Privégegevens van miljoenen burgers bij geheime diensten – toezichthouder wil ‘sleepwet’ aanpassen
Geheime diensten AIVD en MIVD blijken over steeds meer bulkdatasets te beschikken. Het gaat daarbij om databestanden waarin de privégegevens van miljoenen Nederlanders zijn opgeslagen – ook van personen die geen doelwit van de diensten zijn.
De nieuwe wet voor de inlichtingendiensten, ook wel de sleepwet genoemd, kent te weinig waarborgen om dit te verhinderen. Deze boodschap komt van de toezichthouder op de diensten, de CTIVD, die daarmee nog eens onderstreept dat de inlichtingenwet allesbehalve duidelijkheid schept en grootschalige privacyinbreuken niet altijd tegengaat. CTIVD-voorzitter Nico van Eijk zegt tegen de Volkskrant dat hij vindt dat de wet op dit punt aangepast moet worden.
Op twee terreinen gaat het mis. Ten eerste bij zogeheten ‘bulkhacks’, het hacken van bijvoorbeeld een telecomprovider om bij de e-mails van enkele doelwitten van de geheime diensten te komen. Bij zo’n hack vergaren de AIVD en MIVD de privégegevens van mogelijk miljoenen mensen.
Volgens de wet moeten de diensten binnen anderhalf jaar de relevante gegevens uit de bulk halen en de rest vernietigen. De diensten passen hierbij echter een truc toe: ze merken de hele dataset aan als relevant en bewaren alle gegevens veel langer dan het toegestane maximum van anderhalf jaar. Dat doen ze, omdat ze vinden dat ze niet op voorhand kunnen zeggen welke gegevens later nuttig zullen blijken.
Onrechtmatig
Volgens de AIVD zijn deze bulkhacks van groot belang en zorgen ze voor belangrijke inlichtingen, bijvoorbeeld over locaties van Nederlandse jihadstrijders in Syrië of bij het onderzoek naar de betrokkenheid van de Iraanse geheime dienst bij liquidaties in Nederland. Ook het identificeren van personen die betrokken waren bij zenuwgasaanvallen in Syrië in 2016 en 2017 zou mogelijk zijn geweest door bulkhacks.
Maar de AIVD gaat niet in op de vraag of alle verkregen data bij die onderzoeken cruciaal waren en of de onderzoeken binnen de wettelijke termijn van anderhalf jaar plaatsvonden. De toezichthouder vindt dan ook dat de diensten onrechtmatig te werk gaan door de bewaartermijnen niet te respecteren. ‘In de zienswijze van de CTIVD is deze wijze van relevantiebeoordeling een kunstgreep om de betreffende bulkdatasets langer te kunnen bewaren en te gebruiken. De wet biedt hiervoor geen ruimte.’
De toezichthouder onderzocht zestien hackoperaties en kwam erachter dat de AIVD bij drie operaties gegevens verzamelde, terwijl de toezichthouder de aanvraag voor de hacks had afgekeurd. Een doodzonde. Immers, de nieuwe wet vereist dat de AIVD vooraf toestemming vraagt en indien die niet wordt gegeven mag de operatie geen doorgang vinden.
Grasduinen
Het tweede terrein waarop het misgaat, is het verzamelen van passagiersgegevens. Deze gegevens – naam, geboortedatum, nationaliteit, luchthaven van vertrek en aankomst – verzamelen luchtvaartmaatschappijen vóór vertrek en delen die met de Marechaussee. Die zet de gegevens linea recta en geautomatiseerd door naar de AIVD, die daardoor beschikt over de vluchtgegevens van miljoenen Nederlanders en buitenlanders.
Dit gebeurt op basis van de zogeheten ‘informantenbevoegdheid’: informanten kunnen data doorspelen naar de inlichtingendiensten. De geheime diensten grasduinen regelmatig in deze dataset, omdat die nuttige informatie bevat over het reisgedrag van verdachte terroristen of bijvoorbeeld buitenlandse spionnen.
Maar veruit het merendeel van de gegevens gaat over personen die geen doelwit van de dienst zullen zijn. De CTIVD: ‘Om deze reden is sprake van het verzamelen en verder verwerken van een bulkdataset. Bulk is bulk.’ En daarvoor gelden weer specifieke waarborgen die de AIVD en MIVD nu niet toepassen, omdat de gegevens op basis van de informantenbevoegdheid zijn verzameld.
Er wordt geen specifieke toestemming gevraagd voor het verzamelen en ook wordt niet beoordeeld of de gegevens nog wel van betekenis zijn. CTIVD: ‘Er zijn dan ook geen gegevens verwijderd sinds het moment van verzamelen. In de onderzoeksperiode stonden in de database van de AIVD de passagiersgegevens van miljoenen personen.’
Fundamentele rechten
Beide ontwikkelingen zijn nauw verwant aan de voortstuwende digitalisering: hoe meer data organisaties en overheden opslaan, hoe groter de databestanden die geheime diensten kunnen vergaren. Linksom of rechtsom. AIVD en MIVD betogen daarbij dat het voor de uitvoering van hun taak en het onderkennen van onbekende dreigingen cruciaal is om over grote databestanden te beschikken.
Maar juist op dit punt biedt de nieuwe inlichtingenwet te weinig duidelijkheid. CTIVD-voorzitter Nico van Eijck: ‘Daarmee doet de wet onvoldoende recht aan de bescherming van de fundamentele rechten van personen die niet in onderzoek zijn en dat ook nooit zullen worden.’
Extra zorg is dat óók de data van journalisten en advocaten in deze bulksets zitten. Voor het verzamelen van gegevens over deze beroepsgroepen is normaal gesproken extra toestemming nodig van een rechter. Bij het verzamelen van bulkdatasets komt die er niet aan te pas, bevestigt Nico van Eijk. ‘Bij het verwerven van bulkdatasets wordt geen rekening gehouden met gegevens van journalisten of advocaten. Die worden ook opgeslagen.’