Uitspraak
2026002/1/TW
Datum uitspraak: 22 april 2026
AFDELING
BESTUURSRECHTSPRAAK
Uitspraak in het geding tussen:
De minister van Defensie (minister),
appellant,
en
de Toetsingscommissie Inzet Bevoegdheden (TIB),
verweerder.
Procesverloop
Bij beslissing van 19 december 2025 heeft de minister toestemming verleend voor de uitoefening van bijzondere bevoegdheden onder de operatienaam […].
Bij beslissing van 2 februari 2026 heeft de TIB geoordeeld dat de toestemming van de minister niet rechtmatig is verleend.
Tegen deze beslissing heeft de minister beroep ingesteld.
De TIB heeft een verweerschrift ingediend.
De Afdeling heeft de zaak op een zitting behandeld op 19 maart 2026, waar de minister, vertegenwoordigd door […] en de TIB, vertegenwoordigd door […], zijn verschenen. Op de zitting is ook de CTIVD, vertegenwoordigd door […] gehoord.
Het onderzoek op de zitting heeft plaatsgehad met gesloten deuren.
Overwegingen
Het wettelijk kader
1. Het wettelijk kader wordt gevormd door de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017) en de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen (Tw). De relevante artikelen uit de Wiv 2017 en Tw zijn opgenomen in de bijlage, die onderdeel uitmaakt van de uitspraak.
De toestemming van de minister
2. Op 11 december 2025 heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) de minister verzocht om toestemming voor de inzet van de hackbevoegdheid (artikel 45 van Pro de Wiv 2017). Het gaat om het verkennen van technische kenmerken van geautomatiseerde werken (artikel 45, eerste lid, aanhef en onder a, van de Wiv 2017) en het binnendringen in geautomatiseerde werken (artikel 45, eerste lid, aanhef en onder b, van de Wiv 2017). De toestemming is verzocht voor de duur van drie maanden met ingang van 29 december 2025. Het verzoek betreft de verlenging van een eerder gegeven toestemming voor de inzet van voormelde bevoegdheden. Er is bij dit verzoek toepassing gegeven aan het bepaalde in hoofdstuk 2 van de Tw.
3. De bevoegdheden worden ingezet ten behoeve van de onderzoeksopdracht […], die betrekking heeft op het aandachtsgebied […]. De in deze zaak aan de orde zijnde toestemming heeft betrekking op operatie […], die zich richt op […] (organisatie). Het doel van deze operatie is […].
De minister heeft op 19 december 2025 toestemming gegeven voor de verzochte inzet. Deze toestemming is vervolgens ter toetsing voorgelegd aan de TIB, zoals is bepaald in artikel 36, eerste lid, van de Wiv 2017.
De beslissing van de TIB
4. De TIB heeft geoordeeld dat de door de minister verleende toestemming niet rechtmatig is, omdat niet is voldaan aan de vereisten van proportionaliteit en gerichtheid.
Zij heeft zich op het standpunt gesteld dat operatie […] bestaat uit twee verschillende typen hackoperaties, namelijk (1) een hack op de geautomatiseerde werken van de organisatie en (2) een hack op de geautomatiseerde werken van individuele leden van de organisatie, door het verwerven van gegevens uit hun e-mailboxen.
De TIB heeft zich verder op het standpunt gesteld dat dat de MIVD ten onrechte alleen in algemene bewoordingen de opbrengst van de operatie heeft beschreven, zonder daarbij te specificeren van welke individuele leden van de organisatie de behaalde resultaten afkomstig zijn en in hoeverre de MIVD de inzet op deze leden wenst voort te zetten. Gelet hierop is de TIB van oordeel dat in het toestemmingsverzoek informatie ontbreekt over de inzet op geautomatiseerde werken van individuele leden van de organisatie. Zonder deze informatie kan de TIB niet beoordelen of de (verlenging van de) beoogde inzet voldoet aan de eisen van proportionaliteit en geschiktheid.
De beoordeling van het beroep
5. De minister betoogt dat de TIB ten onrechte heeft geoordeeld dat de toestemming niet voldoet aan de eisen van proportionaliteit en gerichtheid.
