‘Defensie bespioneert op grote schaal burgers voor het ‘gereedstellen’ van eenheden’

Dit klinkt misschien als een vergezochte krantenkop, maar dat is het niet. Want net zo min als het Land Information Manoeuvre Centre (LIMC) een wettelijke grondslag had om persoonsgegevens te verzamelen in het kader van de coronacrisis,[1] hebben de Operationele Commando’s (OPCO’s) dit voor hun gereedstellingstaak.[2] Hierdoor zijn ook bij het gereedstellen overtredingen van de Algemene verordening gegevensbescherming (Avg) onvermijdelijk.

Het primaire proces van een OPCO is het gereedstellen van eenheden, voor inzet in opdracht van de regering. De focus van deze gereedstelling ligt het afgelopen decennium – terecht – weer bij het optreden tegen een near-peer competitor. Hiervoor is het noodzakelijk om een gedegen kennis te hebben van de door potentiële tegenstanders gebruikte technologie, doctrines, concepten en wijzen van optreden. Denkwijzen van hogere militaire commandanten horen hier nadrukkelijk ook bij. Deze kennis is noodzakelijk voor het ontwikkelen van eigen doctrines, het innemen van de noodzakelijke capaciteiten (personeel en materieel), het schetsen van kaders  voor Opleiden en Trainen (O&T) en om realistische trainingsscenario’s te ontwikkelen die de OPCO-eenheden voorbereiden op het optreden in potentiële conflictsituaties.

Voor deze near-peer competitor wordt veelal naar de Russische Federatie gekeken. Dit land is technologisch competitief (zo niet meer dan dat), ligt aan de grens van het NAVO-grondgebied en zorgt de laatste jaren voor dusdanig veel instabiliteit dat de alliantie het als dreiging aanmerkt.

Maar op welke wijze komt een OPCO aan kennis over een dergelijke tegenstander? Wie levert hiervoor de informatie aan? Een veelgehoorde misvatting is dat de MIVD hierin voorziet. Helaas heeft de MIVD al moeite genoeg om alle inlichtingen te produceren voor de militair-strategische en operationele taken van Defensie, laat staan dat de dienst capaciteit heeft voor het ondersteunen van het gereedstellen van eenheden door de OPCO’s. Daarnaast worden informatiebehoeften van de OPCO’s, die voor dit doel ingediend worden in het kader van de Inlichtingen en Veiligheidsbehoefte Defensie (IVD), afgewezen omdat daar ‘geen opdracht’ voor is (lees: inzet). Men wordt doorverwezen naar GENFORCE, een generieke tegenstander. Maar op basis waarvan wordt dan deze generieke tegenstander gedimensioneerd? Wie houdt deze actueel, in een tijd waarin de technologie zich razendsnel ontwikkelt, bijvoorbeeld met drone swarms, loitering ammunition en cyber-elektromagnetische activiteiten? Hoe kunnen we ooit datascience, algoritmes en AI toepassen als we die moeten ontwikkelen op een zelfbedachte tegenstander?

Ik trek vaak een vergelijking met topsport. De huidige situatie is alsof we tegen Epke Zonderland zeggen dat hij niet aan de rekstok mag trainen, of er zelfs maar naar mag kijken. Dat mag pas weer als hij zich heeft gekwalificeerd voor de Olympische Spelen. In de tussentijd mag hij oefenen met een boomtak of een zelfgefabriceerde stok. We hoeven niet te verwachten dat hij zo voor Nederland veel medailles gaat halen.

Persoonsgegevens voor gereedstellen?

Menigeen zal ontkennen dat voor het gereedstellen van eenheden persoonsgegevens worden verwerkt. Immers, voor het gereedstellen is het volgen of in kaart brengen van personen toch niet nodig? Dat klopt. Het gaat hier echter niet om het volgen van personen, zoals dat bij het LIMC ook niet het geval was.[3] Het gaat hier om wat de Functionaris voor Gegevensbescherming (FG) ‘bijvangst’ noemt: persoonsgegevens die onbedoeld meekomen tijdens het verwerken van informatie.[4] Hierbij moet men bedenken dat ‘raadplegen’ ook al valt onder het begrip verwerken, evenals het ‘anonimiseren’ van persoonsgegevens.

