Toon items op tag: CTIVD

Op 1 en 2 juli as. wordt Nederland in Genève kritisch onder de loep genomen door het Mensenrechtencomité van de Verenigde Naties. Dit comité is het VN-orgaan dat toezicht houdt op de naleving van één van de oudste en belangrijkste mensenrechtenverdragen ter wereld: het Internationale Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO-verdrag). Periodiek wordt ieder land dat partij is bij dit verdrag door het VN Mensenrechtencomité beoordeeld. Begin volgende week zal de Nederlandse regering zich bij het Comité moeten verantwoorden over diverse actuele privacykwesties die mede door Privacy First zijn geagendeerd.

De laatste Nederlandse sessie bij het VN Mensenrechtencomité dateert uit juli 2009, toen minister van Justitie Ernst Hirsch Ballin zich in Genève moest verantwoorden voor de destijds geplande centrale opslag van ieders vingerafdrukken onder de nieuwe Paspoortwet. Dit kwam de Nederlandse regering destijds op de nodige kritiek van het Comité te staan. Nu, 10 jaar later, is Nederland opnieuw 'aan de beurt'. In dit verband had Privacy First reeds eind 2016 een kritische rapportage (pdf) over Nederland bij het Comité ingediend en dit onlangs met een nieuwe rapportage (pdf) aangevuld. Kort samengevat heeft Privacy First bij het Comité onder meer de volgende actuele kwesties aangekaart:

- beperkte ontvankelijkheid van belangenorganisaties bij collectieve rechtszaken

- grondwettelijk toetsingsverbod

- profiling

- Automatische Nummerplaat Herkenning (ANPR)

- grenscontrole-camerasysteem @MIGO-BORAS

- OV-chipkaart

- digitale zorgcommunicatie (EPD)

- mogelijke herinvoering van telecom-bewaarplicht

- nieuwe wet op de inlichtingen- en veiligheidsdiensten ('Sleepwet')

- PSD2

- Passenger Name Records (PNR)

- afschaffing raadgevend referendum

- verbod op oorlogspropaganda.

De Nederlandse sessie bij het Comité zal op maandagmiddag 1 juli en dinsdagochtend 2 juli as. live te volgen zijn via UN Web TV. Naast diverse privacykwesties hebben meerdere Nederlandse organisaties ook talloze andere mensenrechtenkwesties bij het Comité geagendeerd; klik HIER voor een overzicht, inclusief de door het Comité reeds eerder vastgestelde List of Issues (waaronder de nieuwe wet op de inlichtingen- en veiligheidsdiensten, mogelijke herinvoering van een telecom-bewaarplicht, camerasysteem @MIGO-BORAS en medische privacy bij zorgverzekeraars). De uiteindelijke conclusies ('Concluding Observations') van het Comité volgen waarschijnlijk over enkele weken. Privacy First ziet een kritisch oordeel met vertrouwen tegemoet.

Update 26 juli 2019: gistermiddag heeft het Comité haar oordeel (“Concluding Observations”) over de Nederlandse mensenrechtensituatie gepubliceerd, waaronder de volgende kritische adviezen met betrekking tot twee Nederlandse privacy-kwesties die mede door Privacy First bij het Comité waren aangekaart:

The Intelligence and Security Services Act

The Committee is concerned about the Intelligence and Security Act 2017, which provides intelligence and security services with broad surveillance and interception powers, including bulk data collection. It is particularly concerned that the Act does not seem to provide for a clear definition of bulk data collection for investigation related purpose; clear grounds for extending retention periods for information collected; and effective independent safeguards against bulk data hacking. It is also concerned by the limited practical possibilities for complaining, in the absence of a comprehensive notification regime to the Dutch Oversight Board for the Intelligence and Security Services (CTIVD) (art. 17).
The State party should review the Act with a view to bringing its definitions and the powers and limits on their exercise in line with the Covenant and strengthen the independence and effectiveness of CTIVD and Toetsingscommissie Inzet Bevoegdheden (TIB) that has been established by the Act.

