Nederland staat op het punt de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) te herzien. Die herziening gaat verder dan het uitbreiden van bevoegdheden van de AIVD en MIVD; het kabinet wil ook het toezicht versterken. In dat kader hebben het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Defensie aan mr. dr. Jan-Jaap Oerlemans (Instituut voor Strafrecht en Criminologie, Universiteit Leiden) gevraagd te onderzoeken hoe andere Europese landen toezicht houden op bulkinterceptie: het grootschalig aftappen en analyseren van communicatie om veiligheidsdreigingen vroegtijdig op te sporen.

Het onderzoek richt zich op vier landen die binnen vergelijkbare democratische en juridische kaders opereren:

• Denemarken

• Zweden

• Frankrijk

• Verenigd Koninkrijk

De uitkomsten bieden referentiepunten voor het Nederlandse debat over democratische controle, rechtsbescherming en toezicht op technologische bevoegdheden van inlichtingen- en veiligheidsdiensten.

Het normatieve kader: toezicht volgens het EVRM en Conventie 108+

De basis voor het toezicht wordt gevormd door de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) en het gegevensbeschermingsverdrag Conventie 108+.
Daaruit volgt dat toezicht op bulkinterceptie in alle fasen onafhankelijk en effectief moet zijn:

1. Ex ante – voorafgaand toezicht:
   Een onafhankelijke instantie (of rechter) beoordeelt of interceptie wettig, noodzakelijk en proportioneel is.

2. Ex durante – toezicht tijdens uitvoering:
   Doorlopend toezicht, vaak ondersteund door geautomatiseerde controlesystemen die signaleren of bevoegdheden correct worden toegepast.

3. Ex post – toezicht achteraf:
   Inspecties, steekproeven en de mogelijkheid voor betrokkenen om klachten in te dienen bij een onafhankelijke toezichthouder of rechter.

Daarnaast vereist het EHRM een effectief rechtsmiddel: een burger moet, al is het indirect, kunnen laten toetsen of diens communicatie onrechtmatig is onderschept. De toezichthouder moet in dat kader juridisch bindende beslissingen kunnen nemen, zoals het vernietigen van onrechtmatig verwerkte gegevens of het toekennen van schadevergoeding.

Het Hof hanteert bij zijn beoordeling een ‘holistische benadering’: niet de afzonderlijke waarborgen zijn doorslaggevend, maar de effectiviteit van het toezichtsstelsel als geheel.

Denemarken – toezicht in ontwikkeling

Het Deense toezichtstelsel is de afgelopen jaren ingrijpend veranderd. Toezicht wordt primair uitgevoerd door de Tilsynet med Efterretningstjenesterne (TET), die controleert op de naleving van regels door de Politiets Efterretningstjeneste (PET) en de Forsvarets Efterretningstjeneste (FE).

Tot 2025 was de reikwijdte van TET beperkt:

• de toezichthouder richtte zich vooral op de verwerking van persoonsgegevens,

• toezicht gold hoofdzakelijk voor personen en organisaties binnen Denemarken,

• en er bestond geen voorafgaande toets op de inzet van bulkinterceptie.

Een wetsvoorstel uit 2025 beoogt dit fundamenteel te wijzigen:

• Ex ante: oprichting van een onafhankelijke Inlichtingenraad, die vooraf toestemming moet geven voor bulkinterceptie;

• Ex durante: uitbreiding van het mandaat van TET naar toezicht op operationele activiteiten, inclusief SIGINT-verwerking;

• Ex post: instelling van een College van toezicht op de inzagerechten, dat klachten van burgers onderzoekt en bindende beslissingen kan nemen over de rechtmatigheid van gegevensverwerking.

Daarnaast krijgt TET toezicht op het nationale cybersecuritycentrum (CFCS) – uniek binnen Europa. De CFCS-wet verplicht de toezichthouder jaarlijks te rapporteren over de cyberactiviteiten van de militaire inlichtingendienst.

De Deense hervorming is mede ingegeven door de EHRM-uitspraken Big Brother Watch en Centrum för Rättvisa, waarin werd benadrukt dat toezicht op bulkinterceptie in alle fasen aanwezig moet zijn en dat er een effectief rechtsmiddel moet bestaan.

Zweden – gescheiden toezicht, versterkt door EHRM-jurisprudentie

Zweden kent een gelaagd toezichtstelsel met drie belangrijke instanties:

1. Försvarsunderrättelsedomstolen (Defensie-Inlichtingenhof):
   verleent vooraf toestemming voor bulkinterceptie. Dit hof is onafhankelijk van de uitvoerende macht en toetst noodzaak, proportionaliteit en de rechtmatigheid van zoektermen.

