Month: September 2014

[UPDATED] Dutch Senate requests govt to abstain from legalizing cable SIGINT in a way that permits “unconditional, indiscriminate and large-scale” surveillance

UPDATE 2015-07-02: the Dutch government released an intelligence bill into public consultation. Details here.

UPDATE 2014-10-07: the votes are in: all motions were adopted by the Senate, except the motion filed by senator Strik (GroenLinks). It’ll be interesting to see how the Dutch govt will respond to the Senate’s requests for an investigation on the independence and reliability of standardization bodies such as the IETF (perhaps due to the discussion on Kevin Igoe, associated with NSA, being co-chair of IETF’s Crypto Forum Research Group), NIST (of DUAL_EC fame) and the GSM Association.

On Tuesday September 23rd, the Dutch Senate discussed topics concerning privacy and intelligence & security services. The full transcripts are here (part 1; in Dutch) and here (part 2; in Dutch). The following motions were filed, and will be voted on during the plenary meeting of Tuesday October 7th (h/t @AndreasUdo):

  • [ADOPTED] Senator Franken (CDA) filed a motion (.pdf, in Dutch) requesting the government to abstain from extending interception powers in a way that would permit “unconditional, indiscriminate and large-scale” surveillance of cable communications. Note that Dutch intelligence & security services are currently permitted to carry out bulk interception/search only of non-cablebound communications, such as HF radio and satellite. Oversight on the exercise on that power is currently broken. Nonetheless, the government is currently dreaming up a bill that may extend this power to include cable communications. Think of GCHQ’s Tempora and NSA’s DANCINGOASIS, but on way smaller budget and in a different intelligence culture.
  • [ADOPTED] Senator De Vries (Labour Party) filed a motion (.pdf, in Dutch) requesting the government to investigate the independence and reliability of bodies that standardize security protocols, mentioning IETF, NIST, GSM Association as examples. Think of the DUAL_EC controversy here.
  • [ADOPTED] Senator De Vries (Labour Party) filed a motion (.pdf, in Dutch) requesting the government to create safeguards concerning the decision-making on the disclosure or non-disclosure of vulnerabilities found by the Dutch intelligence & security services (think of the JSCU). The senator states that the decision to disclose or not disclose a vulnerability cannot be made by the services themselves, because the interest of all internet users has to be taken into account; thus implying that the services cannot be relied upon to take the interest of all internet users sufficiently into account.

In addition, the following motions were filed:

  • [ADOPTED] Senator Franken (CDA) filed a motion (.pdf, in Dutch) requesting the government to ensure that the current and future legal framework and oversight mechanisms are compliant to the European Convention on Human Rights (ECHR) and EU legislation concerning data protection. In that same motion, the senator requested to government to protect citizens against observation by Dutch or foreign services in a way that violates the ECHR and to guarantee that the rule of law is not weakened as a result of extraterritorial use of a foreign law. N0 specific examples are mentioned, but one EO 12333 and FISA come to mind.
  • [WITHDRAWN] Senator Strik (GroenLinks) filed a motion (.pdf) requesting the government to “investigate the usefulness and necessity of independent oversight on government institutions that are not covered by the Dutch Review Committee on the Intelligence and Security Services (CTIVD), but that do carry out similar tasks that involve infringement on the right to privacy”.
  • [ADOPTED] Senator Gerkens (Socialist Party) filed a motion (.pdf, in Dutch) requesting the government to commission the Rathenau Institute to investigate the desirability of a committee that can advise on the ethical aspects of digitization; considering the Internet of Things, that will connect “everything and everyone”, will bring opportunities but also threats; considering that the effects of this digital development on society will be not only technological, but also societal, social-legal and social-psychological.

EOF

Dutch journalists and ‘publicists’ get the legal right to protect their sources

Dutch news site Nu.nl reports (Sep 22, in Dutch) that Dutch journalists and ‘publicists’ will get the legal right to source protection. Here’s a translation of that report (and below that, links to the documents, which are in Dutch):

 

Legal right to journalistic source protection

Journalists get a legal right to protect their sources. That privilege is not absolute, though.

Conditions can occur that make it necessary to reveal the source, for instance for reasons of national security or to prevent or end serious punishable offenses.

The judge ultimately determines whether the action of protecting sources was justified.

That is apparent from a bill that minister Ivo Opstelten (Security & Justice) sent to the parliament on Monday. The government recognizes the special role of journalists in public debate.

In practice it will mean that journalists do not have to answer questions about the identity of their source in a criminal case. Witnesses are normally obliged to answer. But the public interest of having the possibility to inform journalists without having to fear about prosecution, must be considered to be more important in general.

 

Publicists

Source protection will not only apply to professional journalists, but also to publicists who write about current affairs.

In addition, stricter rules will apply to the use of coercive measures against journalists and publicists in a criminal case. The search of an office and confiscation of objects is only permitted after approval of and in the vicinity of a magistrate, and no longer by approval of a prosecutor.

Criticism

The Council of State criticizes the proposal. The most important adviser of the governmental is of the opinion that only journalists have the right to protect their sources.

The Council favors a ‘restrictive’ phrasing of the right to source protection, considering the far-reaching consequences, in which ‘certain persons obtain a privileged position in comparison with other citizens whom are subject to the obligation of making witness statements’.

Also, it is unclear who can be classified as a ‘publicist’. “It is not a clearly demarcated profession.” Moreover, the government goes further than the European Court, according to the Council of State.

Related:

EOF

[Dutch] Ter opfrissing: het ingetrokken post-Madrid voorstel tot wijziging van de Wiv2002

Na de bomaanslagen van 2004 in Madrid diende het kabinet een voorstel tot wijziging van de Wiv2002 in. Dat voorstel werd uiteindelijk ingetrokken na kritiek van het CBP (.pdf, 2007; kabinetsreactie) en de Eerste Kamer. Voor eigen doeleinden geef ik hieronder een overzicht van de belangrijkste onderdelen uit dat voorstel, de standpunten van het CBP en de standpunten van het kabinet.

Nota bene: voor zover mij bekend is er geen aanleiding om te verwachten dat elementen uit het ingetrokken voorstel zullen terugkeren in het Wiv-wijzigingsvoorstel dat het kabinet binnenkort (?) indient. De cie-Dessens heeft geen aanbevelingen gedaan die een herhaling zijn van elementen uit het post-Madrid voorstel.

Artikel 12 Wiv2002 geeft de AIVD de bevoegdheid om überhaupt gegevens te verwerken. In het post-Madrid voorstel werd Artikel 12a ingevoegd, dat expliciet een bevoegdheid geeft tot data-analyse (vergelijken, zoeken naar profielen, zoeken naar patronen) met geautomatiseerde gegevensbestanden:

Artikel 12a

  1. Tot de bevoegdheid, bedoeld in artikel 12, eerste lid, behoort tevens de bevoegdheid van de diensten tot het uitvoeren van geautomatiseerde data-analyse met betrekking tot
    1. gegevens uit eigen geautomatiseerde gegevensbestanden,
    2. gegevens uit voor een ieder toegankelijke informatiebronnen,
    3. gegevens uit geautomatiseerde gegevensbestanden waartoe de diensten rechtstreeks toegang hebben, en
    4. gegevens uit daartoe door derden verstrekte geautomatiseerde gegevensbestanden of delen van geautomatiseerde gegevensbestanden.
  2. Ten behoeve van de verwerking, bedoeld in het eerste lid, kunnen de gegevens in ieder geval:
    1. op geautomatiseerde wijze onderling met elkaar worden vergeleken dan wel in combinatie met elkaar worden vergeleken,
    2. worden doorzocht aan de hand van profielen, en
    3. worden vergeleken met het oog op het opsporen van bepaalde patronen.
  3. Gegevens afkomstig uit geautomatiseerde gegevensbestanden van derden als bedoeld in het eerste lid, onderdeel d, die uitsluitend zijn verstrekt ten behoeve van een verwerking als bedoeld in het tweede lid, onder b of c, en na die verwerking niet meer relevant zijn voor het desbetreffende onderzoek van een dienst, worden vernietigd. Van de vernietiging wordt een verslag opgemaakt.

De AIVD mag dit al op basis van de Wiv2002: de explicitering door het voorgestelde Artikel 12a is dan ook primair “gelegen in de wens tot vergroting van de kenbaarheid en voorzienbaarheid van deze specifieke vormen van gegevensverwerking“, aldus voornoemde kabinetsreactie.

