Big Brother Watch e.a. t. VK (EHRM, 58170/13 e.a.) en Centrum för Rättvisa t. Zweden (EHRM, 35252/08) – Legitimering bulkinterceptie

Inleiding

1. Op 25 mei 2021 deed de Grote Kamer van het Europees Hof voor de Rechten van Mens (EHRM), in dezelfde samenstelling, uitspraak in de zaken Big Brother Watch e.a. t. Verenigd Koninkrijk (EHRM, nrs. 58170/13, 62322/14 en 24960/15) en Centrum för Rättvisa t. Zweden (EHRM, nr. 35252/08) over het in bulk verwerven van communicatie en de internationale uitwisseling van dergelijke data door inlichtingen- en veiligheidsdiensten.[1] Kortgezegd acht het EHRM bulkinterceptie mogelijk als een noodzakelijk middel ter bescherming van de nationale veiligheid en versterkt zij de waarborgen tegen misbruik ervan. In deze annotatie richten wij ons met name op de overwegingen en kwalitatieve vereisten voor nationale wetgeving omtrent bulkinterceptie, omdat voor de andere klachten weinig nieuwe ontwikkelingen zijn (zie randnrs. 3-4). Wij gaan verder kort in op de achtergrond van de zaken (randnr. 2), analyseren uitgebreid de belangrijkste overwegingen van het Hof (randnrs. 5-17), gaan na wat deze zaken betekenen voor Nederland (randnrs. 18-20) en sluiten af met een conclusie (randnr. 21).

Bulkinterceptie en Snowden

2. Bulkverwerving van communicatie en internationale gegevensuitwisseling door inlichtingen- en veiligheidsdiensten genieten brede internationale aandacht sinds de uitlatingen van Edward Snowden in 2013 over het bestaan van grootschalige ‘surveillance programmes’ van de inlichtingendiensten van de Verenigde Staten en het Verenigd Koninkrijk. Sindsdien zijn er meerdere rechtszaken op nationaal niveau over deze onderwerpen gevoerd, met name in het Verenigd Koninkrijk, maar ook in Nederland.[2] In een aantal gevallen heeft dit geleid tot zaken bij het Hof van Justitie voor de Europese Unie (HvJ EU) en het EHRM, zoals de zaak Big Brother Watch e.a. De zaak Big Brother Watch e.a. betreft drie gevoegde zaken die naast de klachten van de naamgever (nr. 58170/13), ook de klachten omvatten van Bureau of Investigative Journalism en Alice Ross t. Verenigd Koninkrijk (nr. 62322/14) en 10 Human Rights Organisations e.a. t. Verenigd Koninkrijk (nr. 24960/15). De zestien klagers in deze drie zaken zijn ofwel organisaties die zich inzetten voor de mensenrechten, ofwel journalisten. Zij hebben hun klachten ingediend na de onthullingen van Edward Snowden. De klagers meenden dat de aard van hun activiteiten met zich meebracht dat hun elektronische communicatie en gerelateerde communicatiegegevens (metadata) werden onderschept of zijn verkregen (uit het buitenland of van private aanbieders van communicatiediensten) door de inlichtingendiensten van het Verenigd Koninkrijk. De klacht in Centrum för Rättvisa t. Zweden – Centrum för Rättvisa is een Zweedse non-gouvernementele organisatie (NGO) die strategisch procedeert voor mensenrechten – dateert weliswaar van ver voor die tijd, namelijk uit 2008, maar sluit goed aan bij deze context. Ook deze NGO vreest dat, gezien de aard van haar werkzaamheden en de ruime bevoegdheden van de Zweedse inlichtingendienst tot bulkinterceptie, haar communicatie in dit ‘sleepnet’ is beland.

Klachten in Big Brother Watch e.a. en Centrum för Rättvisa

3. In beide zaken richten de klachten van belangenorganisaties zich op het bestaan van wetgeving die bulkverzameling en -verwerking van gegevens uit communicatie door inlichtingen- en veiligheidsdiensten mogelijk maken. In de eerste plaats wordt geklaagd dat bulkinterceptie in strijd zou zijn met artikel 8 EVRM (eerbiediging van de persoonlijke levenssfeer). In Centrum för Rättvisa betreft het de interceptie door een Zweedse inlichtingendienst van grote hoeveelheden (bulk) communicatie die de Zweedse grenzen passeert, met een oorsprong of bestemming in het buitenland. Het gaat om Zweedse wetgeving over ‘signals intelligence’, ook wel ‘sigint’ genoemd, dat wil zeggen het verzamelen en verwerken van gegevens afkomstig uit elektronische signalen. In essentie betreft dit vooral inhoud van gesprekken of berichten en metadata van communicatie (zoals tijd en plaats) die door de ether (bijv. via satellieten) of over de kabel worden getransporteerd. Hoewel de klacht betrekking heeft op verschillende perioden waarin steeds aangepaste wetgeving gold, gaat de Grote Kamer uit van de wetgeving die ten tijde van de behandeling door de Kamer gold (in mei 2018).[3] In Big Brother Watch e.a. gaat het ook over de verenigbaarheid van bulkinterceptie van ‘buitenlandse communicatie’ met artikel 8 van het EVRM. Deze zaak gaat nog over de vorige wetgeving in het Verenigd Koninkrijk die dit mogelijk maakte, de ‘Regulation of Investigatory Powers Act’ (RIPA) (het onderdeel over bulkinterceptie betreft ‘section 8 (4)’ van RIPA). Ondertussen heeft het Verenigd Koninkrijk een nieuwe wet aangenomen – de ‘Investigatory Powers Act 2016’ – die vanaf december 2016 stapsgewijs in werking is getreden. Toch gaat het EHRM uit van de oude wet (de RIPA), omdat voor de behandeling van de klacht de wet van toepassing is die gold ten tijde van de ontvankelijkheidsverklaring van de klachten door de Kamer (in november 2017).[4] Big Brother Watch e.a. kent nog andere klachtonderdelen. Het gaat in die zaak ook om de verenigbaarheid met artikel 8 EVRM van samenwerking tussen buitenlandse inlichtingen- en veiligheidsdiensten, met name het ontvangen van bulkgegevens door de Britse inlichtingen- en veiligheidsdiensten van buitenlandse diensten, en de toegang van de Britse diensten tot opgeslagen communicatiegegevens (metadata) bij private communicatiediensten (dit is voorzien in ‘Chapter II’ van RIPA). Verder is er geklaagd over schending van artikel 10 EVRM (vrijheid van meningsuiting) vanwege de ongeoorloofde inbreuk die bulkinterceptie, gegevensuitwisseling tussen inlichtingen- en veiligheidsdiensten, en het verkrijgen van communicatiegegevens van marktpartijen maken op vertrouwelijke communicatie van journalisten (met name bronbescherming).

4. Bij de behandeling door de Grote Kamer komen – anders dan bij de Kamer – niet alle preliminaire bezwaren en klachtonderdelen uitvoerig aan bod; deze leveren ook geen nieuwe inzichten. In beide zaken gaan de klachten over de wetgeving en de praktijk van bulkinterceptie in abstracto; klagers stellen niet het slachtoffer te zijn van een specifieke interceptiemaatregel, maar van het enkele bestaan van de wetgeving die bulkinterceptie toestaat, omdat deze zo breed is dat zij hierdoor potentieel geraakt worden. De Grote Kamer gaat, net als de Kamer in Centrum för Rättvisa, in op de vraag of is voldaan aan het slachtoffervereiste, omdat de regering volhoudt dat klager geen doelwit van de wetgeving is en dus niet zelf als slachtoffer kan worden aangemerkt. Dat was ook niet wat de klagers hadden aangevoerd; wel dat de wet dermate breed was dat in potentie alle gebruikers van telecommunicatienetwerken erdoor geraakt werden. De Grote Kamer komt, met toepassing van de geharmoniseerde slachtoffercriteria uit Roman Zakharov t. Rusland,[5] tot dezelfde conclusie als de Kamer, namelijk dat wel degelijk aan het slachtoffervereiste is voldaan vanwege de grote reikwijdte van de wet en de afwezigheid van een effectief rechtsmiddel voor toetsing van een klacht over wetgeving in abstracto. Hierdoor ontstaat het risico van publiek wantrouwen en bezorgdheid over misbruik van bevoegdheden en willekeur en is er een grotere noodzaak van toezicht door het EHRM. De klager hoeft daarom niet aan te tonen dat hij door zijn persoonlijke omstandigheden een risico loopt op toepassing van de geheime onderzoeksmethoden.[6] De klachten onder artikel 8 en 10 EVRM in Big Brother Watch e.a. over de toegang van inlichtingen- en veiligheidsdiensten tot communicatiegegevens bij aanbieders van communicatiediensten worden niet inhoudelijk behandeld door de Grote Kamer. Het EHRM overweegt dat de regering de Kameruitspraak op dit punt niet heeft betwist en het ziet ook zelf geen reden om van deze uitspraak af te wijken. Daarmee blijft de bevinding van een schending van beide EVRM-bepalingen unaniem overeind.[7] Er wordt in deze zaak ook geklaagd dat het ontvangen van gegevens (uit interceptie) van een buitenlandse inlichtingen- of veiligheidsdienst, niet behorende bij een verdragspartij bij het EVRM, een schending van artikel 8 EVRM inhoudt. Bij de behandeling van deze klacht wijkt de Grote Kamer niet noemenswaardig af van de Kamer. Net als de Kamer, oordeelt het Hof – met twaalf stemmen tegen vijf – dat er geen schending van artikel 8 EVRM is, omdat het Britse systeem voorziet in voldoende waarborgen voor de verwerking van ontvangen gegevens (bewaren, onderzoeken, gebruiken, doorgeven en vernietigen), in adequaat toezicht op de naleving hiervan en in een effectief rechtsmiddel voor klachten hierover.[8] Voor wat betreft de algemene klacht dat het ontvangen van gegevens uit het buitenland een schending inhoudt van het journalistieke brongeheim en de vrijheid van meningsuiting (art. 10 EVRM) ziet het Hof – net als de Kamer – geen aparte kwestie naast artikel 8 EVRM.[9]

