De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) overtreden geregeld de regels die burgers moeten beschermen tegen misbruik van grote datasets. Tot die conclusie komt de toezichthouder op die diensten.
is nieuwsverslaggever van de Volkskrant.
In 2017 werden wettelijke regels opgesteld die moeten voorkomen dat de privacy van burgers wordt geschonden bij het verzamelen en werken van zogeheten ‘bulkdata’ door de veiligheidsdiensten. Dat zijn grote databestanden met vaak openbare gegevens als namen, adressen, telefoonnummers, maar ook locatiegegevens, berichten op sociale media of ‘inhoudelijke communicatiegegevens’. Alleen onder strenge voorwaarden mogen de diensten zulke data verzamelen.
Negen jaar later gaat het nog steeds op alle fronten mis, blijkt uit een nieuw rapport van de toezichthouder, de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (Ctivd). De AIVD en MIVD bewaren datasets te lang of de data bevatten gegevens die de diensten niet mogen verzamelen, laat staan inzien.
Dat komt doordat de diensten geregeld veel te grote netten uitgooien. Daardoor kunnen onschuldige burgers verstrikt raken in onderzoeken naar spionnen en terroristen. Ook is de herkomst van datasets soms onduidelijk, met name als ze door hackers online zijn gezet na cyberinbraken.
‘De maatschappij en de politiek moeten erop kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets’, zegt de voorzitter van de Ctivd, Hugo Hillenaar, in een verklaring. ‘En daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden.’
Als de AIVD en de MIVD de regels voor het verzamelen van data wel naleven, gaat het soms mis bij het toezicht op wie er toegang heeft tot die gegevens. ‘Groepen medewerkers’ hadden toegang tot privacygevoelige informatie, in plaats van alleen een beperkt aantal werknemers, schrijft de toezichthouder.
De toezichthouder noemt in haar rapport geen concrete voorbeelden van dataverzameling en -verwerking waarbij de AIVD en de MIVD over de schreef zijn gegaan. Dat kan niet vanwege het vertrouwelijke karakter van het werk van de veiligheidsdiensten.
Het onderzoek toont wel aan dat de diensten hardleers zijn. In 2022 tikte de toezichthouder de veiligheidsdiensten op de vingers na een klacht van Bits of Privacy (BOF). De AIVD en MIVD moesten toen de gegevens van miljoenen burgers vernietigen. Het ging om mensen en organisaties waarnaar de diensten helemaal geen onderzoek deden, maar van wie de gegevens waren ‘opgevist’, omdat de AIVD en MIVD een veel te groot net hadden uitgeworpen.
Vier jaar na die correctie ‘worden gegevens onrechtmatig verwerkt’, aldus de toezichthouder. Ook verzamelen de AIVD en MIVD nog steeds te veel informatie. ‘Verreweg het merendeel van de mensen die in deze sets voorkomen, heeft niks te maken met spionage of terrorisme’, stelt voorzitter Hillenaar.
De diensten zelf willen graag dat de wet over het gebruik van bulkdatasets wordt verruimd. Dat is nodig, vinden de AVID en MIVD, vanwege de forse digitale dreiging uit China en Rusland. Mogelijk gaat de vernieuwde wet deze zomer in consultatie.
Het is de tweede keer in een half jaar tijd dat een instantie constateert dat de veiligheidsdiensten de wet aan hun laars lappen. De Toetsingscommissie Inzet Bevoegdheden (TIB) kwam in april tot de conclusie dat de AIVD en MIVD zich niet in alle gevallen houden aan de waarborgen voor de privacybescherming van burgers bij het aftappen glasvezelkabels.
‘Dat gaat gepaard met het ongericht verwerven van zeer aanzienlijke hoeveelheden gegevens van personen of organisaties uit meerdere gegevensstromen vanuit meerdere accesspoints’, aldus de TIB. Dat baart deze toezichthouder zorgen, vanwege ‘de inbreuk op grondrechten enerzijds en de achterblijvende opbrengst anderzijds’.
Geselecteerd door de redactie
Source: Volkskrant