Kamerstuk 34588-81

Verslag van een schriftelijk overleg over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017) van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD)

Dossier: Regels met betrekking tot de inlichtingen- en veiligheidsdiensten alsmede wijziging van enkele wetten (Wet op de inlichtingen- en veiligheidsdiensten 20..)


Nr. 81 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 7 februari 2019

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie over de brief van 4 december 2018 inzake de Voortgangsrapportage CTIVD over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017) (Kamerstuk 34 588, nr. 80).

De vragen en opmerkingen zijn op 21 december 2018 aan de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie voorgelegd. Bij brief van 6 februari 2019 zijn de vragen beantwoord.

De voorzitter van de commissie, Ziengs

De adjunct-griffier van de commissie, Hendrickx

Inhoudsopgave

blz.

       

I.

Vragen en opmerkingen vanuit de fracties

2

 

1.

Inleiding

2

 

2.

Algemeen beeld

3

 

3.

Zorgplicht

6

 

4.

Datareductie

7

 

5.

Onderzoeksopdrachtgerichte interceptie

7

 

6.

Maatregelen

8

 

7.

Tijdpad

9

II.

Reactie van de Ministers

10

I. Vragen en opmerkingen vanuit de fracties

1. Inleiding

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de beleidsreactie en de voortgangsrapportage over de werking van de Wiv 2017 en hebben nog enkele vragen.

De implementatie van deze nieuwe grote wet met vele waarborgen erin vergt veel voor de AIVD en MIVD. Tijdens deze dynamische verbouwing, moet de toko open blijven om de veiligheid van een ieder van ons te beschermen. Dat je deze wijzigingen niet zo voor elkaar hebt, hadden we allemaal kunnen verwachten. De leden van de VVD-fractie vragen de Ministers dan ook wat hun oordeel is over de diensten als zij dit meewegen bij de tussenstand van deze voortgangsrapportage. Wordt er waar mogelijk voldoende inspanning geleverd en is het einddoel helder? De conclusies van de CTIVD liegen er niet om, maar geeft dit niet een te eenzijdig beeld?

De leden van de CDA-fractie hebben met belangstelling kennisgenomen van de voortgangsrapportage van de CTIVD over de werking van de Wet op inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). Deze leden benadrukken in dit verband de noodzaak van modernisering van de bevoegdheden van de diensten in de Wiv 2017 in het licht van technologische en maatschappelijke ontwikkelingen, maar ook van toenemende terroristische dreiging, cyber-dreigingen, de vele brandhaarden in de wereld en destabilisatie aan de grenzen van Europa.

De leden van de CDA-fractie hebben waardering voor de beoordeling door de CTIVD. In dit verband onderstrepen deze leden dat de CTIVD met een beoordeling een inschatting geeft van risico’s op onrechtmatig handelen en niet het oordeel dat daarmee reeds onrechtmatig is gehandeld.

De leden van de D66-fractie hebben met een kritische blik kennisgenomen van de voortgangsrapportage over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017 (Wiv 2017). De leden hebben daarover nog enkele vragen.

De leden van de fractie van GroenLinks hebben met zorg kennis genomen van de Voortgangsrapportage van de CTIVD over de werking van de Wet op de inlichtingen en veiligheidsdiensten 2017. Voorts hebben de leden van de fractie van GroenLinks nog enkele specifieke vragen aan de regering naar aanleiding van de voortgangsrapportage van de CTIVD.

De leden van de SP-fractie hebben met bijzondere belangstelling kennis-genomen van het rapport van de CTIVD over de inwerkingtreding van de WIV en hebben enkele indringende vragen.

De leden van de PvdD-fractie willen hun waardering uitspreken voor het werk van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zij hebben wel ontstemd kennisgenomen van de brief van de Ministers over de voortgangsrapportage van de CTIVD.

De aan het woord zijnde leden vragen de Ministers te reflecteren op de uitslag van het referendum. Is de Minister nog altijd van mening dat voldoende recht is gedaan aan de zorgen geuit tijdens het publieke debat voorafgaand aan het referendum? En is de Minister nog altijd van mening dat voldoende recht is gedaan aan het resultaat van het referendum (NEE)? Kan de Minister aangeven of haar vertrouwen in het instrument van een referendum gesterkt is nu blijkt dat de bevolking een betere inschatting kan maken van de te verwachten effecten van een nieuwe wet dan de Ministers, de ambtenaren en de eigen inlichtingendiensten?

2. Algemeen beeld

De leden van de VVD-fractie lezen dat de nulmetingen zijn verricht t.a.v. de periode 1 mei 2018 tot 1 juli 2018 en dat de CTIVD het beeld dat daaruit naar voren is gekomen in oktober 2018 heeft geactualiseerd. Kan de CTIVD op basis van die actualisatie ook vooruitgang constateren in het operationaliseren van de nieuw toegekende bevoegdheden?

De leden van de VVD-fractie vragen of de Ministers van mening zijn dat de CTIVD de diensten te veel langs de meetlat van de AVG legt, terwijl de toe-passelijkheid van de AVG juist uitgesloten is voor verwerking van persoons-gegevens door inlichtingen- en veiligheidsdiensten?

De leden van de VVD-fractie vragen of de Ministers zich herkennen in de uitspraak van de CTIVD dat de diensten te veel gericht zijn op operationele capaciteit in plaats van op beleidsmatigheid?

De leden van de VVD-fractie vragen hoe reëel is het om te verwachten dat al in mei 2019 een heel ander beeld vastgesteld kan worden door de CTIVD ten aanzien van het operationaliseren van de nieuw toegekende bevoegdheden.

Wordt in de toezichtsactiviteiten naar de werking van de wet ook het punt meegenomen van de VVD of de vele waarborgen die de wet kent juist niet contraproductief zijn voor de effectiviteit van de diensten? Wordt bekeken of de balans niet is doorgeslagen en de wet daardoor onwerkbaar wordt voor de diensten? Zo ja, wanneer wordt hierover gerapporteerd? Zo nee, waarom gebeurt dit niet en hoe gaan de Ministers ervoor zorgen dat dit voortaan wel gebeurt?

Volgens de CTIVD is er nog geen herkenbare en gestructureerde vorm van interne controle op de vernietiging van gegevens. Wel is de bewaartermijn van maximaal drie jaar in technische zin geborgd. Kan de Minister hierop reflecteren, vragen de leden van de VVD-fractie.

De leden van de D66-fractie lezen in het voortgangsrapport dat de implemen-tatie van de Wiv 2017 veel vergt van de AIVD en de MIVD. Zij begrijpen tevens dat beide diensten hebben onderschat welke veranderingen in hun werkproces deze nieuwe wet met zich meebracht. De diensten gaven een te beperkte uitleg aan de waarborgen in de wet. Zij hebben bij de veranderingen te veel vast willen houden aan bestaande werkprocessen. Tot slot hebben zij überhaupt de omvang van deze veranderoperatie onderschat. Kan de Minister uitleggen hoe zij tegen het feit aankijkt dat deze diensten de gevolgen voor hun werkprocessen bij de diensten hebben onderschat? Kan de Minister daarbij in ieder geval op bovenstaande drie punten ingaan? Kan de Minister vervolgens toelichten of er tussen de AIVD en MIVD een verschil zit in de beantwoording van voorgaande vragen? Zijn er bij deze diensten reeds concrete aanbevelingen ter verbetering en onderlinge prioriteit bij de diensten beschikbaar?

