Opsporingsdatabase CIOT nog altijd niet op orde
Elke dag moeten providers een deel van hun klantenadministratie uploaden naar een centrale database. We moeten erop vertrouwen dat de overheid daar dan netjes mee omgaat. Maar de jaarlijkse audits laten zien dat de minister nog altijd weinig op heeft met jouw privacy.
Foto: Gandalf's Art Gallery
Meer dan twee miljoen bevragingen
Om het een groot aantal opsporings- en geheime diensten in ons land iets makkelijker te maken, moeten de telefonie- en internetproviders elke dag een deel van hun administratie naar een database van de overheid kopiëren. Het gaat dan om gegevensDe aantallen zijn terug te vinden in het jaarverslag van het CIOT die nodig zijn om een IP-adres of telefoonnummer naar een persoon te herleiden, en omgedraaid. Jaarlijks zetten speurders tussen de twee en bijna drie miljoen zoekopdrachten uit.
Zelfs de regels over de naleving van regels worden niet goed nageleefd.
Keer op keer negeert de overheid regels
Het spreekt voor zich dat het belangrijk is dat er zorgvuldig wordt omgegaan met de gegevens in die database. Daarom zijn er regels over wie en onder welke voorwaarden bij de gegevens mag, maar ook regels over de controle op de naleving van die eerste regels. Dat laatste is hard nodig, zo bleek de afgelopen jaren wel. Keer op keerGeen nieuws: bende bij opsporingsdatabase was er iets mis. Zo bleek de registratie van verzoeken, nodig om achteraf de rechtmatigheid aan te kunnen tonen niet altijd op orde, was het voor sommige agenten onduidelijk welke regels eigenlijk golden en werden virusscanners niet up to date gehouden.
Laatste update: om moedeloos van te worden
De regels verplichtenDe regels zijn opgenomen in het Besluit verstrekking gegevens telecommunicatie de minister van Justitie en Veiligheid jaarlijks “de goede uitvoering” van de regels bij alle betrokken partijen te onderzoeken. De minister voldeed eerder deze maand een klein beetjeDe brief en rapportages vind je op de website van de Rijksoverheid aan de verplichting door de Tweede Kamer een brief te sturen met een paar audits over de situatie in 2016 (!). De brief maakt ons moedeloos, om zoveel redenen:
- Het is onduidelijk waarom de rapporten nu pas naar de Tweede Kamer worden gestuurd. Immers, de rapporten gaan over de situatie in 2015 en 2016. We leven nu in 2017. Oh, nee, 2018. De situatie is mogelijk veranderd, misschien ten goede, misschien ten slechte. Het zegt in ieder geval niets over het nu.
- Bovendien is een van de twee openbaar gemaakte rapporten een jaar geleden al aan de minister opgeleverd, het tweede rapport eind vorig jaar. Dat betekent dat de minister maandenlang op die rapporten heeft gezeten, alvorens ze te delen met het parlement.
- Ook is het storend dat de minister de rapporten twee weken geleden, op vrijdagmiddag, naar de Tweede Kamer stuurt. De parlementariërs zijn met vakantie en de kans dat ze hier in september nog eens op terugkomen is klein. Ook is een publicatie op de vrijdagmiddag te laat om nog mee te gaan in de news cycle van die avond. En de maandag erna is het geen nieuws meer. Gechargeerd: zonder nieuws geen ophef, zonder ophef geen verandering.
Zou een crimineel ermee wegkomen als hij zegt zich steeds beter aan de wet te houden? Waarom de minister dan wel?
- De minister maakt “een audit naar het beheer van het CIOT- informatiesysteem (CIS) en een naar de rechtmatigheid van de bevragingen door drie opsporingsdiensten” openbaar. Twee andere rapporten waar de minister over schrijft maakt hij niet openbaar, zonder te zeggen waarom. Daar moeten we dan blijkbaar weer eerst om vragen.
- De minister schrijft dat “de resultaten van de uitgevoerde audits […] laten zien dat de eerder geconstateerde verbeterlijn zich verder heeft doorgezet.” Dat is niet wat we willen horen. We willen horen dat alle regels volledig en voortdurend worden nageleefd. Dat is toch niet teveel gevraagd, na jaren aanmodderen? Zou een crimineel ermee wegkomen als hij zegt zich steeds beter aan de wet te houden? Waarom de minister dan wel? En dat met een ambtsvoorganger die claimt dat hij onze privacy “van het allergrootste belang vindt” en de verbeterpunten “zeer ter harte neemt”.
