De Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) is inmiddels meer dan een jaar van kracht, maar de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) voldoen nog niet aan alle verplichtingen die de wet stelt.

Dat laat de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) in de tweede voortgangsrapportage over de invoering van de Wiv 2017 weten. Bij de eerste voortgangsrapportage stelde de toezichthouder dat de inlichtingendiensten nog fundamentele stappen moesten zetten bij de invoering van essentiële onderdelen van de nieuwe wet. Zo waren er hoge risico’s voor onrechtmatig handelen bij beide diensten en misten essentiële waarborgen voor de rechtsbescherming van burgers nog invulling in intern beleid, werkprocessen en de inrichting van technische systemen.

Volgens de CTIVD hebben de AIVD en MIVD hard gewerkt aan het rechtzetten van deze tekortkomingen, maar zijn er nog niet. "Zij hebben ook de komende tijd nog veel werk te verzetten", aldus de toezichthouder. De meeste hoge risico's voor onrechtmatig handelen uit de eerste voortgangsrapportage van de CTIVD zijn door de beide diensten teruggebracht naar gemiddelde of beperkte risico's. Er zit echter wel een verschil in de voortgang van beide diensten.

De AIVD heeft zich gericht op het zo snel mogelijk herstellen van de tekortkomingen in beleid en werkinstructies. Het gaat om gedeeltelijk om aanpassingen op papier die nog moeten worden doorgevoerd in concrete werkprocessen en de inrichting van technische systemen. Het realiseren hiervan zal volgens de CTIVD nog enige tijd in beslag nemen.

De MIVD heeft vooral ingezet op het eerst beter in kaart brengen van de eigen werkprocessen, om vervolgens structurele verbeteringen door te voeren. Deze aanpak laat minder snel concrete resultaten zien, zo laat de toezichthouder weten. In tegenstelling tot de ict bij de AIVD, zorgt de ict-infrastructuur van de MIVD ervoor dat er beperkingen zijn in het snel realiseren van de wettelijke verplichtingen, zoals datareductie en interne controle.

De infrastructuur moet dan ook worden gemoderniseerd, maar dat is een traject van de langere adem, merkt de CTIVD op. De toezichthouder zegt begrip te hebben dat dit tijd kost, maar wil wel dat er tussentijds concrete resultaten zichtbaar worden. "De Wiv 2017 is nu inmiddels een jaar in werking en dus is het noodzakelijk dat op een zo kort mogelijke termijn kan worden voldaan aan de verplichtingen die de wet stelt", zo laat de voortgangsrapportage weten.

Onderzoeken

Verder meldt de CTIVD dat het verschillende onderzoeken zal uitvoeren, onder andere naar "bulkhacks". Het gaat hierbij om de inzet en toepassing van "hacks" waarmee de diensten een grote hoeveelheid gegevens kunnen verzamelen. De Wiv 2017 wordt twee jaar nadat die van kracht werd geëvalueerd en onderzoek naar bulkhacks is daarbij van belang. "De inzet van de hackbevoegdheid maakt van het bredere thema van bulkverwerking door de AIVD en de MIVD een belangrijk onderdeel uit", stelt de toezichthouder.

Een tweede onderzoek binnen het thema bulkverwerking door de AIVD en de MIVD richt zich op de verwerking van reisgegevens. Daarnaast heeft de toezichthouder een onderzoek naar wegingsnotities van de inlichtingendiensten aangekondigd. In een wegingsnotitie wordt per buitenlandse dienst beoordeeld of er risico’s in de samenwerking zijn te verwachten en hoe die kunnen worden ingeperkt. Verder zullen er steekproeven van het datareductiesysteem, metadata-analyse en geautomatiseerde data-analyse plaatsvinden.

De evaluatie van de Wiv 2017 staat voor volgend jaar gepland, maar eerst zal er eind dit jaar nog een derde voortgangsrapportage van de CTIVD verschijnen. "Ons streven is om dan wederom aanzienlijke stappen te hebben gezet in het beperken van de risico’s op mogelijk toekomstige onrechtmatigheden", aldus minister Ollongren van Binnenlandse Zaken en minister Bijleveld van Defensie (pdf).