image

CTIVD: persoonsgegevens in bulkdata onrechtmatig door AIVD en MIVD verwerkt

woensdag 1 juli 2026, 11:00 door Redactie, 13 reacties

De AIVD en MIVD hebben persoonsgegevens in bulkdatasets onrechtmatig verwerkt, zo oordeelt de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De toezichthouder heeft dertien aanbevelingen gedaan om de situatie te verbeteren.

Bij de uitvoering van hun taken maken de AIVD en MIVD gebruik van zogenaamde bulkdatasets. Het gaat om omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens. De gebruikte datasets zijn afkomstig van overheidsinstanties. Het kan echter ook gaan om commercieel verkrijgbare datasets, of gestolen datasets die door criminelen worden aangeboden.

Verkregen datasets mogen een beperkte tijd worden bewaard. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard.

In het onderzoeksrapport spreekt de toezichthouder over "ernstige risico’s en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets". Het gaat dan met name om bulkdatasets waarop het beperkte of strikt beperkte toegangsregime van toepassing is. "Ook de logging van gegevens geeft onvoldoende inzicht die nodig is voor een goede beoordeling van processen", aldus de CTIVD.

"De verwerking van gegevens uit bulkdatasets vormt een privacy inbreuk voor de personen die er in voorkomen. Daar komt bij dat verreweg het merendeel van de mensen die in deze datasets voorkomen, niks te maken hebben met spionage of terrorisme. De waarborgen omtrent gegevensverwerking moeten simpelweg op orde zijn", zegt CTIVD-voorzitter Hugo Hillenaar. Hij merkt op dat de maatschappij en de politiek er op moeten kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets,. "En daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden."

Aanbevelingen

Volgens de CTIVD worden de problemen veroorzaakt door technische tekortkomingen in de systemen van de diensten. Ook schieten procedures tekort die de naleving van beleid en regelgeving moeten garanderen. De toezichthouder doet dertien aanbevelingen om de situatie te verbeteren, onder andere wat betreft het gebruik van gestolen datasets die criminelen op internet aanbieden. De AIVD en MIVD beschouwen deze datasets nu als openbaar toegankelijk.

De CTIVD adviseert om gegevens niet als openbaar toegankelijk te beschouwen wanneer niet feitelijk kan worden vastgesteld of de verkregen gegevens openbaar toegankelijk zijn (geweest). "Scherp in regelgeving of beleid aan hoe dit criterium moet worden betrokken bij de beoordeling van de privacyinbreuk van bulkdatasets. Houd hierbij rekening met de omstandigheid dat gegevens uit een datalek openbaar toegankelijk kunnen zijn, maar doorgaans niet door de betrokkenen zelf openbaar zijn gemaakt."

"Wij nemen deze aanbeveling grotendeels over. Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest). Ook hebben de diensten tijdens de onderzoeksperiode de regels rondom het openbaarheidscriterium in het beleid verduidelijkt en aangescherpt", reageren ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie op de aanbeveling van de CTIVD. Ze zeggen het door de toezichthouder geschetste beeld te herkennen. Volgens de bewindslieden staat het verbeteren van het beheer van bulkdatasets hoog op de agenda van de diensten.

Reacties (13)
Vandaag, 11:22 door Anoniem
Bert Hubert, tech-expert : "Bij buitenlandse inlichtingendiensten is al vaak voorgekomen dat medewerkers dan bijvoorbeeld de locaties van hun geliefden natrekken. Dat heet love intelligence." Normaal gesproken laat je daarbij een 'spoor' achter en kun je ontslagen worden, maar als niet wordt bijgehouden wie een dataset bekijkt, kan dat niet.

https://nos.nl/artikel/2621135-inlichtingendiensten-houden-zich-niet-aan-regels-voor-datasets-met-persoonsgegevens
Vandaag, 11:25 door Anoniem
Waarom zou de overheid zich aan de wet houden?
De wet is alleen voor lastige burgers.

