De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft twee toezichtrapporten gepubliceerd over het verzamelen en verder verwerken van grote hoeveelheden gegevens door de AIVD en de MIVD. Het merendeel van deze gegevens heeft betrekking op personen en organisaties die geen onderwerp van onderzoek door de diensten zijn en dat ook nooit zullen worden. Dergelijke gegevensbestanden worden bulkdatasets genoemd. De rapporten laten zien dat de AIVD en de MIVD zowel met de inzet van een bijzondere bevoegdheid (rapport nr. 70) als met de inzet van een algemene bevoegdheid (rapport nr. 71) bulkdatasets verzamelen.
De Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) maakt onderscheid in de waarborgen die gelden voor deze gegevens afhankelijk van de ingezette bevoegdheid. De CTIVD beschouwt dit onderscheid als onwenselijk: bulk is bulk. Het verzamelen en verwerken van bulkdatasets dient met sterke waarborgen te zijn omkleed, ongeacht welke bevoegdheid is ingezet. De rapporten laten tevens zien dat de diensten de waarborgen die de wet biedt niet (op de juiste wijze) toepassen. Gevolg hiervan is onder andere dat datasets bewaard zijn, die volgens de wet vernietigd hadden moeten worden.
Achtergrond bulkdatasets
Sterke waarborgen zijn nodig, omdat het verzamelen en verder verwerken van bulkdatasets een ernstige inbreuk op de fundamentele rechten van burgers oplevert. Bijvoorbeeld op het recht op privacy. Het overgrote deel van de gegevens ziet immers op personen en organisaties die niet in de aandacht van de diensten staan. Bulkdatasets hebben echter ook grote waarde voor de diensten: de gegevens zijn waardevol om (onder meer) zogenoemde 'ongekende dreigingen' bloot te leggen. De CTIVD is zich bewust van deze waarde en ziet tegelijkertijd de noodzaak van sterke waarborgen tegen inbreuken op fundamentele rechten.
De Wiv 2017 kent, buiten onderzoeksopdrachtgerichte (OOG-)interceptie, geen aparte regeling voor bulkdatasets en maakt de toepasselijke waarborgen afhankelijk van de bevoegdheid die is ingezet om de gegevens te verzamelen. De wet biedt meer waarborgen bij het verzamelen van een bulkdataset met de inzet van een bijzondere bevoegdheid dan wanneer dit met behulp van een algemene bevoegdheid gebeurt. In beide gevallen blijven de waarborgen achter bij de waarborgen die gelden voor OOG-interceptie (oftewel bulkinterceptie). Dit verschil komt tot uitdrukking in de toezichtsrapporten.
Rapport over bulkdatasets met hackbevoegdheid en verwerking
Rapport 70 gaat over het verzamelen van bulkdatasets met behulp van de hackbevoegdheid. Dit is een bijzondere bevoegdheid in de Wiv 2017. Een belangrijke waarborg is dat de diensten gegevens die met een bijzondere bevoegdheid zijn verkregen zo spoedig mogelijk op relevantie voor hun onderzoeken dienen te beoordelen. Deze beoordeling moeten zij uiterlijk binnen anderhalf jaar uitvoeren, anders dienen zij alle gegevens, behoudens de relevant verklaarde gegevens, te vernietigen. Dit geldt dus ook voor gegevens in bulkdatasets die met de hackbevoegdheid zijn verkregen.
Deze waarborg is belangrijk omdat daarmee wordt voorkomen dat de diensten niet-relevante gegevens te lang bewaren. Daarmee vormt de verplichting gegevens na een maximumtermijn te vernietigen de hoeksteen van het datareductiestelsel. De CTIVD stelt in haar toezichtsrapport vast dat de wettelijke eis van het 'zo spoedig mogelijk' op relevantie beoordelen wringt met de aard van bulkdatasets. Het gaat immers om grote gegevensverzamelingen, waarvan op voorhand niet of nauwelijks is te bepalen welke gegevens gedurende de beoordelingsperiode relevant zullen zijn. Bovendien kunnen bulkdatasets vanwege hun aard langer dan anderhalf jaar van operationele waarde zijn voor de onderzoeken van de diensten.