Alle informatie over ‘een geïdentificeerde of identificeerbare natuurlijk persoon’ is een persoonsgegeven. ‘Van een persoonsgegeven is aldus snel sprake’, stelt de FG in haar rapport.[5] Net zo zeer als de namen van premier Rutte en minister De Jonge persoonsgegevens zijn, zijn ook Loekasjenko en Poetin persoonsgegevens.[6] Sterker nog, het benoemen van ‘de president van Rusland’, verwijzend naar een tijdsperiode, is ook een persoonsgegeven: daar is er tenslotte maar één van en dus herleidbaar naar een persoon. Ook bronvermeldingen met daarin de namen van auteurs, of url’s die een naam bevatten, worden aangemerkt als persoonsgegeven (54 procent van de door het LIMC gerapporteerde unieke persoonsgegevens waren puur bronvermeldingen).

Mocht iemand nog steeds denken dat hij/zij nog nooit een persoonsgegeven heeft verwerkt in het kader van gereedstellen, wil ik vragen of hij/zij in dat kader de term Gerasimov-doctrine wel eens heeft gelezen, opgeschreven of genoemd. Zo ja, dan heeft u zonder wettelijke grondslag of zelfstandige bevoegdheid een persoonsgegeven verwerkt. Leuker kan ik het niet maken. Niet voor niets stelt de FG dat het verwerken van een persoonsgegeven onvermijdelijk is.[7]

Helaas zorgen de huidige juridische kaders ervoor dat het gereedstellen van de júiste capaciteiten om op te treden tegen een gelijkwaardige tegenstander niet mogelijk is zonder de wet te overtreden. Dit betekent een patstelling: of we overtreden de wet, of we zijn niet klaar voor het toekomstige conflict.

Hond aan de leiband

Laat ik duidelijk zijn: een professionele bewakingshond hoort stevig aangelijnd te zijn door zijn begeleider en pas losgelaten te worden als de situatie daarom vraagt. Net zozeer ben ik als Nederlands staatsburger blij dat het Nederlandse veiligheidsapparaat stevig aan de leiband van de politiek – en daarmee de Nederlandse bevolking – loopt. Echter, als de halsband zo strak is dat de keel van de hond wordt dichtgeknepen, dan zal hij als hij losgelaten wordt, neervallen nog voor hij überhaupt heeft kunnen ingrijpen in een situatie.

We moeten als militairen duidelijk aangeven aan de samenleving wat de ultieme consequentie is van juridische wet- en regelgeving en daar waar nodig – in samenspraak met de juristen van Defensie – voorstellen doen voor verbetering. Zo niet, dan lijkt het me op z’n minst goed om een statement af te geven dat de privacy van alle wereldburgers wordt gerespecteerd en beschermd, maar de veiligheid van de Nederlandse burgers niet.

 

[1] Onderzoek naleving Algemene verordening gegevensbescherming. Experimenteeromgeving Land Information War Centre (LIMC) (Den Haag, Functionaris voor Gegevensbescherming Avg Defensie, 31 maart 2021).

[2] Algemene juridische kaders voor activiteiten van de krijgsmacht in de informatieomgeving (Den Haag, Directie Juridische Zaken Defensie, april 2021).

[3] Onderzoek naleving Algemene verordening gegevensbescherming, 8.

[4] Idem, 9.

[5] Idem, 16.

[6] In het kader van het wetenschappelijke debat en ter beeldvorming veroorloof ik het mijzelf om enkele persoonsgegevens te vermelden.

[7] Onderzoek naleving Algemene verordening gegevensbescherming, 10.