Bulkdatasets bevatten gevoelige gegevens van personen en organisaties die de aandacht hebben van de inlichtingen- en veiligheidsdiensten. Ze bevatten echter ook vertrouwelijke informatie van personen en instanties waar de diensten geen onderzoek naar uitvoert. Daarom is het goed om hier paal en perk aan te stellen en een bewaartermijn wettelijk vast te leggen.
Dat advies brengt de Raad van State uit over de ‘Tijdelijke wet specifieke voorzieningen onderzoeken AIVD en MIVD’. Voorheen was deze wet bekend onder de noemer ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.
De Algemene en Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD) hebben verregaande bevoegdheden om te waken over de nationale veiligheid van Nederland. De bekendste daarvan zijn de hackbevoegdheid en de onderzoeksopdrachtgerichte interceptie (OOG-I), ook wel kabelinterceptie genoemd. Dat laatste houdt in dat de diensten tijdelijk Nederlandse internetkabels mogen aftappen om zo veel mogelijk relevante informatie te verzamelen.
Belangenorganisatie Bits of Freedom (BoF) heeft in het verleden meer dan eens haar bezwaar tegen kabelinterceptie kenbaar gemaakt. In essentie komt het erop neer dat de veiligheidsdiensten te veel niet-relevante informatie verzamelen en deze langer dan noodzakelijk bewaren.
“De hoeveelheden gegevens die de geheime diensten over ons zijn gaan verzamelen zijn zo groot, dat de diensten het zelf niet meer aan kunnen. Ze beoordelen die gegevens te laat, en als hele berg. Daardoor sluizen ze gigantische hoeveelheden gegevens van jou en mij door naar hun systemen, zonder dat die gegevens relevant zijn voor een onderzoek”, zo vertelde BoF-beleidsadviseur Lotte Houweling over deze kwestie.
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) oordeelde afgelopen jaar dat de werkwijze van de AIVD en MIVD onrechtmatig was. Daarop besloot Bits of Freedom om een klacht in te dienen bij de toezichthouder. Die stelde de belangenvereniging in het gelijk en gaf de inlichtingen- en veiligheidsdiensten de opdracht om niet-relevante gegevens uit vijf bulkdatasets te verwijderen en vernietigen.
In december 2022 stuurde de overheid de Tijdelijke wet naar de Tweede Kamer. Enkele weken later wilde het kabinet het wetsvoorstel op twee punten wijzigen. Allereerst moet er een bindende toets komen alvorens de veiligheidsdiensten in real-time verkeers- en locatiegegevens mogen verzamelen. Daarnaast mogen inlichtingendiensten bulkdatasets langer bewaren, mits de CTIVD daar toestemming voor geeft.
Op de laatstgenoemde wetswijzing heeft de Raad van State kritiek. Zij vindt dat het kabinet de bewaartermijn van bulkdatasets wettelijk aan banden moet leggen. Daarover schrijft ze het volgende:
“Het bewaren en vernietigen van bulkdatasets moet goed zijn gewaarborgd. In de nota van wijziging ligt het zwaartepunt bij het bindend onafhankelijk toezicht op de jaarlijkse verlenging van de bewaartermijn. De regeling zelf kent echter weinig concrete begrenzing.
Het advies is om in de wet vast te leggen aan welke criteria een verlengingsverzoek moet worden getoetst. Ook moet duidelijk zijn dat de inbreuk op de persoonlijke levenssfeer van de burger eindig is. Daarom is het advies om in het voorstel een wettelijke eindtermijn op te nemen voor het bewaren van bulkdatasets, met een duidelijke afbakening om bij uitzondering daarvan te kunnen af te wijken.”
De Raad van State adviseert het kabinet om de nota van wijziging pas naar de Tweede Kamer te sturen als ze deze aanpassingen heeft gedaan.
