AIVD en MIVD maken rechtmatig gebruik van persoonsgegevens in bulkdownloads

De inlichtingendiensten AIVD en MIVD gaan “rechtmatig” om met datasets met persoonsgegevens die online worden aangeboden. Dat las ik vorige week bij Nu.nl. Deze conclusie volgt uit het rapport 55 over het verwerven van op internet aangeboden bulkdatasets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. Dat “online aangeboden” moet je met aanhalingstekens uitspreken, want het gaat eigenlijk om gelekte of gestolen gegevens die op schimmige plekken te verkrijgen zijn. Maar voor de inlichtingendiensten is dat dus geen probleem.

Het klinkt ergens gek, maar ook de AIVD en haar militaire broertje de MIVD moeten de privacy respecteren van mensen die ze bespioneren. Dat betekent dus dat het gebruiken van ‘gevonden’ datasets met persoonlijke informatie niet zomaar kan, met name omdat daar ook veel gegevens in zullen zitten van mensen die in het geheel niet in beeld zijn bij de inlichtingendiensten.

Het gebruik van die persoonsgegevens is geregeld in de Wet op de Inlichtingen- en Veiligheidsdiensten, waarvan editie 2002 van toepassing was op de vergaring. (En editie 2017 is de beruchte ‘sleepwet’.) De bevoegdheden zijn een stuk breder dan voor gewone burgers of overheidsinstanties. Kort gezegd mag er veel meer zolang het maar enigszins gedocumenteerd wordt en het gebruik netjes wordt bijgehouden.

Zo is er een openbronregeling die bepaalt hoe men informatie uit open bronnen mag betrekken, waarbij het niet uitmaakt of die bron de gegevens legaal of illegaal publiceert. Daarbij is het zelfs toegestaan om je te registreren onder een valse naam en dan te zien wat er te downloaden is; de grens ligt bij de aanbieder overhalen tot het verstrekken van de bron. Dat mag ook maar valt onder de agentregeling met net iets strengere eisen.

Aanleiding voor het onderzoek was dat de diensten bestanden hadden gekocht op het “dark web” (/insert omineuze muziek) met gegevens over meer dan honderd miljoen personen, waarvan het overgrote deel nooit en te nimmer relevant zou zijn voor het inlichtingen- en veiligheidswerk. Het ging daarbij om vertrouwelijke informatie die onrechtmatig in die bestanden terecht was gekomen en die normaal nooit zomaar bekend zou zijn.

De AIVD had die gegevens snel opgehaald omdat ze vermoedden dat die zomaar weggehaald zou kunnen worden, en deed dat onder de openbronregeling omdat ze dachten dat het dark web daaronder viel. Maar omdat het feitelijk een aankoop van een bestand was, had dit onder de agentregeling moeten gebeuren. Dat ging dus mis, maar betekent uiteindelijk weinig omdat -zo concludeert de commissie- het onder de agentregeling legaal zou zijn geweest. Belangrijk was daarbij ook dat er op hoog niveau toestemming was gegeven voor de aankoop.

Bij een tweede dataset van vergelijkbare omvang en inhoud ging het mis. Daar werd die toestemming niet op dat niveau gevraagd, en was niet duidelijk hoe men daar precies aan gekomen is. Uiteindelijk heeft dit geen gevolgen, omdat het gebruik verder netjes binnen de lijntjes blijft en het waarschijnlijk was dat er toestemming zou zijn gegeven.

De totale uitkomst verrast dus niet. Over blijven aanbevelingen om zorgvuldiger met de gegevens om te gaan, en jaarlijks te bekijken of de datasets nog nuttig zijn in de praktijk. En meer algemeen om beleid te maken over hoe om te gaan met downloaden of aankopen van datasets als deze. En dat is hoe het eigenlijk altijd gaat met zulke dingen: het mocht niet, maar de schade lijkt beperkt en als er dan beleid op komt, dan is het goed.

