Waar gaat het mis?
Waar gaat het volgens de toezichthouder precies fout? We zetten het op een rijtje:
Intern beleid en instrumenten om gegevens te beschermen ontbreken
De toezichthouder constateert dat er bij de diensten geen uitvoering wordt gegeven aan basisprincipes om gegevens te beschermen, zoals privacy by design en by default. Ook beschikken de diensten nog niet over de vereiste procedures en instrumenten om risico’s te signaleren dat er intern onrechtmatig met gegevens wordt omgesprongen.
Geen gehoor gegeven aan gerichtheidseis
Op basis van de Kamermotie RecourtDe aangenomen motie Recourt en de in mei gepubliceerde beleidsregels, moeten bijzondere bevoegdheden zo gericht mogelijk worden ingezet en toegepast. We blijven van mening dat de gerichtheidseis niet kan voorkomen dat met het sleepnet oftewel de ‘onderzoeksopdrachtgerichte interceptie’, op grote schaal en stelselmatig de online communicatie van mensen verzameld kan worden.
Los daarvan blijken de diensten zelfs aan deze gerichtheidseis geen gehoor te hebben gegeven. Dat is extra kwalijk nu deze eis juist door het kabinet en coalitiepartijen werd voorgesteld als belangrijke waarborg om bevoegdheden uit te breiden en grootschalig tappen op de kabel toe te staan.
Waarborgen bij geautomatiseerde data-analyse onvoldoende
De diensten kunnen de gegevens die ze met het sleepnet binnenhalen geautomatiseerd analyseren. Het gaat dan vaak om het analyseren van gedragsgegevens (metadata), zoals op welke locatie je op welk tijdstip met wie hebt gecommuniceerd. Dat gedragsgegevens een zeer compleet beeld van iemands privéleven kunnen geven is breed geaccepteerd. Het kunstmatige onderscheid tussen de inhoud van communicatie en gedragsgegevens dat vroeger vaak werd gemaakt, gaat niet meer op.
Voor het analyseren van deze gegevens om personen of organisaties te identificeren is toestemming van de minister en voorafgaande toetsing door de Toetsingscommissie inzet bevoegdheden (TIB) vereist. Maar de geheime diensten blijken zelf onderscheid te maken tussen ‘eenvoudige’ en ‘complexe’ analyses om zo voor ‘eenvoudige’ analyses onder de toestemming van de minister en toetsing door de TIB uit te komen. De CTIVD en TIB zijn het fundamenteel oneens met dit gemaakte onderscheid en hebben dit onlangs nog uitgebreid toegelicht in een gezamenlijke rechtseenheidsbriefDe twee rechtseenheidsbrieven van de TIB en CTIVD.
Onvoldoende invulling gegeven aan databeperking
Permanente beperking van de verzamelde gegevens tot uitsluitend de gegevens die relevant zijn is essentieel voor privacybescherming. Toch constateert de toezichthouder dat diensten ook hier steken laten vallen. Zo blijken de diensten nog onvoldoende maatregelen te treffen om bijvoorbeeld ‘zo spoedig’ mogelijk de verzamelde gegevens op relevantie te onderzoeken, de niet-relevante gegevens gegarandeerd te verwijderen en is bij het tappen in de ether onduidelijk op welke wijze de beoordeling van relevantie van gegevens plaatsvindt.
Edwin Brouwer
Deze wet die ongerichte methodes mogelijk maakt, zaait een zieke surveillancesfeer met het kweken van aanhoudende beangstiging in de privésfeer van ingezetenen.
Wat mij betreft deze wet opschorten en een ander uitgangspunt kiezen en veel langer daarna eventueel regelgeving die deze ontmenselijking uitsluit.
Stefan
Als men in de politiek deze wet dusdanig belangrijk vindt om er het referendum voor af te schaffen (althans, dat is mijn aanname) zal men het ook wel geen probleem vinden om de wet aan te houden… Het enige waar men zich in de politiek zorgen over maakt is wat het publiek er van vind om een slechte naam te voorkomen, ze zouden het liefste gewoon het hele land in een digitale politiestaat veranderen…