De AIVD en MIVD hebben persoonsgegevens in bulkdatasets onrechtmatig verwerkt, zo oordeelt de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De toezichthouder heeft dertien aanbevelingen gedaan om de situatie te verbeteren.
Bij de uitvoering van hun taken maken de AIVD en MIVD gebruik van zogenaamde bulkdatasets. Het gaat om omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens. De gebruikte datasets zijn afkomstig van overheidsinstanties. Het kan echter ook gaan om commercieel verkrijgbare datasets, of gestolen datasets die door criminelen worden aangeboden.
Verkregen datasets mogen een beperkte tijd worden bewaard. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard.
In het onderzoeksrapport spreekt de toezichthouder over "ernstige risico’s en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets". Het gaat dan met name om bulkdatasets waarop het beperkte of strikt beperkte toegangsregime van toepassing is. "Ook de logging van gegevens geeft onvoldoende inzicht die nodig is voor een goede beoordeling van processen", aldus de CTIVD.
"De verwerking van gegevens uit bulkdatasets vormt een privacy inbreuk voor de personen die er in voorkomen. Daar komt bij dat verreweg het merendeel van de mensen die in deze datasets voorkomen, niks te maken hebben met spionage of terrorisme. De waarborgen omtrent gegevensverwerking moeten simpelweg op orde zijn", zegt CTIVD-voorzitter Hugo Hillenaar. Hij merkt op dat de maatschappij en de politiek er op moeten kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets,. "En daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden."
De CTIVD adviseert om gegevens niet als openbaar toegankelijk te beschouwen wanneer niet feitelijk kan worden vastgesteld of de verkregen gegevens openbaar toegankelijk zijn (geweest). "Scherp in regelgeving of beleid aan hoe dit criterium moet worden betrokken bij de beoordeling van de privacyinbreuk van bulkdatasets. Houd hierbij rekening met de omstandigheid dat gegevens uit een datalek openbaar toegankelijk kunnen zijn, maar doorgaans niet door de betrokkenen zelf openbaar zijn gemaakt."
"Wij nemen deze aanbeveling grotendeels over. Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest). Ook hebben de diensten tijdens de onderzoeksperiode de regels rondom het openbaarheidscriterium in het beleid verduidelijkt en aangescherpt", reageren ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie op de aanbeveling van de CTIVD. Ze zeggen het door de toezichthouder geschetste beeld te herkennen. Volgens de bewindslieden staat het verbeteren van het beheer van bulkdatasets hoog op de agenda van de diensten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.