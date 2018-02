CTIVD: AIVD en MIVD zorgvuldig met bulkdatasets met persoonsgegevens

Uit het onderzoek door de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) is gebleken dat de AIVD en MIVD zorgvuldig omgaan met de naslag van op het internet beschikbare datasets met persoonsgegevens. Dit heeft de CTIVD dinsdag bekendgemaakt in een brief aan beide Kamers der Staten-Generaal.

Bulkdatasets

Op internet zijn datasets met een grote hoeveelheid gegevens beschikbaar. Deze datasets worden door derden aan een ieder aangeboden, al dan niet tegen betaling, via een website, forum of online systeem voor het versturen van bestanden. De datasets zijn bijvoorbeeld beschikbaar gekomen als gevolg van datalekken of hacks bij bedrijven of instellingen.

Beperkte toegang medewerkers

Deze datasets kunnen een grote hoeveelheid (bulk) persoonsgegevens bevatten, maar ook technische informatie. De AIVD en MIVD verwerven een aantal van deze datasets van internet en gebruiken de gegevens voor hun taakuitvoering. Slechts een beperkt aantal geautoriseerde medewerkers hebben toegang tot de gegevens in de datasets en daarnaast geldt een maximale bewaartermijn van drie jaar. Het interne beleid bevat daarmee voldoende waarborgen voor een zorgvuldige verwerking van de persoonsgegevens.

Bevindingen

De CTIVD heeft de verwerving en verwerking van deze datasets door de AIVD en MIVD onderzocht, omdat dit een ernstige inmenging in de persoonlijke levenssfeer van de betrokken met zich mee kan brengen. De datasets worden vergaard met de inzet van een algemene bevoegdheid, die met minder waarborgen is omkleed dan een bijzondere bevoegdheid.

Meer dan 100 miljoen personen

Uit het onderzoek van de CTIVD blijkt dat het in enkele gevallen gaat om datasets die gegevens van meer dan honderd miljoen personen bevatten. Het overgrote deel van de personen in deze datasets staan niet in de aandacht van de diensten. De AIVD en MIVD hebben – al voordat het onderzoek van de CTIVD aanving – vanwege de privacy-inmenging op eigen initiatief intern beleid ontwikkeld hoe met deze op internet aangeboden datasets om te gaan.

Eerst toestemming

Het intern beleid schrijft onder andere voor dat toestemming moet worden verkregen, voordat de gegevens in de dataset worden gebruikt. Afhankelijk van de zwaarte van de privacy-inmenging is voor de verwerving toestemming vereist, tot op het niveau van de betrokken minister. Met betrekking tot één dataset is de CTIVD van oordeel dat de betrokken ministers ten onrechte niet om toestemming zijn gevraagd. Dit is onrechtmatig.

Aanbevelingen

De CTIVD doet in haar rapport enkele aanbevelingen. Zij beveelt de AIVD en de MIVD aan een openbaar beleid te publiceren over de verwerking van bulkgegevens zodat het kenbaar is hoe de diensten met grote hoeveelheden persoonsgegevens omgaan. Ook beveelt de CTIVD aan om gegevens niet (langer) te verwerken dan strikt noodzakelijk is voor de taakuitvoering van de diensten (dataminimalisatie).

Overgenomen aanbevelingen

Dit betekent concreet dat direct na de verwerving moet worden beoordeeld of alle typen gegevens in de datasets daadwerkelijk noodzakelijk zijn om de onderzoeksdoelen te bereiken. Zo niet, dan moeten deze alsnog worden vernietigd. Periodiek moet binnen de bewaartermijn worden nagegaan of de dataset nog steeds noodzakelijk is voor het doel waarvoor deze is verworven. Alle aanbevelingen zijn door de beide ministers overgenomen.