The Market Healthcare Act

The Committee is concerned that the Act to amend the Market Regulation (Healthcare) Act allows health insurance company medical consultants access to individual records in the electronic patient registration without obtaining a prior, informed and specific consent of the insured and that such practice has been carried out by health insurance companies for many years (art. 17).
The State party should require insurance companies to refrain from consulting individual medical records without a consent of the insured and ensure that the Bill requires health insurance companies to obtain a prior and informed consent of the insured to consult their records in the electronic patient registration and provide for an opt-out option for patients that oppose access to their records.

Het Comité uit haar zorgen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of 'Sleepwet') en stelt dat deze wet dient te worden herzien. Het Comité is met name bezorgd over de nieuwe mogelijkheden voor grootschalige interceptie en hacking, de verlenging van bewaartermijnen en de gebrekkige mogelijkheden om klachten in te dienen. Tevens dienen de onafhankelijkheid en effectiviteit van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) te worden versterkt.

Met betrekking tot het (formeel reeds ingetrokken, maar in praktijk gecontinueerde) Wetsvoorstel inzage medische dossiers door zorgverzekeraars oordeelt het Comité dat dergelijke inzage slechts toegestaan is na toestemming van de patiënt. Tevens dient de wetgeving te voorzien in een opt-out voor patiënten die dergelijke inzage niet wensen. De huidige praktijk van inzage van medische dossiers door verzekeraars dient dan ook per direct te worden beëindigd.

Tijdens de sessie in Genève kwamen tevens de Nederlandse afschaffing van het referendum en het camerasysteem @MIGO-BORAS kritisch ter sprake. Privacy First betreurt het dat het Comité deze (evenals diverse andere actuele) onderwerpen in haar eindoordeel onbenoemd laat. Niettemin toont de rapportage van het Comité vandaag aan dat het thema privacy ook bij de Verenigde Naties steeds hoger en kritischer op de agenda staat. Privacy First juicht deze ontwikkeling toe en zal dit de komende jaren blijven aansporen. Tevens zal Privacy First erop toezien dat Nederland de diverse aanbevelingen van het Comité zal implementeren.

De volledige Nederlandse sessie bij het VN-Comité staat online bij UN Web TV (1 juli en 2 juli). Zie ook de uitgebreide VN-verslagen, deel 1 en deel 2 (pdf).

"Vandaag bespreekt de Tweede Kamer een wetsvoorstel dat zó ingrijpend is, zó ontoereikend en zó belangrijk, dat het beter is als de Kamer het uitstelt tot na de verkiezingen. Op de nieuwe wet op de Inlichtingen- en Veiligheidsdiensten is in de voorfase al veel kritiek geweest en er zijn al zo veel veranderingen aangebracht dat het wetsvoorstel niet kan overtuigen. Doorslaggevend zijn de breedte en de kwaliteit van de adviezen die onder meer de huidige Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) nog onlangs leverde. Maar ook de open brief die 25 academici aan de Kamer schreven weegt zwaar. Die komt bovenop kritische reacties die eerder al de Raad van State en het College Bescherming Persoonsgegevens gaven. En bovenop de alarmkreten uit het veld. Privacy First sprak van een „totalitair voorstel”, Amnesty noemde het „onnodig en zorgelijk”.

Zolang de CTIVD echter stelt dat de voorgestelde onderscheppingsmogelijkheden van digitaal verkeer onvoldoende zijn ingeperkt, dat de belangen van derden onvoldoende meewegen, de omvang van de afgetapte data niet snel genoeg wordt beperkt en de kwaliteit van de dataverzameling onvoldoende zeker is – dan is aanvaarding van zo’n wetsvoorstel eigenlijk niet goed denkbaar. Althans dat zou zo moeten zijn.

Ook de chaotische manier waarop het toezicht op de nieuwe bevoegdheden zal worden geregeld, schept geen vertrouwen. De CTIVD zegt dat het kabinet een „gelaagd en complex stelsel” introduceert, door toetsing, toezicht en klachtbehandeling bij aparte instanties onder te brengen. De 25 academici adviseerden al één gespecialiseerde rechter aan te wijzen en de mogelijkheid te openen een „publieke advocaat” aan te wijzen. Die zou moeten adviseren over aftappen als er zware publieke belangen een rol spelen, of de belangen van verschoningsgerechtigden, zoals advocaten en journalisten in het spel zijn.