Elke keer blijkt weer: de overheid is de vijand. Keer op keer op keer op keer.
En de schaapjes blijven het braaf accepteren.
de maatschappij en de politiek er op moeten kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets[/quote[Daar kan al niemand meer op vertrouwen de afgelopen 30 jaar. Het is niet voor niks dat de overheid de onbetrouwbaarste instantie van Nederland is... Doet maar raak en als het 'illegaal' blijkt te zijn, dan wordt de wet aangepast.
Vandaag, 11:28 door Anoniem
De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten.
"Wij nemen deze aanbeveling grotendeels over. /knip
Doet me denken aan de tijd dat de politie ook op hun vingers werd getikt omdat ze de ANPR data langer bewaarde dan wettelijk toegestaan. De oplossing die de politie toen verzon was de data over te hevelen naar de belastingdienst waar het 7 jaar bewaard mag blijven. Dat is nadat de belastindienst deze data ook ging gebruiken (tjá, function creep) om te controleren of een leaserijder de prive gemaakte kilometers wel juist had doorgegeven. Zodoende kon de politie alsnog deze data wéér opvragen indien nodig.
Zal het nu zo zijn dat 'de diensten' deze bulkdata eerst overhevelen naar de US alvorens het te verwijderen en er met de US afspraken zijn gemaakt dat ze toegang blijven behouden?
Vandaag, 11:34 door Anoniem
Tsja, deze op ondemocratische wijze doorgeramde sleepwet... één van de redenen waarom een PQE VPN zoals bijvoorbeeld Surfshark en PQE communicatie apps als Signal zijn aan te bevelen.

De strijd tussen de privacy-bewuste niet-criminele burger en de overheid met haar niet te stillen datahonger zal gaandeweg in alle hevigheid losbarsten.
Vandaag, 11:40 door Anoniem
We leven al in een politiestaat, waarin iedereen maar willekeurig wordt gevolgd. Wordt er een wet overtreden, dan wordt veelal niet gestopt met het overtreden, maar wordt de wet aangepast.

De enge meneer in deze video laat weten wat ze allemaal (nog meer) willen:
https://www.youtube.com/watch?v=Av4qrUqgjBo
Vandaag, 11:44 door Anoniem
bulkdatasets
Hoeveel data van hoeveel personen gaat het dan om? Lekker anoniem op deze manier. Kan je ook moeilijk erachter komen of je hierdoor onterecht bent geraakt en of je verhaal kan halen...

"Wij nemen deze aanbeveling grotendeels over.
En wat nemen "wij" dan niet over???

Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest).
Er kon dus door jan en alleman in worden gegrasduind want het had de status "openbaar" of zo??? Wie is degene die dit had verordonneerd en is die al ontslagen door de diensten??

Ook hebben de diensten tijdens de onderzoeksperiode de regels rondom het openbaarheidscriterium in het beleid verduidelijkt en aangescherpt", reageren ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie op de aanbeveling van de CTIVD.
O, dus als het dan toch gebeurd, glasvezel is met de snelheid van licht en zo, dan gebeurt het maar kort en dan is het niet erg???

Ze zeggen het door de toezichthouder geschetste beeld te herkennen.
. Is bijna net zo erg als een wc-eendje. Hoezo melden ze niet dat ze het hadden proberen te verhinderen? Dan was het nog een relevante comment waar het gaat om deze geïnstitutionaliseerde en geautomatiseerde privacy schending. Daar had de minister van Justitie bij het bespreken van AVG en privacy toezichthouder in de 2e kamer nota bene expliciet voor gewaarschuwd!

Volgens de bewindslieden staat het verbeteren van het beheer van bulkdatasets hoog op de agenda van de diensten.
Het staat hoog op de agenda, maar het kan dus nog steeds kortdurend ondergeschikt zijn aan andere "belangen". Herhaling is dus sowieso niet uitgesloten. Komt me ook voor als het inleg velletje van Rutte, die lege "toezegging".
Vandaag, 11:45 door Anoniem
Als we nu allemaal gewoon die onophoudelijke reeks privacy inbreuken voor lief nemen, wordt het gewoon steeds veiliger.
Beetje bij beetje, telkens weer net ietsje veiliger, zowel in prognose als in realiteit:
ondertussen is er nog steeds geen vliegtuig het WTC aan de Zuidas binnengevlogen.
Laat staan twee. Wel treinen binnengereden - maar dat hoort zo.
Maar het zou natuurlijk ook kunnen komen omdat Ernie een banaan in z'n oor heeft.
Beter dan boter op je hoofd.

Door: Minister Yesilgöz van Defensie: Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest).
Da's best wel echt enorm indrukwekkend:
"niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn".
Of moet ik hier nog iets langer over nadenken om dit te bevatten?
Vandaag, 11:52 door Anoniem
Nou zeg, wat een brutaaltjes!!! Hier heb ik een mooi antwoord op;


Voor de onschuldige burger om u op weg te helpen; (Beginnershandleiding voor het recht met rust gelaten te worden!!!)

