[Dutch] Ter opfrissing: het ingetrokken post-Madrid voorstel tot wijziging van de Wiv2002

Posted on by mrkoot

Na de bomaanslagen van 2004 in Madrid diende het kabinet een voorstel tot wijziging van de Wiv2002 in. Dat voorstel werd uiteindelijk ingetrokken na kritiek van het CBP (.pdf, 2007; kabinetsreactie) en de Eerste Kamer. Voor eigen doeleinden geef ik hieronder een overzicht van de belangrijkste onderdelen uit dat voorstel, de standpunten van het CBP en de standpunten van het kabinet.

Nota bene: voor zover mij bekend is er geen aanleiding om te verwachten dat elementen uit het ingetrokken voorstel zullen terugkeren in het Wiv-wijzigingsvoorstel dat het kabinet binnenkort (?) indient. De cie-Dessens heeft geen aanbevelingen gedaan die een herhaling zijn van elementen uit het post-Madrid voorstel.

Artikel 12 Wiv2002 geeft de AIVD de bevoegdheid om überhaupt gegevens te verwerken. In het post-Madrid voorstel werd Artikel 12a ingevoegd, dat expliciet een bevoegdheid geeft tot data-analyse (vergelijken, zoeken naar profielen, zoeken naar patronen) met geautomatiseerde gegevensbestanden:

Artikel 12a

  1. Tot de bevoegdheid, bedoeld in artikel 12, eerste lid, behoort tevens de bevoegdheid van de diensten tot het uitvoeren van geautomatiseerde data-analyse met betrekking tot
    1. gegevens uit eigen geautomatiseerde gegevensbestanden,
    2. gegevens uit voor een ieder toegankelijke informatiebronnen,
    3. gegevens uit geautomatiseerde gegevensbestanden waartoe de diensten rechtstreeks toegang hebben, en
    4. gegevens uit daartoe door derden verstrekte geautomatiseerde gegevensbestanden of delen van geautomatiseerde gegevensbestanden.
  2. Ten behoeve van de verwerking, bedoeld in het eerste lid, kunnen de gegevens in ieder geval:
    1. op geautomatiseerde wijze onderling met elkaar worden vergeleken dan wel in combinatie met elkaar worden vergeleken,
    2. worden doorzocht aan de hand van profielen, en
    3. worden vergeleken met het oog op het opsporen van bepaalde patronen.
  3. Gegevens afkomstig uit geautomatiseerde gegevensbestanden van derden als bedoeld in het eerste lid, onderdeel d, die uitsluitend zijn verstrekt ten behoeve van een verwerking als bedoeld in het tweede lid, onder b of c, en na die verwerking niet meer relevant zijn voor het desbetreffende onderzoek van een dienst, worden vernietigd. Van de vernietiging wordt een verslag opgemaakt.

De AIVD mag dit al op basis van de Wiv2002: de explicitering door het voorgestelde Artikel 12a is dan ook primair “gelegen in de wens tot vergroting van de kenbaarheid en voorzienbaarheid van deze specifieke vormen van gegevensverwerking“, aldus voornoemde kabinetsreactie.

Artikel 13 Wiv2002 beperkt de gegevensverwerking tot, heel kort door de bocht, targets. In het voorstel werd deze beperking opgeheven:

Aan artikel 13 wordt een nieuw lid toegevoegd, luidende:

  1. De verwerking van persoonsgegevens door de diensten in het kader van de toepassing van de bevoegdheid, bedoeld in de artikelen 12a, tweede lid, en 29b kan ook betrekking hebben op andere personen dan bedoeld in het eerste en tweede lid.

Artikel 17 Wiv2002 geeft de AIVD de bevoegdheid een verzoek om vrijwillige verstrekking van gegevens in te dienen bij bestuursorganen en willekeurige derden. Het voorstel breidde dit artikel uit met de bepaling dat ook zo’n verzoek kan worden voldaan door “het verlenen van rechtstreekse geautomatiseerde toegang”:

In artikel 17 wordt onder vernummering van het derde lid tot vierde lid een nieuw lid ingevoegd, luidende:

  1. Aan een verzoek als bedoeld in het eerste lid kan worden voldaan door het verlenen van rechtstreekse geautomatiseerde toegang aan de dienst tot de desbetreffende gegevens dan wel door het verstrekken van geautomatiseerde gegevensbestanden of delen van geautomatiseerde gegevensbestanden.

