De Nederlandse inlichtingendiensten maken nog steeds grote, structurele fouten bij het verzamelen van omvangrijke datasets. De toezichthouder op de AIVD en MIVD concludeert dat de geheime diensten op meerdere vlakken verkeerd omgaan met bulkdatasets. Ze bewaren die te lang, maken niet duidelijk waar de sets vandaan komen, laten te veel werknemers de gegevens bekijken en gebruiken de datasets op manieren die niet mogen.
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten schrijft dat in een recent rapport over zogeheten 'grootschalige dataverwerking' door de Algemene en de Militaire Inlichtingen- en Veiligheidsdienst. De AIVD en MIVD mogen bulkdatasets verzamelen uit openbare bronnen, maar het kan ook gaan om datasets die commercieel te koop zijn of zelfs die hackers online aanbieden.
Sinds 2023 is de 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' actief. Onder die wet mogen de AIVD en MIVD grootschalige gegevens verzamelen, maar dat moet wel gebeuren met de juiste waarborgen. "De maatschappij en de politiek moeten erop kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets", zegt Ctivd-voorzitter Hugo Hillenaar in een persbericht.
Dat vertrouwen lijkt de Ctivd in ieder geval niet te hebben. In het rapport staan meerdere harde conclusies over de manier waarop de diensten omgaan met bulkdatasets.
Zo hebben de diensten maatregelen genomen om te zorgen dat alleen de juiste mensen toegang krijgen tot de data, maar deze zijn 'ontoereikend'. De Ctivd zag bijvoorbeeld meerdere keren dat werknemers toegang hadden tot datasets waar ze eigenlijk niet bij mochten.
De Ctivd zegt dat dit onder andere komt doordat de AIVD en MIVD niet goed loggen wie wat bekijkt. Daarvoor hebben de diensten wel technische maatregelen getroffen, maar 'de huidige manier van logging' maakt het moeilijk om te controleren wie wanneer datasets bekijkt. "Daarnaast is het op basis van de logging moeilijk te achterhalen wanneer de gegevens door medewerkers verder zijn verwerkt (en dus niet alleen opgevraagd in een zoekslag) en of dit gebruik bevoegd was", schrijft de toezichthouder.
De diensten gebruiken bulkdatasets regelmatig ook voor andere doelen dan waarvoor ze bedoeld zijn. Dat gebeurt dan 'niet rechtstreeks ten behoeve van inlichtingen, maar ter ondersteuning van de taakuitvoeringen'. "De diensten hebben hiermee een onderscheid tussen bulkdatasets gecreëerd op grond waarvan zij de bulkdatasets die ter ondersteuning van de taakuitvoering worden gebruikt uitzonderen van de gebruikelijke regels en waarborgen voor bulkdatasets", schrijft de Ctivd daarover. "Dit heeft tot gevolg dat bij deze verwerking van bulkdatasets de toepasselijke regels niet worden nageleefd."
De Ctivd wijst een paar redenen aan voor de onrechtmatige verwerking. Dit komt onder andere door de 'technische tekortkomingen in de systemen van de diensten'. De AIVD en MIVD hebben procedures vaak ook niet goed op orde. De toezichthouder doet meerdere aanbevelingen om het proces te verbeteren.
Het nieuwe rapport is het zoveelste waarin de AIVD en MIVD een tik op hun vingers krijgen. In 2022 moesten de diensten bijvoorbeeld al privégegevens verwijderen omdat ze die te lang bewaarden, waarop de Tweede Kamer een wet aannam die de bewaartermijn verruimde. Dat gebeurde na een zaak die Bits of Freedom had aangespannen.
"De diensten willen alsmaar meer macht, terwijl ze steeds weer laten zien niet om te kunnen gaan met de macht die we ze al hebben gegeven. Ze brengen hun datahuishouding niet op orde en laten zich niet begrenzen door de wet. Extra zorgelijk voor een overheidsinstantie die by design in het geheim opereert", zegt de digitale burgerrechtenbeweging in een reactie op het rapport.
Tegelijk willen de AIVD en MIVD juist al jaren een verruiming van hun bevoegdheden en een afzwakking van het toezicht. De diensten vinden dat nodig omdat landen als Rusland en China hun digitale dreigingen opvoeren. Ze willen daarom bijvoorbeeld meer gegevens langer kunnen verzamelen – vandaar de 'tijdelijke wet' waaronder zij nu opereren. Ook willen ze dat toezicht op aftapoperaties niet meer vooraf met goedkeuring plaatsvindt, maar 'in real time'.
Source: Tweakers.net