'AIVD verzamelde via hacks grote hoeveelheden data onrechtmatig'

De AIVD heeft zijn hackbevoegdheid bij het verzamelen van bulkdatasets meerdere keren onrechtmatig ingezet, stelt toezichthouder Ctivd. De inlichtingendienst had bij enkele operaties niet de vereiste toestemming en bovendien bewaarde de dienst data te lang.

De AIVD en de militaire inlichtingendienst MIVD hebben op basis van de Wiv 2017 de bevoegdheid om te hacken bij het verzamelen van bulkdatasets, maar alleen als de door de minister verleende toestemming vervolgens rechtmatig is bevonden door de Toetsingscommissie Inzet Bevoegdheden. Bij drie van de zestien door de Ctivd onderzochte AIVD-operaties was het verzoek voor de inzet van de bijzondere bevoegdheid afgewezen, maar vonden de bulkhacks toch plaats.

De AIVD constateerde zelf al dat het verzamelen onrechtmatig was en de dienst vernietigde de betreffende gegevens. De beide diensten gingen daarnaast over de schreef bij het bewaren van de bulkdata. De AIVD en MIVD moeten de grote hoeveelheden data die ze via hacks hebben binnengehaald zo snel mogelijk op relevantie beoordelen. Als dit na anderhalf jaar niet is gebeurd, moeten ze de data vernietigen. Meerdere keren besloten de diensten maar om de hele datasets relevant te beschouwen, om de gegevens zo langer te kunnen bewaren. De Ctivd spreekt van een kunstgreep en doet de aanbeveling de data meteen te vernietigen.

De toezichthouder benadrukt dat het om grote gegevensverzamelingen gaat, waarvan het merendeel organisaties en personen betreft die geen onderwerp van onderzoek zijn en dat ook nooit zullen worden. Het verzamelen en de verwerking in een bulkdataset betekent een ernstige privacy-inmenging en de fundamentele rechten van de betrokkenen moet dan ook worden beschermd. Dat er niet een specifiekere regeling over de bulkhacks opgenomen is in de Wiv 2017, vindt de toezichthouder een onderwerp 'dat ten minste in het kader van de wetsevaluatie aandacht behoeft'.

Passagiersgegevens als bulkdata

Verdere onrechtmatigheden trof de toezichthouder aan bij de verwerking van Advance Passenger Information, of API-gegevens. Dit zijn gegevens van luchtvaartmaatschappijen over de passagiers van een vlucht, paspoortgegevens en gegevens over de vlucht, die ze moeten verstrekken aan de Koninklijke Marechaussee. De gegevens worden opgeslagen om grenscontroles te verbeteren, illegale immigratie tegen te gaan en terrorisme te bestrijden.

De AIVD ontvangt de API-gegevens op zijn beurt automatisch en structureel van de Koninklijke Marechaussee op basis van de informantenbevoegdheid. De dienst heeft zo de gegevens van miljoenen passagiers, maar merkt dit niet aan als bulkdataset. Daardoor missen meerdere waarborgen, beleid voor toegang tot de bulkdataset en een periodieke controle of de datasets nog noodzakelijk zijn voor het behalen van het doel waarvoor deze zijn verzameld. Dit is onrechtmatig, aldus de Ctivd. De toezichthouder constateert dat in het parlementair debat over de API-gegevens het gebruik van de gegevens door de AIVD en de MIVD nauwelijks concreet aan bod is gekomen en dat de Wiv 2017 ook voor dit onderwerp geen specifiekere regeling bevat.