Fouten bij verzamelen gegevens internetgebruikers door politie
Elke dag kopiëren alle Nederlandse telecom- en internetproviders als Ziggo en KPN verplicht hun voltallige klantenbestand naar het ministerie van Justitie en Veiligheid, zodat politie en justitie er bij kunnen. Vervolgens zoeken de opsporingsdiensten daar per jaar gegevens over zo'n twee miljoen ip-adressen en telefoonnummers in op: vorig jaar gebeurde dat ruim 2,2 miljoen keer.
Dat gaat echter niet altijd volgens de regels, blijkt uit documenten die zijn vrijgegeven op basis van de Wet openbaarheid bestuur. Zo is er 'onduidelijkheid' over sommige regels die moeten worden gevolgd, wordt informatie waarschijnlijk te lang bewaard en er is te weinig controle op wie er toegang toe heeft.
De documenten gaan over de situatie tot 2016, de situatie in 2017 wordt volgens het ministerie nog geëvalueerd. Of de situatie inmiddels is verbeterd, is onduidelijk. Het ministerie gaf geen inhoudelijk antwoord op vragen daarover van de NOS.
Een van de problemen is dat pas achteraf wordt vastgesteld welke opsporingsambtenaren toegang mogen hebben tot het systeem. Daarvoor kijkt de politie naar de actieve gebruikers van het systeem. De oplossing: de politie gaat onderzoeken of het mogelijk is om "de autorisatieprocedure te versoepelen".
In noodsituaties mag ook 112 informatie over een beller opvragen, bijvoorbeeld als iemand het nummer belt in een noodsituatie maar niet duidelijk kan maken waar hij of zij zich bevindt. Maar ook daarbij gaan dingen mis, zo blijkt uit het rapport: er werd "afwijkend van de regelgeving gehandeld" en het is "niet gelukt om eenduidig inzicht te krijgen in het juridisch kader".
In ieder geval tot de zomer van 2018 zou die situatie worden gedoogd, blijkt uit het rapport. Of dat nog steeds zo is, is onbekend.
Ook is er bij de politie 'onduidelijkheid' over de manier waarop bepaalde verzoeken aan de database moeten worden ingediend, bijvoorbeeld in het geval van internationale rechtshulpverzoeken. Ook is 'niet duidelijk' hoe lang opgevraagde data mag worden bewaard. In de praktijk kan dat zeven jaar, maar dat lijkt strijdig met de wet, waarin over maximaal vijf jaar wordt gesproken, aldus het interne toezichtrapport.
Niet voor het eerst
Het is niet voor het eerst dat er problemen zijn bij het zogenoemde Centraal Informatiepunt Onderzoek Telecommunicatie. In 2012 bleek uit een intern rapport dat er geen landelijke richtlijnen zijn en dat er van bevragingen achteraf niet kan worden gecontroleerd of die terecht waren. In 2010 bleek ook al dat er soms opsporingsambtenaren zonder bevoegdheid toegang hadden tot het systeem en dat er 'te weinig kennis' over de regels was.
Er zijn sindsdien wel zaken verbeterd, aldus het rapport uit 2016. Zo zijn er inmiddels wel landelijke richtlijnen, en er worden minder fouten gemaakt bij het opvragen van gegevens.
Rejo Zenger van burgerrechtenorganisatie Bits of Freedom, die het CIOT kritisch volgt, snapt niet dat het de overheid en de politie niet lukt om zich aan de regels te houden. "De politie beheert heel veel vertrouwelijke gegevens, dan zouden ze goed om moeten gaan met toegang tot die systemen", zegt Zenger. "Dat blijkt dus niet zo."
Dat levert risico's voor de burgers op, stelt hij, maar ook voor de politie. "Als er te veel mensen bij gevoelige gegevens kunnen, help je daarmee ook mogelijke politiemollen, en dus criminelen", zegt hij. "Maar om te beginnen is het superbelangrijk dat de politie zich aan de regels houdt, als die dat ook van burgers verwacht."
Het ministerie van Justitie en Veiligheid zegt zich niet in het beeld te herkennen dat de politie zich niet aan de wet zou houden. "Er wordt nu jaarlijks een audit uitgevoerd en de verbeterpunten die daaruit voortvloeien, worden opgepakt", aldus een woordvoerder in een schriftelijke reactie.
Geen historische data
De CIOT-database is bedoeld voor politie en justitie om snel te kunnen achterhalen wie er achter een bepaald telefoonnummer zit. De database bevat alleen de meest recente klantgegevens van telecomproviders: na een dag moeten de gegevens worden verwijderd. Als een rechercheur dus wil weten wie er een maand eerder achter een ip-adres of telefoonnummer zat, moet die informatie worden opgevraagd bij de telecomprovider.
In het verleden waren er plannen om de database uit te breiden en ook op te slaan wie er eerder achter een bepaald ip-adres of telefoonnummer zat, maar daar werd na felle kritiek - onder meer van telecomproviders - uiteindelijk vanaf gezien.