AIVD en MIVD onder vuur om mogelijk gebruik van gegevens uit datalekken

Bij de AIVD en MIVD bestond het risico dat medewerkers zonder juiste toestemming grote bestanden met persoonsgegevens konden raadplegen. Ook was achteraf niet altijd goed te controleren wie gegevens had bekeken. Sommige bestanden werden niet op tijd beoordeeld voor verwijdering, terwijl gegevens uit datalekken soms als openbaar toegankelijk konden worden behandeld. Dat blijkt uit tekortkomingen die toezichthouder CTIVD heeft gevonden bij het beheer, de toegang en de controle op deze zogenoemde bulkdatasets. Het kabinet erkent dat het beheer en de controle moeten worden verbeterd.
De problemen staan in een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. De CTIVD onderzocht de omgang met zogenoemde bulkdatasets. Daarin staan vooral gegevens van personen en organisaties die zelf geen onderwerp van onderzoek zijn.
Controle op toegang schoot tekort
De AIVD en MIVD gebruiken bulkbestanden om doelwitten te vinden, netwerken in kaart te brengen en informatie te controleren. Volgens het kabinet zijn deze bestanden belangrijk bij onderzoek naar onder meer terrorisme, spionage en sabotage. Het gebruik kan echter een aanzienlijke inbreuk op de privacy veroorzaken.
De technische registratie van toegang tot de bestanden was volgens de toezichthouder niet voldoende. Daardoor kon niet altijd worden vastgesteld welke medewerker gegevens had geraadpleegd en of dat terecht gebeurde. Ook waren wijzigingen in toegangsrechten niet goed genoeg zichtbaar.
De diensten gaan hun logging en toegangsbeheer uitbreiden. Toegang tot gegevens moet automatisch worden gekoppeld aan de duur van een verleende toestemming. Het kabinet waarschuwt wel dat de noodzakelijke aanpassingen aan de ICT-systemen veel tijd en capaciteit kosten.
Gegevens uit datalekken
De CTIVD uitte daarnaast kritiek op de beoordeling van openbaar toegankelijke gegevens. De diensten konden bestanden als openbaar beschouwen wanneer niet duidelijk was of de informatie daadwerkelijk openbaar was geweest. Ook gegevens uit datalekken of commercieel gekochte bestanden konden onder die beoordeling vallen.
Het kabinet neemt deze aanbeveling grotendeels over. Wanneer de herkomst niet duidelijk is, moeten de gegevens voortaan als niet openbaar toegankelijk worden behandeld. De inhoud van het bestand en de mogelijke schade voor de privacy worden belangrijker bij het bepalen van de toegang.
Bij sommige bestanden was bovendien niet op tijd gecontroleerd of ze nog nodig waren. De diensten zeggen inmiddels alle achterstallige beoordelingen te hebben uitgevoerd. Ook moeten nieuwe maatregelen voorkomen dat zulke controles opnieuw te laat plaatsvinden.
Bepaalde grote databestanden werden gebruikt voor technische ondersteuning en vielen buiten het normale regime voor bulkdata. Volgens de CTIVD bestond daar geen wettelijke grondslag voor. Het kabinet erkent dit en wil de regels opnemen in de herziening van de inlichtingenwet.





















