Ook zou Artikel 17a worden ingevoegd, dat de AIVD de bevoegdheid zou hebben gegeven tot het vorderen van gegevens bij per AMvB aan te wijzen bestuursorganen:

Artikel 17a

  1. Bij algemene maatregel van bestuur op voordracht van Onze betrokken Ministers, gedaan in overeenstemming met Onze Minister wie het mede aangaat, kunnen bestuursorganen worden aangewezen, die verplicht zijn om desgevraagd gegevens te verstrekken aan een dienst ter uitvoering van de taak van de desbetreffende dienst, dan wel ter ondersteuning van een goede taakuitvoering.
  2. In de algemene maatregel van bestuur, bedoeld in het eerste lid, wordt in ieder geval bepaald:
    1. op welke door het bestuursorgaan, dan wel een onderdeel daarvan, verwerkte gegevens de verplichting betrekking heeft;
    2. de termijn waarbinnen de gegevens dienen te worden verstrekt;
    3. de wijze waarop de gegevensverstrekking dient plaats te vinden.
  3. Onder de wijze van verstrekking als bedoeld in het tweede lid, onderdeel c, wordt tevens de mogelijkheid begrepen tot het verlenen van rechtstreekse geautomatiseerde toegang tot de desbetreffende gegevens. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld met betrekking tot de ter zake door het bestuursorgaan te treffen technische en organisatorische maatregelen.
  4. De verstrekking van gegevens ingevolge dit artikel geschiedt kosteloos, voor zover bij de algemene maatregel van bestuur, bedoeld in het tweede lid, niet anders is bepaald.
  5. Op de verstrekking van gegevens als bedoeld in dit artikel is artikel 17, vierde lid, van overeenkomstige toepassing.
  6. De voordracht voor een krachtens het eerste lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Daarover stelde het CBP:

Het principe van kenbaarheid is met het voornemen bij AMvB nadere invulling te geven aan het wetsvoorstel in dit geval geenszins gediend. Het betekent immers niet alleen onduidelijkheid voor de sectoren die het betreft, maar ook voor de burger, terwijl de Minister aanzienlijke speelruimte heeft om invulling te geven aan deze categorieën. Bovendien schuilt hierin het risico dat de drempel de categorieën uit te breiden, lager ligt dan indien deze zouden zijn neergelegd in het wetsvoorstel zelf.

Nut en noodzaak van de voorhanden zijnde gegevens voor een goede taakuitvoering van de diensten dienen bij de aan te wijzen categorieën aanwezig te zijn. Nu de noodzaak van de voorgestelde maatregelen zelf onvoldoende is onderbouwd, geeft de stelling dat nut en noodzaak van de bij de aan te wijzen categorieën dienstverleners voorhanden zijnde gegevens bepalend dient te zijn, weinig vertrouwen.

Ook merkte het CBP op dat Artikel 17a niet is omkleed met de waarborgen die wel van toepassing op bijzondere bevoegdheden:

Ten aanzien van de bijzondere bevoegdheden, waar de artikelen 28 Wiv 2002 e.v. onder vallen, bestaat een wettelijk verankerd toetsingskader (artikel 31 Wiv 2002), de verplichting een verslag te maken van de uitoefening van een bijzondere bevoegdheid (artikel 33 Wiv 2002) en een onafhankelijke toezichthouder, de CTIVD. Behalve het toezicht door de CTIVD, zijn de andere twee waarborgen niet van toepassing op de verruiming van de verstrekking door bestuursorganen (artikel 17a in het wetsvoorstel).