Mogelijk nog zwaarder weegt de veel te ruim geformuleerde macht die de veiligheidsdiensten krijgen om grote hoeveelheden communicatiedata in bulk af te tappen, drie jaar (!) op te slaan, te monitoren en vervolgens uit te wisselen met buitenlandse diensten. Dat zoiets in beginsel moet kunnen, is nog wel enigszins te billijken – de tijden van post, telefoon en telegrafie zijn wel voorbij. Maar het is alleen acceptabel als het is ingesnoerd in een stelsel van vernietigingsplichten, scherpe selectie op relevantie en harde eisen aan doel en duidelijkheid. Naar de mening van de meeste deskundigen ontbreekt dat nu. Dan is het geen schande om een dergelijk wetsvoorstel terug te sturen. Of terug te nemen."

Bron: NRC Handelsblad 8 februari 2017, p. 2; NRC Next 8 februari 2017, p. 30. Tevens online beschikbaar op https://www.nrc.nl/nieuws/2017/02/08/wet-inlichtingendiensten-is-even-ingrijpend-als-onrijp-6588317-a1544947.

Op 8 februari as. debatteert de Tweede Kamer met minister Plasterk (Binnenlandse Zaken) over een wetsvoorstel waardoor de privacy van iedereen in Nederland geschonden dreigt te kunnen worden: de nieuwe Wet op de inlichtingen- en veiligheidsdiensten. In dat kader verzond Stichting Privacy First vandaag een kritische brief aan de Tweede Kamer met ons commentaar op het huidige wetsvoorstel. Hieronder volgt de gehele tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte Kamerleden,

Volgende week zult u met de Minister van Binnenlandse Zaken in debat gaan over een – in onze ogen – uiterst totalitair wetsvoorstel: de nieuwe wet op de inlichtingen- en veiligheidsdiensten (Wiv). Zonder acute urgentie wordt dit wetsvoorstel momenteel onder hoge druk door het parlement behandeld.

Talloze bezwaren van gezaghebbende adviesorganen zoals de Raad van State, de Autoriteit Persoonsgegevens, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), het College voor de Rechten van de Mens, de Raad voor de Rechtspraak en zelfs de continentale Raad van Europa zijn daarbij tot nu toe in de wind geslagen. Waarschuwingen vanuit wetenschap en bedrijfsleven worden structureel genegeerd. Onlangs organiseerde uw Kamer weliswaar een ‘hoorzitting’ rond het wetsvoorstel, maar tegenstanders van het wetsvoorstel waren daarbij niet welkom. Privacy First acht de parlementaire behandeling van dit wetsvoorstel tot op heden dan ook onvoldoende kritisch van opzet.

Wij zullen hieronder onze meest fundamentele bezwaren tegen dit wetsvoorstel daarom opnieuw voor u uiteenzetten en cruciale aanbevelingen doen.

Sleepnetbevoegdheid en bewaartermijn

Onder het huidige wetsvoorstel krijgen AIVD en MIVD de bevoegdheid om het internet grootschalig af te tappen, massaal te monitoren en de vergaarde data jarenlang op te slaan voor eventueel later gebruik of internationale uitwisseling, oftewel een digitaal sleepnet met onvoorzienbare afmetingen, doelen, gevolgen en neveneffecten. In ambtenarenjargon heet deze bevoegdheid “OnderzoeksOpdrachtGerichte interceptie” (OOG). Terecht noemde de Autoriteit Persoonsgegevens dit “het eufemisme van het jaar”. Deze bevoegdheid zal immers het ‘alziende oog’ van de Nederlandse rijksoverheid gaan vormen. Dit past niet in een democratische rechtsstaat.

De internationaalrechtelijk vereiste maatschappelijke noodzaak (art. 8 EVRM) van deze bevoegdheid is tot op heden onaangetoond. Reeds hierom acht Privacy First de invoering ervan onrechtmatig. Naar alle maatstaven is deze bevoegdheid bovendien volstrekt disproportioneel en niet in lijn met het vereiste van subsidiariteit (d.w.z. het verplicht gebruikmaken van het lichtste, meest privacyvriendelijke middel om een legitiem doel te bereiken).