Artikel 13 Wiv2002 beperkt de gegevensverwerking tot, heel kort door de bocht, targets. In het voorstel werd deze beperking opgeheven:

Aan artikel 13 wordt een nieuw lid toegevoegd, luidende:

  1. De verwerking van persoonsgegevens door de diensten in het kader van de toepassing van de bevoegdheid, bedoeld in de artikelen 12a, tweede lid, en 29b kan ook betrekking hebben op andere personen dan bedoeld in het eerste en tweede lid.

Artikel 17 Wiv2002 geeft de AIVD de bevoegdheid een verzoek om vrijwillige verstrekking van gegevens in te dienen bij bestuursorganen en willekeurige derden. Het voorstel breidde dit artikel uit met de bepaling dat ook zo’n verzoek kan worden voldaan door “het verlenen van rechtstreekse geautomatiseerde toegang”:

In artikel 17 wordt onder vernummering van het derde lid tot vierde lid een nieuw lid ingevoegd, luidende:

  1. Aan een verzoek als bedoeld in het eerste lid kan worden voldaan door het verlenen van rechtstreekse geautomatiseerde toegang aan de dienst tot de desbetreffende gegevens dan wel door het verstrekken van geautomatiseerde gegevensbestanden of delen van geautomatiseerde gegevensbestanden.

Ook zou Artikel 17a worden ingevoegd, dat de AIVD de bevoegdheid zou hebben gegeven tot het vorderen van gegevens bij per AMvB aan te wijzen bestuursorganen:

Artikel 17a

  1. Bij algemene maatregel van bestuur op voordracht van Onze betrokken Ministers, gedaan in overeenstemming met Onze Minister wie het mede aangaat, kunnen bestuursorganen worden aangewezen, die verplicht zijn om desgevraagd gegevens te verstrekken aan een dienst ter uitvoering van de taak van de desbetreffende dienst, dan wel ter ondersteuning van een goede taakuitvoering.
  2. In de algemene maatregel van bestuur, bedoeld in het eerste lid, wordt in ieder geval bepaald:
    1. op welke door het bestuursorgaan, dan wel een onderdeel daarvan, verwerkte gegevens de verplichting betrekking heeft;
    2. de termijn waarbinnen de gegevens dienen te worden verstrekt;
    3. de wijze waarop de gegevensverstrekking dient plaats te vinden.
  3. Onder de wijze van verstrekking als bedoeld in het tweede lid, onderdeel c, wordt tevens de mogelijkheid begrepen tot het verlenen van rechtstreekse geautomatiseerde toegang tot de desbetreffende gegevens. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld met betrekking tot de ter zake door het bestuursorgaan te treffen technische en organisatorische maatregelen.
  4. De verstrekking van gegevens ingevolge dit artikel geschiedt kosteloos, voor zover bij de algemene maatregel van bestuur, bedoeld in het tweede lid, niet anders is bepaald.
  5. Op de verstrekking van gegevens als bedoeld in dit artikel is artikel 17, vierde lid, van overeenkomstige toepassing.
  6. De voordracht voor een krachtens het eerste lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Daarover stelde het CBP:

Het principe van kenbaarheid is met het voornemen bij AMvB nadere invulling te geven aan het wetsvoorstel in dit geval geenszins gediend. Het betekent immers niet alleen onduidelijkheid voor de sectoren die het betreft, maar ook voor de burger, terwijl de Minister aanzienlijke speelruimte heeft om invulling te geven aan deze categorieën. Bovendien schuilt hierin het risico dat de drempel de categorieën uit te breiden, lager ligt dan indien deze zouden zijn neergelegd in het wetsvoorstel zelf.

Nut en noodzaak van de voorhanden zijnde gegevens voor een goede taakuitvoering van de diensten dienen bij de aan te wijzen categorieën aanwezig te zijn. Nu de noodzaak van de voorgestelde maatregelen zelf onvoldoende is onderbouwd, geeft de stelling dat nut en noodzaak van de bij de aan te wijzen categorieën dienstverleners voorhanden zijnde gegevens bepalend dient te zijn, weinig vertrouwen.

Ook merkte het CBP op dat Artikel 17a niet is omkleed met de waarborgen die wel van toepassing op bijzondere bevoegdheden:

Ten aanzien van de bijzondere bevoegdheden, waar de artikelen 28 Wiv 2002 e.v. onder vallen, bestaat een wettelijk verankerd toetsingskader (artikel 31 Wiv 2002), de verplichting een verslag te maken van de uitoefening van een bijzondere bevoegdheid (artikel 33 Wiv 2002) en een onafhankelijke toezichthouder, de CTIVD. Behalve het toezicht door de CTIVD, zijn de andere twee waarborgen niet van toepassing op de verruiming van de verstrekking door bestuursorganen (artikel 17a in het wetsvoorstel).

Artikel 29 Wiv2002 regelt de bevoegdheid tot het vorderen van abonneegegevens bij aanbieders van openbare elektronische telecommunicatiediensten en -netwerken. In het voorstel werden hierna Artikel 29a en Artikel 29b ingevoegd, die de AIVD de bevoegdheid zouden hebben gegeven ook bij financiële bedrijven en vervoersbedrijven gegevens te vorderen:

Artikel 29a

  1. De diensten zijn bevoegd zich te wenden tot een persoon of instantie behorende tot de bij algemene maatregel van bestuur, op voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties en Onze Minister van Defensie gezamenlijk, na overleg met Onze Minister die het aangaat, aangewezen categorieën van personen en instanties, die:
    1. beroeps- of bedrijfsmatige financiële diensten verlenen, of
    2. beroeps- of bedrijfsmatig werkzaam zijn als vervoerder, met het verzoek gegevens te verstrekken met betrekking tot een in het verzoek aangegeven gebruiker van de door hen verleende diensten.
  2. Onder een gebruiker wordt in dit artikel verstaan: de natuurlijke persoon of rechtspersoon die met een persoon of instantie als bedoeld in het eerste lid een overeenkomst is aangegaan met betrekking tot de levering of het gebruik van de door hen te verlenen diensten of die feitelijk gebruik maakt van die diensten.
  3. Voor de uitoefening van de bevoegdheid, bedoeld in het eerste lid, is geen toestemming vereist als bedoeld in artikel 19.
  4. De persoon of instantie aan wie een verzoek om gegevensverstrekking als bedoeld in het eerste lid is gericht, is verplicht aan het verzoek te voldoen.
  5. Bij de algemene maatregel van bestuur, bedoeld in het eerste lid, wordt in ieder geval tevens bepaald:
    1. op welke soorten gegevens de verplichting betrekking heeft;
    2. de termijn waarbinnen de gegevens dienen te worden verstrekt;
    3. de wijze waarop de gegevensverstrekking dient plaats te vinden;
    4. de vergoeding van kosten.
  6. Een verzoek wordt schriftelijk gedaan door het hoofd van de desbetreffende dienst en bevat:
    1. gegevens waarmee de gebruiker kan worden geïdentificeerd;
    2. een omschrijving van de gegevens die verstrekt dienen te worden;
    3. de periode waarover de gegevens verstrekt dienen te worden.
  7. Op de verstrekking van gegevens ingevolge een verzoek als bedoeld in het eerste lid is artikel 17, vierde lid, van overeenkomstige toepassing.
  8. De voordracht voor een krachtens het eerste lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Artikel 29b

