NOS Nieuws•
-
Bauke Haanstra
redacteur Binnenland
-
Bauke Haanstra
redacteur Binnenland
De Nederlandse inlichtingendiensten houden zich niet aan de regels voor ‘bulkdatasets’, grote datasets met onder andere persoonsgegevens. Het gaat dan om het werken ermee en het opslaan ervan. Dat schrijft de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een nieuw rapport.(opent in nieuw venster)
“Wij vinden dat een ernstig probleem. De gevoeligste categorieën persoonsgegevens zitten ertussen en het gaat om gegevens van iedereen, zoals de basisregistratie personen”, zegt CTIVD-voorzitter Hugo Hillenaar. Het rapport gaat over de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
“Historisch gezien zijn de inlichtingendiensten altijd heel informeel omgegaan met grote databestanden”, zegt voormalig AIVD’er en oud-toezichthouder Bert Hubert.
“Internet- en telefoontaps worden altijd heel goed beschermd. Maar je kunt ervan uitgaan dat de diensten ook een kopie gemaakt hebben van de dataset die gelekt is bij de recente Odido-hack. Het feit dat je die gegevens bij zo’n hack min of meer in de schoot geworpen krijgt, betekent niet dat je je niet aan de regels moet houden.”
Uit het CTIVD-rapport blijkt dat de AVID en MIVD inderdaad sets gebruiken die door hacks op straat zijn komen te liggen. Hillenaar is het met Hubert eens dat ook die sets binnen de regels bewaard moeten worden.
‘Love intelligence’
Tech-expert Hubert hekelt dat veel medewerkers toegang hebben tot data waar ze eigenlijk niet bij zouden mogen. “Als de toegang beperkt is, kun je niet gaan rondneuzen, dat is goed. Op het moment dat je databases hebt die niet formeel worden bijgehouden, bind je de kat op het spek.”
“Bij buitenlandse inlichtingendiensten is al vaak voorgekomen dat medewerkers dan bijvoorbeeld de locaties van hun geliefden natrekken. Dat heet love intelligence.” Normaal gesproken laat je daarbij een ‘spoor’ achter en kun je ontslagen worden, maar als niet wordt bijgehouden wie een dataset bekijkt, kan dat niet.
Die wetten gaan nog over fysieke telefoonboeken. De regelgeving is niet bedoeld voor tijden als deze.
Toch is het voor de nationale veiligheid wel noodzakelijk dat de diensten grote datasets hebben en ermee kunnen werken, zegt de CTIVD. “In een inlichtingenonderzoek kunnen die van pas komen, bijvoorbeeld om een naam aan een telefoonnummer te koppelen.”
De wetgeving is volgens Hubert verouderd. “Die wetten gaan nog over fysieke telefoonboeken. De regelgeving is niet bedoeld voor tijden als deze.”
Hij denkt niet dat de diensten een duidelijke strategie hebben om de regels niet te volgen. “Ik denk dat het een combinatie is van het onderschatten van het privacybelang en het ook wel fijn vinden om al die data te hebben.”
Binnenlandse Zaken en Defensie
De ministers Heerma (Binnenlandse Zaken) en Yesilgöz (Defensie) zeggen dat de AIVD en MIVD werken aan het “verbeteren van de waarborgen” bij het gebruik van bulkdatasets en dat de eerste stappen daarbij al zijn gezet zijn. De ministers zelf zullen “passende maatregelen” nemen, zodat onbevoegde mensen geen toegang meer hebben tot data waar ze niet bij mogen en de datasets niet te lang bewaard worden.