Daarnaast is een dergelijke bevoegdheid tot op heden niet aantoonbaar effectief (laat staan efficiënt) en wellicht juist contra-productief wegens de enorme overload aan irrelevante data. Volstaan zou dan ook kunnen en moeten worden met targeted en tijdelijke surveillance van relevante individuen en groepen, waarbij de rest van de maatschappij met rust gelaten wordt. Dergelijke surveillance dient altijd zo gericht mogelijk te zijn en gepaard te gaan met strikte, bij wet voorziene, concrete waarborgen tegen misbruik. Dergelijke waarborgen ontbreken vrijwel volledig in het huidige wetsvoorstel. Dit wetsvoorstel dient daarom verworpen te worden.

Illegale bewaartermijn

Onlangs oordeelde het Europees Hof van Justitie dat overheden nimmer gerechtigd zijn om data van onschuldige burgers massaal te (laten) verzamelen en op te slaan voor eventueel later gebruik in het veiligheidsdomein.[1] Het Hof baseerde zich hierbij mede op art. 8 EVRM (het recht op privacy). De opslagtermijn van 3 jaar in het huidige wetsvoorstel is hierdoor juridisch onhoudbaar en dient per direct uit het wetsvoorstel te worden geschrapt. Bij gebreke hiervan verwacht Privacy First dat deze bewaartermijn (evenals de massale tapbevoegdheid zelf) door het Europees Hof voor de Rechten van de Mens onrechtmatig verklaard zal worden.

Internationale uitwisseling van bulk-data

Privacy First herhaalt hierbij haar fundamentele bezwaar tegen internationale uitwisseling van ongeëvalueerde bulk-data. Dergelijke uitwisseling overschrijdt alle juridische, ethische en morele grenzen, in elk geval waar het de data van een onschuldige burgerbevolking betreft. Privacy First verwacht dan ook dat deze bevoegdheid geen stand zal houden bij een internationale of Europese rechter en dringt er hierbij op aan om deze bevoegdheid te schrappen of grondig in te perken en van extra waarborgen te voorzien, waaronder een bindende rechtmatigheidstoets vooraf per geval.

Binnenkort zal het Hof Den Haag uitspraak doen over de kwestie van internationale uitwisseling tussen geheime diensten in de rechtszaak Burgers tegen Plasterk van Privacy First c.s. tegen de Nederlandse Staat. Tevens hebben Privacy First c.s. als derde partijen geïntervenieerd in de vergelijkbare Britse zaak van Big Brother Watch tegen het Verenigd Koninkrijk bij het Europees Hof voor de Rechten van de Mens. Privacy First ziet de uitspraken van beide hoven met vertrouwen tegemoet.

Databanken van derde partijen

De bevoegdheden tot het opvragen en gebruiken van gegevens zijn in het huidige wetsvoorstel vrijwel onbegrensd. Het voorstel maakt daartoe zelfs directe, automatische toegang tot de databanken van de gehele publieke en private sector (overheid én bedrijfsleven) mogelijk. Bij al deze derde partijen zullen bovendien ook complete databanken opgevraagd kunnen worden. Dit alles ten behoeve van heimelijke koppeling, datamining en profiling, waarmee real-time een uiterst gedetailleerd (zelfs voorspellend) beeld van groepen en individuen kan worden gecreëerd. Privacy First verzoekt uw Kamer hierbij met klem om deze bevoegdheden te schrappen of grondig in te perken en van wettelijke waarborgen tegen misbruik te voorzien, waaronder bindend rechtmatigheidstoezicht vooraf.

Hack-bevoegdheid en decryptiebevel

“De diensten dienen zo gericht mogelijk te werken en niet door middel van decryptie de digitale veiligheid van grote groepen gebruikers te ondermijnen”, zo schrijft de Minister terecht in de nota bij het wetsvoorstel.[2] De bevoegdheid om systemen van onschuldige derden (burgers en bedrijven) te kunnen hacken om zo een target te kunnen bereiken acht Privacy First echter te verregaand. Om deze reden is een dergelijke bevoegdheid in het domein van politie en justitie reeds uit het wetsvoorstel Computercriminaliteit III geschrapt. Niet valt in te zien waarom deze bevoegdheid desondanks wel aan AIVD en MIVD zou moeten toekomen. De huidige (reeds bestaande) bevoegdheid om systemen en communicatie van individuele targets te kunnen hacken acht Privacy First afdoende.

