In de Tweede Kamer zijn vragen aan ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie gesteld over het onrechtmatig verwerken van persoonsgegevens in bulkdatasets door de AIVD en MIVD. Gisteren meldde de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) op basis van onderzoek dat de inlichtingendiensten bij het verwerken van bulkdata persoonlijke privacy beter moeten beschermen.
Bij de uitvoering van hun taken maken de AIVD en MIVD gebruik van zogenaamde bulkdatasets. Het gaat om omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens. De gebruikte datasets zijn afkomstig van overheidsinstanties. Het kan echter ook gaan om commercieel verkrijgbare datasets, of gestolen datasets die door criminelen worden aangeboden.
De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. In het onderzoeksrapport spreekt de toezichthouder over "ernstige risico’s en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets".
Naar aanleiding van het CTIVD-rapport heeft JA21 nu om opheldering gevraagd. "Hoe heeft het kunnen gebeuren dat deze tekortkomingen zijn ontstaan, terwijl de diensten beschikken over uitgebreide interne controlemechanismen en extern toezicht?", wil Kamerlid Van den Berg weten. Hij vraagt ook of de geconstateerde tekortkomingen het gevolg zijn van onvoldoende capaciteit, onvoldoende deskundigheid, tekortschietende sturing of een andere oorzaak.
De bewindslieden moeten ook duidelijk maken of bij de ontwikkeling of aanbesteding van nieuwe informatiesystemen door de diensten standaard getoetst wordt op het automatisch afdwingen van wettelijke bewaartermijnen, autorisaties en logging. "Bent u van oordeel dat de huidige systemen van de AIVD en MIVD zodanig zijn ingericht dat wettelijke waarborgen technisch worden afgedwongen ("security by design" en "privacy by design")? Zo nee, waarom niet?", wil het JA21-Kamerlid aanvullend weten.
Heerman en Yesilgöz moeten ook aangeven of kan worden uitgesloten dat dergelijke tekortkomingen zich ook bij andere overheidsorganisaties voordoen die grote hoeveelheden gevoelige persoonsgegevens verwerken, en als dit niet zo is, of de bewindslieden bereid zijn om hier onderzoek naar te laten doen. Als laatste wil Van den Berg weten welke lessen de ministers uit het CTIVD-rapport trekken en wat ze doen om vergelijkbare tekortkomingen in de toekomst te voorkomen. De bewindslieden hebben drie weken om met een reactie te komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.