4.2.1 Inleiding
Artikel 18 geeft in de eerste plaats een afbakening van de kring van personen over wie gegevens verwerkt mogen worden. Daarnaast is een regeling opgenomen over de verwerking van gevoelige persoonsgegevens. De MvT spreekt over ‘gevoelige persoonsgegevens’, waar de Wet bescherming persoonsgegevens (Wbp) hiervoor de term ‘bijzondere persoonsgegevens’ gebruikt. ‘Gevoelig’ sluit echter eerder aan op het algemene spraakgebruik en omschrijft ook beter de categorie van gegevens. Lid 3 stelt een verbod op de verwerking van gegevens betreffende godsdienst of levensovertuiging, ras, gezondheid en seksuele leven. Politieke gezindheid (in de Wbp ook als bijzonder gegeven aangemerkt) ontbreekt, omdat dit vaak relevant zal zijn bij de beoordeling van een bedreiging van de rechtsorde (MvT, p. 22). Lid 4 geeft aan dat verwerking van gevoelige gegevens alleen is toegestaan indien het voor het doel van de verwerking onvermijdelijk is dat die gegevens verwerkt worden en in aanvulling op de verwerking van andere gegevens. Onvermijdelijk betekent volgens de MvT dat hier een zwaarwegender eis geldt dan het
noodzakelijkheidscriterium uit artikel 17 lid 2 (p. 22).27 Wat het criterium ‘in aanvulling op’ betekent, wordt in de MvT niet uitgelegd.
In artikel 18 lid 5 is toegevoegd (ten opzichte van het oude artikel 13): ‘diensten zijn bevoegd tot verwerking van gegevens omtrent andere personen, indien gegevens een logisch en onlosmakelijk onderdeel vormen van de door de diensten te verwerven of verworven gegevensbestanden’. De MvT zegt hierover dat in veel gevallen in het verlengde van het verwerken van gegevens over bepaalde personen ook gegevens over andere personen verwerkt zullen worden. Voor zover er twijfel zou kunnen ontstaan over de geoorloofdheid van de verwerking van dergelijke persoonsgegevens omtrent andere personen (die in principe zou moeten volgen uit art. 18 lid 1 en 2) is ervoor gekozen om dit afzonderlijk te regelen. Dat komt volgens de MvT de rechtszekerheid ten goede.
27 In het kader van de parlementaire behandeling van de Wiv 2002 werd als voorbeeld gegeven dat het onvermijdelijk zal zijn om bijvoorbeeld de godsdienstige of levensovertuiging van personen of organisaties vast te leggen in de gevallen dat antidemocratische, staatsgevaarlijke of
antimilitaristische activiteiten worden ontplooid waarbij de daders hun godsdienstige overtuiging als motief aanvoeren voor hun activiteiten.
4.2.2 Analyse en beschouwing
In artikel 18 lid 1 en 2 zijn de personen met betrekking tot wie de diensten
persoonsgegevens mogen verwerken limitatief opgesomd. De lijst van categorieën personen vertoont duidelijk een verband met de taakstellingen van de diensten. Lid 3 van artikel 18 verbiedt de verwerking van gevoelige persoonsgegevens (een synoniem voor de term ‘bijzondere persoonsgegevens’ uit de Wbp). In de
opsomming van categorieën gevoelige persoonsgegevens is politieke gezindheid niet opgenomen, omdat, zoals de MvT (p. 22) stelt, deze niet buiten beschouwing gelaten kan worden bij de beoordeling of iemand een gevaar vormt voor de democratische rechtsorde, de veiligheid of paraatheid van de Nederlandse
krijgsmacht of voor andere in de wet genoemde gewichtige belangen. In de MvT (p. 22) wordt daarbij aangetekend dat uiteraard voldaan moet zijn aan het
noodzakelijkheidsvereiste van de verwerking van dergelijke gegevens voor een goede uitvoering van de Wiv.