Mobiel OS:

Gebruik GrapheneOS zonder Google Services. Dit vereist een Pixel telefoon, foldable of tablet, maar koop dit zonder abonnement anders kan het niet geïnstalleerd worden.
Op het primaire profiel kunt u een "private space" aanmaken (onderaan de applade) voor persoonlijke tools waaronder 2FA software, wachtwoordkluizen, locale ongecensureerde LLMs en meer)
Stel een apart buitenprofiel in zonder privégegevens voor het geval uw telefoon uit uw handen wordt getrokken terwijl deze aan staat. (Ontsloten)
Stel een offline profiel in, met een aparte firewall Netguard met alles geblokkeerd) voor privébestanden.
Alternatief OS: LineageOS niet geschikt voor veiligheid, hooguit privacy aangezien het veel minder veilig is dan GrapheneOS en het vaak geen verified boot heeft, maar als u geen andere keuze heeft zit er tenminste geen Google op.
iPhones zijn geen optie aangezien dat proprietaire (niet-transparante) zwarte-dozen software is, gekoppeld aan diensten van Apple.

Software voor mobiel:

Appstore: Obtainium en gebruik F-droid als referentie voor links naar de bronnen. (Ik gebruik daarvoor de Droid-ify app)
Zorg voor een backup van Obtainium instellingen zodra alles ingesteld is.
Voor referentie en hulp installatie bij bepaalde apps in Obtainium: https://apps.obtainium.page/
Zorg daarnaast voor afdoende apps die volledig autonoom en offline werken. Denk hierbij aan apps zoals: TrailSense, Kiwix, Organic Maps, Offline translator, Whisper+, ChatterUI, KeepassDX, SherpaTTS, EtchDroid, RetroArch, SDAI, Aegis, Seeneva, Password Generator en VLC.

Verificatie van privacy:

Gebruik de app Privamatic als referentie hoe goed uw setup is en hoe deze te verbeteren. (Een 100% is mogelijk!)

Networking:

Voer dns.quad9.net als private DNS in en gebruik Mullvad óf NymVPN óf iVPN als VPN zodat uw DNS-verzoeken niet kunnen worden bekeken door uw ISP en de sleepwet.
Stel het DNS op uw router in op een veiliger DNS zoals Quad9. https://quad9.net/ (Anders kunnen ze zien welke websites u bezoekt en verkopen die informatie)
Voor volledig onafhankelijk chatten, denk aan Meshtastic. (Vereist veel werk)
Goede chatapps zijn; Briar+BriarMailbox, SimpleX, apps met het Matrix-protocol, apps met het XMPP-protocol, Molly of Signal.
Gebruik TOR uitsluitend op een apart apparaat dat niet gerelateerd is aan u zelf, zoals een burner smartphone, buitenshuis bewaard zonder stroom of in twee faradaytassen, kom met deze smartphone nooit in de buurt van uw huis, en doe er geen persoonlijke dingen op. (Niet inloggen op services en geen persoonlijke zoekopdrachten)

Smart TV maatregelen:

Kijk of uw smart TV geen ACR heeft, en zet dit uit. (Neemt zoals Windows Recall beeldafdrukken op alvorens deze te verzenden)

Desktop OS en software:

Gebruik Linux (Mint voor beginners, Secureblue voor gevorderden) op de desktop voor meer privacy en autonomie en gebruik Lutris voor uw Windows en Linux games. Voor Windows OS raad ik de VM "Boxes" aan. (Niet de flatpak, anders is USB onbruikbaar) Installeer SPICE guest tools op uw VM. (Voor een correcte resolutie)

Praktische tips voor het dagelijks leven:

Geld: Gebruik Cash, (contant) Monero, Zcash en daarbij een cryptomixer waar mogelijk.

Tegen gezichtsherkenning: IR3 of IR5 bril (ziet groen)+hoed en reflecterende jas.
Draag geen merkjes, of verwijder deze, en koop alleen veelvoorkomende goedkopere kleding.

Woon in een afgelegen dorpje met minder Ring-camera's.

Zorg voor een lichtgewichte zwarte BOB (Bug Out Bag) met waterfilter.