De leden van de D66-fractie lezen dat de diensten voor de uitdaging staan om de nieuw toegekende bevoegdheden zo snel mogelijk te operationaliseren. Kan de Minister een indruk geven in hoeverre de administratieve lasten voor de diensten met deze wet zijn toegenomen en wat doet dat met de capaciteit voor hun operationele werkzaamheden? De leden lezen dat de CTIVD verwacht de risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in mei 2019. Verwacht de Minister dat ook, en kan zij aangeven op welke termijn zij verwacht dat de diensten kunnen beginnen met het inperken van de risico’s deze doelstelling in mei 2019 te halen?

De leden van de D66-fractie begrijpen dat op onderdelen tussen beide diensten wordt samengewerkt en deze diensten dezelfde software gebruiken en informatie delen. Niettemin blijkt dat er sprake is van een gebrekkige ondersteunde ICT-infrastructuur bij de MIVD. Hoe duidt de Minister deze waarneming en op welk moment en in welke mate is zij bereid hier consequenties aan te verbinden? Kan de Minister bij deze duiding ingaan op de vraag in hoeverre de aanstaande co-locatie van beide diensten in de Frederikkazerne hierbij een rol speelt?

De leden van de D66-fractie lezen dat de zorgplicht van beide diensten voor een rechtmatige gegevensverwerking een essentiële waarborg is voor zowel de gegevensbescherming als het toezicht daarop. Effectief toezicht op de naleving van deze zorgplicht is nog onvoldoende mogelijk, doordat het instrumentarium voor de zorgplicht te weinig concreet is ingevuld. Zij begrijpen voorts uit overweging 16 van de Algemene Verordening voor Gegevens-bescherming (AVG) dat deze niet van toepassing is op de nationale veiligheid van lidstaten. Kan de Minister aangeven hoe zij die zorgplicht ziet? Kan zij daarbij ingaan op de vraag hoe de AVG zich verhoudt tot het inlichtingendeel en het veiligheidsdeel van de diensten? Hoe ziet de Minister het instrumentarium vervolgens en op welke termijn kan dit gebruikt worden in de praktijk, zodat er een doorlopende interne controle kan plaatsvinden?

De leden van de D66-fractie vinden het belangrijk dat er voldoende kennis en ervaring bij de diensten aanwezig is om de wettelijke taken en voortvloeiende zorgplicht adequaat te borgen. Kan dit Minister aangeven of hier sprake van is? Is die capaciteit voldoende om het proces te waarborgen? In hoeverre is er sprake van weerstand bij de diensten, en op welke manieren?

De CTIVD constateert in haar voortgangsrapportage, zo merken de leden van de GroenLinks-fractie op, dat er veel professionele mensen bij de diensten werken en dat er door deze mensen veel werk is verricht in de afgelopen periode, maar dat er in het licht van de invoering van de Wiv 2017 nog veel achterstanden zijn. De commissie constateert dat we meer hadden mogen verwachten van de diensten ten aanzien van de waarborgen van burgerlijke rechten en de rechtsbescherming. De leden van de GroenLinksfractie vinden deze conclusies van de CTIVD zorgelijk, omdat we, zoals de CTIVD ook stelt, juist van geheime diensten mogen verwachten dat zij er alles aan doen om zorgvuldig te werk te gaan en zich strikt aan de wet- en regelgeving houden. Graag ontvangen deze leden een uitgebreide reactie van de regering hoe het kan dat de diensten kennelijk onvoldoende hebben gedaan om aan de terechte hoge verwachtingen te voldoen. Had de regering zelf ook meer verwacht? Hoe kan het, zo vragen de aan het woord zijnde leden zich af, dat er bij de diensten niet tijdig genoeg is begonnen met het implementeren van nieuwe werkwijze conform de Wiv 2017? Is de overgang van de oude naar de nieuwe wet door de diensten onderschat? Zo nee, hoe kan het dan dat de diensten niet tijdig volgens het nieuwe juridische kader zijn gaan werken?

De leden van de fractie van GroenLinks constateren dat de regering tijdens de totstandkoming van de Wiv 2017 heeft toegezegd dat er voor de inwerkingtreding van de Wiv 2017 een adequaat instrumentarium zou zijn om de diensten vanaf de inwerkingtreding volgens de nieuwe wet te laten opereren. Hoe kijkt de regering terug op deze toezegging, zo vragen de aan het woord zijnde leden zich af. Hoe heeft de regering uitvoering gegeven aan deze toezegging?

De CTIVD geeft aan dat in de werkprocessen van de diensten het criterium «zo gericht mogelijk» uit de aangenomen Kamermotie-Recourt1 niet goed is geimplementeerd. Graag ontvangen de leden van de GroenLinksfractie hier een uitgebreide reactie op van de regering. Hoe gaat de regering ervoor zorgen dat dit criterium alsnog zo spoedig mogelijk wordt geimplementeerd in zowel de regelgeving als de werkprocessen? Kan de regering in dit kader ook ingaan op de vraag hoe dit criterium in de komende wetswijziging wordt verankerd?

De leden van de fractie van GroenLinks constateren dat de CTIVD ook aangeeft dat er nog geen sprake is van een alles overkoepelend kader met oog voor interne controle bij de diensten. Kan de regering aangeven hoe dit alsnog vorm zal krijgen in de structuren en technische vormgeving van de werkprocessen bij de diensten?

De CTIVD heeft in de voortgangsrapportage grote zorgen geuit over de ICT-infrastructuur bij de MIVD. Systemen zouden verouderd zijn en beperkt onderhouden worden en er zou veel sprake zijn van ad hoc oplossingen en er wordt geen integraal ict-beleid gevoerd. Hoe worden deze problemen op korte termijn opgelost zo vragen de aan het woord zijnde leden zich af. Ook zijn zij benieuwd of de MIVD niet kan aansluiten op adequate systemen van de AIVD?

Tot slot zijn de leden van de fractie van GroenLinks benieuwd naar de reactie van de regering op de verwachting van de CTIVD dat zij in de volgende voortgangsrapportage een veel positiever beeld verwachten te kunnen geven. Kan de regering aan deze verwachting van de CTIVD voldoen? Zo, ja waarop baseert de regering dit vertrouwen? Zo nee, waarom niet?

De leden van de SP-fractie lezen dat een goede implementatie van het nieuwe wettelijke kader veel tijd en inspanning vergt, ook al is de wet al in werking getreden. Waarom hebben het ministerie en de geheime diensten de invoering van de wet zo onderschat? Waarom is onderschat dat het nieuwe wettelijke kader ook voor bestaande bevoegdheden geldt en waarom is hier zoveel achterstand ontstaan? Waarom is de toezegging van het kabinet dat «zo gericht mogelijk» zal worden gewerkt in de praktijk nog niet in het beleid en in de werkprocessen van de geheime diensten opgenomen? Deze leden wijzen daarbij op de zorgen die eerder door diverse Kamerleden zijn geuit, maar ook op de rechtszaak die is aangespannen door verschillende organisaties om uitstel van de invoering van de wet te eisen.

Kan het kabinet garanderen dat geen rechten van individuele burgers zijn geschonden sinds de inwerkingtreding van de nieuwe wet? Kan het kabinet ook garanderen dat er geen gebruik wordt gemaakt van de nieuwe bevoegd-heden totdat aan alle voorwaarden is voldaan? Hoe komt het dat de «zorgplicht» als wettelijke en doorlopende verplichting voor gegevens-verwerking nog niet in de systemen van de diensten is verankerd? Hoe komt het dat met name bij de MIVD de problemen zo groot zijn? Hoe reëel is het om te verwachten dat de MIVD de achterstanden op korte termijn kan inhalen? Toetst de Toetsingscommissie Inzet Bevoegdheden (TIB) daadwerkelijk of (nieuwe) bevoegdheden niet worden ingezet voordat voldoende waarborgen zijn ingebouwd in de werkprocessen van de diensten?