Geconfronteerd met deze problematiek hebben de diensten bepaalde bulkdatasets integraal (of grotendeels) relevant verklaard. De CTIVD beoordeelt deze praktijk als onrechtmatig, nu daarmee ook gegevens relevant worden verklaard die betrekking hebben op personen en organisaties die geen onderwerp van onderzoek door de diensten zijn en dat ook nooit zullen worden. Deze gegevens zijn evident niet-relevant. Het gevolg van deze abstracte wijze van relevantiebeoordeling is dat deze gegevens zonder definitieve vernietigingstermijn binnen de diensten bewaard kunnen blijven. Immers, gegevens die relevant zijn verklaard komen in het 'betekenisregime' terecht waar verwijdering alleen aan de orde is als gegevens hun betekenis hebben verloren.
In de zienswijze van de CTIVD is deze wijze van relevantiebeoordeling een kunstgreep om de betreffende bulkdatasets langer te kunnen bewaren en te gebruiken. De wet biedt hiervoor geen ruimte. Uit de wet volgt dat de op onrechtmatige wijze relevant beoordeelde bulkdatasets vernietigd moeten worden.
De diensten passen in de praktijk aanvullende, niet in de wet vastgelegde waarborgen toe bij de verdere verwerking van via de hackbevoegdheid verkregen bulkdatasets. Deze beoordeelt de CTIVD als een voldoende uitwerking van de eisen die de wet stelt aan behoorlijke en zorgvuldige gegevensverwerking. Hoewel deze algemene beginselen een aanknopingspunt voor de rechtmatigheidstoets vormen, is het wenselijk tot een meer inclusieve wettelijke regeling van bulkdatasets over te gaan die voldoende recht doet aan de bescherming van fundamentele rechten van burgers en de operationele waarde van bulkdatasets voor de diensten.
Met betrekking tot de inzet van de hackbevoegdheid concludeert de CTIVD in haar rapport dat deze op rechtmatige wijze plaatsvindt, met uitzondering van een aantal operaties waarin niet aan de toestemmingsvereisten was voldaan.
Rapport over verzamelen en verwerken passagiersgegevens luchtvaartmaatschappijen
Rapport 71 gaat over het verzamelen van passagiersgegevens van luchtvaartmaatschappijen met de inzet van een algemene bevoegdheid, in casu de informantenbevoegdheid. De waarborgen die gelden voor het verzamelen van gegevens met een bijzondere bevoegdheid gelden daarbij niet. Bijvoorbeeld toestemming van de minister en een vastgestelde bewaartermijn, en in bepaalde gevallen de toets door de TIB.
De CTIVD stelt in haar toezichtsrapport vast dat de passagiersgegevens structureel en geautomatiseerd worden verzameld. Er is hierbij sprake van een bulkdataset, omdat het merendeel van de gegevens betrekking heeft op personen die geen onderwerp van onderzoek zijn van de diensten en dat ook nooit zullen worden. De CTIVD concludeert dat het op deze wijze verzamelen van de passagiersgegevens past binnen de juridische kaders van de informantenbevoegdheid en daarmee rechtmatig is. In het rapport wordt wel de vraag gesteld of een dergelijke werkwijze voldoende voorzienbaar is voor de burger.
De AIVD en de MIVD hebben de passagiersgegevens niet aangemerkt als een bulkdataset. Dit had op basis van het op hun websites gepubliceerde beleid wel gemoeten. De diensten hebben mede daardoor onvoldoende waarborgen toegepast bij het verzamelen en het verder verwerken van de passagiersgegevens. Dit is onrechtmatig. Er is bijvoorbeeld geen sprake van een strikt autorisatieregime, zoals dit wel is vereist. Ook heeft geen tussentijdse evaluatie plaatsgevonden of de gegevens nog wel van betekenis zijn voor de dienst. Er zijn dan ook geen gegevens verwijderd sinds het moment van verzamelen. In de onderzoeksperiode stonden in de database van de AIVD de passagiersgegevens van miljoenen personen.
Aanbevelingen
De CTIVD beveelt in haar rapporten aan om de benodigde waarborgen in te richten om bulkdatasets op een rechtmatige wijze te verzamelen en te verwerken, en tot een centraal beleid te komen waarin deze waarborgen en de verantwoordelijkheid voor de naleving daarvan zijn neergelegd. Dit zou moeten gelden ongeacht de bevoegdheid waarmee bulkdatasets zijn verzameld.