  1. De diensten zijn bevoegd om ten behoeve van de uitoefening van de bevoegdheid, bedoeld in artikel 12a, tweede lid, onder b of c, zich te wenden tot:
    1. een bestuursorgaan als bedoeld in artikel 17a, eerste lid,
    2. een aanbieder van communicatiediensten als bedoeld in artikel 28, eerste lid, en
    3. een persoon of instantie die behoort tot een ingevolge artikel 29a, eerste lid, aangewezen categorie van personen of instanties, met het schriftelijke verzoek tot verstrekking van een in dat verzoek omschreven geautomatiseerd gegevensbestand of delen van een geautomatiseerd gegevensbestand.
  2. De in het eerste lid bedoelde bevoegdheid mag slechts worden uitgeoefend, indien door Onze betrokken Minister daarvoor op een daartoe strekkend verzoek toestemming is verleend aan het hoofd van de dienst.
  3. Het verzoek tot het verlenen van toestemming als bedoeld in het tweede lid bevat ten minste:
    1. een nauwkeurige aanduiding van degene tot wie het verzoek om verstrekking van geautomatiseerde gegevensbestanden zich richt;
    2. een nauwkeurige omschrijving van het geautomatiseerde gegevensbestand dan wel deel van het geautomatiseerde gegevensbestand waarvan de verstrekking wordt verlangd met dien verstande dat deze geen andere soorten gegevens kunnen bevatten dan waartoe het desbetreffende bestuursorgaan, de aanbieder van communicatiediensten, of de persoon of instantie op grond van bepalingen van deze wet reeds verplicht zijn tot verstrekking;
    3. de reden waarom de uitoefening van de bevoegdheid wordt verlangd.
  4. Degene aan wie een verzoek om gegevensverstrekking als bedoeld in het eerste lid is gericht, is verplicht aan het verzoek te voldoen.
  5. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld met betrekking tot in ieder geval:
    1. de termijn waarbinnen de verstrekking van het geautomatiseerde gegevensbestand dient plaats te vinden;
    2. de vergoeding van de kosten, met dien verstande dat op de verstrekking van gegevens door bestuursorganen als bedoeld in het eerste lid, onder a, artikel 17a, vierde lid, van overeenkomstige toepassing is.
  6. Op de verstrekking van gegevens ingevolge een verzoek als bedoeld in het eerste lid is artikel 17, vierde lid, van overeenkomstige toepassing.
  7. De voordracht voor een krachtens het vijfde lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Over data-analyse op basis van gevorderde persoonsgegevens stelde het CBP:

Bedrijven en instellingen, zowel in de publieke als in de private sector, hebben de neiging om steeds meer persoonsgegevens te verzamelen, te gebruiken en uit te wisselen. Daarnaast worden ook wettelijke verplichtingen geschapen om gegevens gedurende een bepaalde periode te bewaren. Het wetsvoorstel schept de mogelijkheid voor de diensten om rechtstreekse geautomatiseerde toegang te verkrijgen tot de gegevens die bij de aangezochte persoon of instantie berusten: hiermee wordt een on line- en real time verbinding bedoeld, waarbij zonder menselijke tussenkomst gegevens verstrekt kunnen worden. Op deze wijze kan een grote hoeveelheid gegevens vergaard worden uit externe databases, mede ten behoeve van data- analyse. Deze combinatie leidt tot consequenties die niet of niet voldoende lijken te zijn onderkend.

De eerste consequentie die het CBP voorzag:

In de eerste plaats heeft deze combinatie tot gevolg dat de diensten steeds meer gegevens zullen moeten analyseren om de eenvoudige reden dat steeds meer gegevens beschikbaar zijn; zoeken naar een speld in een hooiberg. Het is niet aannemelijk dat de effectiviteit van het doorzoeken van informatie hiermee gediend is. Gewaarschuwd dient dan ook te worden voor de hooggespannen verwachtingen van technologische toepassingen en de verplichting die op verantwoordelijken kan worden gelegd. (…)

De kabinetsreactie hierop:

Op dit punt lijkt het CBP impliciet uit te gaan van de veronderstelling dat de diensten geen of onvoldoende ervaring hebben met het uitvoeren van data-analyses op grote hoeveelheden gegevens en dat het wetsvoorstel ertoe dient om het mogelijk te maken grotere hoeveelheden gegevens binnen te halen. Geen van deze veronderstellingen is juist. De diensten hebben al geruime tijd ervaring met data-analyses op grote hoeveelheden gegevens die worden verstrekt op basis van de huidige wet. Zoals in de memorie van toelichting vermeld en ook hiervoor gememoreerd beschikken de diensten op grond van de huidige wet over de mogelijkheid data-analyses uit te voeren, maar heeft de regering ervoor gekozen deze mogelijkheid thans ook expliciet in de wet op te nemen teneinde zodoende de kenbaarheid te vergroten en de toepassing ervan op onderdelen met extra waarborgen te omgeven.

Hiervoor heb ik er voorts al op gewezen dat de verplichting tot gegevensverstrekking die het wetsvoorstel introduceert niet zozeer ingegeven is door de wens over meer gegevens en bestanden te beschikken als wel om de nadelen van vrijwillige gegevensverstrekking te ontlopen. Er is dan ook geen sprake van de hooggespannen verwachtingen waar het CBP voor waarschuwt, maar van een reële inschatting van mogelijkheden tot verbetering gebaseerd op de huidige ervaringen. Het lijkt mij goed om op deze plaats aan de hand van enkele voorbeelden inzicht te geven in het belang van geautomatiseerde data-analyse voor een goede taakuitvoering.

Op aanbeveling van de Commissie-Oord (veiligheid burgerluchtvaart) en na wijziging daartoe van de Wet veiligheidsonderzoeken is thans de zogeheten dynamisering van het veiligheidsonderzoek mogelijk gemaakt. Zoals bekend dienen personen die werken op het beveiligde gebied van Schiphol een veiligheidsonderzoek te ondergaan, waarbij onder meer wordt gekeken naar de justitiële antecedenten van de persoon door raadpleging van het Justitieel Documentatiesysteem (JDS). De dynamisering maakt het mogelijk om periodiek (bijvoorbeeld een keer per maand) de justitiële gegevens (en de politiegegevens) van de in het beveiligde gebied werkzame personen te checken. Dit betekent dat er dus periodiek vele tienduizenden personen dienen te worden nageslagen in de desbetreffende bestanden van politie en justitie. Dat kan alleen nog maar door toepassing van geautomatiseerde data-analyse. Aan de hand van de in de Beleidsregel veiligheidsonderzoeken voor de burgerluchthaven expliciet genoemde strafbare feiten worden daartoe criteria aangewezen. Via een daartoe te ontwikkelen data-mining applicatie wordt aan de kant van de AIVD een geautomatiseerd selectiemechanisme toegepast waardoor alleen die personen worden uitgeselecteerd die voldoen aan de vooraf gestelde criteria. De aldus geselecteerde personen worden vervolgens aan een nader onderzoek onderworpen ter beantwoording van de vraag of de feiten en omstandigheden inderdaad zodanig zijn, dat tot intrekking van de verklaring van geen bezwaar, en daarmee van de toegangspas tot het beveiligde gebied, dient te worden overgegaan. De resultaten van geautomatiseerde data-analyse leiden dus nimmer automatisch tot conclusies, maar vormen het startpunt voor verder onderzoek.

Een ander voorbeeld betreft de voorlegging van visumaanvragen. De AIVD krijgt van het ministerie van Buitenlandse Zaken jaarlijks ongeveer 21 000 visumaanvragen voorgelegd. Dit zijn visumaanvragen van de landen op de 5A-lijst, een bijlage bij de Gemeenschappelijke Visuminstructies van de Beneluxlanden. Als over een aanvrager bij de dienst informatie aanwezig is die relevant is voor de beslissing over de aanvraag, dan brengt de dienst daarover een ambtsbericht uit aan het ministerie van Buitenlandse Zaken. Dit dient binnen vijf werkdagen te gebeuren. Het zal duidelijk zijn dat de zoekslag die noodzakelijk is voor het binnen zo korte termijn beschikbaar krijgen van de mogelijk voor de aanvraag relevante informatie alleen mogelijk is door het toepassen van geautomatiseerde data-analyse. Hierbij is het mogelijk dat de dienst de gegevens die verstrekt worden ten behoeve van deze visumaanvragen doorzoekt aan de hand van profielen. Ter illustratie kan genoemd worden het profiel van personen afkomstig uit een risicogebied, binnen een bepaalde leeftijdscategorie en met een technische achtergrond. Dat betekent uiteraard geenszins dat personen die voldoen aan een dergelijk profiel automatisch niet meer in aanmerking kunnen komen voor een visum. De uitkomst van het profielonderzoek zal slechts de basis vormen voor verder onderzoek naar de achtergrond en mogelijke beweegredenen van die groep personen om een visum voor Nederland aan te vragen.

