De inlichtingendiensten AIVD en MIVD hebben belangrijke delen van de nieuwe Inlichtingenwet nog niet geïmplementeerd. Daardoor bestaat er „een hoog risico op onrechtmatige gegevensverwerking”, bijvoorbeeld doordat de privacy van burgers ten onrechte wordt geschonden.

Dat schrijft toezichthouder CTIVD (Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten) in zijn eerste rapport over de implementatie van de nieuwe Inlichtingenwet. Deze ging op 1 mei in nadat de bevolking er op 21 maart in een raadgevend referendum over had gestemd. Een nipte meerderheid wees de wet toen af. Dat gebeurde onder meer vanwege zorgen over schending van de privacy van de burger bij het ongericht binnenhalen via de ether en de kabel van elektronische gegevens (gesprekken, appberichten, mails, foto’s, documenten) door de geheime diensten.

Lees ook Wat al gebeurde, is nu ook in de wet verankerd

Om aan die zorgen tegemoet te komen, beloofde verantwoordelijk minister Kajsa Ollongren (Binnenlandse Zaken, D66) na het referendum dat de diensten „zo gericht mogelijk” te werk zouden gaan bij de zogeheten ‘bulkinterceptie’ van gegevens. Het criterium ‘zo gericht mogelijk’ werd ook in de Inlichtingenwet opgenomen.

Waarborgen ontbreken

De CTIVD concludeert nu dat uitgerekend op dat punt veel waarborgen in de praktijk nog ontbreken. „Zo is het criterium ‘zo gericht mogelijk’ niet in het interne beleid opgenomen en krijgt het nog geen herkenbare toepassing in hun werkprocessen”, schrijft de CTIVD over de diensten.

Ook de interne controle bij de diensten of de selectie, opslag en vernietiging van binnengehaalde gegevens volgens de nieuwe wettelijke voorschriften verloopt, is nog niet op orde. Dat komt onder meer door achterlopende ICT-systemen bij de MIVD, aldus de toezichthouder.

Of dat alles daadwerkelijk heeft geleid tot onrechtmatige schending door de diensten van de privacy van burgers of andere schendingen van de wet, is overigens nog de vraag. De CTIVD spreekt alleen over ‘risico’s’ en gaat nog nader onderzoek doen naar schendingen in de praktijk. Mocht onrechtmatig handelen inderdaad blijken, dan zou dat gebeurd kunnen zijn bij informatie die door de diensten via de ether is binnengehaald. Een woordvoerder van de AIVD zegt dat bulk-interceptie via de kabel in de praktijk nog niet gebeurt.

Arbeidsintensief proces

In een reactie op het CTIVD-rapport zegt minister Ollongren „dat de invoering van de nieuwe wet en het aanpassen van de werkprocessen erg arbeidsintensief is. De impact is groter dan vooraf voorzien. Desondanks zet iedereen zijn schouders eronder, om dit alles zo snel mogelijk structureel werkbaar te maken.”

De minister wijst er verder op dat het werk van de diensten in tijden van hoge dreiging (mogelijke aanslagen, cyberaanvallen) gewoon doorgaat. „Achter de schermen is het team van professionals, vaak tegen de stroom in, tegelijkertijd keihard aan het werk om ons land veilig te houden. Dat moeten we niet uit het oog verliezen. Het normale werk gaat gewoon door. De wereld is niet bepaald veiliger geworden.”

Drietrapsraket

Het zo gericht mogelijk binnenhalen en bewaren van elektronische gegevens verloopt via een drietrapsraket. Eerst worden er filters op een bepaalde plek in de ether – en op de kabel – geplaatst. Die filters selecteren op soort informatie (tekst, spraak, foto, film), taal, gebied en soorten applicatie (chatkanalen bijvoorbeeld).

De binnengehaalde informatie moet vervolgens door de diensten nader op relevantie worden beoordeeld (telefoonnummers, namen, trefwoorden). Irrelevante informatie moet meteen worden vernietigd. De informatie die dan overblijft, moet veilig worden opgeslagen.

Een versie van dit artikel verscheen ook in NRC Handelsblad van 5 december 2018