De Nederlandse toezichthouder voor de inlichtingendiensten waarschuwt dat er betere regels moeten komen voor opsporing via openbare bronnen. Er zijn niet genoeg goede waarborgen waarmee AIVD en MIVD dergelijk 'automated osint-onderzoek' wettelijk goed kunnen uitvoeren.
Dat schrijft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten of Ctivd in een rapport. Daarin keek de toezichthouder naar het gebruik van geautomatiseerd osint-onderzoek, of open source intelligence. De Ctivd zegt dat de manier waarop de inlichtingendienst AIVD en de militaire tegenhanger MIVD op dit moment aan openbarebronnenonderzoek doen, 'een ernstigere privacy-inbreuk met zich meebrengt dan is voorzien'.
Daarmee doelt de commissie op de juridische afkadering die is vastgelegd in de Wet op de inlichtingen- en veiligheidsdiensten 2017. De Ctivd zegt dat in de wet moet worden opgenomen wanneer osint-onderzoek mag worden gedaan en met welke waarborgen dat moet gebeuren. Er zou vooral voorafgaand aan het onderzoek moeten worden getoetst welke tools worden gebruikt en welke achterliggende openbare bronnen worden onderzocht. Er werd specifiek gekeken naar geautomatiseerd onderzoek en niet naar gespecialiseerd onderzoek waarbij AIVD'ers handmatig met openbarebronnenonderzoek naar verdachte personen kijken.
De Ctivd merkt in het rapport op dat de AIVD tussen juli 2020 en maart 2021 weinig gebruik heeft gemaakt van osint-tools. Dat gebeurde maar één keer bij een operatie. De MIVD gebruikt die tools echter wel 'veelvuldig'. Daarvoor heeft de militaire inlichtingendienst zelfs een gespecialiseerd bureau, waarvoor het gebruik van geautomatiseerde tools 'een vast onderdeel' is. De MIVD zette de bevoegdheid 73 keer in bij een operatie tijdens de onderzoeksperiode.
De AIVD en MIVD kopen regelmatig commerciële tools voor hun onderzoek. Ook kunnen de diensten met de tools 'commerciële gegevens' krijgen. De Ctivd noemt als voorbeeld een tool die locatiegegevens van gebruikers verzamelt op basis van advertenties binnen apps, doordat de aanbieders ervan hele datasets aankopen. Dat kan problemen opleveren, waarschuwt de toezichthouder, omdat het bij zulke commerciële tools niet mogelijk is om alleen de tool in te slaan zonder de bijbehorende datasets. Doordat de tools data verzamelen uit honderden bronnen, is het moeilijk te zeggen waar die gegevens precies vandaan komen en welke burgers er allemaal onder vallen. "De verwerking van deze gegevens maakt een verdergaande inbreuk op de fundamentele rechten van betrokkenen dan bij osint via reguliere zoekmachines of op socialemediadiensten", schrijft de toezichthouder.
De diensten die de tools gebruiken, hebben ook geen invloed op welke functionaliteit daarvan wel of niet te gebruiken is. Dat leidt ertoe dat de diensten de werking, herkomst en aard van de tools en vooral de bronnen die daardoor worden gebruikt, 'in onvoldoende mate hebben doorgrond' om te voldoen aan hoe de Wiv nu is opgesteld, zegt de Ctivd.
Daarom adviseert de Ctivd de AIVD en MIVD zich al bij het uitzoeken en aanschaffen van de tools 'te richten op de waarborgen van een eventuele gegevensverwerking'. De diensten zouden daarvoor ook beleid moeten opstellen, zodat ze dat structureel kunnen doen volgens dezelfde regels. De brief is daarnaast gericht aan de Nederlandse regering, specifiek de ministeries van Binnenlandse Zaken en van Defensie, die respectievelijk voor de AIVD en MIVD verantwoordelijk zijn. De ministers zouden extra waarborgen aan de wet moeten toevoegen waardoor er 'een meer voorzienbare wettelijke grondslag' ontstaat voor het uitvoeren van openbarebronnenonderzoek.
De Ctivd waarschuwt dat osint-onderzoek op steeds meer plekken plaatsvindt, bijvoorbeeld ook bij de politie en de NCTV. Daarover heeft de Ctivd formeel niets te zeggen, maar in het rapport raadt de toezichthouder de ministers aan 'het rapport ook elders binnen de overheid onder de aandacht te brengen'.