De tweede consequentie die het CBP voorzag:

In de tweede plaats is niet gegarandeerd dat de kwaliteit van de gegevens die worden binnengehaald, van dien aard is dat daaruit, op zichzelf of in samenhang met andere gegevens bezien, conclusies kunnen worden getrokken die overeenkomen met de werkelijkheid. Hierin schuilt een groot risico voor de burger. Gegevens kunnen immers in een andere context dan waarin zij verzameld zijn of bewaard worden, een volstrekt onjuist beeld geven van die burger of groep burgers. Het risico op valse positieve en valse negatieve uitkomsten is aanzienlijk. Dit is schadelijk voor die betreffende burger(s), maar ook schadelijk voor de samenleving als geheel omdat hierdoor het vertrouwen van de burgers in de overheid wordt aangetast. De vraag is dan ook, gelet op die mogelijke onwenselijke gevolgen, of het middel data-analyse reeds voldoende is ontwikkeld voor gebruik in het veiligheidsdomein.

De kabinetsreactie hierop:

Ik ben het met het CBP eens dat aan data-analyse als zodanig, en zeker aan het gebruik van profielen, het risico is verbonden dat het teveel valse treffers oplevert. Dat zou kunnen inhouden dat personen onterecht als target kunnen worden aangemerkt. Bij de data-analyse door de diensten is het echter nooit de computer die bepaalt of iemand een target is. De resultaten die worden verkregen door de data-analyse zijn namelijk niet definitief, maar worden gebruikt ter advisering of ondersteuning van verder onderzoek. Na het uitvoeren van data-analyse zal altijd verder onderzoek plaatsvinden, waarbij de uitkomsten van de data-analyse verder worden vergeleken met aanvullende informatie. In alle gevallen is er sprake van een menselijke beoordeling alvorens de uitkomsten van data-analyse verder worden gebruikt.

De derde consequentie die het CBP voorzag:

Data-analyse bergt in de derde plaats ook het risico van zogenaamde function creep in zich: enerzijds worden technologieën die aanvankelijk gericht waren op een bepaalde doelgroep, in casu degenen die een gevaar vormden voor de nationale veiligheid, gaandeweg toegepast op (bijna) iedereen, terwijl anderzijds verzamelde gegevens voor een bepaald doel ten behoeve van een ander doel verstrekt en verwerkt worden. In het wetsvoorstel wordt geëxpliciteerd dat data- analyse een ieder kan betreffen (artikel 13, vijfde lid in het wetsvoorstel). Binnen de Artikel 29- werkgroep is in het kader van de Richtlijn Dataretentie (2006/24/EG) het standpunt ingenomen dat de mogelijkheid van datamining op de communicatie- en bewegingspatronen van onverdachte personen zou moeten worden uitgesloten. Het CBP heeft in het kader van de begrenzing van de toegang tot bewaarde gegevens eveneens op dit standpunt gewezen in zijn advies op het Wetsontwerp implementatie Europese Richtlijn Dataretentie d.d. 22 januari 2007. Wat betreft function creep in het kader van doelbinding dient opgemerkt te worden dat met name overheidsinstanties over gegevens van burgers kunnen beschikken op grond van een wettelijke verplichting tot het uitoefenen van een specifieke overheidstaak. In het doelgebonden gebruik zijn de nodige waarborgen voor die burger gelegen, die door het gebruik van data-analyse teniet worden gedaan.

Kabinetsreactie hierop:

Hoewel ik met het College het gevaar van function creep vermag in te zien, ben ik van mening dat de activiteiten van de inlichtingen- en veiligheidsdiensten met zoveel wettelijke waarborgen, waaronder onafhankelijk toezicht op de rechtmatigheid, zijn omgeven, dat dit gevaar nu juist in dit geval een uiterst hypothetisch karakter heeft. Zo dient, zoals ik al eerder heb aangegeven, alle gegevensverwerking door de diensten, dus ook de data-analyse, te voldoen aan de eisen die zijn neergelegd in artikel 12 van de WIV 2002. Dat betekent dat gegevensverwerking slechts plaats vindt voor een bepaald doel, noodzakelijk voor een goede uitvoering van de WIV 2002 of de Wet veiligheidsonderzoeken (WVO), in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. De gegevens die worden geanalyseerd zijn onderzocht op hun betrouwbaarheid en eventueel voorzien van bronvermelding.

Het is echter onvermijdelijk dat bij het verzamelen en doorzoeken van externe gegevensbestanden ten dienste van de goede taakuitvoering van de inlichtingen- en veiligheidsdiensten, ook gegevensverwerking plaats vindt met betrekking tot personen waarop het onderzoek van de dienst zich niet richt. Onder meer onder toepassing van data-analysetechnieken kunnen deze personen er uit worden gefilterd, zodat alleen die personen resteren waarvoor de dienst belangstelling heeft. Wat vroeger handmatig gebeurde kan nu – gelukkig – op geautomatiseerde wijze. Niettemin worden met betrekking tot deze onverdachte personen ook hun gegevens verwerkt overeenkomstig de definitie die in artikel 1. onderdeel f, WIV 2002 van gegevensverwerking wordt gegeven: elke handeling of elk geheel van handelingen met betrekking tot gegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Tot nog toe wordt de grondslag voor deze verwerking gevonden in artikel 13, eerste lid, onderdeel e, WIV 2002 (personen wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst). Nu in het wetsvoorstel wordt voorgesteld een expliciete wettelijke basis te geven aan de geautomatiseerde data-analyse door de diensten, wordt ook voorzien in een aanvulling van artikel 13 die buiten twijfel stelt in het kader van die data-analyse ook persoonsgegevens van onverdachte personen verwerkt kunnen worden. Daartoe is artikel 13, vijfde lid, in het wetsvoorstel opgenomen.

Tot slot enkele passages vanuit het veiligheidsperspectief, eveneens uit de kabinetsreactie:

Zoals reeds in de memorie van toelichting uiteengezet hebben de aanslagen in New York, Madrid en Londen, maar ook na enkele voorvallen in Nederland zelf, onmiskenbaar aan het licht gebracht dat de mogelijkheden tot het tijdig onderkennen van terroristische dreigingen en het waar mogelijk voorkomen van op handen zijnde terroristische aanslagen dienen te worden vergroot. De nu voorgestelde wijzigingen van de WIV 2002 passen binnen het samenhangend geheel van maatregelen en beleid ter verdere intensivering van de terrorismebestrijding dat door het vorige kabinet is ingezet (zie Kamerstukken II 2003/04, 27 925, nr. 123) en behoren tot de noodzakelijk te treffen maatregelen. De voorstellen tot wijziging van de WIV 2002 zijn aangekondigd in de brief van mijn ambtsvoorganger van 15 juli 2004 aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II, 2003/04, 29 200 VII, nr. 61). De voorstellen dragen bij aan de mogelijkheden van de diensten tot het handhaven en verbeteren van de eerder genoemde informatiepositie en tot het op efficiëntere en effectievere wijze verwerken van gegevens. Uiteraard slechts met het oog op het hoofddoel van de diensten: het afwenden van dreigingen voor de nationale veiligheid.

Het afwenden van dreigingen vindt zijn startpunt uiteraard in het verrichten van onderzoek naar organisaties en personen welke aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de nationale veiligheid. De diensten richten zich bij dit onderzoek met name op het in kaart brengen van de volgende aspecten van het gedrag van die personen en organisaties: identificatie, verplaatsing, communicatie en financiën. Zonder om begrijpelijke redenen in te kunnen gaan op concrete voorbeelden, kan als illustratie dienen de situatie dat de diensten over informatie beschikken dat een groep personen het idee heeft opgevat om ergens in Nederland om ideologische redenen een aanslag te plegen. In deze situatie is het uiteraard zaak voor de diensten om helderheid te krijgen over de omvang van deze groep, de personen die deel uitmaken van de groep, het potentiële doelwit en de beoogde datum van de aanslag etc. Om hier volledig zicht op te krijgen zullen de diensten de beschikking moeten hebben over gegevens omtrent de identiteit van de leden, hun reisbewegingen, de wijze waarop de leden communiceren en de inhoud van deze communicatie en tot slot de financiële mogelijkheden van de groep. Het behoeft geen verdere uitleg wat in een dergelijke situatie de gevolgen kunnen zijn indien de diensten niet beschikken over de mogelijkheden om de benodigde gegevens voorhanden te krijgen. Het gaat derhalve om gegevens die noodzakelijk zijn voor een goede taakuitvoering door de diensten.

EOF

 

[Dutch] Artikel 60 Wiv2002: werkzaamheden voor AIVD door RID’en, KMar, FIOD-ECD en douane

UPDATE 2017-08-17: in de definitieve Wiv20xx, zoals gepubliceerd (.pdf; mirror) in Staatsblad onder de titel “Wiv2017”, is Artikel 60 Wiv2002 als Artikel 91 beland. “Artikel 60-ambtenaren” wordt dus “Artikel 91-ambtenaren”.