De leden van de PvdD-fractie vragen de Ministers verder hoe het mogelijk is dat de impact van deze wet verkeerd werd ingeschat zeker gegeven het feit dat er zelden een wet zo uitvoerig en diepgaand (publiek) bediscussieerd is. Hebben de Ministers een idee waar deze foutieve inschatting gemaakt is? Zo nee, waarom niet?

De Minister geeft verder in een reactie op de voortgangsrapportage aan dat achter de schermen een team van professionals, vaak tegen de stroom in, tegelijkertijd keihard aan het werk is om ons land veilig te houden. Heeft het «tegen de stroom in» werken betrekking op de implementatieopgave van de waarborgen of op andere werkzaamheden van de veiligheidsdiensten? Als het dat eerste betreft willen de leden graag weten waaruit die tegenstroom bestaat.

De leden van de PvdD-fractie vragen de Minister te reageren op de stelling van de CTIVD dat het momenteel voor de inlichtingendiensten niet goed mogelijk is «voldoende interne controle uit te oefenen over de gegevens-verwerking» en dat zodoende «effectief extern toezicht daarop niet aan de orde» is. Kan de Minister aangeven of er volledig zicht is op de activiteiten van de inlichtingendiensten en waar dat uit blijkt?

De Minister gaf de leden in december 2017 te kennen dat bij de inwerking-treding van de wet een adequaat instrumentarium beschikbaar zou zijn waarmee de gegevensbescherming geborgd kon worden. Nu blijkt dat dit nog altijd niet het geval is vragen de leden de Minister welke concrete stappen zij gaat nemen om ten eerste de gegevensbescherming en privacy zo snel en zo goed mogelijk te waarborgen en ten tweede de implementatie van de waarborgen te versnellen.

Aangezien de aandacht voor nationale veiligheid gelijk op dient te gaan met de rechtsbescherming van burgers vragen de leden of het mogelijk is en of de Ministers bereid zijn de bevoegdheden van de inlichtingendiensten, tijdelijk en met inachtname van de veiligheid, in te perken zolang de wettelijk verplichte waarborgen nog niet op orde zijn?

De leden willen graag van de Ministers weten wat de effecten zouden zijn als de bevoegdheden, waarvan de toezichthouder heeft vastgesteld dat het risico op onrechtmatig handelen hoog of gemiddeld is, opgeschort zouden worden.

Naar aanleiding van de technische briefing van de CTIVD georganiseerd in de Tweede Kamer hebben de leden nog enkele aanvullende vragen. De CTIVD gaf aan dat de inlichtingendiensten zich te veel richten op de kale wettekst bij het implementeren van de waarborgen en daarmee voorbij gaan aan de aanvullende communicatie tussen de Ministers en het parlement. Kunnen de Ministers aangeven of zij dit beeld herkennen? En zijn de Ministers bereid er bij de inlichtingendiensten op aan te dringen dat zij de interactie tussen de uitvoerende en de wetgevende macht betrekken bij hun interpretatie van de wet?

De leden van de PvdD-fractie ontvangen graag een indicatie van de Ministers over de verdeling van de inzet bij de inlichtingendiensten. Hoeveel van de tijd, die maximaal ingezet had kunnen worden om de wettelijke waarborgen te implementeren, is toch ingezet voor de dagelijkse operationele praktijk?

3. Zorgplicht

Als het gaat om de zorgplicht, geeft de CTIVD aan, zo lezen de leden van de VVD-fractie, dat de diensten voortdurend in controle moeten zijn en dat dit vereist dat de diensten een aantal instrumenten gebruiken dat hen centraal zicht geeft op de werking van processen en systemen van gegevens-verwerking en dat hen daardoor in staat stelt risico’s te signaleren en tijdig maatregelen te nemen. De leden van de VVD-fractie vragen zich af aan welke instrumenten daarbij gedacht wordt? Zijn dit ICT oplossingen? Moet er een onafhankelijke auditteam komen? En hoe reëel is het om te verwachten dat dit in mei 2019 gerealiseerd is?

De leden van de D66-fractie onderschrijven het belang van een zo kort mogelijke termijn waarin het instrumentarium voor de zorgplicht concreet wordt ingericht en geïmplementeerd. Welke onderdelen behoeven interne controle, en wat is de impact van die maatregelen op de organisatie en haar capaciteit? Kan de Minister toelichten waarom er tot nu toe ondanks de negatieve signalen geen adequate tijdsplanning is gemaakt, en waarom er geen interne controle op het beleid is uitgevoerd?

De CTIVD constateert, zo lezen de leden van de GroenLinks-fractie, dat ten aanzien van de zorgplicht de regering kennelijk een andere opvatting heeft van wat de zorgplicht precies inhoudt dan de opvatting van de CTIVD over het beginsel van zorgplicht. De CTIVD geeft aan dat er een verschil zit tussen een toezegging nakomen en daarna minder aandacht geven aan het vervolg en het continu monitoren van de vraag of gegevensverwerking nog in overeenstemming is met de wet. Graag ontvangen de leden van de GroenLinks-fractie hier een nadere beschouwing op van de regering. Zij vragen de regering daarbij ook specifiek in te gaan op het feit dat de AVG niet van toepassing is op de diensten, maar dat de CTIVD aangeeft dat het instrumentarium uit de AVG ook gebruikt zou kunnen worden voor het stelsel waarin de diensten actief zijn.

De leden van de PvdD-fractie willen graag weten of het waar is dat er een verschil van inzicht is over de interpretatie van de zorgplicht tussen de Ministers en de CTIVD? Kunnen zij aangeven waar dat meningsverschil om draait? Klopt het dat de CTIVD van mening is dat de zorgplicht continu bewaakt moet worden en de Ministers van mening zijn dat dit slechts op het moment van invoering getoetst dient te worden?

4. Datareductie

Als het gaat om datareductie moet de oplossing ook in (ICT-)systemen gezocht worden. De leden van de VVD-fractie vragen wat reëel is te verwachten, met name ook voor de MIVD die achterloopt ten opzichte van de AIVD.

De leden van de D66-fractie hebben waargenomen dat de CTIVD een ruime definitie hanteert voor relevante gegevens, en dat zij het wel noodzakelijk vinden dat aanvullend wordt gemotiveerd waarom gegevens relevant zijn beoordeeld. Aan welke onderdelen van inhoudelijke motivatie denkt de CTIVD die noodzakelijk zijn? De leden lezen dat de relevantiebeoordeling in veel gevallen binnen drie maanden plaatsvindt. In hoeveel van de gevallen wordt de termijn van drie maanden overschreden, en wat zijn daar de oorzaken van?

5. Onderzoeksopdrachtgerichte interceptie

De leden van de VVD-fractie lezen aan de ene kant dat in de door de TIB rechtmatig bevonden verzoeken om toestemming bij OOG-interceptie, alle wettelijk vereiste elementen zijn opgenomen, maar aan de andere kant dat het vereiste «zo gericht mogelijk» volgens de CTIVD geen herkenbare invulling in beleid en werkprocessen krijgt. Wat gebeurt er dan de facto? Wordt er afgeweken van omvang bulk of wordt meer onderzocht dan aangegeven?

De leden van de VVD-fractie lezen dat er vooralsnog een fundamenteel verschil van opvatting bestaat over wat wettelijk wordt verstaan onder de geautomatiseerde analyse van metadata. Er is ook een rechtseenheidsbrief verschenen. Kan de Minister toelichten wat de laatste stand van zaken is op dit punt?

