Toezichthouder kritisch: AIVD en MIVD bewaren persoonsgegevens te lang en schenden privacyregels

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) gaan onvoldoende zorgvuldig om met grote hoeveelheden persoonsgegevens. Dat concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na onderzoek naar het gebruik van zogenoemde bulkdatasets. Volgens de toezichthouder worden gegevens te lang bewaard en hadden bepaalde medewerkers onrechtmatig toegang tot gevoelige persoonsgegevens.
De CTIVD stelt dat de huidige werkwijze niet voldoet aan de wettelijke regels die gelden voor het verwerken en bewaren van dergelijke gegevens. De bevindingen zijn inmiddels gedeeld met de regering. Daarnaast heeft de toezichthouder dertien aanbevelingen gedaan om de tekortkomingen te herstellen.
Voorzitter Hugo Hillenaar van de CTIVD benadrukt het belang van zorgvuldige gegevensverwerking. “De maatschappij en de politiek moeten erop kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets.”
Hij voegt daaraan toe: “Daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden.”
Uit het onderzoek blijkt dat bepaalde groepen medewerkers toegang hadden tot persoonsgegevens terwijl dat volgens de regels niet was toegestaan. Ook werden grote hoeveelheden persoonsgegevens langer bewaard dan wettelijk is toegestaan. Volgens de toezichthouder gebeurde dat niet incidenteel, maar meerdere keren.
Hillenaar spreekt van een inbreuk op de privacy van de mensen van wie gegevens in de systemen zijn opgeslagen. “Daar komt bij dat verreweg het merendeel van de mensen die in deze datasets voorkomen, niks te maken heeft met spionage of terrorisme. De waarborgen omtrent gegevensverwerking moeten simpelweg op orde zijn.”
De AIVD en MIVD gebruiken grote datasets voor onderzoeken naar onder meer terrorisme, buitenlandse spionage en andere dreigingen voor de nationale veiligheid. Binnen die databestanden kunnen onder meer namen, telefoonnummers, locatiegegevens en informatie van sociale media zijn opgenomen.
De gegevens zijn afkomstig uit verschillende bronnen. Zo kunnen zij worden aangeleverd door overheidsorganisaties of afkomstig zijn uit databestanden die na hacks op internet zijn verschenen. Juist vanwege de omvang en gevoeligheid van deze informatie gelden strikte wettelijke voorwaarden. Zo mogen gegevens slechts gedurende een beperkte periode worden bewaard, moet de toegang tot de bestanden worden beperkt tot bevoegde medewerkers en moeten gegevens die niet relevant blijken voor een onderzoek worden vernietigd.






















































