'Strengere regels zijn nodig voor opsporing via openbare bronnen door AIVD'

De Nederlandse toezichthouder voor de inlichtingendiensten waarschuwt dat er betere regels moeten komen voor opsporing via openbare bronnen. Er zijn niet genoeg goede waarborgen waarmee AIVD en MIVD dergelijk 'automated osint-onderzoek' wettelijk goed kunnen uitvoeren.

Dat schrijft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten of Ctivd in een rapport. Daarin keek de toezichthouder naar het gebruik van geautomatiseerd osint-onderzoek, of open source intelligence. De Ctivd zegt dat de manier waarop de inlichtingendienst AIVD en de militaire tegenhanger MIVD op dit moment aan openbarebronnenonderzoek doen, 'een ernstigere privacy-inbreuk met zich meebrengt dan is voorzien'.

Daarmee doelt de commissie op de juridische afkadering die is vastgelegd in de Wet op de inlichtingen- en veiligheidsdiensten 2017. De Ctivd zegt dat in de wet moet worden opgenomen wanneer osint-onderzoek mag worden gedaan en met welke waarborgen dat moet gebeuren. Er zou vooral voorafgaand aan het onderzoek moeten worden getoetst welke tools worden gebruikt en welke achterliggende openbare bronnen worden onderzocht. Er werd specifiek gekeken naar geautomatiseerd onderzoek en niet naar gespecialiseerd onderzoek waarbij AIVD'ers handmatig met openbarebronnenonderzoek naar verdachte personen kijken.

De Ctivd merkt in het rapport op dat de AIVD tussen juli 2020 en maart 2021 weinig gebruik heeft gemaakt van osint-tools. Dat gebeurde maar één keer bij een operatie. De MIVD gebruikt die tools echter wel 'veelvuldig'. Daarvoor heeft de militaire inlichtingendienst zelfs een gespecialiseerd bureau, waarvoor het gebruik van geautomatiseerde tools 'een vast onderdeel' is. De MIVD zette de bevoegdheid 73 keer in bij een operatie tijdens de onderzoeksperiode.

De AIVD en MIVD kopen regelmatig commerciële tools voor hun onderzoek. Ook kunnen de diensten met de tools 'commerciële gegevens' krijgen. De Ctivd noemt als voorbeeld een tool die locatiegegevens van gebruikers verzamelt op basis van advertenties binnen apps, doordat de aanbieders ervan hele datasets aankopen. Dat kan problemen opleveren, waarschuwt de toezichthouder, omdat het bij zulke commerciële tools niet mogelijk is om alleen de tool in te slaan zonder de bijbehorende datasets. Doordat de tools data verzamelen uit honderden bronnen, is het moeilijk te zeggen waar die gegevens precies vandaan komen en welke burgers er allemaal onder vallen. "De verwerking van deze gegevens maakt een verdergaande inbreuk op de fundamentele rechten van betrokkenen dan bij osint via reguliere zoekmachines of op socialemediadiensten", schrijft de toezichthouder.

De diensten die de tools gebruiken, hebben ook geen invloed op welke functionaliteit daarvan wel of niet te gebruiken is. Dat leidt ertoe dat de diensten de werking, herkomst en aard van de tools en vooral de bronnen die daardoor worden gebruikt, 'in onvoldoende mate hebben doorgrond' om te voldoen aan hoe de Wiv nu is opgesteld, zegt de Ctivd.

Daarom adviseert de Ctivd de AIVD en MIVD zich al bij het uitzoeken en aanschaffen van de tools 'te richten op de waarborgen van een eventuele gegevensverwerking'. De diensten zouden daarvoor ook beleid moeten opstellen, zodat ze dat structureel kunnen doen volgens dezelfde regels. De brief is daarnaast gericht aan de Nederlandse regering, specifiek de ministeries van Binnenlandse Zaken en van Defensie, die respectievelijk voor de AIVD en MIVD verantwoordelijk zijn. De ministers zouden extra waarborgen aan de wet moeten toevoegen waardoor er 'een meer voorzienbare wettelijke grondslag' ontstaat voor het uitvoeren van openbarebronnenonderzoek.