Hij voert in dit verband aan dat de TIB er ten onrechte van uitgaat dat de operatie uit twee verschillende hackoperaties bestaat, namelijk een hack op […] de organisatie, gericht op […] en een hack gericht op de individuele leden van de organisatie, gericht op het verwerven van gegevens uit de geautomatiseerde werken van deze leden. Volgens de minister is het doel van de operatie altijd geweest om toegang te krijgen tot […] met daarop informatie die relevant is voor het beantwoorden van de onderzoeksvragen. De MIVD gaat hierbij zo gericht mogelijk te werk door […] uit te sluiten. Een verdere beperking, zoals […], is volgens minister niet aan te brengen, althans zou leiden tot een onwenselijke beperking in de mogelijkheden van de MIVD om van de organisatie voor de onderzoeksopdracht relevante inlichtingen te vergaren. De minister wijst er hierbij op dat de TIB ten onrechte een onderscheid maakt tussen het geautomatiseerde werk van de organisatie en de geautomatiseerde werken van de individuele leden van de organisatie. In dat kader gaat de TIB volgens de minister ook uit van een onjuiste definitie van het begrip geautomatiseerd werk. Niet valt in te zien dat een e-mailbox, die deel uitmaakt van een mailserver en waartoe ook via het binnendringen op die server toegang wordt verkregen, als een separaat geautomatiseerd werk moet worden gezien, aldus de minister.
De minister voert verder aan dat de TIB ten onrechte verlangt dat de MIVD de opbrengst beschrijft op het niveau van de individuele leden van de organisatie. De minister wijst er daarbij ten eerste op dat op grond van artikel 29, tweede lid, aanhef en onder g, van de Wiv 2017 bij een verzoek om verlenging een aanduiding van de met de inzet van de bevoegdheid behaalde resultaten moet worden gegeven. Dat betekent volgens de minister niet dat de beschrijving van de opbrengst in deze operatie op het niveau van individuele e-mailboxen moet worden gegeven. Hij wijst er verder op dat, aangezien de inzet niet is gericht op individuele leden, maar op de organisatie, het ook niet noodzakelijk is om per e-mailbox en/of per technisch kenmerk die opbrengst uiteen te zetten. Volgens de minister gaat het erom dat de MIVD met een aanduiding van de opbrengst kan laten zien dat sprake is van voor de onderzoeksopdrachten relevante en substantiële opbrengst. Dat heeft de MIVD in zijn verzoek ook gedaan. De gegeven aanduiding van de opbrengst stelt de TIB voldoende in staat de proportionaliteit van het verzoek om verlenging te beoordelen, aldus de minister.
5.1 In het verzoek is uiteen gezet dat, kort gezegd, de MIVD inzicht wil krijgen in […]. Hiertoe wordt toestemming verzocht de hackbevoegdheid in te zetten op de kenmerken die zijn genoemd in de bijlage van het verzoek. Deze kenmerken zijn exclusief in gebruik bij de organisatie. Dat er twee hackoperaties moeten worden onderscheiden, blijkt niet uit de beschrijving van de operatie in het verzoek. Ook de wet biedt naar het oordeel van de Afdeling geen aanknopingspunten om de TIB te volgen in haar standpunt dat er (ook) sprake is van een tweede hackoperatie, bestaande uit een hack op de individuele leden van de organisatie. De Afdeling overweegt in dit verband als volgt.
5.2 De Afdeling stelt voorop dat het in deze zaak gaat om de inzet van de hackbevoegdheid als bedoeld in artikel 45, eerste lid, aanhef en onder a en b, van de Wiv 2017. Op grond van dat artikel is de MIVD bevoegd tot, kort gezegd, het verkennen en binnendringen van geautomatiseerde werken. De TIB en de minister verschillen van mening over wat onder het begrip 'geautomatiseerd werk' moet worden verstaan. Volgens de TIB zijn de e-mailboxen van de leden van de organisatie separate geautomatiseerde werken. Volgens de minister is dat niet het geval en zijn de servers van de organisatie de geautomatiseerde werken en maken de e-mailboxen daarvan deel uit.