De leden van de CDA-fractie wijzen erop dat de CTIVD constateert dat er vooralsnog een fundamenteel verschil van opvatting blijft bestaan over wat wettelijk wordt verstaan onder de geautomatiseerde analyse van metadata, tussen de TIB en de CTIVD enerzijds en de beide diensten en departementen anderzijds. De leden van de CDA-fractie vragen in dit verband hoe het criterium geoperationaliseerd wordt: «wanneer een GDA voorzienbare andere dan persoonsgegevens als resultaat heeft die in onderlinge samenhang kunnen leiden tot identificatie» (zie rechtseenheidsbrief over geautomatiseerde data-analyse ex artikel 50 Wiv 2017, 23 november 2018, Kamerstuk 29 924, nr. 174). Kan de regering aangeven waarop het door de diensten gehanteerde onderscheid tussen eenvoudige en complexe metadata-analyses is gebaseerd, waarbij alleen de meer complexe metadata-analyses onder het bereik van voorafgaande toestemming van de Minister en toetsing door de TIB zouden vallen?

De leden van de D66-fractie nemen aan dat het algemeen beleid omtrent het toestemmingsproces voldoende handvatten biedt voor het indienen van verzoeken voor de inzet van bijzondere bevoegdheden. De toepassing van het criterium «zo gericht mogelijk» ten aanzien van de verschillende stadia van het interceptieproces lijkt echter vrijwel achterwege te zijn gebleven, terwijl het daar ook duidelijk toegepast zou moeten worden. De leden vragen zich af of er een tijdlijn is voor de implementatie van een wettelijk kader op dit punt. Kan de Minister dit uiteenzetten? Kan de Minister met betrekking tot de bulkinterceptie bij kabel garanderen, dat in de verschillende stadia van het interceptieproces het criterium «zo gericht mogelijk» correct zal worden toegepast voordat die bevoegdheid zal worden gebruikt?

Voorts merken de aan het woord zijnde leden op dat er tevens problemen zijn met betrekking tot de waarborgen als het gaat om de selectie van gegevens, omdat de diensten de wet soms te beperkt uitleggen. Hoe legt de Minister de waarborgen in de wet uit? Kan de Minister uiteenzetten hoe zij ervoor gaat zorgen dat de werkinstructies van de beide diensten hiertoe worden aangevuld? Kan de Minister tot slot met betrekking tot de bulkinterceptie bij kabel garanderen, dat de werkinstructies op orde zijn alvorens de diensten gebruik maken van deze bevoegdheid?

6. Maatregelen

Met de CTIVD onderschrijven de leden van de CDA-fractie dat de professio-naliteit van de diensten in de uitvoering van de aan hen toebedeelde taken ter bescherming van de nationale veiligheid buiten kijf staat. De CTIVD constateert echter, dat essentiële waarborgen voor de bescherming van de rechten van het individu hun invulling in de praktijk geheel of gedeeltelijk missen. Welke stappen zetten de diensten om in de praktijk invulling te geven aan deze waarborgen, zonder dat de operatie daaronder lijdt, zo vragen de leden van de CDA-fractie.

De CTIVD stelt dat effectief toezicht op de naleving van de verplichtingen die de wet stelt, nog onvoldoende mogelijk is. Deelt de regering dit oordeel, en zo ja, welke maatregelen neemt zij om de mogelijkheden voor effectief toezicht zo spoedig mogelijk tot stand te brengen, zo vragen de leden van de CDA-fractie. De Ministers van BZK en van Defensie hebben in december 2017 toegezegd, dat «bij de inwerkingtreding van de wet een adequaat instrumentarium beschikbaar is waarmee gegevensbescherming is geborgd, zodat de CTIVD dit onmiddellijk kan betrekken bij haar toezichthoudende taken». Hoe beoordeelt de regering de kritiek van de CTIVD, dat dit instrumentarium nog steeds ontbreekt, zo vragen de leden van de CDA-fractie.

Kan de regering nader ingaan op de vraagstukken die aan de orde zijn bij de invulling van het gewenste instrumentarium voor de zorgplicht? De CTIVD stelt dat de zorgplicht nadrukkelijk meer vraagt dan het enkel invoeren van de verplichtingen die de wet oplegt bij onder meer de verzameling, analyse en het gebruik van gegevens. Kan de regering uiteenzetten, welke maatregelen zij noodzakelijk acht bovenop de wettelijk vastgelegde vereisten?

De leden van de CDA-fractie vragen welke stappen de regering zet om ervoor te zorgen, dat de MIVD zo spoedig mogelijk kan beschikken over een goede ICT-infrastructuur, die ook kan dienen als basis voor een gedegen systematiek van datareductie. Is het juist dat het huidige ICT-systeem van de MIVD niet voorziet in de mogelijkheid van data lineage?

De CTIVD stelt dat aan het criterium «zo gericht mogelijk» geen herkenbare invulling is gegeven in het beleid en de werkprocessen van de beide diensten. Deelt de regering het standpunt van de CTIVD dat eerst door de diensten zelf nader ingevuld moet worden wat «zo gericht mogelijk» inhoudt in de context van onderzoeksopdrachtgerichte interceptie, en zo ja, welke stappen de regering zet om deze invulling te bespoedigen.

De leden van de PvdD-fractie hebben zich verwonderd over de uitspraken van de voormalig directeur van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Die vindt dat de diensten «steeds meer controlemechanisme om de oren krijgen» en kwalificeert de privacy en gegevensbeschermende maatregelen als «nodeloze procedures» en «politieke praatjes». Kunnen de Ministers aangeven of dit representatief is voor de wijze waarop momenteel binnen de diensten gedacht wordt over de te implementeren waarborgen? Zijn de Ministers bereid een anonieme peiling te houden onder de medewerkers van de diensten om hun houding ten opzichte van privacy en gegevens-bescherming in beeld te brengen? Deze leden vragen de Minister of het kan zijn dat de waarborgen als «nodeloos» en «politiek» gekwalificeerd worden omdat de bevoegdheden die met de Wiv gecreëerd zijn simpelweg niet te verenigen zijn met fatsoenlijk privacy- en gegevensbeschermingsbeleid. Is de Minister bereid met een nieuwe wet te komen die de bescherming van privacy en persoonsgegevens als uitgangspunt neemt in plaats van de door de inlichtingendiensten gewenste bevoegdheden? Zo nee, waarom niet?

De leden van de PvdD-fractie vragen de regering of het klopt dat er wel aanvullende maatregelen getroffen worden om een verantwoorde implemen-tatie van de wet te borgen maar geen aanvullende maatregelen genomen worden om de verantwoorde implementatie zelf te versnellen. Ook vragen deze leden wat bedoeld wordt met de zinsnede «met oog voor de uitvoerings-praktijk van de diensten». Betekent het dat aanvullende maatregelen aangaande borging van de verantwoorde implementatie alleen genomen worden als de veiligheidsdiensten aangeven daartoe bereid te zijn? De leden willen graag van de Ministers weten wie de inschatting maakt of de uitvoeringspraktijk van de diensten in het geding is.

Verder vragen de leden de Minister waarom zij in haar brief wel aangeeft dat er maatregelen genomen worden om de sturing en regie op de implementatie te versterken en te voorzien in een strakke monitoring daarvan maar er geen melding gemaakt wordt van versterking van de implementatieopgave.