Bulkinterceptie als legitiem middel in het belang van nationale veiligheid

5. Het EHRM erkent dat bulkinterceptie van vitaal belang is voor verdragsstaten teneinde gekende en ongekende bedreigingen voor hun nationale veiligheid te identificeren.[10] Het Hof benadrukt dat de bedreigingen voor staten zijn versterkt door toegenomen digitalisering en technologische ontwikkelingen. Het Hof noemt ook expliciet het gevaar van bedreigingen op cybersecuritygebied: ‘Access to such technology also permits hostile State and non-state actors to disrupt digital infrastructure and even the proper functioning of democratic processes through the use of cyberattacks, a serious threat to national security which by definition exists only in the digital domain and as such can only be detected and investigated there’. Dit maakt bulkinterceptie volgens het Hof ‘a valuable technological capacity to identify new threats in the digital domain’.[11] Het Hof volgt hiermee het standpunt van de verwerende Britse en Zweedse regering, van de interveniërende Franse en Nederlandse regering, en ook van een aantal gerenommeerde instanties, zoals de ‘European Commission for Democracy through Law’ (hierna: ‘Venice Commission’). De Venice Commission stelde dit al in zijn rapport ‘The Democratic Oversight of Signals Intelligence Agencies’ uit 2015. Daarnaast verwijst het Hof naar de Engelse ‘Independent Reviewer of Terrorism Legislation’, die in 2016 belast was met een operationele evaluatie van de beoogde verschillende bulkregimes onder de nieuwe wetgeving. Hij concludeerde dat bulkinterceptie een ‘essential capability’ is, vanwege de onvoorspelbaarheid van digitaal verkeer en de technologische mogelijkheden voor terroristen, criminelen en statelijke actoren om onzichtbaar te blijven voor traditionele inlichtingenmethoden, en dat er geen geschikt alternatief voor bestaat.[12] In lijn met eerdere jurisprudentie, erkent het Hof dat artikel 8 EVRM zich niet verzet tegen bulkinterceptie als middel ter bescherming van de nationale veiligheid en andere gewichtige belangen van de staat, en dat het binnen de grote beoordelingsruimte van de verdragsstaten op dit punt blijft vallen om te kiezen voor een dergelijk systeem.[13]

6. Tegenover het belang van bulkinterceptie staat ook het gevaar van misbruik en willekeur. Het EHRM wijst erop dat bulkinterceptie geen gericht inlichtingenmiddel op individuen is, maar communicatie van veel meer mensen onderschept: ‘In the current, increasingly digital, age the vast majority of communications take digital form and are transported across global telecommunications networks using a combination of the quickest and cheapest paths without any meaningful reference to national borders. Surveillance which is not targeted directly at indivduals therefore has the capacity to have a very wide reach indeed, both inside and outside the territory of the surveilling State.’[14] Kenmerkend aan bulk(interceptie) is dat: ‘The communications will belong to a large number of individuals, many of whom will be of no interest whatsoever to the intelligence services’.[15] Daarom staat tegenover de grote beleidsvrijheid van staten om te kiezen voor bulkinterceptie, een veel beperktere ruimte bij de inrichting en het gebruik van een dergelijk systeem. Staten moeten in voldoende waarborgen voorzien om zorg te dragen voor toegankelijke en kenbare wettelijke normen, en dat maatregelen slechts worden toegepast wanneer dit noodzakelijk is een democratische rechtsorde.[16] Hierbij herhaalt het Hof zijn overweging uit eerdere jurisprudentie dat het gaat om het treffen van een juiste balans tussen het gelijktijdig beschermen van nationale veiligheid en fundamentele rechten van burgers: ‘In view of the risk that a system of secret surveillance set up to protect national security (and other essential national interests) may undermine or even destroy the proper functioning of democratic processes under the cloak of defending them, the Court must be satisfied that there are adequate and effective guarantees against abuse’.[17]

7. Hoewel deze overwegingen van het EHRM niet nieuw zijn, is het natuurlijk van grote betekenis dat de gezaghebbende Grote Kamer – die zich alleen buigt over zaken waarin rechtsvorming of fundamentele interpretatiekwesties aan de orde zijn – bevestigt dat een systeem van bulkinterceptie op zichzelf niet onverenigbaar is met het EVRM, ondanks de gevaren die worden onderkend vanwege de enorme hoeveelheid beschikbare gegevens, en zelfs als dat betekent dat zo’n systeem – noodzakelijkerwijs – met geheimhouding is omgeven en de beoordeling van de manier waarop het werkt door het Hof slechts kan plaatsvinden op basis van beperkte informatie.[18]

Beoordelingskader voor bulkinterceptie in Big Brother Watch e.a. en Centrum för Rättvisa

8. Het beoordelingskader voor bulkinterceptie in deze uitspraken bevat een aantal nieuwe elementen ten opzichte van de Kameruitspraken en eerdere jurisprudentie van het Hof. Wij identificeren vier elementen: (1) Een graduele benadering van de mate van inbreuk van bulkinterceptie met een nadruk op de onderzoeks- en gebruiksfase, (2) de onderkenning dat bulkinterceptie wezenlijk verschilt van gerichte interceptievormen en dat dit verdere ontwikkeling van de jurisprudentie noodzakelijk maakt, (3) een aparte set van (acht) minimumwaarborgen voor bulkinterceptie met een grotere nadruk op toezicht en rechtsmiddelen, en (4) de gelijkschakeling van metadata en inhoud voor wat betreft de vereiste waarborgen. We lichten deze elementen hierna verder toe.

Element 1: Graduele benadering van de mate van inbreuk

9. Het eerste nieuwe element zijn de uitgebreide algemene overwegingen van het Hof over de vraag in hoeverre een bulkinterceptiesysteem een inbreuk maakt op de rechten uit artikel 8 EVRM.[19] Waar de Kamers een inbreuk op artikel 8 EVRM afleidden uit de potentiële geraaktheid van de klagers vanwege de reikwijdte van de bulkwetgeving, benadrukt het Hof dat een bulkinterceptiesysteem een gradueel proces oplevert van een initiële fase van verwerving tot aan het onderzoek en gebruik van specifieke gegevens, waarbij de mate van inbreuk toeneemt naarmate het proces verder wordt doorlopen. De noodzaak voor robuuste waarborgen is volgens het Hof het grootst in de stadia waarin specifieke gegevens van personen worden onderzocht en gebruikt, omdat daar de inbreuk op de rechten van individuele burgers het grootst is. Bij het bepalen van de mate van inbreuk onderscheidt het Hof vier fasen in bulkinterceptiesystemen, namelijk:

(1) De fase van verzamelen en opslag van communicatie (inhoud) en metadata van communicatie. Metadata worden ook wel ‘communicatiegegevens’ genoemd; informatie die iets vertelt over de communicatie, zoals gebruikers-, locatie- of verkeersgegevens. In deze eerste fase kan ook filtering plaatsvinden, waarbij evident niet aan het onderzoek gerelateerde gegevens worden verwijderd.

(2) De fase van het doorzoeken (vaak geautomatiseerd) van de bewaarde bulkdataset met verschillende soorten selectoren (bijvoorbeeld technische kenmerken als een telefoonnummer) of met behulp van complexe ‘query’s’ (zoekvragen). Daarbij heeft het Hof bijzondere aandacht voor wat het aanduidt als ‘sterke’ selectoren, waarbij vooraf bekend is aan welke specifieke persoon of organisatie ze toebehoren (bijvoorbeeld een e-mailadres).

(3) De onderzoeksfase, waarin een analist de ‘geselecteerde’ gegevens bekijkt, door bijvoorbeeld de inhoud van communicatie uit te luisteren of uit te lezen en metadata te analyseren.

(4) De gebruiksfase, waarin (relevante) onderzochte gegevens verder worden bewaard en gebruikt, bijvoorbeeld in inlichtingenproducten. In deze fase kunnen deze gegevens ook worden gedeeld met derde partijen (exploitatie), zoals andere instanties binnen het land, maar ook met inlichtingen- en veiligheidsdiensten van andere landen.