UPDATE 2015-07-02: het nieuwe Wiv-wetsvoorstel is in publieke consultatie gebracht. Artikel 60 wordt vervangen door Artikel 79. Indien dat artikel ongewijzigd in de definitieve Wiv20xx belandt zal op termijn wellicht worden gesproken over “Artikel 79-ambtenaren” in plaats van “Artikel 60-ambtenaren”.

UPDATE 2014-10-07: de motie van Strik c.s. is ingetrokken.

UPDATE 2014-09-23: senatoren Strik (GL), Van Boxtel (D66), Franken (CDA), K.G. de Vries (PvdA) en Gerkens (SP) hebben vandaag een motie (.pdf) ingediend met aan de regering het verzoek “onderzoek te verrichten naar nut en noodzaak van onafhankelijk toezicht op overheidsinstanties die nu niet onder het toezicht van de CTIVD vallen, maar die wel soortgelijke taken verrichten die de bescherming van de persoonlijke levenssfeer van burgers kunnen raken, en de Kamer hierover te informeren”.


 

Artikel 60 Wiv2002 geeft daartoe aangewezen ambtenaren bij de politie, KMar en Belastingdienst de bevoegdheid werkzaamheden verrichten ten behoeve van de AIVD. Bij de politie gaat het ten minste om de inlichtingendienst van de Landelijke Eenheid en om de Regionale Inlichtingendiensten (RID’en). Bij de KMar gaat het om de Directeur Operaties, het hoofd van het Cluster Intelligence, het personeel van de Bijzondere Dienst (BD/KMar) en het personeel van de Brigade Speciale Beveiligingsopdrachten. Bij de Belastingdienst gaat het ten minste om FIOD-ECD en douane, recent samengevoegd in de Inlichtingendienst (ID) Belastingdienst.

Artikel 60-werkzaamheden worden uitgevoerd onder verantwoordelijkheid van de Minister van BZK, en omvatten onder andere informatieverzameling namens de AIVD. De CT-Infobox is (.pdf, 2007) gedeeltelijk georganiseerd op basis van Artikel 60 Wiv2002.

CTIVD-rapport 16 (.pdf, 2007) — zie hier (2008) de reactie van de minister — ziet op de Artikel 60-samenwerking tussen de AIVD, de KMar en de RID’en.

Even een kort zijstapje over RID’en. Deze hebben een openbare ordetaak en een AIVD-taak .Van oudsher hebben RID’en een rol gespeeld bij BVD/AIVD-activiteiten, waarbij de scheiding tussen BVD/AIVD-inlichtingenwerk en de openbare ordetaak een permanent “twee petten”-vraagstuk is. Denk daarbij aan extremistische uitingen/demonstraties die de openbare orde (whatever that may be) kunnen verstoren: soms is dat zowel een vraagstuk van openbare orde als een aandachtsgebied van de AIVD. Anno 2008 waren er 319 RID’ers belast met de uitvoering van inlichtingenactiviteiten. De CTIVD stelt over RID’ers:

Bij de taak ingevolge de Wiv2002 moeten de RID’ers worden beschouwd als waren zij AIVD’ers.

De AIVD stelt over RID’ers ongeveer hetzelfde:

Er wordt dan ook vanuit de AIVD alles aan gedaan om de medewerkers van de RID-en en de BD-Kmar als directe collega’s te beschouwen en als zodanig ook te bejegenen.

Ten tijde van het onderzoek onderhavig aan CTIVD-rapport 16 hebben de RID’en aangegeven nauwer betrokken te willen zijn bij de uitoefening van bijzondere bevoegdheden Wiv2002:

In het onderzoek van de Commissie is naar voren gekomen dat sommige RID’en de wens voelen om nauwer bij de inzet van bijzondere bevoegdheden door de AIVD betrokken te worden. Als voorbeeld wordt door sommigen genoemd het observeren van personen en/of zaken, maar bijvoorbeeld ook het uitwerken van telefoontaps van de AIVD.

Momenteel is de AIVD aan het beoordelen op welke wijze de RID’en uitgebreider dan thans het geval is zouden kunnen worden ingeschakeld bij de inzet van bijzondere bevoegdheden. Zolang de AIVD toestemming verleent voor de inzet van de bevoegdheden en daar toezicht op uitoefent, en ook wordt voldaan aan de overige voorschriften uit de WIV 2002, bestaat daar vanuit het oogpunt van rechtmatigheid geen bezwaar tegen.

In recente jaren is de rol van RID’en versterkt in het project RID 2015, zo lezen we ook in deze kamerbrief (2012):

Het afgelopen jaar heeft de AIVD samen met de Nationale Politie i.o. de ontwikkeling naar een effectievere en efficiëntere inzet van de RID-en in gang gezet door middel van het project RID 2015. De stappen die in 2012 gezet worden maken onderdeel uit van een langlopend traject waarbij het einddoel is om in 2015 een RID nieuwe stijl gereed te hebben. Deze RID nieuwe stijl wordt hét regionale knooppunt van inlichtingen, informatie en kennis met betrekking tot de nationale veiligheid, in de context van de eigen regio.

De werkzaamheden van een RID worden jaarlijks in een RID-specifiek “Inlichtingen Behoefteplan” (IBP) vastgesteld.

Hieronder volgt een verzameling van de relevante teksten uit de Wiv2002, aangevuld met citaten uit kamerstukken en CTIVD-rapport 16.

Het eerste lid van Artikel 60 Wiv2002 geeft de politie, KMar en Belastingdienst de bevoegdheid werkzaamheden te verrichten ten behoeve van de AIVD:

  1. De korpschef, de politiechef van een regionale eenheid, de commandant van de Koninklijke marechaussee, de directeur-generaal van de rijksbelastingdienst van het Ministerie van Financiën verrichten werkzaamheden ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst.

  2. Onze Ministers onder wie de in het eerste lid genoemde ambtenaren ressorteren, onderscheidenlijk de korpschef en de korpsbeheerder van het politiekorps van Bonaire, Sint Eustatius en Saba wijzen in overeenstemming met Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties ondergeschikten van deze ambtenaren aan tot de feitelijke uitvoering van en het toezicht op de aldaar bedoelde werkzaamheden.

  3. De in dit artikel bedoelde werkzaamheden worden verricht onder verantwoordelijkheid van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties en overeenkomstig de aanwijzingen van het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst.

  4. Met betrekking tot het optreden van ambtenaren van politie ter uitvoering van de in dit artikel bedoelde werkzaamheden blijft hoofdstuk 7 van de Politiewet 2012 buiten toepassing.

Het tweede lid bepaalt dat ambtenaren worden aangewezen voor feitelijke uitvoering van en het toezicht van deze werkzaamheden. Deze ambtenaren krijgen dan “Artikel 60-status” en worden ook wel aangeduid als “Artikel 60-ambtenaren” of “Artikel 60-functionarissen”. Ze kunnen “onder bepaalde voorwaarden ongehinderd toegang tot het gebouw van de AIVD hebben”. Het derde lid bepaalt dat de Artikel 60-werkzaamheden worden verricht onder de verantwoordelijkheid van de Minister van BZK.

Uit de verwoording van het tweede lid van Artikel 19 Wiv2002 volgt dat Artikel 60-ambtenaren niet zelfstandig bijzondere bevoegdheden cfr Wiv2002 mogen inzetten (observatie, dekmantels, afluisteren, hacken, etc.: zie Paragraaf 3.2.2 Wiv2002; Artikel 20 t/m 30 Wiv2002):

  1. De uitoefening door een dienst van een bevoegdheid als bedoeld in deze paragraaf is slechts toegestaan, indien, voor zover bij deze paragraaf niet anders is bepaald, Onze betrokken Minister of namens deze het betrokken hoofd van een dienst daartoe toestemming heeft gegeven.

  2. Het hoofd van een dienst kan aan hem ondergeschikte ambtenaren bij schriftelijk besluit aanwijzen die de toestemming, bedoeld in het eerste lid, namens hem verlenen. Onze betrokken Minister wordt een afschrift van het besluit gezonden.

  3. De toestemming wordt, voor zover bij of krachtens de wet niet anders is bepaald, verleend voor een periode van ten hoogste drie maanden en kan telkens op een daartoe strekkend verzoek worden verlengd voor eenzelfde periode.