2. Statens inspektion för försvarsunderrättelseverksamheten (Siun):
   houdt toezicht op de uitvoering van bulkinterceptie door de communicatiedienst FRA (Försvarets radioanstalt) en kan de vernietiging van gegevens bevelen.

3. Integritetsskyddsmyndigheten (IMY):
   is de Zweedse gegevensbeschermingsautoriteit en ziet toe op de verwerking van persoonsgegevens.

Na de veroordeling in Centrum för Rättvisa t. Zweden (EHRM, 2021) paste Zweden zijn wetgeving aan.

Het Hof oordeelde dat het ontbreken van een afzonderlijke klachtprocedure en duidelijke vernietigingsregels in strijd was met artikel 8 EVRM. In reactie daarop werd binnen Siun een afzonderlijke kamer ingericht die klachten behandelt en bindende beslissingen kan nemen. Deze kamer heeft toegang tot staatsgeheime informatie en rapporteert direct aan de toezichthoudende commissie.

Een nieuw wetsvoorstel, dat in consultatie is tot augustus 2025, beoogt bovendien de rol van Sin (de toezichthouder op SÄPO, de binnenlandse veiligheidsdienst) te versterken en de bevoegdheden van de FRA en SÄPO inzake bulkdatasets uit te breiden.

Frankrijk – geïntegreerd toezicht met rechterlijke toetsing

Frankrijk beschikt over een centraal en geïntegreerd toezichtstelsel. De Commission nationale de contrôle des techniques de renseignement (CNCTR) houdt toezicht op alle fasen van inlichtingenverzameling:

• Ex ante: De CNCTR geeft advies over elke aanvraag voor interceptie of gegevensverwerking. Alleen na een positief advies mag de premier toestemming geven.

• Ex durante: De CNCTR heeft directe toegang tot de technische systemen van de inlichtingendiensten en voert dagelijkse online-controles uit via het overheidsorgaan Groupement Interministériel de Contrôle (GIC).

• Ex post: De CNCTR behandelt klachten en kan aanbevelingen doen tot stopzetting of vernietiging van onrechtmatig verzamelde gegevens.

Wordt een ongunstig advies van de CNCTR genegeerd, dan kan zij de zaak voorleggen aan de Conseil d’État, de hoogste bestuursrechter. Die kan bevelen geven tot vernietiging van gegevens en schadevergoeding toekennen.

Het EHRM bevestigde in de uitspraak Association Contrafraternelle de la Presse Judiciaire e.a. t. Frankrijk (2024) dat dit systeem voldoet aan de eisen van artikel 13 EVRM: de combinatie van de CNCTR en de Conseil d’État vormt een robuust rechtsmiddel.

Opvallend is dat Frankrijk sinds 2015 ook toezicht kent op bijna twintig inlichtingen- en veiligheidsdiensten, waaronder de DGSE, DGSI en Tracfin, en dat het cybersecuritycentrum ANSSI onder toezicht staat van de telecommunicatiewaakhond ARCEP. Daarmee is Frankrijk het enige land met één toezichthouder die zowel voorafgaande als achteraf-toetsing én klachtbehandeling uitvoert.

Verenigd Koninkrijk – van RIPA naar ‘double-lock oversight’

Het Britse toezichtstelsel is na de Big Brother Watch-zaak (EHRM 2021) volledig herzien.
De kern bestaat uit twee gespecialiseerde instanties:

1. Investigatory Powers Commissioner’s Office (IPCO):

   • Toetst vooraf alle verzoeken tot bulkinterceptie volgens het zogeheten double-lock system: elk bevel moet zowel door een minister als door een rechter (Judicial Commissioner) worden goedgekeurd.

   • Voert tijdens de uitvoering doorlopende controles uit via audits, geautomatiseerde log-analyses en steekproeven.

   • Toeziet op meer dan 600 publieke instanties, waaronder de GCHQ, MI5 en MI6.

2. Investigatory Powers Tribunal (IPT):

   • Behandelt klachten van burgers over vermeend onrechtmatig handelen van de inlichtingendiensten.

   • Kan bindende beslissingen nemen, zoals het stopzetten van interceptie, het vernietigen van gegevens of het toekennen van schadevergoeding.