De Afdeling overweegt hierover als volgt. Zoals de TIB in haar verweerschrift ook heeft opgemerkt, is in de Wiv 2017 geen definitie opgenomen van het begrip 'geautomatiseerd werk'. Uit de geschiedenis van de totstandkoming van de Wiv 2017, meer in het bijzonder artikel 45 daarvan Pro, blijkt dat met het begrip 'geautomatiseerd werk' wordt aangesloten bij wat daaronder in artikel 80 sexies Pro van het Wetboek van Strafrecht, zoals dat artikel is gewijzigd met de inwerkingtreding van, kort gezegd, de Wet computercriminaliteit III, wordt verstaan (zie Kamerstukken II, 2016-17, 34 588, nr. 3, blz. 75 en 76). De Afdeling leidt uit die geschiedenis af dat het begrip 'geautomatiseerd werk' door de jaren heen een bredere betekenis heeft gekregen. Daar waar met, kort gezegd, de Wet computercriminaliteit II, apparaten zelfstandig moesten kunnen voldoen aan de drie cumulatieve vereisten van opslag, verwerking en overdracht om als geautomatiseerd werk aan te kunnen worden gemerkt, is met de wijziging van artikel 80 sexies Pro van het Wetboek van Strafrecht in de Wet computercriminaliteit III al sprake van een geautomatiseerd werk als, voor zover van belang, het apparaat op basis van een programma automatisch computergegevens kan verwerken. Ook slimme apparaten, zoals koelkasten en horloges, vallen daarmee onder de reikwijdte van het begrip (zie Kamerstukken II, 2016-17, 34 588, nr. 3, blz. 75 en 76 en Kamerstukken II, 2015-16, 34 372, nr. 3, blz. 85 en 86).
Deze bredere reikwijdte van 'geautomatiseerd werk' laat naar het oordeel van de Afdeling echter onverlet dat de definitie van 'geautomatiseerd werk' in voormeld artikel 80 sexies Pro nog steeds uitgaat van een fysiek apparaat, zoals een computer, server, modem, router, smartphone of tablet (zie Kamerstukken II, 2015-16, 34 372, nr. 3, blz. 86). Daarvan moeten worden onderscheiden de gegevens die daarop staan, zoals bijvoorbeeld de gegevens in een individuele e-mailbox (vergelijk ook Kamerstukken II, 2015-16, 34 372, nr. 3, blz. 102). Ook uit het arrest van de Hoge Raad van 26 maart 2013, ECLI:NL:HR:2013:BY9718, volgt, anders dan gesteld door de TIB, niet dat de definitie meer omvat dan fysieke apparaten. Dat een netwerk als een geheel wordt beschouwd, waardoor ook de niet-fysieke onderdelen onder definitie van geautomatiseerd werk worden gebracht, betekent niet dat deze onderdelen een separaat geautomatiseerd werk zijn. De Afdeling ziet in wat de TIB heeft aangevoerd geen aanknopingspunten voor het oordeel dat dit onder de Wiv 2017 anders zou zijn. Dat, zoals de TIB aangeeft en de minister bevestigt, in andere toestemmingen ook e-mailaccounts bij aanbieders van online-diensten onder het begrip 'geautomatiseerd werk' zijn gebracht, neemt niet weg dat e-mailboxen niet kunnen worden aangemerkt als apparaten en daarmee geen separate geautomatiseerde werken zijn in de zin van artikel 45 van Pro de Wiv 2017.
De Afdeling is daarom van oordeel dat in dit geval de servers van de organisatie de geautomatiseerde werken zijn waarop de inzet van de bevoegdheid ziet en niet de e-mailboxen van de leden van de organisatie. De TIB heeft zich op basis hiervan daarom niet op het standpunt kunnen stellen dat de hack (ook) is gericht op de geautomatiseerde werken van de afzonderlijke leden van de organisatie. De Afdeling voegt hieraan wel toe dat, zoals de TIB in haar verweerschrift opmerkt, het verwerven en verwerken van gegevens van e-mailboxen van leden van de organisatie de inbreuk op de persoonlijke levenssfeer groter maakt dan als alleen centraal opgeslagen informatie van de organisatie zou worden verworven en verwerkt. Dit gegeven moet worden betrokken bij de vraag of de operatie proportioneel is, maar het vormt naar het oordeel van de Afdeling geen reden om tot de conclusie te komen dat er sprake is van een afzonderlijke hack op deze leden.
