Hey, de uploader is er ook nog!

Toezichthouder oordeelt over het delen van ongeëvalueerde gegevens met buitenlandse diensten

Wanneer mag de overheid onbekende kwetsbaarheden geheim houden?
DOSSIER: Geheime diensten

Alweer een kritisch rapport van de toezichthouder op de geheime diensten. Dit keer stelde zij de vraag of de geheime diensten zich aan de wet hebben gehouden bij het verstrekken van ongeëvalueerde gegevens aan buitenlandse diensten. Het korte antwoord is 'nee'.

Het lange antwoord is dat zij maar liefst tien verschillende onrechtmatigheden heeft geconstateerdToezichtsrapport nr. 65 over het verstrekken van ongeëvalueerde gegevens aan buitenlandse diensten door de AIVD en de MIVD. Wij maakten ons al grote zorgen over deze bevoegdheid en de onvoldoende waarborgen in de wet. De toezichthouder beschrijft hoe de geheime diensten zich niet eens aan deze wet houden. De belangrijkste:

Wanneer zijn gegevens (on)geëvalueerd?

Een vrij fundamentele vraag voor deze bevoegdheid is wanneer gegevens 'ongeëvalueerd' zijn en wanneer zij als 'geëvalueerd' worden gezien. Ook voor de uitvoering van de bevoegdheid maakt het verschil, omdat de minister toestemming moet geven bij iedere verstrekking van ongeëvalueerde gegevens. Bij het evalueren van gegevens moeten de diensten kijken naar de aard en de inhoud ervan. In het beleid van de diensten gaat het hier mis, omdat daar verwezen wordt naar de veel abstractere beoordeling op relevantie. Zo heeft de MIVD gegevens aan een buitenlandse dienst gegeven zonder de vereiste toestemming van de minister, omdat die gegevens voor de buitenlandse dienst relevant waren. Dat is natuurlijk niet hoe de waarborg werkt, en de toezichthouder is het dan ook oneens met deze redenering.

De wettelijke grondslag

Het beleid van de geheime diensten over de wettelijke grondslag op basis waarvan een verstrekking mag plaatsvinden en welke voorwaarden daarvoor gelden is slecht uitgewerkt: Het verschil tussen verschillende grondslagen wordt niet weergegeven, er is niet opgenomen dat er moet worden ingegaan op de wegingsnotities over de buitenlandse dienst, de toetsing aan de vereisten van noodzakelijkheid, behoorlijkheid en zorgvuldigheid ontbreken en bij twee grondslagen missen de aanvullende vereisten.

In de vereiste wegingsnotities wordt een inschatting gemaakt van hoe veilig het is om gegevens met de buitenlandse dienst te delen. Hier worden ook bepaalde risico's die bestaan in het delen van gegevens met dit land beschreven. Wanneer de diensten ongeëvalueerde gegevens willen delen met een land waar risico's van bekend zijn moeten de risico's en wat de diensten doen om deze te beperken vermeld worden in het verzoek om toestemming. Volgens de toezichthouder is dit vier maal niet gebeurd, terwijl daar wel reden voor was. Deze tekortkoming is van groot belang voor het functioneren van de toestemming van de minister als waarborg. Immers, hoe kan de minister een verzoek goed in overweging nemen als zij niet op de hoogte wordt gesteld van de risico's die ermee gepaard gaan?

Toestemming van de minister

Een andere manier waarop de toestemming van de minister aan kracht inboet, is als de diensten het simpelweg niet doen. De AIVD heeft dat in drie samenwerkingsverbanden nagelaten. Zo heeft zij onterecht gegevens als geëvalueerd geclassificeerd, waardoor een verstrekking zonder toestemming kan plaatsvinden. Daarnaast werd een verstrekking onterecht niet van afzonderlijke toestemming voorzien, maar als onderdeel van een grotere verstrekking onder een gegeven toestemming geschaard. En werd er geen toestemming gevraagd omdat er op dat moment nog geen wegingsnotitie bestond waarin de andere dienst als risicodienst werd aangemerkt. De toezichthouder oordeelt dat het ontbreken van de toestemming in deze gevallen onrechtmatig is.