- Sowieso houdt de minister wel van een creatieve interpretatieWaar de wet jaarlijks voorschrijft, leest de minister "eens in de twee of drie jaar" van de wet. Want eigenlijk moet hij gewoon elk jaar de naleving van de regels door providers, opsporings- en geheime diensten en het ministerie zelf onderzoeken en daarover rapporteren aan de Tweede Kamer. Dat deed hij niet en ook nu doet hij dat weer niet. Dus zelfs de regels over de naleving van regels worden niet goed nageleefd.
Ook na bijna tien jaar aanmodderen kan de minister nog altijd niet zeggen dat alle regels worden nageleefd.
Een herhaling van zetten
Net zoals de minister elk jaar opnieuw een copy-paste doet (“de verbeteringen zetten door, de openstaande punten nemen ter hand”) kunnen wij dat inmiddels ook wel doen. Een jaar geleden schreven we immers:
Het is nogal wat: telefonie- en internetproviders dwingen om dagelijks hun klantenadministratie te uploaden naar een door het Ministerie van Veiligheid en Justitie beheerde databank. Voor zover dat al wenselijk is, moet het voorzien zijn van scherpe en strak nageleefde waarborgen. Dat erkent ook de minister zelf: “Ik wil benadrukken dat de privacy van de burger een belangrijk goed is en met de juiste waarborgen moet worden omgeven.”
Het is daarom onverteerbaar dat de minister moedwillig de bijbehorende verplichtingen nogal creatief interpreteert. Of domweg negeert. Misschien moeten we deze hele database maar eens opheffen en teruggaan naar het oude systeem, waar geheime en opsporingsdiensten bij de providers moet aankloppen als ze gegevens over de klanten van die providers willen.
Dat geldt wat ons betreft nog altijd. Als de overheid zich niet netjes aan de regels rondom deze database kan houden, moeten de providers stoppen met het uploaden van de gegevens over hun klanten.
Pieter raxis
Is een minister dmv het bestuursrecht niet ergens op aan te klagen?
Rejo Zenger
Wat vermoedelijk goed zou kunnen: een handhavingsverzoek bij de Autoriteit Persoonsgegevens.
L
Zou wel een leuk statement zijn als de Nederlandse telecom-providers collectief besluiten om deze data niet meer aan te leveren totdat de betreffende verbeterpunten aantoonbaar geïmplementeerd zijn.
Ben benieuwd of het dan nog 10 jaar duurt voordat er wat gebeurd.
Rejo Zenger
Dat is helemaal geen gekke gedachte. Hoewel de providers gegevens uit hun administratie elke 24 uur naar een database van de overheid moeten uploaden, blijven zijzelf verantwoordelijk voor de gegevens en de bescherming daarvan. In juridische terminologie: de provider blijft de verantwoordelijke, de beheerder van het CIOT is slechts een bewerker.
Het is daarom geen gekke gedachte dat providers weigeren de gegevens te verstrekken. Maar dat is geen makkelijke keuze. Die meer dan 2 miljoen zoekvragen zouden dan niet meer aan de database, maar aan de provider direct gesteld worden.
L
De werklast bij de providers zal inderdaad flink stijgen.
De vraag is dan natuurlijk of elk verzoek 1 op 1 doorgezet wordt richting de providers.
In de huidige vorm is er regelmatig iets mis, ik quote: “Zo bleek de registratie van verzoeken, nodig om achteraf de rechtmatigheid aan te kunnen tonen niet altijd op orde”
Kan iedereen van justitie zo’n verzoek dan indienen bij de providers of zal dit een flinke werklast opleveren bij bijvoorbeeld een officier van justitie? Het zal voor de providers ook wel lastig inschatten zijn of een verzoek legitiem is en of deze gegevens daadwerkelijk verstrekt mogen worden…
Jim
Tja, we hebben wel een AVG, wat de privacy van de burgers O zo goed beschermt, maar die geldt natuurlijk niet voor de minister, die staat immers boven de wet!
Hij past hier een soort Trump-achtige strategie toe lijkt me. Heeft Trump eigenlijk weleens de waarheid gesproken, bedenk ik me ineens.
ED
Uit alles wat ik lees, ook bij BoF, blijkt dat de database zelf wel op orde is, maar de manier waarop ermee gewerkt wordt niet. Dat lijkt me een belangrijk verschil. In eerste instantie begreep ik uit de kop dat de database lek was.