Artikel 29 Wiv2002 regelt de bevoegdheid tot het vorderen van abonneegegevens bij aanbieders van openbare elektronische telecommunicatiediensten en -netwerken. In het voorstel werden hierna Artikel 29a en Artikel 29b ingevoegd, die de AIVD de bevoegdheid zouden hebben gegeven ook bij financiële bedrijven en vervoersbedrijven gegevens te vorderen:

Artikel 29a

  1. De diensten zijn bevoegd zich te wenden tot een persoon of instantie behorende tot de bij algemene maatregel van bestuur, op voordracht van Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties en Onze Minister van Defensie gezamenlijk, na overleg met Onze Minister die het aangaat, aangewezen categorieën van personen en instanties, die:
    1. beroeps- of bedrijfsmatige financiële diensten verlenen, of
    2. beroeps- of bedrijfsmatig werkzaam zijn als vervoerder, met het verzoek gegevens te verstrekken met betrekking tot een in het verzoek aangegeven gebruiker van de door hen verleende diensten.
  2. Onder een gebruiker wordt in dit artikel verstaan: de natuurlijke persoon of rechtspersoon die met een persoon of instantie als bedoeld in het eerste lid een overeenkomst is aangegaan met betrekking tot de levering of het gebruik van de door hen te verlenen diensten of die feitelijk gebruik maakt van die diensten.
  3. Voor de uitoefening van de bevoegdheid, bedoeld in het eerste lid, is geen toestemming vereist als bedoeld in artikel 19.
  4. De persoon of instantie aan wie een verzoek om gegevensverstrekking als bedoeld in het eerste lid is gericht, is verplicht aan het verzoek te voldoen.
  5. Bij de algemene maatregel van bestuur, bedoeld in het eerste lid, wordt in ieder geval tevens bepaald:
    1. op welke soorten gegevens de verplichting betrekking heeft;
    2. de termijn waarbinnen de gegevens dienen te worden verstrekt;
    3. de wijze waarop de gegevensverstrekking dient plaats te vinden;
    4. de vergoeding van kosten.
  6. Een verzoek wordt schriftelijk gedaan door het hoofd van de desbetreffende dienst en bevat:
    1. gegevens waarmee de gebruiker kan worden geïdentificeerd;
    2. een omschrijving van de gegevens die verstrekt dienen te worden;
    3. de periode waarover de gegevens verstrekt dienen te worden.
  7. Op de verstrekking van gegevens ingevolge een verzoek als bedoeld in het eerste lid is artikel 17, vierde lid, van overeenkomstige toepassing.
  8. De voordracht voor een krachtens het eerste lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Artikel 29b

  1. De diensten zijn bevoegd om ten behoeve van de uitoefening van de bevoegdheid, bedoeld in artikel 12a, tweede lid, onder b of c, zich te wenden tot:
    1. een bestuursorgaan als bedoeld in artikel 17a, eerste lid,
    2. een aanbieder van communicatiediensten als bedoeld in artikel 28, eerste lid, en
    3. een persoon of instantie die behoort tot een ingevolge artikel 29a, eerste lid, aangewezen categorie van personen of instanties, met het schriftelijke verzoek tot verstrekking van een in dat verzoek omschreven geautomatiseerd gegevensbestand of delen van een geautomatiseerd gegevensbestand.
  2. De in het eerste lid bedoelde bevoegdheid mag slechts worden uitgeoefend, indien door Onze betrokken Minister daarvoor op een daartoe strekkend verzoek toestemming is verleend aan het hoofd van de dienst.
  3. Het verzoek tot het verlenen van toestemming als bedoeld in het tweede lid bevat ten minste:
    1. een nauwkeurige aanduiding van degene tot wie het verzoek om verstrekking van geautomatiseerde gegevensbestanden zich richt;
    2. een nauwkeurige omschrijving van het geautomatiseerde gegevensbestand dan wel deel van het geautomatiseerde gegevensbestand waarvan de verstrekking wordt verlangd met dien verstande dat deze geen andere soorten gegevens kunnen bevatten dan waartoe het desbetreffende bestuursorgaan, de aanbieder van communicatiediensten, of de persoon of instantie op grond van bepalingen van deze wet reeds verplicht zijn tot verstrekking;
    3. de reden waarom de uitoefening van de bevoegdheid wordt verlangd.
  4. Degene aan wie een verzoek om gegevensverstrekking als bedoeld in het eerste lid is gericht, is verplicht aan het verzoek te voldoen.
  5. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld met betrekking tot in ieder geval:
    1. de termijn waarbinnen de verstrekking van het geautomatiseerde gegevensbestand dient plaats te vinden;
    2. de vergoeding van de kosten, met dien verstande dat op de verstrekking van gegevens door bestuursorganen als bedoeld in het eerste lid, onder a, artikel 17a, vierde lid, van overeenkomstige toepassing is.
  6. Op de verstrekking van gegevens ingevolge een verzoek als bedoeld in het eerste lid is artikel 17, vierde lid, van overeenkomstige toepassing.
  7. De voordracht voor een krachtens het vijfde lid vast te stellen algemene maatregel van bestuur wordt niet eerder gedaan dan vier weken nadat het ontwerp aan beide kamers der Staten-Generaal is overgelegd.

