Bauke Haanstra
redacteur Binnenland
Bauke Haanstra
redacteur Binnenland
De Nederlandse inlichtingendiensten houden zich niet aan de regels als het gaat om het opslaan van en werken met grote datasets met onder andere persoonsgegevens, zogenoemde 'bulkdatasets'. Dat schrijft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een nieuw rapport.
"Wij vinden dat een ernstig probleem. De gevoeligste categorieën persoonsgegevens zitten er tussen en het gaat om gegevens van iedereen, zoals de basisregistratie personen", zegt CTIVD-voorzitter Hugo Hillenaar. Het rapport gaat over de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
De CTIVD heeft kritiek op verschillende punten:
"Historisch gezien zijn de inlichtingendiensten altijd heel informeel omgegaan met grote databestanden", zegt voormalig AIVD'er en oud-toezichthouder Bert Hubert.
"Internet- en telefoontaps worden altijd heel goed beschermd. Maar je kunt er vanuit gaan dat de diensten ook een kopie gemaakt hebben van de dataset die gelekt is bij de recente Odido-hack. Het feit dat je die gegevens bij zo'n hack min of meer in de schoot geworpen krijgt, betekent niet dat je je niet aan de regels moet houden."
Uit het CTIVD-rapport blijkt dat de AVID en MIVD inderdaad sets gebruiken die door hacks op straat zijn komen te liggen. Hillenaar is het met Hubert eens dat ook die sets binnen de normale regels bewaard moeten worden.
Tech-expert Hubert hekelt ook dat veel medewerkers toegang hebben tot data waar ze eigenlijk niet zomaar bij mogen. "Als de toegang beperkt is kun je niet gaan rondneuzen, dat is goed. Maar op het moment dat je databases hebt die niet formeel worden bijgehouden, dan bindt je de kat op het spek."
"Bij buitenlandse inlichtingendiensten is al vaak voorgekomen dat medewerkers dan bijvoorbeeld de locaties van hun geliefden natrekken. Dat heet love intelligence." Normaal gesproken laat je daarbij een 'spoor' achter en kun je ontslagen worden, maar als niet wordt bijgehouden wie een dataset bekijkt, dan kan dat niet.
Die wetten gaan nog over fysieke telefoonboeken.
Toch is het voor de nationale veiligheid wel noodzakelijk dat de diensten grote datasets hebben en er mee kunnen werken, zegt de CTIVD. "In een inlichtingenonderzoek kunnen die van pas komen, bijvoorbeeld om een naam aan een telefoonnummer te koppelen."
Wetgeving is volgens Hubert wel verouderd. "Die wetten gaan nog over fysieke telefoonboeken. Je kunt invoelen dat het niet gek is als de AIVD en MIVD zo'n telefoonboek hebben, maar de regelgeving is dus niet bedoeld voor tijden als deze."
Hij verwacht niet dat er een duidelijke strategie van de diensten zit achter het niet volgen van de regels. "Ik denk dat het een combinatie is van het onderschatten van het privacybelang en het ook wel fijn vinden om al die data te hebben."
De ministers Heerma (Binnenlandse Zaken) en Yeşilgöz (Defensie) zeggen dat de AIVD en MIVD werken aan het 'verbeteren van de waarborgen' bij het gebruik van bulkdatasets en de eerste stappen daarbij al gezet zijn. De ministers zelf zullen "passende maatregelen" nemen zodat onbevoegde mensen geen toegang meer hebben tot data waar ze niet bij mogen en de datasets niet te lang bewaard worden.
Binnenland
Source: NOS nieuws