Inlichtingendiensten moeten data over miljoenen mensen verwijderen
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) moeten gegevens over miljoenen onschuldige burgers verwijderen. De geheime diensten hebben de gegevens verzameld omdat die mogelijk ooit relevant kunnen zijn voor een onderzoek. Maar een toezichthouder oordeelt dat de AIVD en MIVD gegevens van onschuldige burgers onrechtmatig veel te lang bewaren.
In de vandaag gepubliceerde beslissing is de toezichthouder CTIVD kritisch op het handelen van de geheime diensten, maar ook op de ministers van Binnenlandse Zaken en van Defensie. De geheime diensten kunnen onvoldoende aantonen waarom vijf enorme datasets relevant zijn voor onderzoeken. Daarom moeten ze in de prullenbak. Een tijdelijke regeling waarmee de ministers eerder al wilden voorkomen dat de gegevens verwijderd moesten worden, is bovendien in strijd met de wet.
Het oordeel volgt na een klacht van burgerrechtenorganisatie Bits of Freedom. Die klopte in 2021 aan bij de CTIVD nadat die had geconstateerd dat de geheime diensten enorme datasets veel te lang bewaren. Maar na dat eigen onderzoek kon de CTIVD de geheime diensten niet dwingen om actie te ondernemen. Na de klacht kan dat wel. Het laat zien dat het toezichtstelsel zo niet werkt, zegt Lotte Houwing van Bits of Freedom tegen RTL Nieuws.
De kwestie draait om het gebruik van bulkdatasets. Het gaat om enorme hoeveelheden gegevens van voornamelijk mensen die nooit onderdeel zullen worden van een onderzoek. Zo vraagt de AIVD bijvoorbeeld gegevens op over de jaarlijks miljoenen mensen die het vliegtuig pakken. Namen, geboortedatums, nationaliteit en vertrek- en landingsplaats komen allemaal automatisch binnen. Welke reizen iemand heeft gemaakt, kan bijvoorbeeld helpen om te bepalen of een vermoedelijke terrorist inderdaad gevaarlijk is. Maar naar de meeste passagiers zal de geheime dienst nooit onderzoek doen.
Deze voorbeelden laten zien hoe de geheime diensten bulkdata gebruiken:
- Met behulp van gehackte locatiegegevens in Syrië konden de diensten bepalen dat bepaalde personen die Nederland hadden verlaten, zich hadden aangesloten bij terreurgroep IS. Van een aantal van hen is het Nederlanderschap ingetrokken.
- De MIVD, de militaire tegenhanger van de AIVD, gebruikte een onbekende dataset om in 2018 een hackpoging van Rusland op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te verijdelen.
- Ook maken de diensten gebruik van grote datasets bij andere overheden, zoals het personenregister BRP, het bedrijvenregister van de Kamer van Koophandel en het kentekenregister. Deze gegevens opvragen gaat niet met een bijzondere, maar met een normale bevoegdheid.
De AIVD en MIVD moeten vijf van zulke grote datasets verwijderen. Het is onduidelijk om wat voor gegevens het precies gaat, behalve dat ze zijn verkregen door de inzet van een bijzondere bevoegdheid. Het kan dan bijvoorbeeld gaan om een hack of door aftappen. Dit soort gegevens moeten binnen anderhalf jaar worden beoordeeld op relevantie. Als daaruit blijkt dat de gegevens niets toevoegen, moeten ze worden vernietigd.
Alles maar relevant verklaren
Dat beoordelen ging bij deze vijf datasets fout. Omdat er niet genoeg tijd was om ze inhoudelijk te beoordelen, verklaarde de geheime dienst ze maar als geheel relevant. Daardoor mochten ze praktisch oneindig lang bewaard worden, ook al bevatten ze gegevens van personen die nooit onderzocht zullen worden en dus niet relevant zijn.
Dat is in strijd met de wet, was het oordeel van de toezichthouder CTIVD al in 2019 en opnieuw in 2020. Ook kwam de toezichthouder met een boodschap aan de verantwoordelijk ministers. De CTIVD zag namelijk ook wel in dat de datasets waardevol kúnnen zijn voor de geheime diensten. Maar de wet zegt nou eenmaal dat de gegevens binnen anderhalf jaar beoordeeld moeten worden.
De huidige Wet op de inlichtingen- en veiligheidsdiensten (Wiv) is in 2018 in werking getreden. De regels kregen destijds veel aandacht omdat de geheime diensten nu op grote schaal internetverkeer mogen aftappen. Tegenstanders noemden dat een 'sleepnet'. Zij waren bang dat de geheime diensten op grote schaal internetverkeer van onschuldige burgers zouden bewaren.
Hoewel de CTIVD wilde dat de diensten de illegale bulkdatasets zou verwijderen, gebeurde dat niet. De verantwoordelijk ministers zeiden simpelweg het niet eens te zijn met het oordeel van de toezichthouder.
In een reactie op het oordeel van de toezichthouder schrijven de ministers van Binnenlandse Zaken en van Defensie nu dat het kabinet de beslissing per direct zal uitvoeren. Ook schrijven zij dat dat de inlichtingenwet wordt aangepast om een balans te vinden tussen 'waarde van bulkdatasets voor de nationale veiligheid en de bescherming van fundamentele rechten van burgers'.