In Kamerstukken II 2000/01, 25 877, nr.14 wordt dat toegelicht (waarschuwing: let hier op het woord “zelfstandig”):

Wat de uitoefening van bevoegdheden betreft, die aan de BVD/AIVD toekomen merken wij het volgende op. De bijzondere bevoegdheden die in het wetsvoorstel WIV aan de AIVD toekomen kunnen nimmer zelfstandig door de RID’en – dat wil zeggen de functionarissen die op grond van [Artikel 60] van het wetsvoorstel werkzaamheden verrichten voor de AIVD – worden uitgeoefend. De uitoefening van de bijzondere bevoegdheden door de AIVD is onderworpen aan de procedurele vereisten die in het wetsvoorstel – per bijzondere bevoegdheid nader uitgewerkt – daaraan zijn gesteld. Of het wenselijk is een bepaalde bijzondere bevoegdheid in het kader van een bepaald onderzoek (teamopdracht) uit te oefenen zal in beginsel door het voor dat onderzoek verantwoordelijke BVD/AIVD-teamhoofd dienen te worden vastgesteld en door deze vervolgens met inachtneming van de daarvoor geldende regels voor goedkeuring aan de daarvoor aangewezen instanties dienen te worden voorgelegd. Zoals in artikel 19 van het wetsvoorstel is bepaald zal toestemming voor de uitoefening van bijzondere bevoegdheden dienen te worden verleend door de minister of namens deze het hoofd van de AIVD; met betrekking tot bepaalde bijzondere bevoegdheden is sub-mandaat mogelijk. De werkzaamheden van de medewerkers van de RID dienen te passen in een team-opdracht die door het hoofd van de BVD is vastgesteld; deze werkzaamheden richting de RID’en vinden hun uitwerking in het jaarlijks door het hoofd van de BVD na overleg met de korpschef vast te stellen activiteitenplan. De uitvoering van deze werkzaamheden geschiedt vervolgens op aanwijzingen van het hoofd van de BVD (in de praktijk via aansturing door het desbetreffende teamhoofd). Concluderend kan worden gesteld dat de RID’en niet zelfstandig tot de uitoefening van de in het wetsvoorstel geregelde bijzondere bevoegdheden kunnen overgaan.

Uit CTIVD-rapport 16 wordt duidelijk dat de RID’en bijzondere bevoegdheden cfr. Wiv2002 wel in opdracht van de AIVD uitvoeren(p.10):

Ook bij de inzet van bijzondere bevoegdheden (artikel 20 tot en met 30 WIV 2002) door de AIVD kunnen de RID’en een rol spelen. Het betreft hier enkel een uitvoerende rol: de bijzondere bevoegdheden kunnen niet zelfstandig door de RID’en worden ingezet. Mandatering van de (beslissing tot) inzet van bijzondere bevoegdheden aan de RID’en is volgens de wetsgeschiedenis niet mogelijk.

Het gaat dan bijvoorbeeld om het uitvoeren van observatie (Artikel 20 Wiv2002) door de KMar.

Artikel 9 Wiv2002 verbiedt Artikel 60-ambtenaren het uitvoeren van opsporingsbevoegdheden tijdens Artikel 60-werkzaamheden:

  1. De ambtenaren van de diensten bezitten geen bevoegdheid tot het opsporen van strafbare feiten.

  2. De in artikel 60 bedoelde ambtenaren oefenen bij het verrichten van de daar bedoelde werkzaamheden geen bevoegdheden tot het opsporen van strafbare feiten uit.

In het voornoemde kamerstuk wordt dat toegelicht:

Wat de deelname van een RID-medewerker, in diens hoedanigheid van aangewezen functionaris ex artikel 18, tweede lid, van de huidige WIV (artikel 55, tweede lid, van het wetsvoorstel), aan een opsporingsonderzoek betreft, wordt het volgende opgemerkt. Ambtenaren van de BVD bezitten geen opsporingsbevoegdheden; voor zover het gaat om een RID-medewerker als hiervoor bedoeld wordt door de WIV uitdrukkelijk bepaald dat hij bij het verrichten van werkzaamheden voor de BVD geen bevoegdheden tot het opsporen van strafbare feiten mag uitoefenen. Met andere woorden: van deelname aan een opsporingsonderzoek met gebruikmaking van opsporingsbevoegdheden kan nimmer sprake zijn. Dat neemt niet weg dat tussen de BVD en opsporingsinstanties anderszins kan worden samengewerkt, bijvoorbeeld door informatie-uitwisseling. Deze informatie-uitwisseling dient plaats te vinden binnen het geldende wettelijke kader ter zake. Om deze informatie-uitwisseling in concrete situaties te optimaliseren kan bijvoorbeeld ervoor gekozen worden een BVD-medewerker (dus ook een RID-medewerker) als liaison bij een opsporingsteam te stationeren. Overigens is met betrekking tot de informatie-uitwisseling door OM/politie en BVD gezamenlijk een aantal uitgangspunten afgesproken dat neergelegd is in het rapport «Informatie-uitwisseling Politie-BVD». Op basis van deze uitgangspunten worden ook afspraken gemaakt over informatie-uitwisseling met opsporingsteams. Hiermee wordt voorkomen dat op een onjuiste wijze informatie-verstrekking plaatsvindt.

Dus: Artikel 60-ambtenaren mogen informatie uitwisselen, maar geen bijzondere bevoegdheden (Wiv2002) of opsporingsbevoegdheden inzetten. Over hoe dat onderscheid in de praktijk werkt (of niet), zie het genoemde CTIVD-rapport, deze PID/RID-documenten, en bijvoorbeeld het Volkskrant-artikel RID’er zit in schemergebied tussen AIVD en politie (2005). Uit Kamerstukken 1999/2000, 25 877, nr.8 blijkt dat de scheiding tussen politiewerk (opsporing, handhaving en hulpverlening) en Artikel 60-inlichtingenwerk van belang wordt geacht:

Allereerst zouden wij willen opmerken, dat een politiefunctionaris op grond van [artikel 60], tweede lid, kan worden aangewezen en aldus worden belast met de feitelijke uitvoering van en het toezicht op werkzaamheden ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst. Op het moment dat deze functionaris deze werkzaamheden verricht, doet hij dat onder verantwoordelijkheid van de minister van Binnenlandse Zaken en Koninkrijksrelaties en overeenkomstig de aanwijzingen van het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (artikel 55, derde lid). In dit geval is er geen sprake van «politiewerk», maar van werkzaamheden in het kader van de Wet op de inlichtingen- en veiligheidsdiensten («AIVD-werkzaamheden»). Van vermenging van politiewerk en inlichtingenwerk (dit laatste in de zin van «AIVD-werkzaamheden») is naar ons oordeel dan ook geen sprake. Zowel de huidige als de nieuwe Wiv treffen voorts een aantal extra garanties om – nadrukkelijk – te voorkomen dat een dergelijke «vermenging» van politie- en inlichtingenwerk, waar deze leden van spreken, plaatsvindt. Gewezen wordt op onder meer artikel 9 en artikel 14 van het wetsvoorstel.

In de praktijk zijn medewerkers van de RID vaak ook belast met het verzamelen van inlichtingen in het kader van de handhaving van de openbare orde. Dat geschiedt echter niet ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten, en dus ook niet onder verantwoordelijkheid van de minister van Binnenlandse Zaken en Koninkrijksrelaties, maar in het kader van de uitvoering van de politietaak, en derhalve onder verantwoordelijkheid van de desbetreffende burgemeester. In dit geval is niet zozeer sprake van vermenging van politie- en inlichtingenwerk, maar is het verzamelen van inlichtingen ook politiewerk. Wij erkennen dat het onderscheid tussen de werkzaamheden die de politiefunctionaris verricht in diens hoedanigheid als medewerker van de BVD/AIVD enerzijds en als ambtenaar bij het regionale politiekorps anderzijds, niet altijd goed zichtbaar is voor een buitenstaander. Temeer nu beide soorten werkzaamheden plaatsvinden onder een en dezelfde vlag, te weten die van de RID. Wij zijn ons bewust van deze problematiek, die dan ook onze voortdurende aandacht heeft.

