Voortgang gegevensbescherming binnen Defensie
Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2023
Brief regering
Nummer: 2022D50130, datum: 2022-11-25, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36200-X-51).
Gerelateerde personen:- Eerste ondertekenaar: K.H. Ollongren, minister van Defensie
- Eiffelrapport Onderzoek AVG bij het Ministerie van Defensie
- FGrapport Onderzoek naar social media monitoring bij het ministerie van Defensie
- Beslisnota bij: Voortgang gegevensbescherming binnen Defensie
Onderdeel van kamerstukdossier 36200 X-51 Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2023.
Onderdeel van zaak 2022Z23256:
- Indiener: K.H. Ollongren, minister van Defensie
- Voortouwcommissie: vaste commissie voor Defensie
- 2022-11-29 15:45: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2022-12-08 10:45: Procedurevergadering (Procedurevergadering), vaste commissie voor Defensie
- 2023-01-26 10:00: Verzameldebat Defensie (Commissiedebat), vaste commissie voor Defensie
- 2023-03-09 13:25: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2022-2023 |
36 200 X Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2023
32 761 Verwerking en bescherming persoonsgegevens
Nr. 51 BRIEF VAN DE MINISTER VAN DEFENSIE
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 25 november 2022
Hierbij informeer ik uw Kamer over de voortgang op het dossier gegevensbescherming binnen Defensie. De ingestelde onafhankelijke commissie Brouwer, die onderzoek verricht naar de oprichting en uitvoering van de taken van het Land Information Manoeuvre Centre (LIMC), heeft aangegeven meer tijd nodig te hebben voor een zorgvuldige uitvoering van het onderzoek. De commissie zal het eindrapport naar verwachting eind dit kalenderjaar afronden. Na ontvangst zal ik het eindrapport en de beleidsreactie hierop aan uw Kamer doen toekomen.
In de tussentijd heeft Defensie organisatie-breed gewerkt aan de verdere bewustwording en naleving van de Algemene Verordening Gegevensbescherming (AVG). Dit gebeurde aan de hand van een tweetal rapporten, te weten het Eiffel-rapport «Onderzoek AVG bij het Ministerie van Defensie» (hierna: Eiffel-rapport), het rapport van de Functionaris Gegevensbescherming «Onderzoek naar naleving
gegevensbeschermingswetgeving (Avg/Wpg) bij gebruik tools voor monitoring of scraping van social media.» (hierna: FG-rapport) en een Defensiebreed bewustwordingsprogramma op het gebied van juridische en ethische kaders voor optreden in de informatieomgeving. Deze rapporten zijn tevens met de Commissie Brouwer gedeeld. De algemene conclusie van beide rapporten is dat de bewustwording over de AVG bij Defensie toeneemt maar ook dat de naleving verdere verbetering behoeft. Ik neem de aanbevelingen van beide rapporten over.
Algemene bevindingen
Het Eiffel- en het FG-rapport constateren dat de huidige bevoegdheden om publieke taken in de informatieomgeving door de krijgsmacht uit te voeren, beperkte juridische mogelijkheden bieden voor het gebruik van zogenaamde tools voor het verwerken van persoonsgegevens onder de AVG, tenzij daarvoor een aparte wettelijke grondslag of mandaat is zoals bij een artikel-100 inzet. Bij afwezigheid daarvan zijn de mogelijkheden van de krijgsmacht om in de informatieomgeving te oefenen en om zich voor te bereiden op inzet beperkt, wat tot knelpunten leidt, aldus de rapporten van Eiffel en de FG. De FG geeft aan dat om deze beperkingen en knelpunten op te lossen, onderzocht zal moeten worden of dit binnen de bestaande taakstelling en bevoegdheden van Defensie mogelijk is. Daarna kan worden bezien of aanvullende bevoegdheden nodig zijn. Hierbij moet ook worden gekeken naar de verschillende rollen en taken die reeds zijn toebedeeld aan andere defensie- en overheidsdiensten zoals de Koninklijke Marechaussee, de Nationale Politie en de MIVD.
Het tweede punt betreft de toepassing van de verwerkingsgrondslag van «gerechtvaardigd belang» door overheidsinstanties, zoals die in de AVG is opgenomen. Overheidsinstanties kunnen zich bij de verwerking van persoonsgegevens bij de uitoefening hun taken niet beroepen op deze verwerkingsgrondslag. In de memorie van toelichting bij de Uitvoeringswet AVG staat dat de verwerkingsgrondslag «gerechtvaardigd belang» beperkt ruimte biedt voor overheidsinstanties, als het gaat om «typisch bedrijfsmatige handelingen», zoals de toegangsbeveiliging van overheidslocaties en beveiliging en bescherming van computersystemen. Zowel het Eiffel- als het FG-rapport stellen vast dat er weinig jurisprudentie, kaders en richtlijnen beschikbaar zijn voor «typisch bedrijfsmatige handelingen» ter ondersteuning van een effectieve taakuitvoering van Defensie. De FG adviseert op dit punt aanvullende richtlijnen en werkinstructies vast te stellen. Bij de uitvoering van bovenstaande punten betrek ik ook het eindrapport van de commissie Brouwer.
Eiffel-rapport
Naar aanleiding van de bevindingen van de Functionaris Gegevensbescherming Defensie over de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het experimentele Land Information Manoeuvre Centre (LIMC), heeft mijn voorganger op 7 mei 2021 een extern vervolgonderzoek bij de defensieonderdelen toegezegd (Kamerstuk 32 761, nr. 183). Dit onderzoek is uitgevoerd door extern bureau Eiffel en is op 15 juli 2022 aangeboden aan Defensie. Het rapport bevat tevens een vertrouwelijke bijlage die ik uw Kamer separaat doe toekomen.
