4.1.1 Inleiding
In paragraaf 3.1 van het wetsvoorstel worden de algemene regels met betrekking tot de verwerking van gegevens door de diensten vastgelegd. In artikel 17 (ongewijzigd ten opzichte van art. 12 Wiv 2002) zijn enkele algemene regels vastgelegd over de verwerking van gegevens.
Artikel 17
1. De diensten zijn bevoegd tot het verwerken van gegevens met inachtneming van de eisen die daaraan bij of krachtens deze wet of de Wet
veiligheidsonderzoeken zijn gesteld.
2. De verwerking van gegevens vindt slechts plaats voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van deze wet of de Wet veiligheidsonderzoeken.
3. De verwerking van gegevens geschiedt in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze.
4. De gegevens die in het kader van de taakuitvoering van de diensten worden verwerkt, zijn voorzien van een aanduiding omtrent de mate van
betrouwbaarheid dan wel een verwijzing naar het document of de bron waaraan de gegevens zijn ontleend.
De algemene eisen omvatten enkele van de algemene principes van bescherming van persoonsgegevens. Lid 1 biedt een algemene wettelijke grondslag voor de verwerking van persoonsgegevens. Lid 2 formuleert het principe van doelbinding door vast te stellen dat verwerking alleen toegestaan is voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 20xx. Ook moeten de verwerkingen voorzienbaar zijn bij wet, zoals in lid 3 vastgesteld door overeenstemming met de wet te vereisen. Vervolgens zijn in lid 3 en lid 4 nog enkele eisen opgenomen om de kwaliteit van de gegevens die verwerkt worden te waarborgen. De verwerking zelf dient op behoorlijke en zorgvuldige wijze plaats te vinden (lid 3), waarmee in beginsel een blijvende kwaliteit gewaarborgd zou moeten worden. In lid 4 wordt vastgesteld dat de gegevens voorzien dienen te zijn van een aanduiding van de betrouwbaarheid van een gegeven of van een verwijzing naar het document of de bron van de gegevens.
4.1.2 Doelbinding
De activiteiten van de diensten moeten altijd aan een specifiek doel verbonden zijn en ook noodzakelijk zijn voor het bereiken van dat doel (lid 2 van artikel 17). Het doel op zich dient weer noodzakelijk te zijn voor een goede uitvoering van de wet of van de Wet veiligheidsonderzoeken. Doelbinding is een waarborg voor de privacy, waarmee voorkomen wordt dat gegevens steeds verder verwerkt mogen worden zonder toetsing of die verwerking wel past bij, en dus voorzienbaar was bij, de verkrijging van de gegevens. Doelen moeten vooraf zo specifiek mogelijk
vastgesteld worden, waardoor de reden van verwerking ook vastligt. Bovendien kan aan de hand van het te bereiken doel beoordeeld worden of de te verwerken gegevens inderdaad noodzakelijk zijn om dat doel te bereiken. Andersom kan vanuit het doel bekeken worden welke persoonsgegevens noodzakelijkerwijs verwerkt dienen te worden.
Het vereiste van doelbinding leidt dus tot een limitering van de te verwerken gegevens en de verwerkingen die uitgevoerd worden ten aanzien van die gegevens. In vergelijkbare zin kan vanuit het doel ook een beperking afgeleid worden ten aanzien van welke personen gegevens verwerkt worden. Het verwerken van gegevens over personen die niet de aandacht van de diensten hebben in relatie tot het specifieke doel moet dan ook voorkomen worden. Wanneer dat voorkomen niet mogelijk is, bijvoorbeeld omdat gegevens niet afzonderlijk van andere gegevens verwerkt kunnen worden, dienen gegevens over personen die niet de aandacht hebben zo spoedig mogelijk te worden vernietigd om verdere verwerking te voorkomen.
Uit gesprekken met de diensten blijkt ook dat zij uitgaan van een sterke doelbinding in hun activiteiten. Vooral ten aanzien van de bijzondere bevoegdheden is
doelbinding een gegeven, aangezien de diensten het doel en de noodzaak in het verzoek tot een last van de minister moeten verantwoorden. Aangezien doelbinding een limitering voorschrijft, is het met name in het geval van grootschalige
gegevensverwerking van belang om zo spoedig mogelijk tot een beperking te komen. Dat betekent dat de inzet van bulkinterceptiebevoegdheden bijzondere aandacht verdient in het licht van het doelbindingsvereiste (zie par. 8.3.2). Met een goede naleving van dit vereiste, ook en vooral bij de bevoegdheden die minder precies gericht zijn op onderzoekssubjecten, wordt de inbreuk op de persoonlijke levenssfeer van met name personen die niet de aandacht van de diensten (zouden moeten) hebben, zo beperkt mogelijk gehouden.
