[Dutch] Artikel 17 Wiv2002: vrijwillige verstrekking van gegevens op verzoek van de AIVD

NOTE: this page is also available in English.

UPDATE 2014-09-28: historische referentie toegevoegd: na een grote spionagezaak bij GCHQ adviseerde de Britse Security Commission in 1962 dat GCHQ als onderdeel van veiligheidsprocedures ook medische gegevens zou moeten doorlichten. Dat voorstel is destijds verworpen als “noodzakelijk noch gerechtvaardigd”.

UPDATE 2014-09-19: toegevoegd dat Artikel 13 derde lid de verwerking van gegevens over godsdienst of levensovertuiging, ras, gezondheid en seksuele leven verbiedt, en dat het vierde lid een uitzondering bepaalt van dat verbod. Gegevens over politieke gezindheid mogen door de diensten natuurlijk wél worden verwerkt.


De Wiv2002 heeft drie artikelen die bevoegdheden regelen waarmee de AIVD gegevens kan opvragen bij anderen. (Omwille van leesbaarheid laat ik de MIVD buiten beschouwing.) Ten eerste kan de AIVD op basis van Artikel 29 Wiv2002 abonneegegevens vorderen bij “aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten” in de zin van de Telecommunicatiewet. (op wiens naam staat dit telefoonnummer/IP-adres/enz.). Google, Twitter, Skype etc. zijn geen “aanbieders van openbare telecommunicatienetwerken/-diensten”; denk daarbij eerder aan telco’s (mobiel, vast, huurlijn) en internetproviders — maar dan weer niet SURFnet, want die heeft een besloten gebruikersgroep (studenten en onderwijsinstellingen) en wordt daarom niet als “openbaar” beschouwd. Zie hier de lijst van alle aanbieders van openbare elektronische telecommunicatienetwerken en hier de lijst van alle aanbieders van openbare elektronische telecommunicatiediensten.

Ten tweede kan de AIVD op basis van Artikel 28 Wiv2002 (Besluit ex Art.28MvT) bij die aanbieders ook verkeersgegevens vorderen (wanneer is gebeld, met wie, op welke dag en tijd, hoe lang, vanaf welke locatie — dit kan evt. in real-time worden aangeleverd via een ‘stomme’ tap; denk verder ook aan metadata van internetverkeer).

Ten derde kan de AIVD op basis van Artikel 17 Wiv2002 om gegevens opvragen bij elk bestuursorgaan (politieregisters, GBA, kadaster, enz.), elke ambtenaar, elke verantwoordelijke voor een gegevensverwerking (in de zin van de Wbp) en “voorts een ieder die geacht wordt de benodigde gegevens te kunnen verstrekken” — dus incluis Google, zorgverzekeraars, banken, webwinkels, de slager en je buren, mits noodzakelijk voor de uitoefening van de taken, proportioneel en subsidiair:

  1. De diensten zijn bevoegd zich bij de uitvoering van hun taak, dan wel ter ondersteuning van een goede taakuitvoering, voor het verzamelen van gegevens te wenden tot:
    1. bestuursorganen, ambtenaren en voorts een ieder die geacht wordt de benodigde gegevens te kunnen verstrekken;

    2. de verantwoordelijke voor een gegevensverwerking. [=in de zin van de Wbp]

  2. In het geval, bedoeld in het eerste lid, aanhef en onder b, is de daarmee belaste ambtenaar verplicht zich ten opzichte van de verantwoordelijke voor een gegevensverwerking te legitimeren aan de hand van een daartoe door het betrokken hoofd van een dienst verstrekt legitimatiebewijs.

  3. De bij of krachtens de wet geldende voorschriften voor de verantwoordelijke voor een gegevensverwerking betreffende de verstrekking van zodanige gegevens zijn niet van toepassing op verstrekkingen gedaan ingevolge een verzoek als bedoeld in het eerste lid, aanhef en onder b.

