Eind vorig jaar bracht toezichthouder CTIVD een rapportage uit met een heldere conclusie: er was sprake van een hoog risico op onrechtmatig handelen door beide diensten. Dit kwam doordat er geen beleid, werkprocessen of -instructies waren waarin beschreven werd hoe verzamelde gegevens 'zo gericht mogelijk' moesten worden gefilterd. Nu heeft de CTIVD onderzocht of zich daadwerkelijk onrechtmatigheden hebben voorgedaan. De conclusie van het nieuwe rapport is niet mals. Doordat de geheime diensten de filters bij het sleepnet niet zo gericht mogelijk toepassen, bestaan er onvoldoende waarborgen om ervoor te zorgen dat de interceptie 'onderzoeksopdrachtgericht' is, en niet ongericht.

Zo gericht mogelijk

Eén van de grootste zorgen over de wet is altijd geweest dat het sleepnet veel gegevens van onschuldige burgers zou binnenhalen. De uitslag van het referendum, waarin een meerderheid van de stemmers zich uitsprak tegen de wet, leidde tot een aantal aanpassingen. Eén daarvan is dat het criterium "zo gericht mogelijk" in de wet zou worden opgenomenLees hier wat wij eerder schreven over deze aanpassingen. Met de introductie van dit criterium zou er tegemoet gekomen worden aan de zorgen van de burgers. Bij het sleepnet zou dit criterium het verschil moeten maken tussen 'onderzoeksgerichte' en ongerichte interceptie. Verzamelde gegevens moeten zo gericht mogelijk op relevantie worden gefilterd. Het is dus van groot belang dat dit goed gebeurt. Uit het onderzoek van toezichthouder CTIVDHier vind je het rapport van de toezichthouder blijkt nu dat "...filteren weliswaar in de praktijk plaatsvindt, maar voornamelijk om capacitaire en technische redenen." Niet om onze privacy te beschermen. Dit leidt tot andere resultaten dan wanneer privacy wél zwaar weegt. Daarmee wordt het privacybelang onvoldoende behartigd.

Procesbeschrijvingen en werkinstructies ontbreken

De toezichthouder wilde graag het beleid, de procesbeschrijvingen en de werkinstructies, die de geheime diensten over het sleepnet en de 'zo gericht mogelijke' toepassing van filters hadden, onderzoeken. Wat betreft de procesbeschrijvingen en de werkinstructies kon de toezichthouder, en wij dus ook, kort zijn: die waren er niet. Aan het beleid dat er wel was maakte de toezichthouder overigens ook weinig woorden vuil: "Het wel aanwezige beleid bood te weinig houvast om te kunnen dienen als kader voor het rechtmatig uitoefenen van de bevoegdheid tot OOG-interceptie."

Tijdens het onderzoek constateerde de toezichthouder zelfs dat sommige medewerkers van de diensten die op cruciale posities in het proces van interceptie en filtering zaten niet altijd goed op de hoogte waren van de wettelijke kaders waar zij binnen moeten werken.

Wel hebben de diensten laten weten dat er verdere uitwerking zal plaatsvinden in nog op te stellen werkinstructies. Wij kijken er naar uit.

Onderzoeksopdrachtgewatte?

Onderzoeksopdrachtgerichte interceptie, het is altijd een vaag begrip gebleven. We hebben veel vragen gesteld en discussies gevoerd over wat er nu precies de grenzen van zijn en wat nu het verschil is tussen onderzoeksopdrachtgericht, en ongericht. Het verschil zou zitten in de waarborgen die ervoor zorgen dat er bij onderzoeksopdrachtgerichte interceptie zo gericht mogelijke filtering plaatsvindt. Uit het rapport van de toezichthouder blijkt nu dat het vereiste dat de interceptie 'zo gericht mogelijk' moet zijn, tijdens de onderzoeksperiode in het filterproces geen uitwerking heeft gekregen. Dit betekent dat in de onderzoeksperiode nog onvoldoende waarborgen bestonden om ervoor te zorgen dat de interceptie daadwerkelijk onderzoeksopdrachtgericht en niet ongericht was." Wat het verschil ook is, de diensten hebben het dus niet in de praktijk gebracht. Einde discussie.