Stel een duress wachtwoord of pincode in, schrijf dit op een heel klein papiertje met heel kleine lettertjes en doe dit in uw niet-transparante telefoonhoesje. (Tegen de rug van de telefoon) Geef dit wachtwoord nooit aan "malafide/corrupte*" autoriteiten in een dictatuur*, laat het ze zelf vinden. (Dan wordt u niet verantwoordelijk gehouden voor bewijsvernietiging aangezien u zelf niks heeft gedaan)
Voor de rest tijdens verhoor door deze malafide* partijen; niks zeggen en niks ontkennen. (Is allebei bewijslast)

Het moeilijkste van alles; Gebruik geen SIMkaart. (SIMs hebben unieke IDs en kunnen u actief volgen van zendmast tot zendmast, al heeft u locatie uitstaan, triangulatie is daarbij ook mogelijk)
Bij burner/TOR phone: koop SIMkaarten uitsluitend prepaid en onder vermomming, betaal met cash.

Reduceer de hoeveelheid abonnementen op niet-essentiele diensten, waaronder Netflix, etc. (Minder tracking/verkoop metadata) Koop films en content op BluRay/DVD, rip deze en zet ze op een selfhosted Jellyfin server.

Voor persoonlijke dataopslag; Versleutel uw belangrijkste data met bestandsversleuteling en zet deze op M-Disc.
Gebruik daarbij zeer lange en complexe onwillekeurige wachtwoorden.

Onthoud dat alle diensten van proprietaire derden (oa. Google, Adobe, Microslop, Meta, Amazon, Cloudflare, Apple en ook kleinere bedrijven en diensten) meegenomen worden in de sleepwet als u daarmee akoord bent gegaan via de voorwaarden van de desbetreffende diensten. Indien u niet heeft afgezien van uw aanvechtingsrechten (door bijvoorbeeld geen voorwaarden/terms te hebben ondertekend mogen ze niet zonder huiszoekingsbevel en daarmee goede reden in uw (digitale) spullen graaien. Justitie; zorg maar voor een huiszoekingsbevel, en uitsluitend als er echt iets gaande is, want we zijn wel klaar met jullie Orwelliaanse aanpak!!!

Oh, en last but not least; schrijf naar uw politieke vertegenwoordigers dat u geen sleepwet wilt, hoe meer mensen dit doen, des te beter het effect.


NB/legaal: Deze handleiding is uitsluitend bedoeld voor mensen die om hun privacy geven en tegen malafide* autoriteiten of dictatuur*.

* Interpretatie, immers kan zelfs Nederland in een dictatuur veranderen, en dat is dichterbij dan u denkt.

Nawoord:
Ik had dit niet geschreven had de AIVD zich niet zo misdragen, het is jullie werk. (-;

# Hot topic? Free speech, freedom, autonomy, privacy and proud dissident!
Vandaag, 12:05 door Anoniem
Tja, het geeft niet veel vertrouwen... Het lijkt wel terrorisme, immers worden we er niet vrolijk van...
Vandaag, 12:07 door Anoniem
Ook de data van kinderen? Wat een viespeuken!
Vandaag, 12:41 door Anoniem
Goede chatapps zijn; Briar+BriarMailbox, SimpleX, apps met het Matrix-protocol, apps met het XMPP-protocol, Molly of Signal.
Goede handleiding! Bedankt, helemaal top, ik zal hem opslaan en bewaren!! Vergeet alleen de chatapp "Cwtch" niet, dat is ook een goeie! https://docs.cwtch.im/
Vandaag, 13:06 door Anoniem
Zie bijvoorbeeld toezichtrapport
nr. 70 (2020) over het verzamelen van bulkdatasets met de hackbevoegdheid door de AIVD en de MIVD
en toezichtrapport nr. 79 (2024) over de inzet van virtuele agenten door de AIVD en de MIVD
Bron: Rapport-84-verwerking-bulkdatasets-aivd-mivd.pdf

Welke virtuele agenten zijn dat in vredesnaam?
Vandaag, 13:09 door Anoniem
Door Anoniem 11:22: url]https://nos.nl/artikel/2621135-inlichtingendiensten-houden-zich-niet-aan-regels-voor-datasets-met-persoonsgegevens[/url]

In datzelfde artikel:

De ministers Heerma (Binnenlandse Zaken) en Yesilgöz (Defensie) zeggen dat de AIVD en MIVD werken aan het "verbeteren van de waarborgen" bij het gebruik van bulkdatasets en dat de eerste stappen daarbij al zijn gezet zijn.

AL zijn gezet? Of is het NU PAS zijn gezet?

Ik bedoel: het is 2026, mensen. En het internet begon voor de meesten zo'n 30 jaar geleden (ervan uitgaande dat je die leeftijd haalt). Hoe lang kun je erover doen om ergens mee te beginnen?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.