Waarborgen bij de verstrekking

Een belangrijke waarborg bij het verstrekken van gegevens aan een buitenlandse dienst is de voorwaarde dat die dienst de gegevens niet verder door mag geven. Deze waarborg, die in de wet verplicht wordt gesteld, heeft de AIVD niet opgenomen in haar beleid. Beide diensten laten het na om structureel deze voorwaarde te stellen bij het verstrekken van gegevens aan buitenlandse diensten. Volgens de toezichthouder voldoen de overeenkomsten met andere landen waar de diensten de praktijk nu op baseren niet. Sommige hiervan stammen nog uit de sixties, zien niet op de betreffende verstrekking, zijn nog in conceptvorm, of bestaan slechts met één land terwijl de verstrekking aan meerdere landen plaatsvindt. Bovendien heeft de toezichthouder de afspraken niet kunnen vinden en zijn de diensten niet in staat aan te geven waar zij zijn vastgelegd.

De diensten hebben meerdere keren gegevens verstrekt zonder deze voorwaarde te stellen. Volgens de toezichthouder heeft de AIVD dit een drietal keer nagelaten terwijl in de wegingsnotitie over die buitenlandse dienst risico's staan beschreven die daar wel degelijk om vroegen.

In het beleid van beide diensten mist een regeling over voorafgaande filtering van de gegevens op Nederlandse kenmerken of kenmerken van verschoningsgerechtigden als advocaten en journalisten, om ervoor te zorgen dat er geen gevoelige gegevens tussen zitten. De toezichthouder noemt de gevallen waarin de diensten zich in de praktijk wel aan de regels houden een uitzondering. In het algemeen vindt er bij de uitwisseling van ongeëvalueerde gegevens dus geen afweging plaats of er vooraf moet worden gefilterd op Nederlandse kenmerken of kenmerken van advocaten of journalisten.

Registreren en melden

Om controle mogelijk te maken hebben de diensten de plicht om te registreren wat ze doen, en dus ook welke gegevens aan buitenlandse diensten worden gegeven. Doordat er op verschillende niveau wordt bijgehouden wat er precies gebeurt is er nergens een sluitend overzicht van de gegevens die met buitenlandse diensten zijn gedeeld. Ook hier schrijft de toezichthouder dat de wettelijke plicht niet of onvoldoende wordt nageleefd.

Elke keer dat de geheime diensten ongeëvalueerde gegevens aan buitenlandse diensten geven moeten zij de toezichthouder daarvan op de hoogte brengen. De AIVD heeft dit vijf maal nagelaten voor gegevens die zij met toestemming van de minister heeft gedeeld. Daarnaast heeft zij drie keer ten onrechte geen toestemming aan de minister gevraagd voor een verstrekking. Ook die keren heeft de dienst dit niet aan de toezichthouder doorgegeven.

Conclusie

De verstrekking van ongeëvalueerde gegevens aan buitenlandse diensten is één van de punten in de wet waar wij ons de grootste zorgen om maken. We vinden het onverantwoord dat onze geheime diensten in bulk gegevens mogen verzamelen, en deze met buitenlandse diensten mogen delen zonder eerst goed te kijken naar wat voor gegevens dat zijn. Hoe kun je nu een goede inschatting maken van de risico's als je niet eerst zelf naar de gegevens kijkt? Hoe kun je nu met droge ogen aan de burgers verkopen dat er voldoende waarborgen zijn wanneer je niet eens kunt inschatten hoe groot de inbreuk is die je met de verstrekking maakt? Met dit rapport zijn daar alleen maar meer zorgen en vragen bijgekomen. Hoe goed kan een toezichthouder zijn werk nog doen als de diensten zich niet houden aan hun plicht om te registreren en te melden? Hoe kan de ministeriële toestemming een waarborg vormen als er simpelweg niet om wordt gevraagd? Hoe kunnen we de waarborgen in de wet nog serieus nemen als ze toch niet worden nageleefd?

Het Wijzigingsvoorstel van de sleepwet moet nog door de Kamer. Wij roepen de parlementariërs op om met de alarmerende kritiek van de toezichthouder voor ogen nog eens kritisch naar het voorstel te kijken en zich te laten horen voor de bescherming van onze privacy en communicatievrijheid.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.