Om aan die zorgen tegemoet te komen, dicteerde het kabinet dat de nieuwe aftapbevoegdheden “zo gericht mogelijk” moeten worden ingezet. Dat werd vastgelegd in een officieel kabinetsbesluit en wordt binnenkort definitief opgenomen in de inlichtingenwet. Daardoor moet worden voorkomen dat informatie van onschuldige burgers toch in de tapmachines van de inlichtingendienst terechtkomen.
Nog geen werk
De geheime diensten hebben echter nog geen werk gemaakt van het ‘zo gericht mogelijk’ aftappen van gegevens. Sinds het kabinetsbesluit, dat op 1 mei van kracht werd, is invoering ervan “vrijwel achterwege gebleven”. Dat levert volgens de CTIVD een “hoog risico” op.
De nieuwe bevoegdheid om op grotere schaal internetverkeer via de kabel af te tappen, is overigens nog niet daadwerkelijk gebruikt. Maar de strengere voorzorgsmaatregelen gelden nu ook voor het op grote schaal aftappen van radio- en satellietverkeer, en dat blijkt nog niet goed geregeld.
Om privacy-inbreuken te voorkomen, moet afgetapte informatie die voor de geheime diensten niet relevant is zo snel mogelijk worden weggegooid. Daarvoor hebben de diensten in de praktijk echter te weinig beleid en aandacht, schrijft de toezichthouder. Ook dat levert volgens de toezichthouder grote risico’s op.
Weg is weg
De MIVD blijkt sowieso niet zo goed in het weggooien van data. Er zijn geen goede ict-systemen om er geautomatiseerd voor te zorgen dat niet-relevante informatie wordt verwijderd; dat gebeurt voor een groot deel met de hand en daardoor niet goed genoeg. Dat moet volgens de CTIVD op een ‘zo kort mogelijke termijn’ worden geregeld, maar de MIVD lijkt van plan te zijn om invoering ‘over meerdere jaren uit te spreiden’.
Als de inlichtingendiensten informatie verwijderen, moet die informatie ook echt weg zijn, en niet via een omweg weer kunnen worden teruggehaald. Ook dat is bij de MIVD niet goed geregeld. Er is geen interne controle op de verwijdering van gegevens en daardoor kan de toezichthouder ook niet beoordelen of informatie wel echt wordt weggegooid.
Zorgplicht
Ook de implementatie van de zogenoemde zorgplicht is niet goed geregeld. Die zorgplicht houdt in dat de inlichtingendiensten voorzorgsmaatregelen moeten inbouwen om de privacy en beveiliging zo goed mogelijk te waarborgen.
Zo moeten de diensten maatregelen nemen om ervoor te zorgen dat data niet in verkeerde handen komen, dat goed is vastgelegd welke medewerker bij welke gegevens kan en moet bovendien in de gaten worden gehouden of interne regels daadwerkelijk worden gevolgd.
Er blijkt echter “geen instrumentarium voor de zorgplicht aanwezig” bij de AIVD en MIVD. Dat is opvallend, want het kabinet beloofde in december vorig jaar dat er bij invoering van de wet “een adequaat instrumentarium beschikbaar is waarmee gegevensbescherming is gewaarborgd”.
Volgens de CTIVD is het “van essentieel belang” dat dat instrumentarium er zo snel mogelijk wel komt. In een concrete planning om daarvoor te zorgen, is nu echter “niet voorzien”.
Evaluatie
De toezichthouder sluit af met een positieve noot. De klachtenprocedure die met de nieuwe inlichtingenwet ingevoerd zou moeten worden, is inmiddels gereed.
De komende jaren moet blijken of de diensten hun zaakjes beter op orde hebben: de CTIVD blijft elk halfjaar verslag uitbrengen. In 2020 wordt de nieuwe inlichtingenwet geëvalueerd.
Het is niet voor het eerst dat de CTIVD kritisch is over de inlichtingenwet. In eerste instantie vond de toezichthouder de wet ondermaats, maar na aanpassing ervan noemde CTIVD-baas Harm Brouwer de wet “niet volmaakt, maar wel in balans”.
https://nos.nl/l/2262021