Over data-analyse op basis van gevorderde persoonsgegevens stelde het CBP:

Bedrijven en instellingen, zowel in de publieke als in de private sector, hebben de neiging om steeds meer persoonsgegevens te verzamelen, te gebruiken en uit te wisselen. Daarnaast worden ook wettelijke verplichtingen geschapen om gegevens gedurende een bepaalde periode te bewaren. Het wetsvoorstel schept de mogelijkheid voor de diensten om rechtstreekse geautomatiseerde toegang te verkrijgen tot de gegevens die bij de aangezochte persoon of instantie berusten: hiermee wordt een on line- en real time verbinding bedoeld, waarbij zonder menselijke tussenkomst gegevens verstrekt kunnen worden. Op deze wijze kan een grote hoeveelheid gegevens vergaard worden uit externe databases, mede ten behoeve van data- analyse. Deze combinatie leidt tot consequenties die niet of niet voldoende lijken te zijn onderkend.

De eerste consequentie die het CBP voorzag:

In de eerste plaats heeft deze combinatie tot gevolg dat de diensten steeds meer gegevens zullen moeten analyseren om de eenvoudige reden dat steeds meer gegevens beschikbaar zijn; zoeken naar een speld in een hooiberg. Het is niet aannemelijk dat de effectiviteit van het doorzoeken van informatie hiermee gediend is. Gewaarschuwd dient dan ook te worden voor de hooggespannen verwachtingen van technologische toepassingen en de verplichting die op verantwoordelijken kan worden gelegd. (…)

De kabinetsreactie hierop:

Op dit punt lijkt het CBP impliciet uit te gaan van de veronderstelling dat de diensten geen of onvoldoende ervaring hebben met het uitvoeren van data-analyses op grote hoeveelheden gegevens en dat het wetsvoorstel ertoe dient om het mogelijk te maken grotere hoeveelheden gegevens binnen te halen. Geen van deze veronderstellingen is juist. De diensten hebben al geruime tijd ervaring met data-analyses op grote hoeveelheden gegevens die worden verstrekt op basis van de huidige wet. Zoals in de memorie van toelichting vermeld en ook hiervoor gememoreerd beschikken de diensten op grond van de huidige wet over de mogelijkheid data-analyses uit te voeren, maar heeft de regering ervoor gekozen deze mogelijkheid thans ook expliciet in de wet op te nemen teneinde zodoende de kenbaarheid te vergroten en de toepassing ervan op onderdelen met extra waarborgen te omgeven.

Hiervoor heb ik er voorts al op gewezen dat de verplichting tot gegevensverstrekking die het wetsvoorstel introduceert niet zozeer ingegeven is door de wens over meer gegevens en bestanden te beschikken als wel om de nadelen van vrijwillige gegevensverstrekking te ontlopen. Er is dan ook geen sprake van de hooggespannen verwachtingen waar het CBP voor waarschuwt, maar van een reële inschatting van mogelijkheden tot verbetering gebaseerd op de huidige ervaringen. Het lijkt mij goed om op deze plaats aan de hand van enkele voorbeelden inzicht te geven in het belang van geautomatiseerde data-analyse voor een goede taakuitvoering.

