Cybersecurity en privacy

Rapport CTIVD: 'Sleepwet gebrekkig ingevoerd'

CTIVD
- 5 December 2018

De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) stelt in haar voortgangsrapportage vast dat de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD) nog fundamentele stappen moeten zetten bij de invoering van de nieuwe wet (Wiv 2017). De CTIVD constateert 'risico’s voor onrechtmatig handelen door de beide diensten' met betrekking tot de wetgeving, in de volksmond bekend als de Sleepwet.

Effect extern toezicht nog onvoldoende mogelijk

Essentiële waarborgen voor de rechtsbescherming van de burger missen nog, geheel of gedeeltelijk, hun invulling in intern beleid, werkprocessen en de inrichting van technische systemen, zo schrijft de CTIVD in haar rapportage. Instrumenten voor de verplichte interne controle ontbreken en mede daardoor is effectief extern toezicht door de CTIVD nog onvoldoende mogelijk. De diensten moeten op korte termijn binnen hun organisaties concrete stappen zetten om in de praktijk te waarborgen dat aan de eisen uit de wet wordt voldaan.

Achtergrond: Wiv 2017

De Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is op 1 mei 2018 in werking getreden. Dat betekent dat de AIVD en de MIVD vanaf die datum moeten voldoen aan de eisen die de wet stelt. Het invoeren van de Wiv 2017 is geen eenvoudige opgave voor de diensten. Het is veelomvattend en vereist vaak een integrale aanpassing van het interne beleid, de werkprocessen en de technische systemen van de diensten. Er is en er wordt nog steeds veel werk verzet om enerzijds de nieuwe bevoegdheden die de wet biedt te operationaliseren en anderzijds de in de wet opgenomen waarborgen voor de rechtsbescherming van de burger in de toepassing van die bevoegdheden hun vaste plaats te geven.

De CTIVD heeft vanaf 1 mei 2018 onderzoek verricht naar de werking van de wet, met nadruk op onderwerpen die in het politiek en maatschappelijk debat veel aandacht hebben gekregen. Het onderzoek bestond o.m. uit het verrichten van nulmetingen, waarbij is getoetst welke vertaalslag de wet heeft gekregen in het interne beleid, de werkprocessen en de inrichting van de technische systemen bij de diensten tot 1 november 2018. Het doel hiervan is het vaststellen van risico's op onrechtmatig handelen door de diensten. De CTIVD constateert dat op enkele belangrijke onderwerpen sprake is van een hoog risico. Dit is vaak ook het gevolg van een te beperkte uitleg die de diensten aan de Wiv 2017 geven en van het ontbreken van een voortdurende interne controle. De toezichtsactiviteiten naar de werking van de Wiv 2017 zullen in ieder geval tot mei 2020 plaatsvinden, waarbij de CTIVD ten minste elk half jaar rapporteert.

Er is sprake van een achterstand bij de invoering van wettelijke en toegezegde waarborgen die de burger beogen te beschermen. De permanente verplichting tot databeperking bij de toepassing van bevoegdheden door de AIVD en de MIVD is nog werk in uitvoering. Gegevens moeten ‘zo gericht mogelijk’ worden verworven en zo spoedig mogelijk worden beperkt tot die gegevens die de diensten daadwerkelijk nodig hebben om hun taken goed uit te voeren (relevante gegevens). Dit om ervoor te zorgen dat zo min mogelijk inbreuken plaatsvinden op de persoonlijke levenssfeer van burgers op wie de inzet van de bevoegdheid niet is gericht, maar waarvan de gegevens wel zijn opgeslagen.

Bij de bevoegdheid van bulkinterceptie betekent dit bijvoorbeeld dat de filters die bij het verzamelen van de gegevens worden gebruikt, al zo gericht mogelijk moeten zijn. Hiermee wordt op basis van bijvoorbeeld taal, soort gegevens (spraak, beeld, tekst), locatiegegevens (gerelateerd aan een bepaald gebied) en type communicatie (bijvoorbeeld een bepaalde berichten applicatie) bepaald welke data wel en niet worden opgeslagen. Ook betekent het dat de opgeslagen gegevens op relevantie moeten worden beoordeeld nadat deze bijvoorbeeld op basis van telefoonnummers, e-mailadressen of trefwoorden nader zijn geselecteerd. De CTIVD constateert hier hoge risico’s voor onrechtmatig handelen. Zo is het criterium ‘zo gericht mogelijk’ niet in het interne beleid van de diensten opgenomen en krijgt het nog geen herkenbare toepassing in hun werkprocessen. Ook is het onduidelijk hoe de beoordeling van de relevantie van gegevens plaatsvindt binnen het proces van bulkinterceptie. De CTIVD gaat hier diepteonderzoeken naar verrichten.

Interne controle

Ook de verplichte doorlopende interne controle op de gegevensverwerking bij de AIVD en de MIVD ontbreekt nog. In de Wiv 2017 is een zorgplicht voor de rechtmatige gegevensverwerking opgenomen. Dit houdt o.m. in dat de diensten zelf voortdurend controle moeten uitoefenen op de wijze waarop zij gegevens verwerken en dat dit in overeenstemming is met de wet. Hiervoor zijn instrumenten nodig die deze interne controle mogelijk maken, bijvoorbeeld het vooraf toetsen van de kwaliteit en werking van nieuwe technische systemen en technieken, het uitvoeren van risicoanalyses om zwakke plekken vast te stellen bij het gebruik daarvan en het achteraf verrichten van audits om te beoordelen of het heeft gewerkt zoals het hoort te werken.

Toegezegd is dat bij de inwerkingtreding van de wet een adequaat instrumentarium beschikbaar zou zijn. De CTIVD constateert dat er op dit vlak een hoog risico bestaat op onrechtmatige gegevensverwerking door de diensten, omdat een dergelijk instrumentarium concreet nog niet aanwezig is bij de AIVD en MIVD. De huidige staat van de ICT infrastructuur van de MIVD maakt dit bovendien nu niet goed realiseerbaar. Het ontbreken van een doorlopende interne controle vormt een rode draad in de voortgangsrapportage van de CTIVD. Dit leidt niet alleen bij de AIVD en de MIVD zelf tot een gebrek aan zicht op de naleving van de wet, maar ook tot een gebrek aan mogelijkheden voor effectief toezicht door de CTIVD.

 

VIND FERM OOK OP FACEBOOK | TWITTER | LINKEDIN