Arnoud

25 reacties

  1. Arnoud, je zegt het op een wat bijzondere wijze:

    ‘Het klinkt ergens gek, maar ook de AIVD en haar militaire broertje de MIVD moeten de privacy respecteren van mensen die ze bespioneren. Dat betekent dus dat het gebruiken van ‘gevonden’ datasets met persoonlijke informatie niet zomaar kan, met name omdat daar ook veel gegevens in zullen zitten van mensen die in het geheel niet in beeld zijn bij de inlichtingendiensten.’

    Het lijkt nu net alsof het reeds ‘in beeld zijn’ (whatever that may be) bij de inlichtingendiensten een voorwaarde is om ze verder te mogen onderzoeken. Maar is het ook niet de taak van de inlichtingendiensten om mensen die nog niet in beeld zijn (maar dat eigenlijk wel zouden moeten zijn) toch in beeld te brengen?

    1. Dat is ook altijd waar de schoen zo wringt. Mensen roepen vaak “Waarom onderzoeken ze mij, ik heb toch niets gedaan?”, maar hoe moeten ze dat vaststellen als ze je niet mogen onderzoeken? Of, andersom, hoe moeten ze weten dat iemand een gevaar vormt als ze niet mogen onderzoeken tot ze dit weten?

        1. Misschien op basis van legaal verkregen openbare informatie (bijv. door wat je hier op dit blog schrijft)? En wat als een buitenstaander op eigen initiatief een tip geeft? Mogen ze dat dan onderzoeken?

          1. Misschien op basis van legaal verkregen openbare informatie (bijv. door wat je hier op dit blog schrijft)?

            Daar gelden dus regels voor zoals die ook door Arnoud al zijn vermeld.

            Tips kunnen inderdaad leiden tot initiëren van onderzoek maar een in lichtingen en veiligheidsdienst kan niet alleen op tips afgaan maar zal ook zelfs de veiligheidssituatie in het oog moeten houden. Niet alleen puur om individuele dreigingen te vinden maar ook om uit te vinden of er nieuwe bedreigingen voor Nederland ontstaan of dat bepaalde bedreigingen in ernst toe nemen en een groter deel van het budget ( ook van opsporingdiensten, defensie en soms zelfs andere overheden) ingezet moeten worden om zich tegen die bedreigingen te beschermen of te wapenen. Een inlichtingendiesnt kan bijvoorbeeld in hun onderzoeken of door informatie van geallieerde inlichtingendiensten constateren dat er concrete cyberbedreigingen komen tegen onze energievoorzieningen en de energieleveranciers waarschuwen (mogelijk via het ministerie van economische zaken) over de aard van die dreigingen.

  2. Belangrijk was daarbij ook dat er op hoog niveau toestemming was gegeven voor de aankoop.

    Ja, hallo. Die rechter/minister (wie moet daar nu nog toestemming voor geven?), die hoort de afweging te maken of het mag/je dit zou moeten willen.

    Oftewel: CTIVD geeft aan: AIVD/MIVD hebben volgens de regels gehandeld. Maar nu is het dus aan de politiek om de verantwoordelijke persoon op het matje te roepen: “Mevrouw de voorzitter, het kan natuurlijk niet de bedoeling zijn dat de overheid zomaar lukraak gegevens uit een illegaal bron gaat zitten vissen.”

    1. Het is nogal “slager keurt zijn eigen vlees”, hè?

      Een geheime dienst hoort niet thuis in een democratie. In een democratie moet de burger kunnen controleren wat de overheid doet, zodat de burger dat indien gewenst kan corrigeren.

  3. Maar omdat het feitelijk een aankoop van een bestand was, had dit onder de agentregeling moeten gebeuren. Dat ging dus mis, maar betekent uiteindelijk weinig omdat -zo concludeert de commissie- het onder de agentregeling legaal zou zijn geweest.