Feedback

Voor een goed filterproces is het daarnaast belangrijk dat er feedback komt op de informatie die gefilterd wordt. Wordt er doorgelaten wat er inderdaad doorheen moet? En wordt eruit gevist wat eruit gevist moet worden? Uit het onderzoek van de toezichthouder blijkt dat de onderdelen van de diensten die de interceptie uitvoeren, geen goede feedback terugkrijgen van de onderdelen die uiteindelijk met de informatie werken. Hierdoor is het voor hen niet mogelijk de filters beter in te stellen. Om aan het criterium 'zo gericht mogelijk' te kunnen voldoen is het nodig de filters zo precies mogelijk af te stemmen. Daarvoor is deze feedback van groot belang.

Toezicht

De diensten blijken in veel gevallen geen overzicht te hebben van de systemen die zij hebben gebruikt en de processen die zijn gevolgd. De zorgplicht die de diensten hebben om op een juiste manier gegevens te verwerken verplicht hen om intern controle uit te oefenen op de praktijk van gegevensverwerking. Omdat dit niet structureel plaatsvond, vindt de toezichthouder dat de mogelijkheid van effectief toezicht onvoldoende is gewaarborgd.

Onrechtmatigheden in de praktijk

De diensten onderscheppen communicatie op verschillende kanalen. Die werken allemaal een beetje anders en dus is het proces van filtering ook een beetje anders. De toezichthouder heeft de verschillende manieren onderzocht.

Communicatie uit radioverkeer wordt vooral gebruikt door overheden, diplomatieke instellingen en militaire organisaties. Er gaat dus weinig communicatie van burgers overheen, maar best wat inhoudelijke communicatie die gevoelig kan zijn. Over interceptie van deze vorm van communicatie zegt de toezichthouder dat de toepassing van filters rechtmatig is. Onrechtmatig is dat de diensten gegevens die niet van belang zijn voor een onderzoek in een aparte omgeving opslaan. Deze gegevens zouden meteen moeten worden vernietigd.

Bij het intercepteren van satellietcommunicatie laat een deel van de verwerkingssystemen alle gegevens van herkende typen gegevens door, waar het de bedoeling is dat er gegevens uit de stroom worden geselecteerd. Al deze gegevens worden door de diensten opgeslagen, zonder dat daarbij wordt uitgelegd waarom deze selectie niet gerichter zou kunnen. Dit is niet 'zo gericht mogelijk' en daarom bestempelt de toezichthouder deze te brede filtering als onrechtmatig.

En dan de interceptie met het sleepnet. Die is in de periode dat de toezichthouder onderzoek deed nog niet ingezet. De toezichthouder kan al wel een eerste oordeel geven, omdat een deel van de plannen om dit in te zetten wel klaar is. Op basis van de plannen kan de toezichthouder al zeggen dat er een aantal dingen mis gaat. Zo maken de diensten onderscheid tussen metadata, zoals wie aan wie een berichtje stuurt en op welk moment, en inhoud, maar gaat dit nog niet helemaal goed. Openbare berichten, zoals berichten op Twitter, worden als metadata gezien terwijl de inhoud van de post natuurlijk als inhoud moet worden gezien. Verder komt dit onderscheid nu niet terug in hoe het verwerkingssysteem is ingesteld, waardoor inhoud als metadata kan worden doorgelaten en opgeslagen. Ook de belofte van de minister om het sleepnet alleen op gegevens die uit het buitenland komen of voor cyber defence in te zetten moet worden verwerkt in beleid, procesbeschrijvingen en werkinstructies. Ook moeten er technische maatregelen genomen worden in de systemen. Tot slot laat het systeem nu alle metadata door die het systeem herkent. Het 'zo gericht mogelijk' criterium vereist dat de diensten verantwoorden waar het doorlaten van de gegevens noodzakelijk is, en waarom het niet verder kan worden beperkt, voordat het sleepnet wordt ingezet.