Het Hof benadrukt dat artikel 8 EVRM op elk van de vier stadia van toepassing is, maar dat de inbreuk het grootst is in fasen 3 en 4, waar de rechten van specifieke burgers in het geding zijn. Onder verwijzing naar eerdere jurisprudentie herhaalt het Hof dat zelfs de enkele opslag van gegevens een inbreuk op artikel 8 EVRM inhoudt, dat de noodzaak van waarborgen groter wordt als er sprake is van geautomatiseerde verwerking van persoonsgegevens, en dat hieraan niet afdoet of opgeslagen gegevens versleuteld zijn en alleen met specifieke technologie of door een klein groepje mensen kan worden ontsloten.[20]

Element 2: Verschillen tussen bulkinterceptie en gerichte interceptie

10. Het tweede nieuwe element is dat het Hof zijn eerdere jurisprudentie over geheime (gerichte en bulk) methoden tegen het licht houdt, vanwege het verschil in aard en omvang tussen gerichte interceptie (zoals telefoontaps) en bulkinterceptie, waarbij het Hof niet eerder – ook niet in zaken over bulkinterceptie zoals Weber en Saravia t. Duitsland (2006) en Liberty t. het Verenigd Koninkrijk (2008)[21] – nadrukkelijk heeft stilgestaan. Deze exercitie vindt plaats in het kader van de algemene vraag of de inbreuk gerechtvaardigd is op grond van het tweede lid van artikel 8 EVRM. Naast het bestaan van een legitiem doel zijn daarbij belangrijke criteria of er een wettelijke basis is voor bulkinterceptie, die voorziet in kenbare en voorzienbare normen en in voldoende waarborgen om de inbreuk te beperken tot wat noodzakelijk en proportioneel is in een democratische rechtsorde. De conclusie van het Hof luidt dat een aparte set van waarborgen nodig is voor bulkinterceptiesystemen. De in eerdere jurisprudentie ontwikkelde zes minimumwaarborgen vormen hierbij een bruikbaar uitgangspunt, maar moeten worden aangepast aan de specifieke kenmerken van bulkinterceptiesystemen, in het bijzonder de toenemende mate van inbreuk op de rechten uit artikel 8 EVRM naarmate de verschillende stadia van het bulkproces worden doorlopen.[22] Het Hof acht een ontwikkeling van de jurisprudentie noodzakelijk om drie redenen:

(1) De bulkregimes uit Weber en Saravia en Liberty e.a. zijn gedateerd, omdat de wijze van communicatie significant is veranderd en er nu aanzienlijke hoeveelheden digitale data voorhanden zijn.[23]

(2) De impact van de verwerking van metadata van communicatie is enorm toegenomen. Metadata kan veel persoonlijke informatie van de gebruikers onthullen, zoals de identiteit en locatie van de verzender en ontvanger(s) en van de gebruikte apparatuur. Met de huidige technieken is het mogelijk hieruit een gedetailleerd beeld van een individu te destilleren aan de hand van zijn sociale netwerken, plaatsbepalingen, internetgeschiedenis, communicatiepatronen en contactgegevens.[24]

(3) Bulkinterceptie is naar zijn aard en reikwijdte wezenlijk anders dan gerichte vormen van interceptie, zoals telefoontaps. Bulkinterceptie richt zich volgens het Hof in de meeste gevallen op ‘internationale communicatie’ of grensoverschrijdende communicatie. Het monitoren van ‘buitenlandse communicatie’ kan vaak niet op andere manieren plaatsvinden. Dit hangt ermee samen dat bulkinterceptie vaak wordt ingezet voor het vergaren van inlichtingen over het buitenland, in de strijd tegen cyberaanvallen, voor contraspionage en contraterrorisme, en (in sommige landen) ter bestrijding van ernstige georganiseerde criminaliteit. Een belangrijk verschil is volgens het Hof gelegen in de wijze waarop communicatie van individuen doelwit kan worden van bulksystemen: ‘While bulk interception is not necessarily used to target specified individuals, it evidently can be – and is – used for this purpose. However, when this is the case, the targeted individuals’ devices are not monitored. Rather, individuals are “targeted” by the application of strong selectors (such as their e-mail addresses) to the communications intercepted in bulk by the intelligence services. Only those “packets” of the targeted individuals’ communication which were travelling across the bearers selected by the intelligence services will have been intercepted in this way, and only those intercepted communications which matched either a strong selector or complex query could be examined by an analyst’.[25]

Element 3: Acht minimumwaarborgen voor bulkinterceptie

11. Het derde nieuwe element in het beoordelingskader voor bulkinterceptie betreft de vereiste minimumwaarborgen waaraan een bulkinterceptiesysteem moet voldoen. Het Hof komt in Big Brother Watch e.a. en Centrum för Rättvisa voor het eerst met een set van acht waarborgen die specifiek zijn toegesneden op de kenmerken van bulkinterceptiesystemen. Deze moeten duidelijk verankerd zijn in de nationale wetgeving waarbij bulkinterceptie wordt toegestaan. Deze acht criteria zijn: (1) gronden waarop bulkinterceptie kan worden geautoriseerd; (2) de omstandigheden waarin de communicatie van een individu kan worden verzameld; (3) de procedure die moet worden gevolgd voor autorisatie; (4) de procedures die gelden voor het selecteren, onderzoeken en gebruiken van verzameld materiaal; (5) de voorzorgsmaatregelen die zijn genomen als het gaat om het doorgeven van materiaal aan andere partijen; (6) de beperkingen op de bewaarduur, de wijze van bewaren van verzameld materiaal en de omstandigheden waarin dergelijk materiaal moet worden verwijderd en vernietigd; (7) de procedures en modaliteiten voor toezicht door een onafhankelijke autoriteit op de naleving van deze waarborgen en de bevoegdheden van die autoriteit als het gaat om het adresseren van onrechtmatig handelen; (8) de procedures voor onafhankelijk onderzoek ex post facto naar de naleving van deze waarborgen en de bevoegdheden voor het bevoegde orgaan als het gaat om het onderzoeken van eventueel onrechtmatig handelen. Hierbij gaat het volgens het Hof om ‘a wider range of criteria than the six Weber safeguards’.[26] Nieuw in het beoordelingskader is dat nu alle beoordelingscriteria de status van minimumwaarborg (‘fundamental safeguards’) hebben, in tegenstelling tot de Kameruitspraken, waarin nog werd uitgegaan van (de oude) zes minimumwaarborgen (toegankelijkheid wet en reikwijdte interceptie, duur interceptie, autorisatie, procedures voor verdere verwerking, maatregelen bij doorgifte, procedures rondom vernietiging) en drie relevante factoren die niet als minimumwaarborg kwalificeerden (toezicht, notificatievoorzieningen, rechtsmiddelen). De beoordelingscriteria die het Hof in Big Brother Watch e.a. en Centrum för Rättvisa gebruikt zijn daarom naar inhoud niet nieuw, maar er vindt wel een aanscherping plaats waarbij de nadruk verschuift naar ‘supervision and review’. We lichten dat bij randnrs. 13 en 14 verder toe.

12. Als we deze set van waarborgen nader beschouwen, levert dat het volgende beeld op. De eerdere (zes) waarborgen acht het Hof bruikbaar, maar niet onverkort toepasbaar op een bulkinterceptiesysteem. Het probleem is vooral gelegen in de formulering van de oorspronkelijke eerste twee criteria (‘nature of offences’ en ‘categories of people’), die vooral uitgaat van gerichte interceptie van communicatie van ‘verdachten’ in een opsporingsonderzoek. Ook herhaalt het Hof hier – in navolging van de Kamers – dat een ‘redelijke verdenking’ geen toepasbaar criterium is. Het Hof benadrukt dat het uitgangspunt anders is in de context van bulkinterceptie ter bescherming van de nationale veiligheid: ‘the purpose of which is in principle preventive, rather than for the investigation of a specific target and/or an identifiable criminal offence’.[27] De overige vier waarborgen uit eerdere jurisprudentie acht het Hof wel onverkort relevant. Hierbij is nieuw dat het Hof voor het eerst een nadere invulling geeft van het vijfde criterium: ‘maatregelen bij de doorgifte van gegevens uit bulkinterceptie aan andere partijen’. Het Hof vindt het in ieder geval van belang dat de doorgifte beperkt moet blijven tot het materiaal dat op een EVRM-conforme manier is verkregen en opgeslagen. Bovendien moeten er voor de doorgifte (‘transfer of data’) bijzondere waarborgen worden ingebouwd, namelijk: (1) de omstandigheden waarin een doorgifte kan plaatsvinden moeten in de nationale wet zorgvuldig worden vastgelegd; (2) de staat moet ervoor zorgen dat de ontvangende staat voldoende waarborgen biedt voor wat betreft de veilige opslag van de gegevens en beperking van het verder doorgeven van de gegevens; (3) extra waarborgen moeten worden getroffen als duidelijk is dat het doorgegeven materiaal bijzondere vertrouwelijkheid kent (bijvoorbeeld als het gaat om vertrouwelijke journalistieke gegevens); 4) de doorgifte aan buitenlandse inlichtingendiensten moet onderworpen zijn aan onafhankelijk toezicht (‘independent control’).[28] Hoewel het Hof doorgifte in het vierde – meest inbreukmakende – stadium (waarin de rechten van specifieke personen in het geding zijn) aan de orde stelt, lijkt het Hof zich bij de invulling van dit vijfde criterium niet te beperken tot ‘geselecteerde’ gegevens. Het Hof spreekt hier over ‘communicating intercept material to other parties’ en ‘material obtained by bulk interception’. Een bulkdataset kan natuurlijk als geheel worden verstrekt aan andere partijen, maar dat heeft het Hof bij de bespreking van de ernst van de inbreuk van bulkinterceptie niet aan de orde gesteld. Het is ons niet duidelijk of de waarborgen die nadere invulling geven aan het vijfde criterium ook van toepassing zijn op zo’n situatie.