Met Artikel 17 Wiv2002 mogen gegevens worden verzameld met betrekking tot de personen aangeduid in Artikel 13 Wiv2002:

  1. De verwerking van persoonsgegevens door de Algemene Inlichtingen- en Veiligheidsdienst kan slechts betrekking hebben op personen:

    1. die aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat; [=ruim]

    2. die toestemming hebben verleend voor een veiligheidsonderzoek; [=beperkt]

    3. omtrent wie dat noodzakelijk is in het kader van het onderzoek betreffende andere landen; [=ruim]

    4. over wie door een andere inlichtingen- of veiligheidsdienst gegevens zijn ingewonnen; [=ruim]

    5. wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst; [=ruim]

    6. die werkzaam zijn of zijn geweest voor een dienst; [=beperkt]

    7. omtrent wie dat noodzakelijk is in het kader van het opstellen van de dreigings- en risicoanalyses, bedoeld in artikel 6, tweede lid, onderdeel e. [=ruim]

Artikel 28 en 29 mogen alleen voor de a-taak (nationale veiligheid) en d-taak (inlichtingentaak buitenland) worden ingezet. Artikel 17 mag voor alle taken worden ingezet, dus ook de b-taak (veiligheidsonderzoeken), de c-taak (veiligheidsmaatregelen bevorderen) en e-taak (dreigings- en risicoanalyses opstellen). Artikelen 28 en 29 zijn bijzondere bevoegdheden en met extra waarborgen omkleed, zoals een verslagleggingsplicht en een hoger toestemmingsregime. Artikel 17 is geen bijzondere bevoegdheid en niet met zulke waarborgen omkleed. Al enige tijd vroeg ik me twee dingen af:

  1. Geeft Artikel 17 Wiv2002 slechts de bevoegdheid tot vragen of ook tot het vorderen van gegevens?
  2. Kan Artikel 17 Wiv2002 worden ingezet om — zonder ministeriële goedkeuring — privécommunicatie te verwerven van Facebook enz.?

CTIVD-rapport 39 (.pdf, september 2014) beantwoordt beide vragen ontkennend. Op (genummerde) pagina 8 staat het volgende (markering is van mij):

Artikel 17 geeft de AIVD de bevoegdheid om bij de uitvoering van zijn taak, of ter ondersteuning daarvan, zich te wenden tot bestuursorganen, personen en instellingen die gegevens verwerken (informanten). Hieronder kunnen ook bedrijven worden begrepen die gegevens in verband met sociale media verwerken. Zo kan de AIVD een dergelijk bedrijf vragen vanaf welk IP-adres is ingelogd door een bepaalde gebruiker. Het aangezochte bedrijf is niet verplicht om de informatie te verstrekken; de verstrekking geschiedt vrijwillig. De AIVD mag enkel om informatie vragen voor zover dat noodzakelijk is voor een bepaald doel en ter vervulling van de wettelijke taken. Daarenboven is de Commissie in het algemeen van oordeel dat de AIVD slechts gebruik kan maken van een informant voor zover het tot de normale werkzaamheden van de informant behoort om kennis te nemen van de gevraagde gegevens of deze aan derden te verstrekken. Indien het de normale hoedanigheid van de menselijke bron te buiten gaat, dan dient deze als agent te worden aangemerkt.

Dus: Artikel 17 Wiv2002 biedt geen zelfstandige vorderingsbevoegdheid. Het antwoord op de tweede vraag staat in de paragraaf daarna:

De algemene bevoegdheid van artikel 17 biedt naar het oordeel van de Commissie onvoldoende grondslag om een verdergaande inbreuk te maken op de persoonlijke levenssfeer, zoals bij het verwerven van de inhoud van niet-openbare communicatie bijvoorbeeld van afgeschermde berichten op sociale media. In dat laatste geval wordt een dermate verregaande inbreuk gemaakt op de persoonlijke levenssfeer dat dit slechts geoorloofd is indien daarbij aanvullende waarborgen van toepassing zijn. Het gaat hierbij onder meer om vereisten aan het toestemmingsniveau, de motivering, de verslaglegging en het gebruik van de verworven gegevens. In de wet zijn die waarborgen verbonden met de toepassing van bijzondere bevoegdheden. Nu dergelijke wettelijke waarborgen bij artikel 17 ontbreken, is die bevoegdheid niet toereikend voor het verwerven van de inhoud van afgeschermde berichten.