Bedrijven hebben het recht om hun systemen zo in te richten dat aan een decryptiebevel niet kan worden voldaan wegens de technische onmogelijkheid daarvan, bijvoorbeeld door gebrek aan sleutels. In minder democratische tijden en contreien kan dit recht voor bedrijven tevens omslaan in een maatschappelijke plicht, bijvoorbeeld om als bedrijf niet medeplichtig te worden aan onrechtmatige opsporing en vervolging. In de optiek van Privacy First dienen systemen bovendien zodanig te worden ontwikkeld dat hacking vrijwel onmogelijk is en de schade van een eventuele hack altijd zo beperkt mogelijk zal blijven. Privacy by design vergt immers niet louter de beste encryptie maar ook de beste compartimentering. Bovenstaande geldt mede ter verduidelijking van recente ongenuanceerde berichtgeving over het standpunt van Privacy First door de Telegraaf.[3]

Strafbare feiten

Privacy First herhaalt hierbij haar zorg over het feit dat de ongenormeerde bevoegdheid voor agenten om strafbare feiten te mogen plegen ongemoeid wordt gelaten. In de huidige Wiv uit 2002 bestaat de mogelijkheid tot nadere normering middels een Algemene Maatregel van Bestuur (AMvB). De Commissie Dessens adviseerde die AMvB alsnog in te voeren, maar het kabinet maakt dit onmogelijk door de grondslag voor de betreffende AMvB uit de wet te verwijderen. Met een ongewisse politieke toekomst in het verschiet is dit voor de Nederlandse bevolking uiterst onwenselijk en gevaarlijk.

Notificatieplicht

In het huidige wetsvoorstel blijft de notificatieplicht slechts gelden voor individuele burgers en niet (ook) voor organisaties die evengoed targets kunnen zijn geweest. Naar aanleiding van eerdere kritiek hierop van Privacy First stelt de Minister in de memorie van toelichting bij het wetsvoorstel hierover het volgende: “De notificatieplicht vervult een rol in het kader van het bieden van rechtsbescherming aan de burgers tegen inbreuken op enkele specifiek aan hen toekomende grondrechten. De invoering van de notificatieplicht die ook geldt voor organisaties wordt (...) dan ook niet overwogen.”[4] Dit is aperte onzin. Het recht op privacy en (met name) het recht op vertrouwelijke communicatie gelden immers ook voor rechtspersonen en organisaties als zodanig (waaronder stichtingen, verenigingen en bedrijven), zeker in de context van dit wetsvoorstel.

Verschoningsgerechtigden

In het huidige wetsvoorstel krijgen advocaten en journalisten (terecht) extra bescherming middels voorafgaande toetsing door de rechtbank Den Haag bij de inzet van bijzondere bevoegdheden jegens hen. Privacy First adviseert om deze rechterlijke bescherming uit te breiden naar alle groepen verschoningsgerechtigden, waaronder artsen, notarissen en geestelijken. Tevens dient te worden voorzien in aanvullende waarborgen voor journalistieke bronbescherming.