Het derde lid van Artikel 10 Wiv2002 plaatst Artikel 60-ambtenaren onder dezelfde reisbeperkingen als AIVD-ambtenaren:

  1. Het is de ambtenaar van een dienst verboden, anders dan in de uitoefening van zijn functie, te reizen naar dan wel te verblijven in:

    1. een land waar feitelijk een gewapend conflict bestaat;

    2. door Onze betrokken Ministers gezamenlijk bij ministeriële regeling aangewezen landen waarin het verblijf door een ambtenaar van een dienst een bijzonder risico voor de nationale veiligheid kan opleveren. [NB: thans gaat het om Afghanistan, Irak, Iran, Noord-Korea, Pakistan, Turkmenistan en Wit-Rusland, en een aanvullend lijstje dat Stg. Geheim is gerubriceerd.]

  2. Onze betrokken Minister kan ontheffing van het in het eerste lid bedoelde verbod verlenen, indien dringende persoonlijke of andere belangen van de betrokken ambtenaar dat vereisen en de veiligheid of andere gewichtige belangen van de staat zich daartegen niet verzetten.

  3. Dit artikel is van overeenkomstige toepassing ten aanzien van de coördinator, de aan hem ondergeschikte ambtenaren en de krachtens artikel 60, tweede lid, aangewezen ambtenaren.

Artikel 14 Wiv2002 plaatst gegevensverwerking door Artikel 60-ambtenaren onder dezelfde beperkingen als gegevensverwerking door de AIVD, waarbij het tweede lid nog eens benadrukt dat Artikel 60-gegevensverwerking “strikt gescheiden” moet blijven van andere taken van Artikel 60-ambtenaren (lees: opsporing):

  1. De artikelen 12, 13, eerste, derde en vierde lid, zijn tevens van toepassing op de verwerking van gegevens ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst door de ambtenaren, bedoeld in artikel 60.

  2. De verwerking van gegevens, bedoeld in het eerste lid, ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst blijft strikt gescheiden van de verwerking van gegevens door de desbetreffende ambtenaren ten behoeve van andere doeleinden. Het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst kan daaromtrent nadere aanwijzingen geven.

  3. Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties draagt zorg voor de archiefbescheiden die verband houden met de gegevensverwerking ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst door de ambtenaren, bedoeld in artikel 60, voor zover deze archiefbescheiden niet zijn overgebracht naar een rijksarchiefbewaarplaats.

Het eerste lid verklaart Artikel 12 en 13 van toepassing. Artikel 12 Wiv2002 bepaalt dat gegevens mogen worden verwerkt ” slechts plaats voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van deze wet of de Wet veiligheidsonderzoeken” (zie tweede lid):

  1. De diensten zijn bevoegd tot het verwerken van gegevens met inachtneming van de eisen die daaraan bij of krachtens deze wet of de Wet veiligheidsonderzoeken zijn gesteld.

  2. De verwerking van gegevens vindt slechts plaats voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van deze wet of de Wet veiligheidsonderzoeken.

  3. De verwerking van gegevens geschiedt in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze.

  4. De gegevens die in het kader van de taakuitvoering van de diensten worden verwerkt, zijn voorzien van een aanduiding omtrent de mate van betrouwbaarheid dan wel een verwijzing naar het document of de bron waaraan de gegevens zijn ontleend.

Artikel 13 Wiv2002 legt beperkingen op aan het soort gegevens dat mag worden verwerkt en over wie:

  1. De verwerking van persoonsgegevens door de Algemene Inlichtingen- en Veiligheidsdienst kan slechts betrekking hebben op personen:

    1. die aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat;

    2. die toestemming hebben verleend voor een veiligheidsonderzoek;

    3. omtrent wie dat noodzakelijk is in het kader van het onderzoek betreffende andere landen;

    4. over wie door een andere inlichtingen- of veiligheidsdienst gegevens zijn ingewonnen;

    5. wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst;

    6. die werkzaam zijn of zijn geweest voor een dienst;

    7. omtrent wie dat noodzakelijk is in het kader van het opstellen van de dreigings- en risicoanalyses, bedoeld in artikel 6, tweede lid, onderdeel e.

  2. De verwerking van persoonsgegevens door de Militaire Inlichtingen- en Veiligheidsdienst kan slechts betrekking hebben op personen:

    1. die aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de veiligheid of de paraatheid van de krijgsmacht;

    2. die toestemming hebben verleend voor een veiligheidsonderzoek;

    3. omtrent wie dat noodzakelijk is in het kader van het onderzoek betreffende andere landen;

    4. over wie door een andere inlichtingen- of veiligheidsdienst gegevens zijn ingewonnen;

    5. wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst;

    6. die werkzaam zijn of zijn geweest voor een dienst;

    7. omtrent wie dat noodzakelijk is in het kader van een onderzoek als bedoeld in artikel 7, tweede lid, onderdeel a, sub 2°;

    8. omtrent wie dat noodzakelijk is in het kader van het opstellen van de dreigingsanalyses, bedoeld in artikel 7, tweede lid, onderdeel f;

    9. omtrent wie dat noodzakelijk is in het kader van het opstellen van een analyse door de Militaire Inlichtingen- en Veiligheidsdienst, in opdracht van onze minister van Defensie, van potentiële dreigingen tegen een bij de krijgsmacht werkzaam persoon of een bij de krijgsmacht in gebruik zijnd object, welke niet ingevolge de artikelen 4, derde lid, onderdeel b, en 42, eerste lid, onderdeel c, onderscheidenlijk artikel 16 van de Politiewet 2012 is aangewezen.

  3. De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, gezondheid en seksuele leven vindt niet plaats.

  4. De verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken vindt slechts plaats in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is.

Artikel 35 Wiv2002 perkt gegevensverwerking door Artikel 60-ambtenaren verder in tot “voor zover dat noodzakelijk is voor een goede uitvoering van de aan de desbetreffende ambtenaar opgedragen taak”:

De verstrekking van door of ten behoeve van een dienst verwerkte gegevens aan een binnen de dienst of ingevolge artikel 60 ten behoeve van de Algemene Inlichtingen- en Veiligheidsdienst werkzame ambtenaar vindt slechts plaats, voor zover dat noodzakelijk is voor een goede uitvoering van de aan de desbetreffende ambtenaar opgedragen taak.

Artikel 62 Wiv2002 verplicht alle politie-/KMar-/Belastingdienst-ambtenaren die geen Artikel 60-status hebben informatie die van belang kan zijn voor de AIVD te verstrekken aan de relevante Artikel 60-ambtenaar:

De ambtenaren van politie, de ambtenaren van de rijksbelastingdienst, bevoegd inzake de douane en de ambtenaren van de Koninklijke marechaussee doen mededeling van de te hunner kennis gekomen gegevens die voor een dienst van belang kunnen zijn, aan de in artikel 60, eerste lid, bedoelde ambtenaar aan wie zij ondergeschikt zijn. In afwijking van de eerste zin vindt de mededeling van ambtenaren van politie die zijn tewerkgesteld bij een regionale eenheid plaats aan de politiechef van de desbetreffende regionale eenheid. De in artikel 60, eerste lid, bedoelde ambtenaar waaraan de mededeling is gedaan, zendt de gegevens aan die dienst.

Artikel 63 Wiv2002 bepaalt dat de AIVD (op verzoek van het AIVD-hoofd) technische ondersteuning mag bieden aan “met opsporing van strafbare feiten belaste instanties” (politie, FIOD, Marrechaussee):

  1. De diensten zijn bevoegd op schriftelijk verzoek van het daartoe bevoegde gezag tot het verlenen van technische ondersteuning aan de met opsporing van strafbare feiten belaste instanties. Artikel 58, derde lid, is van overeenkomstige toepassing.

  2. Onze betrokken Minister is bevoegd zich te wenden tot Onze Minister van Veiligheid en Justitie met het schriftelijke verzoek tot het verlenen van technische ondersteuning aan de betrokken dienst bij de uitvoering van diens taak door een of meerdere landelijke eenheden van de politie. Artikel 58, derde lid, is van overeenkomstige toepassing.

In Kamerstukken II 2000/01, 25 877, nr.8  wordt dat toegelicht:

Met het verlenen van technische ondersteuning wordt bedoeld het ter beschikking stellen van technische apparatuur waarover de instantie die om de desbetreffende ondersteuning vraagt niet zelf beschikt dan wel – voor zover deze er zelf wel over beschikt deze apparatuur reeds voor andere doeleinden heeft ingezet. Daartoe kan ook de ondersteuning door personeel worden gerekend, zij het dat die gerelateerd dient te zijn aan de verlangde technische ondersteuning. Gedacht moet dan bijvoorbeeld worden aan de ter beschikkingstelling van personeel dat gespecialiseerd is in de bediening van de desbetreffende technische apparatuur.