13. Naast deze (al bekende) waarborgen, benadrukt het Hof dat een bulksysteem moet zijn onderworpen aan ‘end-to-end safeguards’. Dat is een nieuwe term. De introductie van de nieuwe term hangt samen met de constatering van het Hof dat het inbreukmakende karakter van bulkinterceptie toeneemt naarmate (gegevens van) specifieke personen in zicht komen in de onderzoeks- en gebruiksfase. Dat vereist volgens het Hof robuuste waarborgen en die vindt het Hof vooral in het samenspel van de waarborgen van autorisatie, toezicht en rechtsmiddelen: ‘In het context of bulk interception the importance of supervision and review will be amplified. (…) Therefore, in order to minimise the risk of the bulk interception power being abused, the Court considers that the process must be subject to “end-to-end safeguards”, meaning that, at the domestic level, an assessment should be made at each stage of the process of the necessity and proportionality of the measures being taken; that bulk interception should be subject to independent authorisation at the outset, when the object and scope of the operation are being defined; and that the operation should be subject to supervision and independent ex post facto review (…).’[29] Het Hof benadrukt dat onafhankelijke autorisatie, toezicht op de uitvoering en onafhankelijke ex post facto-toetsing fundamentele waarborgen zijn die de hoeksteen vormen van een bulkinterceptieregime dat verenigbaar is met artikel 8 EVRM.[30]

14. De ‘end-to-end safeguards’ werkt het Hof in Big Brother Watch e.a. en Centrum för Rättvisa nader uit:

(1) Autorisatie moet worden gegeven door een instantie – niet noodzakelijk een rechter – die onafhankelijk is van de uitvoerende macht. Het autorisatieorgaan moet worden geïnformeerd over de doelstellingen van de interceptie en de verwachte communicatieroutes (‘fibers’ of kanalen) die zullen worden geïntercepteerd (dit is te linken aan fase 1, waarin de interceptie plaatsvindt). Op die manier kan het autorisatieorgaan de noodzakelijkheid en proportionaliteit van de bulkinterceptie beoordelen en bekijken of de juiste keuzes zijn gemaakt. Voor wat betreft de toepassing van selectiecriteria of zoektermen – in de tweede fase waarin het (geautomatiseerd) doorzoeken van de geïntercepteerde gegevens plaatsvindt – vindt het Hof niet nodig dat deze allemaal worden vermeld in het toestemmingsverzoek. De inbreuk is in deze fase niet groot, omdat er nog geen inhoudelijk onderzoek van de gegevens plaatsvindt (dat is fase 3), en het Hof heeft oog voor de grote hoeveelheid selectoren die worden toegepast en de noodzaak van flexibiliteit bij de keuze van selectoren. Omdat in fase 2 wel gegevens worden geselecteerd voor nader onderzoek, vindt het Hof van belang dat ten minste in de aanvraag tot toestemming de ‘typen of categorieën van selectiecriteria’ worden vermeld.[31] Het Hof legt hierbij niet uit wat dit precies zijn. Het Hof heeft bijzondere aandacht voor wat het aanduidt als ‘sterke selectiecriteria’ dat wil zeggen selectoren (bijvoorbeeld technische kenmerken, zoals een telefoonnummer of e-mailadres) waarvan bekend is aan wie deze toebehoren (een identificeerbare persoon of organisatie) en waarmee dus communicatie (of metadata) van een specifieke persoon of organisatie kan worden gevonden. Voor het kunnen toepassen van ‘sterke’ selectoren gelden bij de autorisatie zwaardere eisen. Dan moet namelijk het gebruik van elk afzonderlijk selectiecriterium worden gerechtvaardigd met het oog op de eisen van noodzakelijkheid en proportionaliteit. Die rechtvaardiging moet zorgvuldig worden onderbouwd en gedocumenteerd. In een voorafgaand intern toestemmingsproces (‘prior internal authorisation’) moet per geval en objectief worden geverifieerd of de rechtvaardiging voldoet aan de vereisten.[32] Op dit punt volstaat dus volgens het Hof een intern toestemmingsproces, zolang het voorafgaand aan de toepassing van de selectiecriteria plaatsvindt en een objectieve toetsing behelst. In het algemeen valt bij de waarborg van autorisatie in het bulkproces op dat het Hof dit in de uitwerking koppelt aan fase 1 (interceptie) en fase 2 (doorzoeken met selectoren/query’s); de fasen waarin de inbreuk op artikel 8 EVRM niet groot is. Fasen 3 (onderzoek/analyse) en 4 (gebruik), waarin de inbreuk het grootst is, noemt het Hof hier niet; deze bouwen voort op wat er in fasen 1 en 2 is geautoriseerd. We vermoeden dat het Hof de waarde van autorisatie/controle vooraf op de toepassing van selectiecriteria en (meta)data-analyse beperkt acht, gelet op het dynamische karakter van het inlichtingenmiddel. Onduidelijk is dan immers wiens belangen getoetst moeten worden, behalve bij de toepassing van ‘sterke selectoren’ waarvoor het Hof een ‘prior internal authorisation’ voorschrijft.[33] De andere waarborgen van toezicht op de uitvoering/verdere verwerking (‘supervision’) en een effectief rechtsmiddel (‘ex post facto review’) komen hier dan een grotere rol toe. Het Hof spreekt bij autorisatie niet over het vereiste van voorafgaande bindende oordelen. ‘Voorafgaand’ kan worden ingelezen in de notie van autoriseren, maar het Hof gebruikt hier niet het woord ‘prior’, anders dan bij autorisatie van de toepassing van ‘sterke selectoren’ waar het Hof een ‘prior internal authorisation’ voorschrijft. Belangrijker is dat het Hof niet (expliciet) zegt dat de autorisatiebeslissingen een bindende status moeten hebben. Het Hof overweegt wel, net als de Kamer, dat ‘judicial authorisation is an ‘important safeguard against arbitrariness but not a “necessary requirement”.’

(2) Ieder stadium van het bulkinterceptieproces – inclusief de initiële toestemming, eventuele verlengingen, de keuze van communicatieroutes, de keuze en toepassing van selectiecriteria en zoektermen (query’s), het gebruiken, bewaren, doorgeven en vernietigen van geïntercepteerd materiaal – moet onderhevig zijn aan toezicht door een onafhankelijke autoriteit (‘supervision’). Dit toezicht moet voldoende robuust zijn om te bewerkstelligen dat de ‘inbreuk’ beperkt blijft tot wat noodzakelijk is in een democratische samenleving, ook weer in het licht van de eisen van noodzakelijkheid en proportionaliteit. Het Hof overweegt dat: ‘In particular, the supervising body should be in a position to assess the necessity and proportionality of the action being taken, having due regard to the corresponding level of intrusion into the Convention rights of the persons likely to be affected.’ Om dit toezicht mogelijk te maken moeten de inlichtingendiensten zorgvuldig documenteren wat er in de verschillende stadia van het proces gebeurt.[34] Bij deze waarborg spreekt het Hof niet expliciet van het kunnen geven van bindende oordelen, zoals het dat wel doet bij ‘ex post facto review’. Dat zou kunnen worden ingelezen in de vereiste ‘robuustheid van het toezicht’, maar het staat er niet als zodanig.

