Inlichtingendiensten moeten te lang bewaarde bulkdata burgers verwijderen

Inlichtingendiensten AIVD en MIVD dienen grote hoeveelheden gegevens van Nederlandse burgers te verwijderen van hun servers. De data zijn geen onderwerp van onderzoek en zijn daarom illegaal langer bewaard dan de maximaal toegestane anderhalf jaar. Dat stelt de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Het oordeel van de commissie is bindend, zo meldt de NOS. De toezichthouder liet onlangs ook aan de Tweede Kamer weten dat de inlichtingendiensten nog altijd meer ongericht aftappen dan waarvoor ze toestemming hebben.

De gegevens waar het nu om gaat, zijn niet afkomstig uit ongerichte internettaps, ook wel bekend als het 'sleepnet'. Hoewel de wet (WiV) die dit mogelijk moest maken in 2018 aangepast werd na een referendum, kunnen de AIVD en MIVD in de praktijk toch grootschalig en ongericht internetverkeer aftappen. Maar de data die verwijderd moet worden, is onder andere uit gerichte hacks afkomstig. Voorbeelden zijn een hack van een telecomoperator waarbij grote hoeveelheden facturen binnengehaald worden, bedoeld om zo belgegevens van potentiële terorristen te vinden, of een hack van een mailaanbieder.

"In de wet staat dat die gegevens anderhalf jaar mogen worden bewaard, maar ze hebben ze veel langer bewaard", zegt Addie Stehouwer, die over de klachten bij de CTIVD gaat, tegen de NOS. "Daarbij gaat het ook om gegevens waarvan ze weten dat ze nooit relevant zullen zijn."

Geen bevoegdheid

De CTIVD heeft zelf niet de bevoegdheid om de inlichtingendiensten te verplichten data te verwijderen. Wanneer de toezichthouder reageert op een klacht van een derde partij, dan is het oordeel echter wel bindend. In dit geval heeft de CTIVD gereageerd op een klacht uit mei van digitale burgerrechtenbeweging Bits of Freedom (BoF). Die diende de klacht in juist omdat dit volgens BoF de enige manier was om zo'n binden oordeel te verkrijgen. "We zijn heel blij met de uitspraak, en dat deze gegevens nu moeten worden vernietigd", stelt Lotte Houwing van Bits of Freedom.

De AIVD en MIVD mogen de zogeheten 'niet-relevante' gegevens van burgers verkregen uit een hack maximaal anderhalf jaar bewaren. In die tijd kunnen de wel relevante gegevens uit zo'n bulk-dataset gehaald worden. De CTIVD had al vaker gesteld dat de inlichtingendiensten deze gegevens echter langer bewaarden. Bovendien hadden AIVD-medewerkers te makkkelijk toegang tot de data.

Niet naar gehandeld

In 2019 en in 2020 stelde de toezichthouder dat deze gegevens vernietigd moesten worden, maar daar werd niet naar gehandeld. Omdat het ondoenlijk bleek om alle relevante gegevens binnen 1,5 jaar uit een bulk-dataset te halen, noemden de inlichtingendiensten alle gegevens relevant.

De AIVD en MIVD hebben nog niet laten weten wat ze met het oordeel van de CTIVD gaan doen. Het kabinet werkt ondertussen volgens de Volkskrant aan mogelijkheden om beide diensten meer bevoegdheden te geven in onderzoek naar digitale dreigingen. Dat zou onder andere breder zoeken in bulk-datasets en ongericht aftappen betekenen.