De CTIVD heeft op 11 september 2019 aangekondigd onderzoek te gaan verrichten naar de verwerving van bulkdatasets met de inzet van de hackbevoegdheid door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), ook wel 'bulkhacks' genoemd. Het daaruit voortvloeiende toezichtsrapport nr. 70 is gepubliceerd op 22 september 2020.
Het toezichtsrapport gaat over het verzamelen van bulkdatasets met de hackbevoegdheid en de verdere verwerking daarvan door de AIVD en de MIVD. Bulkdatasets zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties en/of personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. Bulkdatasets hebben grote waarde voor de taakuitvoering van de diensten, waarbij, naast de waarde voor de verdere analyse van gekende dreigingen, vooral moet worden gedacht aan het onderkennen en identificeren van ongekende targets en dreigingen. De keerzijde is dat het verzamelen en de verdere verwerking van de persoonsgegevens in een bulkdataset een ernstige privacy-inmenging inhoudt.
Het toezichtsrapport over ‘bulkhacks’ besteedt in het eerste deel aandacht aan het verzamelen van bulkdatasets met inzet van de hackbevoegdheid. Dit is een bijzondere bevoegdheid in de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017). De CTIVD heeft de inzet en de uitvoering van de hackbevoegdheid getoetst op verschillende elementen, zoals de aanwezigheid van toestemming, de omschrijving van technische risico’s, het opruimen van technische hulpmiddelen en de verslaglegging. Het onderzoek wijst uit dat de diensten in de onderzochte operaties rechtmatig tewerk gaan, met uitzondering van een aantal operaties waarin niet aan alle toestemmingseisen was voldaan.
Het tweede deel van het rapport behandelt de verdere verwerking van met de hackbevoegdheid verzamelde bulkdatasets. Omdat die bevoegdheid in de Wiv 2017 is aangemerkt als een bijzondere bevoegdheid, vereist de wet dat de diensten de bulkdatasets binnen een bepaalde termijn op relevantie beoordelen. De wijze waarop de AIVD en de MIVD de relevantiebeoordeling hebben uitgevoerd, beoordeelt de CTIVD als onrechtmatig omdat de wet hier geen ruimte voor laat. Dit oordeel heeft de CTIVD reeds benoemd in haar derde en vierde voortgangsrapportage. In het toezichtsrapport doet zij de aanbeveling bulkdatasets te vernietigen.
De diensten passen bij de verdere verwerking van bulkdatasets aanvullende waarborgen toe, die niet in de wet zijn vastgelegd. De CTIVD beoordeelt deze als een voldoende uitwerking van de eisen die de wet stelt aan behoorlijke en zorgvuldige gegevensverwerking.
Rapport nr. 70 heeft de volgende bijlagen: opzet en methodiek (bijlage I), toetsingskader (bijlage II) en begrippenlijst (bijlage III). Het rapport is voorzien van een geheime bijlage.
De ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie hebben op 22 september 2020 CTIVD-rapport nr. 70 naar de Tweede Kamer gezonden, inclusief een aanbiedingsbrief.