7. Tijdpad

Gegeven het feit dat de Ministers stellen dat grotere en concretere stappen nodig zijn om aan de wettelijke verplichtingen te voldoen, verwachten de leden van de PvdD-fractie dat dit geruime tijd gaat duren. Kunnen de Ministers een indicatie geven van het moment waarop zij verwachten dat de diensten volledig aan de bestaande en beloofde wettelijke verplichtingen voldoen? De leden willen ook van de Minister weten welke garantie zij kan afgeven dat het stelsel voor datareductie voor 1 mei 2019 op orde is en wat er gebeurt met de reeds verzamelde data als de wettelijke bewaartermijn van één jaar toch wordt overschreden voordat het datareductie stelsel op orde is?

II. Reactie van de Ministers

1. Inleiding

De veiligheidssituatie in de wereld is sinds de invoering van de vorige wet op de inlichtingen en veiligheidsdiensten in 2002 aanzienlijk veranderd. In dat dreigingsbeeld heeft de steeds verder ontwikkelende technologie een nadrukkelijke rol. Met de Wiv 2017 is het wettelijke kader op veel punten vernieuwd. Met de Wiv 2017 zijn de bevoegdheden van de diensten

gemoderniseerd en zijn de waarborgen voor de privacy aanzienlijk verstevigd ten opzichte van de oude wet. Zo bevat de Wiv 2017 striktere termijnen voor het bewaren van gegevens en is er een onafhankelijke toetsende instantie gekomen, de Toetsingscommissie Inzet Bevoegdheden (TIB), die vooraf toetst of de inzet van een bijzondere bevoegdheid rechtmatig is. De versterkte waarborgen zijn niet alleen van toepassing op de nieuwe bevoegdheden maar ook op de reeds onder de Wiv 2002 bestaande bevoegdheden van de diensten die in de Wiv 2017 opnieuw zijn opgenomen.

Na aanvaarding van de nieuwe wet is op 21 maart 2018 daarover een raadgevend referendum gehouden. Naar aanleiding van de geldige uitkomst van dit raadgevend referendum, waarbij 49,44% van de kiezers tegen de wet stemde en 46,53% voor, heeft het kabinet vervolgens conform de Wet raadgevend referendum de uitslag in overweging genomen en bij brief van 6 april 2018 (Kamerstukken 34 588 en 34 270, nr. 70) het parlement geïnformeerd over de gevolgen die – na heroverweging – daaraan werden verbonden. Zo zijn er beleidsregels vastgesteld die per 1 mei 2018, gelijktijdig met de volledige inwerkingtreding van de Wiv 2017, in werking zijn getreden. Daarnaast is een wetsvoorstel tot wijziging van de Wiv 2017, dat eveneens was aangekondigd, thans voor advies aanhangig bij de Afdeling advisering van de Raad van State.

De CTIVD heeft in haar voortgangsrapportage kritisch geoordeeld over de implementatie van de versterking van een aantal van de waarborgen in de Wiv 2017. Hierbij is het goed om te benadrukken dat de rapportage een inschatting van risico’s op onrechtmatig handelen betreft en niet het oordeel dat daarmee reeds onrechtmatig is gehandeld. Met de CTIVD zijn wij van oordeel dat de Wiv 2017 in balans is, maar dat implementatie van de wet veel van de diensten vergt en dat hier nog veel werk nodig is. Juist omdat de versterking van de waarborgen in de nieuwe wet diep ingrijpt op de werkprocessen van de diensten, vergt de goede implementatie veel tijd en inspanning.

De implementatie van de Wiv 2017 heeft voor beide diensten prioriteit. Zowel in aanloop naar de inwerkingtreding van de Wiv 2017 als daarna hebben beide diensten veel werk verzet voor een goede implementatie. Zoals de CTIVD ook schetst, is een substantieel deel van de capaciteit van de AIVD en de MIVD ingezet voor deze implementatie. Hierbij wordt nauw samengewerkt tussen beide diensten. Uiteraard geldt wel dat het twee verschillende organisaties betreft met ieder zijn eigen inbedding, uitdagingen, taken en werkwijze.

Naar aanleiding van de voortgangsrapportage van de CTIVD hebben de diensten bovendien nog aanvullende maatregelen getroffen, zoals ook geduid in de aanbiedingsbrief van 4 december jongstleden. De inspanningen van de diensten voor de implementatie van de wet gaan daarmee onverminderd door. Wij streven ernaar om de risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment een hoog risico signaleert. Tot slot blijft voor ons overeind dat de operationele taakuitvoering doorgang moet blijven vinden. Dit is van het grootste belang voor de nationale veiligheid.

2. Algemeen beeld

Meerdere fracties hebben vragen gesteld over de voorbereidingen van de diensten op de implementatie en of de diensten de veranderoperatie hebben onderschat. Een goede implementatie vergt veel tijd en inspanning. Zoals eerder aangegeven hebben de diensten in aanloop naar de inwerkingtreding van de wet projectorganisaties opgericht ten behoeve van de voorbereiding op de implementatie. Een belangrijk deel van de capaciteit van de AIVD en de MIVD is toentertijd gegaan naar een zorgvuldige implementatie.

Na inwerkingtreding van de Wiv 2017 is gebleken dat de implementatie van de nieuwe wet meer impact op de diensten heeft dan door ons en de diensten bij de totstandkoming van de wet is onderkend. Dit is ook door de CTIVD vastgesteld in haar rapportage. De versterking van de waarborgen in de Wiv 2017 grijpen nog dieper in op de kern van het werk van de diensten, namelijk de verwerving en verdere verwerking van gegevens. Hierdoor is het lastig gebleken de implementatie te combineren met een niet afnemende inzet op de operationele taakuitvoering. Zo geldt bijvoorbeeld voor datareductie dat er een grote verscheidenheid is van data waarover de diensten middels de inzet van bijzondere bevoegdheden beschikken. Deze data kunnen allerlei verschillende vormen aannemen en via verschillende bevoegdheden worden vergaard. Voor elke «soort» data moet een datareductie systematiek worden ingeregeld die bovendien controleerbaar is. Zoals de CTIVD zelf ook stelt in haar rapport is een dergelijke systematiek zeer complex en niet eenvoudig te realiseren. Bovendien komen de diensten bij de daadwerkelijke (technische) implementatie zaken tegen die vooraf niet konden worden voorzien, hetgeen overigens niet ongebruikelijk is bij de inwerkingtreding van een ingrijpende nieuwe wet.

Daarnaast heeft de TIB, al dan niet in gezamenlijkheid met de CTIVD, een aantal wettelijke vereisten na inwerkingtreding van de Wiv 2017 voorzien van nadere uitleg, waarvan de uitwerking in de werkprocessen van de diensten extra inspanningen vergt bovenop hetgeen reeds aan de implementatie van de wet als zodanig werd besteed.

De AIVD en de MIVD hebben nauw samengewerkt bij de implementatie van de Wiv 2017. Zoals ook aangegeven in de aanbiedingsbrief van 4 december jongstleden worden er zowel bij de AIVD als de MIVD aanvullende maatregelen getroffen voor een verantwoorde implementatie van de wet inclusief de daarin neergelegde essentiële waarborgen voor de bescherming van de rechten van de burger. Een goede implementatie is en blijft prioriteit voor ons en voor de diensten, gelijktijdig met de voortzetting van de operationele taakuitvoering.