Dus: Artikel 17 Wiv2002 kan niet worden ingezet om te vragen om vrijwillige verstrekking van de inhoud van niet-openbare communicatie. Vragen om vrijwillige verstrekking van andere gegevens kan wel: verkeersgegevens van Twitter, je aankoopgeschiedenis van een webwinkel. enzovoorts; het is maar net welk van die gegevens beschikbaar zijn. Artikel 17 Wiv2002 maakt zelf geen onderscheid in het soort gegevens dat kan worden gevraagd. (Natuurlijk blijft gelden dat de AIVD alleen gegevens mag verwerven én noodzakelijk bij de uitoefening van de a/b/c/d/e-taken, én proportioneel én subsidiair.)

Mogen met Artikel 17 financiële gegevens worden opgevraagd bij banken? Ja, omdat het bankgeheim door het derde lid buiten werking wordt gesteld. Dat blijkt uit deze paragraaf in CTIVD-rapport 20 (.pdf, 2009) over financieel-economische onderzoeken door de AIVD in de context van het Financieel Expertise Centrum (FEC) waaraan de AIVD deelneemt:

Blijkens het derde lid van artikel 17 WIV 2002 kunnen eventuele bij of krachtens de wet geldende voorschriften ten aanzien van de verstrekking van deze gegevens de AIVD niet worden tegengeworpen. Het bankgeheim, dat in de financiële wereld een belangrijke rol speelt, kan aldus in het kader van de gegevensverstrekking aan de AIVD opzij worden gezet.

Bij het FEC gaat het o.a. om onderzoek in het kader van de Europese bevriezingslijsten conform EC/2580/2001 (.pdf) van tegoeden van personen of organisaties die verdacht worden van betrokkenheid bij terroristische activiteiten.

Mogen met Artikel 17 medische gegevens worden opgevraagd? Het derde lid van Artikel 13 Wiv2002 bepaalt in beginsel een verbod hierop:

De verwerking van persoonsgegevens wegens iemands godsdienst of levensovertuiging, ras, gezondheid en seksuele leven vindt niet plaats.

Onder “gezondheid” en “seksueel leven” worden verstaan: seksualiteit, intiem levensgedrag, medische of psychologische kenmerken (cfr. Artikel 8 van de Europese Data Protection Directive 95/46/EC). Gegevens over politieke overtuigingen mogen door de diensten uiteraard wél worden verwerkt. Het vierde lid van Artikel 13 Wiv2002 bepaalt echter wel een uitzondering van het verbod op verwerking van gegevens over godsdienst of levensovertuiging, ras, gezondheid en seksuele leven:

De verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken vindt slechts plaats in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is.

Dus: alléén medische gegevens (c.q. gegevens over godsdienst/levensovertuiging, ras of seksueel leven) mag niet, maar wél als aanvulling op een bestaande gegevensverwerking — mits dat naast noodzakelijk ook “onvermijdelijk” is (het lijkt dan ook niet plausibel dat men bijvoorbeeld op basis van GPS- en belgegevens gedragspatronen probeert te herkennen die sympomatisch zijn voor depressie; iets dat in voorkomend geval een middel zou kunnen zijn om kwetsbaarheid van targets en hun omgeving in kaart te brengen). Toelichting op de onvermijdelijkheidsvereiste staat hier:

In artikel 13, vierde lid, is aansluitend bepaald dat de verwerking van persoonsgegevens die betrekking hebben op de in het derde lid bedoelde kenmerken slechts plaats vindt in aanvulling op de verwerking van andere gegevens en slechts voor zover dat voor het doel van de gegevensverwerking onvermijdelijk is. Met het begrip «onvermijdelijk» wordt beoogd aan te geven dat bij de verwerking van een gegeven als hier bedoeld aan een zwaarder criterium dient te worden voldaan, dan aan het in artikel 12, tweede lid, neergelegde noodzakelijkheidscriterium. Bij het vastleggen van deze categorie gegevens zullen de diensten dus extra terughoudend moeten zijn. Het zal echter onvermijdelijk zijn om bijvoorbeeld de godsdienstige of levensovertuiging van personen of organisaties te registreren in de gevallen dat anti-democratische, staatsgevaarlijke of anti-militaristische activiteiten worden ontplooid waarbij de daders hun godsdienstige overtuiging als motief aanvoeren voor hun activiteiten. Hierbij kan bijvoorbeeld worden gedacht aan de terroristische gifgas-aanslagen in Japan door leden van een godsdienstige sekte, of aan de activiteiten van andere godsdienstige sekten, zoals in de Verenigde Staten (Waco, Texas). Ook zal registratie van de godsdienstige overtuiging onvermijdelijk zijn als het gaat om terroristische activiteiten van bepaalde godsdienstige splintergroeperingen, bijvoorbeeld binnen radicale moslim-organisaties.