5.3 Over de vereiste opbrengstomschrijving overweegt de Afdeling als volgt.
Anders dan de TIB heeft geoordeeld, vereist de wet niet dat op het niveau van individuele leden van de organisatie wordt gespecificeerd welke opbrengst uit hun e-mailbox is verkregen. Op grond van artikel 29, tweede lid, aanhef en onder g, van de Wiv 2017 moet het verzoek om verlenging van de toestemming een aanduiding van de met de uitoefening van de bevoegdheid behaalde resultaten bevatten. Gelet op wat hiervoor is overwogen, namelijk dat er sprake is van een hack op de servers van de organisatie en niet op de geautomatiseerde werken van de individuele leden van die organisatie, betoogt de minister terecht dat het verzoek om verlenging niet de opbrengst hoeft te beschrijven op het niveau van die individuele leden. Omdat het hier niet gaat om gerichte inzet van een bevoegdheid op afzonderlijke leden van de organisatie, is het niet nodig om per e-mailbox te motiveren waarom ook in de volgende periode gegevens uit die e-mailbox zullen worden verwerkt. Het al dan niet verwerken van gegevens uit een specifieke e-mailbox is een operationele keuze die valt binnen de reikwijdte van de inzet op de organisatie. Dat betekent dat het standpunt van de TIB alleen al hierom geen stand kan houden.
5.4 De Afdeling komt gelet op het voorgaande tot het oordeel dat de TIB er ten onrechte van uit is gegaan dat er mede sprake is van de inzet van de hackbevoegdheid op de geautomatiseerde werken van de individuele leden van de organisatie. In het verlengde hiervan kan ook het standpunt van de TIB over de vereiste beschrijving van de opbrengst van de resultaten geen stand houden. Dat betekent dat de TIB niet om die reden heeft kunnen oordelen dat het verzoek niet voldoet aan de vereisten van proportionaliteit en gerichtheid. Het betoog van de minister slaagt daarom.
Conclusie ten aanzien van het beroep
6. Het beroep van de minister is gegrond. De TIB heeft ten onrechte geoordeeld dat de door de minister verleende toestemming voor de inzet van die bevoegdheid niet rechtmatig is verleend. Het oordeel van de TIB moet worden vernietigd.
7. De Afdeling overweegt verder als volgt. Het verzoek heeft betrekking op de periode van 29 december 2025 tot en met 29 maart 2026. Deze periode is op het moment van het doen van uitspraak voorbij. Zoals ook de op zitting is besproken, is in deze periode de bevoegdheid niet uitgeoefend. De MIVD zal, als hij de operatie voort wil zetten, een nieuw verzoek om verlenging van de inzet van de bevoegdheid moeten doen. Als de minister daarvoor toestemming verleent, zal die toestemming ter toetsing aan de TIB moeten worden voorgelegd. Het is daarom naar het oordeel van de Afdeling niet zinvol en nodig om zelf in de zaak te voorzien, als bedoeld in artikel 12, zeventiende lid, aanhef en onder b, en achttiende lid, van de Tw of, met toepassing van artikel 12, negentiende lid, van de Tw, de TIB op te dragen een nieuw oordeel uit te brengen. De Afdeling volstaat om die reden met de vernietiging van het oordeel van de TIB.
Een volgend verzoek
8. Voor de situatie dat voor deeloperatie [...] een verzoek om verlenging van de inzet van de hackbevoegdheid wordt gedaan, overweegt de Afdeling ter voorlichting van partijen als volgt.
9. Het gaat in deze zaak om de inzet van de hackbevoegdheid op de servers van de organisatie. Zoals hiervoor is vastgesteld, maken de e-mailboxen van leden van de organisatie onderdeel uit van de gegevens die zijn opgeslagen op de servers en kunnen dus ook uit die e-mailboxen gegevens worden verwerkt. De Afdeling overweegt dat het vereiste van gerichtheid niet per definitie meebrengt dat een versmalling wordt aangebracht op het niveau van de leden van de organisatie van wie de gegevens worden verworven en/of verwerkt. Een zo gericht mogelijke inzet, in de zin van artikel 29, tweede lid, aanhef en onder h, van de Wiv 2017, houdt in dat de diensten de niet voor het onderzoek noodzakelijke gegevens tot het minimum moeten beperken en dit moeten motiveren (Kamerstukken II, 2018-19, 35 242, nr. 3, blz. 5). In dit geval heeft de minister in het beroepschrift toegelicht dat een meer gerichte inzet door een beperking tot […] niet is aan te brengen of zou leiden tot een onwenselijke beperking in de mogelijkheden van de MIVD om van de organisatie voor de onderzoeksopdracht relevante inlichtingen te vergaren. Hij heeft er op gewezen dat de inzet is gericht op […] en dat zo'n beperking in de weg staat aan de flexibiliteit die noodzakelijk is in deze operatie. De Afdeling kan deze in het beroepschrift gegeven nadere toelichting volgen. Wél kan de Afdeling zich goed voorstellen dat de TIB, in verband met de ruime potentiële reikwijdte van de inzet, voor de beoordeling van de proportionaliteit en gerichtheid informatie nodig heeft over de mate van inbreuk op de persoonlijke levenssfeer die naar verwachting zal worden gemaakt. Hierbij kan bijvoorbeeld worden gedacht aan een indicatie van het aantal e-mailboxen waaruit de opbrengst uit de vorige periode afkomstig is en het aantal e-mailboxen waaruit gegevens zullen worden verworven en/of verwerkt in de periode waarvoor toestemming wordt gevraagd.
