Onze overheid beheert meerdere databases met gegevens over ons burgers. Om zorgvuldige omgang daarmee af te dwingen, is er ook toezicht geregeld. Maar als de overheid vervolgens die regels creatief interpreteert, heb je daar niet zoveel aan.

Achtergrond: centrale database klantgegevens providers

Alle telefonie- en internetproviders uploaden elke dag een deel van hun klantenadministratie naar een database van het Ministerie van Veiligheid en Justitie. Het gaat om gegevens waaruit valt af te leiden welk IP-adres of telefoonnummer bij welke klant hoort en omgedraaid. Dat doen die providers natuurlijk niet vrijwillig, dat zijn ze gewoon wettelijk verplicht.

Het behoeft geen uitleg: als alle providers gedwongen worden dagelijks een subset van hun klantgegevens aan het ministerie te geven, dan is het belangrijk dat die laatste zorgvuldig met die gegevens omgaat. Dus, er voor zorgen dat de gegevens beveiligd worden opgeslagen en dat iemand die er niets in te zoeken heeft, er ook niets in zoekt.

Eén is twee. Of drie.

Om er zeker te weten dat het ministerie en de geheime en opsporings­diensten ook écht zorgvuldig met de gegevens in die database omspringen, is het ministerie verplicht jaarlijks een audit uit te laten uitvoeren. Die verplichting werd tot nu toe aan de laars gelapt. Uit de audits die wél uitgevoerd werden, bleek vaak dat er het nodige misGeen nieuws: bende bij opsporingsdatabank CIOT. was.

In de regelsArtikel 8, lid 2 van het Besluit verstrekking gegevens telecommunicatie. over die audits staat om precies te zijn:

“Onze Minister van Veiligheid en Justitie stelt jaarlijks een verslag op van een audit naar de goede uitvoering van dit besluit door de aanbieders [...], het informatiepunt, de arrondissementsparketten en de politie, of andere opsporingsdiensten. [...]”

Heldere tekst toch? Dit is hoe de minister die tekst tot voor kort interpreteerdeDeze uitleg kwam boven tafel na een verzoek in het kader van de Wet openbaarheid van bestuur.:

“Tot 2016 werd de [...] neergelegde verplichting opgevat als strekkende tot het eens in de twee of drie jaar uitvoeren van een audit [...]”

Ik zie de Belastingambtenaar al ROFL’en als ik hem vertel dat ik “de in de wet neergelegde verplichting opvat als strekkende tot het eens in de twee tot drie jaar betalen van mijn loonbelasting.”

Op herhaling

Het is overigens niet de eerste “vrije interpretatie” van deze regels. Een ander onderdeel van datzelfde wetsartikel verplicht de minister om elk jaar een overzicht op te stellen van het aantal opvragingenDit zijn de tabellen voor 2016. uit de database. Toen ik in 2009 voor de eerste keer de minister vroeg dat overzicht openbaar te maken, leek het antwoord van de minister onvolledig te zijn omdat de nodige details ontbrakenOpgestelde jaarverslagen CIOT bleken incompleet.. Navraag leerde echter:

“De [...] genoemde uitsplitsing is niet opgenomen in de jaarverslagen die [...] zijn opgesteld, in die zin ontbreekt er geen informatie in het antwoord op uw verzoek. Op grond van [de regels] zou de uitsplitsing wel opgenomen moeten worden.“

Met andere woorden, tot het moment waarop ik het ministerie vroeg de tabellen openbaar te maken, werden die tabellen nooit opgesteld. Sinds mijn verzoek doet de minister dit nu wel goed.

Zonder de waarborgen ook niet de bevoegdheden

Het is nogal wat: telefonie- en internetproviders dwingen om dagelijks hun klantenadministratie te uploaden naar een door het Ministerie van Veiligheid en Justitie beheerde databank. Voor zover dat al wenselijk is, moet het voorzien zijn van scherpe en strak nageleefde waarborgen. Dat erkent ook de ministerToenmalige minister Van der Steur in 2015 over de audit. zelf: “Ik wil benadrukken dat de privacy van de burger een belangrijk goed is en met de juiste waarborgen moet worden omgeven.”

Het is daarom onverteerbaar dat de minister moedwillig de bijbehorende verplichtingen nogal creatief interpreteert. Of domweg negeert. Misschien moeten we deze hele database maar eens opheffen en teruggaan naar het oude systeem, waar geheime en opsporingsdiensten bij de providers moet aankloppen als ze gegevens over de klanten van die providers willen.