    Zwartrijder tegen conducteur: “Ik dacht dat het vervoer vandaag gratis was, maar als ik gewoon een kaartje had gekocht dan zat ik hier gewoon legaal. Niks aan de hand dus, stop het bonnenboekje maar weer terug in uw zak…”

    1. Deze vergelijking gaat echt niet op. Als je geen kaartje koopt, kun je zeggen wat je wil, maar dat rijdt je gewoon zwart en krijg je een boete. Als het openbaar vervoer die dag gratis was, of gratis in jouw specifieke geval (omdat je een abonnement hebt, of omdat er een actie is), zal je meestal inderdaad geen boete krijgen, en als je hem wel krijgt, kun je hem terugvorderen met de juiste gegevens.

      In dit geval gaat het, zeker in het eerste geval, om iets wat ze gewoon hadden gemogen, maar ze hadden niet het juiste formulier gevraagd. Ik vind het dan niet gek als dat wordt afgedaan met “Dit was niet de goede route, let daar de volgende keer op, maar we doen hier nu verder niets mee.”

      1. Je let teveel op het detail, niet op de grote lijnen.

        Trein: geen kaartje gekocht, dus het meerijden is niet legaal, sanctie is een boete, kan niet achteraf worden gerepareerd door alsnog een kaartje te kopen. AIVD: niet onder de juiste regeling een dataset verkregen, handeling was dus niet legaal, sanctie is dat de dataset niet gebruikt mag worden, maar AIVD komt er wél mee weg om achteraf te repareren.

        Zie ook mijn reactie verderop over huiszoekingen.

        1. Het blijft onzin. De reden waarom je niet achteraf alsnog een kaartje kunt kopen (wat trouwens tot een jaar of twaalf geleden wel het geval was), is dat het dan loont om pas een kaartje te kopen als je betrapt wordt. De AIVD heeft, naar het schijnt per ongeluk, de verkeerde regeling gebruikt en had toestemming gekregen als ze wel de goede regeling hadden gebruikt. Het verschil zit hem erin dat er geen schade is. En daarom hoeft het geen consequenties te hebben. Natuurlijk is het een ander verhaal als dit nu zou blijven verkeerd gaan, maar nu men erop gewezen is, lijkt mij de kous af.

  4. Maar omdat het feitelijk een aankoop van een bestand was, had dit onder de agentregeling moeten gebeuren. Dat ging dus mis, maar betekent uiteindelijk weinig omdat -zo concludeert de commissie- het onder de agentregeling legaal zou zijn geweest. Belangrijk was daarbij ook dat er op hoog niveau toestemming was gegeven voor de aankoop.

    Op hoog niveau is dus besloten dat het ondersteunen van illegale en criminele praktijken – de gegevens zijn niet vrijwillig in dat bestand terechtgekomen toch? – toegestaan is door overheidsorganisaties, zolang de overheid er maar een belang bij kan hebben. Zo werkt de maffia ook: je zet ergens een stroman neer die beslissingsbevoegd is om ‘opdrachten’ aan partijen (lees: jouw organisatie) toe te kennen, en je hebt een prima business model om jouw criminele organisatie een mooie bron van inkomsten te geven, en in dit geval zelfs staatssteun! Je hebt nog net geen handtekening van de minister onder het certificaat ‘Officieel erkende criminele organisatie’…

    Valt dit misschien onder onterechte staatssteun?

    1. Als iemand op het darknet tegen een vergoeding aanbiedt om informatie te geven over spionnen die in Nederland opereren. Dat zal ongetwijfeld crimineel handelen zijn in het land dat die spionnen naar Nederland gestuurd heeft maar is in Nederland niet waarschijnlijk gewoon legaal omdat het informatie is die strafbare feiten onthuld en daarmee niet door een wet beschermd wordt.

      Steun je met dat geld dan een criminele organisatie of een informant die naar Nederlandse wet legaal handel?

  5. Het is natuurlijk niet een kwestie van ‘Het doel heiligt de middelen’, er moeten wel regels zijn, maar een taak van de inlichtingendiensten is toch om dreigingen van misdaden op te sporen. Misdaden vinden nu eenmaal per definitie plaats vanuit een crimineel milieu, dus wat mij betreft mogen de inlichtingendiensten best wel interactie hebben met echte of vermeende criminelen.