Verschillende fracties hebben gevraagd naar de (verwachte) voortgang van de implementatie van de Wiv 2017 door de diensten. Zoals door ons gesteld in de aanbiedingsbrief van 4 december jongstleden streven wij ernaar om de risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment een hoog risico signaleert. In reactie op de vraag van de leden van de D66-fractie en van de GroenLinks fractie hoe en op welke termijn de diensten werken aan deze doelstelling, geldt dat verschillende maatregelen hiertoe al in gang zijn gezet. Zo is er al gestart met het vastleggen van werkprocessen voor onderzoeksopdrachtgerichte interceptie via de ether ten aanzien van het «zo gericht mogelijk» criterium en wordt er volop gewerkt aan het verder invullen van het stelsel van datareductie. Naar verwachting zullen voor 1 mei 2019 de voornoemde werkprocessen zijn vastgelegd en het fundament voor het stelsel van datareductie zijn ingericht. Daarbij geldt voor de MIVD echter, zoals de CTIVD in de voortgangsrapportage ook opmerkt, dat de inrichting van het stelsel van datareductie samenhangt met noodzakelijke ontwikkelingen op het gebied van de ICT-infrastructuur. In het eerste kwartaal van 2019 zullen beide diensten een gedetailleerde en toetsbare tijdsplanning delen met de CTIVD over de door te voeren verbeteringen, waarbij de MIVD specifiek zal ingaan op de ontwikkelingen op het gebied van de ICT-infrastructuur in relatie tot de inrichting van het stelsel van datareductie.

De vraag van de leden van de VVD-fractie of de CTIVD op basis van de actualisatie in oktober 2018 ook vooruitgang heeft geconstateerd in het operationaliseren van de nieuw toegekende bevoegdheden, moet door de CTIVD worden beantwoord. Het rapport is het resultaat van de actualisatie in oktober 2018. Daar de diensten continue werken aan implementatie van de wet, is er ons inziens in de periode tussen mei en oktober 2018 sprake geweest van vooruitgang.

De leden van de VVD-fractie hebben ook specifiek gevraagd of in de toezichtsactiviteiten naar de werking van de wet ook wordt gekeken of de vele waarborgen die de wet kent juist niet contraproductief werken voor de effectiviteit van de diensten. Wij zien dat de implementatie van de wet veel vraagt van de diensten. Daarbij brengt de nieuwe wet ook een omvangrijke wijziging van het stelsel van toestemming en toezicht met zich mee, zoals de introductie van de TIB als nieuwe toetsende instantie. De CTIVD is er om erop toe te zien dat de werkzaamheden van de diensten in overeenstemming zijn met de wet. De effectiviteit wordt betrokken bij de in de Wiv 2017 voorziene evaluatie van de wet en van het functioneren van de diensten (art. 167 lid en 2).

Wat betreft de vraag van de leden van de Partij voor de Dieren-fractie of de diensten voorbij gaan aan de aanvullende communicatie tussen de Ministers en het parlement en zich te veel richten op de kale wettekst, kunnen wij melden dat de diensten, uiteraard hetgeen gewisseld is in het kader van de parlementaire behandeling van het wetsvoorstel alsmede hetgeen daarna nog over de uitvoering van de wet met de Kamer is gedeeld, bij de implementatie betrekken.

De leden van de D66-fractie stelden de vraag of er voldoende capaciteit, kennis en ervaring bij de diensten aanwezig is om de wettelijke taken en de daaruit voortvloeiende zorgplicht adequaat te borgen. Tevens hebben zowel de leden van de D66-fractie als die van de PvdDfractie gevraagd of er sprake is van weerstand bij de diensten ten aanzien van de implementatie. Wij willen hier benadrukken dat de professionaliteit van de diensten buiten kijf staat. Van weerstand ten aanzien van de Wiv 2017 en de implementatie hiervan is ons niet gebleken. Beide organisaties zien de versterkte waarborgen en de gemoderniseerde bevoegdheden als belangrijke en noodzakelijke verbetering en streven ernaar deze op verantwoorde manier te implementeren. De wettelijke taken en daaruit voortvloeiende zorgplicht zullen door de diensten adequaat geborgd worden.

De leden van de D66-fractie hebben in dit kader gevraagd in hoeverre de administratieve lasten voor de diensten met deze wet zijn toegenomen en wat dat doet met de capaciteit voor hun operationele werkzaamheden. Ook hebben de leden van de PvdD-fractie in dit kader gevraagd om een indicatie van de verdeling van inzet bij de inlichtingendiensten tussen implementatie en operationele werkzaamheden. Zoals door ons aangegeven in de aanbiedingsbrief van de voortgangsrapportage kost de implementatie veel tijd en inspanning. Een substantieel deel van de capaciteit van de AIVD en de MIVD zal ook komende tijd gaan naar een zorgvuldige implementatie. Overigens zullen de versterkte waarborgen blijvende aandacht en daarmee ook structureel capaciteit vragen van de diensten. Gelijktijdig met de implementatie van het nieuwe wettelijke kader dient de operationele taakuitvoering van de diensten en daarmee de bescherming van de nationale veiligheid doorgang vinden. Dit is immers de wettelijke taak van de diensten. Deze combinatie vormt een uitdaging.

Voor de door de leden van de VVD-fractie gestelde vraag of wij ons herkennen in de uitspraak van de CTIVD dat de diensten te veel gericht zijn op operationele capaciteit in plaats van op beleidsmatigheid, geldt dat het vinden van de exacte balans hierin altijd aandacht vraagt. Uiteraard zijn de diensten druk bezig met de implementatie van de wettelijke en beleidsmatige waarborgen en wordt hierbij ook capaciteit ingezet om het beleid rondom de toepassing van de wet vorm te geven. Zoals gezegd mag dit er niet toe leiden dat de operationele praktijk geen doorgang kan vinden. Hiermee zou het beschermen van de nationale veiligheid in het geding komen. Uiteindelijk is het nieuwe wettelijke kader niet alleen bedoeld om (terecht) de waarborgen voor de privacy aanzienlijk te verstevigen, maar ook om de bevoegdheden van de diensten te moderniseren ten behoeve van de operationele werkzaamheden die nodig zijn om de nationale veiligheid te beschermen.

In reactie op de vraag van de leden van de PvdD-fractie of bevoegdheden waarvan de toezichthouder heeft vastgesteld dat het risico op onrechtmatig handelen hoog of gemiddeld is, kunnen worden opgeschort zolang de verplichte waarborgen niet op orde zijn, willen wij benadrukken dat dit onverantwoord is. De diensten werken hard om met name deze risico’s zo snel mogelijk terug te brengen naar een meer aanvaardbaar niveau. De werkzaamheden van de diensten zijn erop gericht om de nationale veiligheid te beschermen door tijdig dreigingen te onderkennen. De inzet van bevoegdheden door de diensten is een cruciaal onderdeel van deze werkzaamheden. Een zorgvuldige implementatie van de wet dient hand in hand te gaan met deze operationele taakuitvoering, waarbij beide elementen elkaar moeten (en ook kunnen) versterken. Overigens willen we nogmaals benadrukken dat de CTIVD in haar voortgangsrapportage geen onrechtmatigheden heeft geconstateerd, maar een inschatting geeft van het risico hierop. Overigens vindt er momenteel nog geen OOG-interceptie op de kabel plaats.

In antwoord op de vraag van de leden van de SP-fractie of de TIB ook daadwerkelijk toetst of (nieuwe) bevoegdheden niet worden ingezet voordat voldoende waarborgen zijn ingebouwd in de werkprocessen van de diensten, geldt dat de TIB belast is met de toets of een door de Minister verleende toestemming rechtmatig is verleend, met name of de verleende toestemming tot de inzet van een bevoegdheid voldoet aan de eisen van noodzakelijkheid, proportionaliteit, subsidiariteit en of de bevoegdheid zo gericht mogelijk wordt ingezet. Dit vindt zijn uitwerking in de aanvraag om toestemming die aan de Minister wordt voorgelegd. De verdere verwerking van gegevens die met de toepassing van de bevoegdheid kunnen worden verworven valt buiten het toetsingskader van de TIB. Daar houdt immers de CTIVD toezicht op.

