Harde kritiek op databeleid AIVD en MIVD

8 september 2020

Ook problemen met geautomatiseerde data-analyse .De geheime diensten AIVD en MIVD hebben verzuimd om grote hoeveelheden data die zijn onderschept in onderzoeken naar mogelijk verdachte personen dan wel organisaties, te vernietigen. Deze zogenoemde bulkdata mogen maar 1,5 jaar worden bewaard. Maar beide diensten hebben kunstgrepen gebruikt om de bewaartermijn te verlengen. Dit stelt de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (Ctivd).

Toezichthouder Ctivd heeft een nieuwe voortgangsrapportage over de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv), ook wel kortweg sleepwet genaamd, gepubliceerd. Deze twee jaar geleden ingevoerde wet geeft de geheime diensten meer opsporingsmogelijkheden. Maar de bijvangst, data van mensen die geen voorwerp van onderzoek zijn en dat ook nooit zullen worden, moet na 1,5 jaar worden vernietigd. In het beste geval werden deze datasets wel enigszins gereduceerd, maar de gegevens doken weer op in 'nieuwe' bulkdatasets.


Het Ctivd neemt het in zijn rapportage beide diensten kwalijk dat die datasets nog steeds merendeels gegevens bevatten van personen en organisaties die niet verdacht zijn en dat ook nooit zullen worden. De gevolgde praktijk om data in 'nieuwe' sets onder te brengen wordt gezien als een trucje dat in strijd is met de geest van de wet. De Ctivd acht dit een inbreuk op de privacy. Verzachtende omstandigheid is wel dat de 'sleepwet' lastig is uit te voeren. Bij de totstandkoming van de wet is te weinig gelet op de implementatie ervan.

De diensten hebben wel hun best gedaan maar de vertaalslag naar werkinstructies en de systemen van de diensten blijkt complexer en veelomvattender dan aanvankelijk werd gedacht. Bij de datareductie wordt geworsteld met de relevantiebeoordeling. Volgens de Ctivd is een bepaalde voortgang bereikt, maar deze is onvoldoende.

Gezamenlijke it-huishouding

"De implementatie verloopt moeizaam"

Verder hebben de AIVD en MIVD besloten tot een gezamenlijke datahuishouding en it-infrastructuur. Deze moeten over twee tot drie jaar gereed zijn. Vooral het omzetten van wet en beleid in technische systemen voor de gegevensverwerking is een hele uitdaging. Bij de AIVD heeft de decentrale ontwikkeling van het it-landschap geleid tot weinig uniformiteit van de applicaties. Dit compliceert een gedegen centraal overzicht. Interne controle en effectief toezichten worden daardoor lastiger. 

Moeizaam verloopt de geautomatiseerde data-analyse (GDA), een kernproces van de gegevensverwerking door de diensten. De implementatie hiervan verloopt moeizaam. Volgens de Ctivd zijn recent wel wat stappen gezet, maar blijft er nog veel werk aan de winkel. Ook hier wordt geworsteld met de vertaalslag van wet en beleid naar de uitvoering in de praktijk. De Ctivd plaatst veel kritische kanttekeningen bij de manier waarop beide diensten te werk gaan. Ook zijn er zorgen over het delen van gegevens met buitenlandse diensten.