Bulkdatasets AIVD en MIVD: de schaduw geheime dienst

Uit een vandaag verschenen onderzoeksrapport (PDF) blijkt dat de AIVD en MIVD slordig en soms onrechtmatig omgaan met bulkdatasets.

Bulkdatasets zijn grote bestanden vol data over vaak miljoenen willekeurige mensen, data die op een of andere manier in het bezit van de diensten gekomen is. Uit het rapport:

“De diensten kunnen bulkdatasets bijvoorbeeld verkrijgen van informanten, andere overheidsorganisaties, buitenlandse inlichtingendiensten, of tegen betaling van commerciële partijen. De diensten kunnen ook bijzondere bevoegdheden inzetten om bulkdatasets te verwerven. Dan gaat het bijvoorbeeld om de inzet van een hackoperatie of de aansturing van een (virtueel) agent om een bulkdataset te verwerven”

Als een dienst iets over een target wil weten kunnen ze vragen stellen aan telecommunicatieaanbieders, of aan andere stukken overheid. Ook kunnen ze targets (of hun familieleden, huisgenoten of werkgevers) afluisteren of hacken. Ook is het mogelijk grote internet/communicatievoorzieningen in bulk af te tappen. Dit alles (tot nu toe) met vrij zorgvuldige toetsing en toezicht door externe commissies. Anders mag het niet.

Maar wat nou als een dienst ergens een enorme database met vliegbewegingen heeft gevonden, of gekregen? Of ze op de open markt locatiedata aanschaffen van miljoenen burgers? Of wat als ze de data van de Odido-hack weten te bemachtigen?

Dan kunnen ze zeer vergelijkbare gegevens vinden die ze anders via procedures en toetsen per individueel geval hadden moeten verzoeken. Overigens is het voor de diensten rechtmatig om dit soort bestanden te kopen online, bij hackers of zelf te downloaden, ongeacht de bron.


Photo by C M on Unsplash

Met de enorme hoeveelheden gelekte & verhandelde bestanden is het mogelijk een heel schaduwarchief op te bouwen van data over Jan en alleman. En daar kan je dan als diensten je voordeel mee doen, met veel minder externe regels en procedures. Er komt zo een dekkende hoeveelheid informatie beschikbaar over uiteindelijk vrijwel iedereen.

Om hoeveel data het tegenwoordig gaat weten we niet, maar in 2024 schreef de toezichtcommissie CTIVD in rapport 79:

“In de onderzoeksperiode van 1 januari 2020 tot en met 1 juni 2023 hebben virtuele agenten van de diensten tientallen bulkdatasets verzameld, veelal bestaande uit tientallen miljoenen gegevens.”

Het zal sindsdien niet minder geworden zijn.

Wat kan je daar dan mee

Je kan met dit soort locatiegegevens bijvoorbeeld de vraag beantwoorden wie er nog meer naar bijeenkomsten gaat met gekende terroristen.

Je kan terloops met dit soort locatiegegevens ook bepalen of je vriendin vreemdgaat (en met wie en waar).

Naarmate deze bulkdata ouder wordt neemt de kans op fouten toe. Ik schreef hier eerder uitgebreid over. Heel in het kort, hoe meer data er is, hoe groter de kans dat iemand ooit in een kwaad daglicht komt door de combinatie van die gegevens. Want waarom was je op dat moment daar samen met die terroristen? Naarmate de tijd verstrijkt wordt het ook steeds lastiger om die data te weerleggen. Want als individu weet je ook niet meer wat je 5 jaar geleden daar deed.

Het is daarom vanuit burgerrechten en veiligheid niet “gratis” om enorme archieven aan te leggen en te bewaren. Of zoals het Europees mensenrechtenhof het ooit goed zei, het is altijd een inbreuk op iemands persoonlijke levenssfeer:

“Even the mere storing of data relating to the private life of an individual amounts to an ‘interference’ within the meaning of Article 8 (Leander v. Sweden, 1987, § 48)” - European Court of Human Rights.

Het is dus heel belangrijk bulkdatasets vol persoonsgegevens zorgvuldig te beveiligen, gecontroleerd te ontsluiten en op tijd te wissen.

Voor wie nog niet overtuigd is, ik kan dit eerdere stuk vol voorbeelden echt aanraden.

Bulkdatasets in het recente verleden

De AIVD en MIVD hebben een problematische geschiedenis met bulkdatasets, waarbij men koste wat het kost alles wilde bewaren en weigerde datasets te vernietigen. Ook nadat men enorm de kans had gekregen het nut en gebruik van die datasets aan te tonen lukte dit niet. Ik schreef hier eerder over.

Er zijn uiteindelijk nieuwe afspraken gemaakt, en de Commissie van Toezicht (CTIVD) heeft nu onderzocht of men zich aan die nieuwe afspraken houdt en het antwoord is heel duidelijk “nee”.

Nou zou dit vroeger in de tijd van ‘5 problematische datasets’ al een probleem geweest zijn. Maar uit het rapport blijkt dat er versnipperd binnen de dienst enorm veel data ligt, data die vaak niet eens erkend is als bulkdataset. En dan is het gewoon een bestand waar je zonder regels en logging in kunt grasduinen, en hoef je ook niet binnen zoveel jaar op te ruimen. Handig.

Sommige bulkdatasets zijn niet erg spannend. Je kan denken aan oude telefoonboeken of almanakken. Het kan heel nuttig zijn om te checken of iemand in 1995 echt in Delft woonde, bijvoorbeeld.

Andere sets zijn heel gevoelig (locatie-, reis- en belgegevens bijvoorbeeld). Daar zijn dan ook afspraken over wie er mag zoeken in die data. Dus dat niet iedereen informeel even kan kijken wie er allemaal bij zijn of haar vriend(in) over de vloer kwam, om maar iets te noemen.

De toekomst

De CTIVD heeft 13 verbeterpunten genoemd, en daar zullen de diensten ongetwijfeld mee aan de slag gaan. Ook heeft de regering zeer uitgebreid gereageerd op het rapport, waarbij men sommige aanbevelingen overneemt, maar van andere dingen ook zegt dat ze er niks mee gaan doen.

Vermoedelijk deze zomer wordt de tekst van de geheel vernieuwde Wet op de inlichtingen- en veiligheidsdiensten (Wiv202.) gepubliceerd. Hierin zal de omgang met bulkdatasets geheel opnieuw geregeld worden. Bij de commissie van toezicht hebben ze de wet al gelezen, en men zette dit dikgedrukt op hun website:

Dat doen ze echt niet zomaar. Er zijn zorgen over de nieuwe wet.

Gezien de enorme hoeveelheid gestolen, gehackte en internationaal verhandelde informatie die nu circuleert is het van het grootste belang om deze “schaduwinlichtingendienst” goed te reguleren. Het mag niet zo zijn dat zoals nu diensten bulkdatasets van zusterdiensten gekregen hebben en vervolgens claimen dat het om “openbare” informatie ging.

Ik hoop dat de nieuwe wet niet al te schrikbarend is, en ook dat de Tweede Kamer en Raad van State er een kritische blik op zullen werpen.

Verder lezen