    En er zitten nu eenmaal kosten aan het werk van de inlichtingendiensten.

    Ik beschouw dit als vergelijkbaar met het huren van een huis dat eigendom is van een crimineel, om beter in zijnnetwerk te komen, of met het dagelijks drinken van 5 kopjes koffie in het cafe van een crimineel. Ja, er stroomt geld naar de crimineel, maar financieel ondersteunen van criminele organisaties is toch wel wat anders.

    1. Maar de regels moeten dan wel worden nageleefd. Voorbeeld: zover ik weet is het zo dat als er in een rechtszaak bewijs wordt verkregen middels een huiszoeking terwijl het bevel daartoe niet aanwezig was of op verkeerde gronden afgegeven, dan loop je goede kans dat het bewijs niet wordt toegelaten, strafvermindering voor de verdachte of ‘erger’. Het argument “Maar als ik het huiszoekingsbevel wél netjes had geregeld had ik dat bewijs ook gevonden” is irrelevant, goedkeuring achteraf is niet aan de orde. Het door Arnoud beschreven geval van de eerste dataset zit in een vergelijkbaar scenario, maar de AIVD komt er blijkbaar wel mee weg…

      1. Volgens mij is onjuist verkregen bewijs in Nederland nog steeds bewijs. En zeker in het eerste geval gaat het niet om achteraf toestemming vragen. Er was toestemming gevraagd, alleen was van de verkeerde regeling gebruik gemaakt. Ze hebben van hogerhand akkoord gekregen, en dat hadden ze ook gekregen als ze de juiste regeling hadden gebruikt. Wat moet er dan gebeuren? Informatie in de prullenbak, dossiers door de shredder, boete voor de AIVD en personeel ontslagen omdat er een verkeerd formulier is gebruikt?

        1. Volgens mij is onjuist verkregen bewijs in Nederland nog steeds bewijs.

          Een stukje uit LJN: BM8954:

          Zoals hiervoor reeds is overwogen, is sprake geweest van een onrechtmatige doorzoeking van de woning van de verdachte op 7 april 2009. Dit verzuim kan niet worden hersteld. Er is een direct causaal verband tussen deze onrechtmatige doorzoeking en het (digitale) materiaal dat daarbij in beslag is genomen. Dat materiaal is door het verzuim verkregen en moet daarom worden gezien als ‘fruits of the poisonous tree’/verboden vruchten.

          Volgens de Hoge Raad (HR 30 maart 2004, NJ 2004, 376) kan in zo’n geval bewijsuitsluiting aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Hiervan is in het onderhavige geval sprake, aangezien het gaat om een inbreuk op het huisrecht, waardoor sterk in de persoonlijke levenssfeer wordt ingegrepen.
          Mede gelet op de omstandigheden waaronder het verzuim is begaan – een en ander zoals hierboven verwoord in de rubriek “Onderzoek in de woning van de verdachte ”, waarbij met name het onrechtmatige boeien en de onheuse en intimiderende bejegening van de verdachte door de politie zwaar wordt meegewogen, dient het (digitale) materiaal dat tijdens de doorzoeking op 7 april 2009 in beslag is genomen daarom van het bewijs te worden uitgesloten.

          Het achteraf goedpraten van de actie van AIVD vind ik onbegrijpelijk, het strookt absoluut niet met datgene wat we in onze rechtsstaat gewend zijn te doen. Achteraf repareren is niet aan de orde, of je nou vergeet om een treinkaartje te kopen of vergeet het juiste juridische formulier in te vullen voor een huiszoeking of aankoop van een dataset.

          1. Ik bedoelde te zeggen dat bewijs niet automatisch wordt uitgesloten vanwege het onrechtmatig verkrijgen. Daarvoor moet goed onderbouwd worden waarom het dan niet mag worden gebruikt, en dus kan onrechtmatig verkregen bewijs best resulteren in een veroordeling. En ook in de door jou aangedragen zaak is het gewoon opgenomen als bewijs en moest eerst worden aangedragen waarom dit eruit moest.

