Tientallen juristen hebben AIVD en MIVD in dienst om te kunnen voldoen aan de wettelijke vereisten. En ze moeten er nog een tandje bijzetten, blijkt uit een rapport van toezichthouder CTIVD over internationale samenwerking, getoetst aan de oude Wiv 2002. De CTIVD werkte samen met toezichthouders van België, Denemarken, Noorwegen en Zwitserland. De landen komen later dit voorjaar met een gezamenlijk rapport.

Al maanden bekend

Brisante aan dit verhaal: de publicatie van het rapport volgde afgelopen donderdag terwijl ministers van Binnenlandse Zaken Kajsa Ollongren (D66) en van Defensie Ank Bijleveld (CDA) nog ruim voor het referendum over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) van de conclusies op de hoogte waren. Op 7 februari 2018 is het rapport vastgesteld en in de weken ervoor met hen besproken.

De conclusies van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) hadden een argument in het voordeel van de tegenstanders van de Wiv kunnen zijn bij het referendum.

Immers, bij de huidige internationale uitwisseling van informatie over vermeende jihadisten door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) is de privacy onvoldoende in het oog gehouden. Er zijn aanvullende grensoverschrijdende waarborgen nodig, ofschoon de bestaande uitvoeringspraktijk van de kant van de AIVD ‘grotendeels’ legaal is.

Er is sprake van twee ‘structurele onrechtmatigheden: het niet maken van een risicoweging voorafgaande aan de samenwerking en het niet duiden van de betrouwbaarheid van door de AIVD verstrekte persoonsgegevens.’ Dus is er een groot risico dat er personen in de databank staan die er niet in horen: wie voor de ene regering, bijvoorbeeld de Slowaakse, een mogelijke terrorist kan zijn, voldoet wellicht niet aan gemeenschappelijke criteria. Maar die zijn er niet.

Normaliter halen de rapporten van de CTIVD niet of nauwelijks publiciteit, maar gezien het referendum was dat zeker anders geweest met dit rapport. Zie bijvoorbeeld ook de opvattingen van de experts van Netkwesties, waarbij buitenlandse data-uitwisseling regelmatig wordt genoemd als bezwaarlijk gezien de waarborgen. En ook in het artikel van Egbert Dommering over de gevolgen van het referendum eergisteren krijgt deze uitwisseling een accent.

De CTIVD bevestigt dat Ollongren eerder op de hoogte was, maar publicatie stuitte volgens Ollongren op bezwaren van andere landen die door de kritiek ook geraakt worden. Ze had uiteraard geen belang bij snelle publicatie

CTIVD steunde Wiv 2017

Maar de CTIVD zelf ook niet. Immers, na aanvankelijke kritiek op de Wiv 2017 kwam de toezichthouder eind februari tot de conclusie dat de Wiv 2017 een ‘juiste balans’ treft tussen veiligheid en privacy.

Dat zou het gevolg zijn wijzigingen die de Tweede en Eerste Kamer hadden bewerkstelligd, plus een brief van minister Ollongren van eind december 2017 met nadere regels voor de uitvoering van de Wiv 2017. Maar die aanpassingen waren substantieel noch concreet Dus zei de CTIVD er ook bij dat de praktijk moest uitwijzen of die theoretische balans van de nieuwe Wiv ook operationeel bereikt zal worden.

Nu stelde de CTIVD dat de diensten wel sleepnetten gaan uitwerpen, maar met 98 procent vernietiging van informatie die in data-analyse niet zullen gebruiken. Ofschoon ook 2 procent van verzameling van bulkdata nog heel veel is. De CTIVD stelt dat de diensten na selectie uitsluitend ‘relevante’ informatie zullen gebruiken, dus dan is het goed. Dat kun je echter nu niet vaststellen, want we kunnen het proces van het inlichtingenwerk niet volgen. De trechter van bulk naar ‘relevant’ bevat altijd lange tijd ‘irrelevante informatie’ over ‘onschuldige burgers’.

Maakt het dan veel uit of je in aanvang een ‘sleepnet’ hanteert of niet? Idem dito voor ‘databeperking’ door de diensten die is toegezegd en waar de CTIVD veel waarde aan hecht: schone theorie. Natuurlijk beperkt elke onderzoeker zo snel mogelijk de hoeveelheid data, maar hij bewaart wat hij vermoedt wellicht nog nodig te hebben.

Buitenlandse uitwisseling

Over het hacken laat de CTIVD zich in oordeel over de Wiv 2017 niet uit, wel over buitenlandse uitwisseling van data. Dat is gezien het rapport van afgelopen week boeiend. De CTIVD was in haar oordeel over de Wiv 2017 tevreden met de belofte van minister Ollongren dat de ‘wegingsnotities m.b.t. de meest hechte samenwerkingsrelaties van de AIVD en de MIVD reeds vastgesteld zullen zijn. Hieronder worden begrepen de buitenlandse diensten die deelnemen aan de Counter Terrorism Group (CTG) en diensten waarmee op het terrein van Sigint intensief wordt samengewerkt.’

De ‘wegingsnotities’ maken beoordeling mogelijk door de CTIVD van de landen waarmee data worden uitgewisseld. Ook verneemt de CTIVD ‘terstond’ de ministeriële toestemming aan de AIVD of de MIVD voor de verstrekking aan een buitenlandse dienst van bulkdata uit het sleepnet op de kabel. Dit maakt volgens de CTIVD ‘e?ectief toezicht’ mogelijk, dat wil zeggen toetsing van die toestemming.

