1/ Wow. Ik heb veel kritische rapporten van toezichthouder CTIVD over de AIVD en MIVD gelezen, maar dit zojuist gepubliceerde rapport is zeer pittig en zorgwekkend.
Een draadje:
Een draadje:
2/ Het is een voortgangsrapportage over de WiV 2017, de nieuwe wet voor de diensten, die de diensten meer bevoegdheden gaf en waar in maart het referendum over ging. Hete hangijzers waren toen: de privacy van burgers en het toezicht op de naleving van de wet door de diensten
3/ De CTIVD heeft vanaf mei 2018 meegekeken met de diensten om te beoordelen hoe de wettelijke en toegezegde waarborgen worden nageleefd
De korte versie: matig tot zeer slecht. Mijn conclusie na lezing:
De korte versie: matig tot zeer slecht. Mijn conclusie na lezing:
4/ Zelfs na een referendum (uitslag: nee), wetswijzigingen en toezeggingen, voldoen de diensten op enkele van de meest fundamentele punten niet aan de wet. Dat wil zeggen: ze gaan niet goed om met de zeer ruime bevoegdheden die ze hebben.
5/ Gevolg: niet alleen de privacy van burgers loopt risico (op sommige punten: veel), het is ook moeilijk (en soms onmogelijk) om toezicht te houden op het werk van de diensten. Door zowel de diensten zelf als door de externe toezichthouders
6/ Dus: alle mooie woorden over ‘we doen alles volgens de wet’ en ’checks en balances’ en ‘privacy hartstikke belangrijk’ zijn precies dat: mooie woorden.
7/ Nav het rapport, enkele citaten en observaties:
8/ ‘Essentiële waarborgen voor de bescherming van de rechten van het individu missen echter, geheel of gedeeltelijk, hun invulling in de praktijk.’
9/ ‘[Er] ontbreekt op belangrijke onderdelen beleid op het
terrein van de gegevensbescherming’
terrein van de gegevensbescherming’
10/ 'Er is ‘geen herkenbare toepassing gegeven aan het criterium ‘zo gericht mogelijk’’
11/ 'Er wordt te weinig acht geslagen op (wettelijke) waarborgen voor de
geautomatiseerde metadata-analyse (zoals voorafgaande toestemming in alle gevallen en beperkte toegang van medewerkers tot metadata).’
geautomatiseerde metadata-analyse (zoals voorafgaande toestemming in alle gevallen en beperkte toegang van medewerkers tot metadata).’
12/ En, aldus de toezichthouder: ‘Ook is effectief toezicht op de naleving van de verplichtingen die de wet stelt nog onvoldoende mogelijk.’ Dit geldt zowel intern- voor de diensten zelf - als extern - door de toezichthouders
13/ Nog een paar kritiekpunten uitgelicht:
14/ De zorgplicht van de diensten ontbreekt. Die betekent dat zij controle hebben op de manier waarop zij gegevens verwerken en ervoor zorgen dat de gegevensverwerking mag vlgns wet. Conclusie CTIVD: ‘het risico op onrechtmatige gegevensverwerking door AIVD en MIVD is hoog’
15/ Ook datareductie is een probleem. Voor de MIVD is het risico zelfs hoog omdat er geen goede ICT-infrastructuur is (!). Dat geldt ook voor het vernietigen van data.
16/ Er is toegezegd dat de diensten ‘zo gericht mogelijk’ hun bevoegdheden zullen inzetten. Aan dit cruciale punt hebben de diensten nog geen invulling gegeven.
17/ Ook zijn er geen voldoende waarborgen voor de geautomatiseerde data-analyse door de diensten. Hierover, zo schrijft de CTIVD, is veel overleg met de diensten maar er bestaan ‘fundamentele verschillen van opvattingen’ over wat geautomatiseerde analyse van metadata is.
18/ Ook voor de geautomatiseerde data-analyse geldt: databeperking wordt slecht uitgevoegd. ‘Er is geen herkenbare en gestructureerde vorm van interne controle op de vernietiging van gegevens’, aldus de CTIVD.
Hier het rapport: ctivd.nl/documenten/rap… en hier de bijlage ctivd.nl/documenten/rap…