(3) Een ‘effectief rechtsmiddel’ (‘effective ex post facto review’) moet beschikbaar zijn voor een ieder die het vermoeden heeft dat zijn communicatie is verwerkt door de inlichtingendiensten, hetzij om de wettigheid van de interceptie aan te vechten, hetzij om de verenigbaarheid van het regime met het EVRM als zodanig te betwisten. Daarbij geldt dat een notificatie van interceptie van de bevoegdheden van de bevoegde autoriteit en de geboden procedurele waarborgen aan de betrokkene(n) niet altijd nodig is, zolang het rechtsmiddel effectief is. Het Hof overweegt – voor zover bij ons bekend voor het eerst – dat een rechtsmiddel dat niet afhankelijk is van notificatie, zelfs betere waarborgen kan bieden, zeker in de context van bulkinterceptie dat vaak gericht is op buitenlandse communicatie.[35] Vanwege de beperkte waarde noemt het Hof ‘notificatievoorzieningen’ daarom niet als apart beoordelingscriterium, zoals bij de Kamers wel het geval was. Of een rechtsmiddel effectief is, wordt bepaald aan de hand van de bevoegdheden van de bevoegde autoriteit en de geboden procedurele waarborgen. Het orgaan hoeft geen rechterlijke instantie te zijn. Van belang is dat het orgaan onafhankelijk is van de uitvoerende macht en een eerlijke – en zoveel als mogelijk een op tegenspraak gerichte – procedure garandeert. De oordelen moeten gemotiveerd én juridisch bindend zijn, onder meer met betrekking tot de beëindiging van onrechtmatige interceptie en het vernietigen van onrechtmatig verkregen of opgeslagen data.[36] Hiermee geeft het Hof een duidelijk overzicht van de vereisten van een effectief rechtsmiddel.

Element 4: Gelijkschakeling van metadata en inhoud

15. Het vierde en laatste vernieuwende element in Big Brother Watch e.a. en Centrum för Rättvisa betreft de gelijkschakeling van metadata van communicatie aan inhoudelijke communicatie voor wat betreft de toepasselijkheid van de hierboven besproken waarborgen. De Kamer in Big Brother Watch e.a. vond het in de eerdere behandeling niet nodig te beslissen over de toepasselijkheid van de minimumwaarborgen op interceptie van metadata, maar beoordeelde enkel of de uitsluiting van deze waarborgen die voor inhoud gelden, proportioneel was ten opzichte van het doel ervan.[37] De Kamer concludeerde dat er geen juiste balans was getroffen door de categorie gerelateerde communicatiegegevens als geheel uit te sluiten van de waarborgen uit artikel 16 RIPA.[38] De Grote Kamer besluit daarentegen dat inhoud en gerelateerde metadata aan dezelfde waarborgen onderhevig moeten zijn.[39] Het Hof acht het vooral een tekortkoming in Big Brother Watch e.a. dat de maximale bewaartermijn voor dergelijke gegevens – met het oog op het vereiste van voorzienbaarheid – niet is vastgelegd in wetgeving.[40]

Strijd met artikel 8 EVRM

16. Bij de beoordeling of een bulkinterceptiesysteem in overeenstemming met artikel 8 EVRM is, zegt het Hof een algehele beoordeling (‘global assessment’) van de inrichting en de werking van het systeem te maken. Hierbij ligt de nadruk op de vraag of de wettelijke regeling in voldoende waarborgen tegen misbruik en willekeur voorziet en of het bulkinterceptieregime is voorzien van ‘end-to-end safeguards’: ‘In doing so, it will have regard to the actual operation of the system of interception, including the checks and balances on the exercise of power, and the existence or absence of any evidence of actual abuse’.[41] Wat betekent dit voor de beoordeling van het Hof in Big Brother Watch e.a. en Centrum för Rättvisa? Het Hof komt tot de conclusie dat in beide landen tekortkomingen in het bulkinterceptiesysteem en in bijpassende waarborgen bestaan en concludeert dat artikel 8 EVRM is geschonden. In Big Brother Watch e.a. bereikt het die conclusie – verwijzend naar nagenoeg dezelfde gebreken als de Kamer – vanwege onvoldoende ‘end-to-end waarborgen’ in de RIPA tegen willekeur en machtsmisbruik. Met name gaat het om het ontbreken van onafhankelijke autorisatie, het niet-noemen van de ‘typen of categorieën van selectiecriteria’ in de voorafgaande aanvraag tot toestemming en de afwezigheid van een interne toestemmingsprocedure voor de toepassing van (sterke) selectiecriteria waarvan bekend is aan welke individuen ze toebehoren.[42] In Centrum för Rättvisa oordeelt het EHRM – anders dan de Kamer die ondanks bepaalde gebreken geen schending vond – tot een schending van 8 EVRM vanwege het ontbreken van duidelijke regels omtrent de vernietiging van onderschepte communicatie die geen persoonsgegevens bevatten, het ontbreken van een vereiste afweging van individuele privacybelangen bij het verstrekken van gegevens aan buitenlandse partners in de toepasselijke regelgeving, en het ontbreken van een effectief rechtsmiddel (‘ex post facto review’) vanwege de duale rol van de onafhankelijke ‘Inspectorate’ als toezichthouder, waaronder het nemen/goedkeuren van operationele beslissingen, en als klachtbehandelaar, waarbij er geen verplichting is tot het geven van gemotiveerde beslissingen op klachten.[43]

Rechten van journalisten en bulkinterceptie

17. Ten slotte verdienen de overwegingen in Big Brother Watch e.a. over bulkinterceptie en de in artikel 10 EVRM vervatte rechten van journalisten, zoals bronbescherming, onze aandacht. In de eerdere zaak Weber en Saravia achtte het Hof de inbreuk van het Duitse bulkinterceptie-systeem op journalistieke bronbescherming marginaal, omdat het bulkregime niet gericht was op het monitoren van journalisten en het onthullen van hun bronnen. De klacht werd daarom, en vanwege het bestaan van bepaalde waarborgen, kennelijk ongegrond verklaard. In Big Brother Watch e.a. overweegt het Hof dat als er een grote kans is dat onderzoek van vertrouwelijke communicatie(gegevens) van journalisten plaatsvindt en daarmee mogelijk tot de onthulling van hun bronnen leidt, het nationale bulksysteem in robuuste waarborgen dient te voorzien met betrekking tot het bewaren, onderzoeken, gebruiken, doorgifte en vernietiging van dergelijk vertrouwelijk materiaal. Daarbij maakt het niet uit of het doel van de inlichtingendiensten is om toegang tot vertrouwelijk journalistiek materiaal te krijgen, bijvoorbeeld door de toepassing van selectiecriteria of zoektermen (zoals technische kenmerken) waarvan bekend is dat die toebehoren aan een individuele journalist of persorganisatie, ongeacht of dit gericht is op het onthullen van zijn bron(nen), of dat deze toegang tot journalistiek materiaal het gevolg is van bijvangst. In het eerste geval is de inbreuk vergelijkbaar met die van de doorzoeking van een woning of kantoor van een journalist; dat is een situatie die nog ingrijpender is dan de opdracht aan een journalist om zijn bron(nen) te onthullen, omdat bij doorzoeking toegang kan worden verkregen tot al het materiaal van de journalist.[44] In de situatie waarbij selectoren of zoektermen worden gebruikt waarvan bekend is dat die toebehoren aan een bepaalde journalist of persorganisatie, bestaat volgens het Hof een grote mate van zekerheid dat aanzienlijke hoeveelheden vertrouwelijke journalistieke gegevens uit de bulk worden geselecteerd voor onderzoek. Tegenover deze inbreuk op de persvrijheid en bronbescherming, dient een voldoende waarborg te staan. Om die reden is in die situatie voorafgaande autorisatie door een rechter of andere onafhankelijke entiteit nodig die de bevoegdheid heeft om te onderzoeken of de doorzoeking en de daarbij gehanteerde selectiecriteria worden gerechtvaardigd door een dwingend maatschappelijk belang en of er andere, minder inbreuk makende middelen beschikbaar zijn.[45] In de situatie waarin journalistieke gegevens ‘bijvangst’ zijn, dus zonder dat zij doelbewust zijn geselecteerd, is een dergelijke voorafgaande specifieke autorisatie niet mogelijk, maar is deze wel nodig zodra blijkt dat journalistieke gegevens zijn geselecteerd, zodat verdere opslag en onderzoek van dit vertrouwelijke materiaal alleen plaatsvindt indien sprake is van een dwingend publiek belang.[46] In Big Brother Watch e.a. concludeert het Hof op vergelijkbare gronden als ten aanzien van artikel 8 EVRM dat er in het Verenigd Koninkrijk weliswaar bepaalde waarborgen beschikbaar zijn, maar dat die niet toereikend zijn. Met name als het gaat om opslag en onderzoek van gebleken journalistieke gegevens zijn er volgens het Hof tekortkomingen, zodanig dat artikel 10 EVRM (unaniem) is geschonden.[47]

