Plenair Van Hattem bij behandeling Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen



Verslag van de vergadering van 5 maart 2024 (2023/2024 nr. 22)

Status: gecorrigeerd

Aanvang: 16.44 uur


Bekijk de video van deze spreekbeurt

De heer Van Hattem i (PVV):

Dank, voorzitter. Door de vele al gestelde vragen vanmiddag bestaat er een kans dat ik misschien af en toe in herhaling verval, maar ik zal niet mijn hele spreektekst aanpassen om doublures te voorkomen. Daarvoor een excuus vooraf.

Voorzitter. In tegenstelling tot de Tweede Kamer beschikt onze Eerste Kamer niet over een commissie voor de Inlichtingen- en Veiligheidsdiensten, de CIVD, ook wel, zoals net al aangehaald, de commissie-stiekem genoemd. Hierin worden de fractievoorzitters vertrouwelijk bijgepraat over de lopende werkzaamheden van de AIVD en de MIVD. Voor de Eerste Kamer zijn de achtergronden van het voorliggende wetsvoorstel dan ook een stuk abstracter. Mede daarom is het van belang dat we in de voorbereiding de nodige technische briefings en deskundigenbijeenkomsten hebben gehad en dat er ook de nodige schriftelijke vragen zijn gesteld om deze tijdelijke wet goed in te kunnen kaderen. Tegelijkertijd roepen de antwoorden op deze vragen vaak ook weer nieuwe vragen op, of zijn de antwoorden niet helemaal duidelijk of volledig. Daarom zal ik in mijn termijn regelmatig terugverwijzen naar de vragen uit de laatste schriftelijke nota naar aanleiding van het verslag. Voor alle duidelijkheid: dat is de tweede nota naar aanleiding van het verslag. Want er zijn nog de nodige punten waarover meer duidelijkheid zeer wenselijk is, ook voor de wetsgeschiedenis.

Allereerst, de tijdelijke wet richt zich op landen met een offensief cyberprogramma. Kan de minister voor alle duidelijkheid nader uitleggen wat de criteria zijn om te bepalen of er sprake is van een offensief cyberprogramma? De minister stelt dat er weliswaar geen lijst is met criteria waar de landen aan moeten voldoen om in een Geïntegreerde Aanwijzing voor een onderzoek in aanmerking te komen, maar dat er wel criteria te noemen zijn om een offensief cyberprogramma als zodanig te kunnen duiden. Graag een reactie.

Ook stelt de minister: "Of landen die nauw verbonden zijn met bijvoorbeeld Iran, zelfstandig in de Geïntegreerde Aanwijzing worden aangemerkt als land met een offensief cyberprogramma tegen Nederland of Nederlandse belangen, is staatsgeheim. Daarover kunnen in het openbaar in beginsel geen mededelingen worden gedaan." Maar kunnen we, zonder in staatsgeheimen te hoeven treden, daaruit de conclusie trekken dat zulke proxystaten in beginsel wel als zodanig kunnen worden vermeld in een Geïntegreerde Aanwijzing? Graag een reactie van de minister.

In de beantwoording geeft de minister over de uitvoeringstoets aan: "Bij de uitvoeringstoets zijn de diensten, de TIB, de afdeling toezicht van de CTIVD en de Afdeling bestuursrechtspraak van de Raad van State betrokken geweest." Kan de minister aangeven waarom, gelet op het aspect van privacy, de Autoriteit Persoonsgegevens en/of een andere kritische buitenstaander op het gebied van privacybescherming niet betrokken is bij de uitvoeringstoets?

Voorzitter. De CTIVD gaf aan dat het een belangrijke winst is in deze tijdelijke wet dat deze toezichthouder voortaan gedurende het proces onrechtmatigheden kan stoppen met een bindende bevoegdheid. Deze ex-durantetoets komt op onderdelen in plaats van de ex-antetoets van de TIB. Kan de minister duiden of de CTIVD ex durante in gelijkwaardige mate als de TIB bij ex-antetoetsing, kan toetsen op rechtmatigheid? Is de informatievoorziening tijdens een lopend proces daartoe tijdig en volledig genoeg? Graag een reactie.

