De CTIVD die toeziet op de inlichtingendiensten heeft onderzoek verricht naar de inzet van kabelinterceptie door de AIVD en de  MIVD. Het gaat hier om toepassing van de zogenoemde sleepwet, waarbij ook data worden verzameld van personen die nergens van worden verdacht. Dergelijk onderzoek gebeurt deels onrechtmatig.

Het onderzoek gaat over de inzet van kabelinterceptie en daaraan gerelateerde bevoegdheden door de AIVD en de MIVD in de periode tussen 1 mei 2018 en 31 maart 2021. In deze periode hebben de diensten de nieuwe bevoegdheid tot kabelinterceptie en daaraan gerelateerde bevoegdheden ingezet. Dit betrof echter niet de reguliere inzet van kabelinterceptie zoals de wetgever heeft beoogd. De interceptie had in deze periode tot doel de mogelijke inlichtingenwaarde van de geïntercepteerde gegevens te onderzoeken om de reguliere toestemming voor kabelinterceptie voldoende te kunnen motiveren. De diensten hebben aan de hand van de geïntercepteerde gegevens dus geen onderzoek gedaan naar specifieke personen of organisaties.

Wettelijke zorgplicht ondergeschikt
De CTIVD concludeert dat de diensten in de onderzochte periode op belangrijke onderdelen rechtmatig hebben gehandeld, maar dat onvoldoende invulling is gegeven aan de wettelijke zorgplicht. In de onderzochte periode was naleving van de zorgplicht ondergeschikt aan operationele belangen. Mede als gevolg hiervan zijn onrechtmatigheden ontstaan of te laat door de diensten opgemerkt. Gelet op de bevindingen is door de CTIVD besloten verscherpt toezicht te houden op de verdere uitvoering van kabelinterceptie. Daarnaast constateert de CTIVD knelpunten tussen de wet, de wetsuitleg en uitvoering in de praktijk.

Achtergrond
Ongeveer vier jaar geleden werd het raadgevend referendum over de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv 2017) gehouden. Een kleine meerderheid stemde destijds tegen de wet. In deze wet werd de nieuwe bevoegdheid van kabelinterceptie geïntroduceerd. In het maatschappelijk debat is deze bevoegdheid vergeleken met een sleepnet. Dat beeld hing samen met de aard van de bevoegdheid van kabelinterceptie. Deze maakt het mogelijk dat de diensten op grote schaal communicatie van de kabel (zoals internetverkeer) verzamelen, waarbij het merendeel van deze gegevens betrekking heeft op personen en/of organisaties die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. Daarom wordt deze interceptievorm ook wel aangeduid als bulkinterceptie. Deze bevoegdheid maakt een grote inbreuk op de persoonlijke levenssfeer van burgers, wat naast de maatschappelijke discussie mede aanleiding was voor het onderzoek van de CTIVD.

Snapshotten
De kabelinterceptie vond in de onderzochte periode plaats in de vorm van het zogenoemde snapshotten. Dat is het uitvoeren van kortstondige integrale kabelinterceptie van bepaalde gegevensstromen. Doel van deze vorm van kabelinterceptie is het vervolgens onderzoeken van de geïntercepteerde gegevens op potentiële inlichtingenwaarde. De interceptie had dan ook niet als doel de gegevens te gebruiken voor (inlichtingen)onderzoeken naar specifieke personen of organisaties. Naast de waarborgen uit de Wiv 2017 waren in de door de CTIVD onderzochte periode aanvullende waarborgen van toepassing op de uitvoering van kabelinterceptie. Bijvoorbeeld dat de interceptie slechts voor een bepaalde duur op een beperkt aantal van tevoren omschreven kanalen kon plaatsvinden en dat de geïntercepteerde gegevens voor een beperkte groep personen binnen de diensten toegankelijk waren. De CTIVD heeft de naleving van deze waarborgen in haar onderzoek betrokken en rapporteert daarover.

Bevindingen onderzoek
De CTIVD concludeert dat de diensten op belangrijke onderdelen rechtmatig hebben gehandeld bij de uitvoering van kabelinterceptie. Dat betekent dat zij hebben gehandeld in overeenstemming met de Wiv 2017 en de aanvullende waarborgen. Zij hebben echter ook onrechtmatig gehandeld. De onrechtmatigheden die de CTIVD heeft geconstateerd, komen grotendeels voort uit het ontbreken van interne controles. Dit had mede tot gevolg dat onrechtmatigheden te laat door de diensten zijn gedetecteerd. De belangrijkste conclusie van het toezichtsrapport is daarom dat onvoldoende invulling is gegeven aan de wettelijke zorgplicht. Deze plicht houdt onder meer in dat voortdurend controle wordt uitgeoefend op de wijze waarop de diensten gegevens verwerken, en dat de gegevensverwerking in overeenstemming is en blijft met de wet. Gelet op de aard van de bevoegdheid van kabelinterceptie en het feit dat de CTIVD in eerdere rapporten soortgelijke conclusies heeft getrokken ten aanzien van de zorgplicht, houdt de CTIVD verscherpt toezicht op de verdere uitvoering van kabelinterceptie.

Verscherpt toezicht
Ter versterking van de interne controle hebben de diensten in 2021 een gezamenlijk verbeterplan opgesteld. De CTIVD houdt verscherpt toezicht op de implementatie van de daarin genoemde maatregelen. Dit houdt in dat de CTIVD ook na het afronden van haar onderzoek doorlopend toezicht heeft gehouden en zal houden op de uitvoering van kabelinterceptie en dat zij dit toezicht zal blijven uitoefenen. Het uitgangspunt daarbij is het voeren van een dialoog met de diensten, zodat (een risico op) onrechtmatig handelen reeds in een vroeg stadium onderkend kan worden.

Aanbevelingen aan wetgever
Gedurende het onderzoek heeft de CTIVD geconstateerd dat de wet, de wetsuitleg en uitvoering in de praktijk op meerdere punten niet goed met elkaar in overeenstemming zijn. Dit heeft gevolgen voor de uitvoering van kabelinterceptie. In het toezichtsrapport doet de CTIVD daarom een aantal aanbevelingen aan de wetgever, waaronder de aanbeveling de activiteit van snapshotten te voorzien van een aparte wettelijke grondslag en in de wetstoelichting te voorzien in een betere uitleg over de betekenis van het begrip gerichtheid bij kabelinterceptie. Deze uitleg dient recht te doen aan de het feit dat kabelinterceptie per definitie een bulkbevoegdheid is met een grote mate van ongerichtheid bij het verzamelen van gegevens. Deze mate van ongerichtheid is van belang als het gaat om het onderkennen van ongekende (cyber)dreigingen.
De aanbevelingen uit het toezichtsrapport worden betrokken bij het voorstel voor een tijdelijke wet die de diensten in staat moet stellen bestaande bevoegdheden, in onderzoeken gericht op landen met een offensief cyberprogramma tegen Nederland en Nederlandse belangen, effectiever en sneller in te zetten. Het wetsvoorstel is erop gericht om de operationele slagkracht van de diensten te vergroten. De CTIVD acht het daarbij van belang dat wordt voorzien in sterkere waarborgen in de fase waarin gegevens worden verwerkt en de inbreuk op fundamentele rechten het grootst is.