Hierbij een paar gedachten over de verwerking van gegevens over seksualiteit, intiem levensgedrag, medische of psychologische kenmerken. Ingevolge het beroepsgeheim mogen zorgverleners (artsen, psychologen, etc.) niet zomaar patiëntgegevens verstrekken. Wel bestaan er uitzonderingsgronden van het medisch beroepsgeheim: zie de KNMG Handreiking beroepsgeheim en politie/justitie. Maar zorgverleners zijn niet de enige die beschikken over medische gegevens.

Zorgverzekeraars verwerken medicijn- en zorgdeclaraties, en vallen niet onder het medisch beroepsgeheim (uitgezonderd artsen die bij zorgverzekeraars werken). Dat kennis over medicijngebruik zeer privacygevoelig kan zijn, is helder: gebruik van SSRI’s wordt geassocieerd met angst en depressie, gebruik van quetiapine met psychose, methylfenidaat met ADHD, enzovoorts. Dat zorgdeclaraties zeer privacygevoelig kunnen zijn, is ook helder. Bij de invoering van de DBC-systematiek werd alle tweedelijns zorgverlening verplicht DBC’s te registreren: somatisch, chirurgie, KNO, maar ook de GGZ. Hierbij moeten zorgverleners op zorgdeclaraties een prestatiecode vermelden, en die code bevat diagnose-informatie. De prestatiecode heeft het formaat AAA BBB CCC DDD, waarbij AAA = zorgtype, BBB = diagnose, CCC = verblijf, DDD = behandeling. De codelijsten voor DBC’s in de GGZ staan hier. De diagnosehoofdgroepen zoals ze bij de zorgverzekeraar bekend worden zijn de volgende:

001 = Overige stoornissen in de kindertijd
002 = Pervasieve ontwikkelingsstoornissen
003 = Aandachtstekortstoornissen en gedragsstoornissen
004 = Restgroep diagnoses
005 = Aanpassingsstoornissen
006 = Andere aandoeningen en problemen die een reden voor zorg kunnen zijn
007 = Delirium, dementie en amnestische en andere cognitieve stoornissen
008 = Aan alcohol gebonden stoornis
009 = Overige aan een middel gebonden stoornissen
010 = Schizofrenie en andere psychotische stoornissen
011 = Depressieve stoornissen
012 = Bipolaire en overige stemmingsstoornissen
013 = Angststoornissen
014 = Persoonlijkheidsstoornissen
015 = Somatoforme stoornissen
016 = Eetstoornis

Zorgverzekeraars beschikken dus over diagnose-informatie. Dankzij de enorme inspanningen van psychiater Kaspar Mengelberg (@DeVrijPsych) bestaat er voor (uitsluitend) GGZ-zorgverleners een opt-out-regeling, waarbij de diagnose-code mag worden vervangen door “000”. Van Mengelberg begreep ik dat GGZ-zorgverleners bij instellingen niet of minder gebruikmaken van deze regeling dan vrijgevestigde psychiaters en psychotherapeuten. En dat zorgverzekeraars patiënten pesten met adminstratief gedoe als er geen volledige DBC op de zorgdeclaratie staat.