Toezicht

Conform ons eerdere advies is Privacy First in principe positief over het nieuwe bindende rechtmatigheidstoezicht vooraf bij de uitoefening van bevoegdheden door AIVD en MIVD. Privacy First herhaalt hierbij echter dat dergelijke toetsing vooraf dient te gelden bij de uitoefening van álle bijzondere bevoegdheden door de diensten. Al het toezicht vooraf, tijdens en achteraf dient bovendien grondig en volledig te zijn; in geen geval mag sprake blijken van oppervlakkige rubber-stamping of toezichtshiaten. Daarnaast is Privacy First positief over de invoering van bindend klachtrecht voor burgers en organisaties, hetzij bij de nationale Ombudsman, hetzij bij de CTIVD, waarbij Privacy First een voorkeur heeft voor staatsrechtelijke positionering van het klachtinstituut als Hoog College van Staat aangezien dit de onafhankelijkheid ervan versterkt en bestendigt. In navolging van de CTIVD zou Privacy First overigens graag bevestigd zien dat dit klachtrecht ook door relevante maatschappelijke organisaties zal kunnen worden uitgeoefend in het algemeen belang (algemeen-belangactie) en/of namens een specifieke groep personen (groepsactie), ook indien voor die personen een individueel klachtrecht openstaat.[5] Dit is reeds staande praktijk bij de nationale Ombudsman en bevordert de effectiviteit en efficiëntie van de klachtenprocedure. Tevens zou Privacy First graag expliciet bevestigd zien dat deze nieuwe, quasi-rechterlijke procedure niet zal leiden tot niet-ontvankelijkheid van personen en organisaties met betrekking tot vergelijkbare rechtsvragen in relevante procedures bij de rechterlijke macht.

Actieve openbaarheid

Privacy First adviseert opnieuw om het wetsvoorstel alsnog te voorzien van een bepaling ter actieve openbaarmaking van (historische) documenten van de diensten. De praktijk van "declassification and transparency" in andere landen (waaronder voorheen de Verenigde Staten) kan in dit opzicht een bron van inspiratie vormen.

Peaceful use of cyberspace

In de recente nota van de Minister bij het wetsvoorstel schrijft deze dat “voor Defensie cyberspace het vijfde domein voor militair optreden geworden is (naast land, zee, lucht en de ruimte).”[6] Privacy First herinnert u hierbij graag aan het feit dat de ruimte in juridische zin geen militair domein is; hier geldt immers het internationaal recht van peaceful use of outer space. In onze optiek zou in cyberspace een vergelijkbaar internationaal regime van peaceful use dienen te gelden. Als ‘international legal capital’ zou Den Haag zich hier bij uitstek sterk voor kunnen maken.

Wetsvoorstel dient controversieel verklaard te worden

Een wetsvoorstel met een dusdanige (potentiële) impact op onze samenleving dient weldoordacht te zijn en de best mogelijke waarborgen te bevatten tegen onvoorzien gebruik en toekomstig misbruik. Bij het huidige wetsvoorstel is dit niet het geval. Privacy First adviseert u daarom om dit wetsvoorstel te verbeteren of te verwerpen, danwel het gehele wetsvoorstel controversieel te verklaren en het desgewenst alsnog grondig en kritisch te behandelen tijdens een volgende kabinetsperiode. Bij gebreke hiervan behoudt Privacy First zich het recht voor om het huidige wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

[1] Zie HvJ 21 december 2016, gevoegde zaken C‑203/15 & C‑698/15 (Tele2 Sverige et al.), ECLI:EU:C:2016:970.

[2] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 66.

[3] Zie http://www.telegraaf.nl/binnenland/27260664/__Privacywaakhond_vindt_dat_kraken_WhatsApp _mag__.html (18 december 2016).

[4] Memorie van toelichting bij wet op de inlichtingen- en veiligheidsdiensten, Kamerstukken II 2016-2017, 34588, nr. 3, pp. 241-242.

[5] Zie CTIVD, Zienswijze op het wetsvoorstel voor een nieuwe wet op de inlichtingen- en veiligheidsdiensten d.d. 9 november 2016, Bijlage II (Kwaliteitsverbeteringen), p. 6.

[6] Nota naar aanleiding van het verslag, Kamerstukken II 2016-2017, 34588, nr. 18, p. 11.

Vandaag heeft het Nederlandse kabinet zijn langverwachte voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) bij de Tweede Kamer ingediend. Dit wetsvoorstel vormt een acute bedreiging voor de privacy van iedere Nederlander.

De voornaamste dreiging voor het recht op privacy in het wetsvoorstel bestaat uit de invoering van een massale internettap (sleepnet-bevoegdheid). De door het kabinet veronderstelde noodzaak hiervan is tot op heden echter niet aangetoond. Reeds hierom acht Privacy First het wetsvoorstel onrechtmatig. 