De MvT gaat echter niet in op andere categorieën die in de
persoonsgegevenswetgeving ook als ‘bijzonder’ (oftewel gevoelig) worden aangeduid: lidmaatschap van een vakvereniging en (kort gezegd) strafrechtelijke persoonsgegevens. Voor de laatste categorie kan een vergelijkbare redenering gelden als voor politieke gezindheid, aangezien strafrechtelijke persoonsgegevens (zoals veroordelingen) vaak direct relevant zijn voor de taakuitoefening van de diensten. Niettemin zou dit dan wel in de MvT gemotiveerd moeten worden. Voor gegevens betreffende lidmaatschap van een vakvereniging valt echter niet direct in te zien waarom deze niet uitgesloten zouden moeten worden, behoudens onvermijdelijkheid, van verwerking door de diensten. Lidmaatschap van een vakbond heeft geen direct raakvlak met de nationale veiligheid, evenmin als levensovertuiging of gezondheid dat heeft. Voor de innerlijke consistentie van de privacybescherming in de Nederlandse wetgeving is het wenselijk dat eenzelfde invulling wordt gegeven aan het begrip ‘bijzondere’ oftewel gevoelige categorieën persoonsgegevens, tenzij de aard van een wet een andere invulling noodzakelijk maakt. In dat licht verdient de keuze om lidmaatschap van een vakvereniging niet te noemen in art. 18 lid 3 heroverweging.
In lid 4 is een uitzondering op het verbod uit lid 3 opgenomen. Indien het voor het doel van de gegevensverwerking onvermijdelijk is mogen de gegevens, in
aanvulling op de verwerking van andere gegevens, wel verwerkt worden. Van een dergelijke onvermijdelijkheid zal, in lijn met het voorbeeld dat in de parlementaire behandeling van de Wiv 2002 werd gehanteerd, sprake zijn indien de gegevens onlosmakelijk verbonden zijn met een onderzoek dat de diensten uitvoeren in het kader van hun taakuitoefening, omdat de bedreiging rechtstreeks samenhangt met het gevoelige persoonskenmerk (zoals godsdienst of levensovertuiging). Het aanvoeren van een geloofsovertuiging als motief voor staatsgevaarlijke activiteiten betekent immers dat gegevens over die geloofsovertuiging onvermijdelijk (een zwaardere eis dan noodzakelijk) onderdeel van het onderzoek zullen vormen. Alleen in dergelijke gevallen mogen de gegevens in aanvulling op andere gegevens verwerkt worden. De gevoelige persoonsgegevens mogen dus nooit op zichzelf staand verwerkt worden, en ook nooit op zichzelf een grondslag vormen voor een beslissing.
De leden 3 en 4 stonden ook in de Wiv 2002. Veranderde technologische mogelijkheden kunnen echter de praktische betekenis van deze bepalingen wel beïnvloeden. Die beïnvloeding zit met name in het feit dat gevoelige
persoonsgegevens steeds vaker onbedoeld kunnen worden gecreëerd door Big Data-toepassingen, wat vragen oproept of, en onder welke voorwaarden, dit ‘onvermijdelijk’ is. Wanneer met behulp van Big Data-toepassingen bepaalde correlaties worden vastgesteld waaruit automatisch een gevoelig persoonsgegeven ontstaat (bijvoorbeeld een profiel dat iemand een bepaalde godsdienst aanhangt), worden deze gevoelige gegevens niet in aanvulling op andere gegevens verzameld en verwerkt, maar in feite gecreëerd als gevolg van een verwerking. In hoeverre in dergelijke gevallen van onvermijdelijkheid gesproken kan worden, zou nader moeten worden uitgelegd in de MvT. Daarbij kan ook worden ingegaan op de mogelijkheid om technologisch dergelijke gegevens uit te filteren, zodat het niet onvermijdelijk is dat deze gegevens ontstaan. Alleen als het doel van een dergelijke Big Data-analyse gericht is op het verkrijgen van profielen die onvermijdelijk
samenhangen met gevoelige persoonsgegevens, zou zo’n verwerking op basis van lid 4 toegestaan kunnen zijn, waarbij echter duidelijk is dat het onderzoek steeds ook gebaseerd moet zijn op andere aanwijzingen dat er sprake is van een relevante dreiging en dat een beslissing nooit op basis van enkel een dergelijk profiel mogen worden genomen.
In lid 5 wordt de bevoegdheid vastgesteld tot het verwerken van gegevens over andere personen indien deze een logisch en onlosmakelijk geheel vormen binnen een gegevensbestand. De vraag rijst wat de betekenis daarvan is in geval van gegevens die in bulk worden verzameld, zoals bij kabelgebonden bulkinterceptie. Strikt genomen zijn de personen over wie de diensten gegevens mogen verwerken limitatief vastgesteld middels de categorisering in respectievelijk lid 1 en 2 van artikel 18. Het inzetten van een bevoegdheid zal dus gericht moeten zijn op het verkrijgen of anderszins verwerken van gegevens over personen die binnen die limitatieve kring van categorieën vallen. Op het moment dat een bevoegdheid wordt ingezet en gegevens verwerkt worden, zal het in gevallen voorkomen dat
noodzakelijkerwijs ook gegevens over andere personen worden verwerkt, indien deze gegevens een logisch en onlosmakelijk onderdeel van de te verwerken gegevens vormen.