In het Eiffel-rapport zijn 26 activiteiten van verschillende defensieonderdelen beoordeeld op de naleving van de AVG door Defensie. Aangezien Eiffel alleen als risicovol bestempelde activiteiten heeft onderzocht en daarbij oordeelt dat 18 van de 20 lopende activiteiten aan de AVG voldoet of dit op korte termijn kan voldoen, concludeert Eiffel dat de bewustwording van de AVG bij Defensie toeneemt. Deze verbetermaatregelen worden nu uitgevoerd of zijn al gereed, zoals het opstellen van Data Protection Impact Assessments (DPIA) en het bijwerken van het verwerkingsregister. Op twee activiteiten uit het rapport ga ik hier nader in, omdat uit het Eiffel rapport bleek dat er twijfels zijn over de juridische onderbouwing van deze activiteiten, dan wel dat de juridisch grondslag hiervoor ontbreekt.1
• Activiteit 10B: «Het Commando Zeestrijdkrachten slaat mogelijke relevante openbare nieuwsberichten op haar SharePoint» is beëindigd door Defensie tijdens het Eiffel onderzoek, omdat de verwerkingsgrondslag hiervoor ontbrak. Het betrof het in kaart brengen wat er speelt in mogelijke conflictgebieden.
• Activiteit 14B: «Interne beveiliging Defensie». De inhoud van deze activiteit is vanwege het belang van de interne beveiliging van Defensie als departementaal vertrouwelijk gerubriceerd en ter inzage aan uw Kamer aangeboden. Eiffel stelt dat het niet duidelijk is of er een verwerkingsgrondslag is voor deze activiteit in zijn huidige vorm en verwacht dat de grondslag gerechtvaardigd belang mogelijk niet aanwezig is. Defensie heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) opgedragen de huidige werkzaamheden, in het belang van de beveiliging van Defensie vooralsnog uit te voeren op basis van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv 2017 artikel 10, lid 2 en artikel 28, lid 1). Een eventuele andere oplossing zal worden gezocht nadat de adviezen uit het eindrapport van de Commissie Brouwer zijn ontvangen.
FG-rapport
Het FG-rapport over het gebruik van applicaties voor het monitoren of scrapen2 van social media van publiek toegankelijke bronnen binnen de Defensie onderdelen3 komt eveneens voort uit een toezegging uit de kamerbrief van 7 mei 2021 over het eerdere LIMC-onderzoeksrapport van de Functionaris Gegevensbescherming (Kamerstuk 32 761, nr. 182). Daarin was een maatregel opgenomen om de poortwachtersfunctie bij de inkoop van social media tools te versterken. Met het nu voorliggende rapport geeft de Functionaris Gegevensbescherming hiervoor een eerste aanzet. Ik deel de conclusies uit het FG-rapport en neem de aanbevelingen over.
Binnen Defensie worden, of zijn, social media monitoring en scraping tools ingezet waarbij ook persoonsgegevens kunnen worden verwerkt. Daarvoor is een wettelijke grondslag nodig. De Functionaris Gegevensbescherming constateert dat het gebruik van enkele tools die overwegend voor de operationele taakuitvoering in gebruik waren, door Defensie zijn stopgezet vanwege onduidelijkheden over de verwerkingsgrondslag en tekortkomingen in de naleving van de AVG. De tools die nog wel in gebruik zijn, worden vooral gebruikt voor niet operationele taken zoals communicatie, werving & selectie, beveiliging van de Defensie IT-infrastructuur, fysieke beveiliging van defensielocaties en bij uitvoering van de politietaak van de Koninklijke Marechaussee, aldus de Functionaris Gegevensbescherming. Waar nodig zijn bevindingen direct met het onderzochte defensieonderdeel gedeeld en zijn verbetermaatregelen in gang gezet, zoals het aanpassen van het verwerkingsregister en het maken van Data Protection Impact Assessments (DPIA) zodat de activiteiten voldoen aan de AVG.
Bewustwordingsprogramma
Defensie is in mei 2021 een intern bewustwordingsprogramma gestart op het gebied van juridische en ethische kaders voor optreden in de informatieomgeving. Het programma heeft tot doel om de kennis en bewustwording over de AVG te verhogen. Hiertoe hebben Defensieonderdelen verschillende themasessies georganiseerd. Hierin zijn aan de hand van concrete praktijkvoorbeelden, vragen en dilemma’s over de huidige juridische en ethische kaders besproken.
Tot slot
De aanbevelingen van deze rapporten en de uitkomsten van het interne bewustwordingsprogramma dragen bij aan kennis over en de naleving van de juridische kaders waarbinnen de krijgsmacht de grondwettelijke taken zo goed en veilig mogelijk kan uitvoeren. Het eindrapport van de Commissie Brouwer komt daar nog bij. Dit geldt zowel voor de gereedstelling en inzet van de krijgsmacht als voor de ondersteunende bedrijfsvoeringsprocessen. Deze lessen en waarborgen worden ook betrokken bij de beleidsvisie Informatiegestuurd Optreden (IGO) die uw Kamer in de eerste helft van 2023 zal ontvangen.
De Minister van Defensie,
K.H. Ollongren
Dit zijn de twee activiteiten die in de rechterkolom van de overzichtstabel in het Eiffel-rapport op bladzijde 18 «op rood staan».↩︎
Social media monitoring tools worden gebruikt om gegevens over bepaalde sleutelwoorden te gebruiken. Met scraping tools kan informatie uit meerdere bronnen gelijktijdig worden benaderd en doorzocht. Definities afkomstig uit het rapport.↩︎
Met uitzondering van de MIVD.↩︎