De CTIVD, die toeziet op het functioneren van de inlichtingendiensten, stelt in haar tweede voortgangsrapportage vast dat de AIVD en de MIVD de achterstand bij de invoering van de Wiv 2017 voor een deel hebben ingelopen. Maar er is volgens de toezichthouder nog veel werk te verzetten.

De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) stelt dat de AIVD en MIVD hard hebben gewerkt aan de invoering van wettelijke waarborgen voor de rechtsbescherming van de burger en zijn doordrongen van de noodzaak van interne controle op de naleving van de wet. De meeste hoge risico’s voor onrechtmatig handelen uit de eerste voortgangsrapportage van de CTIVD (december 2018) zijn door de beide diensten teruggebracht naar gemiddelde of beperkte risico’s.

Geen eenvoudige opgave
De Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is op 1 mei 2018 in werking getreden. Dat betekent dat de AIVD en de MIVD vanaf die datum moeten voldoen aan de eisen die de wet stelt. Het invoeren van de Wiv 2017 is geen eenvoudige opgave voor de diensten. Het is veelomvattend en vereist vaak een integrale aanpassing van het interne beleid, de werkprocessen en de technische systemen van de diensten. Er is en er wordt nog steeds veel werk verzet om enerzijds de nieuwe bevoegdheden die de wet biedt te operationaliseren en anderzijds de in de wet opgenomen waarborgen voor de rechtsbescherming van de burger in de toepassing van die bevoegdheden hun vaste plaats te geven.

Achterstand
In december 2018 publiceerde de CTIVD haar eerste voortgangsrapportage over de invoering van de Wiv 2017. Het algemeen beeld dat daaruit naar voren kwam, was dat de AIVD en de MIVD nog fundamentele stappen moesten zetten bij de invoering van essentiële onderdelen van de nieuwe wet. Er was sprake van een achterstand en op onderdelen hoge risico’s voor onrechtmatig handelen bij beide diensten. De AIVD en de MIVD dienden op korte termijn binnen hun organisaties concrete stappen te zetten om in de praktijk te waarborgen dat aan de eisen uit de Wiv 2017 wordt voldaan. De CTIVD heeft de voortgang op de voet gevolgd en rapporteert hierover in deze tweede voortgangsrapportage.

Zo min mogelijk inbreuken
De achterstand bij de invoering van wettelijke en toegezegde waarborgen die de burger beogen te beschermen is voor een deel ingelopen. Het gaat onder meer om de verplichtingen gegevens ‘zo gericht mogelijk’ te verzamelen en te verwerken en de verzamelde gegevens te reduceren tot uitsluitend die gegevens die relevant zijn voor de taakuitvoering van de beide diensten. Niet relevante gegevens moeten zo snel mogelijk vernietigd worden. Dit om te waarborgen dat zo min mogelijk inbreuken plaatsvinden op de persoonlijke levenssfeer van burgers op wie de inzet van de bevoegdheid niet is gericht, maar van wie de gegevens wel zijn opgeslagen.

Beleid en werkinstructies
Het vereiste dat gegevens ‘zo gericht mogelijk’ worden verzameld en verwerkt, is door de beide diensten uitgewerkt in beleid en werkinstructies. Op enkele onderdelen moet dit nog aangevuld worden. Zo ontbreken nog concrete handvatten voor het zo gericht mogelijk filteren van gegevens die in bulk worden verzameld. Dit is van belang omdat aan de hand van filters (samengesteld op basis van taal, locatie, soort communicatie etc.) bij de verwerving wordt bepaald welke gegevens in bulk worden opgeslagen en welke niet. Ook ontbreken nog beleid en werkinstructies voor het zo gericht mogelijk analyseren van onderschepte metadata. De AIVD heeft de permanente verplichting de verzamelde gegevens op relevantie te beoordelen en niet relevante gegevens te vernietigen grotendeels ingevoerd. Voor de MIVD is deze plicht tot datareductie nog werk in uitvoering, mede vanwege de beperkte ondersteunende ICTinfrastructuur van de MIVD.

Wettelijke zorgplicht
De AIVD en de MIVD zijn inmiddels doordrongen van de noodzaak van interne controle op de rechtmatigheid en kwaliteit van de gegevensverwerking (wettelijke zorgplicht). Zij hebben beide beleid vastgesteld en instrumenten voor interne controle ingesteld, waaronder risicoanalyses en audits. De AIVD heeft deze instrumenten ook in de praktijk gebracht. Zo zijn enkele risicoanalyses en audits verricht om intern te controleren of bepaalde bevoegdheden conform de wet worden uitgeoefend en of de verplichtingen die de wet daarbij stelt worden nageleefd. De AIVD heeft daarmee in korte tijd aanzienlijke voortgang geboekt met de invoering van deze wettelijke plicht. Bij de MIVD zijn de genoemde instrumenten nog niet in de praktijk toegepast. Het is van belang dat dit op korte termijn gebeurt. Voor de beide diensten geldt dat interne controlemechanismen nog op tal van onderwerpen ontwikkeld moeten worden, bijvoorbeeld controle op de werking van filters en op het gebruik van algoritmen. Een doorlopende interne controle is noodzakelijk zodat de diensten zelf zicht hebben op de naleving van de wet. Het is bovendien van belang voor het effectief kunnen uitoefenen van extern toezicht door de CTIVD.

Risico’s voor geautomatiseerde data-analyse
De CTIVD constateert hoge risico’s op onrechtmatig handelen bij de toepassing van geautomatiseerde data-analyse door de AIVD en de MIVD. Dit is een wettelijke algemene bevoegdheid van de diensten waarvoor geen toestemming van de minister of toetsing door de TIB is vereist. Geautomatiseerde data-analyse omvat een breed palet aan activiteiten van de diensten, variërend van simpele zoekslagen naar persoonsgegevens tot complexe analysetechnieken zoals profiling. Ook data-analyse die niet op personen is gericht, zoals big data-analyse, kan hieronder begrepen worden. Geautomatiseerde data-analyse is aan wettelijke voorschriften gebonden. Het is noodzakelijk dat de AIVD en de MIVD nadere interne regels stellen voor het gebruik hiervan in het inlichtingenproces en dat zij de werking van technieken die daarbij worden toegepast controleren. Dit is nog onvoldoende aan de orde.
De CTIVD brengt eind 2019 nog een derde voortgangsrapportage uit. De AIVD en MIVD zeggen ernaar te streven tegen die tijd nog meer risico’s te hebben weggewerkt. De toezichthouder wil in mei 2020 het eindrapport met conclusies over de implementatie van de Wiv uitbrengen.