Op pagina 3 van de nota naar aanleiding van het tweede verslag stelt de minister het volgende. "De Tijdelijke wet is gericht op onderzoeken naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen. Wanneer in onderzoeken naar deze landen blijkt dat door een statelijke actor gebruik wordt gemaakt van personen of organisaties, bijvoorbeeld om Nederland of het westen heimelijk te beïnvloeden, vormen deze personen of organisaties daarmee een dreiging voor de nationale veiligheid en kan onderzoek naar deze personen en organisaties plaatsvinden op grond van de Tijdelijke wet. Dit wordt getoetst door de TIB." Betekent dit dat eerst moet worden aangetoond dat een statelijke actor gebruikmaakt van een persoon of organisatie voordat de bevoegdheden van deze tijdelijke wet ingezet mogen worden in een onderzoek naar een persoon of organisatie? Graag duidelijkheid hierover van de minister.

Verder geeft de minister ten aanzien van maatschappelijke ontwrichting het volgende aan. "Als een dreiging tegen de nationale veiligheid één of meer veiligheidsbelangen ernstig aantast, kan dat maatschappelijke ontwrichting veroorzaken en daarmee de nationale veiligheid schaden." Kan de minister aangeven wie uiteindelijk bepaalt of er in een voorkomend geval sprake is van maatschappelijke ontwrichting? Is dat de minister, wordt dit door de diensten zelf afgebakend of gebeurt het anderszins? Graag een reactie.

In de nota stelt de minister op pagina 4 klip-en-klaar: "Het mondiaal jihadisme vormt nog altijd de belangrijkste terroristische dreiging tegen Nederland, dus onderzoeken naar jihadisme blijven onverminderd van belang." Tegelijkertijd verwijst de minister voor de mogelijke toepassing van deze tijdelijke wet in het kader van jihadisme naar de vigerende Wiv 2017. Ik citeer nogmaals: "Onderzoeken naar jihadisme zijn ook mogelijk indien geen sprake is van betrokkenheid van een land. In dat geval vinden de onderzoeken plaats op grond van de Wiv 2017." Nu de tijdelijke wet zich richt op landen, heb ik de volgende vraag. Wat als er sprake is van een offensief cyberprogramma door een actor als Islamitische Staat, die zich eerder manifesteerde in Irak en Syrië? Er is dan formeel geen sprake van een erkend land, maar Islamitische Staat gedraagt zich wel als een statelijke actor. Kan de minister aangeven of de tijdelijke wet rechtmatig kan worden toegepast jegens zulke niet-erkende landen of entiteiten, die zich wel degelijk als een statelijke actor gedragen?

De nota geeft op pagina 9 aan: "Technisch onderzoek houdt in dat de met de verkennende bevoegdheid ten behoeve van OOG-interceptie verworven gegevens onderzocht worden op de aanwezigheid van communicatie met een potentiële waarde voor de beantwoording de onderzoeksvragen van de diensten en dus — op een hoger abstractieniveau — het kunnen beoordelen van de mogelijke relevantie voor het inlichtingenproces." Kan de minister aangeven wat de kaders zijn — en dan ook voor de toezichthouders — om te kunnen toetsen op potentiële waarde? Door wie en op welke wijze wordt deze potentiële waarde bepaald? Graag een reactie.

Voorzitter. Wat erg onduidelijk is en blijft, is het onderscheid dat gemaakt wordt bij kabelinterceptie tussen internationaal verkeer en nationaal verkeer. De uitleg in de nota lijkt op dit punt ook tegenstrijdig. De minister stelt daarin letterlijk het volgende: "Het communicatielandschap is daadwerkelijk geglobaliseerd zodat er geen kabels aan te wijzen zijn die strikt nationaal of strikt internationaal zijn." Hoe kan de minister dan tegelijkertijd stellen, ik citeer nogmaals: "De diensten richten zich niet op dragers, kabels en glasvezels die hoofdzakelijk nationaal verkeer transporteren"? Hoe is dit uit te leggen en hoe moet dit in de praktijk uitwerken? Of is dit onderscheid in de praktijk gewoon niet te maken? Graag een reactie van de minister.

Dan over de veiligheid van de data. Op pagina 24 stelt de minister: "Daarnaast passen de diensten een strikt stelsel van beveiligingsmaatregelen toe. Dit gaat om een geheel aan personele, organisatorische en technische maatregelen." Desondanks gaat de minister niet nader in op de door mij schriftelijk gestelde vraag over het schandaal bij de NCTV, waar een medewerker 46 terabyte aan staatsgeheime informatie achter heeft gehouden en heeft gelekt aan Marokko. Kan de minister naar aanleiding van dit incident nader duiden of het stelsel van beveiligingsmaatregelen wel strikt genoeg is? Wat zegt dit incident in dit kader en heeft het nog aanleiding gegeven tot extra veiligheidsmaatregelen of betere procedures? Wat zegt dit bovendien over de risico's en de uitvoering van de tijdelijke wet? Graag een reactie van de minister.