   • Beschikt over toegang tot staatsgeheime informatie. Het EHRM kwalificeerde de IPT als een “robuust en effectief rechtsmiddel”.

Het Britse model wordt gekenmerkt door nauwe samenwerking tussen toezichtsfases binnen één structuur: de Judicial Commissioners toetsen vooraf, terwijl inspecteurs van dezelfde organisatie achteraf toezicht houden.

Vergelijking van toezichtstelsels

Overkoepelende bevindingen

1. Toezicht is verschoven van politiek naar specialistisch:
   In alle landen speelt de onafhankelijke toezichthouder – en niet het parlement – de centrale rol in het rechtmatigheidstoezicht.

2. Het belang van bindende bevoegdheden:
   Het EHRM acht toezicht alleen effectief als toezichthouders juridische beslissingen kunnen afdwingen, inclusief de vernietiging van onrechtmatig verkregen gegevens.

3. Integratie van klachtbehandeling:
   Zweden en Denemarken hebben gekozen voor een aparte klachtkamer binnen hun toezichthouder, om vertrouwelijkheid en expertise te waarborgen. Frankrijk en het VK behandelen klachten via een rechterlijke instantie met gespecialiseerde bevoegdheden.

4. Toezicht op cybersecuritycentra ontbreekt vaak:
   Alleen Denemarken heeft expliciet geregeld dat haar toezichthouder toezicht houdt op het nationale cybersecuritycentrum, ondanks de nauwe verwevenheid met bulkinterceptieactiviteiten.

5. Internationale samenwerking blijft toezichtloos:
   Oerlemans wijst op het risico van een “toezichtsgat” bij gezamenlijke internationale operaties en gegevensuitwisseling tussen diensten, aangezien het toezicht per land is geregeld en niet grensoverschrijdend wordt gecoördineerd.

Relevantie voor de Nederlandse herziening van de Wiv 2017

De bevindingen van Oerlemans laten zien dat Nederland bij de herziening van de Wiv 2017 niet alleen moet kijken naar de omvang van de bevoegdheden van de AIVD en MIVD, maar vooral naar de organisatie en effectiviteit van het toezicht. In de onderzochte landen is duidelijk dat toezicht pas voldoet aan de eisen van het EVRM als het in alle fasen plaatsvindt: vooraf, tijdens en achteraf. Waar Nederland al een voorafgaande toets (TIB) en onafhankelijk toezicht achteraf (CTIVD) kent, ontbreekt nog de mogelijkheid tot continu toezicht tijdens de uitvoering en een bindende klachtprocedure. Het voorbeeld van het Verenigd Koninkrijk laat zien dat toezicht met juridische bevoegdheden in elke fase niet leidt tot verzwakking van de diensten, maar juist tot meer legitimiteit en rechtsstatelijke inbedding.

Een tweede belangrijke les is dat bindende bevoegdheden en rechtsmiddelen essentieel zijn voor effectief toezicht. In Frankrijk en Zweden kan de toezichthouder of de gespecialiseerde rechterlijke instantie bindende beslissingen nemen over onrechtmatig verzamelde gegevens en zelfs bevelen tot vernietiging daarvan. In Nederland is dat nog niet het geval: de CTIVD kan slechts aanbevelingen doen, waarna de minister bepaalt of die worden opgevolgd. Daarmee ontbreekt een daadwerkelijk afdwingbaar rechtsmiddel voor burgers. De invoering van een klachtenkamer met bevoegdheid tot juridisch bindende uitspraken – zoals recent in Zweden en Denemarken – zou het Nederlandse stelsel dichter brengen bij de internationale standaarden van onafhankelijk en effectief toezicht.

Ten slotte toont het rapport aan dat transparantie en internationale samenwerking steeds belangrijker worden. In vrijwel alle onderzochte landen publiceren toezichthouders jaarverslagen, delen zij samenvattingen van onderzoeken en leggen zij verantwoording af aan parlementaire commissies. Nederland kan dat voorbeeld volgen door toezichtbevindingen structureel openbaar te bespreken, zonder staatsgeheime informatie prijs te geven. Daarnaast is er behoefte aan gecoördineerd toezicht op grensoverschrijdende gegevensuitwisseling tussen inlichtingendiensten, omdat dat nu grotendeels buiten beeld blijft. Een toekomstbestendige Wiv 2017 vraagt daarom om versterking van toezicht, rechtsbescherming én internationale afstemming, zodat nationale veiligheid hand in hand gaat met bescherming van fundamentele rechten.