De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) hoeft mogelijk niet alle gegevens van vijf datasets te vernietigen. Gegevens die worden gebruikt voor lopende onderzoeken, vallen daar wellicht buiten. De veiligheidsdienst kijkt momenteel om welke informatie het gaat.
Dat bevestigt een woordvoerder van de AIVD tegenover NRC.
De AIVD en diens militaire tegenhanger de MIVD hebben als doel om te waken over de nationale veiligheid van Nederland. Daarvoor verzamelen de diensten grote hoeveelheden data. Via een techniek die ‘snapshotten’ heet, verzamelen ze in korte tijd persoonlijke en gevoelige gegevens van miljoenen Nederlanders.
De Wet op inlichtingen- en veiligheidsdiensten (Wiv 2017) bepaalt dat deze data slechts een bepaalde tijd bewaard mag worden: anderhalf jaar om precies te zijn. Wegens het overschrijden van deze termijn zijn de veiligheidsdiensten meerdere malen op de vingers getikt door de Commissie van Toezicht op Inlichtingen- en Veiligheidsdiensten (CTIVD). Toenmalig minister van Buitenlandse Zaken Kajsa Ollongren legde deze adviezen naast zich neer.
Om een einde te maken aan de dataverzamelingspraktijken van de veiligheidsdiensten, diende Bits of Freedom eind mei een klacht in bij de CTIVD. “De hoeveelheden gegevens die de geheime diensten over ons zijn gaan verzamelen zijn zo groot, dat de diensten het zelf niet meer aan kunnen. Ze beoordelen die gegevens te laat, en als hele berg. Daardoor sluizen ze gigantische hoeveelheden gegevens van jou en mij door naar hun systemen, zonder dat die gegevens relevant zijn voor een onderzoek”, vertelde BoF-beleidsadviseur Lotte Houweling over de kwestie.
De toezichthouder nam de klacht van de burgerrechtenbeweging in beraad. Deze week concludeerde ze dat de veiligheidsdiensten de gegevens van miljoenen Nederlanders inderdaad te lang heeft bewaard. De diensten kregen de opdracht om vijf datasets te vernietigen. Via een brief aan de Tweede Kamer liet het kabinet weten deze beslissing “per direct” uit te voeren.
Wie de brief goed leest, ziet dat het kabinet een belangrijk voorbehoud maakt. “Het kabinet wil benadrukken dat de te vernietigen bulkdatasets gegevens bevatten ten behoeve van onderzoeken gericht tegen dreigingen uit het buitenland”, zo staat er in het document.
Volgens een woordvoerder van de AIVD biedt dit de mogelijkheid om een deel van de datasets te bewaren. Hij vertelt tegenover NRC dat het om zogeheten ‘gegevensverwerkingen’ gaat: gegevens uit de dataset die momenteel worden gebruikt voor lopende onderzoeken. “Er moet nog een slag worden gemaakt om te kijken welke data je nog wel kunt gebruiken omdat ze deel uitmaken van lopend onderzoek. In die sets zitten dingen die je misschien niet wilt weggooien en die je ook niet hoeft weg te gooien van de CTIVD”, aldus de woordvoerder.
Beveiligingsspecialisten houden er rekening mee dat de diensten nieuwe verzoeken voor kabelinterceptie gaan indienen om dezelfde data opnieuw binnen te halen. Ronald Prins van cybersecuritybedrijf Hunt & Hackett zegt tegenover NRC dat hij vermoedt dat de veiligheidsdiensten hiervoor toestemming krijgen. Hij denkt dat de kans klein is dat eerder gehackte doelwitten hun cybersecurity sindsdien hebben opgeschroefd.
Securityexpert Peter Koop denkt net als Prins dat nieuwe hackpogingen door de veiligheidsdiensten een reëel scenario is. “Maar dan moeten de diensten wel een goed verhaal hebben. Want ze konden de CTIVD kennelijk eerder niet goed uitleggen waar die gegevens precies goed voor waren.”
