samenwerken zijn deze afgerond. In een wegingsnotitie wordt beoordeeld in hoeverre een buitenlandse collega-dienst en het betreffende land voldoen aan de wettelijke criteria en in welke mate samenwerking mogelijk is.

Ook zullen wij ieder jaar opnieuw toestemming aan de minister vragen over het langer bewaren van de data die met onderzoeksopdrachtgerichte interceptie zijn vergaard. In de oorspronkelijke wet was geen sprake van een tussentijdse beoordeling. Wij moeten onderbouwen of en zo ja, waarom wij ze nog willen bewaren om op een later moment de relevantie te kunnen bepalen. Na 3 jaar worden de data sowieso vernietigd, behalve uiteraard die data waarvan wij hebben bepaald dat die relevant zijn voor ons onderzoek.

Er wordt een beleidsregel opgesteld dat wij bij een verzoek om toestemming voor de inzet van een bijzondere bevoegdheid, naast de vereisten van noodzakelijkheid, proportionaliteit en subsidiariteit, expliciet moeten aangeven hoe wij 'zo gericht mogelijk' een bevoegdheid willen inzetten.

Het kabinet sluit vrijwel uit dat OOG-interceptie op de kabel de komende jaren wordt ingezet voor onderzoek naar communicatie met oorsprong en bestemming in Nederland.

Uitzondering hiervoor is onderzoek naar digitale aanvallen waarbij misbruik wordt gemaakt van de Nederlandse digitale infrastructuur. OOG-interceptie kan nodig zijn om een dergelijke dreiging te onderkennen.

Verwerking van medische gegevens is alleen toegestaan in aanvulling op de verwerking van andere gegevens, dus als iemand onderwerp is van lopend onderzoek en de medische gegevens het sluitstuk vormen op de informatie die de AIVD nodig heeft om een dreiging goed in beeld te brengen. Als de AIVD op medische gegevens stuit die wij niet mogen inzien, zullen wij deze direct verwijderen.

Voor het delen van gegevens over een journalist met buitenlandse diensten geldt dat steeds een zorgvuldige afweging wordt gemaakt.

Hierbij wordt ook rekening gehouden met de functie van een individu en de bescherming van diens privacy en veiligheid. Indien de diensten vaststellen dat een journalist voorkomt in de verzamelde data, zullen zij die gegevens niet delen, tenzij dat noodzakelijk is voor de nationale veiligheid.

Impact op het werk

De kern van ons werk bestaat uit het verwerven en verwerken van gegevens. De nieuwe wet en de extra waarborgen voor burgers in de vorm van onder meer onafhankelijke toetsing en striktere bewaartermijnen hebben geleid tot extra inspanningen.

Zoals uit dit jaarverslag blijkt, vroegen ook de geopolitieke ontwikkelingen en het dreigingsbeeld om grote inzet van onze medewerkers. Het is lastig gebleken de implementatie te combineren met een niet afnemende inzet op de operationele taakuitvoering.

De impact van de implementatie is groter dan bij de totstandkoming werd ingeschat. Zo vroeg de toestemmingsprocedure met de toetsing vooraf door de TIB om gewenning.

In een tussenrapportage van de TIB in november gaf zij aan dat circa 5% van de verzoeken om toestemming niet op instemming van de TIB kon rekenen.

Daarnaast heeft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) op verzoek van het kabinet na de inwerkingtreding een nulmeting verricht en daarover gerapporteerd.

Deze kritische voortgangsrapportage van begin december gaf een eerste inzicht in de implementatie van de nieuwe wet.

Illustratie van een wetboek met vergrootglas

Het onderzoek richtte zich op elementen van de gemoderniseerde bevoegdheden zoals de zorgplicht, verantwoorde databeperking en OOG-interceptie (inclusief geautomatiseerde data-analyse).

Ook keek de commissie naar de andere onderdelen van de wet waarin de bescherming van de burger is geregeld. De CTIVD onderzocht daarvoor de mogelijkheden om een klacht in te dienen of een misstand te melden.

De CTIVD gaf in haar voortgangsrapportage aan waar de dienst risico liep op onrechtmatig handelen. Zij baseerde haar oordeel op het beleid en de procedures zoals die op dat moment waren vormgegeven en ingericht. Van daadwerkelijke onrechtmatigheid was geen sprake.

De commissie beschreef in haar rapport ook dat veel onderdelen van de wet zeer complex zijn, zoals bijvoorbeeld het principe van datareductie. Hierbij gaat het om het vernietigen van gegevens die niet relevant blijken te zijn. Dat vraagt bij de systematiek en bij de technische uitvoering om de nodige aanpassingen.

De rapportages van de TIB en de CTIVD gaven ons het signaal om de implementatie van alle facetten van de wet, naast onze primaire taakuitvoering, als prioriteit voor 2019 vast te stellen. Wij willen daarmee bereiken dat in de volgende rapportages van de commissies de gesignaleerde risico's aanzienlijk zijn verlaagd.