Betekenis voor de Nederlandse situatie

18. De uitspraken zijn ook van belang voor de discussie in Nederland over bulkinterceptie. Sinds 1 mei 2018 is er een nieuwe wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017). Deze werd tijdens de totstandkoming ervan in de volksmond steevast aangeduid als ‘sleepwet’, vanwege de introductie van een bevoegdheid tot bulkinterceptie (‘onderzoeksopdrachtgerichte interceptie’ genoemd) op de kabel door de Algemene en Militaire Inlichtingen- en Veiligheidsdiensten (AIVD en MIVD). Onder de Wiv 2002 bestond al een bevoegdheid tot bulkinterceptie in de ether, zoals de interceptie van communicatie die via satellieten verloopt. Na de Kameruitspraken in Big Brother Watch e.a. en Centrum för Rättvisa, hebben wij al betoogd dat de Wiv 2017 niet noodzakelijkerwijs gewijzigd moet worden.[48] Voor bulkinterceptie biedt de Wiv 2017 strenge waarborgen, waaronder het ‘getrapte’ systeem van bulkinterceptie met drie verschillende bijzondere bevoegdheden die zien op interceptie, optimalisatie van het proces en analyse,[49] waarvoor een voorafgaande toestemming is vereist door de minister van Defensie (voor de MIVD) of Binnenlandse Zaken en Koninkrijksrelaties (BZK) (voor de AIVD) en daarna een bindende rechtmatigheidstoets van een onafhankelijke instantie, de ‘Toetsingscommissie Inzet Bevoegdheden’ (TIB). Het Nederlandse systeem van onderzoeksopdrachtgerichte interceptie onderscheidt daarmee drie fasen (die nauw met elkaar zijn verweven): 1) de interceptie zelf, 2) de optimalisatie van het interceptie- en selectieproces (‘search gericht op interceptie’ en ‘search gericht op selectie’) en 3) de nadere analyse van de onderschepte gegevens uit interceptie (selectie en geautomatiseerde data-analyse op metadata).[50] Zoals wij in 2019 concludeerden ‘voldoet het systeem daarmee aan een belangrijk kritiekpunt in de Big Brother Watch e.a.-zaak over voorafgaande toestemming en toezicht op de nadere analyse van de gegevens met het oogmerk om kennis te nemen van de inhoud (het selectieproces)’.[51] Kort gezegd brengen de Grote Kameruitspraken daar geen verandering in.

19. In de tussentijd heeft de discussie over bulkinterceptie zich verder ontwikkelt in een bredere discussie over bulkbevoegdheden. De TIB signaleerde al in haar eerste jaarverslag dat de Wiv 2017 alleen voorziet in een bulkregime voor onderzoeksopdrachtgerichte interceptie (bulkinterceptie), maar niet voor andere bijzondere bevoegdheden, zoals de hackbevoegdheid, waarmee ook gegevens in bulk kunnen worden verzameld.[52] De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) heeft de wetgever aanbevolen meer waarborgen in de Wiv te introduceren voor het verzamelen van – en nader verwerken van gegevens uit – ‘bulkdatasets’. Bulkdatasets zijn grote gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden.[53] Ook de Commissie Evaluatie Wiv 2017 (hierna: de Commissie Jones-Bos), die twee jaar na inwerkingtreding van de Wiv 2017 de gehele wet tegen het licht heeft gehouden, beveelt aan een speciale paragraaf in de Wiv op te nemen voor ‘bulkbevoegdheden’ (waaronder de hackbevoegdheid).[54] De Commissie Jones-Bos beveelt echter ook aan de bestaande selectiebevoegdheid bij bulkinterceptie (en mogelijk straks ook voor andere bulkbevoegdheden) intern te beleggen, dus zonder voorafgaande toestemming van de ministers en zonder rechtmatigheidstoets van de TIB.[55] Het demissionair kabinet heeft laten weten de aanbevelingen van de Commissie Jones-Bos te ‘omarmen’ en is voornemens tot een nieuwe wet te komen.[56] Met de vier gewijzigde elementen in het beoordelingskader uit de Big Brother Watch e.a. en Centrum för Rättvisa-uitspraken in het achterhoofd, moet de wetgever nagaan in hoeverre de aanbeveling van de evaluatiecommissie om de huidige selectiebevoegdheid uit artikel 50 Wiv 2017 (kennis nemen van inhoudelijke communicatie) intern te beleggen, geheel kan worden overgenomen. Het Hof geeft in de uitspraken aan dat tenminste de ‘typen of categorieën van selectiecriteria’ moeten worden opgenomen in de aanvraag. Behalve een verwijzing naar het Zweedse systeem waarin dit kennelijk gebruikelijk is, licht het Hof niet toe wat hieronder precies moet worden verstaan. De Nederlandse en Engelse regering hebben juist aangevoerd dat dit niet werkbaar is in hun systemen. Als we een poging doen dit criterium te vertalen naar de Nederlandse situatie dan denken wij dat aansluiting kan worden gevonden bij twee bepalingen in de huidige Wiv 2017, namelijk (1) een weergave en motivering van de filtersystematiek in de aanvraag van artikel 48 Wiv 2017, omdat filtering het instrument is waarmee de diensten de geïntercepteerde gegevensstroom kunnen terugbrengen tot die gegevens die relateren aan de onderliggende onderzoeksopdrachten, dus de gegevens die in potentie voor onderzoek in aanmerking komen.[57] En (2) de toestemming voor selectie ex. artikel 50 Wiv 2017, waarbij de diensten een beschrijving geven van personen of organisaties of een omschrijving van het onderwerp ten aanzien waarvan de selectiebevoegdheid wordt toegepast. Bij de toepassing van ‘sterke selectoren’, zoals telefoonnummers en e-mailadressen, waar het Hof een ‘prior internal authorisation’ voorschrijft, is de autorisatie dan intern de diensten belegd en worden deze niet aan de TIB voorgelegd, dit in tegenstelling tot de bredere ‘typen of categorieën van selectiecriteria’, in de Nederlandse context gaat het dan om personen, organisaties en onderwerpen. Bij het nadenken over een nieuwe regeling in de Wiv voor bulkbevoegdheden, en met het oog op de overweging van het Hof dat er geen onderscheid meer is tussen inhoud en metadata voor wat betreft de toepasselijke waarborgen, is het vooral ook van belang zicht te houden op de samenhang in de bepalingen. Ook moet de wetgever onzes inziens expliciet stellen dat de aanvraag tot de inzet van bijzondere bevoegdheden op journalisten langs de rechtbank Den Haag moet, net zoals dat nu al geregeld is voor de inzet van bijzondere bevoegdheden op journalisten voor zover de uitoefening kan leiden tot verwerving van gegevens inzake de bron van de journalist ex. artikel 30 Wiv 2017. Als de communicatie van journalisten als bijvangst nader wordt onderzocht (op inhoud of metadata) moet dan worden aangesloten bij de regeling die hiervoor geldt voor communicatie van advocaten ex. artikel 27 lid 2 Wiv 2017.

20. Het nieuwe element van een grotere nadruk op toezicht en effectieve rechtsmiddelen van het EHRM in Big Brother Watch e.a. en Centrum för Rättvisa – in ieder geval waar het bulkinterceptie betreft – nodigen uit tot een nieuwe blik op de voorstellen van de evaluatiecommissie omtrent toezicht en de introductie van een rol van de bestuursrechter. De Commissie Jones-Bos doet de aanbeveling het ‘harde’ onderscheid tussen de TIB en de CTIVD (in organisatie, bedrijfsvoering en taken) te handhaven.[58] Eerder deden de Commissie Dessens (die de Wiv 2002 evalueerde) en de Raad van State in zijn advies over het concept-wetsvoorstel voor de huidige Wiv de aanbeveling om onafhankelijke autorisatie en toezicht te beleggen bij één toezichthouder.[59] De evaluatiecommissie op de Wiv 2017 stelt ook voor een nieuwe rol van een bestuursrechter te introduceren bij de Afdeling Bestuursrecht van de Raad van State voor wat betreft de reikwijdte en invulling van het toezicht (door de TIB, CTIVD en klachtafdeling), al dan niet naar aanleiding van een concrete zaak: ‘Deze rechter bepaalt de grenzen van het speelveld van toezicht door de uitleg van wettelijke begrippen, de invulling van toetsingsnormen en de intensiteit van de toetsing.’[60] Het zou dan gaan om een richtinggevende uitspraak van de bestuursrechter die volgens de evaluatiecommissie de vorm kan krijgen van een verzoekschriftprocedure of prejudiciële beslissing. Ook zou de bestuursrechter een rol krijgen als beroepsinstantie indien de minister/dienst het niet eens is met de wijze waarop de TIB in een concreet geval gebruik heeft gemaakt van haar toezichtsbevoegdheden of de minister/klager het niet eens is met een uitspraak van de afdeling klachtbehandeling van de CTIVD. Thans is geen ‘beroep’ mogelijk op een onrechtmatigheidsoordeel van de TIB op een aanvraag tot de inzet van een bijzondere bevoegdheid. De CTIVD heeft geen bindende bevoegdheden, bijvoorbeeld om een gegevensverwerking stop te zetten als na onderzoek de gegevensverwerking onrechtmatig blijkt (zoals de Autoriteit Persoonsgegevens deze bevoegdheid bijvoorbeeld wel heeft met betrekking tot andere overheidsinstanties), met uitzondering van beslissingen van de afdeling klachtbehandeling van de CTIVD. Volgens de Commissie Jones-Bos zou de bestuursrechter een rol moeten spelen bij de ‘invulling van toetsingsnormen’ en de ‘uitleg van wettelijke normen en begrippen’, omdat in de praktijk de AIVD en de MIVD het niet altijd met de TIB en de CTIVD eens zijn bij de interpretatie van artikelen in de Wiv 2017. De Ministers/diensten hadden niet voorzien dat de toezichthouders het laatste woord zouden hebben over de uitleg van de wettelijke begrippen en criteria, en de wijze waarop zij hieraan toetsen. Volgens de evaluatiecommissie is het niet alleen praktisch onwenselijk, maar ook principieel niet passend dat een toezichthouder het laatste woord heeft.[61] Wij vinden de voorgestelde rol van de Raad van State als prejudiciële instantie bijzonder en afwijkend van de rol die de (bestuurs)rechter in het Nederlandse rechtsstelsel heeft. Normaal gesproken oordeelt de rechter pas na een bindende beslissing/besluit van een toezichthouder (bijvoorbeeld bij een onrechtmatigheidsverklaring waar de ondertoezichtgestelde het niet mee eens is). Wij leiden uit Big Brother Watch e.a. en Centrum för Rättvisa af dat het EHRM het met name in het kader van een ‘effective remedy’ belangrijk vindt dat bindende beslissingen door een onafhankelijke of rechterlijke instantie genomen kunnen worden. De afdeling klachtbehandeling van de CTIVD lijkt aan de eis van een onafhankelijke beoordeling te voldoen.[62] Als Nederland verder wil gaan dan dit minimale vereiste, is het in het kader van het samenspel van de waarborgen van autorisatie, toezicht en rechtsmiddelen en ‘end-to-end safeguards’ raadzaam te heroverwegen of de TIB en de CTIVD niet samen kunnen gaan[63] en is het van belang de (eventuele) rol en taak van een bestuursrechter in lijn te brengen met wat gebruikelijk is in het Nederlands toezichts- en rechtssysteem.