4.1.3 Subsidiariteit en proportionaliteit
In het begrip ‘noodzakelijk’ in lid 2 zit, naar wij aannemen, ook de eis dat persoonsgegevensverwerking moet voldoen aan de eisen van subsidiariteit en proportionaliteit. Als iets niet subsidiair is (er is een minder ingrijpend middel voorhanden), is het immers niet noodzakelijk; en als iets niet proportioneel is (het middel staat niet in verhouding tot het doel), is het evenmin noodzakelijk. Het wetsontwerp schept echter enige verwarring door de beginselen van subsidiariteit en proportionaliteit te codificeren in artikel 43 (leden 2-4), dat van toepassing is op de uitoefening van bijzondere bevoegdheden, maar niet op andere vormen van gegevensverwerking door de diensten.26 Daaruit zou men kunnen afleiden dat—nu
26 Hoewel leden 3 en 4, anders dan leden 1 en 2, van art. 43 in de formulering niet beperkt zijn tot bevoegdheden ‘als bedoeld in paragraaf 3.2.2’ (en daarmee a contrario van toepassing lijken op alle handelingen van de diensten die als bevoegdheid zijn geformuleerd, ook buiten par. 3.2.2), is
de beginselen wel expliciet van toepassing worden verklaard op bijzondere
bevoegdheden—ze niet zijn inbegrepen in het begrip ‘noodzakelijk’ van artikel 17 lid 2. Dat kan echter niet de bedoeling van de wetgever zijn, omdat het dermate algemene beginselen betreft dat deze al het handelen van de diensten moeten normeren. Ook privacyinbreuken door andere vormen van gegevensverwerking dan de inzet van bijzondere bevoegdheden, bijvoorbeeld geautomatiseerde
data-analyse (art. 47) of gegevensverstrekkingen (art. 74, 77), vallen immers onder artikel 8 EVRM en daarmee onder de vereisten van subsidiariteit en
proportionaliteit. Uit de toelichting (MvT, p. 21) blijkt echter niet expliciet dat (ondanks de expliciete vermelding van de beginselen van subsidiariteit en proportionaliteit in artikel 43) artikel 17 lid 2, door het begrip ‘noodzakelijk’,
eveneens deze beginselen omvat. De toelichting zou op dit punt moeten worden
verhelderd.
4.1.4 Betrouwbaarheids- en bronaanduiding
Artikel 17 lid 4 vereist een aanduiding van de betrouwbaarheid van een gegeven of van de bron van de gegevens. Dit vereiste dient als een waarborg voor de kwaliteit van gegevens die door de diensten worden gebruikt in het kader van hun
taakuitvoering. De MvT voegt hieraan toe: ‘Gelet op het gebruik [dat] van deze gegevens kan worden gemaakt – bijvoorbeeld als basis voor een mededeling als bedoeld in artikel 49 jo. 54 van het wetsvoorstel) – en de gevolgen die dat kan hebben voor personen of organisaties waarop die gegevens betrekking hebben, is het van belang dat expliciet wordt vastgesteld wat de kwaliteit van die gegevens is.’ (p. 21). Dit is dus vooral ook belangrijk vanwege de grote gevolgen die personen of organisaties kunnen ondervinden als gevolg van de verstrekking van de gegevens door de diensten aan derden.
Met het toevoegen van een betrouwbaarheidsaanduiding of verwijzing naar de bron wordt in zekere zin een waarborg ingebracht dat de gegevens zorgvuldig kunnen worden gewogen op betrouwbaarheid. Als het goed is zou dat ook houvast moeten geven voor beoordeling van de betrouwbaarheid van afgeleide gegevens die bijvoorbeeld volgen uit nadere analyse of samenvoeging van de oorspronkelijke gegevens. Bij de inzet van bepaalde technologieën, zoals data mining, valt echter te bezien of een aanduiding van de oorspronkelijke betrouwbaarheid een voldoende waarborg biedt tegen foute interpretaties. Bij het samenvoegen van verschillende gegevensbestanden ontstaat immers een vermenging van bronnen waarbij gegevens in een ander licht kunnen komen te staan en uit hun context kunnen worden getrokken, terwijl ook verschillen tussen de oorspronkelijke bestanden, die wellicht niet allemaal even betrouwbaar zijn, van invloed kunnen zijn op de
inschatting van de betrouwbaarheid van het resultaat. Dat kan tot gevolg hebben dat gegevens betrouwbaarder worden, maar ook minder betrouwbaar of meer vatbaar voor misinterpretatie. Afhankelijk van het type analyse ontstaan nieuwe of andersoortige gegevens waarvan de betrouwbaarheid of de bron daarom niet altijd eenduidig is vast te stellen. Ook zorgvuldige verwerkingen van gegevens met bronaanduiding met behulp van geavanceerde algoritmes zijn om die reden geen garantie voor een hoog betrouwbaarheidsniveau van uitkomsten van analyses. Naast de bronaanduiding zou daarom verplicht gedocumenteerd moeten worden welke analysemethoden zijn gebruikt, inclusief een aanduiding van de
betrouwbaarheid van deze methoden. In dat licht valt aan te bevelen dat artikel 17
artikel 43 onderdeel van paragraaf 3.2.2 en zal vanuit systematisch oogpunt de reikwijdte daartoe ook beperkt zijn.
niet alleen verplicht tot betrouwbaarheids- of bronaanduiding van gegevens zelf, maar daarnaast ook een verplichting bevat tot betrouwbaarheidsaanduiding van de programmatuur waarmee deze gegevensverzamelingen worden geanalyseerd. Een betrouwbaarheidsaanduiding van analysesoftware kan worden gebaseerd op softwareverificatie, toetsing van de vooronderstellingen die aan de programmatuur ten grondslag liggen, de verhouding tussen fout-positieven en fout-negatieven bij
data mining, en het testen van algoritmes voor machinaal leren.
Ook als analyseprogramma’s en gebruikte gegevenssets (relatief) betrouwbaar zijn, moeten de resultaten nog steeds geverifieerd worden door analisten alvorens op grond daarvan beslissingen kunnen worden genomen die personen raken. Er kunnen immers altijd fout-positieven optreden. Daarmee wordt gevolg gegeven aan het principe dat personen niet aan volledig geautomatiseerde beslissingen mogen worden onderworpen indien daar rechtsgevolgen of een significante impact aan verbonden zijn voor die personen (zie ook par. 5.3.3).