Op aanbeveling van de Commissie-Oord (veiligheid burgerluchtvaart) en na wijziging daartoe van de Wet veiligheidsonderzoeken is thans de zogeheten dynamisering van het veiligheidsonderzoek mogelijk gemaakt. Zoals bekend dienen personen die werken op het beveiligde gebied van Schiphol een veiligheidsonderzoek te ondergaan, waarbij onder meer wordt gekeken naar de justitiële antecedenten van de persoon door raadpleging van het Justitieel Documentatiesysteem (JDS). De dynamisering maakt het mogelijk om periodiek (bijvoorbeeld een keer per maand) de justitiële gegevens (en de politiegegevens) van de in het beveiligde gebied werkzame personen te checken. Dit betekent dat er dus periodiek vele tienduizenden personen dienen te worden nageslagen in de desbetreffende bestanden van politie en justitie. Dat kan alleen nog maar door toepassing van geautomatiseerde data-analyse. Aan de hand van de in de Beleidsregel veiligheidsonderzoeken voor de burgerluchthaven expliciet genoemde strafbare feiten worden daartoe criteria aangewezen. Via een daartoe te ontwikkelen data-mining applicatie wordt aan de kant van de AIVD een geautomatiseerd selectiemechanisme toegepast waardoor alleen die personen worden uitgeselecteerd die voldoen aan de vooraf gestelde criteria. De aldus geselecteerde personen worden vervolgens aan een nader onderzoek onderworpen ter beantwoording van de vraag of de feiten en omstandigheden inderdaad zodanig zijn, dat tot intrekking van de verklaring van geen bezwaar, en daarmee van de toegangspas tot het beveiligde gebied, dient te worden overgegaan. De resultaten van geautomatiseerde data-analyse leiden dus nimmer automatisch tot conclusies, maar vormen het startpunt voor verder onderzoek.

Een ander voorbeeld betreft de voorlegging van visumaanvragen. De AIVD krijgt van het ministerie van Buitenlandse Zaken jaarlijks ongeveer 21 000 visumaanvragen voorgelegd. Dit zijn visumaanvragen van de landen op de 5A-lijst, een bijlage bij de Gemeenschappelijke Visuminstructies van de Beneluxlanden. Als over een aanvrager bij de dienst informatie aanwezig is die relevant is voor de beslissing over de aanvraag, dan brengt de dienst daarover een ambtsbericht uit aan het ministerie van Buitenlandse Zaken. Dit dient binnen vijf werkdagen te gebeuren. Het zal duidelijk zijn dat de zoekslag die noodzakelijk is voor het binnen zo korte termijn beschikbaar krijgen van de mogelijk voor de aanvraag relevante informatie alleen mogelijk is door het toepassen van geautomatiseerde data-analyse. Hierbij is het mogelijk dat de dienst de gegevens die verstrekt worden ten behoeve van deze visumaanvragen doorzoekt aan de hand van profielen. Ter illustratie kan genoemd worden het profiel van personen afkomstig uit een risicogebied, binnen een bepaalde leeftijdscategorie en met een technische achtergrond. Dat betekent uiteraard geenszins dat personen die voldoen aan een dergelijk profiel automatisch niet meer in aanmerking kunnen komen voor een visum. De uitkomst van het profielonderzoek zal slechts de basis vormen voor verder onderzoek naar de achtergrond en mogelijke beweegredenen van die groep personen om een visum voor Nederland aan te vragen.

De tweede consequentie die het CBP voorzag:

In de tweede plaats is niet gegarandeerd dat de kwaliteit van de gegevens die worden binnengehaald, van dien aard is dat daaruit, op zichzelf of in samenhang met andere gegevens bezien, conclusies kunnen worden getrokken die overeenkomen met de werkelijkheid. Hierin schuilt een groot risico voor de burger. Gegevens kunnen immers in een andere context dan waarin zij verzameld zijn of bewaard worden, een volstrekt onjuist beeld geven van die burger of groep burgers. Het risico op valse positieve en valse negatieve uitkomsten is aanzienlijk. Dit is schadelijk voor die betreffende burger(s), maar ook schadelijk voor de samenleving als geheel omdat hierdoor het vertrouwen van de burgers in de overheid wordt aangetast. De vraag is dan ook, gelet op die mogelijke onwenselijke gevolgen, of het middel data-analyse reeds voldoende is ontwikkeld voor gebruik in het veiligheidsdomein.

