Toezichthouder kritisch over uitvoering nieuwe inlichtingenwet

Geschreven door
Joost Schellevis

redacteur Tech

De toezichthouder op de inlichtingendiensten, de CTIVD, is niet tevreden met de manier waarop de AIVD en de MIVD omgaan met de nieuwe inlichtingenwet. Volgens de toezichthouder zijn er grote risico’s dat de diensten in strijd met de wet handelen, omdat waarborgen ontbreken of niet goed zijn geregeld.

Daardoor weten de geheime diensten zelf niet goed of ze wel in lijn met de wet handelen, maar ook het werk van de toezichthouder wordt daardoor moeilijker. Er moeten op korte termijn “concrete stappen” worden gezet om ervoor te zorgen dat de diensten zich aan de wet houden, constateert de CTIVD.

Begin vorige maand klaagde de collega-toezichthouder van de CTIVD, de Toetsingscommissie Inzet Bevoegdheden, ook al over de uitvoering van de nieuwe wet. Die toezichthouder beoordeelt aanvragen van de inlichtingendiensten voor bijvoorbeeld een internettap. Te veel van die aanvragen waren in strijd met de wet, aldus die toezichthouder.

De nieuwe kritiek komt daarbovenop. De CTIVD oordeelt achteraf of de diensten zich wel aan de wet houden. In dit geval is vooral gekeken naar de invoering van controlemechanismen die moesten worden ingevoerd met de nieuwe inlichtingenwet. Die stonden tegenover de extra bevoegdheden die de inlichtingendiensten met die wet kregen. Veel van die controlemechanismen blijken nu nog niet goed te werken.

Referendum

Er was voor de invoering al veel kritiek op de nieuwe inlichtingenwet: bij een referendum stemde een meerderheid tegen de komst ervan. Vooral de bevoegdheid om op grotere schaal af te tappen, leidde tot onvrede; het leverde de wet de bijnaam ‘sleepwet’ op.

De nieuwe inlichtingenwet geeft de inlichtingendiensten meer bevoegdheden: zo mogen ze vaker tappen en hacken. Daartegenover staan strengere waarborgen.

Een groep Amsterdamse studenten kon zich niet vinden in de wet en dwong een referendum af. Daarbij stemde 49,5 procent tegen en 46,5 procent voor. De wet kwam er toch, maar met extra waarborgen, zoals de belofte dat er ‘zo gericht mogelijk’ wordt afgetapt.

Om aan die zorgen tegemoet te komen, dicteerde het kabinet dat de nieuwe aftapbevoegdheden “zo gericht mogelijk” moeten worden ingezet. Dat werd vastgelegd in een officieel kabinetsbesluit en wordt binnenkort definitief opgenomen in de inlichtingenwet. Daardoor moet worden voorkomen dat informatie van onschuldige burgers toch in de tapmachines van de inlichtingendienst terechtkomen.

Nog geen werk

De geheime diensten hebben echter nog geen werk gemaakt van het ‘zo gericht mogelijk’ aftappen van gegevens. Sinds het kabinetsbesluit, dat op 1 mei van kracht werd, is invoering ervan “vrijwel achterwege gebleven”. Dat levert volgens de CTIVD een “hoog risico” op.

De nieuwe bevoegdheid om op grotere schaal internetverkeer via de kabel af te tappen, is overigens nog niet daadwerkelijk gebruikt. Maar de strengere voorzorgsmaatregelen gelden nu ook voor het op grote schaal aftappen van radio- en satellietverkeer, en dat blijkt nog niet goed geregeld.

Om privacy-inbreuken te voorkomen, moet afgetapte informatie die voor de geheime diensten niet relevant is zo snel mogelijk worden weggegooid. Daarvoor hebben de diensten in de praktijk echter te weinig beleid en aandacht, schrijft de toezichthouder. Ook dat levert volgens de toezichthouder grote risico’s op.

Weg is weg

De MIVD blijkt sowieso niet zo goed in het weggooien van data. Er zijn geen goede ict-systemen om er geautomatiseerd voor te zorgen dat niet-relevante informatie wordt verwijderd; dat gebeurt voor een groot deel met de hand en daardoor niet goed genoeg. Dat moet volgens de CTIVD op een ‘zo kort mogelijke termijn’ worden geregeld, maar de MIVD lijkt van plan te zijn om invoering ‘over meerdere jaren uit te spreiden’.

Als de inlichtingendiensten informatie verwijderen, moet die informatie ook echt weg zijn, en niet via een omweg weer kunnen worden teruggehaald. Ook dat is bij de MIVD niet goed geregeld. Er is geen interne controle op de verwijdering van gegevens en daardoor kan de toezichthouder ook niet beoordelen of informatie wel echt wordt weggegooid.

Zorgplicht

Ook de implementatie van de zogenoemde zorgplicht is niet goed geregeld. Die zorgplicht houdt in dat de inlichtingendiensten voorzorgsmaatregelen moeten inbouwen om de privacy en beveiliging zo goed mogelijk te waarborgen.

Zo moeten de diensten maatregelen nemen om ervoor te zorgen dat data niet in verkeerde handen komen, dat goed is vastgelegd welke medewerker bij welke gegevens kan en moet bovendien in de gaten worden gehouden of interne regels daadwerkelijk worden gevolgd.

Er blijkt echter “geen instrumentarium voor de zorgplicht aanwezig” bij de AIVD en MIVD. Dat is opvallend, want het kabinet beloofde in december vorig jaar dat er bij invoering van de wet “een adequaat instrumentarium beschikbaar is waarmee gegevensbescherming is gewaarborgd”.

Volgens de CTIVD is het “van essentieel belang” dat dat instrumentarium er zo snel mogelijk wel komt. In een concrete planning om daarvoor te zorgen, is nu echter “niet voorzien”.

Evaluatie

De toezichthouder sluit af met een positieve noot. De klachtenprocedure die met de nieuwe inlichtingenwet ingevoerd zou moeten worden, is inmiddels gereed.

De komende jaren moet blijken of de diensten hun zaakjes beter op orde hebben: de CTIVD blijft elk halfjaar verslag uitbrengen. In 2020 wordt de nieuwe inlichtingenwet geëvalueerd.

Het is niet voor het eerst dat de CTIVD kritisch is over de inlichtingenwet. In eerste instantie vond de toezichthouder de wet ondermaats, maar na aanpassing ervan noemde CTIVD-baas Harm Brouwer de wet “niet volmaakt, maar wel in balans”.

STER Reclame

Leave a reply

Your email address will not be published. Required fields are marked *