De inlichtingendiensten bewaren onrechtmatig bulkdatasets. Dat stelt het CTIVD (College voor toezicht op de Inlichtingen- en veiligheidsdiensten in twee rapporten.
Het gaat vooral om de gegevens van personen en organisaties die geen onderwerp van onderzoek zijn en dat ook nooit zullen worden. De rapporten laten zien dat de AIVD en de MIVD zowel met de inzet van een bijzondere bevoegdheid als met de inzet van een algemene bevoegdheid nog niet goed omgaan.
WiV
In de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) staan waarborgen voor het bewaren van deze gegevens. Die is afhankelijk van het soort bevoegdheid. De bulkdatasets moeten altijd binnen anderhalf jaar beoordeeld worden. Wat niet (meer) relevant is moet in de virtuele prullenmand maar dat gebeurt te vaak niet.
De Commissie stelt: bulk is bulk. En dus gelden dezelfde regels. Het maakt daarbij niet uit of de sets voor gewoon onderzoek zijn of dat de diensten daarbij de hackbevoegdheid gebruiken. Verzamelen en verwerken van bulkdatasets hebben dezelfde regels. Het maakt daarbij niet uit welke bevoegdheid de dienst gebruikt.
De CTIVD is er extra fel op omdat verzamelen en verwerken van bulkdatasets een ernstige inbreuk op de fundamentele rechten van burgers oplevert. Vooral ook op het recht op privacy. Tegelijk hebben bulkdatasets grote waarde voor de diensten. De gegevens zijn waardevol om (onder meer) zogenoemde ‘ongekende dreigingen’ bloot te leggen.
Hackbevoegdheid
De hackbevoegdheid zorgt er juist voor dat de inlichtingendiensten zorgvuldig moeten omgaan met de datasets die daar uit komen. Deze moeten zo spoedig mogelijk op relevantie voor hun onderzoeken worden beoordeeld.
Deze waarborg is belangrijk omdat je daarmee voorkomt dat de diensten niet-relevante gegevens te lang bewaren. Volgens de CTIVD is dat een hoeksteen van het datareductiestelsel. De CTIVD stelt in haar toezichtrapport vast dat de wettelijke eis van het ‘zo spoedig mogelijk’ op relevantie beoordelen wringt met de aard van bulkdatasets.
Lede ogen
De Commissie ziet met lede ogen aan dat de diensten onterecht bepaalde bulkdatasets integraal (of grotendeels) relevant verklaren om ze langer te kunnen bewaren. Dit betekent namelijk ook dat gegevens over allerlei personen en organisaties die helemaal geen onderwerp van onderzoek zijn en nooit zullen worden toch lang bewaard worden.
“Deze gegevens zijn evident niet-relevant. Het gevolg van deze abstracte wijze van relevantiebeoordeling is dat deze gegevens zonder definitieve vernietigingstermijn binnen de diensten bewaard kunnen blijven,” stelt het Comité. De wet biedt hiervoor geen ruimte. Uit de wet volgt dat de op onrechtmatige wijze relevant beoordeelde bulkdatasets vernietigd moeten worden.”
De CTIVD vindt daarom ook dat de huidige wet een aanvulling moet krijgen. “Het is wenselijk tot een meer inclusieve wettelijke regeling van bulkdatasets over te gaan die voldoende recht doet aan de bescherming van fundamentele rechten van burgers en de operationele waarde van bulkdatasets voor de diensten.”
Luchtvaart
Het comité is meer tevreden over de werkwijze rond het verzamelen van passagiersgegevens van luchtvaartmaatschappijen. De passagiersgegevens worden hier structureel en geautomatiseerd verzameld. Probleem is alleen dat de AIVD en MIVD de passagiersgegevens niet aanmerken als bulkdataset. En dat hadden ze wel moeten doen.
“De diensten hebben mede daardoor onvoldoende waarborgen toegepast bij het verzamelen en het verder verwerken van de passagiersgegevens. Dit is onrechtmatig.”
Ten eerste stelt het comite dat er geen strikt autorisatieregime is en geen tussentijdse evaluatie of de gegevens nog wel van betekenis zijn voor de dienst. “Er zijn dan ook geen gegevens verwijderd sinds het moment van verzamelen. In de onderzoeksperiode stonden in de database van de AIVD de passagiersgegevens van miljoenen personen.”
Lees ook:
- WiV nog niet goed geïmplementeerd bij AIVD
- Coronacrisis geeft ons lessen in onzekerheid