Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 3 december 2019
Hierbij bied ik u de derde voortgangsrapportage over de werking van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) aan1. Ik dank de CTIVD voor deze rapportage, die herkenbare aanknopingspunten biedt voor de verdere implementatie van de Wiv 2017. De diensten streven ernaar de geconstateerde risico’s verder terug te brengen, mede met het oog op de vierde voortgangsrapportage van de CTIVD, die in het voorjaar van 2020 zal verschijnen.
Algemeen beeld
De CTIVD constateert dat de AIVD en de MIVD fundamentele veranderingen in gang hebben gezet, veel werk hebben verzet en dat de inzet en bereidheid volop aanwezig zijn. Op vrijwel alle gebieden waarover de CTIVD in de voortgangsrapportage rapporteert is concrete voortgang geboekt. De CTIVD constateert echter ook dat de diensten de eind vorig jaar ingezette stijgende lijn niet met dezelfde snelheid hebben kunnen voortzetten, waardoor de risicobeoordeling uit de tweede voortgangsrapportage van mei 2019 ongewijzigd is gebleven. De oorzaak hiervan is dat zaken die de diensten spoedig op orde konden brengen, zoals het vaststellen van beleid en werkinstructies, inmiddels grotendeels op orde zijn. De verankering hiervan in de werkwijze van de diensten vergt per definitie meer tijd. Het komt nu aan op het versterken van weerbarstiger processen zoals het realiseren van een op maat gemaakte technische werkomgeving. Hoewel beide diensten goed weten voor welke opgave ze op ICTgebied staan en progressie boeken bij de verwezenlijking van een op de Wiv 2017 toegesneden infrastructuur, is deze niet eenvoudig of snel te realiseren. De CTIVD toont in de voortgangsrapportage begrip voor de complexiteit van de datahuishouding en ICT infrastructuur bij beide diensten.
Met de CTIVD constateer ik dat om te kunnen blijven voldoen aan de wettelijke vereisten, fundamentele aanpassingen aan het technisch gegevensbeheer nodig zijn, waardoor te allen tijde de juridische status van gegevens helder is. Ondertussen vragen de ontwikkelingen op veiligheidsgebied onverminderd de aandacht van de diensten. De taakuitvoering van de diensten gaat immers gewoon door.
Datareductie van bulkdatasets
De CTIVD vraagt specifiek aandacht voor de relevantiebeoordeling van bulkdatasets. Dit zijn gegevensverzamelingen die onder de Wiv 2002 of Wiv 2017 zijn vergaard en waarvan het merendeel betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek zijn en dat ook nooit zullen worden. De CTIVD wijst erop dat het in de praktijk niet goed uitvoerbaar is deze gegevens binnen een jaar (met mogelijkheid tot verlenging van een half jaar) op relevantie te beoordelen. Tevens constateert de CTIVD dat de integrale vernietiging van de bulkdatasets tot operationele risico’s kan leiden. De CTIVD acht een relevantiebeoordeling van deze bulkdatasets op het door de diensten gekozen abstractieniveau echter onrechtmatig. Zoals ik uw Kamer informeerde bij brief van 12 november (Kamerstuk 34 588, M) komt het onderwerp bulkdatasets aan de orde in de wetsevaluatie van de Wiv 2017, die uiterlijk 1 mei 2020 aanvangt.
Onderzoeksopdrachtgerichte–interceptie (OOG-interceptie)
Voor de toepassing van OOG-interceptie is een groot deel van het door de CTIVD als veelbelovend gekenschetste verbeterprogramma op 1 november afgerond. De CTIVD heeft recente verbeteringen op monitoring en interne controle, technische verwerkingssystemen en opgeleverde procesbeschrijvingen nog niet in detail kunnen meenemen in de beoordeling. Deze voortgang zal door de CTIVD worden meegenomen in de volgende voortgangsrapportage. De verbeteringen zijn belangrijke randvoorwaarden voor de inzet van OOG-interceptie in zowel de ether als – op korte termijn – op de kabel. De inzet vindt vanzelfsprekend pas plaats nadat de Toetsingscommissie Inzet Bevoegdheden (TIB) de voorgenomen inzet heeft beoordeeld en deze rechtmatig acht.
Geautomatiseerde data-analyse (GDA)
Voor de uitvoering van GDA is recent voor beide diensten beleid vastgesteld. Daarmee zijn kaders gesteld en risico’s op onrechtmatig handelen door het ontbreken van beleid weggenomen. Met een impactanalyse worden momenteel de effecten van dit beleid op de operationele uitvoeringspraktijk nader onderzocht. Vooral voor dit onderwerp geldt dat om te kunnen blijven voldoen aan de wettelijke vereisten, fundamentele aanpassingen aan het technisch gegevensbeheer nodig zijn, waardoor te allen tijde de juridische status van gegevens helder is.
Zoals de CTIVD ook stelt in de rapportage heeft de AIVD nog geen toestemming voor de uitvoering van GDA art. 50 Wiv 2017 (GDA waarbij OOG-metadata wordt betrokken). De MIVD heeft toestemming voor GDA art. 50 in het kader van de ondersteuning van militaire operaties. We blijven met de CTIVD en de TIB in gesprek om te komen tot een toepassing van GDA die recht doet aan zowel de strekking van de wet als aan de operationele uitvoeringspraktijk. GDA zal worden betrokken in de eerder genoemde wetsevaluatie.
Operationele taakuitvoering
De CTIVD signaleert tot slot dat voor de implementatie van de Wiv 2017 de operationele capaciteit van de diensten wordt ingezet en acht een onafhankelijke beoordeling van de invloed van de Wiv 2017 op de operationele taakuitvoering raadzaam. De CTIVD heeft dit onder de aandacht van de Algemene Rekenkamer gebracht.
De Minister van Defensie, tevens Minister voor de AIVD, A.Th.B. Bijleveld-Schouten