Publicatie van rapport 55 over het verwerven van op internet aangeboden bulkdatasets

De ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie hebben met hun brief van 13 februari 2018 het toezichtsrapport over het verwerven van door derden op internet aangeboden bulkdatasets door de AIVD en de MIVD (nr. 55) doorgestuurd aan de beide Kamers der Staten-Generaal.  

Waar gaat het over?

Op internet zijn datasets met een grote hoeveelheid gegevens beschikbaar. Deze datasets worden door derden aan een ieder aangeboden, al dan niet tegen betaling, via een website, forum of online systeem voor het versturen van bestanden. De datasets zijn bijvoorbeeld beschikbaar gekomen als gevolg van datalekken of hacks bij bedrijven of instellingen. Deze datasets kunnen een grote hoeveelheid (bulk) persoonsgegevens bevatten, maar ook technische informatie. De AIVD en MIVD verwerven een aantal van deze datasets van internet en gebruiken de gegevens voor hun taakuitvoering. 

Bevindingen

De CTIVD heeft de verwerving en verwerking van deze datasets door de AIVD en MIVD onderzocht, omdat dit een ernstige inmenging in de persoonlijke levenssfeer van de betrokken met zich mee kan brengen. De datasets worden vergaard met de inzet van een algemene bevoegdheid, die met minder waarborgen is omkleed dan een bijzondere bevoegdheid. Uit het onderzoek van de CTIVD blijkt dat het in enkele gevallen gaat om datasets die gegevens van meer dan honderd miljoen personen bevatten. Het overgrote deel van de personen in deze datasets staan niet in de aandacht van de diensten. De AIVD en MIVD hebben – al voordat het onderzoek van de CTIVD aanving – vanwege de privacy-inmenging op eigen initiatief intern beleid ontwikkeld hoe met deze op internet aangeboden datasets om te gaan.

Het intern beleid schrijft onder andere voor dat toestemming moet worden verkregen, voordat de gegevens in de dataset worden gebruikt. Afhankelijk van de zwaarte van de privacy-inmenging is voor de verwerving toestemming vereist, tot op het niveau van de betrokken minister. Met betrekking tot één dataset is de CTIVD van oordeel dat de betrokken ministers ten onrechte niet om toestemming zijn gevraagd. Dit is onrechtmatig. 

Uit het onderzoek blijkt dat de AIVD en MIVD zorgvuldig omgaan met de interne bevraging (de ‘naslag’) op de datasets met persoonsgegevens. Slechts een beperkt aantal geautoriseerde medewerkers hebben toegang tot de gegevens in de datasets en daarnaast geldt een maximale bewaartermijn van drie jaar. Het interne beleid bevat daarmee voldoende waarborgen voor een zorgvuldige verwerking van de persoonsgegevens.

Aanbevelingen

De CTIVD doet in haar rapport enkele aanbevelingen. Zij beveelt de AIVD en de MIVD aan een openbaar beleid te publiceren over de verwerking van bulkgegevens zodat het kenbaar is hoe de diensten met grote hoeveelheden persoonsgegevens omgaan. Ook beveelt de CTIVD aan om gegevens niet (langer) te verwerken dan strikt noodzakelijk is voor de taakuitvoering van de diensten (dataminimalisatie). Dit betekent concreet dat direct na de verwerving moet worden beoordeeld of alle typen gegevens in de datasets daadwerkelijk noodzakelijk zijn om de onderzoeksdoelen te bereiken. Zo niet, dan moeten deze alsnog worden vernietigd. Periodiek moet binnen de bewaartermijn worden nagegaan of de dataset nog steeds noodzakelijk is voor het doel waarvoor deze is verworven. Alle aanbevelingen zijn door de beide ministers overgenomen.  

Het rapport heeft de volgende bijlagen: het toetsingskader (bijlage I) en een begrippenlijst (bijlage II). Het rapport bevat tevens een geheime bijlage.