Er moet een juridisch kader komen voor OSINT-onderzoeken die de overheid uitvoert en waarbij informatie over burgers wordt verzameld, zo vindt de Autoriteit Persoonsgegevens (AP). Via open source intelligence (OSINT) onderzoek wil de overheid informatie uit openbare internetbronnen verzamelen, zoals fora, sociale media, advertentiesites of registers zoals het Handelsregister. Daarnaast zou het ook kunnen gaan om gegevens op het darkweb, die illegaal kunnen zijn verkregen en gepubliceerd. Dat stelt de AP op basis van het wetsvoorstel 'internettoezicht douane'. Het voorstel regelt gebruik van openbare internetbronnen voor douanetoezicht.

"De overheid wil systematisch met AI, speciale tools of software en met nepaccounts online informatie over mensen verzamelen", aldus de Autoriteit Persoonsgegevens. In een brief aan demissionair minister Rutte van Justitie en Veiligheid wijst de toezichthouder erop dat het in het wetsvoorstel niet gaat om het opsporen van strafbare feiten of om de nationale veiligheid. "Het gaat juist om burgers waartegen geen verdenking van strafbare feiten bestaat. Duidelijke criteria en garanties die de rechten van mensen moeten beschermen, blijven achterwege."

De AP vindt dat er een juridisch kader moet komen dat antwoord geeft op de vraag wanneer de overheid welke vormen van OSINT mag inzetten. En welke waarborgen er dan in de wet moeten staan. Zo moet er een duidelijke aanleiding voor en afbakening van het onderzoek zijn. "De overheid wil het internet automatisch scannen en veel gegevens over mensen combineren. Hiermee kan de overheid een volledig beeld krijgen van aspecten van het privéleven van veel burgers. Dat kan heel ingrijpend zijn en een grote inbreuk op de privacy", zegt AP-voorzitter Aleid Wolfsen. "De vraag is wanneer en onder welke voorwaarden zoiets gerechtvaardigd is. Daarop ontbreekt nu nog het antwoord, omdat er nog geen wettelijk kader voor is."