De kabinetsreactie hierop:

Ik ben het met het CBP eens dat aan data-analyse als zodanig, en zeker aan het gebruik van profielen, het risico is verbonden dat het teveel valse treffers oplevert. Dat zou kunnen inhouden dat personen onterecht als target kunnen worden aangemerkt. Bij de data-analyse door de diensten is het echter nooit de computer die bepaalt of iemand een target is. De resultaten die worden verkregen door de data-analyse zijn namelijk niet definitief, maar worden gebruikt ter advisering of ondersteuning van verder onderzoek. Na het uitvoeren van data-analyse zal altijd verder onderzoek plaatsvinden, waarbij de uitkomsten van de data-analyse verder worden vergeleken met aanvullende informatie. In alle gevallen is er sprake van een menselijke beoordeling alvorens de uitkomsten van data-analyse verder worden gebruikt.

De derde consequentie die het CBP voorzag:

Data-analyse bergt in de derde plaats ook het risico van zogenaamde function creep in zich: enerzijds worden technologieën die aanvankelijk gericht waren op een bepaalde doelgroep, in casu degenen die een gevaar vormden voor de nationale veiligheid, gaandeweg toegepast op (bijna) iedereen, terwijl anderzijds verzamelde gegevens voor een bepaald doel ten behoeve van een ander doel verstrekt en verwerkt worden. In het wetsvoorstel wordt geëxpliciteerd dat data- analyse een ieder kan betreffen (artikel 13, vijfde lid in het wetsvoorstel). Binnen de Artikel 29- werkgroep is in het kader van de Richtlijn Dataretentie (2006/24/EG) het standpunt ingenomen dat de mogelijkheid van datamining op de communicatie- en bewegingspatronen van onverdachte personen zou moeten worden uitgesloten. Het CBP heeft in het kader van de begrenzing van de toegang tot bewaarde gegevens eveneens op dit standpunt gewezen in zijn advies op het Wetsontwerp implementatie Europese Richtlijn Dataretentie d.d. 22 januari 2007. Wat betreft function creep in het kader van doelbinding dient opgemerkt te worden dat met name overheidsinstanties over gegevens van burgers kunnen beschikken op grond van een wettelijke verplichting tot het uitoefenen van een specifieke overheidstaak. In het doelgebonden gebruik zijn de nodige waarborgen voor die burger gelegen, die door het gebruik van data-analyse teniet worden gedaan.

Kabinetsreactie hierop:

Hoewel ik met het College het gevaar van function creep vermag in te zien, ben ik van mening dat de activiteiten van de inlichtingen- en veiligheidsdiensten met zoveel wettelijke waarborgen, waaronder onafhankelijk toezicht op de rechtmatigheid, zijn omgeven, dat dit gevaar nu juist in dit geval een uiterst hypothetisch karakter heeft. Zo dient, zoals ik al eerder heb aangegeven, alle gegevensverwerking door de diensten, dus ook de data-analyse, te voldoen aan de eisen die zijn neergelegd in artikel 12 van de WIV 2002. Dat betekent dat gegevensverwerking slechts plaats vindt voor een bepaald doel, noodzakelijk voor een goede uitvoering van de WIV 2002 of de Wet veiligheidsonderzoeken (WVO), in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze. De gegevens die worden geanalyseerd zijn onderzocht op hun betrouwbaarheid en eventueel voorzien van bronvermelding.