De Ctivd waarschuwt dat osint-onderzoek op steeds meer plekken plaatsvindt, bijvoorbeeld ook bij de politie en de NCTV. Daarover heeft de Ctivd formeel niets te zeggen, maar in het rapport raadt de toezichthouder de ministers aan 'het rapport ook elders binnen de overheid onder de aandacht te brengen'.

Door Tijs Hofmans

Nieuwscoördinator

08-02-2022 • 14:00

13

Reacties (13)

13
13
5
2
0
7
Wijzig sortering
Dus de AIVD/MIVD maakt gebruik van big data analysis om patronen te ontdekken uit openbare internet bronnen.
en dit is verassend?

en vraagje, als onze inlichtingendiensten dit niet mogen, waarom adverteerders dan wel?
ik zou zeggen gooi eerst de adverteerders dicht, daarvan weten we ten minste zeker dat ze het alleen maar om geld doen.
Het WWW is nog steeds het wilde westen.
Daarom is handhaving lastige of onmogelijk.
Kijkend waar dit soort bedrijfjes een hoofdvestiging in Europa hebben zegt denk ik genoeg.
Hint: zijn meestal landen met een laag belasting tarief of een wetgeving handhaving die weinig opheeft met privacy.


Data brokers (aka information brokers, data providers, of data suppliers)

[Reactie gewijzigd door onno oliver op 22 juli 2024 19:45]

Op zich redelijke punten, maar ik volg niet helemaal wat de hoofdvestiging van bedrijven te maken heeft met het internet perse op de manier waarop je een punt probeert te maken. Een groot deel van onze televisie komt van een partij uit Luxemburg (RTL). Onze internet advertenties rekenen we af bij een partij uit Ierland (Google). Veel mensen gebruiken op hun computer software van een grote speler uit opnieuw Ierland (Microsoft) en ga zo maar verder.

N.B. Als ik dit thuis zou hebben geschreven, dan zou ik het hebben geschreven op een toestenbord dat op een bureau ligt dat van een bedrijf uit een ander belastingparadijs komt (Nederland), namelijk IKEA.
Die snap ik niet helemaal. Als de bron openbaar is, dan kan iedereen er bij. Waarom zou de AIVD er dan niet bij mogen? Of waar gaat het precies mis/misbruikt de AIVD iets van die sets? Gebruiken ze bijvoorbeeld openbare data voor profile augmentation en "verwerken" dat vervolgens (tot iets anders) op een manier die indruist tegen privacy regels of iets dergelijks of hoe moet ik dat zien?

Die passage over commerciële tools vind ik dan wel weer een heel ander verhaal. Als de advertentieboeren het kennelijk niet helemaal zuiver krijgen (pak die dan ook aan a.u.b., en hard ook!!!), dan is het logisch dat de AIVD het eigenlijk ook niet mag hebben. Dat is wel dubbel, want de AIVD kan ook niet weten dat zo'n aanbieder kennelijk illegaal vergaarde data aanbiedt... Maar daar moet wel streng naar gekeken worden inderdaad, omdat het risico is dat anders zo data wordt "witgewassen" voor de AIVD en dat moeten we absoluut niet willen. Dus heel goed dat hier naar gekeken wordt en we dit willen verbeteren. Maar het kaart een nog veel belangrijker probleem aan... Advertentieboeren handelen blijkbaar in illegale data en worden daar geen strobreed in de weg gelegd. Sterker nog, een overheidsinstelling koopt er kennelijk data in. :+ Dat is te zot voor woorden, wanneer wordt daar dan tegen opgetreden?

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 19:45]

Er zijn toch echt verschillen in openbare data.
Daar het een overheid is kunnen/ mogen zij niet alle data gebruiken.
Stel dat het ledenbestand van Tweakers gelekt wordt. (hoop het niet)
Dan is dit geen openbare bron omdat dit nooit de bedoeling was dat deze data openbaar werd.
Zo zijn er tal van leaks sites oftopic.
Dat data geoogst wordt door bedrijven en dit weer verhandelen aan klanten voor van alles en nog wat doet niet ter zake.