Daarnaast voorziet het wetsvoorstel onder meer in brede hack-bevoegdheden en bijbehorende decryptieverplichtingen (dit laatste zelfs op straffe van hechtenis), directe toegang tot databanken van overheid en bedrijfsleven, internationale uitwisseling van ongeëvalueerde bulk-data en eindeloze koppeling, datamining en profiling in massale hoeveelheden gegevens van voornamelijk onschuldige burgers. Deze excessieve uitbreiding van bevoegdheden gaat bovendien niet gepaard met bijbehorende waarborgen, zoals privacy by design. Ondanks het (eerder door Privacy First geadviseerde) versterkte toezicht op de diensten kan Privacy First dan ook niet anders concluderen dan dat het huidige wetsvoorstel in de kern ronduit totalitair is. In een wereld die in toenemende mate gekenmerkt zal worden door Big Data en het Internet of Things zal dit wetsvoorstel zich dan ook met name goed lenen voor toekomstig machtsmisbruik.

Privacy First herhaalt hierbij haar eerdere waarschuwing dat dit wetsvoorstel alsnog grondig ingeperkt danwel verworpen dient te worden. Bij gebreke hiervan behoudt Privacy First zich het recht voor om het wetsvoorstel, zodra van kracht, door de rechter te laten toetsen en onrechtmatig te laten verklaren.

Beluister tevens de reactie van Privacy First vanochtend bij BNR Nieuwsradio. Nader commentaar van Privacy First op het wetsvoorstel volgt binnenkort bij de parlementaire behandeling.

"De databank met DNA-profielen die de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) bijhield moet worden vernietigd. Voor het bewaren van het celmateriaal en bijbehorende profielen zijn geen richtlijnen vastgesteld en dus is het tegen de wet. Maar de AIVD bouwde toch een database. Kun je de inlichtingendienst nog wel vertrouwen?

Vandaag verscheen een rapport van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdienst (CTIVD). Volgens het rapport werden 'op beperkte schaal' gegevens bijgehouden in een databank. Het betrof namen gekoppeld aan DNA-profielen.

Het onderzoeken van DNA-gegevens is wettelijk geregeld, maar zodra de identiteit is vastgesteld moeten de DNA-profielen en eventueel ander materiaal, zoals vingerafdrukken, worden vernietigd. Het bewaren van DNA-profielen en celmateriaal door de AIVD is momenteel niet geregeld in de wet, en mag dus niet.

De AIVD wil niet zeggen hoeveel DNA-profielen er in de databank waren opgeslagen. In het rapport staat dat 'alle tot dusver opgestelde DNA-profielen zijn bewaard in een DNA-databank van de AIVD'. Volgens de AIVD heeft de minister inmiddels opdracht gegeven om alle DNA-gerelateerde gegevens die opgeslagen waren, te vernietigen. Dat is gebeurd. Dat geldt ook voor de databank.

Kun je de AIVD nog wel vertrouwen?
"Schandalig dat de AIVD op eigen houtje een DNA-databank bijhield, tegen de wettelijke regels in." Vincent Böhre, jurist bij stichting Privacy First, vindt het gedrag van de inlichtingdienst een kwalijke zaak. Hij vraagt zich af wie nog meer toegang kreeg tot de DNA-data. "Zijn deze data ook gedeeld met buitenlandse inlichtingendiensten? En zijn er nog meer databanken met gegevens die de AIVD eigenlijk had moeten verwijderen?"

De stichting wil dat de AIVD alle betrokken personen op de hoogte stelt en excuses aanbiedt. "De Wiv (de Wet op de inlichtingen- en veiligheidsdiensten uit 2002, red.) schrijft voor dat mensen van wie de privacy is geschonden na enige tijd worden geïnformeerd, waar dat kan. De DNA-data zijn vernietigd, dus die zijn kennelijk niet meer relevant, dus zou de AIVD die mensen kunnen vertellen wat hij heeft gedaan."

"Het grappige is: wij hebben best een goede relatie met de AIVD. Het hoofd van de inlichtingendienst, Rob Bertholee, zei in januari nog letterlijk dat privacy voor hem net zo heilig is als voor Privacy First. En in 2012 vertelde hij tijdens een lezing voor ons dat hij ook geen voorstander is van Big Brother. 'Er zijn grenzen aan wat je wel en niet kunt doen', zei hij toen."