Afsluiting

21. In Big Brother Watch e.a. en Centrum för Rättvisa legitimeert het EHRM bulkinterceptie ter bescherming van de nationale veiligheid, maar verbindt hier strenge voorwaarden aan die verdragsstaten in nationale wet- en regelgeving moeten verankeren. Door de klagers (NGO’s die opkomen voor fundamentele rechten) zullen de uitspraken waarschijnlijk als een teleurstelling worden gezien. De uitspraken hebben in ieder geval vanuit de wetenschappelijke hoek tot flinke kritiek geleid.[64] Wij zijn positiever, omdat het EHRM zijn inzicht laat zien in het inlichtingenproces en het bulkinterceptiesysteem van inlichtingen- en veiligheidsdiensten. Over de nieuwe elementen in het beoordelingskader, met name de aanscherping van de toepasselijke (minimum)waarborgen voor bulkinterceptie met een grotere nadruk op toezicht en rechtsmiddelen (‘end-to-end safeguards’) en gelijkschakeling van metadata en inhoud voor wat betreft de vereiste waarborgen, zijn wij ook te spreken. Het is eerder een pragmatische dan een principiële benadering van de bescherming van grondrechten bij deze extreme bevoegdheden, maar de uitspraken bieden een werkbaar kader aan de hand waarvan daadwerkelijk bescherming kan worden geboden aan de rechten en vrijheden van de betrokkenen.

Mireille Hagens en Jan-Jaap Oerlemans

Beiden zijn werkzaam als senior-onderzoeker bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Jan-Jaap Oerlemans is daarnaast bijzonder hoogleraar Inlichtingen en Recht aan de Universiteit Utrecht. Deze bijdrage is op persoonlijke titel geschreven.

[1] Beide zaken zijn eerder behandeld door Kamers van het EHRM die uitspraak deden op 19 juni 2018 in Rättvisa («EHRC» 2018/196, m.nt. Hagens) en op 13 september 2018 in Big Brother Watch e.a. (EHRC 2018/208, m.nt. Hagens en Computerrecht 2018/252, m.nt. J.J. Oerlemans).

[2] Zie Rb. Den Haag 23 juli 2014, ECLI:NL:RBDHA:2014:8966, Hof Den Haag 14 maart 2017, ECLI:NL:GHDHA:2017:535 en HR 7 september 2018, ECLI:NL:HR:2018:1434 (Burgers t. Plasterk). De klacht zag erop dat de Nederlandse inlichtingen- en veiligheidsdiensten onrechtmatig hebben gehandeld door (bulk)gegevens te ontvangen van met name de Britse en Amerikaanse inlichtingendiensten (GCHQ en NSA) die deze gegevens in strijd met internationale mensenrechtenverdragen hadden verzameld. Bij alle instanties is de klacht afgewezen. Zie ook O.L. van Daalen, ‘Burgers tegen Plasterk: het Nederlands staartje van de Snowden-saga’, Ars Aequi 2015/0287, p. 287-293. In het Verenigd Koninkrijk zijn meerdere zaken voor het ‘Investigatory Powers Tribunal’ (IPT) gevoerd, waarvan sommige ten grondslag lagen aan de zaak Big Brother Watch e.a. bij het EHRM en andere hebben geleid tot zaken bij het HvJ EU, zoals Privacy International/Secretary of State e.a. (HvJ EU 6 oktober 2020, C-623/17, ECLI:EU:C:2020:790, JBP 2021/1, m.nt. J.J. Oerlemans & M. Hagens.

[3] Centrum för Rättvisa, par. 150-151.

[4] Big Brother Watch e.a., par. 270.

[5] Roman Zakharov t. Rusland, nr. 47143/06, EHRM (GK) 4 december 2015, ECLI:CE:ECHR:2015:1204JUD004714306, NJ 2017/185, m.nt. Dommering, «EHRC» 2016/87, m.nt. Hagens. In deze zaak formuleert het Hof twee criteria waaraan voldaan moet zijn om te kunnen zeggen dat een klager het slachtoffer is van het enkele bestaan van (wetgeving die voorziet in) geheime onderzoeksmethoden: 1) De reikwijdte van de wet. Hierbij wordt bezien of klager potentieel erdoor geraakt kan worden, ofwel vanwege zijn persoonlijke omstandigheden omdat hij tot een bepaalde groep behoort waar de wet op is gericht, ofwel omdat de wet zo breed is dat het in potentie van toepassing kan zijn op alle gebruikers van (tele)communicatienetwerken. 2) De beschikbaarheid van nationale rechtsmiddelen om de toepassing van deze wetgeving aan te vechten. Hierbij maakt het Hof de indringendheid van zijn onderzoek afhankelijk van de effectiviteit van deze rechtsmiddelen. Als er geen effectief rechtsmiddel is, dan bestaat een grotere noodzaak van toezicht door het EHRM, en acht het Hof toetsing van wetgeving in abstracto gerechtvaardigd. Als er wel een effectief rechtsmiddel bestaat, moet een klager aantonen dat hij als gevolg van zijn persoonlijke omstandigheden hij een risico loopt om aan deze methoden onderworpen te worden (par. 171).

[6] Centrum för Rättvisa, par. 170, 175-177. In Big Brother Watch e.a. hoeft de Grote Kamer zich niet meer te buigen over de kwesties van uitputting nationale rechtsmiddelen en IPT als effectief rechtsmiddel, zie par. 271.

[7] Big Brother Watch e.a., par. 521-522 en par. 527-528.

[8] Big Brother Watch e.a., par. 496-499, 510-514.

[9] Big Brother Watch e.a., par. 516.

[10] Big Brother Watch e.a., par. 424; Centrum för Rättvisa, par. 365.

[11] Big Brother Watch e.a., par. 323; zie ook Centrum för Rättvisa, par. 237.

[12] Big Brother Watch e.a., par. 424; Centrum för Rättvisa, par. 365.

[13] Big Brother Watch e.a., par. 338, 340, 347; Centrum för Rättvisa, par. 252, 254, 261. Zie eerder ook Roman Zakharov t. Rusland, nr. 47143/06, EHRM (GK) 4 december 2015, ECLI:CE:ECHR:2015:1204JUD004714306, «EHRC» 2016/87, m.nt. Hagens, EHRM 29 juni 2006, Weber en Saravia t. Duitsland, nr. 54934/00, ECLI:CE:ECHR:2006:0629DEC005493400, «EHRC» 2007/13, m.nt. Loof, EHRM 1 juli 2008, Liberty e.a. t. het Verenigd Koninkrijk, nr. 58243/00, ECLI:CE:ECHR:2008:0701JUD005824300, «EHRC» 2008/100, m.nt. Van der Velde.

[14] Big Brother Watch e.a., par. 322; Centrum för Rättvisa, par. 236.

[15] Big Brother Watch e.a., par. 326; Centrum för Rättvisa, par. 240.

[16] Big Brother Watch e.a., par. 347; Centrum för Rättvisa, par. 261. Zie eerder ook Roman Zakharov (reeds aangehaald) en Szabό en Vissy, EHRM 12 januari 2016, nr. 37138/14, ECLI:CE:ECHR:2016:0112JUD003713814.

[17] Big Brother Watch e.a., par. 339; Centrum för Rättvisa, par. 253.

[18] Big Brother Watch e.a., par. 322-323; Centrum för Rättvisa, par. 236-237.

[19] Big Brother Watch e.a., par. 324-331; Centrum för Rättvisa, par. 238-245.

[20] Big Brother Watch e.a., par. 330; Centrum för Rättvisa, par. 244.