Beslissing
De Afdeling bestuursrechtspraak van de Raad van State:
I. verklaart het beroep gegrond;
II. vernietigt het oordeel van de TIB, neergelegd in de beslissing van 2 februari 2026, kenmerk […].
Aldus vastgesteld door mr. E.J. Daalder, voorzitter, en mr. C.J. Borman en mr. N.H. van den Biggelaar, leden, in tegenwoordigheid van […], griffier.
w.g. Daalder
voorzitter
w.g. […]
griffier
verzonden: 22 april 2026
Bijlage
Wettelijk kader
Wet op de inlichtingen- en veiligheidsdiensten 2017
Artikel 26
[…]
2. De uitoefening van een bevoegdheid blijft achterwege, indien de uitoefening ervan voor betrokkene een onevenredig nadeel in vergelijking met het daarbij na te streven doel oplevert.
3. De uitoefening van een bevoegdheid dient evenredig te zijn aan het daarmee beoogde doel.
[…]
5. De uitoefening van een bevoegdheid dient zo gericht mogelijk te zijn.
Artikel 29
1.[…]
2. Een verzoek om toestemming, alsmede een verzoek om verlenging van een toestemming, bevat ten minste:
g. voor zover het een verzoek om verlenging van de toestemming betreft, een aanduiding van de met de uitoefening van de desbetreffende bevoegdheid behaalde resultaten;
h. een omschrijving van de wijze waarop een gericht mogelijke inzet van de desbetreffende bevoegdheid wordt gewaarborgd;
[…].
Artikel 45
1. De diensten zijn bevoegd tot:
a. het verkennen van de technische kenmerken van geautomatiseerde werken die op een communicatienetwerk zijn aangesloten;
b. het al dan niet met gebruikmaking van een technisch hulpmiddel, valse signalen, valse sleutels, valse hoedanigheid of door tussenkomt van het geautomatiseerd werk van een derde, binnendringen in een geautomatiseerd werk.
[…].
Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen
Artikel 2
1. In het kader van de in artikel 8, tweede lid, onder a en d, onderscheidenlijk 10, tweede lid, onder a, c en e, van de Wiv 2017 aan de Algemene Inlichtingen- en Veiligheidsdienst onderscheidenlijk de Militaire Inlichtingen- en Veiligheidsdienst in het belang van de nationale veiligheid opgedragen taak, zijn de diensten belast met het verrichten van onderzoek naar landen met een offensief cyberprogramma tegen Nederland of Nederlandse belangen.
2. Op de uitvoering van de in het eerste lid bedoelde taak is de Wiv 2017 van toepassing met inachtneming van het bepaalde in dit hoofdstuk.
Artikel 13
1. Onze betrokken Minister kan door middel van het indienen van een beroepschrift beroep instellen bij de Afdeling bestuursrechtspraak van de Raad van State tegen:
a. een oordeel, de daaraan door de afdeling toezicht verbonden gevolgen, dan wel zowel het oordeel als de daaraan door de afdeling toezicht verbonden gevolgen, als bedoeld in artikel 12, vierde lid;
[…].
15. De uitspraak van de Afdeling bestuursrechtspraak is gemotiveerd en strekt tot gehele of gedeeltelijke:
[…];
d. gegrondverklaring van het beroep.
16. Indien de Afdeling bestuursrechtspraak het beroep gegrond verklaart, vernietigt zij het bestreden oordeel geheel of gedeeltelijk. De vernietiging van een oordeel of een gedeelte van een oordeel brengt vernietiging van de rechtsgevolgen van dat besluit of van het vernietigde gedeelte daarvan mee.