Toch vertrouwt Böhre het AIVD-hoofd nog steeds. "Vind ik hem een huichelaar? Nee, absoluut niet. Hij maakte een oprechte en integere indruk op mij. Misschien had hij hier geen zicht op, hoe gek dat ook klinkt."

Wat zou er volgens de CTIVD moeten gebeuren?
De Commissie stelt vast dat in de Wiv geen basis is voor het inrichten van een DNA-databank. "Hiervoor moet dus een eigen, voor het publiek herkenbare regeling komen." Wat wel en niet wordt toegestaan in die regeling moet de Tweede Kamer bepalen.
Volgens de Commissie bestaat ook het risico dat DNA-profielen en lichaamseigen materiaal te lang is bewaard. Het zou explicieter geregeld moeten worden wie verantwoordelijk is voor het bewaren en vernietigen van deze gegevens en hoe dat gebeurt.

Hoe reageerde minister Plasterk?
Minister Plasterk van Binnenlandse Zaken heeft al laten weten alle aanbevelingen uit het rapport over te nemen. Ook kijkt hij hoe de conclusies van de CTIVD bij de hervorming van de Wiv mee kunnen worden genomen.

Is de Commissie hier tevreden mee?
"Dat is natuurlijk altijd goed om te zien", zegt Hilde Bos, secretaris van de CTIVD.

Het onderzoek werd eind maart 2013 aangekondigd en werd begin januari 2015 afgerond. Duren onderzoeken van de CTIVD altijd zo lang?
"Nee", vertelt Bos. "We proberen meestal om maximaal een jaar te besteden aan onderzoeken. Maar als de minister of de Tweede Kamer andere onderzoeksverzoeken bij ons neerleggen, bijvoorbeeld over de MH17 of Roel van Duijn, kan zo'n onderzoek wel vertraging oplopen. Daarnaast duurt het vrij lang voordat het openbaar wordt, omdat bijvoorbeeld eerst gekeken moet worden of er nog staatsgeheimen in staan."

Materiaal verzamelen
Uit het rapport blijkt verder dat de AIVD bij twee operaties lichaamsmateriaal heeft verzameld met als doel een gezondheidsonderzoek uit te voeren, maar dat mag niet. Dit soort materiaal mag alleen geanalyseerd worden met als doel de identiteit van iemand te achterhalen.

Ook zijn de procedures in een aantal gevallen niet helemaal goed gevolgd: zo was de reden voor onderzoek aan lichaamseigen materiaal in een aantal gevallen niet goed gemotiveerd of was er van tevoren geen toestemming verleend voor DNA-onderzoek, wat wel verplicht is. In twee gevallen was de AIVD ook al op de hoogte van de identiteit van de betrokkene, en mocht de dienst dus geen DNA-onderzoek uitvoeren - maar is dat wel gebeurd.

Voorwaarden

Volgens de wet zijn er twee randvoorwaarden waaraan moet worden voldaan bij het verzamelen van materiaal voor forensisch biologisch onderzoek.

Ten eerste mag de AIVD alleen onderzoek doen aan voorwerpen met daarop aanwezig lichaamseigen materiaal. Er mag geen materiaal worden afgenomen op het lichaam van de personen zelf, bijvoorbeeld door het heimelijk uittrekken van lichaamshaar. Er mag geen inbreuk worden gemaakt op de lichamelijke integriteit van personen.

Ten tweede moet het vaststellen van een identiteit het doel van het onderzoek zijn. De wet biedt dus geen ruimte om onderzoek te doen als de identiteit al vaststaat. Het is bijvoorbeeld verboden om een DNA-profiel op te slaan om in de toekomst een verdachte opnieuw te kunnen identificeren. Een onderzoek mag ook niet gericht zijn op het vaststellen van een afkomst of de gezondheid van persoon."

Bron: http://www.trouw.nl/tr/nl/4492/Nederland/article/detail/3926188/2015/03/25/Kunnen-we-de-AIVD-nog-wel-vertrouwen.dhtml, 25 maart 2015.