[21] Weber en Saravia t. Duitsland, EHRM 29 juni 2006, nr. 54934/00, ECLI:CE:ECHR:2006:0629DEC005493400, «EHRC» 2007/13, m.nt. Loof, EHRM 1 juli 2008, Liberty e.a. t. Verenigd Koninkrijk, nr. 58243/00, ECLI:CE:ECHR:2008:0701JUD005824300, «EHRC» 2008/100, m.nt. Van der Velde

[22] Big Brother Watch e.a., par. 347; Centrum för Rättvisa, par. 261.

[23] Big Brother Watch e.a., par. 341; Centrum för Rättvisa, par. 255.

[24] Big Brother Watch e.a., par. 342; Centrum för Rättvisa, par. 256.

[25] Big Brother Watch e.a., par. 346; Centrum för Rättvisa, par. 260.

[26] Big Brother Watch e.a., par. 361, Centrum för Rättvisa, par. 275.

[27] Big Brother Watch e.a., par. 348; Centrum för Rättvisa, par. 262.

[28] Big Brother Watch e.a., par. 362; Centrum för Rättvisa, par. 276.

[29] Big Brother Watch e.a., par. 349-350; Centrum för Rättvisa, par. 263-264.

[30] Big Brother Watch e.a., par. 350; Centrum för Rättvisa, par. 264.

[31] Big Brother Watch e.a., par. 354; Centrum för Rättvisa, par. 268.

[32] Big Brother Watch e.a., par. 351-355; Centrum för Rättvisa, par. 265-269.

[33] M. Hagens, ‘Toezicht in de Wiv 2017: Kansen en uitdagingen voor een effectief en sterk toezichtstelsel’, Justitiële Verkenningen, Geheime diensten in de democratische rechtsstaat, 2018/1, Boomjuridisch, p. 94.

[34] Big Brother Watch e.a., par. 356; Centrum för Rättvisa, par. 270.

[35] Big Brother Watch e.a., par. 358; Centrum för Rättvisa, par. 272.

[36] Big Brother Watch e.a., par. 359; Centrum för Rättvisa, par. 273.

[37] Kameruitspraak Big Brother Watch e.a., par. 352.

[38] Kameruitspraak Big Brother Watch e.a., par. 357.

[39] Big Brother Watch e.a., par. 363-364; Centrum för Rättvisa, par. 277-278.

[40] Big Brother Watch e.a., par. 423.

[41] Big Brother Watch e.a., par. 360; Centrum för Rättvisa, par. 274.

[42] Big Brother Watch e.a., par. 425-427.

[43] Centrum för Rättvisa e.a., par. 369.

[44] Big Brother Watch e.a, par. 448.

[45] Big Brother Watch e.a., par. 444-445, 448.

[46] Big Brother Watch e.a., par. 449-450.

[47] Big Brother Watch e.a., par. 451-458.

[48] J.J. Oerlemans & M. Hagens, ‘Privacy en bulkinterceptie in de Wiv 2017’, Ars Aequi 2019/7, p. 560-568.

[49] De verschillende bijzondere bevoegdheden bij onderzoeksopdrachtgerichte interceptie zijn geregeld in de artikelen 48 (interceptie), 49 (search gericht op interceptie en search gericht op selectie), en 50 (selectie/kennisnemen van inhoud en geautomatiseerde data-analyse op metadata, voor zover gericht op het identificeren van personen of organisaties) Wiv 2017.

[50] Zie voor meer informatie over het bulkinterceptiesysteem in de Wiv 2017: J.J. Oerlemans & M. Hagens, ‘De Wet op de inlichtingen- en veiligheidsdiensten 2017: een technologisch gedreven wet’, Computerrecht 2018/111, nr. 3, p. 130-141.

[51] J.J. Oerlemans & M. Hagens, ‘Privacy en bulkinterceptie in de Wiv 2017’, Ars Aequi 2019/7, p. 568.

[52] TIB jaarverslag 2018/19, p. 12-13, www.tib-ivd.nl.

[53] CTIVD-rapport nr. 70 (bulkhacks), nr. 71 (passagiersgegevens) (2020), www.ctivd.nl.

[54] Aanbeveling 1 evaluatierapport Wet op de inlichtingen- en veiligheidsdiensten 2017, januari 2021, Kamerstukken II 2020/21, 34588, 88 (bijlage); Kamerstukken I 2020/21, 34588, N (bijlage).

[55] Aanbeveling 8 evaluatierapport Wet op de inlichtingen- en veiligheidsdiensten 2017.

[56] Kabinetsreactie op evaluatierapport Wiv 2017 (maart 2021), Kamerstukken II 2020/21, 34588, 89; Kamerstukken I, 2020/21, 34588, O.

[57] Zie ook J.J. Oerlemans & Q.A.M. Eijkman, ‘Evaluatie Wiv 2017: betere uitvoerbaarheid, ten koste van privacy?’, Tijdschrift voor Internetrecht 2021, nr. 3, p. 95-101.

[58] Zie aanbeveling 40-42 evaluatierapport Wet op de inlichtingen- en veiligheidsdiensten 2017.

[59] Evaluatie Wet op de inlichtingen- en veiligheidsdiensten 2002, Naar een nieuwe balans tussen bevoegdheden en waarborgen (rapport van de Commissie evaluatie Wiv 2002) (Commissie Dessens), december 2013, p. 104: ‘Naast een verandering in de juridische status van het rechtmatigheidsoordeel van de CTIVD, kan het toezicht ook versterkt worden door bepaalde (categorieën van) lastgevingen direct na de verstrekking op rechtmatigheid te toetsen. Omdat bij de inzet van bijzondere bevoegdheden in sommige situaties diep wordt ingegrepen op grondrechten, acht de evaluatiecommissie het gewenst dat de CTIVD direct na de toestemmingverlening door de minister een oordeel geeft over de rechtmatigheid van de inzet van dergelijke bevoegdheden. Advies afdeling advisering Raad van State, Kamerstukken II 2016/17, 34 588, nr. 4, p. 17: ‘De Afdeling onderkent dat het wetsvoorstel met de invoering van de TIB althans in formele zin voldoet aan de jurisprudentie van het EHRM, waar het gaat om de daarin geformuleerde wenselijkheid van een voorafgaande, onafhankelijke en bindende juridische toetsing. Op de hiervoor genoemde materiële gronden – ontleend aan het vereiste van daadwerkelijke effectiviteit van het toezicht – meent de Afdeling deze keuze evenwel ernstig te moeten ontraden. Naar haar oordeel zal een gespecialiseerde instantie – niet alleen bestaande uit juristen, maar ook uit veiligheidsexperts en ict-deskundigen – welke toezicht houdt zowel op de toestemming voor de inzet van interceptiebevoegdheden als op de feitelijke uitvoering daarvan en die daardoor zicht heeft op en inzicht heeft in het samenhangende geheel van werkzaamheden van de diensten, in zijn functioneren als toezichthouder beduidend effectiever zijn dan de TIB.(…) Het ligt gelet op het bovenstaande meer voor de hand om de CTIVD, de huidige toezichthouder, als de gespecialiseerde instantie aan te wijzen die toezicht houdt over het geheel.’

[60] Aanbeveling 47 en 48 evaluatierapport Wet op de inlichtingen- en veiligheidsdiensten 2017 en p. 136-140 (‘aanvullende rol Raad van State’).

[61] Evaluatierapport Wet op de inlichtingen- en veiligheidsdiensten 2017, p. 135-136.

[62] A.H. Toe Laer, ‘Klachtbehandeling in de WIV 2017. Een belangrijke waarborg tegen onrechtmatig handelingen van de inlichtingen- en veiligheidsdiensten’, NJB 2019/581, p. 734-738.

[63] Interessant in dit verband is de aangenomen Tweede Kamer motie-Ceder over een inventarisatie van de voor- en nadelen van het samenvoegen van TIB en CTIVD (Kamerstukken II 2020/21, 29924, nr. 219); De motie is aangenomen in het kader een commissiedebat op 9 juni 2021 over inlichtingen- en veiligheidsdiensten.

[64] Zie, o.a., Marko Milanovic, ‘The Grand Normalization of Mass Surveillance: ECtHR Grand Chamber Judgments in Big Brother Watch and Centrum för Rättvisa’, Blog of the European Journal of International Law, 26 May 2021, Nora Ni Loideain, ‘Not So Grand: The Big Brother Watch ECtHR Grand Chamber judgment’, Information Law and Policy Centre, 28 mei 2021 (blog), Eliza Watt, ‘Much Ado About Mass Surveillance – the ECtHR Grand Chamber ‘Opens the Gates of an Electronic “Big Brother” in Europe’ in Big Brother Watch v UK’, Strasbourg Observers, 28 juni 2021 (blog), Mark Klamberg, ‘Big Brother’s little, more dangerous brother’, Verfassungsblog, 1 juni 2021. Zie uiteraard ook de ‘partly concurring en partly dissenting opinion’ van de rechter Pinto de Albuquerque in Big Brother Watch e.a.