            Opnieuw, je treinkaartjesvergelijking slaat echt niet op deze zaak. En je doet alsof de AIVD iets bijzonder illegaals heeft gedaan, terwijl het leest alsof ze gewoon niet bewust waren dat dit niet gedekt werd door de ene regeling, en dat ze de andere regeling hadden moeten gebruiken, en dat ze dan dezelfde permissie hadden gekregen als dat ze nu hadden gekregen. Een storm in een glas water dus.

            1. Ik ben van mening ben dat men zich met het door Arnoud genoemde voorbeeld op een glijdende schaal begeeft. Als het ene ‘foutje’ achteraf gerepareerd kan worden, dan kan die grotere fout eigenlijk ook wel achteraf worden goedgepraat. En voor je het weet is er een continue stroom van privacy-schendende fouten die geen consequenties meer hebben want ‘ach’…. Zeker in deze tijd waarin de afgelopen maanden de politieke machthebbers allerlei grondwettelijke waarborgen lijken te willen slopen (donorwet, referenda…) ben ik er voor om alles wat overheden of daaraan gelieerde instituten doen tot op het belachelijke af te controleren en strikt aan de regels te laten houden.

              1. Los van mijn persoonlijke ideeën over de donorwet of referenda (wat beiden overigens geen waarborgen zijn, ik had hier eerder de sleepwet verwacht), laat recente nieuws over rechercheurs die verdrinken in bureaucratie wel zien dat uit den treure controleren ook niet echt wenselijk is. Bovendien zie ik de glijdende schaal niet zo. Als een agent een waarschuwing geeft aan iemand die wat te hard reed, in plaats van een boete, doet hij dat niet ook straks bij iemand die 100 km/u te hard rijdt, of bij een doodrijder, of bij de maffia. De reden dat dit is afgedaan met “foei, niet meer doen” is omdat het een oprechte fout lijkt te zijn, zonder schade en zonder dat dit structureel, met eerdere waarschuwingen, blijft gebeuren.

    2. Ik beschouw dit als vergelijkbaar met het huren van een huis dat eigendom is van een crimineel, om beter in zijn netwerk te komen, of met het dagelijks drinken van 5 kopjes koffie in het cafe van een crimineel. Ja, er stroomt geld naar de crimineel, maar financieel ondersteunen van criminele organisaties is toch wel wat anders.

      Het grote verschil is natuurlijk wel dat een politie-onderzoek er op gericht is om met de op die manier verkregen informatie criminelen – en het liefst de kopstukken – aan te houden en achter slot en grendel te krijgen. Bij de AIVD lijkt mij dat niet aan de orde. In dat geval gaat het meer om de informatie ‘vanwege de informatie’ dan om het gebruiken van die data om mensen te kunnen arresteren en vervolgen. Een goed voorbeeld van de negatieve gevolgen van de verzamelwoede van inlichtingendiensten is het falen van diezelfde diensten bij de aanslag in Manchester, tijdens het concert van Ariane Grande (zie https://www.elsevierweekblad.nl/buitenland/achtergrond/2017/12/kritiek-op-britse-diensten-aanslag-manchester-had-voorkomen-kunnen-worden-565971). En zo zijn er nog wel meer voorbeelden te noemen, zowel recenter als ouder.

      Inlichtingendiensten moeten vanwege de aard van hun werkzaamheden logischerwijs data/informatie verzamelen, ook over personen die niets verkeerds doen. Maar de gegevens van honderd miljoen burgers kopen lijkt mij daar niets mee te maken te hebben, maar duidt naar mijn mening meer op ongebreidelde verzamelkoorts ‘want misschien komt die informatie ooit nog eens van pas’. Of gaan ze nu die informatie doorspitten op zoek naar verdachte handelingen, patronen, etc?

      En helaas is de uitspraak van de WC-Eend Commissie van Toezicht ook weer niet verrassend.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.