Dat geldt met name bij bevoegdheden waarbij grote(re) hoeveelheden data tegelijk kunnen worden verzameld, zoals OSINT (wat onzes inziens ook als bevoegdheid zou moeten worden geregeld, zie par. 5.2), de ‘algemene’ bevoegdheid van
gegevensopvraging, en bulkinterceptie. Bij dergelijke bevoegdheden kan vooraf niet vastgesteld worden welke van de te verzamelen gegevens uit een gegevensset betrekking hebben op personen die binnen artikel 18 lid 1 en 2 worden genoemd. Lid 5 biedt daarom een uitzondering op het beginsel dat alleen van relevante personen gegevens mogen verwerkt. Het gaat hier echter om zeer ruime
bevoegdheden, die bovendien geen uitzonderingsbevoegdheden zijn, maar eerder tot de kernactiviteiten van de diensten lijken te behoren (in elk geval waar het OSINT en de ‘algemene’ bevoegdheid betreft). Dat betekent dat de situatie van lid 5 in dermate veel gevallen zal voorkomen, dat we hier niet meer kunnen spreken van een uitzondering maar eerder van een extra regel die de basisregel van lid 1 en 2 aanvult.
Dat is problematisch in het licht van de privacyrisico’s voor de personen over wie (onvermijdelijk onterecht) gegevens worden verzameld. Het gaat immers om grote
groepen burgers. Daarnaast is het ook problematisch in het licht van Weber en
Saravia, dat vereist dat de categorieën personen die onderworpen kunnen worden
aan heimelijke gegevensverzameling moeten worden gedefinieerd. Het gaat bij art. 18 lid 5 jo art. 22 (met name lid 3) en art. 33 feitelijk om de categorie ‘iedereen’, omdat op basis van deze bevoegdheden over iedereen gegevens kunnen worden verzameld die in opgevraagde databestanden zitten of via bulk-onderschepte communicatiekanalen communiceren.
Tegelijkertijd kan niet worden ontkend dat het moeilijk is om de categorie personen nauwkeuriger te omschrijven dan in lid 5 gebeurt. Het gaat immers om gegevens over irrelevante personen die op geen enkele manier vooraf uitgefilterd kunnen worden, ook niet bij een zo gericht mogelijke inzet van bevoegdheden. (Daarbij gaan we er wel van uit dat lid 5, juist omdat het gaat om een aanvullende regel en niet een sporadische uitzondering, een sterk normerende werking zal moeten hebben op de diensten om de inzet van brede bevoegdheden, ook de ‘ongerichte’ interceptie, op voorhand zo gericht mogelijk te maken. De toezichthouder zal daarop ook scherp moeten toezien.)
Lid 5 levert daarmee nauwelijks voorzienbaarheid bij wet op, omdat het een categorie aanduidt: ‘iedereen, afhankelijk van in welk databestand dat de diensten verzamelen je toevallig zit’. Omdat de voorzienbaarheid bij wet hier moeilijk te verbeteren valt door een scherpere definitie, moet dit gebrek worden
gecompenseerd door andere maatregelen. Het is in het licht van de privacyrisico’s van irrelevante personen wezenlijk dat de verzamelde gegevens zo snel mogelijk worden onderzocht en dat niet-relevante gegevens direct worden verwijderd. In dit opzicht schiet het wetsvoorstel te kort, omdat er lange bewaartermijnen worden gehanteerd en er veel te weinig wordt geëist dat niet-relevante gegevens terstond worden vernietigd (zie par. 4.6). Met name is in dit verband de driestappenregeling van bulkinterceptie problematisch, omdat de gegevens in het huidige systeem niet direct gefilterd hoeven te worden op relevantie; een benadering in twee fasen waarbij in fase 1 een directe, snelle en vluchtige toets op relevantie plaatsvindt en gegevens terstond worden verwijderd zodra niet-relevantie blijkt, verdient de voorkeur (zie par. 8.3.2) – juist ook ter compensatie van de problematisch ruime reikwijdte van art. 18 lid 5.