Inlichtingendiensten moeten grote bak data burgers verwijderen
Inlichtingendiensten AIVD en MIVD overtreden de wet door gegevens van burgers die geen onderwerp van onderzoek zijn, langdurig op te slaan. Dat concludeert de waakhond voor de inlichtingendiensten, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). De gegevens moeten worden verwijderd.
Het gaat daarbij niet om wat critici het 'sleepnet' noemen, waarmee de inlichtingendiensten via ongerichte internettaps data van veel mensen tegelijk kunnen binnenhalen. In plaats daarvan gaat het om grote hoeveelheden privégegevens die de dienst via bijvoorbeeld een hack binnenkrijgt. De privacy-impact van zo'n 'bulk-dataset' kan vergelijkbaar of zelfs groter dan bij een internettap zijn.
Zo zou een inlichtingendienst een telecomprovider kunnen hacken om de facturen van alle klanten in handen krijgen, om vervolgens van mogelijke terroristen de belgeschiedenis te achterhalen. Ook zou een mailprovider kunnen worden gekraakt. Om wat voor data het precies gaat, is niet bekend; het kan zowel Nederlanders als buitenlanders betreffen.
"In de wet staat dat die gegevens anderhalf jaar mogen worden bewaard, maar ze hebben ze veel langer bewaard", zegt Addie Stehouwer, die over de klachten bij de CTIVD gaat. "Daarbij gaat het ook om gegevens waarvan ze weten dat ze nooit relevant zullen zijn."
Bindend
Het oordeel komt na een klacht van actiegroep Bits of Freedom. Het is niet de eerste keer dat de toezichthouder hiervoor waarschuwt, maar nu is het oordeel bindend. "We zijn heel blij met de uitspraak, en dat deze gegevens nu moeten worden vernietigd", zegt Lotte Houwing van Bits of Freedom.
Dat de gegevens nu wel echt moeten worden verwijderd, komt door een inconsistentie in de inlichtingenwet. Als de CTIVD zelf onderzoek doet, kan de toezichthouder alleen adviezen uitbrengen. Het kabinet en het parlement hoeven daar in principe niets mee te doen. Maar als iemand een klacht indient, kan de toezichthouder wél een bindend oordeel opleggen.
"We hebben onze klacht ingediend omdat de diensten de wet overtreden, maar de ministers er niets mee deden", zegt Houwing. "Het is problematisch dat dit gebeurt en dat ons systeem van toezicht niet in staat is om dat zelf op te lossen."
Anderhalf jaar
Volgens de toezichthouder slaan de inlichtingendiensten de gegevens van 'onschuldige' burgers veel te lang op als ze een bulk-dataset in handen krijgen. De diensten hebben anderhalf jaar de tijd om de interessante gegevens uit zo'n dataset te halen en daarna moet de rest worden weggegooid, maar dat gebeurt niet: in plaats daarvan worden alle gegevens of een groot deel ervan bewaard.
In de praktijk blijkt het namelijk ondoenlijk gigantische datasets binnen de wettelijke termijn van een jaar tot anderhalf jaar inhoudelijk te beoordelen. Daarom bestempelen de diensten datasets in hun geheel als 'relevant'; volgens die logica mochten alle gegevens worden bewaard, ook als daar nog gegevens van burgers tussen zaten die helemaal niet relevant zijn voor een onderzoek.
De CTIVD waarschuwt niet voor het eerst dat dat van de wet helemaal niet mag. Al in 2019 schreef de CTIVD dat de manier waarop de gigantische datasets worden behandeld, niet deugt. In 2020 kregen de diensten opnieuw een tik op de vingers, en oordeelde de CTIVD dat een aantal datasets moest worden vernietigd. Dat gebeurde vervolgens niet.
Geitenpaadje
Wel kwamen de ministers van Binnenlandse Zaken en Defensie met een juridisch geitenpaadje om de diensten toch verder te laten werken met de datasets, omdat ze zo belangrijk zouden zijn. Maar niet alleen hielden de diensten zich niet aan de voorwaarden van dat geitenpaadje, het geitenpaadje deugt ook niet, schrijft de CTIVD.
Naar vijf datasets deed de toezichthouder verder onderzoek, en in die gevallen konden de AIVD en de MIVD bovendien niet duidelijk aantonen hoe nuttig de datasets nu precies waren voor het onderzoek. Ook hadden AIVD-medewerkers veel makkelijker toegang tot datasets dan de bedoeling is.
Verscherpt toezicht
Ook het aftappen ligt onder een vergrootglas. Eerder kondigde de CTIVD aan verscherpt toezicht te houden op het op grote schaal aftappen. Sinds dat verscherpte toezicht hebben de diensten opnieuw de wet overtreden: ze tapten meer af dan waarvoor ze toestemming kregen, schreef de CTIVD afgelopen vrijdag aan de Kamer.
Intussen wil het kabinet de inlichtingendiensten tijdelijk meer bevoegdheden geven in onderzoeken naar digitale dreigingen. Daarbij mogen de diensten ook makkelijker in bulk-datasets zoeken en aftappen, schreef de Volkskrant, die de wet heeft ingezien.
De AIVD wilde niet ingaan op het besluit; de MIVD was niet bereikbaar voor commentaar.