Dit geld dus voor alle Nederlandse diensten.

Edwin van Andel CEO van een Nederlands hackersbedrijf heeft ooit in het openbaar een usb stick met een data base dump aan de politie geven. Dat was toen wel dingetje maar is niet echt opgepakt door de media.

Als een overheid data wil verzamelen moet dit onderbouwt worden en getoetst.

[Reactie gewijzigd door onno oliver op 22 juli 2024 19:45]

Waarom is Clearview dan illegaal bezig? Dit is ook getraind met foto's die publiekelijk te zien zijn. Van wat ik daar lees wordt er gezegd dat als men iets op bijvoorbeeld Facebook gezet wordt door Facebook dus verwerkt mag worden. Clearview heeft hiervoor geen toestemming gehad. Mogelijk is het hier hetzelfde van toepassing.
Waarom zijn die tools legaal als we het zelfs voor de veiligheidsdiensten niet ok vinden om te gebruiken?
AuteurTijsZonderH Nieuwscoördinator @Xerxes2498 februari 2022 17:25
Ze zijn wel ok om te gebruiken maar dan alleen met een juiste juridische onderbouwing. De AIVD gebruikt daar nu de Wiv voor, maar die voorziet niet specifiek hier in.
Doordat de tools data verzamelen uit honderden bronnen, is het moeilijk te zeggen waar die gegevens precies vandaan komen en welke burgers er allemaal onder vallen.
Hoe kun je inbreuk op iemands privacy maken als je niet weet op wiens privacy je inbreuk maakt?
Als ik bij een willekeurige persoon die ik niet ken zou inbreken is het dan ook geen inbraak meer?

Wat hun daar proberen te zeggen is dat ze een honderden dataset hebben gekocht zonder dat ze weten wie er in zit. Ook kunnen ze niet zeggen dus of de bron van de data dit allemaal legaal heeft verkregen. Stel dat dit uit een gehackte database komt, dat bepaalde websites bijvoorbeeld de cookies instellingen negeert en dus toch je gegevens verwerkt, of dat apps op je telefoon een bug hebben kunnen misbruiken en stiekem toch de data vam je telefoon hebben kunnen pakken. Dit kunnen ze allemaal niet weten bij aankoop van de dataset. Vooral niet als de bron waar ze het kopen ook weer uit verschillende bronnen heeft gehaald. Dus welke data is dan legaal om te gebruiken?

Sterker nog is de data überhaupt wel legaal te gebruiken. Clearview heeft hun programma ook uit openbare foto's getraind maar toch hebben ze privacyschending gedaan. Ze hebben data verwerkt waar de andere geen goedkeuring voor heeft gegeven. Dat iemand een foto op Facebook zet geeft alleen Facebook toestemming om het te verwerken en niet Clearview.
Ik snap je vergelijking inderdaad en wellicht iets te veel aannames gedaan over wat er in die datasets zou staan. Maar als ze niet weten welke data ze wel of niet legaal mogen gebruiken, hebben andere bedrijven (niet AIVD) deze beperkingen dan niet of geven die daar gewoon niks om?
Ik ben natuurlijk niet compleet op de hoogte van alle wetten. Ik denk dat het grootste gedeelte er inderdaad niets om zal geven. Zover ik weet zegt de AVG dat data alleen verkocht mag worden wanneer het compleet geanonimiseerd is. Een locatie die gekoppeld is aan een naam of via een andere manier te herleiden naar een persoon is dus niet goed geanonimiseerd.

Maar er zijn natuurlijk ook genoeg landen waar de AVG niet van toepassing is. Hoe dat dan in deze landen werkt durf ik niet te zeggen. Mogelijk is het verkopen van data in sommige landen wel toegestaan. Maar dan nog is het dus de vraag of deze data in Nederland wel verwerkt mag worden aangezien de data dan door een ander bedrijf wordt verwerkt (waar jij geen toestemming voor heb gegeven) die wel aan de AVG moet voldoen.

Ook zou het kunnen zijn dat AIVD mogelijk zich niet hoeft te houden aan alle AVG regels. Dat weet ik helaas ook niet.

Op dit item kan niet meer gereageerd worden.