Een aantal fracties heeft vragen gesteld over de ICT-infrastructuur bij de MIVD en mogelijke aansluiting op adequate systemen van de AIVD. Voor beide diensten geldt dat moderne en hoogwaardige ICT-faciliteiten zeer belangrijk zijn voor een effectieve taakuitvoering. Het aanpassen van de ICT-faciliteiten en werkprocessen aan de nieuwe wet kost tijd en vraagt om investeringen. De achterstand bij de MIVD op ICT-gebied heeft de volle aandacht en het wegwerken ervan heeft prioriteit. De Minister van Defensie investeert de komende jaren in ICT bij de MIVD, oplopend tot 20 miljoen euro extra structureel. De inkleuring van deze investeringen zal in een meerjarig kader gestalte krijgen.

De MIVD en AIVD werken nauw samen op het gebied van SIGINT, cyber en de implementatie van kabel-interceptie. Mede gezien het voornemen om de diensten gezamenlijk te huisvesten, ligt het voor de hand om waar mogelijk gezamenlijke ICT-faciliteiten nadrukkelijk in overweging te nemen. Hierbij zij opgemerkt dat de MIVD als defensie-onderdeel te allen tijde ook de aansluiting op Defensiesystemen moet behouden.

De vraag van de leden van de VVD-fractie en van de D66-fractie aangaande de AVG wordt onder het hoofdstuk «zorgplicht» beantwoord. De vragen van de leden van de VVD-, GroenLinks en PvdD-fractie over een adequaat instrumentarium en interne controle op gegevensverwerking worden eveneens onder het hoofdstuk «zorgplicht» beantwoord. De vraag van de leden van de SP-fractie inzake het «zo gericht mogelijk» criterium wordt onder het hoofdstuk «onderzoeksopdrachtgerichte interceptie» beantwoord. De vraag van deze leden over de verankering van zorgplicht in de systemen van de diensten wordt onder het hoofdstuk «zorgplicht» behandeld.

3. Zorgplicht

Ten aanzien van zorgplicht voor de diensthoofden focussen de fracties zich in hun vragen met name op het instrumentarium waarmee gegevensbescherming wordt geborgd (art. 24 Wiv 2017). Zoals de CTIVD ook stelt in de voortgangsrapportage hebben de diensten al voorafgaand aan de inwerkingtreding een aanzienlijk aantal maatregelen genomen ten behoeve van de interne controle langs de tien reeds in de aanbiedingsbrief genoemde hoofdthema’s. Na inwerkingtreding van de Wiv 2017 is aanvankelijk door ieder op eigen wijze invulling gegeven aan de open norm van zorgplicht. Vervolgens is gebleken dat er op onderdelen verschillen van inzicht bestonden over deze invulling.

Naar aanleiding van de voortgangsrapportage is bij beide diensten bovendien een overkoepelend elfde thema geïntroduceerd, te weten «governance» en wordt er een werkprogramma opgesteld voor het aanvullen van de bestaande maatregelen. Voor de zorgplicht moeten niet alleen beleid en werkinstructies worden geschreven, die tot doel hebben om in de hele organisatie nog meer bewustzijn te creëren over de omgang met gegevens. Het gaat ook om het opleiden van mensen en het toezien op naleving van bepaalde afspraken bij alle gegevensverwerking. Aangezien gegevensverwerking het kernproces is van de diensten, betekent dat dat alle niveaus binnen de organisaties zich moeten bezighouden met het in praktijk brengen van de eisen van de zorgplicht. Naast deze borging dient er ook monitoring van en controle op rechtmatige gegevensverwerking plaats te vinden. De diensten voeren in dit kader onder andere een aantal audits uit komend jaar.

Bij het uitwerken van een structuur waarmee borging, verantwoording, monitoring van en controle op rechtmatige gegevensverwerking plaatsvindt, maken de diensten dankbaar gebruik van de door de CTIVD geboden aanbevelingen. Uiteraard moet daarbij steeds worden voorzien in een meer precieze uitwerking, waarbij ook operationele en technische belangen worden gewogen.

In reactie op de vragen van de leden van de VVD-, D66 en GroenLinks fractie over de Algemene Verordening Gegevensbescherming (AVG) geldt dat de AVG het Europeesrechtelijke kader vormt voor gegevensbescherming. De werking van deze Verordening heeft in alle lidstaten van de EU directe werking. Zoals de leden terecht aangeven is de AVG niet van toepassing op activiteiten betreffende de nationale veiligheid. In de AVG zijn wel onder meer algemene beginselen voor behoorlijke gegevensverwerking opgenomen die – rekening houdend met het bijzondere en veelal heimelijke karakter van de gegevensverwerking bij de diensten – ook in de Wiv 2017 terugkomen, zoals bijvoorbeeld het vereiste van doelbinding, van dataminimalisatie of de verantwoordingsplicht. Het zorg dragen voor onder meer de kwaliteit van de gegevensverwerking zoals dat in artikel 24 van de Wiv 2017 is neergelegd, impliceert dat over de uitvoering daarvan verantwoording moet kunnen worden afgelegd. De wijze waarop de diensten invulling geven aan die verantwoordelijkheid moet wel beschouwd worden in het licht van hun bijzondere taken en het in verband daarmee voortdurend zorg dragen voor bijvoorbeeld bijzondere beveiligingsmaatregelen en een ander transparantieregime dan waartoe de AVG verplicht.

Dat betekent dat uitgangspunten van de AVG en meer specifiek voor de uitvoering van de AVG ontwikkelde instrumenten van waarde kunnen zijn voor gegevensverwerking door de diensten en voor het kunnen uitoefenen van toezicht op de wijze waarop de diensten daaraan uitvoering geven. Voor de diensten geldt echter het specifieke kader van de Wiv 2017 en de uitvoering van de aan hen opgedragen taken – een door of op hen toe te passen instrumentarium moet derhalve altijd worden beschouwd en ontwikkeld gegeven die bijzondere taakstelling. AVG uitgangspunten en instrumenten kunnen derhalve niet één op één worden ingezet op de gegevensverwerking door de diensten maar worden «vertaald» naar hun bijzondere positie en hun bijzondere taakstelling.

4. Datareductie

In reactie op de vraag van de leden van de PvdD-fractie over het stelsel van datareductie geldt dat het fundament voor het stelsel van datareductie voor alle door de diensten verworven data voor 1 mei 2019 is ingericht. Dit is immers noodzakelijk, gelet op het aflopen van de wettelijke bewaartermijn van één jaar voor gegevens die worden verworven met de inzet van bijzondere bevoegdheden, waarna niet beoordeelde gegevens moeten worden vernietigd. Een uitzondering hierop geldt voor data verkregen uit onderzoeksopdrachtgerichte interceptie waarvoor een termijn geldt van in totaal drie jaar met een jaarlijkse tussentijdse beoordeling waarna niet op relevantie beoordeelde gegevens worden vernietigd. Zoals hiervoor in antwoord op vragen naar de (verwachte) voortgang van de implementatie van de Wiv 2017 door de diensten reeds is opgemerkt is de inrichting van het stelsel van datareductie bij de MIVD sterk verbonden met noodzakelijke ontwikkelingen op het gebied van ICT.

