Onrechtmatigheden in de praktijk
De diensten onderscheppen communicatie op verschillende kanalen. Die werken allemaal een beetje anders en dus is het proces van filtering ook een beetje anders. De toezichthouder heeft de verschillende manieren onderzocht.
Communicatie uit radioverkeer wordt vooral gebruikt door overheden, diplomatieke instellingen en militaire organisaties. Er gaat dus weinig communicatie van burgers overheen, maar best wat inhoudelijke communicatie die gevoelig kan zijn. Over interceptie van deze vorm van communicatie zegt de toezichthouder dat de toepassing van filters rechtmatig is. Onrechtmatig is dat de diensten gegevens die niet van belang zijn voor een onderzoek in een aparte omgeving opslaan. Deze gegevens zouden meteen moeten worden vernietigd.
Bij het intercepteren van satellietcommunicatie laat een deel van de verwerkingssystemen alle gegevens van herkende typen gegevens door, waar het de bedoeling is dat er gegevens uit de stroom worden geselecteerd. Al deze gegevens worden door de diensten opgeslagen, zonder dat daarbij wordt uitgelegd waarom deze selectie niet gerichter zou kunnen. Dit is niet 'zo gericht mogelijk' en daarom bestempelt de toezichthouder deze te brede filtering als onrechtmatig.
En dan de interceptie met het sleepnet. Die is in de periode dat de toezichthouder onderzoek deed nog niet ingezet. De toezichthouder kan al wel een eerste oordeel geven, omdat een deel van de plannen om dit in te zetten wel klaar is. Op basis van de plannen kan de toezichthouder al zeggen dat er een aantal dingen mis gaat. Zo maken de diensten onderscheid tussen metadata, zoals wie aan wie een berichtje stuurt en op welk moment, en inhoud, maar gaat dit nog niet helemaal goed. Openbare berichten, zoals berichten op Twitter, worden als metadata gezien terwijl de inhoud van de post natuurlijk als inhoud moet worden gezien. Verder komt dit onderscheid nu niet terug in hoe het verwerkingssysteem is ingesteld, waardoor inhoud als metadata kan worden doorgelaten en opgeslagen. Ook de belofte van de minister om het sleepnet alleen op gegevens die uit het buitenland komen of voor cyber defence in te zetten moet worden verwerkt in beleid, procesbeschrijvingen en werkinstructies. Ook moeten er technische maatregelen genomen worden in de systemen. Tot slot laat het systeem nu alle metadata door die het systeem herkent. Het 'zo gericht mogelijk' criterium vereist dat de diensten verantwoorden waar het doorlaten van de gegevens noodzakelijk is, en waarom het niet verder kan worden beperkt, voordat het sleepnet wordt ingezet.