Maar dan is er nog het landelijke DBC Informatie Systeem (DIS). Alle zorgverleners, ook de GGZ-zorgverleners, zijn verplicht gedetailleerde diagnose-informatie in gepseudonimiseerde vorm aan te leveren aan dit systeem. Zie hier (.pdf, 2012) een visualisatie van de informatiestromen. Over de pseudonimisatie het volgende (.pdf, 2012, beantwoording van Kamervragen):

Door de toegepaste pseudonimisering zijn in het DBC-Informatiesysteem (DIS) geen personen te herleiden. Voor het CBS is een situatie gecreëerd waardoor het CBS de DIS-gegevens kan koppelen met de Gemeentelijke Basisadministratie (GBA). Dat gaat als volgt in zijn werk. De DIS-gegevens worden eerst opgestuurd aan een zogenaamde trusted third party, die de DIS-pseudoniemen omzet in een speciaal CBS-pseudoniem en deze naar het CBS verstuurt. Het CBS stuurt vervolgens de benodigde GBA-gegevens versleuteld en dus onherkenbaar naar de trusted third party, die deze GBA-gegevens van hetzelfde CBS-pseudoniem voorziet als voor de DIS-gegevens, en de gepseudonimiseerde GBA-gegevens naar het CBS verstuurt. Daarmee kan het CBS dan de DIS-gegevens aan de GBA- gegevens koppelen. De DIS-pseudoniemen worden dus niet geïdentificeerd door deze procedure. Ten behoeve van statistische doeleinden is het CBS wettelijk gerechtigd om persoonsgegevens te verwerken (CBS-wet, artikel 35).

Het CBS is dus, technisch gezien, in staat op DIS-gegevens te koppelen aan geïdentificeerde personen. Identificatie wordt alleen voorkomen door procedurele maatregelen. Dat wil niet zeggen dat identificatie ooit op het verzoek van de AIVD zal gebeuren (je kunt je het schandaal wel indenken). Maar het behoeft geen betoog dat informatie over de gezondheid van personen, zeker de geestelijke gezondheid, relevant is bij het uitoefenen van ten minste de a-taak en d-taak (nationale veiligheid en inlichtingen buitenland: hoe kunnen we een target beïnvloeden?) en voor de b-taak (veiligheidsonderzoeken: is een sollicitant voor deze vertrouwensfunctie beïnvloedbaar? NB: jaarlijks vinden bij de AIVD zo’n dertig- tot veertigduizend veiligheidsonderzoeken plaats, waarvan 1500 op het hoogste A-niveau). Ter illustratie van het laatste punt, hierbij een citaat uit Richard Aldrich’s boek over GCHQ. In de nasleep van een grote spionagezaak bij GCHQ (een senior GCHQ-ambtenaar bleek KGB-agent te zijn geworden) deed de Britse Security Commission in 1962 aanbevelingen voor versterking van personele veiligheidsprocedures. Eén van die aanbevelingen betrof het doorlichten van medische gegevens. Aldrich stelt:

Benson Buffham, a former Deputy Director of NSA who had recently served as the American Liaison Officer to GCHQ, or ‘SUSLO’, visited London to confer on security, and made it very clear that the Americans were keen to see the polygraph arrive at GCHQ. The Security Commission also recommended that vetting teams should be granted access to medical records in order to check for problems such as depression. However, this was shot down immediately by the BMA’s Civil Service Medical Officers Group as ‘neither necessary nor justified’. [Footnote 46: Woods (BMA) to Duffton (SCPS GCHQ Main Branch), RVW/JNLlFB, 15.12.83, MSS.84/3II 9, GCHQ-UR WMRC.]

Kortom, er bestaan scenario’s waarin een inlichtingendienst toegang zou kunnen willen hebben tot medische gegevens. (Waarmee niet is gezegd dat van zulke toegang ooit sprake is geweest.)

Informatie over gezondheid kan worden verworven door observatie en navraag in de sociale omgeving, maar minder risicovol is het (laten) raadplegen van medische gegevensbestanden. Vroeger vormde homosexualiteit een bezwarende omstandigheid tijdens antecedenten-/veiligheidsonderzoek; gelukkig zijn we dat stadium voorbij. Maar gezondheid, zeker geestelijke gezondheid, is en blijft natuurlijk een relevant onderwerp voor veiligheidsonderzoeken, waarbij het immers allemaal draait om iemands betrouwbaarheid en kwetsbaarheid voor chantage.