In de brief van de minister van 14 februari jongstleden over de monitoring van kabelinterceptie door de CTIVD wordt de volgende passage vermeld: "Een andere door de TIB genoemde onrechtmatigheidsgrond die de CTIVD uitlicht ziet op een beoogde verstrekking van gegevens in de snapshotfase van kabelinterceptie aan een buitenlandse inlichtingen- en veiligheidsdienst. De diensten benadrukken in dit verband dat het delen van dergelijke gegevens van belang is voor de technische optimalisatie van kabelinterceptie, omkleed is met waarborgen, het een juridische grondslag kent onder de Wiv 2017 en onder toezicht staat van de CTIVD. Uitsluitend voor het doel van technische analyse worden deze gegevens verstrekt en voorts wordt daarbij het expliciete verbod gesteld om deze gegevens te gebruiken voor inlichtingendoeleinden."

In de nota naar aanleiding van het tweede verslag geeft de minister op pagina 24 aan dat het delen van zulke bulkdatasets met buitenlandse inlichtingendiensten berust op het vertrouwensbeginsel en dat als een buitenlandse dienst zich niet aan de voorwaarden houdt, de samenwerkingsrelatie opnieuw zal worden gewogen. Dit blijft echter heel ondoorzichtig, want hoe is te controleren of een buitenlandse dienst deze datasets niet gebruikt voor inlichtingendoeleinden? Zeker ten aanzien van het delen van bulkdatasets met ongeëvalueerde gegevens, dus grosso modo ook met veel gegevens van particulieren en bedrijven die geen target zijn, roept dit de vraag op hoe in dit kader met risico's voor hun privacy wordt omgegaan. Graag een nadere reactie van de minister op dit onderdeel.

Ook geeft de nota op pagina 32 aan, ten aanzien van het delen van verworven gegevens voor andere doelen dan een offensief cyberprogramma: "Voor het delen van gegevens waarop de door deze leden geciteerde tekst betrekking heeft, te weten gegevens die voor het inlichtingenonderzoek van de dienst zijn verworven, geldt uitsluitend de regeling die in de Wiv 2017 is opgenomen. De Tijdelijke wet geeft daarvoor geen aanvullende of afwijkende regels. Rechtmatigheid en relevantie van het eventueel delen van gegevens uit inlichtingenonderzoeken met bijvoorbeeld de Belastingdienst zal dienen te worden beoordeeld onder toepassing van de Wiv 2017. Op de rechtmatige toepassing daarvan kan de afdeling toezicht van de CTIVD toezicht houden." Daarover de volgende vraag. Kan worden uitgesloten dat gegevens uit bulkdata-interceptie, die niet voor inlichtingenonderzoek bedoeld zijn, kunnen worden gebruikt voor niet-inlichtingengerelateerde onderzoeken, zoals die naar belastingfraude? Graag een reactie en graag een juridische afbakening, ook voor de CTIVD-toetsing hieromtrent.

Voorzitter, tot slot in deze termijn. Een van de voornaamste argumenten die op voorspraak van de diensten voor de invoering van dit wetsvoorstel naar voren zijn gebracht, is de massale spionage vanuit China, op zowel economisch als politiek vlak. Op 6 februari ontvingen we de brief van de minister van Defensie, waarin stond dat China met malware bij het ministerie van Defensie spioneert en dat dit door de MIVD was blootgelegd. Knap werk van de MIVD, en sowieso heel veel waardering voor onze diensten en voor hun inzet voor de veiligheid van onze samenleving. Tegelijkertijd noem ik met het oog op deze tijdelijke wet ook een punt van zorg. Als de Chinese cyberspionage al zover weet door te dringen, zijn er dan wel voldoende waarborgen voor de veiligheid van bijvoorbeeld de conform deze wet langdurig te bewaren bulkdatasets? Graag een reflectie van de minister op dit punt.

Voorzitter, tot zover in eerste termijn. We kijken met veel belangstelling uit naar de beantwoording.

De voorzitter:

Dank u wel, meneer Van Hattem. Dan is het woord aan de heer Schalk namens de SGP.