De Nederlandse inlichtingendiensten AIVD en MIVD verwijderen gegevens die zij via hacks hebben verzameld structureel niet, zelfs als de gegevens irrelevant zijn of niet van een doelwit blijken te zijn.

Dat concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een dinsdag gepubliceerd rapport.

Zowel de AIVD als MIVD mogen gericht computers hacken om inlichtingen te verzamelen. Dat mag alleen met toestemming van de minister van Binnenlandse Zaken (voor de AIVD) of Defensie (voor de MIVD).

De CTIVD zegt "tientallen" succesvolle hacks uit het jaar 2015 hebben geanalyseerd. De toezichthouder stelt dat de diensten bij "het overgrote deel" van de hacks rechtmatig hebben gehandeld. Maar de waakhond heeft kritiek op het gebrek aan beleid rond de verwijdering van data en het gebruik van onbekende softwarelekken, zogenoemde zero-days.

Vernietiging

In het rapport concludeert de CTIVD dat de AIVD en MIVD "in het geheel geen beleid, laat staan werkwijzen" hebben om gegevens na verloop van tijd te vernietigen. Ook data van mensen die geen doelwit zijn geweest van de diensten, of gegevens die überhaupt ten onrechte zijn verwerkt, worden soms langdurig opgeslagen.

De CTIVD stelt dat de AIVD er tijdens een onderzoek achter kwam dat twee e-mailaccounts niet van een bepaald doelwit bleken te zijn. De operatie werd daarom stopgezet, maar de verzamelde gegevens werden vervolgens nooit vernietigd.

In een vernieuwing van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv), waar de Eerste Kamer nog over moet beslissen, wordt een maximale bewaartermijn van drie jaar vastgelegd. Door die wet krijgen de AIVD en MIVD ook ruimere bevoegdheden om ongericht internetverkeer te verzamelen en doorzoeken.

Lekken

De CTIVD wijst er in zijn rapport op dat de AIVD en MIVD soms zero-days gebruiken om hacks uit te voeren. Die kwetsbaarheden moeten na gebruik in principe worden gemeld bij de fabrikant, zodat ze kunnen worden opgelost, met name als ze populaire software of apparaten treffen.

Deze werkwijze is echter niet op papier vastgelegd, constateert de CTIVD. "In de praktijk is het melden van onbekende kwetsbaarheden daarmee sterk afhankelijk van de door de individuele medewerkers van de [hackeenheid] JCSU gemaakte afwegingen en is het niet goed mogelijk daar interne controle en extern toezicht op uit te voeren", stelt de toezichthouder.

Het kan daarom ook voorkomen dat kwetsbaarheden niet worden gemeld, zelfs als de diensten ze zelf niet meer nodig hebben. "Deze werkwijze is onzorgvuldig." De CTIVD zegt in de praktijk overigens geen voorbeelden te hebben gevonden van zero-days die de diensten hadden moeten melden bij de betreffende fabrikanten.

Dreiging

Momenteel mogen de AIVD en MIVD alleen gericht afluisteren en hacken. Volgens de CTIVD zijn gehackte gegevens in drie gevallen ongericht gekopieerd, omdat er "een direct gevaar voor de nationale veiligheid, te weten een ernstige terroristische dreiging en een cyberaanval" werden opgemerkt.

Verdere details over deze situaties en de daarvoor gehackte mensen of organisaties zijn geheim. Alleen de 'Commissie Stiekem' van de Tweede Kamer, bestaande uit de fractievoorzitters van de vijf grootste partijen, krijgt toegang tot deze informatie.

Ministers Plasterk en Hennis (Defensie) schrijven dinsdag in een brief aan de Tweede Kamer dat zij de aanbevelingen van de CTIVD overnemen. Een bewaartermijn wordt ingevoerd als de nieuwe Wiv door de Eerste Kamer wordt goedgekeurd, stellen zij.