In het jaarverslag van de Algemene Inlichtingen en Veiligheidsdienst (AIVD) bericht de dienst over de spionagerisico’s die de toegenomen gegevensopslag met zich brengt. De AIVD schrijft dat databanken een aantrekkelijk doelwit vormen voor buitenlandse inlichtingendiensten, zeker als de gegevensverwerking en -opslag in handen is van private partijen. Nóg een reden om terughoudend te zijn met het verzamelen van gegegevens over miljoenen Nederlanders.

In haar jaarverslag (PDF) stelt de AIVD dat ook de toename van koppelingen tussen databanken ervoor zorgt dat databanken steeds kwetsbaarder zijn:

“Inlichtingendiensten hebben verschillende manieren om aan informatie te komen. Zo proberen deze diensten steeds vaker via technische wegen op afstand informatie te onderscheppen. Bijzonder kwetsbaar is in dit verband telecommunicatieverkeer, dat onderschept kan worden. Ook gevoelige gegevens op computersystemen zijn kwetsbaar vanwege de toenemende verwevenheid en complexiteit van de systemen en de koppeling met dataopslagsystemen. Ook het uitbesteden van activiteiten als systeem- en serverbeheer, datawarehousing en gegevensverwerking aan (buitenlandse) private partijen brengt spionagerisico’s met zich mee.” (p. 29)

Eerder dit jaar publiceerde de AIVD een Kwetsbaarheidsanalyse Spionage waarin zij waarschuwt voor de databanken die de overheid aanlegt en de extra gevaren die koppelingen met zich brengen:

“De steeds verdergaande koppeling van databestanden van verschillende overheidsorganisaties leidt enerzijds tot meer gebruiksvriendelijkheid voor de overheid en de burger, maar maakt deze databestanden ook kwetsbaarder voor inzage door onbevoegden. Er ontstaan namelijk meerdere ingangen om het systeem te benaderen. Via het minst beveiligde systeem kan toegang worden verkregen tot gegevens die moeilijker direct te benaderen zijn: de hele keten is immers slechts zo sterk als de zwakste schakel.” (p. 33)

Verder spreekt de AIVD zowel in haar jaarverslag als in de kwetsbaarheidsanalyse over de gevaren van datamining en social engineering. Zo zou datamining, het extraheren van gestructureerde informatie uit een groter geheel van ongekoppelde informatie, ervoor zorgen dat zelfs geanonimiseerde databases doelwit kunnen zijn van buitenlandse inlichtingendiensten. Door het correleren van geanonimiseerde gegevens met gegevens uit andere databanken, kunnen de geanonimiseerde gegevens alsnog bijdragen aan een samenhangend geheel van gevoelige informatie. Daarnaast kan door social engineering toegang worden gekregen tot op zichzelf goed beveiligde databases door het bespelen van een zwakke schakel, namelijk personen die toegang hebben tot dergelijke databanken.

Het is goed om te zien dat de AIVD waarschuwt voor de risico’s van de ongebreidelde verzameldrift, zowel bij de overheid als bij private partijen. Het is goed dat zij erkent dat de koppeling van databanken ook gevaren met zich brengt. Wij pleiten al langer voor terughoudendeid bij de opslag en verwerking van al onze privé-gegevens: zie onder meer ons Zwartboek Datalekken en onze stemwijzer van de afgelopen verkiezingen, de Digitale Vrijheidswijzer.