EOF

[Dutch] Platform Interceptie-Decryptie en Signaalanalyse (PIDS) en Platform 13

UPDATE 2017-12-12: Besluit op WOB-verzoek informatie over het Platform Interceptie-Decryptie Siganaalanalyse (PIDS) (Rijksoverheid.nl)

In Nederland is rond de millenniumwisseling door de Ministeriële Commissie voor de Inlichtingen- en Veiligheidsdiensten (MICIV) — thans de Raad voor de Inlichtingen- en Veiligheidsdiensten (RIV) — een interdepartementaal bureau op het gebied van interceptie, decryptie en signaalanalyse georganiseerd: het Platform Interceptie-Decryptie en Signaalanalyse (PIDS). Het bestaat uit een Beleidsgroep, een Technologiegroep en een Stafbureau. Het PIDS ressorteert binnen MinVenJ onder de Directie Instrumentatie Rechtspleging en Rechtshandhaving (DGRR-DIRR) c.q. de Justitiële Informatiedienst (JustID) aldaar (bron). Het MIVD-jaarverslag 2013 (.pdf) zegt het volgende over het PIDS:

Op het gebied van data- en telecommunicatie participeert de MIVD, namens het ministerie van Defensie in het Platform Interceptie Decryptie en Signaalanalyse (PIDS) en het Platform 13. PIDS is een interdepartementaal samenwerkingsverband van een groot aantal actoren in zowel het opsporing- en veiligheidsdomein als de I&V-diensten. Het primaire doel is het gezamenlijk doen van wetenschappelijk technologisch onderzoek om instrumenten te ontwikkelen en toe te passen in de opsporingspraktijk of bij het vergaren van inlichtingen. Op het gebied van het oplossen van complexe zaken is dan ook sprake van een trapsgewijze inzet van de nationaal beschikbare capaciteit. Dit betekent dat de bij de MIVD beschikbare rekencapaciteit in voorkomend geval ook, conform Wiv2002, wordt ingezet voor de (operationele) opsporing door daartoe bevoegde diensten.

Vanuit PIDS is er deelname aan ETSI-standaardisatie op het gebied van Lawful Interception (ETSI TC LI). Dat is passend binnen het takenpakket (.pdf, 2010) van PIDS:

  • Het Stafbureau levert een bijdrage aan het aftap- & cryptobeleid en de uitwerking daarvan in nationale wet- en regelgeving dienaangaande ten behoeve van de PIDS-partners.
  • Het Stafbureau is het gezamenlijk aanspreekpunt voor de telecommunicatiemarktpartijen voor met name de operationele behoeftestelling vanuit de opsporings- en I&V-diensten.
  • Het Stafbureau vervult een ondersteunende en informatievoorzienende functie voor nationaal en internationaal overleg binnen het PIDS-werkveld.
  • Het Stafbureau heeft een beheerstaak voor het samenwerkingsverband voor de operationele interceptie- en cryptoproblematiek. Het Stafbureau adviseert de Beleidsgroep over de beleidsmatige en beheersmatige aangelegenheden, bereidt de besluitvorming door de Beleidsgroep voor en bewaakt de uitvoering van de besluitvorming. Tevens heeft het Stafbureau een signalerende functie vanuit de praktijk naar de Beleidsgroep en de afzonderlijke deelnemers van het PIDS.
  • Het Stafbureau coördineert beleidsondersteunend onderzoek op het gebied van interceptie, decryptie en signaalanalyse. Het bureau ontwikkelt de kaders voor onderzoeksplannen waarin de gezamenlijke onderzoeksbehoeften van de behoeftestellende organisaties zijn verdisconteerd.

Dit takenpakket is vastgesteld door het Comité Verenigde Inlichtingendiensten Nederland (CVIN). In 2001 voerde PIDS de volgende activiteiten uit (zie onder het zevende item vermelding van ETSI):

  1. TNO-onderzoek. Dit is een inventariserend onderzoek naar de interceptie van moderne communicatietechnologieën.
  2. Stratix-onderzoek. Dit is een feasability studie naar de opzet van een conceptstructuur en een overdrachtsprotocol ten behoeve van de interceptie van het INTERNET. [NB: het Kamerstuk vermeldt “Statix”, dat moet “Stratix” zijn]
  3. Organiseren van bijeenkomsten van het Landelijk overleg Tapkamerbeheerders.
  4. Het voorbereiden van de vergaderingen van de Beleidsgroep PIDS.
  5. Meewerken aan het tot stand komen van het actieplan terreurbestrijding en veiligheid.
  6. Technische en beleidsmatige ondersteuning ten behoeven van het project Landelijke Interceptie Organisatie (LIO).
  7. Participatie in nationale en internationale overlegstructuren waaronder:
    • Europees standaardisatieoverleg (ETSI) Werkgroep Politiële samenwerking binnen de Europese Unie (PCWG). [=Europese Police Cooperation Working Group]
    • Project rechtmatige toegang van aanbieders van Versleutelingsdiensten (TTP).
    • Het Overleg Post en Telecommunicatie deelorgaan aftappen (OPTdaf).
    • Internationale Expertgroep (Standing technical Committee) International Law Enforcement Telecommunication Seminar (ILETS) Diverse overleggen met telecomaanbieders.

Verder blijkt uit weer een ander document (.pdf, 2004) dat PIDS in 2004 aan KPMG Information Risk Management heeft verzocht “een onderzoek [te verrichten] naar verschillende modellen voor het opslaan en bewaren van historische verkeersgegevens ten behoeve van opsporingsdiensten en inlichtingen- en veiligheidsdiensten in Nederland”. Het eindrapport staat hier (.pdf, 2004).

In dit andere document (.pdf, 2010) staat het volgende over PIDS:

De feitelijke bezetting van het bureau is 4.5 FTE, waarvan 4 vaste medewerkers van Justitie, aangevuld met een vertegenwoordiger van de MIVD die part-time gedetacheerd is. Voor concrete taken kan daarnaast een beroep worden gedaan op de capaciteit van AIVD en politie (KLPD). Dit is echter geen structurele capaciteit.

De periferie van het PIDS omvat onder meer politie/KLPD, het OM, de AIVD en MIVD:

PIDS

Zie hier (.pdf mirror) een MIVD-vacature voor een “Medewerker ontcijfering” voor de Afdeling SIGINT (AS), Bureau Onderzoek, Sectie Ontcijfering, waarin een verwijzing staat naar PIDS.

Naast het PIDS is er nog “Platform 13”, waarin overleg plaatsvindt tussen de overheid en enkele aanbieders van telecommunicatiediensten. Het getal 13 verwijst naar het betreffende hoofdstuk uit de Telecommunicatiewet waar de activiteit van het platform betrekking op heeft: onder meer overleg over de investerings-, exploitatie- en onderhoudskosten gerelateerd aan tappen. Het MIVD-jaarverslag zegt het volgende over Platform 13:

Defensie participeert ook in het overleg tussen overheidspartijen en een zestal aanbieders van telecommunicatiediensten, het zogenaamde Platform 13. Dit overleg vloeit voort uit hoofdstuk 13 van de Telecommunicatiewet en de daaraan gerelateerde Vergoedingenregeling. Defensie benadert aanbieders nooit zelf voor het aansluiten van taps. Verzoeken van de KMAR worden door de landelijke eenheid van de Nationale Politie doorgezet aan de aanbieders. Verzoeken van de MIVD worden door de AIVD doorgezet. Ook in 2014 wordt het overleg tussen de overheidspartijen en de aanbieders voortgezet.

Politietaps worden aldus Agentschap Telecom aangeleverd aan de afdeling Interceptie en Sensing (I&S; 98 fte anno 2012) van de Landelijke Eenheid. De AIVD heeft een eigen tapkamer (mede namens de MIVD) en, naar we redelijk mogen aannemen, één of meer eigen ‘T1 handlers’ voor inkomend (internet)tapverkeer — uitgaande van de ETSI-specificatie Transport of Intercepted IP Traffic (TIIT) v1.2.0 (.pdf) zou het gaan om één of meer IP-adressen waar op TCP-poort 1904 wordt geluisterd naar inkomende TLS-gebaseerde, X.509-geauthenticeerde TIIT-verbindingen.

EOF