De CTIVD, die toezicht houdt op de uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), stelt vast dat de AIVD en MIVD de wet beter zijn gaan naleven, maar dat meer wettelijke waarborgen voor rechtsbescherming van de burger nodig zijn. Er zijn nog steeds risico’s dat de diensten onrechtmatig handelen.

De belangrijkste stap die de AIVD en de MIVD moeten (voort)zetten zijn volgens de CTIVD het omzetten van wetgeving en beleid in interne processen, concrete instructies voor medewerkers, technische systemen en adequate interne controlemechanismen. En wel op zo’n manier dat het in de praktijk werkt zoals het hoort te werken en intern en extern controleerbaar is.

Achtergrond
De Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is op 1 mei 2018 in werking getreden. Dat betekent dat de AIVD en de MIVD vanaf die datum moeten voldoen aan de eisen die de wet stelt. Het invoeren van de Wiv 2017 is geen eenvoudige opgave voor de diensten. Het is veelomvattend en vereist vaak een integrale aanpassing van het interne beleid, de werkprocessen en de technische systemen van de diensten. Er is en er wordt door de beide diensten veel werk verzet om enerzijds de nieuwe bevoegdheden die de wet biedt te operationaliseren en anderzijds de in de wet opgenomen waarborgen voor de rechtsbescherming van de burger in de toepassing van die bevoegdheden hun vaste plaats te geven, aldus de toezichthouder.

Fundamentele stappen nodig
In december 2018 publiceerde de CTIVD haar eerste voortgangsrapportage over de invoering van de Wiv 2017. Het algemeen beeld dat daaruit naar voren kwam, was dat de AIVD en de MIVD nog fundamentele stappen moesten zetten bij de invoering van essentiële onderdelen van de nieuwe wet. Er was sprake van een achterstand en op onderdelen hoge risico’s voor onrechtmatig handelen bij beide diensten. In de tweede voortgangsrapportage, die in juni 2019 werd gepubliceerd, constateerde de CTIVD dat de achterstand voor een deel was ingelopen. De AIVD en de MIVD waren er nog niet. Ook de daaropvolgende periode hadden zij nog veel werk te verzetten. De CTIVD heeft de voortgang op de voet gevolgd en rapporteert hierover in deze derde voortgangsrapportage.

Voortgang met betrekking tot de waarborgen
De techniekonafhankelijke formulering van de wet maakt dat de AIVD en de MIVD het nodige moeten doen om de wettelijke waarborgen voor de bescherming van de burger in de praktijk tot uitvoering te brengen. Het gaat onder meer om de verplichtingen in de wet gegevens ‘zo gericht mogelijk’ te verzamelen en te verwerken, en de verzamelde gegevens te reduceren tot uitsluitend die gegevens die relevant zijn voor de taakuitvoering van de beide diensten. Niet relevante gegevens moeten zo snel mogelijk vernietigd worden. Dit om te waarborgen dat zo min mogelijk inbreuken plaatsvinden op de persoonlijke levenssfeer van burgers op wie de inzet van de bevoegdheid niet is gericht, maar van wie de gegevens wel zijn opgeslagen.

Werkwijze aanpassen noodzakelijk
Om invulling te geven aan deze wettelijke waarborgen, is het volgens de CTIVD noodzakelijk dat de diensten hun werkwijze en technische werkomgeving aanpassen. Dit is niet eenvoudig of snel te realiseren. De diensten lopen in de praktijk steeds vaker aan tegen de situatie dat de huidige inrichting van werkprocessen en systemen onvoldoende is toegesneden op de vereisten die de wet stelt. Het aanpassen hiervan is veelomvattend en vraagt ook om een cultuurverandering. De diensten hebben in de afgelopen periode de voortgang dan ook niet met een zelfde stijgende lijn kunnen voortzetten. De risico’s die zijn benoemd in de tweede voortgangsrapportage zijn in deze derde voortgangsrapportage ongewijzigd gebleven.

Onrechtmatigheid
Op één onderdeel constateert de CTIVD dat geen sprake is van een risico, maar van een onrechtmatigheid. Het betreft het relevant beoordelen van een aantal bulkdatasets. De Wiv 2017 biedt hier geen ruimte voor. De CTIVD onderschrijft de operationele belangen om de bulkdatasets te bewaren, met name voor het onderkennen van de ongekende dreiging. Inherent aan deze bulkdatasets is echter dat zij gegevens bevatten waarvan het overgrote deel betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. Deze gegevens hadden volgens de wet vernietigd moeten worden.

Voortgang met betrekking tot interne controle
De AIVD en de MIVD zijn doordrongen van de noodzaak van interne controle op de rechtmatigheid en kwaliteit van de gegevensverwerking (wettelijke zorgplicht). Voor de beide diensten geldt dat hier hard aan wordt gewerkt. Interne controlemechanismen moeten nog op tal van onderwerpen verder ontwikkeld worden. De ICT unit van de CTIVD heeft twee steekproeven verricht, naar de toepassing van datareductie en van geautomatiseerde data-analyse in de praktijk. De steekproeven laten zien dat adequate interne controle nog onvoldoende aan de orde is. Een doorlopende interne controle is noodzakelijk zodat de diensten zelf zicht hebben op de naleving van de wet. Het is bovendien van belang voor het effectief kunnen uitoefenen van extern toezicht door de CTIVD.