Het is echter onvermijdelijk dat bij het verzamelen en doorzoeken van externe gegevensbestanden ten dienste van de goede taakuitvoering van de inlichtingen- en veiligheidsdiensten, ook gegevensverwerking plaats vindt met betrekking tot personen waarop het onderzoek van de dienst zich niet richt. Onder meer onder toepassing van data-analysetechnieken kunnen deze personen er uit worden gefilterd, zodat alleen die personen resteren waarvoor de dienst belangstelling heeft. Wat vroeger handmatig gebeurde kan nu – gelukkig – op geautomatiseerde wijze. Niettemin worden met betrekking tot deze onverdachte personen ook hun gegevens verwerkt overeenkomstig de definitie die in artikel 1. onderdeel f, WIV 2002 van gegevensverwerking wordt gegeven: elke handeling of elk geheel van handelingen met betrekking tot gegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Tot nog toe wordt de grondslag voor deze verwerking gevonden in artikel 13, eerste lid, onderdeel e, WIV 2002 (personen wier gegevens noodzakelijk zijn ter ondersteuning van een goede taakuitvoering door de dienst). Nu in het wetsvoorstel wordt voorgesteld een expliciete wettelijke basis te geven aan de geautomatiseerde data-analyse door de diensten, wordt ook voorzien in een aanvulling van artikel 13 die buiten twijfel stelt in het kader van die data-analyse ook persoonsgegevens van onverdachte personen verwerkt kunnen worden. Daartoe is artikel 13, vijfde lid, in het wetsvoorstel opgenomen.

Tot slot enkele passages vanuit het veiligheidsperspectief, eveneens uit de kabinetsreactie:

Zoals reeds in de memorie van toelichting uiteengezet hebben de aanslagen in New York, Madrid en Londen, maar ook na enkele voorvallen in Nederland zelf, onmiskenbaar aan het licht gebracht dat de mogelijkheden tot het tijdig onderkennen van terroristische dreigingen en het waar mogelijk voorkomen van op handen zijnde terroristische aanslagen dienen te worden vergroot. De nu voorgestelde wijzigingen van de WIV 2002 passen binnen het samenhangend geheel van maatregelen en beleid ter verdere intensivering van de terrorismebestrijding dat door het vorige kabinet is ingezet (zie Kamerstukken II 2003/04, 27 925, nr. 123) en behoren tot de noodzakelijk te treffen maatregelen. De voorstellen tot wijziging van de WIV 2002 zijn aangekondigd in de brief van mijn ambtsvoorganger van 15 juli 2004 aan de Voorzitter van de Tweede Kamer der Staten-Generaal (Kamerstukken II, 2003/04, 29 200 VII, nr. 61). De voorstellen dragen bij aan de mogelijkheden van de diensten tot het handhaven en verbeteren van de eerder genoemde informatiepositie en tot het op efficiëntere en effectievere wijze verwerken van gegevens. Uiteraard slechts met het oog op het hoofddoel van de diensten: het afwenden van dreigingen voor de nationale veiligheid.

Het afwenden van dreigingen vindt zijn startpunt uiteraard in het verrichten van onderzoek naar organisaties en personen welke aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de nationale veiligheid. De diensten richten zich bij dit onderzoek met name op het in kaart brengen van de volgende aspecten van het gedrag van die personen en organisaties: identificatie, verplaatsing, communicatie en financiën. Zonder om begrijpelijke redenen in te kunnen gaan op concrete voorbeelden, kan als illustratie dienen de situatie dat de diensten over informatie beschikken dat een groep personen het idee heeft opgevat om ergens in Nederland om ideologische redenen een aanslag te plegen. In deze situatie is het uiteraard zaak voor de diensten om helderheid te krijgen over de omvang van deze groep, de personen die deel uitmaken van de groep, het potentiële doelwit en de beoogde datum van de aanslag etc. Om hier volledig zicht op te krijgen zullen de diensten de beschikking moeten hebben over gegevens omtrent de identiteit van de leden, hun reisbewegingen, de wijze waarop de leden communiceren en de inhoud van deze communicatie en tot slot de financiële mogelijkheden van de groep. Het behoeft geen verdere uitleg wat in een dergelijke situatie de gevolgen kunnen zijn indien de diensten niet beschikken over de mogelijkheden om de benodigde gegevens voorhanden te krijgen. Het gaat derhalve om gegevens die noodzakelijk zijn voor een goede taakuitvoering door de diensten.

EOF

 

Leave a Reply

Your email address will not be published. Required fields are marked *