Terug naar het ‘toezichtsrapport nr. 56’ over de data-uitwisseling door de AIVD over (vermeende) jihadisten binnen de Counter Terrorism Group (CTG) en Sigint. De CTIVD concludeert dat er te weinig waarborgen voor privacybescherming zijn in het licht van intensieve samenwerking met 30 landen (EU, Noorwegen en Zwitserland).

Vooral binnen Sigint worden grote hoeveelheden (bulk)data uitgewisseld tussen de landen, ofschoon vooral metadata: wie wisselen er met wie berichten uit en bellen elkaar, wanneer en hoe lang. Maar details van deze Sigint-samenwerking zet de CTIVD alleen in een geheim rapport en krijgen we niet te lezen.

Samenwerking met Turkije

De CTG maakt gebruik van een gezamenlijk operationeel platform van vertegenwoordigers van de diensten die in Nederland periodiek bijeenkomen. En van een database met geëvalueerde persoonsgegevens, door de AIVD ontwikkeld en in Nederland beheerd. De dertig landen moeten van de CTIVD afspraken voor toezicht maken, want het heffen van het Nederlandse vingertje heeft geen invloed op de data van Hongarije, Polen en Slowakije. Gemeenschappelijke regels ontbreken. In hoeverre personen terecht in de database staan met al hun data, en hoe lang ze erin moeten blijven is nu ongewis.

Alle onderzochte persoonsgegevens die door de AIVD in de periode van begin 2015 tot medio 2017 zijn uitgewisseld over personen die in Irak/Syrië waren, voldeden aan de wettelijke vereisten van noodzakelijkheid, proportionaliteit en zorgvuldigheid. Dat zegt de CTIVD althans te hebben kunnen vaststellen, en dat lijkt een hele klus: hoe doe je dat?

Daarover staat iets in de bijlage onderzoeksmethodiek. Die is gehanteerd in de onderzoeksperiode van februari  2015 tot juni 2017. Er zijn veel overeenkomsten en afspraken doorgenomen door de CTIVD, maar ook dit is bekeken: ‘Multilateraal uitgewisselde persoonsgegevens, die zijn opgenomen in targetlijsten, de CTG database, andere gedeelde databestanden, verslagen van (operationele) bijeenkomsten of gesprekken, telexen et cetera. Dit onderzoek heeft steekproefsgewijs plaatsgevonden.’

Dus betrof niet alle data door de AIVD ingebracht. Om hoeveel verdachten in de databank het precies gaat, vertelt de CTIVD ook niet. Belangrijke details blijven geheim. Wel staat er boeiende aanwijzingen in het rapport, bijvoorbeeld over samenwerking met Turkije:

‘Nederland is verder drie jaar actief geweest als co-voorzitter, samen met Turkije, van de Foreign Terrorist Fighter werkgroep. In deze werkgroep wordt met name aandacht besteed aan de informatie-uitwisseling tussen internationale organisaties, zoals Interpol, en overheden, samenwerking met landen in de regio en de geïntegreerde aanpak van terugkeerders.’

Ook doet Nederland mee aan een Europese ‘kopgroep’ voor Jihadbestrijding, met België, Frankrijk, Zweden, Denemarken, Italië, Spanje, Engeland, Duitsland en Ierland. Doel is informatie uit te wisselen over uitreizigers naar IS-gebied en terugkeerders.

Nederlandse aansprakelijkheid

Voor het jongste rapport liet de CTIVD ondermeer een ‘deskundigenbericht’ over de juridische aspecten van internationale uitwisseling van data opstellen door de hoogleraren Nico van Eijk van de UvA en Cedric Ryngaert van Universiteit Utrecht. Uit de bijlage met het bondige advies:

‘Uit de relevante rechtspraak van het EHRM blijkt echter dat het staten verboden is een internationale samenwerkingsconstructie zo op te zetten dat individuen het kind van de rekening worden. Om de mensenrechten afdoende te waarborgen dient de internationale samenwerkingsconstructie te voorzien in rechtsbescherming die op zijn minst equivalent is aan de bescherming die normaal wordt geboden door het EVRM.’

Nederland heeft een extra verantwoordelijkheid met de CTG-databank omdat de servers van het samenwerkingsverband hier worden beheerd: ‘Een en ander betekent dat inbreuken die betrekking hebben op gegevens die opgeslagen worden in een database die zich op Nederlands grondgebied bevindt, in beginsel binnen de Nederlandse rechtsmacht vallen.’

Nog een stap verder: De vraag is met andere woorden of Nederland, als potentiële beheerder, verantwoordelijk kan worden gehouden voor de kwaliteit van de door de deelnemende staten aangeleverde gegevens. In beginsel vallen de individuen op wie de gegevens betrekking hebben, niet binnen de rechtsmacht omdat Nederland geen controle over hen uitoefent.

Maar Nederland faciliteert de mogelijk illegale data-inbreng technisch. ‘Om verantwoordelijkheid te voorkomen dient Nederland, als beheerder van de database, het uploaden van gegevens door een staat te weigeren wanneer deze kennelijk op onrechtmatige wijze vergaard zijn, of althans dient Nederland zich te onthouden van verdere verwerking of gebruik van deze gegevens in het nationale inlichtingenwerk.’

Kortom, nogal een onthulling: Nederland moet de legitimiteit van alle datavergaring van de CTG controleren. Om er maar in, minister Ollongren…