Elke dag moeten providers een deel van hun klantenadministratie uploaden naar een centrale database. We moeten erop vertrouwen dat de overheid daar dan netjes mee omgaat. Maar de jaarlijkse audits laten zien dat de minister nog altijd weinig op heeft met jouw privacy.

Meer dan twee miljoen bevragingen

Om het een groot aantal opsporings- en geheime diensten in ons land iets makkelijker te maken, moeten de telefonie- en internet­providers elke dag een deel van hun administratie naar een database van de overheid kopiëren. Het gaat dan om gegevensDe aantallen zijn terug te vinden in het jaarverslag van het CIOT die nodig zijn om een IP-adres of telefoonnummer naar een persoon te herleiden, en omgedraaid. Jaarlijks zetten speurders tussen de twee en bijna drie miljoen zoekopdrachten uit.

Keer op keer negeert de overheid regels

Het spreekt voor zich dat het belangrijk is dat er zorgvuldig wordt omgegaan met de gegevens in die database. Daarom zijn er regels over wie en onder welke voorwaarden bij de gegevens mag, maar ook regels over de controle op de naleving van die eerste regels. Dat laatste is hard nodig, zo bleek de afgelopen jaren wel. Keer op keerGeen nieuws: bende bij opsporingsdatabase was er iets mis. Zo bleek de registratie van verzoeken, nodig om achteraf de rechtmatigheid aan te kunnen tonen niet altijd op orde, was het voor sommige agenten onduidelijk welke regels eigenlijk golden en werden virusscanners niet up to date gehouden.

Laatste update: om moedeloos van te worden

De regels verplichtenDe regels zijn opgenomen in het Besluit verstrekking gegevens telecommunicatie de minister van Justitie en Veiligheid jaarlijks “de goede uitvoering” van de regels bij alle betrokken partijen te onderzoeken. De minister voldeed eerder deze maand een klein beetjeDe brief en rapportages vind je op de website van de Rijksoverheid aan de verplichting door de Tweede Kamer een brief te sturen met een paar audits over de situatie in 2016 (!). De brief maakt ons moedeloos, om zoveel redenen:

• Het is onduidelijk waarom de rapporten nu pas naar de Tweede Kamer worden gestuurd. Immers, de rapporten gaan over de situatie in 2015 en 2016. We leven nu in 2017. Oh, nee, 2018. De situatie is mogelijk veranderd, misschien ten goede, misschien ten slechte. Het zegt in ieder geval niets over het nu.
• Bovendien is een van de twee openbaar gemaakte rapporten een jaar geleden al aan de minister opgeleverd, het tweede rapport eind vorig jaar. Dat betekent dat de minister maandenlang op die rapporten heeft gezeten, alvorens ze te delen met het parlement.
• Ook is het storend dat de minister de rapporten twee weken geleden, op vrijdagmiddag, naar de Tweede Kamer stuurt. De parlementariërs zijn met vakantie en de kans dat ze hier in september nog eens op terugkomen is klein. Ook is een publicatie op de vrijdagmiddag te laat om nog mee te gaan in de news cycle van die avond. En de maandag erna is het geen nieuws meer. Gechargeerd: zonder nieuws geen ophef, zonder ophef geen verandering.

• De minister maakt “een audit naar het beheer van het CIOT- informatiesysteem (CIS) en een naar de rechtmatigheid van de bevragingen door drie opsporings­diensten” openbaar. Twee andere rapporten waar de minister over schrijft maakt hij niet openbaar, zonder te zeggen waarom. Daar moeten we dan blijkbaar weer eerst om vragen.
• De minister schrijft dat “de resultaten van de uitgevoerde audits […] laten zien dat de eerder geconstateerde verbeter­lijn zich verder heeft doorgezet.” Dat is niet wat we willen horen. We willen horen dat alle regels volledig en voortdurend worden nageleefd. Dat is toch niet teveel gevraagd, na jaren aanmodderen? Zou een crimineel ermee wegkomen als hij zegt zich steeds beter aan de wet te houden? Waarom de minister dan wel? En dat met een ambtsvoorganger die claimt dat hij onze privacy “van het allergrootste belang vindt” en de verbeterpunten “zeer ter harte neemt”.
• Sowieso houdt de minister wel van een creatieve interpretatieWaar de wet jaarlijks voorschrijft, leest de minister "eens in de twee of drie jaar" van de wet. Want eigenlijk moet hij gewoon elk jaar de naleving van de regels door providers, opsporings- en geheime diensten en het ministerie zelf onderzoeken en daarover rapporteren aan de Tweede Kamer. Dat deed hij niet en ook nu doet hij dat weer niet. Dus zelfs de regels over de naleving van regels worden niet goed nageleefd.

Een herhaling van zetten

Net zoals de minister elk jaar opnieuw een copy-paste doet (“de verbeteringen zetten door, de openstaande punten nemen ter hand”) kunnen wij dat inmiddels ook wel doen. Een jaar geleden schreven we immers:

Het is nogal wat: telefonie- en internetproviders dwingen om dagelijks hun klantenadministratie te uploaden naar een door het Ministerie van Veiligheid en Justitie beheerde databank. Voor zover dat al wenselijk is, moet het voorzien zijn van scherpe en strak nageleefde waarborgen. Dat erkent ook de minister zelf: “Ik wil benadrukken dat de privacy van de burger een belangrijk goed is en met de juiste waarborgen moet worden omgeven.”

Het is daarom onverteerbaar dat de minister moedwillig de bijbehorende verplichtingen nogal creatief interpreteert. Of domweg negeert. Misschien moeten we deze hele database maar eens opheffen en teruggaan naar het oude systeem, waar geheime en opsporingsdiensten bij de providers moet aankloppen als ze gegevens over de klanten van die providers willen.

Dat geldt wat ons betreft nog altijd. Als de overheid zich niet netjes aan de regels rondom deze database kan houden, moeten de providers stoppen met het uploaden van de gegevens over hun klanten.