Conclusie: om toegang te krijgen tot medische informatie hoeft geen medisch beroepsgeheim te worden doorbroken. Zie ook Zembla’s De jacht op uw medische gegevens (april 2014). De vraag is of de CTIVD Artikel 17 Wiv2002 voldoende bevoegdheid vindt bieden om medische informatie te krijgen. Het bankgeheim bleek er in elk geval niet van toepassing.

Een zijstapje naar Amerika. Het DoD hanteert het begrip “medical intelligence” (.pdf, 2014) en definieert dat als volgt:

(…) the product of collection, evaluation, and all-source analysis of worldwide health threats and issues, including foreign medical capabilities, infectious disease, environmental health risks, developments in biotechnology and biomedical subjects of national and military importance, and support to force protection.

De National Geospational Agency (NGA) en NSA leveren daarbij “support for medical intelligence and medical intelligence-related requirements”, allicht gebruikmakend van de mogelijkheden die de PATRIOT ACT biedt (hoeveel medische gegevens over Nederlanders staan eigenlijk op IT-systemen van organisaties die ook in de VS actief zijn?). Het is plausibel dat bij uitzondering nu en dan ook gegevens over individuele, geïdentificeerde personen zullen worden verwerkt. Ook bij het invullen van een ESTA-verklaring wordt op individueel niveau een medische vraag gesteld: “Do you have a communicable disease; physical or mental disorder; or are you a drug abuser or addict?” In datzelfde formulier geef je ook je NAW- en paspoortgegevens.

Terug naar Nederland en het hoofdonderwerp van deze blogpost. De Nederlandse regering heeft in 2006 wél een zelfstandige vorderingsbevoegdheid voorgesteld in het post-Madrid wetsvoorstel tot wijziging van de Wiv2002. Het ging daarbij ook expliciet over verstrekking van financiële informatie aan de AIVD (zie Artikel 29a lid 1, onder a). Destijds was de vorderingsbevoegdheid één van de controversiële onderdelen in het (uiteindelijk ingetrokken) wetsvoorstel waartegen de Eerste Kamer pareerde, onder meer op basis van CBP-advies (.pdf, 2007). Het is nu even afwachten of elementen uit dat ingetrokken wetsvoorstel terugkomen in het voorstel dat het kabinet binnenkort (?) zal doen voor wijziging van de Wiv. De commissie-Dessens heeft in haar evaluatie van de Wiv2002 elk geval geen aanbevelingen gedaan ten aanzien van Artikel 17 Wiv2002 of Artikel 29a in het ingetrokken voorstel.

Uit de kabinetsreactie op het CBP-rapport inzake het post-Madrid voorstel tot wijziging van de Wiv2002 blijkt overigens dat het antwoord van personen/organisaties aan wie een Artikel 17-verzoek is gericht, niet altijd “ja” luidt:

De derde reden die genoemd dient te worden voor het niet voldoen van de vrijwillige arrangementen, hoewel deze situatie zich slechts bij uitzondering voordoet, is het feit dat sommige instanties weigeren informatie te verstrekken aan de diensten. Deze terughoudendheid vindt haar oorsprong wellicht in een verstrekkende servicegerichtheid richting de klanten of afnemers van betrokken instantie. Een verplichte informatieverstrekking biedt op dit punt zeker voordeel voor de betreffende bestuursorganen, financiële dienstverleners en vervoerders. Indien het overleggen van informatie niet op vrijwillige basis, maar op grond van een wettelijke verplichting geschiedt, is er geen enkele ruimte voor enige verwijtbaarheid door klanten aan deze organen en instanties. Uit de contacten die de diensten hebben met potentiële informatieleveranciers blijkt keer op keer dat zij juist vragen om een verplichting tot informatieverstrekking. Zij zijn van mening dat een informatieverplichting kenbaarheid en voorzienbaarheid schept met betrekking tot de gegevensverstrekking, waardoor duidelijk aan klanten en afnemers gepresenteerd kan worden op welke gronden verstrekking kan plaatsvinden.

Verder leesvoer:

EOF

Leave a Reply

Your email address will not be published. Required fields are marked *