Ten aanzien van de vraag van de leden van de D66-fractie aan welke inhoudelijke motivatie de CTIVD denkt voor relevantie beoordeling, vindt de CTIVD het begrijpelijk dat de diensten een breed relevantiebegrip hanteren, gelet op het belang voor het inlichtingenproces. De diensten onderschrijven dat sprake is van een objectieve relevantiebeoordeling. De wijze waarop de relevantie kan worden beoordeeld, hangt van een aantal factoren af. Eén van die factoren betreft de mate van gerichtheid van de inzet van de bevoegdheid waarmee gegevens worden verkregen: hoe specifieker een bepaalde bevoegdheid zich richt op een target, des te groter de kans op relevantie van die gegevens voor het onderzoeksdoel. Ook andere factoren zoals de aard van de onderzoeksopdracht, de eventuele combinatie van ingezette bevoegdheden en reeds verkregen data kunnen van invloed zijn op de beoordeling van de relevantie en daarmee op de termijn waarbinnen de relevantie kan worden beoordeeld. Gegeven al deze verschillende factoren is het niet eenvoudig om eenduidig aan te geven hoe relevantie wordt beoordeeld.

In de praktijk van de diensten worden gegevens, conform de Wiv 2017, zo spoedig mogelijk op relevantie beoordeeld. De termijn van drie maanden, die door de CTIVD wordt genoemd, hangt samen met de (maximale) toestemmingsduur voor de inzet van de bijzondere bevoegdheid waarmee de gegevens zijn verkregen. Binnen deze periode van drie maanden worden de gegevens beoordeeld op relevantie. Bij een verlenging van de inzet van een bevoegdheid eist de wet dat er ook wordt ingegaan op de reeds behaalde resultaten. Hierbij worden in ieder geval die relevante gegevens benoemd die de verlenging rechtvaardigen. Exacte aantallen van verlengingen van de inzet van bevoegdheden die driemaandelijks lopen, kunnen niet worden verstrekt. Daarnaast geldt dat de TIB toetst op de opbrengst van de inzet van de bevoegdheid en bij het ontbreken daarvan – voor zover het gaat om een verzoek tot verlenging – de gevraagde toestemming als onrechtmatig beoordeelt.

De vraag van de leden van de VVD-fractie over de ICT-systemen is reeds behandeld onder het hoofdstuk «algemeen beeld».

5. Onderzoeksopdrachtgerichte interceptie

Ten aanzien van onderzoeksopdrachtgerichte interceptie heeft een aantal fracties vragen gesteld over de implementatie van het «zo gericht mogelijk» criterium in de werkprocessen van de diensten. De diensten onderkennen de door de CTIVD beschreven noodzaak om werkprocessen vast te leggen. Hier wordt momenteel volop aan gewerkt. Wel is het goed om te benadrukken dat in alle toestemmingsaanvragen, waaronder ook die voor onderzoeksopdrachtgerichte interceptie, door beide diensten het criterium wordt betrokken, zoals ook door de CTIVD aangestipt (art. 48 lid 1). Bovendien dienen de door de Minister verleende toestemmingen te worden goedgekeurd door de TIB alvorens de interceptie plaats kan vinden.

Dit geldt eveneens voor de aanvragen die nodig zijn voor de volgende stappen in het interceptieproces, namelijk de selectie en analyse van de geïntercepteerde data (art. 49 lid 1 en 2, art. 50 lid 1 en 2). Zo wordt in de praktijk het criterium toegepast in de verschillende stadia van het interceptieproces. De vastlegging van deze werkwijze in beleid en werkprocessen zal naar verwachting voor 1 mei 2019 zijn afgerond en zal zijn voltooid alvorens OOG-interceptie op de kabel daadwerkelijk plaatsvindt.

Op de vraag van de leden van de GroenLinks-fractie of de regering het «zo gericht mogelijk» criterium in de komende wetswijziging zal verankeren, kan bevestigend worden gereageerd.

Aangaande de geautomatiseerde data-analyse (GDA) van metadata, zoals aangehaald door de leden van de VVD- en CDA-fractie, beraden de diensten zich nog over het door de CTIVD en TIB aangereikte kader. Zoals aangekondigd in de aanbiedingsbrief van de voortgangsrapportage zullen wij u nog voor het te plannen Algemeen Overleg over deze complexe materie separaat informeren.

6. Maatregelen

Ten aanzien van de maatregelen hebben de leden van de CDA-fractie gevraagd welke stappen de diensten zetten om in de praktijk invulling te geven aan de essentiële waarborgen voor de bescherming van de rechten van het individu. Bovenop de al getroffen maatregelen, worden er door de diensten komende tijd aanvullende maatregelen getroffen, zoals uiteengezet in de aanbiedingsbrief van de voortgangsrapportage. De maatregelen zien op een concrete invulling van de zorgplicht, zoals in de vorm van een systematiek voor interne controle, het vastleggen van beleid en werkprocessen rondom onderzoeksopdrachtgerichte interceptie op het gebied van het «zo gericht mogelijk» criterium, voltooien van de inrichting van het stelsel van datareductie en het op orde brengen van de ICT. Ook nieuwe elementen voortkomend uit andere nulmetingen van de CTIVD worden betrokken bij de implementatie.

De hiervoor genoemde maatregelen dienen ertoe om een verantwoorde implementatie van de wet te borgen. Zoals gezegd is de implementatie een absolute prioriteit voor de diensten. Gelijktijdig met de implementatie van het nieuwe wettelijke kader moet de operationele taakuitvoering van de diensten en daarmee de bescherming van de nationale veiligheid doorgang vinden. Dit is immers onze wettelijke taak. In antwoord op de vraag van de leden van de PvdD-fractie wie de inschatting maakt of de uitvoeringspraktijk van de diensten in het geding is, geldt dat het aan de diensten zelf is problemen in de uitvoeringspraktijk te signaleren richting de betrokken bewindspersoon. Zonder enige afbreuk te willen doen aan onze politieke verantwoordelijkheid, moge het immers duidelijk zijn dat de diensten zelf het beste zicht hebben op hun werkzaamheden.

De leden van de PvdD-fractie hebben ook gevraagd of de Minister bereid is met een nieuwe wet te komen die de bescherming van privacy en persoonsgegevens als uitgangspunt neemt in plaats van de door de inlichtingendiensten gewenste bevoegdheden. In antwoord hierop merken wij op het oordeel van de toezichthouder te delen dat de wet in balans is. Er is dan ook geen enkele aanleiding om met een nieuwe wet te komen.

In reactie op de leden van de PvdD-fractie aangaande de uitspraken van de voormalig directeur van de MIVD, geldt dat deze op persoonlijke titel zijn gedaan en op geen enkele wijze representatief zijn voor de wijze waarop er binnen de diensten wordt gedacht over onderwerpen als privacy en rechtsbescherming. Van deze uitspraken nemen wij dan ook krachtig afstand. Bij de diensten werken betrokken professionals die hun werkzaamheden binnen de kaders van de wet uitvoeren. Wij zien daarom geen aanleiding voor het uitvoeren van een anonieme peiling.

De vraag van de leden van de CDA-fractie over een adequaat instrumentarium voor de zorgplicht is reeds betrokken bij de beantwoording onder het hoofdstuk «zorgplicht». De vraag van deze leden aangaande de ICT-infrastructuur van de MIVD is behandeld onder het hoofdstuk «algemeen beeld». Daarnaast is de vraag over het «zo gericht mogelijk» criterium betrokken bij de beantwoording onder «onderzoeksopdrachtgerichte interceptie».

7. Tijdpad

In reactie op de vraag van de leden van de PvdD-fractie wanneer de diensten volledig aan de bestaande en beloofde wettelijke verplichtingen voldoen, geldt dat wij, zoals aangegeven in de aanbiedingsbrief van de voortgangsrapportage, ernaar streven om de risico’s op toekomstige onrechtmatigheden aanzienlijk te hebben beperkt bij de volgende voortgangsrapportage van de CTIVD in mei 2019, in het bijzonder voor de onderwerpen waar zij op dit moment een hoog risico signaleert.